Microsoft Sentinel makine öğrenmesi altyapısı tarafından algılanan anomaliler
Bu makalede, Microsoft Sentinel'in farklı makine öğrenmesi modellerini kullanarak algılayan anomaliler listelenir.
Anomali algılama, belirli bir süre boyunca bir ortamdaki kullanıcıların davranışını analiz ederek ve meşru etkinliğin temelini oluşturarak çalışır. Temel oluşturulduktan sonra, normal parametrelerin dışındaki tüm etkinlikler anormal ve dolayısıyla şüpheli olarak kabul edilir.
Microsoft Sentinel, taban çizgileri oluşturmak ve anomalileri algılamak için iki farklı model kullanır.
Not
Aşağıdaki anomali algılamaları, düşük sonuç kalitesi nedeniyle 26 Mart 2024'te sona erer:
- Etki Alanı Saygınlığı Palo Alto anomalisi
- Palo Alto GlobalProtect aracılığıyla tek bir günde çok bölgeli oturum açma işlemleri
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
UEBA anomalileri
Sentinel UEBA, çeşitli veri girişlerinde her varlık için oluşturulan dinamik taban çizgilerini temel alan anomalileri algılar. Her varlığın temel davranışı kendi geçmiş etkinliklerine, eşlerinin ve kuruluşun bütün olarak sahip olduğu etkinliklere göre ayarlanır. Anomaliler eylem türü, coğrafi konum, cihaz, kaynak, ISS ve daha fazlası gibi farklı özniteliklerin bağıntısı ile tetiklenebilir.
UEBA anomalilerinin algılanması için UEBA özelliğini etkinleştirmeniz gerekir.
- Anormal Hesap Erişimini Kaldırma
- Anormal Hesap Oluşturma
- Anormal Hesap Silme
- Anormal Hesap Düzenleme
- Anormal Kod Yürütme (UEBA)
- Anormal Veri Yok Etme
- Anormal Savunma Mekanizması Değişikliği
- Anormal Başarısız Oturum Açma
- Anormal Parola Sıfırlama
- Anormal Ayrıcalık Verildi
- Anormal Oturum Açma
Anormal Hesap Erişimini Kaldırma
Açıklama: Saldırgan, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Saldırgan, erişimi kaldırmak için hesabı silebilir, kilitler veya değiştirebilir (örneğin, kimlik bilgilerini değiştirerek).
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Etki |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Etkinlik: | Microsoft.Authorization/roleAssignments/delete Oturumu Kapat |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Hesap Oluşturma
Açıklama: Saldırganlar, hedeflenen sistemlere erişimi korumak için bir hesap oluşturabilir. Yeterli erişim düzeyiyle, bu tür hesaplar oluşturmak, sistemde kalıcı uzaktan erişim araçlarının dağıtılması gerekmeden ikincil kimlik bilgilerine erişim oluşturmak için kullanılabilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Kalıcılık |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
| MITRE ATT&CK alt teknikleri: | Bulut Hesabı |
| Etkinlik: | Çekirdek Dizin/UserManagement/Kullanıcı ekle |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Hesap Silme
Açıklama: Saldırganlar, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Etki |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Etkinlik: | Core Directory/UserManagement/Delete user Çekirdek Dizin/Cihaz/Kullanıcı silme Core Directory/UserManagement/Delete user |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Hesap Düzenleme
Açıklama: Saldırganlar hesapları işleyip hedef sistemlere erişimi koruyabilir. Bu eylemler, yüksek ayrıcalıklı gruplara yeni hesaplar eklemeyi içerir. Örneğin Dragonfly 2.0, yükseltilmiş erişimi korumak için yöneticiler grubuna yeni oluşturulan hesaplar eklendi. Aşağıdaki sorgu, ayrıcalıklı role "Kullanıcıyı güncelleştir" (ad değişikliği) gerçekleştiren tüm high-Blast Radius kullanıcılarının veya kullanıcıları ilk kez değiştiren kullanıcıların çıkışını oluşturur.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Kalıcılık |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| Etkinlik: | Core Directory/UserManagement/Update user |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Kod Yürütme (UEBA)
Açıklama: Saldırganlar komutları, betikleri veya ikili dosyaları yürütmek için komut ve betik yorumlayıcılarını kötüye kullanılabilir. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Yürütme |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
