Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel обнаруживает аномалии, анализируя поведение пользователей в среде в течение определенного периода времени и создавая базовый план допустимой активности. После установки базового плана все действия за пределами обычных параметров считаются аномальными и, следовательно, подозрительными.
Microsoft Sentinel использует две модели для создания базовых показателей и обнаружения аномалий.
В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью различных моделей машинного обучения.
В таблице Аномалии :
- Столбец
rulenameуказывает правило, Sentinel, используемое для идентификации каждой аномалии. - Столбец
scoreсодержит числовое значение от 0 до 1, которое подсчитывает степень отклонения от ожидаемого поведения. Более высокие оценки указывают на большее отклонение от базового плана и, скорее всего, будут истинными аномалиями. Более низкие оценки могут по-прежнему быть аномальными, но с меньшей вероятностью будут значительными или практическими.
Примечание.
Обнаружение этих аномалий прекращено с 8 марта 2026 г. из-за низкого качества результатов:
- Алгоритм создания домена (DGA) в доменах DNS
- Потенциальный алгоритм создания доменов (DGA) в доменах DNS следующего уровня
Сравнение аномалий на основе UEBA и машинного обучения
Аномалии на основе UEBA и машинного обучения (ML) являются взаимодополняющими подходами к обнаружению аномалий. Оба заполняют таблицу, Anomalies но служат для разных целей:
| Аспект | Аномалии UEBA | Правила обнаружения аномалий машинного обучения |
|---|---|---|
| Фокус | Кто ведет себя необычно | Какое действие является необычным |
| Подход к обнаружению | Базовые показатели поведения, ориентированные на сущности, сравниваются с историческими действиями, одноранговым поведением и шаблонами всей организации | Настраиваемые шаблоны правил с использованием статистических моделей и моделей машинного обучения, обученных на основе определенных шаблонов данных |
| Базовый источник | Собственный журнал, группа одноранговых узлов и организация каждой сущности | Период обучения (обычно 7–21 день) для определенных типов событий |
| Настройка | Включено или отключено с помощью параметров UEBA | Настраиваемые пороговые значения и параметры с помощью пользовательского интерфейса правила аналитики |
| Примеры | Аномальный вход, создание аномальной учетной записи, аномальное изменение привилегий | Попытка подбора, чрезмерные загрузки, сетевой маяк |
Дополнительные сведения см. в разделе:
Аномалии UEBA
Sentinel UEBA обнаруживает аномалии на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных. Базовое поведение каждой сущности задается в соответствии с ее собственными историческими действиями, действиями ее одноранговых узлов и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое расположение, устройство, ресурс, поставщик услуг Интернета и многое другое.
Для обнаружения аномалий UEBA необходимо включить UEBA и обнаружение аномалий в рабочей области Sentinel.
UEBA обнаруживает аномалии на основе следующих правил аномалий:
- Удаление аномального доступа к учетной записи UEBA
- Создание аномальной учетной записи UEBA
- Удаление аномальной учетной записи UEBA
- Аномальное управление учетной записью UEBA
- Аномальная активность UEBA в журналах аудита GCP
- Аномальная активность UEBA в Okta_CL
- Аномальная проверка подлинности UEBA
- Аномальное выполнение кода UEBA
- Аномальное уничтожение данных UEBA
- Аномальная передача данных UEBA из Amazon S3
- Изменение аномального защитного механизма UEBA
- Аномальный сбой входа в UEBA
- Аномальное федеративное действие UEBA или действие удостоверений SAML в AwsCloudTrail
- Аномальное изменение привилегий IAM UEBA в AwsCloudTrail
- Аномальное использование инфраструктуры UEBA в журналах аудита GCP
- Аномальный вход UEBA в журналах аудита GCP
- Аномальный вход UEBA в AwsCloudTrail
- Сбои аномальной MFA UEBA в Okta_CL
- Аномальный сброс пароля UEBA
- Предоставлена аномальная привилегия UEBA
- Аномальное привилегированное действие UEBA в журналах аудита GCP
- Развертывание аномальных ресурсов UEBA в журналах аудита GCP
- Аномальный секрет UEBA или доступ к ключу KMS в AwsCloudTrail
- Аномальный секрет UEBA или доступ к ключу KMS в журналах аудита GCP
- Аномальный вход в UEBA
- UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Sentinel использует обогащенные данные из таблицы BehaviorAnalytics для выявления аномалий UEBA с оценкой достоверности, специфичной для клиента и источника.
