Partilhar via


Anomalias detetadas pelo mecanismo de aprendizado de máquina Microsoft Sentinel

Este artigo lista as anomalias que o Microsoft Sentinel deteta usando diferentes modelos de aprendizado de máquina.

A deteção de anomalias funciona analisando o comportamento dos usuários em um ambiente durante um período de tempo e construindo uma linha de base de atividade legítima. Uma vez estabelecida a linha de base, qualquer atividade fora dos parâmetros normais é considerada anómala e, por conseguinte, suspeita.

O Microsoft Sentinel usa dois modelos diferentes para criar linhas de base e detetar anomalias.

Nota

As seguintes deteções de anomalias são descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:

  • Reputação do Domínio Anomalia Palo Alto
  • Logins multi-região em um único dia via Palo Alto GlobalProtect

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Anomalias da UEBA

O Sentinel UEBA deteta anomalias com base em linhas de base dinâmicas criadas para cada entidade através de várias entradas de dados. O comportamento de base de cada entidade é definido de acordo com suas próprias atividades históricas, as de seus pares e as da organização como um todo. As anomalias podem ser desencadeadas pela correlação de diferentes atributos, como tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.

Você deve habilitar o recurso UEBA para que anomalias UEBA sejam detetadas.

Remoção de acesso anômalo à conta

Descrição: um invasor pode interromper a disponibilidade de recursos do sistema e da rede bloqueando o acesso a contas usadas por usuários legítimos. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando suas credenciais) para remover o acesso a ela.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Impacto
Técnicas MITRE ATT&CK: T1531 - Remoção de Acesso à Conta
Atividade: Microsoft.Authorization/roleAssignments/delete
Terminar sessão

Voltar à lista | de anomalias da UEBA Voltar ao topo

Criação de Conta Anômala

Descrição: Os adversários podem criar uma conta para manter o acesso aos sistemas visados. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso credenciado secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Persistência
Técnicas MITRE ATT&CK: T1136 - Criar Conta
Sub-técnicas MITRE ATT&CK: Conta na nuvem
Atividade: Core Directory/UserManagement/Adicionar usuário

Voltar à lista | de anomalias da UEBA Voltar ao topo

Exclusão anômala de conta

Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Impacto
Técnicas MITRE ATT&CK: T1531 - Remoção de Acesso à Conta
Atividade: Core Directory/UserManagement/Excluir usuário
Core Directory/Device/Delete usuário
Core Directory/UserManagement/Excluir usuário

Voltar à lista | de anomalias da UEBA Voltar ao topo

Manipulação anômala de contas

Descrição: Os adversários podem manipular contas para manter o acesso aos sistemas de destino. Essas ações incluem a adição de novas contas a grupos altamente privilegiados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários de raio de explosão alto executando "Atualizar usuário" (alteração de nome) para função privilegiada ou aqueles que alteraram usuários pela primeira vez.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Persistência
Técnicas MITRE ATT&CK: T1098 - Manipulação de Conta
Atividade: Diretório principal/UserManagement/Usuário de atualização

Voltar à lista | de anomalias da UEBA Voltar ao topo

Execução Anômala de Código (UEBA)

Descrição: Os adversários podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Execução
Técnicas MITRE ATT&CK: T1059 - Interpretador de Comandos e Scripts
Sub-técnicas MITRE ATT&CK: PowerShell
Atividade: Microsoft.Compute/virtualMachines/runCommand/action

Voltar à lista | de anomalias da UEBA Voltar ao topo

Destruição anômala de dados

Descrição: Os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade de sistemas, serviços e recursos de rede. É provável que a destruição de dados torne os dados armazenados irrecuperáveis por técnicas forenses através da substituição de ficheiros ou dados em unidades locais e remotas.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Impacto
Técnicas MITRE ATT&CK: T1485 - Destruição de Dados
Atividade: Microsoft.Compute/disks/delete
Microsoft.Compute/galerias/imagens/excluir
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/eliminar
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Excluir
Microsoft.Devices/iotHubs/Excluir
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationContas/parceiros/excluir
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/excluir