| MITRE ATT&CK alt teknikleri: | PowerShell |
| Etkinlik: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Veri Yok Etme
Açıklama: Saldırganlar, sistemler, hizmetler ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratmak için belirli sistemlerdeki veya ağdaki çok sayıdaki verileri ve dosyaları yok edebilir. Verilerin yok edilmesi, yerel ve uzak sürücülerdeki dosyaların veya verilerin üzerine yazılması yoluyla adli tekniklerle depolanan verileri geri alınamaz hale getirir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Etki |
| MITRE ATT&CK teknikleri: | T1485 - Veri Yok Etme |
| Etkinlik: | Microsoft.Compute/disks/delete Microsoft.Compute/galeriler/görüntüler/silme Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Savunma Mekanizması Değişikliği
Açıklama: Saldırganlar, araçlarının ve etkinliklerinin olası algılanmasından kaçınmak için güvenlik araçlarını devre dışı bırakabilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Savunma Kaçamak |
| MITRE ATT&CK teknikleri: | T1562 - Zayıf Savunmalar |
| MITRE ATT&CK alt teknikleri: | Araçları Devre Dışı Bırakma veya Değiştirme Bulut Güvenlik Duvarı'nı devre dışı bırakma veya değiştirme |
| Etkinlik: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallİlkeler/silme Microsoft.Network/azurefirewalls/delete |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Başarısız Oturum Açma
Açıklama: Sistem veya ortamda yasal kimlik bilgileri hakkında önceden bilgi sahibi olmayan saldırganlar hesaplara erişim girişiminde bulunmak için parolaları tahmin edebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
| Etkinlik: | Microsoft Entra Id: Oturum açma etkinliği Windows Güvenliği: Başarısız oturum açma (Olay Kimliği 4625) |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Parola Sıfırlama
Açıklama: Saldırganlar, geçerli kullanıcılar tarafından kullanılan hesaplara erişimi engelleyerek sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratabilir. Hesaplara erişimi kaldırmak için hesaplar silinebilir, kilitlenebilir veya değiştirilebilir (örneğin, değiştirilen kimlik bilgileri).
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Etki |
| MITRE ATT&CK teknikleri: | T1531 - Hesap Erişimini Kaldırma |
| Etkinlik: | Çekirdek Dizin/UserManagement/Kullanıcı parolası sıfırlama |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Ayrıcalık Verildi
Açıklama: Saldırganlar, kurban Azure hesaplarına kalıcı erişimi sürdürmek için mevcut yasal kimlik bilgilerine ek olarak Azure Hizmet Sorumluları için saldırgan denetimli kimlik bilgileri ekleyebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Kalıcılık |
| MITRE ATT&CK teknikleri: | T1098 - Hesap Düzenleme |
| MITRE ATT&CK alt teknikleri: | Ek Azure Hizmet Sorumlusu Kimlik Bilgileri |
| Etkinlik: | Hesap sağlama/Uygulama Yönetimi/Hizmet sorumlusuna uygulama rolü ataması ekleme |
UEBA anomalileri listesine | geri dön Başa dön
Anormal Oturum Açma
Açıklama: Saldırganlar, Kimlik Bilgisi Erişimi tekniklerini kullanarak belirli bir kullanıcının veya hizmet hesabının kimlik bilgilerini çalabilir veya kalıcılık kazanmanın bir yolu için sosyal mühendislik aracılığıyla keşif sürecinde kimlik bilgilerini yakalayabilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | UEBA |
| Veri kaynakları: | Microsoft Entra oturum açma günlükleri günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kalıcılık |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
| Etkinlik: | Microsoft Entra Id: Oturum açma etkinliği Windows Güvenliği: Başarılı oturum açma (Olay Kimliği 4624) |
UEBA anomalileri listesine | geri dön Başa dön
Makine öğrenmesi tabanlı anomaliler
Microsoft Sentinel'in özelleştirilebilir, makine öğrenmesi tabanlı anomalileri, kullanıma hazır hale getirilebilen analiz kuralı şablonlarıyla anormal davranışları tanımlayabilir. Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmese de algılamaları, araştırmaları ve tehdit avcılığını geliştirmek için kullanılabilir.