Удаление аномального доступа к учетной записи UEBA
Описание: Злоумышленник может прервать доступность системных и сетевых ресурсов, заблокировав доступ к учетным записям, используемым законными пользователями. Злоумышленник может удалить, заблокировать или манипулировать учетной записью (например, изменив ее учетные данные), чтобы удалить доступ к ней.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Влияние |
| Методы MITRE ATT&CK: | T1531 — удаление доступа к учетной записи |
| Деятельности: | Microsoft.Authorization/roleAssignments/delete Выход из системы |
Вернуться к списку | аномалий UEBAВернуться к началу
Создание аномальной учетной записи UEBA
Описание: Злоумышленники могут создать учетную запись для поддержания доступа к целевым системам. При достаточном уровне доступа создание таких учетных записей может использоваться для создания дополнительного доступа с учетными данными без необходимости развертывания в системе постоянных средств удаленного доступа.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы аудита Microsoft Entra |
| ТАКТИКА MITRE ATT&CK: | Сохранение |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
| MITRE ATT&подтехношения CK: | Облачная учетная запись |
| Деятельности: | Core Directory/UserManagement/Add user |
Вернуться к списку | аномалий UEBAВернуться к началу
Удаление аномальной учетной записи UEBA
Описание: Злоумышленники могут прервать доступность системных и сетевых ресурсов, запретив доступ к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для удаления доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы аудита Microsoft Entra |
| ТАКТИКА MITRE ATT&CK: | Влияние |
| Методы MITRE ATT&CK: | T1531 — удаление доступа к учетной записи |
| Деятельности: | Core Directory/UserManagement/Delete user Основной каталог, устройство или удаление пользователя Core Directory/UserManagement/Delete user |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное управление учетной записью UEBA
Описание: Злоумышленники могут управлять учетными записями для поддержания доступа к целевым системам. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. Например, Dragonfly 2.0 добавил в группу администраторов только что созданные учетные записи для поддержания повышенного доступа. Приведенный ниже запрос создает выходные данные всех пользователей Radius с высоким уровнем взрыва, выполняющих "Обновить пользователя" (изменение имени) для привилегированной роли, или пользователей, которые впервые изменили пользователей.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы аудита Microsoft Entra |
| ТАКТИКА MITRE ATT&CK: | Сохранение |
| Методы MITRE ATT&CK: | T1098 — обработка учетных записей |
| Деятельности: | Пользователь Core Directory/UserManagement/Update |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальная активность UEBA в журналах аудита GCP
Описание: Неудачные попытки доступа к ресурсам Google Cloud Platform (GCP) на основе записей, связанных с IAM, в журналах аудита GCP. Эти сбои могут отражать неправильно настроенные разрешения, попытки доступа к несанкционированным службам или поведение злоумышленника на ранней стадии, например проверки привилегий или сохраняемости с помощью учетных записей служб.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Обнаружение |
| Методы MITRE ATT&CK: | T1087 — обнаружение учетных записей, T1069 — обнаружение групп разрешений |
| Деятельности: | iam.googleapis.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальная активность UEBA в Okta_CL
Описание: Непредвиденные действия проверки подлинности или изменения конфигурации, связанные с безопасностью, в Okta, включая изменения правил входа, применение многофакторной проверки подлинности (MFA) или права администратора. Такие действия могут указывать на попытки изменить элементы управления безопасностью удостоверений или сохранить доступ с помощью привилегированных изменений.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы Okta Cloud (Okta_CL и OktaV2_CL) |
| ТАКТИКА MITRE ATT&CK: | Сохраняемость, повышение привилегий |
| Методы MITRE ATT&CK: | T1098 — обработка учетной записи, T1556 — изменение процесса проверки подлинности |
| Деятельности: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальная проверка подлинности UEBA
Описание: Необычные действия проверки подлинности между сигналами от Microsoft Defender для конечной точки и Microsoft Entra ID, включая входы устройств, входы в управляемые удостоверения и проверку подлинности субъекта-службы из Microsoft Entra ID. Эти аномалии могут предполагать неправильное использование учетных данных, злоупотребление удостоверениями, не относящемся к человеку, или попытки бокового перемещения вне типичных шаблонов доступа.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Microsoft Defender для конечной точки, Microsoft Entra ID |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Деятельности: |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное выполнение кода UEBA
