Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью разных моделей машинного обучения.
Обнаружение аномалий работает путем анализа поведения пользователей в среде за некоторый период времени и определения базового уровня допустимых действий. Как только базовый уровень будет установлен, любые действия за пределами нормальных параметров считаются аномальными и, следовательно, подозрительными.
Microsoft Sentinel использует две разные модели для создания базового плана и обнаружения аномалий.
Примечание.
Следующие обнаружения аномалий прекращены с 26 марта 2024 г. из-за низкого качества результатов:
- Аномалия Palo Alto репутации домена
- Входы из нескольких регионов за один день через Palo Alto GlobalProtect
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Аномалии UEBA
Sentinel UEBA обнаруживает аномалии на основе динамического базового плана, созданного для каждой сущности в разных входных данных. Базовое поведение каждой сущности устанавливается в соответствии с ее предыдущими действиями, действиями его коллег и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое положение, устройство, ресурс, поставщик услуг Интернета и т. д.
Необходимо включить функцию UEBA для обнаружения аномалий UEBA.
- Удаление аномального доступа к учетной записи
- Создание аномальной учетной записи
- Удаление аномальных учетных записей
- Аномальная обработка учетных записей
- Аномальное выполнение кода (UEBA)
- Аномальное уничтожение данных
- Изменение аномального оборонительного механизма
- Аномальный сбой входа
- Аномальный сброс пароля
- Аномальные привилегии, предоставленные
- Аномальный вход
Аномальный отзыв доступа к учетной записи
Описание: Злоумышленник может прервать доступность системных и сетевых ресурсов, блокируя доступ к учетным записям, используемым законными пользователями. Злоумышленник может удалить, заблокировать или изменить учетную запись (например, изменить учетные данные), чтобы отозвать доступ.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Активность: | Microsoft.Authorization/roleAssignments/delete Выйти |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное создание учетной записи
Описание: Злоумышленники могут создать учетную запись для поддержания доступа к целевым системам. При достаточном уровне доступа создание таких учетных записей может использоваться для установления вторичного доступа с учетными данными без необходимости развертывания в системе постоянных инструментов удаленного доступа.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
| Вспомогательные методы MITRE ATT&CK: | Облачная учетная запись |
| Активность: | Основной каталог, управление пользователем, добавление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное удаление учетной записи
Описание: Злоумышленники могут прерывать доступность системных и сетевых ресурсов путем запрета доступа к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Активность: | Основной каталог, управление пользователем, удаление пользователя Основной каталог, устройство, удаление пользователя Основной каталог, управление пользователем, удаление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальные операции с учетной записью
Описание: Злоумышленники могут управлять учетными записями для поддержания доступа к целевым системам. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. В Dragonfly 2.0, например, добавлены новые учетные записи в группу администраторов для сохранения повышенного доступа. Приведенный ниже запрос генерирует выходные данные всех пользователей с большим радиусом воздействия, выполняющих операцию "Обновить пользователя" (изменение имени) для привилегированной роли, или тех, кто изменил пользователей в первый раз.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Активность: | Основной каталог, управление пользователем, обновление пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное выполнение кода (UEBA)
Описание: Злоумышленники могут злоупотреблять командами и интерпретаторами скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
| Вспомогательные методы MITRE ATT&CK: | PowerShell |
| Активность: | Microsoft.Compute/virtualMachines/runCommand/action (команда выполнения для виртуальных машин) |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное уничтожение данных
Описание: Злоумышленники могут уничтожить данные и файлы в определенных системах или в большом количестве в сети для прерывания доступности систем, служб и сетевых ресурсов. Уничтожение данных может привести к тому, что сохраненные данные нельзя будет восстановить с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1485 — уничтожение данных |
| Активность: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/удалить Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/database/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/container/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/container/delete Microsoft.AAD/domainServices/delete |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное изменение защитного механизма
