Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Sentinel detecta anomalias analisando o comportamento dos usuários em um ambiente durante um período de tempo e construindo uma linha de base de atividade legítima. Depois que a linha de base é estabelecida, qualquer atividade fora dos parâmetros normais é considerada anormal e, portanto, suspeita.
O Microsoft Sentinel usa dois modelos para criar linhas de base e detectar anomalias.
Este artigo lista as anomalias detectadas pelo Microsoft Sentinel usando vários modelos de machine learning.
Na tabela Anomalias :
- A
rulenamecoluna indica a regra Sentinel usada para identificar cada anomalia. - A
scorecoluna contém um valor numérico entre 0 e 1, que quantifica o grau de desvio do comportamento esperado. Pontuações mais altas indicam maior desvio da linha de base e são mais propensas a serem anomalias verdadeiras. Pontuações mais baixas ainda podem ser anômalas, mas são menos propensas a serem significativas ou acionáveis.
Note
Essas detecções de anomalias são descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:
- Anomalia do Palo Alto de reputação de domínio
- Logons de várias regiões em um só dia por meio do Palo Alto GlobalProtect
Important
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retiring Microsoft Sentinel's Azure portal for more security.
Anomalias do UEBA
A UEBA do Sentinel detecta as anomalias com base em linhas de base dinâmicas criadas para cada entidade em várias entradas de dados. O comportamento de linha de base de cada entidade é definido de acordo com as atividades históricas delas, com aquelas dos respectivos pares e com aquelas da organização como um todo. As anomalias podem ser disparadas pela correlação de diferentes atributos, como tipo de ação, localização geográfica, dispositivo, recurso, ISP, entre outros.
Você deve habilitar o UEBA e a detecção de anomalias no workspace do Sentinel para detectar anomalias ueba.
O UEBA detecta anomalias com base nessas regras de anomalias:
- Remoção de acesso de conta anômômala do UEBA
- Criação de conta anômômala do UEBA
- Exclusão de conta anômala do UEBA
- Manipulação de conta anômática da UEBA
- Atividade anômala da UEBA nos logs de auditoria do GCP (versão prévia)
- Atividade anômala ueba em Okta_CL (versão prévia)
- Autenticação Anômômala ueba (versão prévia)
- Execução de código anômômalo do UEBA
- Destruição de dados anômalas da UEBA
- Modificação de mecanismo defensivo anômômalo da UEBA
- Entrada com falha anômômala do UEBA
- Logon Anômala do UEBA no AwsCloudTrail (versão prévia)
- Falhas anômalas de MFA do UEBA em Okta_CL (versão prévia)
- Redefinição de senha anômômala do UEBA
- Privilégio anômômal da UEBA concedido
- Entrada anômômala do UEBA
O Sentinel usa dados enriquecidos da tabela BehaviorAnalytics para identificar anomalias ueba com uma pontuação de confiança específica para seu locatário e fonte.
Remoção de acesso de conta anômômala do UEBA
Descrição: Um invasor pode interromper a disponibilidade de recursos do sistema e da rede bloqueando o acesso a contas usadas por usuários legítimos. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando as credenciais) para remover o acesso a ela.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Microsoft.Authorization/roleAssignments/delete Fazer logoff |
Lista de anomalias | do UEBADe volta ao topo
Criação de conta anômômala do UEBA
Descrição: Os adversários podem criar uma conta para manter o acesso a sistemas de destino. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso com credencial secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
| Sub-técnicas MITRE ATT&CK: | Conta de nuvem |
| Activity: | Diretório Principal/UserManagement/Adicionar usuário |
Lista de anomalias | do UEBADe volta ao topo
Exclusão de conta anômala do UEBA
Descrição: Os adversários podem interromper a disponibilidade de recursos do sistema e da rede inibindo o acesso a contas utilizadas por usuários legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Diretório Principal/UserManagement/Excluir usuário Diretório Principal/Dispositivo/Excluir usuário Diretório Principal/UserManagement/Excluir usuário |
Lista de anomalias | do UEBADe volta ao topo
Manipulação de conta anômática da UEBA
Descrição: Os adversários podem manipular contas para manter o acesso aos sistemas de destino. Essas ações incluem a adição de novas contas a grupos com privilégios elevados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários do Raio de Alta Explosão executando "Atualizar usuário" (alteração de nome) para uma função com privilégios ou aquelas que alteraram os usuários pela primeira vez.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Activity: | Diretório Principal/UserManagement/Atualizar usuário |
Lista de anomalias | do UEBADe volta ao topo
Atividade anômala da UEBA nos logs de auditoria do GCP (versão prévia)
Descrição: Tentativas de acesso com falha aos recursos do GCP (Google Cloud Platform) com base em entradas relacionadas ao IAM nos Logs de Auditoria do GCP. Essas falhas podem refletir permissões configuradas incorretamente, tentativas de acessar serviços não autorizados ou comportamentos de invasor em estágio inicial, como investigação de privilégios ou persistência por meio de contas de serviço.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do GCP |
| Táticas MITRE ATT&CK: | Descoberta |
| Técnicas MITRE ATT&CK: | T1087 – Descoberta de Conta, T1069 – Descoberta de Grupos de Permissões |