- Anormal Microsoft Entra oturum açma oturumları
- Anormal Azure işlemleri
- Anormal Kod Yürütme
- Anormal yerel hesap oluşturma
- Anormal tarama etkinliği
- Office Exchange'de anormal kullanıcı etkinlikleri
- Azure denetim günlüklerindeki anormal kullanıcı/uygulama etkinlikleri
- Anormal W3CIIS günlükleri etkinliği
- Anormal web isteği etkinliği
- Bilgisayar deneme yanılma girişimi
- Deneme kullanıcı hesabı deneme yanılma girişimi
- Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
- Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
- Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
- DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
- Etki Alanı Saygınlığı Palo Alto anomalisi (SÜREKSİ SONA ERDİ)
- Aşırı veri aktarımı anomalisi
- Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
- Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
- Palo Alto GlobalProtect hesabı oturum açma bilgileri aracılığıyla olağan dışı bir bölgeden oturum açın
- Palo Alto GlobalProtect aracılığıyla tek bir günde çok bölgeli oturum açma işlemleri (SÜREKLİ)
- Olası veri hazırlama
- Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
- Palo Alto GlobalProtect hesabı oturum açmalarında şüpheli coğrafya değişikliği
- Erişilen şüpheli korumalı belge sayısı
- AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
- EventTypeName'e göre grup kullanıcı hesabının AWS CloudTrail günlük olaylarının şüpheli hacmi
- Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
- Her grup kullanıcı hesabı tarafından AWS Konsolu'nda başarısız oturum açma girişimlerinin şüpheli hacmi
- Her kaynak IP adresi tarafından AWS Konsolu'na yapılan şüpheli miktarda başarısız oturum açma girişimi
- Bilgisayarda şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
- Kullanıcı hesabında şüpheli oturum açma hacmi
- Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
- Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
- Olağan dışı dış güvenlik duvarı alarmı algılandı
- AIP etiketinin olağan dışı toplu olarak düşürülme
- Yaygın olarak kullanılan bağlantı noktalarında olağan dışı ağ iletişimi
- Olağan dışı ağ hacmi anomalisi
- URL yolunda IP ile olağan dışı web trafiği algılandı
Anormal Microsoft Entra oturum açma oturumları
Açıklama: Makine öğrenmesi modeli, Microsoft Entra oturum açma günlüklerini kullanıcı bazında gruplandırır. Model, önceki 6 günlük kullanıcı oturum açma davranışına göre eğitilir. Son gün içindeki anormal kullanıcı oturum açma oturumlarını gösterir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Microsoft Entra oturum açma günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar T1566 - Kimlik Avı T1133 - Dış Uzak Hizmetler |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal Azure işlemleri
Açıklama: Bu algılama algoritması, bu ML modelini eğitmek için kullanıcıya göre gruplandırılmış Azure işlemlerinde 21 günlük verileri toplar. Daha sonra algoritma, çalışma alanlarında sık rastlanmayan işlem dizileri gerçekleştiren kullanıcılar söz konusu olduğunda anomaliler oluşturur. Eğitilen ML modeli, kullanıcı tarafından gerçekleştirilen işlemleri puanlar ve puanı tanımlı eşikten büyük olanları anormal olarak değerlendirir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal Kod Yürütme
Açıklama: Saldırganlar komutları, betikleri veya ikili dosyaları yürütmek için komut ve betik yorumlayıcılarını kötüye kullanabilecektir. Bu arabirimler ve diller, bilgisayar sistemleriyle etkileşim kurmanın yollarını sağlar ve birçok farklı platformda ortak bir özelliktir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Etkinlik günlükleri |
| MITRE ATT&CK taktikleri: | Yürütme |
| MITRE ATT&CK teknikleri: | T1059 - Komut ve Betik Yorumlayıcısı |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal yerel hesap oluşturma
Açıklama: Bu algoritma, Windows sistemlerinde anormal yerel hesap oluşturmayı algılar. Saldırganlar, hedeflenen sistemlere erişimi korumak için yerel hesaplar oluşturabilir. Bu algoritma, kullanıcılar tarafından önceki 14 gün içinde yerel hesap oluşturma etkinliğini analiz eder. Daha önce geçmiş etkinlikte görünmeyen kullanıcılardan gelen benzer etkinlikleri geçerli günde arar. Bilinen kullanıcıların bu anomaliyi tetikledikten sonra filtrelenmesi için bir izin verilenler listesi belirtebilirsiniz.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kalıcılık |
| MITRE ATT&CK teknikleri: | T1136 - Hesap Oluştur |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal tarama etkinliği
Açıklama: Bu algoritma, tek bir kaynak IP'den bir veya daha fazla hedef IP'ye gelen ve normalde belirli bir ortamda görünmeyen bağlantı noktası tarama etkinliğini arar.
Algoritma, IP'nin genel/dış mı yoksa özel/iç mi olduğunu dikkate alır ve olay buna göre işaretlenir. Şu anda yalnızca özelden genele veya genelden özele etkinlik kabul edilir. Tarama etkinliği, bir saldırganın bir ortamdaki kullanılabilir hizmetlerden yararlanma olasılığı olan ve giriş veya yanal hareket için kullanılabilecek hizmetleri belirlemeye çalıştığına işaret edebilir. Tek bir kaynak IP'den tek veya birden çok hedef IP'ye çok sayıda kaynak bağlantı noktası ve çok sayıda hedef bağlantı noktası ilginç olabilir ve anormal taramayı gösterebilir. Ayrıca, hedef IP'lerin tek kaynak IP'ye oranı yüksekse, bu anormal taramayı gösterebilir.
