Anomalies détectées par le moteur Machine Learning de Microsoft Sentinel

Microsoft Sentinel détecte les anomalies en analysant le comportement des utilisateurs dans un environnement sur une période de temps et en construisant une base de référence d’activité légitime. Une fois la ligne de base établie, toute activité en dehors des paramètres normaux est considérée comme anormale et donc suspecte.

Microsoft Sentinel utilise deux modèles pour créer des lignes de base et détecter des anomalies.

• Anomalies UEBA
• Anomalies basées sur le Machine Learning

Cet article répertorie les anomalies détectées par Microsoft Sentinel à l’aide de différents modèles Machine Learning.

Dans la table Anomalies :

• La rulename colonne indique la règle Sentinel utilisée pour identifier chaque anomalie.
• La score colonne contient une valeur numérique comprise entre 0 et 1, qui quantifie le degré d’écart par rapport au comportement attendu. Les scores plus élevés indiquent un écart plus élevé par rapport à la ligne de base et sont plus susceptibles d’être de véritables anomalies. Les scores inférieurs peuvent encore être anormales, mais sont moins susceptibles d’être significatifs ou actionnables.

Anomalies UEBA

Sentinel UEBA détecte les anomalies basées sur des lignes de base dynamiques créées pour chaque entité sur différentes entrées de données. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services Internet et bien plus encore.

Vous devez activer UEBA et la détection d’anomalies dans votre espace de travail Sentinel pour détecter les anomalies UEBA.

UEBA détecte les anomalies en fonction des règles d’anomalie suivantes :

• Suppression anormale de l’accès au compte UEBA
• Création de compte anormaux UEBA
• Suppression anormale d’un compte UEBA
• Manipulation anormale du compte UEBA
• Activité anormale UEBA dans les journaux d’audit GCP (préversion)
• Activité anormale UEBA dans Okta_CL (préversion)
• Authentification anormale UEBA (préversion)
• Exécution anormale du code UEBA
• Destruction anormale des données UEBA
• Transfert de données anormaux UEBA à partir d’Amazon S3 (préversion)
• Modification anormale du mécanisme défensif UEBA
• Échec de la connexion UEBA
• Activité d’identité FÉDÉRÉE ou SAML anormale dans AwsCloudTrail (préversion)
• Modification anormale des privilèges IAM dans AwsCloudTrail (préversion)
• Ouverture de session anormale UEBA dans AwsCloudTrail (préversion)
• Échecs d’authentification multifacteur UEBA anormales dans Okta_CL (préversion)
• Réinitialisation anormale du mot de passe UEBA
• Privilèges anormaux accordés par UEBA
• Accès à clé SECRÈTE ou KMS anormaux UEBA dans AwsCloudTrail (préversion)
• Connexion anormale UEBA
• Comportement anormaux DE STS AssumeRole dans AwsCloudTrail (préversion)

Sentinel utilise des données enrichies de la table BehaviorAnalytics pour identifier les anomalies UEBA avec un score de confiance spécifique à votre locataire et à votre source.

Suppression anormale de l’accès au compte UEBA

Description: Un attaquant peut interrompre la disponibilité des ressources système et réseau en bloquant l’accès aux comptes utilisés par les utilisateurs légitimes. L’attaquant peut supprimer, verrouiller ou manipuler un compte (par exemple, en modifiant ses informations d’identification) pour supprimer l’accès à celui-ci.

Retour à la liste | des anomalies UEBARevenir en haut

Création de compte anormaux UEBA

Description: Les adversaires peuvent créer un compte pour maintenir l’accès aux systèmes ciblés. Avec un niveau d’accès suffisant, la création de ces comptes peut être utilisée pour établir un accès aux informations d’identification secondaires sans exiger que les outils d’accès à distance persistants soient déployés sur le système.

Retour à la liste | des anomalies UEBARevenir en haut

Suppression anormale d’un compte UEBA

Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par des utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.

Retour à la liste | des anomalies UEBARevenir en haut

Manipulation anormale du compte UEBA

Description: Les adversaires peuvent manipuler des comptes pour maintenir l’accès aux systèmes cibles. Ces actions incluent l’ajout de nouveaux comptes à des groupes à privilèges élevés. Dragonfly 2.0, par exemple, a ajouté des comptes nouvellement créés au groupe administrateurs pour maintenir l’accès avec élévation de privilèges. La requête ci-dessous génère une sortie de tous les utilisateurs à rayon d’impact élevé exécutant « Mettre à jour l’utilisateur » (changement de nom) en rôle privilégié ou ceux qui ont modifié les utilisateurs pour la première fois.

