Von der Microsoft Sentinel Machine Learning-Engine erkannte Anomalien

Microsoft Sentinel erkennt Anomalien, indem das Verhalten von Benutzern in einer Umgebung über einen bestimmten Zeitraum analysiert und eine Basis für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.

Microsoft Sentinel verwendet zwei Modelle, um Basispläne zu erstellen und Anomalien zu erkennen.

• UEBA-Anomalien
• Machine Learning-basierte Anomalien

In diesem Artikel werden die Anomalien aufgeführt, die Von Microsoft Sentinel mithilfe verschiedener Machine Learning-Modelle erkannt werden.

In der Tabelle "Anomalien" :

• Die rulename Spalte gibt die Regel Sentinel an, die verwendet wird, um jede Anomalie zu identifizieren.
• Die score Spalte enthält einen numerischen Wert zwischen 0 und 1, der den Grad der Abweichung vom erwarteten Verhalten quantifiziert. Höhere Bewertungen deuten auf eine größere Abweichung von der Basislinie hin und sind wahrscheinlicher, dass es sich um echte Anomalien handelt. Niedrigere Bewertungen sind möglicherweise immer noch anomalien, sind aber weniger wahrscheinlich signifikant oder umsetzbar.

UEBA-Anomalien

Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.

Sie müssen UEBA und Anomalieerkennung in Ihrem Sentinel-Arbeitsbereich aktivieren , um UEBA-Anomalien zu erkennen.

UEBA erkennt Anomalien basierend auf diesen Anomalieregeln:

• Entfernen des UEBA-Anomalen Kontozugriffs
• UEBA Anomale Kontoerstellung
• UEBA Anomale Kontolöschung
• UEBA Anomale Kontomanipulation
• UEBA Anomale Aktivität in GCP-Überwachungsprotokollen (Vorschau)
• UEBA-Anomale Aktivität in Okta_CL (Vorschau)
• UEBA Anomale Authentifizierung (Vorschau)
• UEBA Anomale Codeausführung
• UEBA Anomale Datenvernichtung
• UEBA Anomalous Data Transfer from Amazon S3 (Vorschau)
• UEBA Anomale Defensivmechanismusänderung
• UEBA Anomalous Fehlgeschlagene Anmeldung
• UEBA Anomalous Federated- oder SAML Identity Activity in AwsCloudTrail (Vorschau)
• UEBA Anomalous IAM Privilege Modification in AwsCloudTrail (Vorschau)
• UEBA Anomalous-Anmeldung in AwsCloudTrail (Vorschau)
• UEBA Anomale MFA-Fehler in Okta_CL (Vorschau)
• UEBA Anomale Kennwortzurücksetzung
• UEBA-Anomale Berechtigungen gewährt
• UEBA Anomalous Secret oder KMS Key Access in AwsCloudTrail (Vorschau)
• UEBA-Anomale Anmeldung
• UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail (Vorschau)

Sentinel verwendet angereicherte Daten aus der BehaviorAnalytics-Tabelle, um UEBA-Anomalien mit einer Für Ihren Mandanten und Ihrer Quelle spezifischen Konfidenzbewertung zu identifizieren.

Entfernen des UEBA-Anomalen Kontozugriffs

Beschreibung: Ein Angreifer kann die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem der Zugriff auf Konten blockiert wird, die von legitimen Benutzern verwendet werden. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), damit nicht mehr darauf zugegriffen werden kann.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Kontoerstellung

Beschreibung: Angreifer können ein Konto erstellen, um den Zugriff auf gezielte Systeme aufrechtzuerhalten. Auf der entsprechenden Zugriffsebene kann durch die Erstellung dieser Konten der Zugriff auf sekundäre Konten hergestellt werden, ohne dass auf dem System Tools für den Remotezugriff dauerhaft bereitgestellt werden müssen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Kontolöschung

Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern genutzt werden, behindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Kontomanipulation