Yapılandırma ayrıntıları:
- İş çalıştırma varsayılanı, saatlik bölmelerle günlük olarak çalıştırılır.
Algoritma, sonuçları saatlik bölmelere göre sınırlamak için aşağıdaki yapılandırılabilir varsayılanları kullanır. - Dahil edilen cihaz eylemleri - kabul et, izin ver, başlat
- Dışlanan bağlantı noktaları - 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
- Ayrı hedef bağlantı noktası sayısı >= 600
- Ayrı kaynak bağlantı noktası sayısı >= 600
- Ayrı kaynak bağlantı noktası sayısı ayrı hedef bağlantı noktasına bölünür, oran yüzde >= 99,99'a dönüştürülür
- Kaynak IP (her zaman 1) hedef IP'ye bölünür, oran yüzde >= 99,99'a dönüştürülür
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK taktikleri: | Bulma |
| MITRE ATT&CK teknikleri: | T1046 - Ağ Hizmeti Tarama |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Office Exchange'de anormal kullanıcı etkinlikleri
Açıklama: Bu makine öğrenmesi modeli, Office Exchange günlüklerini kullanıcı başına saatlik demetler halinde gruplandırır. Bir saati oturum olarak tanımlarız. Model, tüm normal (yönetici olmayan) kullanıcılar arasında önceki 7 günlük davranışa göre eğitilir. Son gün içindeki anormal kullanıcı Office Exchange oturumlarını gösterir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Office Etkinlik günlüğü (Exchange) |
| MITRE ATT&CK taktikleri: | Kalıcılık Koleksiyon |
| MITRE ATT&CK teknikleri: | Koleksiyon: T1114 - E-posta Koleksiyonu T1213 - Bilgi Depolarından Alınan Veriler Devamlılık: T1098 - Hesap Düzenleme T1136 - Hesap Oluştur T1137 - Office Uygulaması Başlatma T1505 - Sunucu Yazılımı Bileşeni |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Azure denetim günlüklerindeki anormal kullanıcı/uygulama etkinlikleri
Açıklama: Bu algoritma, tüm kullanıcılar ve uygulamalar genelinde önceki 21 günün davranışına bağlı olarak son günün denetim günlüklerindeki anormal kullanıcı/uygulama Azure oturumlarını tanımlar. Algoritma, modeli eğitmeden önce yeterli veri hacmini denetler.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Microsoft Entra denetim günlükleri |
| MITRE ATT&CK taktikleri: | Koleksiyon Bulma İlk Erişim Kalıcılık Ayrıcalık Yükseltme |
| MITRE ATT&CK teknikleri: | Koleksiyon: T1530 - Bulut Depolama Nesnesinden Veriler Keşif: T1087 - Hesap Bulma T1538 - Bulut Hizmeti Panosu T1526 - Bulut Hizmeti Bulma T1069 - İzin Grupları Bulma T1518 - Yazılım Bulma İlk Erişim: T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma T1078 - Geçerli Hesaplar Devamlılık: T1098 - Hesap Düzenleme T1136 - Hesap Oluştur T1078 - Geçerli Hesaplar Ayrıcalık Yükseltme: T1484 - Etki Alanı İlkesi Değişikliği T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal W3CIIS günlükleri etkinliği
Açıklama: Bu makine öğrenmesi algoritması, son gün içindeki anormal IIS oturumlarını gösterir. Örneğin, olağan dışı olarak yüksek sayıda farklı URI sorgusu, kullanıcı aracısı veya oturumdaki günlükleri ya da bir oturumdaki belirli HTTP fiillerini veya HTTP durumlarını yakalar. Algoritma, site adı ve istemci IP'sine göre gruplandırılmış saatlik bir oturum içinde olağan dışı W3CIISLog olaylarını tanımlar. Model, IIS etkinliğinin son 7 günü üzerinde eğitilir. Algoritma, modeli eğitmeden önce yeterli miktarda IIS etkinliğini denetler.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | W3CIIS günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim Kalıcılık |
| MITRE ATT&CK teknikleri: | İlk Erişim: T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma Devamlılık: T1505 - Sunucu Yazılımı Bileşeni |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Anormal web isteği etkinliği
