Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Sentinel deteta anomalias analisando o comportamento dos usuários em um ambiente durante um período de tempo e construindo uma linha de base de atividade legítima. Uma vez estabelecida a linha de base, qualquer atividade fora dos parâmetros normais é considerada anómala e, por conseguinte, suspeita.
O Microsoft Sentinel usa dois modelos para criar linhas de base e detetar anomalias.
- Anomalias da UEBA
Machine learning c0
Este artigo lista as anomalias que o Microsoft Sentinel deteta usando vários modelos de machine learning.
Na tabela Anomalias:
- A
rulenamecoluna indica a regra utilizada pelo Sentinel para identificar cada anomalia. - A
scorecoluna contém um valor numérico entre 0 e 1, que quantifica o grau de desvio do comportamento esperado. Pontuações mais altas indicam maior desvio em relação à linha de base e são mais prováveis de serem verdadeiras anomalias. Pontuações mais baixas ainda podem ser anômalas, mas são menos prováveis de serem significativas ou acionáveis.
Note
Estas deteções de anomalias foram descontinuadas a 8 de março de 2026, devido à baixa qualidade dos resultados:
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
Compare as anomalias baseadas na UEBA e em machine learning
A UEBA e a machine learning (ML) -based anomalias são abordagens complementares à deteção de anomalias. Ambos preenchem a Anomalies tabela, mas servem propósitos diferentes:
| Aspeto | Anomalias da UEBA | Regras de deteção de anomalias em ML |
|---|---|---|
| Foco | Que está a comportar-se de forma invulgar | Que atividade é invulgar |
| Abordagem de deteção | Referências comportamentais focadas na entidade comparadas com atividade histórica, comportamento dos pares e padrões organizacionais | Modelos de regras personalizáveis usando modelos estatísticos e de aprendizagem automática treinados com padrões de dados específicos |
| Fonte base | A própria história, grupo de pares e organização de cada entidade | Período de treino (tipicamente 7-21 dias) sobre tipos específicos de eventos |
| Personalização | Ativado/desativado usando as definições UEBA | Limiares e parâmetros ajustáveis usando a interface de regras de análise |
| Exemplos | Início de sessão anómalo, criação anómala de conta, modificação anómala de privilégios | Tentativa de força bruta, downloads excessivos, beaconing de rede |
Para obter mais informações, consulte:
Anomalias da UEBA
O Sentinel UEBA deteta anomalias com base em linhas de base dinâmicas criadas para cada entidade através de várias entradas de dados. O comportamento de base de cada entidade é definido de acordo com suas próprias atividades históricas, as de seus pares e as da organização como um todo. As anomalias podem ser desencadeadas pela correlação de diferentes atributos, como tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.
Você deve habilitar a UEBA e a deteção de anomalias em seu espaço de trabalho do Sentinel para detetar anomalias da UEBA.
A UEBA deteta anomalias com base nestas regras de anomalias:
- UEBA Conta Anómala Access Remoção
- Criação de Conta Anômala UEBA
- Exclusão anômala de conta da UEBA
- Manipulação anômala de contas da UEBA
- Atividade Anómala da UEBA nos Registos de Auditoria do GCP
- Atividade Anómala da UEBA em Okta_CL
- Autenticação Anómala da UEBA
- Execução Anômala de Código UEBA
- Destruição Anômala de Dados UEBA
- Transferência Anómala de Dados UEBA a partir do Amazon S3
- Modificação Anômala do Mecanismo Defensivo da UEBA
- UEBA Anômalo Falhou Login
- Atividade Federada Anómala ou Identidade SAML da UEBA no AwsCloudTrail
- Modificação de Privilégios Anómalos do IAM da UEBA no AwsCloudTrail
- Logon Anómalo UEBA no AwsCloudTrail
- Falhas anómalas no MFA da UEBA em Okta_CL
- Redefinição anômala de senha da UEBA
- UEBA Privilégio Anômalo Concedido
- UEBA Anomalous Secret ou KMS Key Access no AwsCloudTrail
- Login anômalo da UEBA
- Comportamento de AssumeRole do STS Anómalo UEBA no AwsCloudTrail
O Sentinel usa dados enriquecidos da tabela BehaviorAnalytics para identificar anomalias da UEBA com uma pontuação de confiança específica para seu locatário e fonte.