Beschreibung: Angreifer können Konten manipulieren, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 hat beispielsweise neu erstellte Konten zu Administratorengruppen hinzugefügt, um erhöhte Zugriffsrechte aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Aktivität in GCP-Überwachungsprotokollen (Vorschau)

Beschreibung: Fehlgeschlagene Zugriffsversuche auf GCP-Ressourcen (Google Cloud Platform), basierend auf IAM-bezogenen Einträgen in GCP-Überwachungsprotokollen. Diese Fehler können falsch konfigurierte Berechtigungen, Versuche, auf nicht autorisierte Dienste zuzugreifen, oder Verhaltensweisen von Angreifern in der frühen Phase widerspiegeln, z. B. Berechtigungsverstöße oder Persistenz über Dienstkonten.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA-Anomale Aktivität in Okta_CL (Vorschau)

Beschreibung: Unerwartete Authentifizierungsaktivitäten oder sicherheitsbezogene Konfigurationsänderungen in Okta, einschließlich Änderungen an Anmelderegeln, mehrstufigeR Authentifizierung (MFA) oder Administratorrechten. Diese Aktivität kann auf Versuche hinweisen, Identitätssicherheitskontrollen zu ändern oder den Zugriff durch privilegierte Änderungen aufrechtzuerhalten.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Authentifizierung (Vorschau)

Beschreibung: Ungewöhnliche Authentifizierungsaktivitäten über Signale von Microsoft Defender für Endpunkt und Microsoft Entra-ID hinweg, einschließlich Geräteanmeldungen, verwalteten Identitätsanmeldungen und Dienstprinzipalauthentifizierungen von Microsoft Entra ID. Diese Anomalien können Missbrauch von Anmeldeinformationen, nicht menschliche Identitätsmissbrauch oder Lateralbewegungsversuche außerhalb typischer Zugriffsmuster vorschlagen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Codeausführung

Beschreibung: Angreifer können Befehle und Skriptdolmetscher missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Datenvernichtung

Beschreibung: Angreifer können Daten und Dateien auf bestimmten Systemen oder in großen Zahlen in einem Netzwerk zerstören, um die Verfügbarkeit von Systemen, Diensten und Netzwerkressourcen zu unterbrechen. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous Data Transfer from Amazon S3 (Vorschau)

Beschreibung: Abweichungen beim Datenzugriff oder Downloadmustern von Amazon Simple Storage Service (S3). Die Anomalie wird mithilfe von Verhaltensbasiswerten für jeden Benutzer, Dienst und jede Ressource bestimmt, wobei die Anzahl der Datenübertragungen, häufigkeit und der Zugriff auf Objekte anhand historischer Normen verglichen werden. Signifikante Abweichungen – z. B. der erstmalige Massenzugriff, ungewöhnlich große Datenabrufe oder Aktivitäten von neuen Standorten oder Anwendungen – können auf potenzielle Datenexfiltration, Richtlinienverstöße oder Missbrauch kompromittierter Anmeldeinformationen hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Defensivmechanismusänderung

Beschreibung: Angreifer können Sicherheitstools deaktivieren, um eine mögliche Erkennung ihrer Tools und Aktivitäten zu vermeiden.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous Fehlgeschlagene Anmeldung

Beschreibung: Angreifer ohne vorherige Kenntnis legitimer Anmeldeinformationen innerhalb des Systems oder der Umgebung erraten möglicherweise Kennwörter, um den Zugriff auf Konten zu versuchen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous Federated- oder SAML Identity Activity in AwsCloudTrail (Vorschau)

Beschreibung: Ungewöhnliche Aktivitäten durch Verbund- oder SAML-basierte Identitäten (Security Assertion Markup Language) mit erstmaligen Aktionen, unbekannten geografischen Standorten oder übermäßigen API-Aufrufen. Solche Anomalien können auf Session Hijacking oder Missbrauch von Verbundanmeldeinformationen hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous IAM Privilege Modification in AwsCloudTrail (Vorschau)

