Аномалии, обнаруженные подсистемой машинного обучения Microsoft Sentinel

Microsoft Sentinel обнаруживает аномалии, анализируя поведение пользователей в среде в течение определенного периода времени и создавая базовый план допустимой активности. После установки базового плана все действия за пределами обычных параметров считаются аномальными и, следовательно, подозрительными.

Microsoft Sentinel использует две модели для создания базовых показателей и обнаружения аномалий.

В этой статье перечислены аномалии, которые Microsoft Sentinel обнаруживает с помощью различных моделей машинного обучения.

В таблице Аномалии :

  • Столбец rulename указывает правило, Sentinel, используемое для идентификации каждой аномалии.
  • Столбец score содержит числовое значение от 0 до 1, которое подсчитывает степень отклонения от ожидаемого поведения. Более высокие оценки указывают на большее отклонение от базового плана и, скорее всего, будут истинными аномалиями. Более низкие оценки могут по-прежнему быть аномальными, но с меньшей вероятностью будут значительными или практическими.

Примечание.

Обнаружение этих аномалий прекращено с 8 марта 2026 г. из-за низкого качества результатов:

  • Алгоритм создания домена (DGA) в доменах DNS
  • Потенциальный алгоритм создания доменов (DGA) в доменах DNS следующего уровня

Сравнение аномалий на основе UEBA и машинного обучения

Аномалии на основе UEBA и машинного обучения (ML) являются взаимодополняющими подходами к обнаружению аномалий. Оба заполняют таблицу, Anomalies но служат для разных целей:

Аспект Аномалии UEBA Правила обнаружения аномалий машинного обучения
Фокус Кто ведет себя необычно Какое действие является необычным
Подход к обнаружению Базовые показатели поведения, ориентированные на сущности, сравниваются с историческими действиями, одноранговым поведением и шаблонами всей организации Настраиваемые шаблоны правил с использованием статистических моделей и моделей машинного обучения, обученных на основе определенных шаблонов данных
Базовый источник Собственный журнал, группа одноранговых узлов и организация каждой сущности Период обучения (обычно 7–21 день) для определенных типов событий
Настройка Включено или отключено с помощью параметров UEBA Настраиваемые пороговые значения и параметры с помощью пользовательского интерфейса правила аналитики
Примеры Аномальный вход, создание аномальной учетной записи, аномальное изменение привилегий Попытка подбора, чрезмерные загрузки, сетевой маяк

Дополнительные сведения см. в разделе:

Аномалии UEBA

Sentinel UEBA обнаруживает аномалии на основе динамических базовых показателей, созданных для каждой сущности в различных входных данных. Базовое поведение каждой сущности задается в соответствии с ее собственными историческими действиями, действиями ее одноранговых узлов и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое расположение, устройство, ресурс, поставщик услуг Интернета и многое другое.

Для обнаружения аномалий UEBA необходимо включить UEBA и обнаружение аномалий в рабочей области Sentinel.

UEBA обнаруживает аномалии на основе следующих правил аномалий:

Sentinel использует обогащенные данные из таблицы BehaviorAnalytics для выявления аномалий UEBA с оценкой достоверности, специфичной для клиента и источника.

Удаление аномального доступа к учетной записи UEBA

Описание: Злоумышленник может прервать доступность системных и сетевых ресурсов, заблокировав доступ к учетным записям, используемым законными пользователями. Злоумышленник может удалить, заблокировать или манипулировать учетной записью (например, изменив ее учетные данные), чтобы удалить доступ к ней.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Влияние
Методы MITRE ATT&CK: T1531 — удаление доступа к учетной записи
Деятельности: Microsoft.Authorization/roleAssignments/delete
Выход из системы

Вернуться к списку | аномалий UEBAВернуться к началу

Создание аномальной учетной записи UEBA

Описание: Злоумышленники могут создать учетную запись для поддержания доступа к целевым системам. При достаточном уровне доступа создание таких учетных записей может использоваться для создания дополнительного доступа с учетными данными без необходимости развертывания в системе постоянных средств удаленного доступа.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы аудита Microsoft Entra
ТАКТИКА MITRE ATT&CK: Сохранение
Методы MITRE ATT&CK: T1136 — создание учетной записи
MITRE ATT&подтехношения CK: Облачная учетная запись
Деятельности: Core Directory/UserManagement/Add user