Описание: Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки предоставляют способы взаимодействия с компьютерными системами и являются общей функцией на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и сценариев |
| MITRE ATT&подтехношения CK: | PowerShell |
| Деятельности: | Microsoft.Compute/virtualMachines/runCommand/action |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное уничтожение данных UEBA
Описание: Злоумышленники могут уничтожать данные и файлы в определенных системах или в большом количестве в сети, чтобы прервать доступность систем, служб и сетевых ресурсов. Уничтожение данных, скорее всего, сделает сохраненные данные невосстановимыми с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Влияние |
| Методы MITRE ATT&CK: | T1485 — уничтожение данных |
| Деятельности: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальная передача данных UEBA из Amazon S3
Описание: Отклонения в шаблонах доступа к данным или скачивания из Amazon Simple Storage Service (S3). Аномалия определяется с помощью базовых показателей поведения для каждого пользователя, службы и ресурса, сравнивая объем передачи данных, частоту и количество объектов, к которых осуществляется доступ, с историческими нормами. Значительные отклонения, такие как массовый доступ в первый раз, извлечение необычно больших данных или действия из новых расположений или приложений, могут указывать на потенциальную кражу данных, нарушения политики или неправильное использование скомпрометированных учетных данных.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Кража данных |
| Методы MITRE ATT&CK: | T1567 — утечка через веб-службу |
| Деятельности: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
Вернуться к списку | аномалий UEBAВернуться к началу
Изменение аномального защитного механизма UEBA
Описание: Злоумышленники могут отключить средства безопасности, чтобы избежать возможного обнаружения своих средств и действий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Обход мер защиты |
| Методы MITRE ATT&CK: | T1562 - Ухудшить защиту |
| MITRE ATT&подтехношения CK: | Отключение или изменение средств Отключение или изменение облачного брандмауэра |
| Деятельности: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный сбой входа в UEBA
Описание: Злоумышленники, не имеющие ранее знаний о допустимых учетных данных в системе или среде, могут угадать пароли, чтобы попытаться получить доступ к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы входа Microsoft Entra журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным |
| Методы MITRE ATT&CK: | T1110 — метод подбора |
| Деятельности: |
Microsoft Entra ID: действие входа Безопасность Windows: сбой входа (идентификатор события 4625) |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное федеративное действие UEBA или действие удостоверений SAML в AwsCloudTrail
Описание: Необычные действия с использованием федеративных удостоверений или SAML, связанных с действиями в первый раз, незнакомыми географическими расположениями или чрезмерными вызовами API. Такие аномалии могут указывать на перехват сеанса или неправильное использование федеративных учетных данных.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Начальный доступ, сохраняемость |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи, T1550 — использование альтернативного материала для проверки подлинности |
| Деятельности: | UserAuthentication (EXTERNAL_IDP) |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное изменение привилегий IAM UEBA в AwsCloudTrail
Описание: Отклонения в административном поведении управления удостоверениями и доступом (IAM), такие как создание, изменение или удаление ролей, пользователей и групп или вложение новых встроенных или управляемых политик. Они могут указывать на повышение привилегий или злоупотребление политикой.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Повышение привилегий, сохраняемость |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи, T1098 — управление учетной записью |
| Деятельности: | Операции создания, добавления, присоединения, удаления, деактивации, вставки и обновления для iam.amazonaws.com, sso-directory.amazonaws.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное использование инфраструктуры UEBA в журналах аудита GCP
Описание: Необычные шаблоны операций инфраструктуры в Google Cloud Platform (GCP), определяемые путем сравнения IP-адреса пользователя, агента пользователя, поставщика услуг интернета и доступа к службам с их историческим поведением. Аномалии, такие как первый доступ к службам инфраструктуры, необычные инструменты или приложения или необычные операционные шаблоны, могут указывать на боковое перемещение, злоупотребление ресурсами или несанкционированные изменения инфраструктуры.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Обнаружение, влияние |
