Anomalie wykryte przez aparat uczenia maszynowego usługi Microsoft Sentinel

Usługa Microsoft Sentinel wykrywa anomalie, analizując zachowanie użytkowników w środowisku w danym okresie i tworząc punkt odniesienia uzasadnionej aktywności. Po ustanowieniu punktu odniesienia wszelkie działania poza normalnymi parametrami są uznawane za nietypowe i dlatego podejrzane.

Usługa Microsoft Sentinel używa dwóch modeli do tworzenia punktów odniesienia i wykrywania anomalii.

• Anomalie UEBA
• Anomalie oparte na uczeniu maszynowym

W tym artykule wymieniono anomalie wykrywane przez usługę Microsoft Sentinel przy użyciu różnych modeli uczenia maszynowego.

W tabeli Anomalie :

• Kolumna rulename wskazuje regułę sentinel używaną do identyfikowania każdej anomalii.
• Kolumna score zawiera wartość liczbową z zakresu od 0 do 1, która kwantyfikuje stopień odchylenia od oczekiwanego zachowania. Wyższe wyniki wskazują większe odchylenie od punktu odniesienia i są bardziej prawdopodobne, aby być prawdziwymi anomaliami. Niższe wyniki mogą nadal być nietypowe, ale są mniej prawdopodobne, aby być znaczące lub możliwe do działania.

Anomalie UEBA

Usługa Sentinel UEBA wykrywa anomalie na podstawie dynamicznych punktów odniesienia utworzonych dla każdej jednostki w różnych danych wejściowych. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.

Aby wykrywać anomalie UEBA, musisz włączyć wykrywanie anomalii UEBA i anomalii w obszarze roboczym usługi Sentinel .

Usługa UEBA wykrywa anomalie na podstawie tych reguł anomalii:

• Usuwanie nietypowego dostępu do konta UEBA
• Nietypowe tworzenie konta UEBA
• Nietypowe usuwanie konta UEBA
• Nietypowe manipulowanie kontami UEBA
• Nietypowe działanie UEBA w dziennikach inspekcji GCP (wersja zapoznawcza)
• Nietypowe działanie UEBA w Okta_CL (wersja zapoznawcza)
• Uwierzytelnianie nietypowe UEBA (wersja zapoznawcza)
• Nietypowe wykonywanie kodu UEBA
• Nietypowe niszczenie danych UEBA
• Nietypowy transfer danych UEBA z usługi Amazon S3 (wersja zapoznawcza)
• Modyfikacja nietypowego mechanizmu obronnego UEBA
• Nietypowe logowanie w trybie UEBA nie powiodło się
• Nietypowe działanie tożsamości UEBA lub SAML w usłudze AwsCloudTrail (wersja zapoznawcza)
• Anomalii modyfikacji uprawnień IAM w usłudze AwsCloudTrail (wersja zapoznawcza)
• Nietypowe logowanie UEBA w usłudze AwsCloudTrail (wersja zapoznawcza)
• Nietypowe błędy uwierzytelniania wieloskładnikowego UEBA w Okta_CL (wersja zapoznawcza)
• Nietypowe resetowanie hasła w usłudze UEBA
• Przyznane nietypowe uprawnienia UEBA
• Dostęp do nietypowego wpisu tajnego lub klucza USŁUGI KMS w usłudze AwsCloudTrail (wersja zapoznawcza)
• Nietypowe logowanie ueBA
• Nietypowe zachowanie UEBA STS AssumeRole w usłudze AwsCloudTrail (wersja zapoznawcza)

Usługa Sentinel używa wzbogaconych danych z tabeli BehaviorAnalytics do identyfikowania anomalii UEBA z oceną ufności specyficzną dla dzierżawy i źródła.

Usuwanie nietypowego dostępu do konta UEBA

Opis: Osoba atakująca może przerwać dostępność zasobów systemowych i sieciowych, blokując dostęp do kont używanych przez uprawnionych użytkowników. Osoba atakująca może usunąć, zablokować lub manipulować kontem (na przykład zmieniając jego poświadczenia), aby usunąć dostęp do niego.