Remoção de Acess Anómalo à Conta UEBA
Description: Um atacante pode interromper a disponibilidade de recursos do sistema e da rede bloqueando access a contas usadas por utilizadores legítimos. O atacante pode apagar, bloquear ou manipular uma conta (por exemplo, alterando as suas credenciais) para remover o acesso a ela.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Activity: | Microsoft.Authorization/roleAssignments/delete Terminar sessão |
Voltar à lista | Voltar ao topo
Criação de Conta Anômala UEBA
Description: Os adversários podem criar uma conta para manter access aos sistemas-alvo. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer um access secundário credenciado sem necessidade de implementar ferramentas persistentes de access remoto no sistema.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 - Criar Conta |
| Sub-técnicas MITRE ATT&CK: | Conta na nuvem |
| Activity: | Core Directory/UserManagement/Adicionar usuário |
Voltar à lista | Voltar ao topo
Exclusão anômala de conta da UEBA
Description: Adversários podem interromper a disponibilidade dos recursos do sistema e da rede ao inibir access às contas utilizadas por utilizadores legítimos. As contas podem ser apagadas, bloqueadas ou manipuladas (ex: credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Activity: | Core Directory/UserManagement/Excluir usuário Core Directory/Device/Delete usuário Core Directory/UserManagement/Excluir usuário |
Voltar à lista | Voltar ao topo
Manipulação anômala de contas da UEBA
Description: Adversários podem manipular contas para manter access aos sistemas-alvo. Essas ações incluem a adição de novas contas a grupos altamente privilegiados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários de raio de explosão alto executando "Atualizar usuário" (alteração de nome) para função privilegiada ou aqueles que alteraram usuários pela primeira vez.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 - Manipulação de Conta |
| Activity: | Diretório principal/UserManagement/Usuário de atualização |
Voltar à lista | Voltar ao topo
Atividade Anómala da UEBA nos Registos de Auditoria do GCP
Description: Falharam access tentativas de pesquisar recursos da Cloud Platform (GCP) com base em entradas relacionadas com IAM nos Registos de Auditoria do GCP. Estas falhas podem refletir permissões mal configuradas, tentativas de acesso a serviços não autorizados ou comportamentos iniciais de atacantes, como sondagem de privilégios ou persistência através de contas de serviço.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do GCP |
| Táticas MITRE ATT&CK: | Descoberta |
| Técnicas MITRE ATT&CK: | T1087 – Descoberta de conta, T1069 – Descoberta de grupos de permissão |
| Activity: | iam.googleapis.com |
Voltar à lista | Voltar ao topo
Atividade Anómala da UEBA em Okta_CL
Descrição: Atividade de autenticação inesperada ou alterações de configuração relacionadas à segurança no Okta, incluindo modificações nas regras de entrada, imposição de autenticação multifator (MFA) ou privilégios administrativos. Tal atividade pode indicar tentativas de alterar os controlos de segurança de identidade ou manter o acesso através de alterações privilegiadas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Okta Cloud Logs |
| Táticas MITRE ATT&CK: | Persistência, escalonamento de privilégios |
| Técnicas MITRE ATT&CK: | T1098 - Manipulação de Conta, T1556 - Modificar Processo de Autenticação |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.fator.deactivate user.mfa.factor.reset_all usuário.mfa.fator.suspend user.mfa.okta_verify |
Voltar à lista | Voltar ao topo
Autenticação Anómala da UEBA
Description: Atividade de autenticação invulgar entre sinais de Microsoft Defender for Endpoint e Microsoft Entra ID, incluindo logons de dispositivos, logins de identidade gerida e autenticações de principal de serviço a partir de Microsoft Entra ID. Estas anomalias podem sugerir uso indevido de credenciais, abuso de identidade não humana ou tentativas de movimento lateral fora dos padrões típicos de acesso.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Microsoft Defender for Endpoint, Microsoft Entra ID |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
| Activity: |
Voltar à lista | Voltar ao topo
Execução Anômala de Código UEBA
Descrição: Os adversários podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 - Interpretador de Comandos e Scripts |
| Sub-técnicas MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Voltar à lista | Voltar ao topo
Destruição Anômala de Dados UEBA
Descrição: Os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade de sistemas, serviços e recursos de rede. É provável que a destruição de dados torne os dados armazenados irrecuperáveis por técnicas forenses através da substituição de ficheiros ou dados em unidades locais e remotas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1485 - Destruição de Dados |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft. Storage/storageAccounts/delete Microsoft. Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft. Storage/storageAccounts/fileServices/fileshares/ficheiros/delete Microsoft. Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Voltar à lista | Voltar ao topo
Transferência Anómala de Dados UEBA a partir do Amazon S3
Description: Desvios nos padrões de access ou download de dados do Amazon Simple Storage Service (S3). A anomalia é determinada usando referências comportamentais para cada utilizador, serviço e recurso, comparando o volume, frequência e número de objetos acedidos de transferência de dados com normas históricas. Desvios significativos – como acesso em massa pela primeira vez, recuperações de dados invulgarmente grandes ou atividade a partir de novas localizações ou aplicações – podem indicar potencial exfiltração de dados, violações de políticas ou uso indevido de credenciais comprometidas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1567 - Exfiltração sobre Web Service |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Voltar à lista | Voltar ao topo