| Методы MITRE ATT&CK: | T1580 — обнаружение облачной инфраструктуры, T1496 — перехват ресурсов |
| Деятельности: | Операции без создания и вставки iamcredentials.googleapis.com, cloudresourcemanager.googleapis.com, container.googleapis.com, bigquerydatapolicy.googleapis.com, autoscaling.googleapis.com, run.googleapis.com, redis.googleapis.com, securitycenter.googleapis.com, compute.googleapis.com, storage.googleapis.com, k8s.io, cloudsql.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, appengine.googleapis.com. dns.googleapis.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный вход UEBA в журналах аудита GCP
Описание: Необычное действие проверки подлинности в Google Cloud Platform (GCP) обнаружено с помощью записей, связанных с входом в журналы аудита GCP. Аномалии определяются отклонениями в поведении пользователя на основе таких атрибутов, как географическое расположение, IP-адрес, поставщик услуг Интернета и агент пользователя, по сравнению с историческими шаблонами входа пользователя. Такие отклонения могут указывать на попытки несанкционированного доступа, скомпрометированные учетные данные или сценарии невозможного перемещения.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Деятельности: | login.googleapis.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный вход UEBA в AwsCloudTrail
Описание: Необычные действия входа в службы Amazon Web Services (AWS) на основе событий CloudTrail, таких как ConsoleLogin и других атрибутов, связанных с проверкой подлинности. Аномалии определяются отклонениями в поведении пользователей на основе таких атрибутов, как географическое расположение, отпечаток пальца устройства, поставщик услуг Интернета и метод доступа, и могут указывать на попытки несанкционированного доступа или потенциальные нарушения политики.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Деятельности: | ConsoleLogin |
Вернуться к списку | аномалий UEBAВернуться к началу
Сбои аномальной MFA UEBA в Okta_CL
Описание: Необычные шаблоны неудачных попыток MFA в Okta. Эти аномалии могут возникать в результате неправильного использования учетных записей, заполнения учетных данных или неправильного использования механизмов доверенных устройств и часто отражают поведение злоумышленника на ранней стадии, например тестирование украденных учетных данных или проверка защиты удостоверений.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы Okta Cloud (Okta_CL и OktaV2_CL) |
| ТАКТИКА MITRE ATT&CK: | Сохраняемость, повышение привилегий |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи, T1556 — изменение процесса проверки подлинности |
| Деятельности: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный сброс пароля UEBA
Описание: Злоумышленники могут прервать доступность системных и сетевых ресурсов, запретив доступ к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для удаления доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы аудита Microsoft Entra |
| ТАКТИКА MITRE ATT&CK: | Влияние |
| Методы MITRE ATT&CK: | T1531 — удаление доступа к учетной записи |
| Деятельности: | Core Directory/UserManagement/Сброс пароля пользователя |
Вернуться к списку | аномалий UEBAВернуться к началу
Предоставлена аномальная привилегия UEBA
Описание: Злоумышленники могут добавлять управляемые злоумышленником учетные данные для Azure субъектов-служб в дополнение к существующим законным учетным данным для поддержания постоянного доступа к учетным записям жертв Azure.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы аудита Microsoft Entra |
| ТАКТИКА MITRE ATT&CK: | Сохранение |
| Методы MITRE ATT&CK: | T1098 — обработка учетных записей |
| MITRE ATT&подтехношения CK: | Дополнительные учетные данные субъекта-службы Azure |
| Деятельности: | Подготовка учетных записей,Управление приложениями/Добавление назначения роли приложения субъекту-службе |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальное привилегированное действие UEBA в журналах аудита GCP
Описание: Отклонения в административном поведении управления удостоверениями и доступом (IAM) в Google Cloud Platform (GCP), такие как первый запрос предоставляемых ролей, получение или создание учетных записей служб и их ключей или изменение политик IAM. Значительно более высокий объем привилегированных действий или действий администратора по сравнению с прошлым поведением пользователя может указывать на повышение привилегий, сохраняемость через учетные записи служб или разведку доступных разрешений.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Повышение привилегий, сохраняемость |
| Методы MITRE ATT&CK: | T1098 — обработка учетных записей, T1078 — допустимые учетные записи |