Voltar à lista | de anomalias da UEBA Voltar ao topo

Modificação anômala do mecanismo defensivo

Descrição: Os adversários podem desativar as ferramentas de segurança para evitar a possível deteção das suas ferramentas e atividades.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Evasão de Defesa
Técnicas MITRE ATT&CK: T1562 - Defesas Prejudicadas
Sub-técnicas MITRE ATT&CK: Desativar ou modificar ferramentas
Desativar ou modificar o Cloud Firewall
Atividade: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/excluir
Microsoft.Network/ddosProtectionPlans/excluir
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Voltar à lista | de anomalias da UEBA Voltar ao topo

Falha de entrada anômala

Descrição: Adversários sem conhecimento prévio de credenciais legítimas dentro do sistema ou ambiente podem adivinhar senhas para tentar acessar contas.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de início de sessão do Microsoft Entra
Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso a credenciais
Técnicas MITRE ATT&CK: T1110 - Força Bruta
Atividade: Microsoft Entra ID: atividade de início de sessão
Segurança do Windows: Falha no login (ID do Evento 4625)

Voltar à lista | de anomalias da UEBA Voltar ao topo

Redefinição anômala de senha

Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Impacto
Técnicas MITRE ATT&CK: T1531 - Remoção de Acesso à Conta
Atividade: Redefinição de senha do Core Directory/UserManagement/User

Voltar à lista | de anomalias da UEBA Voltar ao topo

Privilégio anômalo concedido

Descrição: os adversários podem adicionar credenciais controladas por adversários para Entidades de Serviço do Azure, além das credenciais legítimas existentes para manter o acesso persistente às contas do Azure vítimas.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Persistência
Técnicas MITRE ATT&CK: T1098 - Manipulação de Conta
Sub-técnicas MITRE ATT&CK: Credenciais adicionais da entidade de serviço do Azure
Atividade: Provisionamento de conta/Gerenciamento de aplicativos/Adicionar atribuição de função de aplicativo à entidade de serviço

Voltar à lista | de anomalias da UEBA Voltar ao topo

Login anômalo

Descrição: Os adversários podem roubar as credenciais de um usuário específico ou conta de serviço usando técnicas de Acesso a Credenciais ou capturar credenciais no início de seu processo de reconhecimento por meio de engenharia social para obter Persistência.

Atributo Value
Tipo de anomalia: UEBA
Origens de Dados: Registos de início de sessão do Microsoft Entra
Logs de segurança do Windows
Táticas MITRE ATT&CK: Persistência
Técnicas MITRE ATT&CK: T1078 - Contas Válidas
Atividade: Microsoft Entra ID: atividade de início de sessão
Segurança do Windows: Login bem-sucedido (ID do Evento 4624)

Voltar à lista | de anomalias da UEBA Voltar ao topo

Anomalias baseadas em aprendizagem automática

As anomalias personalizáveis e baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar comportamentos anômalos com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças.

Sessões de início de sessão anómalas do Microsoft Entra

Descrição: O modelo de aprendizado de máquina agrupa os logs de entrada do Microsoft Entra por usuário. O modelo é treinado nos 6 dias anteriores do comportamento de entrada do usuário. Ele indica sessões anômalas de login do usuário no dia anterior.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Registos de início de sessão do Microsoft Entra
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas
T1566 - Phishing
T1133 - Serviços Remotos Externos

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Operações anômalas do Azure

Descrição: este algoritmo de deteção recolhe dados de 21 dias sobre operações do Azure agrupadas por utilizador para treinar este modelo de ML. O algoritmo então gera anomalias no caso de usuários que realizaram sequências de operações incomuns em seus espaços de trabalho. O modelo de ML treinado pontua as operações realizadas pelo usuário e considera anômalas aquelas cuja pontuação é maior do que o limiar definido.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1190 - Explorar aplicativo voltado para o público

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Execução de código anômalo

Descrição: Os atacantes podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de atividade do Azure
Táticas MITRE ATT&CK: Execução
Técnicas MITRE ATT&CK: T1059 - Interpretador de Comandos e Scripts

