Microsoft Sentinel은 일정 기간 동안 환경에서 사용자의 동작을 분석하고 합법적인 활동의 기준을 생성하여 변칙을 검색합니다. 기준이 설정되면 정상적인 매개 변수를 벗어난 모든 작업이 비정상적이며 의심스러운 것으로 간주됩니다.
Microsoft Sentinel은 두 가지 모델을 사용하여 기준을 만들고 변칙을 검색합니다.
이 문서에서는 Microsoft Sentinel이 다양한 기계 학습 모델을 사용하여 검색하는 변칙을 나열합니다.
- 열은
rulename각 변칙을 식별하는 데 사용되는 규칙 Sentinel을 나타냅니다. - 열에는
score0에서 1 사이의 숫자 값이 포함되어 예상 동작의 편차 정도를 정량화합니다. 점수가 높을수록 기준선에서 더 큰 편차를 나타내며 실제 변칙일 가능성이 높습니다. 낮은 점수는 여전히 비정상일 수 있지만 중요하거나 실행 가능할 가능성이 적습니다.
Note
이러한 변칙 검색은 결과의 품질이 낮기 때문에 2024년 3월 26일부터 중단됩니다.
- 도메인 평판 Palo Alto 변칙
- Palo Alto GlobalProtect를 통해 하루에 다중 지역 로그인
Important
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
UEBA 변칙
Sentinel UEBA는 다양한 데이터 입력에서 각 엔터티에 대해 생성된 동적 기준을 기반으로 변칙을 검색합니다. 각 엔터티의 기준 동작은 자체 기록 활동, 해당 피어 및 조직 전체에 따라 설정됩니다. 동작 유형, 지리적 위치, 디바이스, 리소스, ISP 등과 같은 다양한 특성의 상관 관계를 통해 변칙을 트리거할 수 있습니다.
UEBA 변칙을 검색하려면 Sentinel 작업 영역에서 UEBA 및 변칙 검색을 사용하도록 설정해야 합니다.
UEBA는 다음 변칙 규칙에 따라 변칙을 검색합니다.
- UEBA 비정상적인 계정 액세스 제거
- UEBA 비정상적인 계정 만들기
- UEBA 비정상적인 계정 삭제
- UEBA 비정상적인 계정 조작
- GCP 감사 로그의 UEBA 비정상적인 작업(미리 보기)
- Okta_CL UEBA 비정상적인 작업(미리 보기)
- UEBA 비정상적인 인증(미리 보기)
- UEBA 비정상적인 코드 실행
- UEBA 비정상적인 데이터 파기
- Amazon S3에서 UEBA 비정상적인 데이터 전송(미리 보기)
- UEBA 비정상적인 방어 메커니즘 수정
- UEBA 비정상적인 로그인 실패
- AwsCloudTrail의 UEBA 비정상적인 페더레이션 또는 SAML ID 작업(미리 보기)
- AwsCloudTrail의 UEBA 비정상적인 IAM 권한 수정(미리 보기)
- AwsCloudTrail의 UEBA 비정상적인 로그온(미리 보기)
- Okta_CL UEBA 비정상적인 MFA 오류(미리 보기)
- UEBA 비정상적인 암호 재설정
- UEBA 비정상적인 권한 부여
- AwsCloudTrail의 UEBA 비정상적인 비밀 또는 KMS 키 액세스(미리 보기)
- UEBA 비정상적인 로그인
- AwsCloudTrail의 UEBA 비정상적인 STS AssumeRole 동작(미리 보기)
Sentinel은 BehaviorAnalytics 테이블의 보강된 데이터를 사용하여 테넌트 및 원본과 관련된 신뢰도 점수로 UEBA 변칙을 식별합니다.