Вернуться к списку | аномалий UEBAВернуться к началу

Удаление аномальной учетной записи UEBA

Описание: Злоумышленники могут прервать доступность системных и сетевых ресурсов, запретив доступ к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для удаления доступа к учетным записям.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы аудита Microsoft Entra
ТАКТИКА MITRE ATT&CK: Влияние
Методы MITRE ATT&CK: T1531 — удаление доступа к учетной записи
Деятельности: Core Directory/UserManagement/Delete user
Основной каталог, устройство или удаление пользователя
Core Directory/UserManagement/Delete user

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное управление учетной записью UEBA

Описание: Злоумышленники могут управлять учетными записями для поддержания доступа к целевым системам. Эти действия включают добавление новых учетных записей в группы с высоким уровнем привилегий. Например, Dragonfly 2.0 добавил в группу администраторов только что созданные учетные записи для поддержания повышенного доступа. Приведенный ниже запрос создает выходные данные всех пользователей Radius с высоким уровнем взрыва, выполняющих "Обновить пользователя" (изменение имени) для привилегированной роли, или пользователей, которые впервые изменили пользователей.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы аудита Microsoft Entra
ТАКТИКА MITRE ATT&CK: Сохранение
Методы MITRE ATT&CK: T1098 — обработка учетных записей
Деятельности: Пользователь Core Directory/UserManagement/Update

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальная активность UEBA в журналах аудита GCP

Описание: Неудачные попытки доступа к ресурсам Google Cloud Platform (GCP) на основе записей, связанных с IAM, в журналах аудита GCP. Эти сбои могут отражать неправильно настроенные разрешения, попытки доступа к несанкционированным службам или поведение злоумышленника на ранней стадии, например проверки привилегий или сохраняемости с помощью учетных записей служб.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Обнаружение
Методы MITRE ATT&CK: T1087 — обнаружение учетных записей, T1069 — обнаружение групп разрешений
Деятельности: iam.googleapis.com

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальная активность UEBA в Okta_CL

Описание: Непредвиденные действия проверки подлинности или изменения конфигурации, связанные с безопасностью, в Okta, включая изменения правил входа, применение многофакторной проверки подлинности (MFA) или права администратора. Такие действия могут указывать на попытки изменить элементы управления безопасностью удостоверений или сохранить доступ с помощью привилегированных изменений.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы Okta Cloud (Okta_CL и OktaV2_CL)
ТАКТИКА MITRE ATT&CK: Сохраняемость, повышение привилегий
Методы MITRE ATT&CK: T1098 — обработка учетной записи, T1556 — изменение процесса проверки подлинности
Деятельности: user.session.impersonation.grant
user.session.impersonation.initiate
user.session.start
app.oauth2.admin.consent.grant_success
app.oauth2.authorize.code_success
device.desktop_mfa.recovery_pin.generate
user.authentication.auth_via_mfa
user.mfa.attempt_bypass
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.okta_verify

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальная проверка подлинности UEBA

Описание: Необычные действия проверки подлинности между сигналами от Microsoft Defender для конечной точки и Microsoft Entra ID, включая входы устройств, входы в управляемые удостоверения и проверку подлинности субъекта-службы из Microsoft Entra ID. Эти аномалии могут предполагать неправильное использование учетных данных, злоупотребление удостоверениями, не относящемся к человеку, или попытки бокового перемещения вне типичных шаблонов доступа.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Microsoft Defender для конечной точки, Microsoft Entra ID
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи
Деятельности:

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное выполнение кода UEBA

Описание: Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки предоставляют способы взаимодействия с компьютерными системами и являются общей функцией на разных платформах.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Выполнение
Методы MITRE ATT&CK: T1059 — интерпретатор команд и сценариев
MITRE ATT&подтехношения CK: PowerShell
Деятельности: Microsoft.Compute/virtualMachines/runCommand/action

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное уничтожение данных UEBA

Описание: Злоумышленники могут уничтожать данные и файлы в определенных системах или в большом количестве в сети, чтобы прервать доступность систем, служб и сетевых ресурсов. Уничтожение данных, скорее всего, сделает сохраненные данные невосстановимыми с помощью методов судебной экспертизы путем перезаписи файлов или данных на локальных и удаленных дисках.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Влияние
Методы MITRE ATT&CK: T1485 — уничтожение данных
Деятельности: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальная передача данных UEBA из Amazon S3

