Anomalías detectadas por el motor de aprendizaje automático de Microsoft Sentinel

Microsoft Sentinel detecta anomalías mediante el análisis del comportamiento de los usuarios en un entorno durante un período de tiempo y la construcción de una línea base de actividad legítima. Una vez establecida la línea base, cualquier actividad fuera de los parámetros normales se considera anómala y, por tanto, sospechosa.

Microsoft Sentinel usa dos modelos para crear líneas base y detectar anomalías.

• Anomalías de UEBA
• Anomalías basadas en aprendizaje automático

En este artículo se enumeran las anomalías que Microsoft Sentinel detecta mediante varios modelos de aprendizaje automático.

En la tabla Anomalías :

• La rulename columna indica la regla Sentinel que se usa para identificar cada anomalía.
• La score columna contiene un valor numérico entre 0 y 1, que cuantifica el grado de desviación del comportamiento esperado. Las puntuaciones más altas indican una mayor desviación de la línea base y son más probables que sean anomalías verdaderas. Las puntuaciones más bajas pueden seguir siendo anómalas, pero es menos probable que sean significativas o accionables.

Anomalías de UEBA

Sentinel UEBA detecta anomalías basadas en líneas base dinámicas creadas para cada entidad en distintas entradas de datos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.

Debe habilitar UEBA y la detección de anomalías en el área de trabajo de Sentinel para detectar anomalías de UEBA.

UEBA detecta anomalías basadas en estas reglas de anomalías:

• Eliminación de acceso a cuentas anómalas de UEBA
• Creación de cuentas anómalas de UEBA
• Eliminación anómala de la cuenta UEBA
• Manipulación anómala de cuentas UEBA
• Actividad anómala de UEBA en registros de auditoría de GCP (versión preliminar)
• Actividad anómala de UEBA en Okta_CL (versión preliminar)
• Autenticación anómala de UEBA (versión preliminar)
• Ejecución de código anómalo de UEBA
• Destrucción anómala de datos UEBA
• Transferencia de datos anómalas de UEBA desde Amazon S3 (versión preliminar)
• Modificación anómala del mecanismo defensivo UEBA
• Inicio de sesión anómalo de UEBA
• Actividad anómala de UEBA federada o de identidad de SAML en AwsCloudTrail (versión preliminar)
• Modificación anómala de privilegios de IAM de UEBA en AwsCloudTrail (versión preliminar)
• Inicio de sesión anómalo de UEBA en AwsCloudTrail (versión preliminar)
• Errores anómalos de MFA de UEBA en Okta_CL (versión preliminar)
• Restablecimiento de contraseña anómalo de UEBA
• Privilegio anómalo de UEBA concedido
• Acceso anómalo a secreto o clave KMS de UEBA en AwsCloudTrail (versión preliminar)
• Inicio de sesión anómalo de UEBA
• Comportamiento anómalo de STS de UEBA assumeRole en AwsCloudTrail (versión preliminar)

Sentinel usa datos enriquecidos de la tabla BehaviorAnalytics para identificar anomalías de UEBA con una puntuación de confianza específica del inquilino y el origen.

Eliminación de acceso a cuentas anómalas de UEBA

Descripción: Un atacante puede interrumpir la disponibilidad de los recursos del sistema y de la red bloqueando el acceso a las cuentas usadas por los usuarios legítimos. El atacante puede eliminar, bloquear o manipular una cuenta (por ejemplo, cambiando sus credenciales) para quitar el acceso a ella.

Volver a la lista | de anomalías de UEBAVolver a arriba

Creación de cuentas anómalas de UEBA

Descripción: Los adversarios pueden crear una cuenta para mantener el acceso a los sistemas de destino. Con un nivel de acceso suficiente, la creación de estas cuentas se puede usar para establecer el acceso con credenciales secundarias sin necesidad de implementar herramientas de acceso remoto persistentes en el sistema.

Volver a la lista | de anomalías de UEBAVolver a arriba

Eliminación anómala de la cuenta UEBA

Descripción: Los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Manipulación anómala de cuentas UEBA

Descripción: Los adversarios pueden manipular cuentas para mantener el acceso a los sistemas de destino. Estas acciones incluyen agregar nuevas cuentas a grupos con privilegios elevados. Dragonfly 2.0, por ejemplo, se agregaron cuentas recién creadas al grupo de administradores para mantener el acceso elevado. La consulta siguiente genera una salida de todos los usuarios de High-Blast Radius que realizan "Actualizar usuario" (cambio de nombre) al rol con privilegios o a los que cambiaron los usuarios por primera vez.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de UEBA en registros de auditoría de GCP (versión preliminar)