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Criação anômala de conta local

Descrição: Este algoritmo deteta a criação anómala de contas locais em sistemas Windows. Os atacantes podem criar contas locais para manter o acesso aos sistemas visados. Este algoritmo analisa a atividade de criação de conta local nos 14 dias anteriores pelos utilizadores. Ele procura atividade semelhante no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permissões para filtrar usuários conhecidos de acionar essa anomalia.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Persistência
Técnicas MITRE ATT&CK: T1136 - Criar Conta

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Atividade de varredura anômala

Descrição: Este algoritmo procura a atividade de varredura de portas, proveniente de um único IP de origem para um ou mais IPs de destino, que normalmente não é vista em um determinado ambiente.

O algoritmo leva em conta se o IP é público/externo ou privado/interno, e o evento é marcado de acordo. Apenas a atividade privada-para-pública ou pública-para-privada é considerada neste momento. A atividade de varredura pode indicar um invasor tentando determinar os serviços disponíveis em um ambiente que pode ser potencialmente explorado e usado para entrada ou movimento lateral. Um alto número de portas de origem e um alto número de portas de destino de um único IP de origem para um IP ou IPs de destino único ou múltiplo podem ser interessantes e indicar verificação anômala. Além disso, se houver uma alta proporção de IPs de destino para o IP de origem única, isso pode indicar verificação anômala.

Detalhes de configuração:

  • O padrão de execução do trabalho é diário, com compartimentos por hora.
    O algoritmo usa os seguintes padrões configuráveis para limitar os resultados com base em compartimentos horários.
  • Ações incluídas do dispositivo - aceitar, permitir, iniciar
  • Portas excluídas - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Contagem >de portas de destino distintas = 600
  • Contagem >de portas de origem distintas = 600
  • Contagem de portas de origem distintas dividida por porta de destino distinta, proporção convertida em porcentagem >= 99,99
  • IP de origem (sempre 1) dividido pelo IP de destino, proporção convertida em porcentagem >= 99,99
Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Táticas MITRE ATT&CK: Deteção
Técnicas MITRE ATT&CK: T1046 - Verificação de serviços de rede

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Atividades anômalas do usuário no Office Exchange

Descrição: Este modelo de aprendizado de máquina agrupa os logs do Office Exchange por usuário em buckets por hora. Definimos uma hora como uma sessão. O modelo é treinado nos últimos 7 dias de comportamento em todos os usuários regulares (não administradores). Ele indica sessões anômalas do Office Exchange no último dia.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Log de atividades do Office (Exchange)
Táticas MITRE ATT&CK: Persistência
Coleção
Técnicas MITRE ATT&CK: Recolha:
T1114 - Recolha de Email
T1213 - Dados de repositórios de informação

Persistência:
T1098 - Manipulação de Conta
T1136 - Criar Conta
T1137 - Inicialização de aplicativos do Office
T1505 - Componente de Software de Servidor

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Atividades anômalas de usuário/aplicativo nos logs de auditoria do Azure

Descrição: esse algoritmo identifica sessões anômalas de usuário/aplicativo do Azure em logs de auditoria do último dia, com base no comportamento dos 21 dias anteriores em todos os usuários e aplicativos. O algoritmo verifica se há volume suficiente de dados antes de treinar o modelo.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Registos de auditoria do Microsoft Entra
Táticas MITRE ATT&CK: Coleção
Deteção
Acesso inicial
Persistência
Escalamento de Privilégios
Técnicas MITRE ATT&CK: Recolha:
T1530 - Dados do objeto de armazenamento em nuvem

Deteção:
T1087 - Descoberta de conta
T1538 - Painel de serviços na nuvem
T1526 - Descoberta de serviços na nuvem
T1069 - Descoberta de grupos de permissão
T1518 - Descoberta de Software

Acesso inicial:
T1190 - Explorar aplicativo voltado para o público
T1078 - Contas Válidas

Persistência:
T1098 - Manipulação de Conta
T1136 - Criar Conta
T1078 - Contas Válidas