Описание: Злоумышленники могут отключить средства безопасности, чтобы избежать возможного обнаружения своих средств и действий.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Уклонение от защиты |
| Методы MITRE ATT&CK: | T1562 — нарушение защиты |
| Вспомогательные методы MITRE ATT&CK: | Отключение или изменение средств Отключение или изменение облачного брандмауэра |
| Активность: | Microsoft.Sql/managedInstances/database/vulnerabilityAssessmentsments/rules/bases/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessmentsments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/удалить Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальный сбой входа
Описание: Злоумышленники без предварительного знания о допустимых учетных данных в системе или среде могут угадать пароли, чтобы попытаться получить доступ к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
| Активность: |
Идентификатор Microsoft Entra: Действие входа Безопасность Windows: Сбой входа (идентификатор события 4625) |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальный сброс пароля
Описание: Злоумышленники могут прерывать доступность системных и сетевых ресурсов путем запрета доступа к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для отзыва доступа к учетным записям.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Воздействие |
| Методы MITRE ATT&CK: | T1531 — отзыв доступа к учетной записи |
| Активность: | Основной каталог, управление пользователем, сброс пароля пользователя |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальное предоставление привилегий
Описание: Злоумышленники могут добавлять управляемые злоумышленниками учетные данные для субъектов-служб Azure в дополнение к существующим законным учетным данным для поддержания постоянного доступа к учетным записям жертвы Azure.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы аудита Microsoft Entra |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1098 — операции с учетной записью |
| Вспомогательные методы MITRE ATT&CK: | Дополнительные учетные данные субъекта-службы Azure |
| Активность: | Подготовка учетных записей, управление приложением, добавление назначения роли приложения субъекту-службе |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномальная попытка входа
Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетной записи службы с помощью методов доступа к учетным данным или записать учетные данные ранее в процессе разведки с помощью социальной инженерии для получения сохраняемости.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | UEBA |
| Источники данных: | Журналы входов Microsoft Entra Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
| Активность: |
Идентификатор Microsoft Entra: Действие входа Безопасность Windows: Успешное имя входа (идентификатор события 4624) |
Вернитесь к списку | аномалий UEBAНазад в начало
Аномалии на основе машинного обучения
Настраиваемые аномалии Microsoft Sentinel, основанные на машинном обучении, могут выявлять аномальное поведение с помощью шаблонов правил аналитики, которые можно сразу же использовать в работе. Хотя аномалии сами по себе не обязательно указывают на злонамеренное или даже подозрительное поведение, их можно использовать для улучшения обнаружения, расследования и поиска угроз.
- Аномальные операции Azure
- Аномальное выполнение кода
- Создание аномальных локальных учетных записей
- Аномальные действия пользователей в Office Exchange
- Попытка принудительного подбора компьютера
- Попытка принудительного подбора учетной записи пользователя
- Попытка принудительного подбора учетной записи пользователя для каждого типа входа
- Попытка подбора учетной записи пользователя по причине сбоя
- Обнаружение поведения сетевого маяка, созданного компьютером
- Алгоритм создания доменов (DGA) в доменах DNS
- Чрезмерное скачивание с помощью Palo Alto GlobalProtect
- Чрезмерные отправки через Palo Alto GlobalProtect
- Потенциальный алгоритм создания доменов (DGA) на следующих доменах DNS
- Подозрительный объем вызовов API AWS из исходного IP-адреса, отличного от AWS
- Подозрительный объем вызовов API записи AWS из учетной записи пользователя
- Подозрительный объем имен входа на компьютер
- Подозрительный объем имен входа на компьютер с повышенными привилегиями
- Подозрительный объем имен входа в учетную запись пользователя
- Подозрительный объем имен входа в учетную запись пользователя по типам входа
- Подозрительный объем имен входа в учетную запись пользователя с повышенными привилегиями
Аномальные операции Azure