Описание: Отклонения в шаблонах доступа к данным или скачивания из Amazon Simple Storage Service (S3). Аномалия определяется с помощью базовых показателей поведения для каждого пользователя, службы и ресурса, сравнивая объем передачи данных, частоту и количество объектов, к которых осуществляется доступ, с историческими нормами. Значительные отклонения, такие как массовый доступ в первый раз, извлечение необычно больших данных или действия из новых расположений или приложений, могут указывать на потенциальную кражу данных, нарушения политики или неправильное использование скомпрометированных учетных данных.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Кража данных
Методы MITRE ATT&CK: T1567 — утечка через веб-службу
Деятельности: PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload

Вернуться к списку | аномалий UEBAВернуться к началу

Изменение аномального защитного механизма UEBA

Описание: Злоумышленники могут отключить средства безопасности, чтобы избежать возможного обнаружения своих средств и действий.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Обход мер защиты
Методы MITRE ATT&CK: T1562 - Ухудшить защиту
MITRE ATT&подтехношения CK: Отключение или изменение средств
Отключение или изменение облачного брандмауэра
Деятельности: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный сбой входа в UEBA

Описание: Злоумышленники, не имеющие ранее знаний о допустимых учетных данных в системе или среде, могут угадать пароли, чтобы попытаться получить доступ к учетным записям.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы входа Microsoft Entra
журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным
Методы MITRE ATT&CK: T1110 — метод подбора
Деятельности: Microsoft Entra ID: действие входа
Безопасность Windows: сбой входа (идентификатор события 4625)

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное федеративное действие UEBA или действие удостоверений SAML в AwsCloudTrail

Описание: Необычные действия с использованием федеративных удостоверений или SAML, связанных с действиями в первый раз, незнакомыми географическими расположениями или чрезмерными вызовами API. Такие аномалии могут указывать на перехват сеанса или неправильное использование федеративных учетных данных.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Начальный доступ, сохраняемость
Методы MITRE ATT&CK: T1078 — допустимые учетные записи, T1550 — использование альтернативного материала для проверки подлинности
Деятельности: UserAuthentication (EXTERNAL_IDP)

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное изменение привилегий IAM UEBA в AwsCloudTrail

Описание: Отклонения в административном поведении управления удостоверениями и доступом (IAM), такие как создание, изменение или удаление ролей, пользователей и групп или вложение новых встроенных или управляемых политик. Они могут указывать на повышение привилегий или злоупотребление политикой.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Повышение привилегий, сохраняемость
Методы MITRE ATT&CK: T1136 — создание учетной записи, T1098 — управление учетной записью
Деятельности: Операции создания, добавления, присоединения, удаления, деактивации, вставки и обновления для iam.amazonaws.com, sso-directory.amazonaws.com

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное использование инфраструктуры UEBA в журналах аудита GCP

Описание: Необычные шаблоны операций инфраструктуры в Google Cloud Platform (GCP), определяемые путем сравнения IP-адреса пользователя, агента пользователя, поставщика услуг интернета и доступа к службам с их историческим поведением. Аномалии, такие как первый доступ к службам инфраструктуры, необычные инструменты или приложения или необычные операционные шаблоны, могут указывать на боковое перемещение, злоупотребление ресурсами или несанкционированные изменения инфраструктуры.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Обнаружение, влияние
Методы MITRE ATT&CK: T1580 — обнаружение облачной инфраструктуры, T1496 — перехват ресурсов
Деятельности: Операции без создания и вставки iamcredentials.googleapis.com, cloudresourcemanager.googleapis.com, container.googleapis.com, bigquerydatapolicy.googleapis.com, autoscaling.googleapis.com, run.googleapis.com, redis.googleapis.com, securitycenter.googleapis.com, compute.googleapis.com, storage.googleapis.com, k8s.io, cloudsql.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, appengine.googleapis.com. dns.googleapis.com

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный вход UEBA в журналах аудита GCP