Modificação Anômala do Mecanismo Defensivo da UEBA
Descrição: Os adversários podem desativar as ferramentas de segurança para evitar a possível deteção de suas ferramentas e atividades.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Evasão de Defesa |
| Técnicas MITRE ATT&CK: | T1562 - Defesas Prejudicadas |
| Sub-técnicas MITRE ATT&CK: | Desativar ou modificar ferramentas Desativar ou modificar o Cloud Firewall |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Voltar à lista | Voltar ao topo
UEBA Anômalo Falhou Login
Description: Adversários sem conhecimento prévio de credenciais legítimas no sistema ou ambiente podem adivinhar palavras-passe para tentar access a contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de início de sessão do Microsoft Entra Windows Security logs |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
| Activity: |
Microsoft Entra ID: Atividade de iniciar sessão Windows Security: Falha no login (ID do evento 4625) |
Voltar à lista | Voltar ao topo
Atividade Federada Anómala ou Identidade SAML da UEBA no AwsCloudTrail
Descrição: Atividade invulgar por identidades federadas ou baseadas em Linguagem de Marcação de Asserção de Segurança (SAML) envolvendo ações iniciais, geolocalizações desconhecidas ou chamadas excessivas de API. Tais anomalias podem indicar sequestro de sessão ou uso indevido de credenciais federadas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Access Inicial, Persistência |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas, T1550 - Utilizar Material de Autenticação Alternativo |
| Activity: | Autenticação de Utilizador (EXTERNAL_IDP) |
Voltar à lista | Voltar ao topo
Modificação de Privilégios Anómalos do IAM da UEBA no AwsCloudTrail
Description: Desvios no comportamento administrativo de Identidade e Gestão Access (IAM), como a criação, modificação ou eliminação pela primeira vez de funções, utilizadores e grupos, ou anexação de novas políticas inline ou geridas. Isto pode indicar escalada de privilégios ou abuso de políticas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Escalada de Privilégios, Persistência |
| Técnicas MITRE ATT&CK: | T1136 - Criar Conta, T1098 - Manipulação de Conta |
| Activity: | Criar, Adicionar, Anexar, Eliminar, Desativar, Colocar e Atualizar operações em iam.amazonaws.com, sso-directory.amazonaws.com |
Voltar à lista | Voltar ao topo
Logon Anómalo UEBA no AwsCloudTrail
Descrição: Atividade de logon incomum em serviços da Amazon Web Services (AWS) com base em eventos do CloudTrail, como ConsoleLogin e outros atributos relacionados à autenticação. As anomalias são determinadas por desvios no comportamento do utilizador com base em atributos como geolocalização, impressão digital do dispositivo, ISP e método de acesso, podendo indicar tentativas de access não autorizadas ou potenciais violações de políticas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
| Activity: | ConsoleLogin |
Voltar à lista | Voltar ao topo
Falhas anómalas no MFA da UEBA em Okta_CL
Descrição: Padrões incomuns de tentativas fracassadas de MFA em Okta. Essas anomalias podem resultar de uso indevido de conta, preenchimento de credenciais ou uso indevido de mecanismos de dispositivos confiáveis e, muitas vezes, refletem comportamentos adversários em estágio inicial, como testar credenciais roubadas ou investigar salvaguardas de identidade.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Okta Cloud Logs |
| Táticas MITRE ATT&CK: | Persistência, escalonamento de privilégios |
| Técnicas MITRE ATT&CK: | T1078 - Contas válidas, T1556 - Modificar processo de autenticação |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.fator.deactivate user.mfa.factor.reset_all usuário.mfa.fator.suspend user.mfa.okta_verify |
Voltar à lista | Voltar ao topo
Redefinição anômala de senha da UEBA
Description: Adversários podem interromper a disponibilidade dos recursos do sistema e da rede ao inibir access às contas utilizadas por utilizadores legítimos. As contas podem ser apagadas, bloqueadas ou manipuladas (ex: credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 - Remoção de Acesso à Conta |
| Activity: | Redefinição de senha do Core Directory/UserManagement/User |
Voltar à lista | Voltar ao topo
UEBA Privilégio Anômalo Concedido
Descrição: Os adversários podem adicionar credenciais controladas pelo adversário para Azure Principais de Serviço, além das credenciais legítimas existentes, para manter access persistente às contas Azure das vítimas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 - Manipulação de Conta |
| Sub-técnicas MITRE ATT&CK: | Additional Azure Service Principal Credentials |
| Activity: | Provisionamento de conta/Gerenciamento de aplicativos/Adicionar atribuição de função de aplicativo à entidade de serviço |
Voltar à lista | Voltar ao topo
UEBA Anomalous Secret ou KMS Key Access no AwsCloudTrail
Description: access suspeito para recursos AWS Secrets Manager ou Key Management Service (KMS). O primeiro acesso ou uma frequência de acesso invulgarmente elevada podem indicar tentativas de recolha de credenciais ou exfiltração de dados.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Credential Access, Coleção |
| Técnicas MITRE ATT&CK: | T1555 - Credenciais de Lojas de Palavras-Passe |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
Voltar à lista | Voltar ao topo
Login anômalo da UEBA