UEBA 비정상적인 계정 액세스 제거
묘사: 공격자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 공격자는 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)을 수행하여 액세스 권한을 제거할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | Impact |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 권한 제거 |
| Activity: | Microsoft.Authorization/roleAssignments/delete 로그아웃 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 만들기
묘사: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 만들 수 있습니다. 충분한 수준의 액세스 권한이 있으면 시스템에 영구 원격 액세스 도구를 배포할 필요 없이 이러한 계정 만들기 작업을 통해 보조 자격 증명 액세스를 설정할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 감사 로그 |
| MITRE ATT&CK 전술: | Persistence |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기 |
| MITRE ATT&CK 하위 기술: | 클라우드 계정 |
| Activity: | 핵심 디렉터리/UserManagement/사용자 추가 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 삭제
묘사: 악의적 사용자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스 권한을 제거하기 위해 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)이 수행될 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 감사 로그 |
| MITRE ATT&CK 전술: | Impact |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 권한 제거 |
| Activity: | 핵심 디렉터리/UserManagement/사용자 삭제 핵심 디렉터리/디바이스/사용자 삭제 핵심 디렉터리/UserManagement/사용자 삭제 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 조작
묘사: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 조작할 수 있습니다. 이러한 작업에는 권한이 높은 그룹에 새 계정을 추가하는 작업이 포함됩니다. 예를 들어 Dragonfly 2.0은 상승된 권한을 유지하기 위해 새로 만든 계정을 관리자 그룹에 추가합니다. 아래 쿼리는 권한 있는 역할에 대해 "사용자 업데이트"(이름 변경)를 수행하는 모든 고폭발 반지름 사용자 또는 처음으로 사용자를 변경한 사용자의 출력을 생성합니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 감사 로그 |
| MITRE ATT&CK 전술: | Persistence |
| MITRE ATT&CK 기술: | T1098 - 계정 조작 |
| Activity: | 핵심 디렉터리/UserManagement/사용자 업데이트 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상적인 작업(미리 보기)
묘사: GCP 감사 로그의 IAM 관련 항목에 따라 GCP(Google Cloud Platform) 리소스에 대한 액세스 시도가 실패했습니다. 이러한 오류는 잘못 구성된 권한, 권한 없는 서비스에 대한 액세스 시도 또는 서비스 계정을 통한 권한 검색 또는 지속성과 같은 초기 단계 공격자 동작을 반영할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 발견 |
| MITRE ATT&CK 기술: | T1087 – 계정 검색, T1069 – 권한 그룹 검색 |
| Activity: | iam.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Okta_CL UEBA 비정상적인 작업(미리 보기)
묘사: 로그온 규칙 수정, MFA(다단계 인증) 적용 또는 관리 권한을 포함하여 Okta의 예기치 않은 인증 활동 또는 보안 관련 구성 변경 이러한 활동은 ID 보안 제어를 변경하거나 권한 있는 변경을 통해 액세스를 유지하려는 시도를 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Okta 클라우드 로그 |
| MITRE ATT&CK 전술: | 지속성, 권한 상승 |
| MITRE ATT&CK 기술: | T1098 - 계정 조작, T1556 - 인증 프로세스 수정 |
| Activity: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 인증(미리 보기)
묘사: 디바이스 로그온, 관리 ID 로그인 및 Microsoft Entra ID의 서비스 주체 인증을 포함하여 엔드포인트용 Microsoft Defender 및 Microsoft Entra ID의 신호에서 비정상적인 인증 작업 이러한 변칙은 일반적인 액세스 패턴 외부에서 자격 증명 오용, 비인식 ID 남용 또는 횡적 이동 시도를 제안할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 엔드포인트용 Microsoft Defender, Microsoft Entra ID |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| Activity: |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 코드 실행