| Деятельности: | QueryGrantableRoles, GetServiceAccount, ListServiceAccountKeys, CreateServiceAccount, GetIAMPolicy, ListApplicablePolicies, GetPolicy, CreateServiceAccountKey и связанные с администратором операции с iam.googleapis.com, firestore.googleapis.com, bigtableadmin.googleapis.com, alloydb.googleapis.com, admin.googleapis.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Развертывание аномальных ресурсов UEBA в журналах аудита GCP
Описание: Необычные действия по созданию или развертыванию ресурсов в Google Cloud Platform (GCP), включая первую подготовку вычислительных экземпляров, контейнеров хранилища, кластеров Kubernetes, облачных функций или других ресурсов инфраструктуры. Значительно более высокий уровень развертывания ресурсов по сравнению с историческим поведением пользователя может указывать на несанкционированное развертывание ресурсов для майнинга, промежуточного хранения данных или создания постоянных опор в среде.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Выполнение, сохраняемость |
| Методы MITRE ATT&CK: | T1610 — развертывание контейнера, T1578 — изменение облачной вычислительной инфраструктуры |
| Деятельности: | Создание и вставка операций apigee.googleapis.com, appengine.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, cloudsql.googleapis.com, compute.googleapis.com, container.googleapis.com, dataproc.googleapis.com, datastore.googleapis.com, dns.googleapis.com, firestore.googleapis.com, k8s.io, osconfig.googleapis.com, run.googleapis.com, storage.googleapis.com |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный секрет UEBA или доступ к ключу KMS в AwsCloudTrail
Описание: Подозрительный доступ к aws Secrets Manager или ресурсам службы управления ключами (KMS). Первый доступ или необычно высокая частота доступа могут указывать на сбор учетных данных или попытки кражи данных.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным, коллекция |
| Методы MITRE ATT&CK: | T1555 — учетные данные из хранилищ паролей |
| Деятельности: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret Createkey PutKeyPolicy |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный секрет UEBA или доступ к ключу KMS в журналах аудита GCP
Описание: Подозрительный доступ к Google Cloud Secret Manager или облачным ресурсам KMS. Первый доступ к хранилищу секретов, ключу или сертификату, необычные шаблоны доступа среди одноранговых узлов или значительно более высокий объем доступа по сравнению с историческим базовым показателем пользователя могут указывать на сбор учетных данных, попытки кражи данных или злоупотребление скомпрометированных учетных записей служб.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита GCP |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным, коллекция |
| Методы MITRE ATT&CK: | T1555 — учетные данные из хранилищ паролей, T1552 — незащищенные учетные данные |
| Деятельности: | Административные операции с cloudkms.googleapis.com, secretmanager.googleapis.com (за исключением AccessSecretVersion, AsymmetricDecrypt, GetPublicKey, AsymmetricSign) |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномальный вход в UEBA
Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетной записи службы с помощью методов доступа к учетным данным или захватить учетные данные ранее в процессе рекогносцировки с помощью социальной инженерии для получения сохраняемости.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | журналы входа Microsoft Entra журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Сохранение |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Деятельности: |
Microsoft Entra ID: действие входа Безопасность Windows: успешный вход (идентификатор события 4624) |
Вернуться к списку | аномалий UEBAВернуться к началу
UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail
Описание: Аномальное использование действий AssumeRole службы маркеров безопасности AWS (STS), особенно с привилегированными ролями или доступом между учетными записями. Отклонения от типичного использования могут указывать на повышение привилегий или компрометацию удостоверений.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Повышение привилегий, уклонение от защиты |
| Методы MITRE ATT&CK: | T1548 — механизм контроля превышения прав злоупотребления, T1078 — допустимые учетные записи |
| Деятельности: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
Вернуться к списку | аномалий UEBAВернуться к началу
Аномалии на основе машинного обучения
настраиваемые аномалии на основе машинного обучения Microsoft Sentinel могут определять аномальное поведение с помощью шаблонов правил аналитики, которые можно использовать для работы безотложно. Хотя аномалии не обязательно указывают на вредоносное или даже подозрительное поведение сами по себе, их можно использовать для улучшения обнаружения, расследования и охоты на угрозы.