Descripción: Error en los intentos de acceso a los recursos de Google Cloud Platform (GCP) en función de las entradas relacionadas con IAM en los registros de auditoría de GCP. Estos errores pueden reflejar permisos mal configurados, intentos de acceder a servicios no autorizados o comportamientos de atacantes en fase temprana, como sondeos de privilegios o persistencia a través de cuentas de servicio.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de UEBA en Okta_CL (versión preliminar)

Descripción: Cambios inesperados en la actividad de autenticación o en la configuración relacionada con la seguridad en Okta, incluidas las modificaciones en las reglas de inicio de sesión, el cumplimiento de la autenticación multifactor (MFA) o los privilegios administrativos. Esta actividad podría indicar intentos de modificar controles de seguridad de identidad o mantener el acceso a través de cambios con privilegios.

Volver a la lista | de anomalías de UEBAVolver a arriba

Autenticación anómala de UEBA (versión preliminar)

Descripción: Actividad de autenticación inusual entre señales de Microsoft Defender para punto de conexión e id. de Microsoft Entra, incluidos los inicios de sesión de dispositivo, los inicios de sesión de identidad administrada y las autenticaciones de entidad de servicio de Microsoft Entra ID. Estas anomalías pueden sugerir el uso indebido de credenciales, el abuso de identidad no humana o los intentos de movimiento lateral fuera de los patrones de acceso típicos.

Volver a la lista | de anomalías de UEBAVolver a arriba

Ejecución de código anómalo de UEBA

Descripción: Los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Volver a la lista | de anomalías de UEBAVolver a arriba

Destrucción anómala de datos UEBA

Descripción: Los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes números en una red para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Es probable que la destrucción de datos represente los datos almacenados irrecuperables por técnicas forenses mediante la sobrescritura de archivos o datos en unidades locales y remotas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Transferencia de datos anómalas de UEBA desde Amazon S3 (versión preliminar)

Descripción: Desviaciones en el acceso a datos o descarga patrones de Amazon Simple Storage Service (S3). La anomalía se determina mediante líneas base de comportamiento para cada usuario, servicio y recurso, comparando el volumen de transferencia de datos, la frecuencia y el recuento de objetos a los que se accede con respecto a las normas históricas. Las desviaciones significativas, como el acceso masivo por primera vez, las recuperaciones de datos inusualmente grandes o la actividad desde nuevas ubicaciones o aplicaciones, podrían indicar posibles filtraciones de datos, infracciones de directivas o uso incorrecto de las credenciales en peligro.

Volver a la lista | de anomalías de UEBAVolver a arriba

Modificación anómala del mecanismo defensivo UEBA

Descripción: Los adversarios pueden deshabilitar las herramientas de seguridad para evitar la posible detección de sus herramientas y actividades.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA

Descripción: Los adversarios sin conocimiento previo de credenciales legítimas dentro del sistema o entorno pueden adivinar las contraseñas para intentar acceder a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Actividad anómala de UEBA federada o de identidad de SAML en AwsCloudTrail (versión preliminar)

Descripción: Actividad inusual por identidades federadas o basadas en lenguaje de marcado de aserción de seguridad (SAML) que implican acciones por primera vez, ubicaciones geográficas desconocidas o llamadas API excesivas. Estas anomalías pueden indicar el secuestro de sesión o el uso indebido de credenciales federadas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Modificación anómala de privilegios de IAM de UEBA en AwsCloudTrail (versión preliminar)

Descripción: Desviaciones en el comportamiento administrativo de administración de identidades y acceso (IAM), como la creación, modificación o eliminación de roles, usuarios y grupos, o datos adjuntos de nuevas directivas insertadas o administradas. Estos podrían indicar la elevación de privilegios o el abuso de directivas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA en AwsCloudTrail (versión preliminar)

Descripción: Actividad de inicio de sesión inusual en los servicios de Amazon Web Services (AWS) basados en eventos de CloudTrail, como ConsoleLogin y otros atributos relacionados con la autenticación. Las anomalías se determinan mediante desviaciones en el comportamiento del usuario en función de atributos como geolocalización, huella digital del dispositivo, ISP y método de acceso, y pueden indicar intentos de acceso no autorizados o posibles infracciones de directiva.

Volver a la lista | de anomalías de UEBAVolver a arriba

Errores anómalos de MFA de UEBA en Okta_CL (versión preliminar)

Descripción: Patrones inusuales de intentos de MFA erróneos en Okta. Estas anomalías pueden deberse a un uso incorrecto de la cuenta, el relleno de credenciales o el uso incorrecto de mecanismos de dispositivo de confianza, y a menudo reflejan comportamientos de adversario en fase temprana, como probar credenciales robadas o medidas de seguridad de identidad de sondeo.