Açıklama: Bu algoritma, W3CIISLog olaylarını site adı ve URI köküne göre gruplandırılmış saatlik oturumlar halinde gruplandırıyor. Makine öğrenmesi modeli, son gün içinde 5xx sınıfı yanıt kodlarını tetikleyen olağan dışı sayıda istek içeren oturumları tanımlar. 5xx sınıfı kodlar, istek tarafından bazı uygulama kararlılığının veya hata koşulunun tetiklendiğinin bir göstergesidir. Bir saldırganın güvenlik açıkları ve yapılandırma sorunları için URI sapını yoklaması, SQL ekleme gibi bazı açıklardan yararlanma etkinlikleri gerçekleştirmesi veya düzeltme eki kaldırılmamış bir güvenlik açığından yararlanması gibi bir gösterge olabilir. Bu algoritma, eğitim için 6 günlük verileri kullanır.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | W3CIIS günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim Kalıcılık |
| MITRE ATT&CK teknikleri: | İlk Erişim: T1190 - Genel Kullanıma Yönelik Uygulamadan Yararlanma Devamlılık: T1505 - Sunucu Yazılımı Bileşeni |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Bilgisayar deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde bilgisayar başına olağan dışı derecede yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Deneme kullanıcı hesabı deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına olağan dışı derecede yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Oturum açma türü başına deneme kullanıcı hesabı deneme yanılma girişimi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına her oturum açma türü için olağan dışı derecede yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Hata başına deneme kullanıcı hesabı deneme yanılma nedeni
Açıklama: Bu algoritma, son bir gün içindeki hata nedeniyle kullanıcı hesabı başına olağan dışı düzeyde yüksek miktarda başarısız oturum açma girişimi (güvenlik olayı kimliği 4625) algılar. Model, windows güvenlik olay günlüklerinin son 21 gününde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1110 - Deneme Yanılma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Makine tarafından oluşturulan ağ işaretleyici davranışını algılama
Açıklama: Bu algoritma, yinelenen zaman değişim desenlerine göre ağ trafiği bağlantı günlüklerindeki işaret desenlerini tanımlar. Tekrarlanan delta zamanlarında güvenilmeyen genel ağlara yönelik herhangi bir ağ bağlantısı, kötü amaçlı yazılım geri çağırmalarının veya veri sızdırma girişimlerinin göstergesidir. Algoritma, aynı kaynak IP ile hedef IP arasındaki ardışık ağ bağlantıları arasındaki zaman farkını ve aynı kaynaklar ve hedefler arasındaki bir zaman aralığı dizisindeki bağlantı sayısını hesaplar. İşaretleme yüzdesi, bir gün içindeki toplam bağlantılara karşı zaman değişim dizisindeki bağlantılar olarak hesaplanır.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1071 - Uygulama Katmanı Protokolü T1132 - Veri Kodlama T1001 - Veri Gizleme T1568 - Dinamik Çözünürlük T1573 - Şifrelenmiş Kanal T1008 - Geri Dönüş Kanalları T1104 - Çok Aşamalı Kanallar T1095 - Uygulama Dışı Katman Protokolü T1571 - Standart Olmayan Bağlantı Noktası T1572 - Protokol Tüneli T1090 - Ara Sunucu T1205 - Trafik Sinyali T1102 - Web Hizmeti |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
DNS etki alanlarında etki alanı oluşturma algoritması (DGA)
Açıklama: Bu makine öğrenmesi modeli, DNS günlüklerinde geçmiş güne ait olası DGA etki alanlarını gösterir. Algoritma, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | DNS Olayları |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Etki Alanı Saygınlığı Palo Alto anomalisi (SÜREKSİ SONA ERDİ)
Açıklama: Bu algoritma özellikle Palo Alto güvenlik duvarı (PAN-OS ürünü) günlüklerinde görülen tüm etki alanlarının itibarını değerlendirir. Yüksek bir anomali puanı düşük bir üne işaret eder ve etki alanının kötü amaçlı içeriği barındırdığını veya bunu yapma olasılığının yüksek olduğunu gösterir.