Retour à la liste | des anomalies UEBARevenir en haut

Activité anormale UEBA dans les journaux d’audit GCP (préversion)

Description: Échec de l’accès aux ressources Google Cloud Platform (GCP) en fonction des entrées liées à IAM dans les journaux d’audit GCP. Ces échecs peuvent refléter des autorisations mal configurées, des tentatives d’accès à des services non autorisés ou des comportements d’attaquant de première étape, tels que la détection de privilèges ou la persistance par le biais de comptes de service.

Retour à la liste | des anomalies UEBARevenir en haut

Activité anormale UEBA dans Okta_CL (préversion)

Description: Une activité d’authentification inattendue ou des modifications de configuration liées à la sécurité dans Okta, notamment les modifications apportées aux règles d’authentification, à l’application de l’authentification multifacteur (MFA) ou aux privilèges d’administration. Cette activité peut indiquer des tentatives de modification des contrôles de sécurité d’identité ou de maintien de l’accès via des modifications privilégiées.

Retour à la liste | des anomalies UEBARevenir en haut

Authentification anormale UEBA (préversion)

Description: Activité d’authentification inhabituelle entre les signaux de Microsoft Defender pour point de terminaison et l’ID Microsoft Entra, notamment les connexions d’appareils, les connexions d’identité managée et les authentifications du principal de service à partir de l’ID Microsoft Entra. Ces anomalies peuvent suggérer une utilisation incorrecte des informations d’identification, un abus d’identité non humaine ou des tentatives de mouvement latéral en dehors des modèles d’accès classiques.

Retour à la liste | des anomalies UEBARevenir en haut

Exécution anormale du code UEBA

Description: Les adversaires peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.

Retour à la liste | des anomalies UEBARevenir en haut

Destruction anormale des données UEBA

Description: Les adversaires peuvent détruire des données et des fichiers sur des systèmes spécifiques ou en grand nombre sur un réseau afin d’interrompre la disponibilité des systèmes, des services et des ressources réseau. La destruction des données est susceptible de rendre les données stockées irrécupérables par des techniques d’analyse par le biais d’un remplacement de fichiers ou de données sur des lecteurs locaux et distants.

Retour à la liste | des anomalies UEBARevenir en haut

Transfert de données anormaux UEBA à partir d’Amazon S3 (préversion)

Description: Écarts dans l’accès aux données ou les modèles de téléchargement à partir d’Amazon Simple Storage Service (S3). L’anomalie est déterminée à l’aide de bases de référence comportementales pour chaque utilisateur, service et ressource, en comparant le volume de transfert de données, la fréquence et le nombre d’objets accédés par rapport aux normes historiques. Des écarts significatifs , tels que l’accès en bloc à la première fois, les récupérations inhabituelles de données ou l’activité à partir de nouveaux emplacements ou applications, peuvent indiquer une exfiltration de données potentielle, des violations de stratégie ou une mauvaise utilisation des informations d’identification compromises.

Retour à la liste | des anomalies UEBARevenir en haut

Modification anormale du mécanisme défensif UEBA

Description: Les adversaires peuvent désactiver les outils de sécurité pour éviter la détection possible de leurs outils et activités.

Retour à la liste | des anomalies UEBARevenir en haut

Échec de la connexion UEBA

Description: Les adversaires sans connaissance préalable des informations d’identification légitimes au sein du système ou de l’environnement peuvent deviner des mots de passe pour tenter d’accéder à des comptes.

Retour à la liste | des anomalies UEBARevenir en haut

Activité d’identité FÉDÉRÉE ou SAML anormale dans AwsCloudTrail (préversion)

Description: Activité inhabituelle par des identités fédérées ou SAML (Security Assertion Markup Language) impliquant des actions de première fois, des géolocalités inconnues ou des appels d’API excessifs. Ces anomalies peuvent indiquer le détournement de session ou l’utilisation incorrecte des informations d’identification fédérées.

Retour à la liste | des anomalies UEBARevenir en haut

Modification anormale des privilèges IAM dans AwsCloudTrail (préversion)

Description: Écarts dans le comportement administratif de gestion des identités et des accès (IAM), tels que la création, la modification ou la suppression de rôles, d’utilisateurs et de groupes ou de pièces jointes de nouvelles stratégies intégrées ou gérées. Ceux-ci peuvent indiquer l’escalade de privilèges ou l’abus de stratégie.