Escalamento de Privilégios:
T1484 - Modificação da Política de Domínio
T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Atividade de logs anômalos do W3CIIS

Descrição: Este algoritmo de aprendizagem automática indica sessões anómalas do IIS no último dia. Ele capturará, por exemplo, um número anormalmente alto de consultas URI distintas, agentes de usuário ou logs em uma sessão, ou de verbos HTTP específicos ou status HTTP em uma sessão. O algoritmo identifica eventos W3CIISLog incomuns dentro de uma sessão horária, agrupados por nome do site e IP do cliente. O modelo é treinado nos últimos 7 dias de atividade do IIS. O algoritmo verifica se há volume suficiente de atividade do IIS antes de treinar o modelo.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Registos W3CIIS
Táticas MITRE ATT&CK: Acesso inicial
Persistência
Técnicas MITRE ATT&CK: Acesso inicial:
T1190 - Explorar aplicativo voltado para o público

Persistência:
T1505 - Componente de Software de Servidor

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Atividade anômala de solicitação da Web

Descrição: Este algoritmo agrupa eventos W3CIISLog em sessões horárias agrupadas por nome do site e haste de URI. O modelo de aprendizado de máquina identifica sessões com números anormalmente altos de solicitações que dispararam códigos de resposta de classe 5xx no último dia. Os códigos de classe 5xx são uma indicação de que alguma instabilidade do aplicativo ou condição de erro foi acionada pela solicitação. Eles podem ser uma indicação de que um invasor está investigando o tronco de URI em busca de vulnerabilidades e problemas de configuração, executando alguma atividade de exploração, como injeção de SQL, ou aproveitando uma vulnerabilidade não corrigida. Este algoritmo utiliza 6 dias de dados para treino.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Registos W3CIIS
Táticas MITRE ATT&CK: Acesso inicial
Persistência
Técnicas MITRE ATT&CK: Acesso inicial:
T1190 - Explorar aplicativo voltado para o público

Persistência:
T1505 - Componente de Software de Servidor

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Tentativa de força bruta no computador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso a credenciais
Técnicas MITRE ATT&CK: T1110 - Força Bruta

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Tentativa de força bruta da conta de utilizador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso a credenciais
Técnicas MITRE ATT&CK: T1110 - Força Bruta

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Tentativa de força bruta da conta de usuário por tipo de login

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por tipo de início de sessão no dia anterior. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso a credenciais
Técnicas MITRE ATT&CK: T1110 - Força Bruta

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Tentativa de força bruta da conta de usuário por motivo de falha

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por motivo de falha no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso a credenciais
Técnicas MITRE ATT&CK: T1110 - Força Bruta

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Detetar o comportamento de balizamento de rede gerado pela máquina

Descrição: Este algoritmo identifica padrões de beaconing a partir de logs de conexão de tráfego de rede com base em padrões delta de tempo recorrente. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivo é uma indicação de retornos de chamada de malware ou tentativas de exfiltração de dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. A porcentagem de beaconing é calculada como as conexões na sequência tempo-delta em relação ao total de conexões em um dia.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN)
Táticas MITRE ATT&CK: Comando e Controlo
Técnicas MITRE ATT&CK: T1071 - Protocolo da camada de aplicação
T1132 - Codificação de Dados
T1001 - Ofuscação de Dados
T1568 - Resolução Dinâmica
T1573 - Canal Criptografado
T1008 - Canais de fallback
T1104 - Canais Multi-Estágio
T1095 - Protocolo de camada de não-aplicação
T1571 - Porta não padronizada
T1572 - Tunelamento de Protocolo
T1090 - Procuração
T1205 - Sinalização de Trânsito
T1102 - Serviço Web

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Algoritmo de geração de domínio (DGA) em domínios DNS

Descrição: Este modelo de aprendizagem automática indica potenciais domínios DGA do dia anterior nos registos DNS. O algoritmo aplica-se a registos DNS que resolvem para endereços IPv4 e IPv6.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Eventos DNS
Táticas MITRE ATT&CK: Comando e Controlo
Técnicas MITRE ATT&CK: T1568 - Resolução Dinâmica

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Anomalia de Reputação de Domínio Palo Alto (DESCONTINUADO)

Descrição: Este algoritmo avalia a reputação de todos os domínios vistos especificamente nos logs do firewall Palo Alto (produto PAN-OS). Uma pontuação de anomalia alta indica uma baixa reputação, sugerindo que o domínio foi observado para hospedar conteúdo malicioso ou é provável que o faça.