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Aşırı veri aktarımı anomalisi
Açıklama: Bu algoritma, ağ günlüklerinde gözlemlenen olağan dışı yüksek veri aktarımını algılar. Zaman serisini kullanarak verileri mevsimsel, eğilim ve artık bileşenlere ayırarak temeli hesaplar. Geçmiş taban çizgisinden herhangi bir ani büyük sapma anormal etkinlik olarak kabul edilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK taktikleri: | Sızdırma |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Palo Alto GlobalProtect aracılığıyla Aşırı İndirme
Açıklama: Bu algoritma, Palo Alto VPN çözümü aracılığıyla kullanıcı hesabı başına olağan dışı yüksek miktarda indirme algılar. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içindeki anormal yüksek miktarda indirmeyi gösterir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Sızdırma |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Palo Alto GlobalProtect aracılığıyla aşırı yüklemeler
Açıklama: Bu algoritma, Palo Alto VPN çözümü aracılığıyla kullanıcı hesabı başına olağan dışı yüksek miktarda karşıya yükleme algılar. Model, VPN günlüklerinin önceki 14 gününde eğitilir. Son bir gün içinde anormal yüksek hacimli karşıya yükleme olduğunu gösterir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Sızdırma |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları T1041 - C2 Kanalı Üzerinden Sızdırma T1011 - Diğer Ağ Ortamı Üzerinden Sızdırma T1567 - Web Hizmeti Üzerinden Sızdırma T1029 - Zamanlanmış Aktarım T1537 - Bulut Hesabına Veri Aktarma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Palo Alto GlobalProtect hesabı oturum açma bilgileri aracılığıyla olağan dışı bir bölgeden oturum açın
Açıklama: Palo Alto GlobalProtect hesabı son 14 gün içinde nadiren oturum açmış bir kaynak bölgeden oturum açtığında bir anomali tetikleniyor. Bu anomali hesabın gizliliğinin ihlal edildiğini gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | Kimlik Bilgisi Erişimi İlk Erişim Yan Hareket |
| MITRE ATT&CK teknikleri: | T1133 - Dış Uzak Hizmetler |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Palo Alto GlobalProtect aracılığıyla tek bir günde çok bölgeli oturum açma işlemleri (SÜREKLİ)
Açıklama: Bu algoritma, Palo Alto VPN aracılığıyla tek bir günde birden çok bitişik olmayan bölgeden oturum açan bir kullanıcı hesabını algılar.
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Olası veri hazırlama
Açıklama: Bu algoritma, önceki haftadan itibaren kullanıcı başına ayrı dosyaların indirilmelerini her kullanıcının geçerli gününe ait indirmelerle karşılaştırır ve farklı dosyaların indirilmesi sayısı ortalamanın üzerinde yapılandırılan standart sapma sayısını aştığında bir anomali tetiklenir. Şu anda algoritma yalnızca , ve uzantılı belgelerin, görüntülerinmp3rarziponejpgmp4bmppdfpptxlsmpptx, videoların ve movarşivlerin sızdırması sırasında görülen dosyaları analiz eder.docdocxxlsxlsx
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Office Etkinlik günlüğü (Exchange) |
| MITRE ATT&CK taktikleri: | Koleksiyon |
| MITRE ATT&CK teknikleri: | T1074 - Hazırlanan Veri |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Üst düzey DNS Etki Alanlarında olası etki alanı oluşturma algoritması (DGA)
Açıklama: Bu makine öğrenmesi modeli, DNS günlüklerinin son günündeki etki alanı adlarının olağan dışı olan bir üst düzey etki alanını (üçüncü düzey ve yukarı) gösterir. Bunlar potansiyel olarak bir etki alanı oluşturma algoritmasının (DGA) çıkışı olabilir. Anomali, IPv4 ve IPv6 adreslerine çözümleyen DNS kayıtları için geçerlidir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | DNS Olayları |
| MITRE ATT&CK taktikleri: | Komut ve Denetim |
| MITRE ATT&CK teknikleri: | T1568 - Dinamik Çözünürlük |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Palo Alto GlobalProtect hesabı oturum açmalarında şüpheli coğrafya değişikliği
Açıklama: Eşleşme, kullanıcının son uzaktan oturum açma işleminin ülkesi/bölgesinden farklı bir ülkeden/bölgeden uzaktan oturum açtığını gösterir. Bu kural, özellikle de kural eşleşmelerinin zamanında yakın bir şekilde gerçekleştiği durumlarda hesap güvenliğinin aşılmasına da işaret edebilir. Bu, imkansız seyahat senaryolarını içerir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK taktikleri: | İlk Erişim Kimlik Bilgisi Erişimi |
| MITRE ATT&CK teknikleri: | T1133 - Dış Uzak Hizmetler T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Erişilen şüpheli korumalı belge sayısı