Beschreibung: Abweichungen im administrativen Verhalten der Identitäts- und Zugriffsverwaltung (IAM), z. B. das erstmalige Erstellen, Ändern oder Löschen von Rollen, Benutzern und Gruppen oder die Anlage neuer Inline- oder verwalteter Richtlinien. Dies kann auf die Eskalation von Berechtigungen oder auf Richtlinienmissbrauch hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous-Anmeldung in AwsCloudTrail (Vorschau)

Beschreibung: Ungewöhnliche Anmeldeaktivitäten in Amazon Web Services (AWS)-Diensten basierend auf CloudTrail-Ereignissen wie ConsoleLogin und anderen Authentifizierungsattributen. Anomalien werden anhand von Abweichungen im Benutzerverhalten basierend auf Attributen wie Geolocation, Gerätefingerabdrücke, ISP und Zugriffsmethode bestimmt und können auf nicht autorisierte Zugriffsversuche oder potenzielle Richtlinienverstöße hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale MFA-Fehler in Okta_CL (Vorschau)

Beschreibung: Ungewöhnliche Muster fehlgeschlagener MFA-Versuche in Okta. Diese Anomalien können sich aus Kontomissbrauch, Credential Stuffing oder unsachgemäßer Verwendung von vertrauenswürdigen Gerätemechanismen ergeben und häufig widrige Verhaltensweisen in der frühen Phase widerspiegeln, z. B. das Testen gestohlener Anmeldeinformationen oder die Sicherheitsvorkehrungen für Identitäten.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomale Kennwortzurücksetzung

Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern genutzt werden, behindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA-Anomale Berechtigungen gewährt

Beschreibung: Angreifer können angreifergesteuerte Anmeldeinformationen für Azure-Dienstprinzipale zusätzlich zu vorhandenen legitimen Anmeldeinformationen hinzufügen, um beständigen Zugriff auf Azure-Konten zu erhalten.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous Secret oder KMS Key Access in AwsCloudTrail (Vorschau)

Beschreibung: Verdächtiger Zugriff auf AWS Secrets Manager oder KMS-Ressourcen (Key Management Service). Der erstmalige Zugriff oder ungewöhnlich hohe Zugriffshäufigkeit kann auf das Sammeln von Anmeldeinformationen oder Datenexfiltrationsversuche hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA-Anomale Anmeldung

Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzer- oder Dienstkontos mithilfe von Anmeldeinformationszugriffstechniken stehlen oder Anmeldeinformationen früher in ihrem Aufklärungsprozess durch Social Engineering erfassen, um Persistenz zu erlangen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

UEBA Anomalous STS AssumeRole Behavior in AwsCloudTrail (Vorschau)

Beschreibung: Anomale Verwendung von AWS Security Token Service (STS) AssumeRole-Aktionen, insbesondere im Zusammenhang mit privilegierten Rollen oder kontoübergreifendem Zugriff. Abweichungen von der typischen Verwendung können auf eine Berechtigungseskalation oder Identitätskompromittierung hinweisen.

Zurück zur UEBA-Anomalieliste | Zurück zum Anfang

Machine Learning-basierte Anomalien

Die auf Machine Learning basierenden anpassbaren Anomalien von Microsoft Sentinel können anomales Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.