- Аномальные операции Azure
- Аномальное выполнение кода
- Создание аномальной локальной учетной записи
- Аномальные действия пользователей в Office Exchange
- Попытка подбора компьютера
- Попытка подбора учетной записи пользователя
- Попытка подбора учетной записи пользователя для каждого типа входа
- Попытка подбора учетной записи пользователя для каждой причины сбоя
- Обнаружение поведения сетевого маяка, созданного компьютером
- Алгоритм создания домена (DGA) в доменах DNS
- Чрезмерные загрузки через Palo Alto GlobalProtect
- Чрезмерное количество загрузок через Palo Alto GlobalProtect
- Потенциальный алгоритм создания доменов (DGA) в доменах DNS следующего уровня
- Подозрительный объем вызовов API AWS с исходного IP-адреса, отличного от AWS
- Подозрительный объем вызовов API записи AWS из учетной записи пользователя
- Подозрительный объем входов на компьютер
- Подозрительный объем имен входа на компьютер с маркером с повышенными привилегиями
- Подозрительный объем входов в учетную запись пользователя
- Подозрительный объем входов в учетную запись пользователя по типам входа
- Подозрительный объем входов в учетную запись пользователя с маркером с повышенными привилегиями
Аномальные операции Azure
Описание: Этот алгоритм обнаружения собирает данные за 21 день о Azure операциях, сгруппированных по пользователям для обучения этой модели машинного обучения. Затем алгоритм создает аномалии в случае пользователей, которые выполняют последовательности операций, которые редко выполняются в своих рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и учитывает аномальные операции, оценка которых превышает заданное пороговое значение.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1190 — эксплойт Public-Facing приложение |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Аномальное выполнение кода
Описание: Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки предоставляют способы взаимодействия с компьютерными системами и являются общей функцией на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы действий Azure |
| ТАКТИКА MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и сценариев |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Создание аномальной локальной учетной записи
Описание: Этот алгоритм обнаруживает аномальное создание локальной учетной записи в системах Windows. Злоумышленники могут создавать локальные учетные записи для обеспечения доступа к целевым системам. Этот алгоритм анализирует действия по созданию локальных учетных записей за предыдущие 14 дней пользователями. Он ищет аналогичные действия в текущий день от пользователей, которые ранее не были замечены в исторических действиях. Можно указать список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Сохранение |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Аномальные действия пользователей в Office Exchange
Описание: Эта модель машинного обучения группирует журналы Office Exchange на основе каждого пользователя в почасовые контейнеры. Мы определяем один час в качестве сеанса. Модель обучается на предыдущих 7 днях поведения всех обычных (неадминистраторных) пользователей. Он указывает на аномальные сеансы Office Exchange пользователя за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журнал действий Office (Exchange) |
| ТАКТИКА MITRE ATT&CK: | Сохранение Collection |
| Методы MITRE ATT&CK: |
Коллекции: T1114 — коллекция Email T1213 — данные из информационных репозиториев Сохраняемости: T1098 — обработка учетных записей T1136 — создание учетной записи T1137 — запуск приложений Office T1505 — компонент серверного программного обеспечения |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Попытка подбора компьютера
Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на компьютер за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным |
| Методы MITRE ATT&CK: | T1110 — метод подбора |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Попытка подбора учетной записи пользователя
Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись пользователя за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным |
| Методы MITRE ATT&CK: | T1110 — метод подбора |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Попытка подбора учетной записи пользователя для каждого типа входа
Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) для каждой учетной записи пользователя на тип входа за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным |
| Методы MITRE ATT&CK: | T1110 — метод подбора |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Попытка подбора учетной записи пользователя для каждой причины сбоя
Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) для каждой учетной записи пользователя по причине сбоя за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Доступ к учетным данным |
| Методы MITRE ATT&CK: | T1110 — метод подбора |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Обнаружение поведения сетевого маяка, созданного компьютером