Description: Adversários podem roubar as credenciais de uma conta específica de utilizador ou serviço usando técnicas de Access de credenciais ou capturar credenciais mais cedo no seu processo de reconhecimento através de engenharia social para obter Persistência.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Registos de início de sessão do Microsoft Entra Windows Security logs |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
| Activity: |
Microsoft Entra ID: Atividade de iniciar sessão Windows Security: Login bem-sucedido (ID do evento 4624) |
Voltar à lista | Voltar ao topo
Comportamento de AssumeRole do STS Anómalo UEBA no AwsCloudTrail
Description: Uso anómalo de ações AssumeRole do AWS Security Token Service (STS), especialmente envolvendo papéis privilegiados ou access entre contas. Desvios do uso típico podem indicar escalada de privilégios ou comprometimento de identidade.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Escalada de Privilégios, Evasão de Defesa |
| Técnicas MITRE ATT&CK: | T1548 - Mecanismo de Controlo de Elevação de Abuso, T1078 - Contas Válidas |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Voltar à lista | Voltar ao topo
Anomalias baseadas em Machine learning
As anomalias personalizáveis baseadas em machine learning do Microsoft Sentinel podem identificar comportamentos anómalos com modelos de regras analíticas que podem ser implementados logo à saída da caixa. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças.
- Operações de Azure anómalas
- Execução de código anômalo
- Criação anômala de conta local
- Atividades anómalas dos utilizadores no Office Exchange
- Tentativa de força bruta no computador
- Tentativa de força bruta da conta de utilizador
- Tentativa de força bruta da conta de usuário por tipo de login
- Tentativa de força bruta da conta de usuário por motivo de falha
- Detetar o comportamento de balizamento de rede gerado pela máquina
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Downloads excessivos via Palo Alto GlobalProtect
- Uploads excessivos via Palo Alto GlobalProtect
- Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
- Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS
- Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário
- Volume suspeito de logins no computador
- Volume suspeito de logins no computador com token elevado
- Volume suspeito de logins na conta de usuário
- Volume suspeito de logins na conta de usuário por tipos de logon
- Volume suspeito de logins na conta de usuário com token elevado
Operações Azure anómalas
Description: Este algoritmo de deteção recolhe 21 dias de dados sobre operações de Azure agrupados por utilizador para treinar este modelo de ML. O algoritmo então gera anomalias no caso de usuários que realizaram sequências de operações incomuns em seus espaços de trabalho. O modelo de ML treinado pontua as operações realizadas pelo usuário e considera anômalas aquelas cuja pontuação é maior do que o limiar definido.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1190 - Explorar aplicativo voltado para o público |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Execução de código anômalo
Descrição: Os invasores podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Azure Activity logs |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 - Interpretador de Comandos e Scripts |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Criação anômala de conta local
Descrição: Este algoritmo deteta a criação anômala de contas locais em sistemas Windows. Os atacantes podem criar contas locais para manter o acesso a sistemas-alvo. Este algoritmo analisa a atividade de criação de conta local nos 14 dias anteriores pelos utilizadores. Ele procura atividade semelhante no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permissões para filtrar usuários conhecidos de acionar essa anomalia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 - Criar Conta |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Atividades anómalas dos utilizadores no Office Exchange
Description: Este modelo machine learning agrupa o Office Exchange regista por utilizador em segmentos horários. Definimos uma hora como uma sessão. O modelo é treinado nos últimos 7 dias de comportamento em todos os usuários regulares (não administradores). Indica sessões anómalas do Office Exchange do utilizador no último dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Registo de Atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Persistence Collection |
| Técnicas MITRE ATT&CK: |
Collection: T1114 - Recolha de Email T1213 - Dados de repositórios de informação Persistence: T1098 - Manipulação de Conta T1136 - Criar Conta T1137 - Inicialização de aplicativos do Office T1505 - Componente de Software de Servidor |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Tentativa de força bruta no computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por computador no último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos de Windows security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Tentativa de força bruta da conta de utilizador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador no último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos de Windows security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Tentativa de força bruta da conta de usuário por tipo de login
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por tipo de início de sessão no dia anterior. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos de Windows security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Tentativa de força bruta da conta de usuário por motivo de falha
Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por motivo de falha no dia anterior. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos de Windows security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Credential Access |
| Técnicas MITRE ATT&CK: | T1110 - Força Bruta |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Detetar o comportamento de balizamento de rede gerado pela máquina
Descrição: Esse algoritmo identifica padrões de beaconing a partir de logs de conexão de tráfego de rede com base em padrões delta de tempo recorrente. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivo é uma indicação de retornos de chamada de malware ou tentativas de exfiltração de dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. A porcentagem de beaconing é calculada como as conexões na sequência tempo-delta em relação ao total de conexões em um dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1071 - Protocolo da camada de aplicação T1132 - Codificação de Dados T1001 - Ofuscação de Dados T1568 - Resolução Dinâmica T1573 - Canal Criptografado T1008 - Canais de fallback T1104 - Canais Multi-Estágio T1095 - Protocolo de camada de não-aplicação T1571 - Porta não padronizada T1572 - Tunelamento de Protocolo T1090 - Procuração T1205 - Sinalização de Trânsito T1102 - Serviço Web |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Algoritmo de geração de domínio (DGA) em domínios DNS
Description: Este modelo machine learning indica potenciais domínios DGA do dia anterior nos registos DNS. O algoritmo aplica-se a registos DNS que resolvem para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1568 - Resolução Dinâmica |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Downloads excessivos via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume invulgarmente elevado de downloads por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Indica um elevado volume anómalo de downloads no último dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados T1041 - Exfiltração pelo canal C2 T1011 - Exfiltração sobre outro meio de rede T1567 - Exfiltração sobre Web Service T1029 - Transferência Programada T1537 - Transferir dados para a conta na nuvem |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Uploads excessivos via Palo Alto GlobalProtect
Descrição: Este algoritmo deteta um volume invulgarmente elevado de carregamento por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Isso indica um alto volume anômalo de upload no dia anterior.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 - Limites de tamanho de transferência de dados T1041 - Exfiltração pelo canal C2 T1011 - Exfiltração sobre outro meio de rede T1567 - Exfiltração sobre Web Service T1029 - Transferência Programada T1537 - Transferir dados para a conta na nuvem |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
Description: Este modelo machine learning indica os domínios de nível seguinte (de terceiro nível em diante) dos nomes de domínio do último dia dos registos DNS que são invulgares. Eles podem ser potencialmente a saída de um algoritmo de geração de domínio (DGA). A anomalia aplica-se aos registos DNS que são resolvidos para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e Controlo |
| Técnicas MITRE ATT&CK: | T1568 - Resolução Dinâmica |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS
Descrição: Esse algoritmo deteta um volume anormalmente alto de chamadas de API da AWS por conta de usuário por espaço de trabalho, a partir de endereços IP de origem fora dos intervalos de IP de origem da AWS, no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta do usuário está comprometida.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário
Descrição: Esse algoritmo deteta um volume anormalmente alto de chamadas de API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário. Esta atividade pode indicar que a conta está comprometida.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Logs do AWS CloudTrail |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de logins no computador
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por computador no último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos do Windows Security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de logins no computador com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por computador, durante o último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos do Windows Security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de logins na conta de usuário
Descrição: Esse algoritmo deteta um volume anormalmente alto de logins bem-sucedidos (ID de evento de segurança 4624) por conta de usuário no dia anterior. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos do Windows Security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de logins na conta de usuário por tipos de logon
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador, por diferentes tipos de início de sessão, no último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos do Windows Security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Volume suspeito de logins na conta de usuário com token elevado
Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por conta de utilizador, durante o último dia. O modelo é treinado com base nos 21 dias anteriores dos registos de eventos do Windows Security.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | machine learning personalizável |
| Fontes de dados: | Windows Security logs |
| Táticas MITRE ATT&CK: | Initial Access |
| Técnicas MITRE ATT&CK: | T1078 - Contas Válidas |
Voltar à lista de anomalias baseada em Machine learning | Voltar ao topo
Próximos passos
- Saiba mais sobre as anomalias geradas machine learning no Microsoft Sentinel.
- Saiba como trabalhar com regras de anomalias.
- Investigue incidentes com o Microsoft Sentinel.