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Anomalia excessiva de transferência de dados

Descrição: Este algoritmo deteta uma transferência de dados excepcionalmente alta observada em logs de rede. Ele usa séries temporais para decompor os dados em componentes sazonais, de tendência e residuais para calcular a linha de base. Qualquer grande desvio súbito em relação à linha de base histórica é considerado atividade anômala.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Táticas MITRE ATT&CK: Exfiltração
Técnicas MITRE ATT&CK: T1030 - Limites de tamanho de transferência de dados
T1041 - Exfiltração pelo canal C2
T1011 - Exfiltração sobre outro meio de rede
T1567 - Exfiltração sobre Web Service
T1029 - Transferência Programada
T1537 - Transferir dados para a conta na nuvem

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Downloads excessivos via Palo Alto GlobalProtect

Descrição: Este algoritmo deteta um volume anormalmente alto de download por conta de usuário através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Indica um elevado volume anómalo de downloads no último dia.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN VPN)
Táticas MITRE ATT&CK: Exfiltração
Técnicas MITRE ATT&CK: T1030 - Limites de tamanho de transferência de dados
T1041 - Exfiltração pelo canal C2
T1011 - Exfiltração sobre outro meio de rede
T1567 - Exfiltração sobre Web Service
T1029 - Transferência Programada
T1537 - Transferir dados para a conta na nuvem

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Uploads excessivos via Palo Alto GlobalProtect

Descrição: Este algoritmo deteta um volume invulgarmente elevado de carregamento por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Isso indica um alto volume anômalo de upload no dia anterior.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN VPN)
Táticas MITRE ATT&CK: Exfiltração
Técnicas MITRE ATT&CK: T1030 - Limites de tamanho de transferência de dados
T1041 - Exfiltração pelo canal C2
T1011 - Exfiltração sobre outro meio de rede
T1567 - Exfiltração sobre Web Service
T1029 - Transferência Programada
T1537 - Transferir dados para a conta na nuvem

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Faça login a partir de uma região incomum através de logins de conta Palo Alto GlobalProtect

Descrição: Quando uma conta do Palo Alto GlobalProtect entra a partir de uma região de origem da qual raramente foi iniciada sessão nos últimos 14 dias, é desencadeada uma anomalia. Esta anomalia pode indicar que a conta foi comprometida.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN VPN)
Táticas MITRE ATT&CK: Acesso a credenciais
Acesso inicial
Movimento Lateral
Técnicas MITRE ATT&CK: T1133 - Serviços Remotos Externos

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Logins multi-região em um único dia via Palo Alto GlobalProtect (DESCONTINUADO)

Descrição: Este algoritmo deteta uma conta de utilizador que tinha início de sessão de várias regiões não adjacentes num único dia através de uma VPN de Palo Alto.

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Potencial preparo de dados

Descrição: Este algoritmo compara os downloads de arquivos distintos por usuário da semana anterior com os downloads do dia atual para cada usuário, e uma anomalia é acionada quando o número de downloads de arquivos distintos excede o número configurado de desvios padrão acima da média. Atualmente, o algoritmo analisa apenas arquivos comumente vistos durante a exfiltração de documentos, imagens, vídeos e arquivos com as extensões doc, docx, xls, xlsmonepdfpptxziprarpptxlsxjpgmp3bmpmp4e .mov

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Log de atividades do Office (Exchange)
Táticas MITRE ATT&CK: Coleção
Técnicas MITRE ATT&CK: T1074 - Dados Faseados