Powrót do listy | Powrót do góry

Nietypowe tworzenie konta UEBA

Opis: Przeciwnicy mogą utworzyć konto w celu utrzymania dostępu do systemów docelowych. Mając wystarczający poziom dostępu, tworzenie takich kont może służyć do ustanawiania dodatkowego dostępu poświadczeń bez konieczności wdrażania trwałych narzędzi dostępu zdalnego w systemie.

Powrót do listy | Powrót do góry

Nietypowe usuwanie konta UEBA

Opis: Przeciwnicy mogą przerwać dostępność zasobów systemowych i sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Powrót do listy | Powrót do góry

Nietypowe manipulowanie kontami UEBA

Opis: Przeciwnicy mogą manipulować kontami w celu utrzymania dostępu do systemów docelowych. Te akcje obejmują dodawanie nowych kont do grup z wysokimi uprawnieniami. Dragonfly 2.0, na przykład, dodano nowo utworzone konta do grupy administratorów, aby zachować podwyższony poziom dostępu. Poniższe zapytanie generuje dane wyjściowe wszystkich użytkowników usługi Radius o wysokiej wydajności wykonujących funkcję "Aktualizuj użytkownika" (zmianę nazwy) na rolę uprzywilejowaną lub tych, którzy zmienili użytkowników po raz pierwszy.

Powrót do listy | Powrót do góry

Nietypowe działanie UEBA w dziennikach inspekcji GCP (wersja zapoznawcza)

Opis: Nieudane próby dostępu do zasobów platformy Google Cloud Platform (GCP) na podstawie wpisów związanych z zarządzaniem dostępem i tożsamościami w dziennikach inspekcji GCP. Te błędy mogą odzwierciedlać błędnie skonfigurowane uprawnienia, próby uzyskania dostępu do nieautoryzowanych usług lub wczesne zachowania osoby atakującej, takie jak sondowanie uprawnień lub trwałość za pośrednictwem kont usług.

Powrót do listy | Powrót do góry

Nietypowe działanie UEBA w Okta_CL (wersja zapoznawcza)

Opis: Nieoczekiwane działania uwierzytelniania lub zmiany konfiguracji związane z zabezpieczeniami w usłudze Okta, w tym modyfikacje reguł logowania, wymuszanie uwierzytelniania wieloskładnikowego (MFA) lub uprawnienia administracyjne. Takie działanie może wskazywać na próby zmiany mechanizmów kontroli zabezpieczeń tożsamości lub utrzymania dostępu za pośrednictwem uprzywilejowanych zmian.

Powrót do listy | Powrót do góry

Uwierzytelnianie nietypowe UEBA (wersja zapoznawcza)

Opis: Nietypowe działanie uwierzytelniania między sygnałami z usługi Microsoft Defender dla punktów końcowych i identyfikatora Entra firmy Microsoft, w tym logowania urządzeń, logowania tożsamości zarządzanej i uwierzytelniania jednostki usługi z identyfikatora Entra firmy Microsoft. Te anomalie mogą sugerować niewłaściwe użycie poświadczeń, nadużycie tożsamości nieludzkiej lub próby przenoszenia bocznego poza typowymi wzorcami dostępu.

Powrót do listy | Powrót do góry

Nietypowe wykonywanie kodu UEBA

Opis: Przeciwnicy mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Powrót do listy | Powrót do góry

Nietypowe niszczenie danych UEBA

Opis: Przeciwnicy mogą zniszczyć dane i pliki w określonych systemach lub w dużej liczbie w sieci, aby przerwać dostępność systemów, usług i zasobów sieciowych. Niszczenie danych może renderować przechowywane dane w sposób nieodzyskiwalny przez techniki kryminalistyczne poprzez zastępowanie plików lub danych na lokalnych i zdalnych dyskach.

Powrót do listy | Powrót do góry

Nietypowy transfer danych UEBA z usługi Amazon S3 (wersja zapoznawcza)

Opis: Odchylenia w zakresie dostępu do danych lub wzorców pobierania z usługi Amazon Simple Storage Service (S3). Anomalia jest określana przy użyciu planów bazowych zachowań dla każdego użytkownika, usługi i zasobu, porównując wolumin transferu danych, częstotliwość i liczbę obiektów, do których uzyskiwano dostęp względem norm historycznych. Znaczące odchylenia — takie jak dostęp zbiorczy po raz pierwszy, niezwykle duże pobieranie danych lub aktywność z nowych lokalizacji lub aplikacji — mogą wskazywać na potencjalne eksfiltrację danych, naruszenia zasad lub niewłaściwe użycie naruszonych poświadczeń.