묘사: 악의적 사용자는 명령 및 스크립트 인터프리터를 남용하여 명령, 스크립트 또는 이진 파일을 실행할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 공통적인 기능입니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | Execution |
| MITRE ATT&CK 기술: | T1059 - 명령 및 스크립팅 인터프리터 |
| MITRE ATT&CK 하위 기술: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 데이터 파기
묘사: 악의적 사용자는 시스템, 서비스 및 네트워크 리소스에 대한 가용성을 중단하기 위해 특정 시스템 또는 네트워크의 많은 수의 데이터와 파일을 삭제할 수 있습니다. 데이터 파기는 로컬 및 원격 드라이브에서 파일 또는 데이터를 덮어쓰는 방법을 통해 포렌식 기술로 저장된 데이터를 복구할 수 없게 만들 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | Impact |
| MITRE ATT&CK 기술: | T1485 - 데이터 파기 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Amazon S3에서 UEBA 비정상적인 데이터 전송(미리 보기)
설명: Amazon S3(Simple Storage Service)에서 데이터 액세스 또는 다운로드 패턴의 편차입니다. 변칙은 각 사용자, 서비스 및 리소스에 대한 동작 기준을 사용하여 데이터 전송 볼륨, 빈도 및 액세스된 개체 수를 기록 표준과 비교하여 결정됩니다. 처음 대량 액세스, 비정상적으로 큰 데이터 검색 또는 새 위치 또는 애플리케이션의 활동과 같은 상당한 편차는 잠재적인 데이터 반출, 정책 위반 또는 손상된 자격 증명의 오용을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | Exfiltration |
| MITRE ATT&CK 기술: | T1567 - 웹 서비스를 통한 반출 |
| Activity: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 방어 메커니즘 수정
묘사: 악의적 사용자는 도구 및 활동을 검색할 수 없도록 보안 도구를 사용하지 않도록 설정할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 방어 회피 |
| MITRE ATT&CK 기술: | T1562 - 방어 장애 |
| MITRE ATT&CK 하위 기술: | 도구 비활성화 또는 수정 클라우드 방화벽 비활성화 또는 수정 |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 로그인 실패
묘사: 시스템 또는 환경 내에서 합법적인 자격 증명에 대한 사전 지식이 없는 악의적 사용자는 계정에 대한 액세스를 시도하기 위해 암호를 추측할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 로그인 로그 Windows 보안 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
| Activity: |
Microsoft Entra ID: 로그인 활동 Windows 보안: 로그인 실패(이벤트 ID 4625) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 페더레이션 또는 SAML ID 작업(미리 보기)
설명: 처음 작업, 알 수 없는 지리적 위치 또는 과도한 API 호출과 관련된 페더레이션 또는 SAML(Security Assertion Markup Language) 기반 ID에 의한 비정상적인 작업입니다. 이러한 변칙은 페더레이션된 자격 증명의 세션 하이재킹 또는 오용을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스, 지속성 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정, T1550 - 대체 인증 자료 사용 |
| Activity: | UserAuthentication(EXTERNAL_IDP) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 IAM 권한 수정(미리 보기)
설명: 역할, 사용자 및 그룹의 처음 생성, 수정 또는 삭제 또는 새 인라인 또는 관리 정책 첨부 파일과 같은 IAM(ID 및 액세스 관리) 관리 동작의 편차입니다. 이는 권한 상승 또는 정책 남용을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 권한 상승, 지속성 |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기, T1098 - 계정 조작 |
| Activity: | iam.amazonaws.com, sso-directory.amazonaws.com 만들기, 추가, 연결, 삭제, 비활성화, 배치 및 업데이트 작업 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 로그온(미리 보기)
묘사: ConsoleLogin 및 기타 인증 관련 특성과 같은 CloudTrail 이벤트를 기반으로 하는 AWS(Amazon Web Services) 서비스의 비정상적인 로그온 작업입니다. 변칙은 지리적 위치, 디바이스 지문, ISP 및 액세스 방법과 같은 특성에 따라 사용자 동작의 편차에 의해 결정되며 무단 액세스 시도 또는 잠재적 정책 위반을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| Activity: | ConsoleLogin |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Okta_CL UEBA 비정상적인 MFA 오류(미리 보기)