Описание: Необычное действие проверки подлинности в Google Cloud Platform (GCP) обнаружено с помощью записей, связанных с входом в журналы аудита GCP. Аномалии определяются отклонениями в поведении пользователя на основе таких атрибутов, как географическое расположение, IP-адрес, поставщик услуг Интернета и агент пользователя, по сравнению с историческими шаблонами входа пользователя. Такие отклонения могут указывать на попытки несанкционированного доступа, скомпрометированные учетные данные или сценарии невозможного перемещения.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи
Деятельности: login.googleapis.com

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный вход UEBA в AwsCloudTrail

Описание: Необычные действия входа в службы Amazon Web Services (AWS) на основе событий CloudTrail, таких как ConsoleLogin и других атрибутов, связанных с проверкой подлинности. Аномалии определяются отклонениями в поведении пользователей на основе таких атрибутов, как географическое расположение, отпечаток пальца устройства, поставщик услуг Интернета и метод доступа, и могут указывать на попытки несанкционированного доступа или потенциальные нарушения политики.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи
Деятельности: ConsoleLogin

Вернуться к списку | аномалий UEBAВернуться к началу

Сбои аномальной MFA UEBA в Okta_CL

Описание: Необычные шаблоны неудачных попыток MFA в Okta. Эти аномалии могут возникать в результате неправильного использования учетных записей, заполнения учетных данных или неправильного использования механизмов доверенных устройств и часто отражают поведение злоумышленника на ранней стадии, например тестирование украденных учетных данных или проверка защиты удостоверений.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы Okta Cloud (Okta_CL и OktaV2_CL)
ТАКТИКА MITRE ATT&CK: Сохраняемость, повышение привилегий
Методы MITRE ATT&CK: T1078 — допустимые учетные записи, T1556 — изменение процесса проверки подлинности
Деятельности: app.oauth2.admin.consent.grant_success
app.oauth2.authorize.code_success
device.desktop_mfa.recovery_pin.generate
user.authentication.auth_via_mfa
user.mfa.attempt_bypass
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.okta_verify

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный сброс пароля UEBA

Описание: Злоумышленники могут прервать доступность системных и сетевых ресурсов, запретив доступ к учетным записям, используемым законными пользователями. Учетные записи могут быть удалены, заблокированы или изменены (например, изменены учетные данные) для удаления доступа к учетным записям.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы аудита Microsoft Entra
ТАКТИКА MITRE ATT&CK: Влияние
Методы MITRE ATT&CK: T1531 — удаление доступа к учетной записи
Деятельности: Core Directory/UserManagement/Сброс пароля пользователя

Вернуться к списку | аномалий UEBAВернуться к началу

Предоставлена аномальная привилегия UEBA

Описание: Злоумышленники могут добавлять управляемые злоумышленником учетные данные для Azure субъектов-служб в дополнение к существующим законным учетным данным для поддержания постоянного доступа к учетным записям жертв Azure.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы аудита Microsoft Entra
ТАКТИКА MITRE ATT&CK: Сохранение
Методы MITRE ATT&CK: T1098 — обработка учетных записей
MITRE ATT&подтехношения CK: Дополнительные учетные данные субъекта-службы Azure
Деятельности: Подготовка учетных записей,Управление приложениями/Добавление назначения роли приложения субъекту-службе

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальное привилегированное действие UEBA в журналах аудита GCP

Описание: Отклонения в административном поведении управления удостоверениями и доступом (IAM) в Google Cloud Platform (GCP), такие как первый запрос предоставляемых ролей, получение или создание учетных записей служб и их ключей или изменение политик IAM. Значительно более высокий объем привилегированных действий или действий администратора по сравнению с прошлым поведением пользователя может указывать на повышение привилегий, сохраняемость через учетные записи служб или разведку доступных разрешений.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Повышение привилегий, сохраняемость
Методы MITRE ATT&CK: T1098 — обработка учетных записей, T1078 — допустимые учетные записи
Деятельности: QueryGrantableRoles, GetServiceAccount, ListServiceAccountKeys, CreateServiceAccount, GetIAMPolicy, ListApplicablePolicies, GetPolicy, CreateServiceAccountKey и связанные с администратором операции с iam.googleapis.com, firestore.googleapis.com, bigtableadmin.googleapis.com, alloydb.googleapis.com, admin.googleapis.com