Powrót do listy | Powrót do góry

Modyfikacja nietypowego mechanizmu obronnego UEBA

Opis: Przeciwnicy mogą wyłączyć narzędzia zabezpieczeń, aby uniknąć możliwego wykrywania ich narzędzi i działań.

Powrót do listy | Powrót do góry

Nietypowe logowanie w trybie UEBA nie powiodło się

Opis: Przeciwnicy bez wcześniejszej wiedzy na temat wiarygodnych poświadczeń w systemie lub środowisku mogą odgadnąć hasła do próby uzyskania dostępu do kont.

Powrót do listy | Powrót do góry

Nietypowe działanie tożsamości UEBA lub SAML w usłudze AwsCloudTrail (wersja zapoznawcza)

Opis: Nietypowe działanie przez tożsamości oparte na protokole FEDErated lub Security Assertion Markup Language (SAML) obejmujące akcje po raz pierwszy, nieznane lokalizacje geograficzne lub nadmierne wywołania interfejsu API. Takie anomalie mogą wskazywać na przejęcie sesji lub niewłaściwe użycie poświadczeń federacyjnych.

Powrót do listy | Powrót do góry

Anomalii modyfikacji uprawnień IAM w usłudze AwsCloudTrail (wersja zapoznawcza)

Opis: Odchylenia w zachowaniu administracyjnym zarządzania tożsamościami i dostępem (IAM), takie jak tworzenie, modyfikowanie lub usuwanie ról, użytkowników i grup lub załącznik nowych zasad wbudowanych lub zarządzanych. Mogą one wskazywać na eskalację uprawnień lub nadużycie zasad.

Powrót do listy | Powrót do góry

Nietypowe logowanie UEBA w usłudze AwsCloudTrail (wersja zapoznawcza)

Opis: Nietypowe działanie logowania w usługach Amazon Web Services (AWS) oparte na zdarzeniach CloudTrail, takich jak ConsoleLogin i inne atrybuty związane z uwierzytelnianiem. Anomalie są określane przez odchylenia zachowania użytkownika na podstawie atrybutów, takich jak geolokalizacja, odcisk palca urządzenia, usługodawca internetowy i metoda dostępu, i mogą wskazywać na nieautoryzowane próby dostępu lub potencjalne naruszenia zasad.

Powrót do listy | Powrót do góry

Nietypowe błędy uwierzytelniania wieloskładnikowego UEBA w Okta_CL (wersja zapoznawcza)

Opis: Nietypowe wzorce nieudanych prób uwierzytelniania wieloskładnikowego w usłudze Okta. Te anomalie mogą wynikać z nieprawidłowego użycia konta, wypychania poświadczeń lub niewłaściwego używania zaufanych mechanizmów urządzeń i często odzwierciedlają wczesne zachowania przeciwników, takie jak testowanie skradzionych poświadczeń lub sprawdzanie zabezpieczeń tożsamości.

Powrót do listy | Powrót do góry

Nietypowe resetowanie hasła w usłudze UEBA

Opis: Przeciwnicy mogą przerwać dostępność zasobów systemowych i sieciowych, hamując dostęp do kont używanych przez uprawnionych użytkowników. Konta mogą zostać usunięte, zablokowane lub manipulowane (np. zmienione poświadczenia), aby usunąć dostęp do kont.

Powrót do listy | Powrót do góry

Przyznane nietypowe uprawnienia UEBA

Opis: Przeciwnicy mogą dodawać poświadczenia kontrolowane przez przeciwników dla jednostek usługi platformy Azure oprócz istniejących wiarygodnych poświadczeń w celu utrzymania trwałego dostępu do kont platformy Azure ofiary.