묘사: Okta에서 실패한 MFA 시도의 비정상적인 패턴입니다. 이러한 변칙은 계정 오용, 자격 증명 스터핑 또는 신뢰할 수 있는 디바이스 메커니즘의 부적절한 사용으로 인해 발생할 수 있으며, 종종 도난당한 자격 증명 테스트 또는 ID 보호 검색과 같은 초기 단계의 악의적인 동작을 반영합니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Okta 클라우드 로그 |
| MITRE ATT&CK 전술: | 지속성, 권한 상승 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정, T1556 - 인증 프로세스 수정 |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 암호 재설정
묘사: 악의적 사용자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스 권한을 제거하기 위해 계정 삭제, 잠금 또는 조작(예: 자격 증명 변경)이 수행될 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 감사 로그 |
| MITRE ATT&CK 전술: | Impact |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 권한 제거 |
| Activity: | 핵심 디렉터리/UserManagement/사용자 암호 재설정 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 권한 부여
묘사: 악의적 사용자는 기존 합법적인 자격 증명 외에도 Azure 서비스 주체에 대해 악의적으로 제어되는 자격 증명을 추가하여 피해자 Azure 계정에 대한 영구 액세스를 유지할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 감사 로그 |
| MITRE ATT&CK 전술: | Persistence |
| MITRE ATT&CK 기술: | T1098 - 계정 조작 |
| MITRE ATT&CK 하위 기술: | 추가 Azure 서비스 주체 자격 증명 |
| Activity: | 계정 프로비전/애플리케이션 관리/서비스 주체에 앱 역할 할당 추가 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 비밀 또는 KMS 키 액세스(미리 보기)
설명: AWS 비밀 관리자 또는 KMS(키 관리 서비스) 리소스에 대한 의심스러운 액세스. 처음 액세스하거나 비정상적으로 높은 액세스 빈도는 자격 증명 수집 또는 데이터 반출 시도를 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스, 컬렉션 |
| MITRE ATT&CK 기술: | T1555 - 암호 저장소의 자격 증명 |
| Activity: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 로그인
묘사: 악의적 사용자는 자격 증명 액세스 기술을 사용하여 특정 사용자 또는 서비스 계정의 자격 증명을 훔치거나 지속성을 얻기 위해 소셜 엔지니어링을 통해 정찰 프로세스의 초기에 자격 증명을 캡처할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Microsoft Entra 로그인 로그 Windows 보안 로그 |
| MITRE ATT&CK 전술: | Persistence |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| Activity: |
Microsoft Entra ID: 로그인 활동 Windows 보안: 로그인 성공(이벤트 ID 4624) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 STS AssumeRole 동작(미리 보기)
설명: 특히 권한 있는 역할 또는 계정 간 액세스와 관련된 AWS STS(보안 토큰 서비스) AssumeRole 작업의 비정상적인 사용 일반적인 사용량의 편차는 권한 상승 또는 ID 손상일 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 권한 상승, 방어 회피 |
| MITRE ATT&CK 기술: | T1548 - 권한 상승 제어 메커니즘 남용, T1078 - 유효한 계정 |
| Activity: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
기계 학습 기반 변칙
Microsoft Sentinel의 사용자 지정 가능한 기계 학습 기반 변칙은 즉시 작동하도록 배치할 수 있는 분석 규칙 템플릿을 사용하여 비정상적인 동작을 식별할 수 있습니다. 변칙은 악의적이거나 심지어 의심스러운 행동을 의미하지는 않지만 검색, 조사 및 위협 검색을 개선하는 데 사용할 수 있습니다.
- 비정상적인 Azure 작업
- 비정상적인 코드 실행
- 비정상적인 로컬 계정 만들기
- Office Exchange의 비정상적인 사용자 활동
- 컴퓨터 무차별 암호 대입 시도
- 사용자 계정 무차별 암호 대입 시도
- 로그인 유형당 사용자 계정 무차별 암호 대입 시도
- 실패한 이유당 사용자 계정 무차별 암호 대입 시도
- 머신에서 생성된 네트워크 비콘 동작 검색
- DNS 도메인의 DGA(도메인 생성 알고리즘)
- Palo Alto GlobalProtect를 통한 과도한 다운로드
- Palo Alto GlobalProtect를 통한 과도한 업로드
- 다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)
- AWS가 아닌 원본 IP 주소에서 의심스러운 AWS API 호출 볼륨
- 사용자 계정에서 AWS 쓰기 API 호출의 의심스러운 볼륨