Açıklama: Bu algoritma, Azure Information Protection (AIP) günlüklerindeki korumalı belgelere yüksek hacimli erişimi algılar. Belirli sayıda gün için AIP iş yükü kayıtlarını dikkate alır ve kullanıcının geçmişe dönük davranış verilen bir günde korumalı belgelere olağan dışı erişim gerçekleştirip gerçekleştirmediğini belirler.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Information Protection günlükleri |
| MITRE ATT&CK taktikleri: | Koleksiyon |
| MITRE ATT&CK teknikleri: | T1530 - Bulut Depolama Nesnesinden Veriler T1213 - Bilgi Depolarından Alınan Veriler T1005 - Yerel Sistemden Veriler T1039 - Ağ Paylaşılan Sürücüsündeki Veriler T1114 - E-posta Koleksiyonu |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
AWS dışı kaynak IP adresinden yapılan şüpheli AWS API çağrıları hacmi
Açıklama: Bu algoritma, son gün içinde AWS'nin kaynak IP aralıkları dışındaki kaynak IP adreslerinden çalışma alanı başına kullanıcı hesabı başına olağan dışı yüksek hacimli AWS API çağrıları algılar. Model, AWS CloudTrail günlük olaylarının son 21 gününde kaynak IP adresine göre eğitilir. Bu etkinlik, kullanıcı hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
EventTypeName'e göre grup kullanıcı hesabının AWS CloudTrail günlük olaylarının şüpheli hacmi
Açıklama: Bu algoritma, son gün içinde AWS CloudTrail günlüğünüzde farklı olay türlerine (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) göre grup kullanıcı hesabı başına olağan dışı derecede yüksek hacimli olayları algılar. Model, grup kullanıcı hesabına göre AWS CloudTrail günlük olaylarının son 21 gününde eğitilir. Bu etkinlik hesabın gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Kullanıcı hesabından yapılan şüpheli AWS yazma API çağrıları hacmi
Açıklama: Bu algoritma, son gün içinde kullanıcı hesabı başına olağan dışı yüksek hacimli AWS yazma API'leri çağrılarını algılar. Model, kullanıcı hesabına göre AWS CloudTrail günlük olaylarının son 21 gününde eğitilir. Bu etkinlik hesabın gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Her grup kullanıcı hesabı tarafından AWS Konsolu'nda başarısız oturum açma girişimlerinin şüpheli hacmi
Açıklama: Bu algoritma, son gün içinde AWS CloudTrail günlüğünüzde grup başına AWS Konsolu kullanıcı hesabı için olağan dışı düzeyde yüksek miktarda başarısız oturum açma girişimi algılar. Model, grup kullanıcı hesabına göre AWS CloudTrail günlük olaylarının son 21 gününde eğitilir. Bu etkinlik hesabın gizliliğinin ihlal edilmiş olduğunu gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Her kaynak IP adresi tarafından AWS Konsolu'na yapılan şüpheli miktarda başarısız oturum açma girişimi
Açıklama: Bu algoritma, aws CloudTrail günlüğünüzde son gün içinde kaynak IP adresi başına AWS Konsolu'nda olağan dışı derecede yüksek miktarda başarısız oturum açma olayı algılar. Model, AWS CloudTrail günlük olaylarının son 21 gününde kaynak IP adresine göre eğitilir. Bu etkinlik IP adresinin tehlikede olduğunu gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | AWS CloudTrail günlükleri |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Bilgisayarda şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde bilgisayar başına olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Yükseltilmiş belirteci olan bilgisayarda şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son gün içinde bilgisayar başına yönetim ayrıcalıklarına sahip olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Oturum açma türlerine göre kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son bir gün içinde kullanıcı hesabı başına farklı oturum açma türlerine göre olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Yükseltilmiş belirteci olan kullanıcı hesabında şüpheli oturum açma hacmi
Açıklama: Bu algoritma, son gün içinde kullanıcı hesabı başına yönetim ayrıcalıklarına sahip olağan dışı derecede yüksek miktarda başarılı oturum açma (güvenlik olayı kimliği 4624) algılar. Model, önceki 21 günlük Windows Güvenliği olay günlüklerinde eğitilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | günlükleri Windows Güvenliği |
| MITRE ATT&CK taktikleri: | İlk Erişim |
| MITRE ATT&CK teknikleri: | T1078 - Geçerli Hesaplar |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Olağan dışı dış güvenlik duvarı alarmı algılandı