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível

Descrição: este modelo de aprendizado de máquina indica os domínios de próximo nível (terceiro nível e superior) dos nomes de domínio do último dia de logs DNS que são incomuns. Eles podem ser potencialmente a saída de um algoritmo de geração de domínio (DGA). A anomalia aplica-se aos registos DNS que são resolvidos para endereços IPv4 e IPv6.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Eventos DNS
Táticas MITRE ATT&CK: Comando e Controlo
Técnicas MITRE ATT&CK: T1568 - Resolução Dinâmica

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Alteração de geografia suspeita nos logins da conta Palo Alto GlobalProtect

Descrição: uma correspondência indica que um utilizador iniciou sessão remotamente a partir de um país/região diferente do país/região do último início de sessão remoto do utilizador. Essa regra também pode indicar um comprometimento da conta, especialmente se as correspondências da regra ocorrerem de perto no tempo. Isso inclui o cenário de viagens impossíveis.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN VPN)
Táticas MITRE ATT&CK: Acesso inicial
Acesso a credenciais
Técnicas MITRE ATT&CK: T1133 - Serviços Remotos Externos
T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Número suspeito de documentos protegidos acessados

Descrição: este algoritmo deteta um elevado volume de acesso a documentos protegidos nos registos da Proteção de Informações do Azure (AIP). Ele considera os registros de carga de trabalho do AIP por um determinado número de dias e determina se o usuário realizou acesso incomum a documentos protegidos em um determinado comportamento histórico.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs da Proteção de Informações do Azure
Táticas MITRE ATT&CK: Coleção
Técnicas MITRE ATT&CK: T1530 - Dados do objeto de armazenamento em nuvem
T1213 - Dados de repositórios de informação
T1005 - Dados do Sistema Local
T1039 - Dados da unidade compartilhada de rede
T1114 - Recolha de Email

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS

Descrição: esse algoritmo deteta um volume anormalmente alto de chamadas de API da AWS por conta de usuário por espaço de trabalho, a partir de endereços IP de origem fora dos intervalos de IP de origem da AWS, no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta do usuário está comprometida.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs do AWS CloudTrail
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de eventos de log do AWS CloudTrail da conta de usuário do grupo por EventTypeName

Descrição: esse algoritmo deteta um volume anormalmente alto de eventos por conta de usuário de grupo, por diferentes tipos de eventos (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), em seu log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário de grupo. Esta atividade pode indicar que a conta está comprometida.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs do AWS CloudTrail
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário

Descrição: esse algoritmo deteta um volume anormalmente alto de chamadas de API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário. Esta atividade pode indicar que a conta está comprometida.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs do AWS CloudTrail
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de tentativas de login com falha no Console AWS por cada conta de usuário do grupo

Descrição: esse algoritmo deteta um volume anormalmente alto de tentativas de login com falha no Console AWS por conta de usuário de grupo no log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário de grupo. Esta atividade pode indicar que a conta está comprometida.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs do AWS CloudTrail
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de tentativas de login com falha no Console AWS por cada endereço IP de origem

Descrição: esse algoritmo deteta um volume anormalmente alto de eventos de login com falha no Console AWS por endereço IP de origem no log do AWS CloudTrail no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Esta atividade pode indicar que o endereço IP está comprometido.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs do AWS CloudTrail
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de logins no computador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de logins no computador com token elevado

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por computador, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de logins na conta de usuário

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de logins na conta de usuário por tipos de logon

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador, por diferentes tipos de início de sessão, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Volume suspeito de logins na conta de usuário com token elevado

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por conta de utilizador, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs de segurança do Windows
Táticas MITRE ATT&CK: Acesso inicial
Técnicas MITRE ATT&CK: T1078 - Contas Válidas

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Alarme de firewall externo incomum detetado

Descrição: Este algoritmo identifica alarmes de firewall externos incomuns que são assinaturas de ameaça liberadas por um fornecedor de firewall. Ele usa as atividades dos últimos 7 dias para calcular as 10 assinaturas mais acionadas e os 10 hosts que dispararam mais assinaturas. Depois de excluir ambos os tipos de eventos ruidosos, ele aciona uma anomalia somente depois de exceder o limite para o número de assinaturas disparadas em um único dia.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN)
Táticas MITRE ATT&CK: Deteção
Comando e Controlo
Técnicas MITRE ATT&CK: Deteção:
T1046 - Verificação de serviços de rede
T1135 - Descoberta de compartilhamento de rede