- 컴퓨터에 대한 의심스러운 로그인 볼륨
- 관리자 권한 토큰이 있는 컴퓨터에 대한 의심스러운 로그인 볼륨
- 사용자 계정에 대한 의심스러운 로그인 볼륨
- 로그온 유형별로 사용자 계정에 대한 의심스러운 로그인 볼륨
- 관리자 권한 토큰을 사용하여 사용자 계정에 대한 의심스러운 로그인 볼륨
비정상적인 Azure 작업
묘사: 이 검색 알고리즘은 이 ML 모델을 학습하기 위해 사용자별로 그룹화된 Azure 작업에서 21일 분량의 데이터를 수집합니다. 그리고 작업 영역에서 일반적이지 않은 작업의 시퀀스를 수행한 사용자의 경우 변칙을 생성합니다. 학습된 ML 모델은 사용자가 수행한 작업에 점수를 매기고, 점수가 정의된 임계값보다 크면 비정상으로 간주합니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1190 - 공용 애플리케이션 악용 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비정상적인 코드 실행
묘사: 공격자는 명령 및 스크립트 인터프리터를 남용하여 명령, 스크립트 또는 이진 파일을 실행할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 공통적인 기능입니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | Execution |
| MITRE ATT&CK 기술: | T1059 - 명령 및 스크립팅 인터프리터 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비정상적인 로컬 계정 만들기
묘사: 이 알고리즘은 Windows 시스템에서 비정상적인 로컬 계정 생성을 검색합니다. 공격자는 대상 시스템에 대한 액세스를 유지하기 위해 로컬 계정을 만들 수 있습니다. 이 알고리즘은 지난 14일 동안 사용자의 로컬 계정 만들기 작업을 분석합니다. 현재 날짜에서 이전 작업 기록에 표시되지 않는 사용자의 유사한 작업을 찾습니다. 허용 목록을 지정하여 알려진 사용자가 이 변칙을 트리거하지 않도록 필터링할 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | Persistence |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Office Exchange의 비정상적인 사용자 활동
묘사: 이 기계 학습 모델은 사용자 단위로 Office Exchange 로그를 시간별 버킷으로 그룹화합니다. 1시간을 세션으로 정의합니다. 모델에는 모든 일반(관리자가 아닌) 사용자의 이전 7일 동안의 행동이 학습됩니다. 과거의 비정상적인 사용자 Office Exchange 세션을 나타냅니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Office 활동 로그(Exchange) |
| MITRE ATT&CK 전술: | Persistence Collection |
| MITRE ATT&CK 기술: |
Collection: T1114 - 이메일 수집 T1213 - 정보 리포지토리의 데이터 Persistence: T1098 - 계정 조작 T1136 - 계정 만들기 T1137 - Office 애플리케이션 시작 T1505 - 서버 소프트웨어 구성 요소 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
컴퓨터 무차별 암호 대입 시도
묘사: 이 알고리즘은 지난 날 컴퓨터당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
사용자 계정 무차별 암호 대입 시도
묘사: 이 알고리즘은 지난 날 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
로그인 유형당 사용자 계정 무차별 암호 대입 시도
묘사: 이 알고리즘은 지난 날 로그온 유형당 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
실패 이유당 사용자 계정 무차별 암호 대입 시도
묘사: 이 알고리즘은 지난 날 오류 원인당 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
컴퓨터에서 생성된 네트워크 비콘 검색 동작
묘사: 이 알고리즘은 되풀이 시간 델타 패턴을 기반으로 네트워크 트래픽 연결 로그에서 비콘 패턴을 식별합니다. 반복 시간 델타에서 신뢰할 수 없는 공용 네트워크에 대한 모든 네트워크 연결은 맬웨어 콜백 또는 데이터 반출 시도를 나타냅니다. 알고리즘은 동일한 원본 IP와 대상 IP 간의 연속 네트워크 연결 간 시간 델타와 동일한 원본과 대상 간의 시간 델타 시퀀스의 연결 수를 계산합니다. 비콘의 백분율은 하루의 총 연결에 대한 시간 델타 시퀀스의 연결로 계산됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | CommonSecurityLog(PAN) |
| MITRE ATT&CK 전술: | 명령 및 제어. |
| MITRE ATT&CK 기술: | T1071 - 애플리케이션 레이어 프로토콜 T1132 - 데이터 인코딩 T1001 - 데이터 난독 처리 T1568 - 동적 확인 T1573 - 암호화된 채널 T1008 - 대체 채널 T1104 - 다단계 채널 T1095 - 비애플리케이션 레이어 프로토콜 T1571 - 비표준 포트 T1572 - 프로토콜 터널링 T1090 - 프록시 T1205 - 트래픽 신호 T1102 - 웹 서비스 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
DNS 도메인의 DGA(도메인 생성 알고리즘)
묘사: 이 기계 학습 모델은 DNS 로그에서 지난 날의 잠재적인 DGA 도메인을 나타냅니다. 이 알고리즘은 IPv4 및 IPv6 주소로 확인되는 DNS 레코드에 적용됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | DNS 이벤트 |