Retour à la liste | des anomalies UEBARevenir en haut

Ouverture de session anormale UEBA dans AwsCloudTrail (préversion)

Description: Activité d’ouverture de session inhabituelle dans les services Amazon Web Services (AWS) basés sur des événements CloudTrail tels que ConsoleLogin et d’autres attributs liés à l’authentification. Les anomalies sont déterminées par des écarts dans le comportement de l’utilisateur en fonction d’attributs tels que la géolocalisation, l’empreinte digitale de l’appareil, l’ISP et la méthode d’accès, et peuvent indiquer des tentatives d’accès non autorisées ou des violations de stratégie potentielles.

Retour à la liste | des anomalies UEBARevenir en haut

Échecs d’authentification multifacteur UEBA anormales dans Okta_CL (préversion)

Description: Modèles inhabituels de tentatives MFA ayant échoué dans Okta. Ces anomalies peuvent provenir de l’utilisation incorrecte des comptes, des informations d’identification ou de l’utilisation incorrecte de mécanismes d’appareil approuvés, et reflètent souvent des comportements adversaires précoces, tels que le test des informations d’identification volées ou la détection des protections d’identité.

Retour à la liste | des anomalies UEBARevenir en haut

Réinitialisation anormale du mot de passe UEBA

Description: Les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par des utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.

Retour à la liste | des anomalies UEBARevenir en haut

Privilèges anormaux accordés par UEBA

Description: Les adversaires peuvent ajouter des informations d’identification contrôlées par l’adversaire pour les principaux de service Azure en plus des informations d’identification légitimes existantes afin de maintenir l’accès persistant aux comptes Azure victimes.

Retour à la liste | des anomalies UEBARevenir en haut

Accès à clé SECRÈTE ou KMS anormaux UEBA dans AwsCloudTrail (préversion)

Description: Accès suspect aux ressources du gestionnaire de secrets AWS ou du service de gestion des clés (KMS). L’accès à la première fois ou une fréquence d’accès inhabituellement élevée peut indiquer la collecte des informations d’identification ou les tentatives d’exfiltration de données.

Retour à la liste | des anomalies UEBARevenir en haut

Connexion anormale UEBA

Description: Les adversaires peuvent voler les informations d’identification d’un compte d’utilisateur ou de service spécifique à l’aide de techniques d’accès aux informations d’identification ou capturer des informations d’identification plus tôt dans leur processus de reconnaissance via l’ingénierie sociale pour obtenir la persistance.

Retour à la liste | des anomalies UEBARevenir en haut

Comportement anormaux DE STS AssumeRole dans AwsCloudTrail (préversion)

Description: Utilisation anormale des actions ASS (AWS Security Token Service) AssumeRole, en particulier impliquant des rôles privilégiés ou un accès inter-comptes. Les écarts par rapport à l’utilisation classique peuvent indiquer une escalade de privilèges ou une compromission d’identité.

Retour à la liste | des anomalies UEBARevenir en haut

Anomalies basées sur le Machine Learning

Les anomalies personnalisables basées sur le Machine Learning de Microsoft Sentinel peuvent identifier un comportement anormal avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces.

• Opérations Azure anormales
• Exécution anormale du code
• Création anormale d’un compte local
• Activités utilisateur anormales dans Office Exchange
• Tentative de force brute de l’ordinateur
• Tentative de force brute du compte d’utilisateur
• Tentative de force brute du compte d’utilisateur par type de connexion
• Tentative de force brute du compte d’utilisateur par raison d’échec
• Détecter le comportement de détection de la balise réseau générée par l’ordinateur
• Algorithme de génération de domaine (DGA) sur les domaines DNS
• Téléchargements excessifs via Palo Alto GlobalProtect
• Chargements excessifs via Palo Alto GlobalProtect
• Algorithme de génération de domaine potentiel (DGA) sur les domaines DNS de niveau suivant
• Volume suspect d’appels d’API AWS à partir d’une adresse IP source non AWS
• Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur
• Volume suspect de connexions à l’ordinateur
• Volume suspect de connexions à l’ordinateur avec un jeton élevé
• Volume suspect de connexions au compte d’utilisateur
• Volume suspect de connexions au compte d’utilisateur par types d’ouverture de session
• Volume suspect de connexions au compte d’utilisateur avec un jeton élevé

Opérations Azure anormales

Description: Cet algorithme de détection collecte 21 jours de données sur les opérations Azure regroupées par l’utilisateur pour entraîner ce modèle ML. L’algorithme génère ensuite des anomalies dans le cas des utilisateurs qui ont effectué des séquences d’opérations rares dans leurs espaces de travail. Le modèle ML formé évalue les opérations effectuées par l’utilisateur et considère comme anormales celles dont le score est supérieur au seuil défini.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Exécution de code anormale