Описание: Этот алгоритм обнаружения собирает данные о операциях Azure, сгруппированных пользователем, для обучения этой модели машинного обучения за 21 дней. Затем алгоритм генерирует аномалии в случае пользователей, которые выполняли последовательности операций, необычных в их рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и считает аномальными те, оценка которых превышает определенный порог.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1190 — эксплойт общедоступного приложения |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальное выполнение кода
Описание: Злоумышленники могут злоупотреблять командами и интерпретаторами скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки обеспечивают способы взаимодействия с компьютерными системами и представляют общие возможности на разных платформах.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы действий Azure |
| Тактика MITRE ATT&CK: | Выполнение |
| Методы MITRE ATT&CK: | T1059 — интерпретатор команд и скриптов |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальное создание локальной учетной записи
Описание: Этот алгоритм обнаруживает аномальное создание локальной учетной записи в системах Windows. Злоумышленники могут создавать локальные учетные записи для сохранения доступа к целевым системам. Этот алгоритм анализирует действия пользователей по созданию локальных учетных записей за предыдущие 14 дней. Он ищет аналогичную активность в текущий день от пользователей, для которых ранее не были замечены действия. Вы можете настроить список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Сохраняемость |
| Методы MITRE ATT&CK: | T1136 — создание учетной записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Аномальные действия пользователей в Office Exchange
Описание: Эта модель машинного обучения группирует журналы Office Exchange на основе каждого пользователя в почасовые контейнеры. Мы определяем один час как сеанс. Модель обучается на поведении всех обычных (не администраторов) пользователей за предыдущие 7 дней. Это указывает на аномальные сеансы пользователей Office Exchange за последний день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журнал действий Office (Exchange) |
| Тактика MITRE ATT&CK: | Сохраняемость Коллекция |
| Методы MITRE ATT&CK: |
Коллекция: T1114 — коллекция электронной почты T1213 — данные из репозиториев сведений Упорство: T1098 — операции с учетной записью T1136 — создание учетной записи T1137 — запуск приложения Office T1505 — компонент программного обеспечения сервера |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора на компьютере
Описание: Этот алгоритм обнаруживает необычно высокий объем неудачных попыток входа (идентификатор события безопасности 4625) на компьютер за прошлый день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя
Описание: Этот алгоритм обнаруживает необычно высокий объем неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись пользователя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя на тип попытки входа
Описание: Этот алгоритм обнаруживает необычно высокий объем неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись пользователя на тип входа за прошлый день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Попытка подбора учетной записи пользователя на причину сбоя
Описание: Этот алгоритм обнаруживает необычно высокий объем неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись пользователя по причине сбоя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Доступ к четным данным |
| Методы MITRE ATT&CK: | T1110 — метод перебора |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Обнаружение поведения сгенерированного сетевого маяка на компьютере
Описание: Этот алгоритм определяет шаблоны маяка из журналов подключения к сетевому трафику на основе повторяющихся шаблонов разностного времени. Любое сетевое подключение к ненадежным общедоступным сетям с повторяющимися дельтами времени является признаком обратных вызовов вредоносного ПО или попыток кражи данных. Алгоритм вычисляет дельту времени между последовательными сетевыми подключениями между одним и тем же IP-адресом источника и IP-адресом назначения, а также количество подключений в последовательности дельты времени между одними и теми же источниками и назначениями. Процент отправки маяков рассчитывается как количество подключений в последовательности дельты времени по отношению к общему количеству подключений за день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN) |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1071 — протокол прикладного уровня T1132 — кодировка данных T1001 — обфускация данных T1568 — динамическое разрешение T1573 — зашифрованный канал T1008 — резервные каналы T1104 — многоэтапные каналы T1095 — протокол не прикладного уровня T1571 — нестандартный порт T1572 — туннелирование протоколов T1090 — прокси-сервер T1205 — сигнализация трафика T1102 — веб-служба |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Алгоритм создания доменов (DGA) в доменах DNS