Powrót do listy | Powrót do góry

Dostęp do nietypowego wpisu tajnego lub klucza USŁUGI KMS w usłudze AwsCloudTrail (wersja zapoznawcza)

Opis: Podejrzany dostęp do zasobów usługi AWS Secrets Manager lub zarządzania kluczami (KMS). Dostęp po raz pierwszy lub niezwykle wysoka częstotliwość dostępu może wskazywać na próby zbierania poświadczeń lub eksfiltracji danych.

Powrót do listy | Powrót do góry

Nietypowe logowanie ueBA

Opis: Przeciwnicy mogą ukraść poświadczenia określonego użytkownika lub konta usługi przy użyciu technik dostępu poświadczeń lub przechwytywać poświadczenia wcześniej w procesie rekonesansu za pomocą inżynierii społecznej w celu uzyskania trwałości.

Powrót do listy | Powrót do góry

Nietypowe zachowanie UEBA STS AssumeRole w usłudze AwsCloudTrail (wersja zapoznawcza)

Opis: Nietypowe użycie usługi AWS Security Token Service (STS) AssumeRole akcji, szczególnie w przypadku ról uprzywilejowanych lub dostępu między kontami. Odchylenia od typowego użycia mogą wskazywać na eskalację uprawnień lub naruszenie tożsamości.

Powrót do listy | Powrót do góry

Anomalie oparte na uczeniu maszynowym

Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować nietypowe zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie niekoniecznie wskazują złośliwe lub nawet podejrzane zachowanie, mogą służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń.

• Nietypowe operacje platformy Azure
• Nietypowe wykonywanie kodu
• Nietypowe tworzenie konta lokalnego
• Nietypowe działania użytkownika w programie Office Exchange
• Podjęto próbę ataku siłowego komputera
• Podjęto próbę ataku siłowego konta użytkownika
• Podjęto próbę ataku siłowego konta użytkownika na typ logowania
• Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia
• Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę
• Algorytm generowania domeny (DGA) w domenach DNS
• Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect
• Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect
• Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie
• Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS
• Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika
• Podejrzana liczba logowań na komputerze
• Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień
• Podejrzana liczba logowań do konta użytkownika
• Podejrzana liczba logowań do konta użytkownika według typów logowania
• Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień

Nietypowe operacje platformy Azure

Opis: Ten algorytm wykrywania zbiera 21 dni danych dotyczących operacji platformy Azure pogrupowanych według użytkownika w celu wytrenowania tego modelu uczenia maszynowego. Następnie algorytm generuje anomalie w przypadku użytkowników, którzy wykonali sekwencje operacji rzadko w swoich obszarach roboczych. Wytrenowany model uczenia maszynowego ocenia operacje wykonywane przez użytkownika i uwzględnia nietypowe, których wynik jest większy niż zdefiniowany próg.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe wykonywanie kodu

Opis: Osoby atakujące mogą nadużywać interpreterów poleceń i skryptów w celu wykonywania poleceń, skryptów lub plików binarnych. Te interfejsy i języki zapewniają sposoby interakcji z systemami komputerowymi i są wspólną funkcją na wielu różnych platformach.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe tworzenie konta lokalnego

Opis: Ten algorytm wykrywa nietypowe tworzenie konta lokalnego w systemach Windows. Osoby atakujące mogą tworzyć konta lokalne, aby zachować dostęp do systemów docelowych. Ten algorytm analizuje działania tworzenia konta lokalnego w ciągu ostatnich 14 dni od użytkowników. Szuka podobnych działań w bieżącym dniu od użytkowników, którzy nie byli wcześniej widziani w działaniu historycznym. Możesz określić listę dozwolonych, aby filtrować znanych użytkowników z wyzwalania tej anomalii.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nietypowe działania użytkownika w programie Office Exchange

Opis: Ten model uczenia maszynowego grupuje dzienniki programu Office Exchange dla poszczególnych użytkowników w zasobnikach godzinowych. Definiujemy jedną godzinę jako sesję. Model jest trenowany w ciągu ostatnich 7 dni od wszystkich zwykłych (niebędących administratorami) użytkowników. Wskazuje on nietypowe sesje programu Office Exchange użytkownika w ciągu ostatniego dnia.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego komputera

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na typ logowania

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na typ logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podjęto próbę ataku siłowego konta użytkownika na przyczynę niepowodzenia