| MITRE ATT&CK 전술: | 명령 및 제어. |
| MITRE ATT&CK 기술: | T1568 - 동적 확인 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Palo Alto GlobalProtect를 통한 과도한 다운로드
묘사: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 높은 양의 다운로드를 검색합니다. 이 모델에는 이전 14일간의 VPN 로그가 학습됩니다. 이는 과거의 비정상적인 대량 다운로드를 나타냅니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | CommonSecurityLog(PAN VPN) |
| MITRE ATT&CK 전술: | Exfiltration |
| MITRE ATT&CK 기술: | T1030 - 데이터 전송 크기 제한 T1041 - C2 채널을 통한 반출 T1011 - 다른 네트워크 매체를 통한 반출 T1567 - 웹 서비스를 통한 반출 T1029 - 예약된 전송 T1537 - 클라우드 계정으로 데이터 전송 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Palo Alto GlobalProtect를 통한 과도한 업로드
묘사: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 높은 업로드 볼륨을 검색합니다. 이 모델에는 이전 14일간의 VPN 로그가 학습됩니다. 이는 과거의 비정상적인 대량 업로드를 나타냅니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | CommonSecurityLog(PAN VPN) |
| MITRE ATT&CK 전술: | Exfiltration |
| MITRE ATT&CK 기술: | T1030 - 데이터 전송 크기 제한 T1041 - C2 채널을 통한 반출 T1011 - 다른 네트워크 매체를 통한 반출 T1567 - 웹 서비스를 통한 반출 T1029 - 예약된 전송 T1537 - 클라우드 계정으로 데이터 전송 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)
묘사: 이 기계 학습 모델은 비정상적인 DNS 로그의 마지막 날 도메인 이름의 다음 수준 도메인(세 번째 수준 이상)을 나타냅니다. 잠재적으로 DGA(도메인 생성 알고리즘)의 출력일 수 있습니다. 이 변칙은 IPv4 및 IPv6 주소로 확인되는 DNS 레코드에 적용됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | DNS 이벤트 |
| MITRE ATT&CK 전술: | 명령 및 제어. |
| MITRE ATT&CK 기술: | T1568 - 동적 확인 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비 AWS 원본 IP 주소의 의심스러운 AWS API 호출 횟수
묘사: 이 알고리즘은 마지막 날 내에 AWS 원본 IP 범위 외부의 원본 IP 주소에서 작업 영역당 사용자 계정당 비정상적으로 많은 양의 AWS API 호출을 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 원본 IP 주소별로 학습됩니다. 이 작업은 사용자 계정이 손상되었음을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
사용자 계정의 의심스러운 AWS 쓰기 API 호출 횟수
묘사: 이 알고리즘은 마지막 날 내에 사용자 계정당 비정상적으로 많은 양의 AWS 쓰기 API 호출을 검색합니다. 이 모델에는 이전 21일간의 AWS CloudTrail 로그 이벤트가 사용자 계정별로 학습됩니다. 이 작업은 계정이 손상되었음을 나타낼 수 있습니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
의심스러운 컴퓨터 로그인 횟수
묘사: 이 알고리즘은 지난 날 컴퓨터당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
관리자 권한 토큰을 사용한 의심스러운 컴퓨터 로그인 횟수
묘사: 이 알고리즘은 지난 날 컴퓨터당 관리 권한이 있는 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
의심스러운 사용자 계정 로그인 횟수
묘사: 이 알고리즘은 지난 날 사용자 계정당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
로그온 유형별로 의심스러운 사용자 계정 로그인 횟수
묘사: 이 알고리즘은 지난 날 여러 로그온 유형별로 사용자 계정당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
관리자 권한 토큰을 사용한 의심스러운 사용자 계정 로그인 횟수
묘사: 이 알고리즘은 지난 날 사용자 계정당 관리 권한이 있는 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 이 모델에는 이전 21일간의 Windows 보안 이벤트 로그가 학습됩니다.
| Attribute | Value |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Windows 보안 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
Machine Learning 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
다음 단계
Microsoft Sentinel에서 기계 학습 생성 변칙 에 대해 알아봅니다.
변칙 규칙을 사용하여 작업하는 방법을 알아봅니다.
Microsoft Sentinel을 사용하여 인시던트 조사