Описание: Эта модель машинного обучения указывает на потенциальные домены DGA за последний день в журналах DNS. Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | События DNS |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Чрезмерное скачивание через Palo Alto GlobalProtect
Описание: Этот алгоритм обнаруживает необычно высокий объем загрузки для каждой учетной записи пользователя через решение Palo Alto VPN. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокое количество операций скачивания за прошедший день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Чрезмерная отправка через Palo Alto GlobalProtect
Описание: Этот алгоритм обнаруживает необычно высокий объем отправки для каждой учетной записи пользователя через решение Palo Alto VPN. Модель обучается на журналах VPN за предыдущие 14 дней. Это указывает на аномально высокий объем отправок за прошедший день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | CommonSecurityLog (PAN VPN) |
| Тактика MITRE ATT&CK: | Кража |
| Методы MITRE ATT&CK: | T1030 — ограничения размера передачи данных T1041 — кража через канал C2 T1011 — кража через другие сетевые носители T1567 — кража через веб-службу T1029 — запланированная передача T1537 — передача данных в облачную учетную запись |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Алгоритм потенциального создания доменов (DGA) для доменов DNS следующего уровня
Описание: Эта модель машинного обучения указывает на домены следующего уровня (третий и выше) доменных имен с последнего дня журналов DNS, которые являются необычными. Потенциально это может быть результатом выполнения алгоритма генерации доменов (DGA). Алгоритм применяется к записям DNS, которые разрешаются в адреса IPv4 и IPv6.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | События DNS |
| Тактика MITRE ATT&CK: | Команды и управление |
| Методы MITRE ATT&CK: | T1568 — динамическое разрешение |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество вызовов API AWS с исходного IP-адреса, отличного от IP-адреса AWS
Описание: Этот алгоритм обнаруживает необычный объем вызовов API AWS для каждой учетной записи пользователя на рабочую область из исходных IP-адресов за пределами диапазонов исходных IP-адресов AWS в течение последнего дня. Модель обучается на событиях журнала AWS CloudTrail по исходному IP-адресу за предыдущий 21 день. Это действие может указывать на то, что учетная запись пользователя скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество вызовов API записи AWS из учетной записи пользователя
Описание: Этот алгоритм обнаруживает необычный объем вызовов API записи AWS на учетную запись пользователя за последний день. Модель обучается на событиях журнала AWS CloudTrail по учетной записи пользователя за предыдущий 21 день. Это действие может указывать на то, что учетная запись скомпрометирована.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы AWS CloudTrail |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа на компьютер
Описание: Этот алгоритм обнаруживает необычно высокий объем успешных имен входа (идентификатор события безопасности 4624) на компьютер за прошлый день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа на компьютер с использованием маркера с повышенными привилегиями
Описание: Этот алгоритм обнаруживает необычно высокий объем успешных имен входа (идентификатор события безопасности 4624) с правами администратора на компьютер за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя
Описание: Этот алгоритм обнаруживает необычно высокий объем успешных имен входа (идентификатор события безопасности 4624) на учетную запись пользователя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя по типам входа
Описание: Этот алгоритм обнаруживает необычно высокий объем успешных имен входа (идентификатор события безопасности 4624) для каждой учетной записи пользователя по разным типам входа в систему за прошлый день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Подозрительное количество попыток входа в учетную запись пользователя с использованием маркера с повышенными привилегиями
Описание: Этот алгоритм обнаруживает необычно высокий объем успешных имен входа (идентификатор события безопасности 4624) с правами администратора на учетную запись пользователя за последний день. Модель обучается на журналах событий безопасности Windows за предыдущий 21 день.
| Атрибут | Значение |
|---|---|
| Тип аномалии: | Настраиваемое машинное обучение |
| Источники данных: | Журналы безопасности Windows |
| Тактика MITRE ATT&CK: | Первоначальный доступ |
| Методы MITRE ATT&CK: | T1078 — допустимые учетные записи |
Вернуться к списку аномалий на основе машинного обучения | Назад в начало
Следующие шаги
Узнайте о аномалиях, созданных машинным обучением , в Microsoft Sentinel.
Узнайте, как работать с правилами аномалий.
Исследование инцидентов с помощью Microsoft Sentinel.