Вернуться к списку | аномалий UEBAВернуться к началу

Развертывание аномальных ресурсов UEBA в журналах аудита GCP

Описание: Необычные действия по созданию или развертыванию ресурсов в Google Cloud Platform (GCP), включая первую подготовку вычислительных экземпляров, контейнеров хранилища, кластеров Kubernetes, облачных функций или других ресурсов инфраструктуры. Значительно более высокий уровень развертывания ресурсов по сравнению с историческим поведением пользователя может указывать на несанкционированное развертывание ресурсов для майнинга, промежуточного хранения данных или создания постоянных опор в среде.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Выполнение, сохраняемость
Методы MITRE ATT&CK: T1610 — развертывание контейнера, T1578 — изменение облачной вычислительной инфраструктуры
Деятельности: Создание и вставка операций apigee.googleapis.com, appengine.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, cloudsql.googleapis.com, compute.googleapis.com, container.googleapis.com, dataproc.googleapis.com, datastore.googleapis.com, dns.googleapis.com, firestore.googleapis.com, k8s.io, osconfig.googleapis.com, run.googleapis.com, storage.googleapis.com

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный секрет UEBA или доступ к ключу KMS в AwsCloudTrail

Описание: Подозрительный доступ к aws Secrets Manager или ресурсам службы управления ключами (KMS). Первый доступ или необычно высокая частота доступа могут указывать на сбор учетных данных или попытки кражи данных.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным, коллекция
Методы MITRE ATT&CK: T1555 — учетные данные из хранилищ паролей
Деятельности: GetSecretValue
BatchGetSecretValue
ListKeys
ListSecrets
PutSecretValue
CreateSecret
UpdateSecret
DeleteSecret
Createkey
PutKeyPolicy

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный секрет UEBA или доступ к ключу KMS в журналах аудита GCP

Описание: Подозрительный доступ к Google Cloud Secret Manager или облачным ресурсам KMS. Первый доступ к хранилищу секретов, ключу или сертификату, необычные шаблоны доступа среди одноранговых узлов или значительно более высокий объем доступа по сравнению с историческим базовым показателем пользователя могут указывать на сбор учетных данных, попытки кражи данных или злоупотребление скомпрометированных учетных записей служб.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы аудита GCP
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным, коллекция
Методы MITRE ATT&CK: T1555 — учетные данные из хранилищ паролей, T1552 — незащищенные учетные данные
Деятельности: Административные операции с cloudkms.googleapis.com, secretmanager.googleapis.com (за исключением AccessSecretVersion, AsymmetricDecrypt, GetPublicKey, AsymmetricSign)

Вернуться к списку | аномалий UEBAВернуться к началу

Аномальный вход в UEBA

Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетной записи службы с помощью методов доступа к учетным данным или захватить учетные данные ранее в процессе рекогносцировки с помощью социальной инженерии для получения сохраняемости.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: журналы входа Microsoft Entra
журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Сохранение
Методы MITRE ATT&CK: T1078 — допустимые учетные записи
Деятельности: Microsoft Entra ID: действие входа
Безопасность Windows: успешный вход (идентификатор события 4624)

Вернуться к списку | аномалий UEBAВернуться к началу

UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail

Описание: Аномальное использование действий AssumeRole службы маркеров безопасности AWS (STS), особенно с привилегированными ролями или доступом между учетными записями. Отклонения от типичного использования могут указывать на повышение привилегий или компрометацию удостоверений.

Атрибут Значение
Тип аномалии: UEBA
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Повышение привилегий, уклонение от защиты
Методы MITRE ATT&CK: T1548 — механизм контроля превышения прав злоупотребления, T1078 — допустимые учетные записи
Деятельности: AssumeRole
AssumeRoleWithSAML
AssumeRoleWithWebIdentity
AssumeRoot

Вернуться к списку | аномалий UEBAВернуться к началу

Аномалии на основе машинного обучения

настраиваемые аномалии на основе машинного обучения Microsoft Sentinel могут определять аномальное поведение с помощью шаблонов правил аналитики, которые можно использовать для работы безотложно. Хотя аномалии не обязательно указывают на вредоносное или даже подозрительное поведение сами по себе, их можно использовать для улучшения обнаружения, расследования и охоты на угрозы.