• Anomale Azure-Vorgänge
• Anomale Codeausführung
• Anomale lokale Kontoerstellung
• Anomale Benutzeraktivitäten in Office Exchange
• Versuchter Computer brute force
• Versuch eines Brute-Force-Benutzerkontos
• Versuchter Benutzerkonto-Brute-Force pro Anmeldetyp
• Versuchter Benutzerkonto-Brute-Force pro Fehlergrund
• Erkennen des vom Computer generierten Netzwerkbeaconsverhaltens
• Domänengenerierungsalgorithmus (DGA) für DNS-Domänen
• Übermäßige Downloads über Palo Alto GlobalProtect
• Übermäßige Uploads über Palo Alto GlobalProtect
• Potenzieller Domänengenerierungsalgorithmus (DGA) für DNS-Domänen der nächsten Ebene
• Verdächtiges Volumen von AWS-API-Aufrufen aus nicht-AWS-Quell-IP-Adresse
• Verdächtiges Volumen von AWS-API-Schreibaufrufen aus einem Benutzerkonto
• Verdächtiges Volumen von Anmeldungen auf dem Computer
• Verdächtiges Volumen von Anmeldungen am Computer mit erhöhten Token
• Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto
• Verdächtige Anzahl von Anmeldungen bei Benutzerkonten nach Anmeldetypen
• Verdächtiges Volumen von Anmeldungen bei Einem Benutzerkonto mit erhöhten Rechten

Anomale Azure-Vorgänge

Beschreibung: Dieser Erkennungsalgorithmus sammelt 21 Tage Daten zu Azure-Vorgängen, die vom Benutzer gruppiert sind, um dieses ML-Modell zu trainieren. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.

Zurück zur Liste | Zurück zum Anfang

Anomale Codeausführung

Beschreibung: Angreifer können Befehle und Skriptdolmetscher missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

Zurück zur Liste | Zurück zum Anfang

Anomale lokale Kontoerstellung

Beschreibung: Dieser Algorithmus erkennt anomale lokale Kontoerstellung auf Windows-Systemen. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.

Zurück zur Liste | Zurück zum Anfang

Anomale Benutzeraktivitäten in Office Exchange

Beschreibung: Dieses Machine Learning-Modell gruppiert die Office Exchange-Protokolle pro Benutzer in stündliche Buckets. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Office Exchange-Sitzungen mit anomalen Benutzern werden am letzten Tag angegeben.

Zurück zur Liste | Zurück zum Anfang

Versuchter Computer Brute-Force

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force

Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Anmeldetyp

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Anmeldetyp am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Fehlergrund

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto pro Fehlergrund im letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen

Beschreibung: Dieser Algorithmus identifiziert Beaconing-Muster aus Netzwerkdatenverkehrsverbindungsprotokollen basierend auf wiederkehrenden Delta-Mustern. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.

Zurück zur Liste | Zurück zum Anfang

Domänengenerierungsalgorithmus (DGA) für DNS-Domänen

Beschreibung: Dieses Machine Learning-Modell gibt potenzielle DGA-Domänen aus dem letzten Tag in den DNS-Protokollen an. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

Zurück zur Liste | Zurück zum Anfang

Übermäßige Downloads über Palo Alto GlobalProtect

Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Downloadmenge pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.

Zurück zur Liste | Zurück zum Anfang

Übermäßige Uploads über Palo Alto GlobalProtect

Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Uploadmenge pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.

Zurück zur Liste | Zurück zum Anfang

Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene

Beschreibung: Dieses Machine Learning-Modell gibt die Domänen der nächsten Ebene (third-level and up) der Domänennamen aus dem letzten Tag der DNS-Protokolle an, die ungewöhnlich sind. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-API-Aufrufen pro Benutzerkonto pro Arbeitsbereich, von Quell-IP-Adressen außerhalb der QUELL-IP-Bereiche von AWS innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto

Beschreibung: Dieser Algorithmus erkennt innerhalb des letzten Tages ein ungewöhnlich hohes Volumen von AWS-Schreib-API-Aufrufen pro Benutzerkonto. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen auf dem Computer

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Computer über den letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen bei Benutzerkonto

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto, durch verschiedene Anmeldetypen, während des letzten Tages. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen erfolgreicher Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorrechten pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

Zurück zur Liste | Zurück zum Anfang

Nächste Schritte

• Erfahren Sie mehr über machine learning-generierte Anomalien in Microsoft Sentinel.

• Erfahren Sie, wie Sie mit Anomalieregeln arbeiten.

• Untersuchen sie Vorfälle mit Microsoft Sentinel.