Volver a la lista | de anomalías de UEBAVolver a arriba

Restablecimiento de contraseña anómalo de UEBA

Descripción: Los adversarios pueden interrumpir la disponibilidad de los recursos de red y del sistema al impedir el acceso a las cuentas utilizadas por los usuarios legítimos. Las cuentas se pueden eliminar, bloquear o manipular (por ejemplo, credenciales modificadas) para quitar el acceso a las cuentas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Privilegio anómalo de UEBA concedido

Descripción: Los adversarios pueden agregar credenciales controladas por adversarios para entidades de servicio de Azure, además de las credenciales legítimas existentes para mantener el acceso persistente a las cuentas de Azure víctimas.

Volver a la lista | de anomalías de UEBAVolver a arriba

Acceso anómalo a secreto o clave KMS de UEBA en AwsCloudTrail (versión preliminar)

Descripción: Acceso sospechoso a los recursos de AWS Secrets Manager o servicio de administración de claves (KMS). El acceso por primera vez o una frecuencia de acceso inusualmente alta podría indicar la recolección de credenciales o los intentos de filtración de datos.

Volver a la lista | de anomalías de UEBAVolver a arriba

Inicio de sesión anómalo de UEBA

Descripción: Los adversarios pueden robar las credenciales de una cuenta de servicio o usuario específica mediante técnicas de acceso a credenciales o capturar credenciales anteriormente en su proceso de reconocimiento a través de la ingeniería social para obtener persistencia.

Volver a la lista | de anomalías de UEBAVolver a arriba

Comportamiento anómalo de STS de UEBA assumeRole en AwsCloudTrail (versión preliminar)

Descripción: Uso anómalo del servicio de token de seguridad (STS) de AWS, especialmente las acciones de asunción de roles con privilegios o acceso entre cuentas. Las desviaciones del uso típico pueden indicar la elevación de privilegios o el riesgo de identidad.

Volver a la lista | de anomalías de UEBAVolver a arriba

Anomalías basadas en aprendizaje automático

Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar comportamientos anómalos con plantillas de reglas de análisis que se pueden poner a funcionar de forma automática. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.

• Operaciones anómalas de Azure
• Ejecución anómala de código
• Creación anómala de cuentas locales
• Actividades anómalas de usuario en Office Exchange
• Intento de fuerza bruta de equipo
• Intento de fuerza bruta de la cuenta de usuario
• Intento de fuerza bruta de la cuenta de usuario por tipo de inicio de sesión
• Intento de fuerza bruta de la cuenta de usuario por motivo del error
• Detección del comportamiento de señalización de red generado por la máquina
• Algoritmo de generación de dominio (DGA) en dominios DNS
• Descargas excesivas a través de Palo Alto GlobalProtect
• Cargas excesivas a través de Palo Alto GlobalProtect
• Posible algoritmo de generación de dominios (DGA) en dominios DNS de nivel siguiente
• Volumen sospechoso de llamadas api de AWS desde la dirección IP de origen que no es de AWS
• Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario
• Volumen sospechoso de inicios de sesión en el equipo
• Volumen sospechoso de inicios de sesión en el equipo con token con privilegios elevados
• Volumen sospechoso de inicios de sesión en la cuenta de usuario
• Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión
• Volumen sospechoso de inicios de sesión en la cuenta de usuario con token con privilegios elevados

Operaciones anómalas de Azure

Descripción: Este algoritmo de detección recopila 21 días de datos en operaciones de Azure agrupadas por el usuario para entrenar este modelo de APRENDIZAJE automático. A continuación, el algoritmo genera anomalías en el caso de los usuarios que realizaron secuencias de operaciones poco frecuentes en sus áreas de trabajo. El modelo de ML entrenado puntúa las operaciones realizadas por el usuario y considera anómalas aquellas cuya puntuación es mayor que el umbral definido.

Volver a la lista de | Volver a arriba

Ejecución anómala de código

Descripción: Los atacantes pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o archivos binarios. Estas interfaces y lenguajes proporcionan formas de interactuar con sistemas informáticos y son una característica común en muchas plataformas diferentes.

Volver a la lista de | Volver a arriba

Creación de cuentas locales anómalas

Descripción: Este algoritmo detecta la creación anómala de cuentas locales en sistemas Windows. Los atacantes pueden crear cuentas locales para mantener el acceso a los sistemas de destino. Este algoritmo analiza la actividad de creación de cuentas locales en los últimos 14 días por parte de los usuarios. Busca una actividad similar en el día actual de los usuarios que no se han visto anteriormente en la actividad histórica. Puede especificar una lista de permitidos para filtrar los usuarios conocidos para desencadenar esta anomalía.