Аномальные операции Azure

Описание: Этот алгоритм обнаружения собирает данные за 21 день о Azure операциях, сгруппированных по пользователям для обучения этой модели машинного обучения. Затем алгоритм создает аномалии в случае пользователей, которые выполняют последовательности операций, которые редко выполняются в своих рабочих областях. Обученная модель машинного обучения оценивает операции, выполняемые пользователем, и учитывает аномальные операции, оценка которых превышает заданное пороговое значение.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1190 — эксплойт Public-Facing приложение

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Аномальное выполнение кода

Описание: Злоумышленники могут злоупотреблять интерпретаторами команд и скриптов для выполнения команд, скриптов или двоичных файлов. Эти интерфейсы и языки предоставляют способы взаимодействия с компьютерными системами и являются общей функцией на разных платформах.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы действий Azure
ТАКТИКА MITRE ATT&CK: Выполнение
Методы MITRE ATT&CK: T1059 — интерпретатор команд и сценариев

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Создание аномальной локальной учетной записи

Описание: Этот алгоритм обнаруживает аномальное создание локальной учетной записи в системах Windows. Злоумышленники могут создавать локальные учетные записи для обеспечения доступа к целевым системам. Этот алгоритм анализирует действия по созданию локальных учетных записей за предыдущие 14 дней пользователями. Он ищет аналогичные действия в текущий день от пользователей, которые ранее не были замечены в исторических действиях. Можно указать список разрешений, чтобы отфильтровать известных пользователей от активации этой аномалии.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Сохранение
Методы MITRE ATT&CK: T1136 — создание учетной записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Аномальные действия пользователей в Office Exchange

Описание: Эта модель машинного обучения группирует журналы Office Exchange на основе каждого пользователя в почасовые контейнеры. Мы определяем один час в качестве сеанса. Модель обучается на предыдущих 7 днях поведения всех обычных (неадминистраторных) пользователей. Он указывает на аномальные сеансы Office Exchange пользователя за последний день.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: Журнал действий Office (Exchange)
ТАКТИКА MITRE ATT&CK: Сохранение
Collection
Методы MITRE ATT&CK: Коллекции:
T1114 — коллекция Email
T1213 — данные из информационных репозиториев

Сохраняемости:
T1098 — обработка учетных записей
T1136 — создание учетной записи
T1137 — запуск приложений Office
T1505 — компонент серверного программного обеспечения

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Попытка подбора компьютера

Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на компьютер за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным
Методы MITRE ATT&CK: T1110 — метод подбора

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Попытка подбора учетной записи пользователя

Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) на учетную запись пользователя за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным
Методы MITRE ATT&CK: T1110 — метод подбора

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Попытка подбора учетной записи пользователя для каждого типа входа

Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) для каждой учетной записи пользователя на тип входа за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным
Методы MITRE ATT&CK: T1110 — метод подбора

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Попытка подбора учетной записи пользователя для каждой причины сбоя

Описание: Этот алгоритм обнаруживает необычно большое количество неудачных попыток входа (идентификатор события безопасности 4625) для каждой учетной записи пользователя по причине сбоя за последний день. Модель обучается на предыдущих 21 днях журналов событий безопасности Windows.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Доступ к учетным данным
Методы MITRE ATT&CK: T1110 — метод подбора

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Обнаружение поведения сетевого маяка, созданного компьютером

Описание: Этот алгоритм определяет закономерности маяка из журналов подключений к сетевому трафику на основе повторяющихся шаблонов разностности времени. Любое сетевое подключение к ненадежным общедоступным сетям при повторяющихся разностях времени указывает на обратные вызовы вредоносных программ или попытки кражи данных. Алгоритм вычисляет разницу времени между последовательными сетевыми подключениями между тем же исходным и целевым IP-адресами, а также количество подключений в разностной последовательности времени между теми же источниками и назначениями. Процент маяка вычисляется как соединения в разностной последовательности времени и общего числа подключений за день.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: CommonSecurityLog (PAN)
ТАКТИКА MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1071 — протокол прикладного уровня
T1132 — кодировка данных
T1001 — запутывание данных
T1568 — динамическое разрешение
T1573 — зашифрованный канал
T1008 — резервные каналы
T1104 — многоэтапные каналы
T1095 — протокол уровня, не относящееся к приложению
T1571 — порт, отличный от Standard
T1572 — туннелирование протоколов
T1090 — прокси-сервер
T1205 — светофорная сигнализация
T1102 — веб-служба