Comando e Controlo:
T1071 - Protocolo da camada de aplicação
T1095 - Protocolo de camada de não-aplicação
T1571 - Porta não padronizada

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Rótulo AIP de downgrade de massa incomum

Descrição: esse algoritmo deteta um volume anormalmente alto de atividade de rótulo de downgrade nos logs da Proteção de Informações do Azure (AIP). Ele considera os registros de carga de trabalho "AIP" para um determinado número de dias e determina a sequência de atividade realizada em documentos, juntamente com o rótulo aplicado para classificar o volume incomum de atividade de downgrade.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: Logs da Proteção de Informações do Azure
Táticas MITRE ATT&CK: Coleção
Técnicas MITRE ATT&CK: T1530 - Dados do objeto de armazenamento em nuvem
T1213 - Dados de repositórios de informação
T1005 - Dados do Sistema Local
T1039 - Dados da unidade compartilhada de rede
T1114 - Recolha de Email

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Comunicação de rede incomum em portas comumente usadas

Descrição: Este algoritmo identifica comunicação de rede incomum em portas comumente usadas, comparando o tráfego diário com uma linha de base dos últimos 7 dias. Isso inclui o tráfego em portas comumente usadas (22, 53, 80, 443, 8080, 8888) e compara o tráfego diário com a média e o desvio padrão de vários atributos de tráfego de rede calculados durante o período de linha de base. Os atributos de tráfego considerados são eventos totais diários, transferência diária de dados e número de endereços IP de origem distintos por porta. Uma anomalia é desencadeada quando os valores diários são maiores do que o número configurado de desvios-padrão acima da média.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN, Zscaler, Ponto de Verificação, Fortinet)
Táticas MITRE ATT&CK: Comando e Controlo
Exfiltração
Técnicas MITRE ATT&CK: Comando e Controlo:
T1071 - Protocolo da camada de aplicação

Exfiltração:
T1030 - Limites de tamanho de transferência de dados

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Anomalia de volume de rede incomum

Descrição: Este algoritmo deteta um volume anormalmente alto de conexões em logs de rede. Ele usa séries temporais para decompor os dados em componentes sazonais, de tendência e residuais para calcular a linha de base. Qualquer grande desvio súbito em relação à linha de base histórica é considerado como atividade anómala.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Táticas MITRE ATT&CK: Exfiltração
Técnicas MITRE ATT&CK: T1030 - Limites de tamanho de transferência de dados

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Tráfego da Web incomum detetado com IP no caminho do URL

Descrição: Este algoritmo identifica solicitações da Web incomuns listando um endereço IP como o host. O algoritmo encontra todas as solicitações da Web com endereços IP no caminho da URL e as compara com a semana anterior de dados para excluir o tráfego benigno conhecido. Depois de excluir o tráfego benigno conhecido, ele dispara uma anomalia somente depois de exceder certos limites com valores configurados, como total de solicitações da Web, número de URLs vistos com o mesmo endereço IP de destino do host e número de IPs de origem distintos dentro do conjunto de URLs com o mesmo endereço IP de destino. Esse tipo de solicitação pode indicar uma tentativa de ignorar os serviços de reputação de URL para fins maliciosos.

Atributo Value
Tipo de anomalia: Aprendizagem automática personalizável
Origens de Dados: CommonSecurityLog (PAN, Zscaler, Ponto de Verificação, Fortinet)
Táticas MITRE ATT&CK: Comando e Controlo
Acesso inicial
Técnicas MITRE ATT&CK: Comando e Controlo:
T1071 - Protocolo da camada de aplicação

Acesso inicial:
T1189 - Compromisso Drive-by

Voltar à lista | de anomalias baseadas em aprendizagem automática Voltar ao topo

Próximos passos