Description: Les attaquants peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Création anormale d’un compte local

Description: Cet algorithme détecte la création anormale de comptes locaux sur les systèmes Windows. Les attaquants peuvent créer des comptes locaux pour maintenir l’accès aux systèmes ciblés. Cet algorithme analyse l’activité de création de compte local au cours des 14 derniers jours par les utilisateurs. Il recherche une activité similaire le jour actuel de la part des utilisateurs qui n’ont pas été précédemment vus dans l’activité historique. Vous pouvez spécifier une liste verte pour filtrer les utilisateurs connus à partir du déclenchement de cette anomalie.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Activités utilisateur anormales dans Office Exchange

Description: Ce modèle Machine Learning regroupe les journaux Office Exchange par utilisateur dans des compartiments horaires. Nous définissons une heure comme une session. Le modèle est entraîné sur les 7 jours précédents de comportement sur tous les utilisateurs réguliers (non administrateurs). Il indique des sessions Office Exchange d’utilisateur anormales au cours du dernier jour.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Tentative de force brute de l’ordinateur

Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Tentative de force brute du compte d’utilisateur

Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Tentative de force brute du compte d’utilisateur par type de connexion

Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur par type d’ouverture de session au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Tentative de force brute du compte d’utilisateur par motif de défaillance

Description: Cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d’utilisateur par raison d’échec au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Détecter le comportement de balisage réseau généré par l’ordinateur

Description: Cet algorithme identifie les modèles de liaison de trafic réseau à partir des journaux de connexion de trafic réseau en fonction des modèles delta de temps récurrents. Toute connexion réseau vers des réseaux publics non approuvés à différents moments répétitifs est une indication des tentatives de rappel de programmes malveillants ou d’exfiltration de données. L’algorithme calcule la différence de temps entre les connexions réseau consécutives entre la même adresse IP source et l’adresse IP de destination, ainsi que le nombre de connexions dans une séquence de différence de temps entre les mêmes sources et destinations. Le pourcentage de balisage est calculé en tant que connexions dans la séquence de différences de temps par rapport au nombre total de connexions en un jour.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Algorithme de génération de domaine (DGA) sur des domaines DNS

Description: Ce modèle Machine Learning indique les domaines DGA potentiels du jour précédent dans les journaux DNS. L’algorithme s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Téléchargements excessifs via Palo Alto GlobalProtect

Description: Cet algorithme détecte un volume inhabituellement élevé de téléchargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de téléchargements au cours de la dernière journée.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Chargements excessifs via Palo Alto GlobalProtect

Description: Cet algorithme détecte un volume inhabituellement élevé de chargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de chargements au cours de la dernière journée.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Algorithme de génération de domaine potentiel (DGA) sur des domaines DNS de niveau suivant

Description: Ce modèle Machine Learning indique les domaines de niveau suivant (troisième niveau et supérieur) des noms de domaine du dernier jour des journaux DNS inhabituels. Ils peuvent potentiellement être la sortie d’un algorithme de génération de domaine (DGA). L’anomalie s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect d’appels d’API AWS à partir d’une adresse IP de source non-AWS

Description: Cet algorithme détecte un volume inhabituel d’appels d’API AWS par compte d’utilisateur par espace de travail, à partir d’adresses IP sources en dehors des plages d’adresses IP sources d’AWS, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que le compte d’utilisateur est compromis.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur

Description: Cet algorithme détecte un volume inhabituellement élevé d’appels d’API d’écriture AWS par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte d’utilisateur. Cette activité peut indiquer que le compte est compromis.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect de connexions à l’ordinateur

Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect de connexions à l’ordinateur avec jeton avec élévation de privilèges

Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par ordinateur, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect de connexions au compte d’utilisateur

Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect de connexions au compte d’utilisateur par types de connexions

Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d’utilisateur, par différents types d’ouverture de session, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Volume suspect de connexions au compte d'utilisateur avec jeton avec élévation de privilèges

Description: Cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges d’administration, par compte d’utilisateur, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Retour à la liste des anomalies basées sur Machine Learning | Revenir en haut

Étapes suivantes

• Découvrez les anomalies générées par le Machine Learning dans Microsoft Sentinel.

• Découvrez comment utiliser des règles d’anomalie.

• Examinez les incidents avec Microsoft Sentinel.