Volver a la lista de | Volver a arriba

Actividades anómalas de usuario en Office Exchange

Descripción: Este modelo de aprendizaje automático agrupa los registros de Office Exchange por usuario en cubos por hora. Definimos una hora como una sesión. El modelo se entrena en los 7 días anteriores del comportamiento en todos los usuarios normales (no administradores). Indica que el usuario anómalo Office Exchange sesiones en el último día.

Volver a la lista de | Volver a arriba

Intento de fuerza bruta de equipo

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Intento de fuerza bruta de la cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Intento de fuerza bruta de cuenta de usuario por tipo de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por tipo de inicio de sesión durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Intento de fuerza bruta de la cuenta de usuario por motivo del error

Descripción: Este algoritmo detecta un volumen inusualmente alto de intentos de inicio de sesión erróneos (identificador de evento de seguridad 4625) por cuenta de usuario por motivo de error durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Detección del comportamiento de señalización de red generado por la máquina

Descripción: Este algoritmo identifica los patrones de señalización de los registros de conexión de tráfico de red en función de los patrones delta de tiempo recurrentes. Cualquier conexión de red hacia redes públicas que no son de confianza en intervalos de tiempo repetitivos es una indicación de devoluciones de llamada de malware o intentos de filtración de datos. El algoritmo calculará la diferencia de tiempo entre las conexiones de red consecutivas entre la misma dirección IP de origen y la IP de destino, así como el número de conexiones en una secuencia delta de tiempo entre los mismos orígenes y destinos. El porcentaje de balizas se calcula como las conexiones en la secuencia delta de tiempo con respecto al total de conexiones en un día.

Volver a la lista de | Volver a arriba

Algoritmo de generación de dominio (DGA) en dominios DNS

Descripción: Este modelo de aprendizaje automático indica dominios DGA potenciales del último día en los registros DNS. El algoritmo se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Volver a la lista de | Volver a arriba

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: Este algoritmo detecta un volumen inusualmente elevado de descarga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de descargas en el pasado día.

Volver a la lista de | Volver a arriba

Descargas excesivas a través de Palo Alto GlobalProtect

Descripción: Este algoritmo detecta un volumen inusualmente elevado de carga por cuenta de usuario a través de la solución VPN de Palo Alto. El modelo se entrena en los 14 días anteriores de los registros de VPN. Indica un gran volumen anómalo de carga en el último día.

Volver a la lista de | Volver a arriba

Posible algoritmo de generación de dominios (DGA) en dominios DNS de siguiente nivel

Descripción: Este modelo de aprendizaje automático indica los dominios de nivel siguiente (tercer nivel y superior) de los nombres de dominio del último día de los registros DNS que son inusuales. Podrían ser la salida de un algoritmo de generación de dominio (DGA). La anomalía se aplica a los registros DNS que se resuelven en direcciones IPv4 e IPv6.

Volver a la lista de | Volver a arriba

Volumen sospechoso de llamadas API de AWS desde la dirección IP de origen que no es de AWS

Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas api de AWS por cuenta de usuario por área de trabajo, desde direcciones IP de origen fuera de los intervalos IP de origen de AWS, dentro del último día. El modelo se entrena en los 21 días previos de los eventos de registro de AWS CloudTrail por dirección IP de origen. Esta actividad puede indicar que la cuenta de usuario está en peligro.

Volver a la lista de | Volver a arriba

Volumen sospechoso de llamadas API de escritura de AWS desde una cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de llamadas API de escritura de AWS por cuenta de usuario en el último día. El modelo se entrena en los 21 días previos al eventos de registro de AWS CloudTrail por cuenta de usuario. Esta actividad puede indicar que la cuenta está en peligro.

Volver a la lista de | Volver a arriba

Volumen sospechoso de inicios de sesión en el equipo

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por equipo durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Volumen sospechoso de inicios de sesión en el equipo con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por equipo, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Volumen sospechoso de inicios de sesión en la cuenta de usuario

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Volumen sospechoso de inicios de sesión en la cuenta de usuario por tipos de inicio de sesión

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) por cuenta de usuario, por diferentes tipos de inicio de sesión, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Volumen sospechoso de inicios de sesión en una cuenta de usuario con un token con privilegios elevados

Descripción: Este algoritmo detecta un volumen inusualmente alto de inicios de sesión correctos (identificador de evento de seguridad 4624) con privilegios administrativos, por cuenta de usuario, durante el último día. El modelo se entrena en los 21 días previos de Windows registros de eventos de seguridad.

Volver a la lista de | Volver a arriba

Pasos siguientes

• Obtenga información sobre las anomalías generadas por el aprendizaje automático en Microsoft Sentinel.

• Aprenda a trabajar con reglas de anomalías.

• Investigue incidentes con Microsoft Sentinel.