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Алгоритм создания домена (DGA) в доменах DNS

Описание: Эта модель машинного обучения указывает на потенциальные домены DGA за последний день в журналах DNS. Алгоритм применяется к записям DNS, которые разрешаются в адресаХ IPv4 и IPv6.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: События DNS
ТАКТИКА MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1568 — динамическое разрешение

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Чрезмерные загрузки через Palo Alto GlobalProtect

Описание: Этот алгоритм обнаруживает необычно большой объем загрузки для каждой учетной записи пользователя с помощью решения Palo Alto VPN. Модель обучена на предыдущих 14 днях журналов VPN. Это указывает на аномальный большой объем загрузок за последний день.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: CommonSecurityLog (PAN VPN)
ТАКТИКА MITRE ATT&CK: Кража данных
Методы MITRE ATT&CK: T1030 — ограничения размера передачи данных
T1041 — утечка по каналу C2
T1011 — утечка по другим сетевым средам
T1567 — утечка через веб-службу
T1029 — запланированная передача
T1537 — передача данных в облачную учетную запись

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Чрезмерное количество загрузок через Palo Alto GlobalProtect

Описание: Этот алгоритм обнаруживает необычно большой объем отправки для каждой учетной записи пользователя с помощью решения Palo Alto VPN. Модель обучена на предыдущих 14 днях журналов VPN. Он указывает на аномальный большой объем отправки за последний день.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: CommonSecurityLog (PAN VPN)
ТАКТИКА MITRE ATT&CK: Кража данных
Методы MITRE ATT&CK: T1030 — ограничения размера передачи данных
T1041 — утечка по каналу C2
T1011 — утечка по другим сетевым средам
T1567 — утечка через веб-службу
T1029 — запланированная передача
T1537 — передача данных в облачную учетную запись

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Потенциальный алгоритм создания доменов (DGA) в доменах DNS следующего уровня

Описание: Эта модель машинного обучения указывает домены следующего уровня (третий уровень и выше) доменных имен за последний день журналов DNS, которые являются необычными. Потенциально они могут быть выходными данными алгоритма создания домена (DGA). Аномалия применяется к записям DNS, разрешающим адреса IPv4 и IPv6.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: События DNS
ТАКТИКА MITRE ATT&CK: Команды и управление
Методы MITRE ATT&CK: T1568 — динамическое разрешение

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем вызовов API AWS с исходного IP-адреса, отличного от AWS

Описание: Этот алгоритм обнаруживает необычно большой объем вызовов API AWS для каждой учетной записи пользователя на рабочую область с исходных IP-адресов за пределами исходных диапазонов IP-адресов AWS в течение последнего дня. Модель обучается на событиях журнала AWS CloudTrail за предыдущий 21 день по исходному IP-адресу. Это действие может означать, что учетная запись пользователя скомпрометирована.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем вызовов API записи AWS из учетной записи пользователя

Описание: Этот алгоритм обнаруживает необычно большой объем вызовов API записи AWS для каждой учетной записи пользователя за последний день. Модель обучается на событиях журнала AWS CloudTrail за предыдущий 21 день по учетной записи пользователя. Это действие может указывать на компрометацию учетной записи.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: Журналы AWS CloudTrail
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем входов на компьютер

Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) на компьютер за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем имен входа на компьютер с маркером с повышенными привилегиями

Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с правами администратора на компьютер за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем входов в учетную запись пользователя

Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) для каждой учетной записи пользователя за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем входов в учетную запись пользователя по типам входа

Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) для каждой учетной записи пользователя по разным типам входа за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Подозрительный объем входов в учетную запись пользователя с маркером с повышенными привилегиями

Описание: Этот алгоритм обнаруживает необычно большое количество успешных попыток входа (идентификатор события безопасности 4624) с правами администратора для каждой учетной записи пользователя за последний день. Модель обучается на предыдущих 21 днях Безопасность Windows журналов событий.

Атрибут Значение
Тип аномалии: Настраиваемое машинное обучение
Источники данных: журналы Безопасность Windows
ТАКТИКА MITRE ATT&CK: Исходный доступ
Методы MITRE ATT&CK: T1078 — допустимые учетные записи

Вернуться к списку аномалий на основе машинного обучения | Вернуться к началу

Дальнейшие действия