Описание: Этот алгоритм определяет закономерности маяка из журналов подключений к сетевому трафику на основе повторяющихся шаблонов разностности времени. Любое сетевое подключение к ненадежным общедоступным сетям при повторяющихся разностях времени указывает на обратные вызовы вредоносных программ или попытки кражи данных. Алгоритм вычисляет разницу времени между последовательными сетевыми подключениями между тем же исходным и целевым IP-адресами, а также количество подключений в разностной последовательности времени между теми же источниками и назначениями. Процент маяка вычисляется как соединения в разностной последовательности времени и общего числа подключений за день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN) |
| ТАКТИКА MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1071 — протокол прикладного уровня T1132 — кодировка данных T1001 — запутывание данных T1568 — динамическое разрешение T1573 — зашифрованный канал T1008 — резервные каналы T1104 — многоэтапные каналы T1095 — протокол уровня, не относящееся к приложению T1571 — порт, отличный от Standard T1572 — туннелирование протоколов T1090 — прокси-сервер T1205 — светофорная сигнализация T1102 — веб-служба |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Алгоритм создания домена (DGA) в доменах DNS
Описание: Эта модель машинного обучения указывает на потенциальные домены DGA за последний день в журналах DNS. Алгоритм применяется к записям DNS, которые разрешаются в адресаХ IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | События DNS |
| ТАКТИКА MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Чрезмерные загрузки через Palo Alto GlobalProtect
Описание: Этот алгоритм обнаруживает необычно большой объем загрузки для каждой учетной записи пользователя с помощью решения Palo Alto VPN. Модель обучена на предыдущих 14 днях журналов VPN. Это указывает на аномальный большой объем загрузок за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN VPN) |
| ТАКТИКА MITRE ATT&CK: | Кража данных |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — утечка по каналу C2 T1011 — утечка по другим сетевым средам T1567 — утечка через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Чрезмерное количество загрузок через Palo Alto GlobalProtect
Описание: Этот алгоритм обнаруживает необычно большой объем отправки для каждой учетной записи пользователя с помощью решения Palo Alto VPN. Модель обучена на предыдущих 14 днях журналов VPN. Он указывает на аномальный большой объем отправки за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN VPN) |
| ТАКТИКА MITRE ATT&CK: | Кража данных |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — утечка по каналу C2 T1011 — утечка по другим сетевым средам T1567 — утечка через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Потенциальный алгоритм создания доменов (DGA) в доменах DNS следующего уровня
Описание: Эта модель машинного обучения указывает домены следующего уровня (третий уровень и выше) доменных имен за последний день журналов DNS, которые являются необычными. Потенциально они могут быть выходными данными алгоритма создания домена (DGA). Аномалия применяется к записям DNS, разрешающим адреса IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | События DNS |
| ТАКТИКА MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем вызовов API AWS с исходного IP-адреса, отличного от AWS
Описание: Этот алгоритм обнаруживает необычно большой объем вызовов API AWS для каждой учетной записи пользователя на рабочую область с исходных IP-адресов за пределами исходных диапазонов IP-адресов AWS в течение последнего дня. Модель обучается на событиях журнала AWS CloudTrail за предыдущий 21 день по исходному IP-адресу. Это действие может означать, что учетная запись пользователя скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем вызовов API записи AWS из учетной записи пользователя
Описание: Этот алгоритм обнаруживает необычно большой объем вызовов API записи AWS для каждой учетной записи пользователя за последний день. Модель обучается на событиях журнала AWS CloudTrail за предыдущий 21 день по учетной записи пользователя. Это действие может указывать на компрометацию учетной записи.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы AWS CloudTrail |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем входов на компьютер
Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) на компьютер за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем имен входа на компьютер с маркером с повышенными привилегиями
Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с правами администратора на компьютер за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем входов в учетную запись пользователя
Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) для каждой учетной записи пользователя за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем входов в учетную запись пользователя по типам входа
Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) для каждой учетной записи пользователя по разным типам входа за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Подозрительный объем входов в учетную запись пользователя с маркером с повышенными привилегиями
Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с правами администратора для каждой учетной записи пользователя за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | журналы Безопасность Windows |
| ТАКТИКА MITRE ATT&CK: | Исходный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу
Дальнейшие действия
- Узнайте об аномалиях, создаваемых машинным обучением в Microsoft Sentinel.
- Узнайте, как работать с правилами аномалий.
- Исследуйте инциденты с помощью Microsoft Sentinel.