Açıklama: Bu algoritma, bir güvenlik duvarı satıcısı tarafından yayımlanan tehdit imzaları olan olağan dışı dış güvenlik duvarı alarmlarını tanımlar. En çok tetiklenen 10 imzayı ve en çok imzayı tetikleyen 10 ana bilgisayar hesaplamak için son 7 günün etkinliklerini kullanır. Her iki gürültülü olay türünü de dışladıktan sonra, yalnızca tek bir günde tetiklenen imza sayısı eşiğini aştıktan sonra bir anomali tetikler.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN) |
| MITRE ATT&CK taktikleri: | Bulma Komut ve Denetim |
| MITRE ATT&CK teknikleri: | Keşif: T1046 - Ağ Hizmeti Tarama T1135 - Ağ Paylaşımı Bulma Komut ve Denetim: T1071 - Uygulama Katmanı Protokolü T1095 - Uygulama Dışı Katman Protokolü T1571 - Standart Olmayan Bağlantı Noktası |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
AIP etiketinin olağan dışı toplu olarak düşürülme
Açıklama: Bu algoritma, Azure Information Protection (AIP) günlüklerinde olağan dışı yüksek hacimli düşük sürüme düşürme etiketi etkinliğini algılar. Belirli sayıda gün için "AIP" iş yükü kayıtlarını dikkate alır ve olağan dışı sürüm düşürme etkinliği hacmini sınıflandırmak için uygulanan etiketle birlikte belgeler üzerinde gerçekleştirilen etkinlik sırasını belirler.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | Azure Information Protection günlükleri |
| MITRE ATT&CK taktikleri: | Koleksiyon |
| MITRE ATT&CK teknikleri: | T1530 - Bulut Depolama Nesnesinden Veriler T1213 - Bilgi Depolarından Alınan Veriler T1005 - Yerel Sistemden Veriler T1039 - Ağ Paylaşılan Sürücüsündeki Veriler T1114 - E-posta Koleksiyonu |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Yaygın olarak kullanılan bağlantı noktalarında olağan dışı ağ iletişimi
Açıklama: Bu algoritma, yaygın olarak kullanılan bağlantı noktalarındaki olağan dışı ağ iletişimini tanımlar ve günlük trafiği önceki 7 günün temeli ile karşılaştırmaktadır. Bu, yaygın olarak kullanılan bağlantı noktalarındaki trafiği (22, 53, 80, 443, 8080, 8888) içerir ve günlük trafiği temel dönem boyunca hesaplanan birkaç ağ trafiği özniteliğinin ortalama ve standart sapmasıyla karşılaştırır. Kabul edilen trafik öznitelikleri günlük toplam olaylar, günlük veri aktarımı ve bağlantı noktası başına ayrı kaynak IP adreslerinin sayısıdır. Günlük değerler, ortalamanın üzerinde yapılandırılan standart sapma sayısından büyük olduğunda bir anomali tetiklenir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK taktikleri: | Komut ve Denetim Sızdırma |
| MITRE ATT&CK teknikleri: | Komut ve Denetim: T1071 - Uygulama Katmanı Protokolü Sızdırma: T1030 - Veri Aktarımı Boyut Sınırları |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Olağan dışı ağ hacmi anomalisi
Açıklama: Bu algoritma, ağ günlüklerindeki olağan dışı yüksek hacimli bağlantıları algılar. Zaman serisini kullanarak verileri mevsimsel, eğilim ve artık bileşenlere ayırarak temeli hesaplar. Geçmiş taban çizgisinden herhangi bir ani büyük sapma anormal etkinlik olarak kabul edilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet) |
| MITRE ATT&CK taktikleri: | Sızdırma |
| MITRE ATT&CK teknikleri: | T1030 - Veri Aktarımı Boyut Sınırları |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
URL yolunda IP ile olağan dışı web trafiği algılandı
Açıklama: Bu algoritma, bir IP adresini ana bilgisayar olarak listeleyen olağan dışı web isteklerini tanımlar. Algoritma, URL yolunda IP adresleri olan tüm web isteklerini bulur ve bilinen zararsız trafiği dışlamak için bunları önceki veri haftasıyla karşılaştırır. Bilinen zararsız trafiği dışladıktan sonra, yalnızca toplam web istekleri, aynı ana bilgisayar hedef IP adresiyle görülen URL sayısı ve aynı hedef IP adresine sahip URL kümesi içindeki ayrı kaynak IP sayısı gibi yapılandırılmış değerlerle belirli eşikleri aştıktan sonra bir anomali tetikler. Bu tür bir istek, URL saygınlık hizmetlerini kötü amaçlı olarak atlama girişimini gösterebilir.
| Öznitelik | Değer |
|---|---|
| Anomali türü: | Özelleştirilebilir makine öğrenmesi |
| Veri kaynakları: | CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet) |
| MITRE ATT&CK taktikleri: | Komut ve Denetim İlk Erişim |
| MITRE ATT&CK teknikleri: | Komut ve Denetim: T1071 - Uygulama Katmanı Protokolü İlk Erişim: T1189 - Sürüş Güvenliğinin Aşılmasına Yol Açma |
Makine öğrenmesi tabanlı anomaliler listesine | geri dön Başa dön
Sonraki adımlar
Microsoft Sentinel'de makine öğrenmesi tarafından oluşturulan anomaliler hakkında bilgi edinin.
Anomali kurallarıyla çalışmayı öğrenin.
Microsoft Sentinel ile olayları araştırma.