Opis: Ten algorytm wykrywa niezwykle dużą liczbę nieudanych prób logowania (identyfikator zdarzenia zabezpieczeń 4625) na konto użytkownika na przyczynę niepowodzenia w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni dzienników zdarzeń zabezpieczeń systemu Windows.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Wykrywanie zachowania sygnału nawigacyjnego wygenerowanego przez maszynę

Opis: Ten algorytm identyfikuje wzorce sygnałów nawigacyjnych z dzienników połączeń ruchu sieciowego na podstawie cyklicznych wzorców różnic czasu. Każde połączenie sieciowe w niezaufanych sieciach publicznych w powtarzającym się czasie różnice wskazuje na wywołania zwrotne złośliwego oprogramowania lub próby eksfiltracji danych. Algorytm obliczy różnicę czasu między kolejnymi połączeniami sieciowymi między tym samym źródłowym adresem IP i docelowym adresem IP, a także liczbą połączeń w sekwencji różnic czasowej między tymi samymi źródłami i miejscami docelowymi. Wartość procentowa sygnału nawigacyjnego jest obliczana jako połączenia w sekwencji różnic czasu względem łącznej liczby połączeń w ciągu dnia.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Algorytm generowania domeny (DGA) w domenach DNS

Opis: Ten model uczenia maszynowego wskazuje potencjalne domeny DGA z ostatniego dnia w dziennikach DNS. Algorytm dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nadmierne pobieranie za pośrednictwem aplikacji Palo Alto GlobalProtect

Opis: Ten algorytm wykrywa niezwykle dużą ilość pobierania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje to nietypowe duże ilości pobrań w ciągu ostatniego dnia.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Nadmierne przekazywanie za pośrednictwem aplikacji Palo Alto GlobalProtect

Opis: Ten algorytm wykrywa niezwykle dużą ilość przekazywania na konto użytkownika za pośrednictwem rozwiązania Palo Alto VPN. Model jest trenowany w ciągu ostatnich 14 dni dzienników sieci VPN. Wskazuje on nietypowy duży wolumen przekazywania w ciągu ostatniego dnia.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Potencjalny algorytm generowania domeny (DGA) w domenach DNS na następnym poziomie

Opis: Ten model uczenia maszynowego wskazuje domeny następnego poziomu (trzeci poziom i wyższy) nazw domen z ostatniego dnia dzienników DNS, które są nietypowe. Potencjalnie mogą to być dane wyjściowe algorytmu generowania domeny (DGA). Anomalia dotyczy rekordów DNS rozpoznawanych jako adresy IPv4 i IPv6.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba wywołań interfejsu API platformy AWS ze źródłowego adresu IP innego niż AWS

Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API platformy AWS na konto użytkownika na obszar roboczy z źródłowych adresów IP spoza źródłowych zakresów adresów IP platformy AWS w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika platformy AWS CloudTrail według źródłowego adresu IP. To działanie może wskazywać, że konto użytkownika zostało naruszone.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba wywołań interfejsu API zapisu platformy AWS z konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę wywołań interfejsu API zapisu platformy AWS na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni zdarzeń dziennika usługi AWS CloudTrail według konta użytkownika. To działanie może wskazywać, że konto zostało naruszone.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań na komputerze

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań na komputerze z podwyższonym poziomem uprawnień

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na komputer w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika według typów logowania

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) na konto użytkownika według różnych typów logowania w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Podejrzana liczba logowań do konta użytkownika z podwyższonym poziomem uprawnień

Opis: Ten algorytm wykrywa niezwykle dużą liczbę pomyślnych logowań (identyfikator zdarzenia zabezpieczeń 4624) z uprawnieniami administracyjnymi na konto użytkownika w ciągu ostatniego dnia. Model jest trenowany w ciągu ostatnich 21 dni Zabezpieczenia Windows dzienników zdarzeń.

Powrót do listy anomalii opartych na uczeniu maszynowym | Powrót do góry

Dalsze kroki

• Dowiedz się więcej o anomaliach generowanych przez uczenie maszynowe w usłudze Microsoft Sentinel.

• Dowiedz się, jak pracować z regułami anomalii.

• Badanie zdarzeń za pomocą usługi Microsoft Sentinel.