| Activity: | iam.googleapis.com |
Lista de anomalias | do UEBADe volta ao topo
Atividade anômala ueba em Okta_CL (versão prévia)
Descrição: Atividade de autenticação inesperada ou alterações de configuração relacionadas à segurança no Okta, incluindo modificações em regras de logon, imposição de MFA (autenticação multifator) ou privilégios administrativos. Essa atividade pode indicar tentativas de alterar controles de segurança de identidade ou manter o acesso por meio de alterações privilegiadas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Nuvem do Okta |
| Táticas MITRE ATT&CK: | Persistência, Escalonamento de Privilégios |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de conta, T1556 – Modificar processo de autenticação |
| Activity: | 'user.session.impersonation.grant' 'user.session.impersonation.initiate' 'user.session.start' 'app.oauth2.admin.consent.grant_success' 'app.oauth2.authorize.code_success' 'device.desktop_mfa.recovery_pin.generate' 'user.authentication.auth_via_mfa' 'user.mfa.attempt_bypass' 'user.mfa.factor.deactivate' 'user.mfa.factor.reset_all' 'user.mfa.factor.suspend' 'user.mfa.okta_verify' |
Lista de anomalias | do UEBADe volta ao topo
Autenticação Anômômala ueba (versão prévia)
Descrição: Atividade de autenticação incomum entre sinais do Microsoft Defender para Ponto de Extremidade e da ID do Microsoft Entra, incluindo logons de dispositivo, entradas de identidade gerenciada e autenticações de entidade de serviço da ID do Microsoft Entra. Essas anomalias podem sugerir uso indevido de credenciais, abuso de identidade não humano ou tentativas de movimento lateral fora dos padrões de acesso típicos.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Microsoft Defender para Ponto de Extremidade, ID do Microsoft Entra |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
| Activity: |
Lista de anomalias | do UEBADe volta ao topo
Execução de código anômômalo do UEBA
Descrição: Os adversários podem abusar de interpretadores de comando e script para executar comandos, scripts ou binários. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
| Sub-técnicas MITRE ATT&CK: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
Lista de anomalias | do UEBADe volta ao topo
Destruição de dados anômalas da UEBA
Descrição: Os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade para sistemas, serviços e recursos de rede. Provavelmente, a destruição de dados tornará os dados armazenados irrecuperáveis por técnicas forenses por meio da substituição de arquivos ou dados em unidades locais e remotas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1485 – Destruição de dados |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
Lista de anomalias | do UEBADe volta ao topo
Modificação de mecanismo defensivo anômômalo da UEBA
Descrição: Os adversários podem desabilitar as ferramentas de segurança para evitar a possível detecção de suas ferramentas e atividades.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Evasão de defesa |
| Técnicas MITRE ATT&CK: | T1562 – Prejudicar as defesas |
| Sub-técnicas MITRE ATT&CK: | Desabilitar ou modificar ferramentas Desabilitar ou modificar o firewall de nuvem |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
Lista de anomalias | do UEBADe volta ao topo
Entrada com falha anômômala do UEBA
Descrição: Adversários sem conhecimento prévio de credenciais legítimas dentro do sistema ou ambiente podem adivinhar senhas para tentar acessar contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso à credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
| Activity: |
ID do Microsoft Entra: Atividade de entrada Segurança do Windows: Logon com falha (ID do evento 4625) |
Lista de anomalias | do UEBADe volta ao topo
Logon Anômala do UEBA no AwsCloudTrail (versão prévia)
Descrição: Atividade de logon incomum em serviços da AWS (Amazon Web Services) com base em eventos CloudTrail, como ConsoleLogin e outros atributos relacionados à autenticação. As anomalias são determinadas por desvios no comportamento do usuário com base em atributos como localização geográfica, impressão digital do dispositivo, ISP e método de acesso e podem indicar tentativas de acesso não autorizadas ou possíveis violações de política.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
| Activity: | signin.amazonaws.com |
Lista de anomalias | do UEBADe volta ao topo
Falhas anômalas de MFA do UEBA em Okta_CL (versão prévia)
Descrição: Padrões incomuns de tentativas de MFA com falha no Okta. Essas anomalias podem resultar do uso indevido da conta, do recheio de credenciais ou do uso inadequado de mecanismos de dispositivo confiáveis e, muitas vezes, refletem comportamentos de adversário em estágio inicial, como testar credenciais roubadas ou sondar proteções de identidade.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de Nuvem do Okta |
| Táticas MITRE ATT&CK: | Persistência, Escalonamento de Privilégios |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas, T1556 – Modificar processo de autenticação |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
Lista de anomalias | do UEBADe volta ao topo
Redefinição de senha anômômala do UEBA
Descrição: Os adversários podem interromper a disponibilidade de recursos do sistema e da rede inibindo o acesso a contas utilizadas por usuários legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Impact |
| Técnicas MITRE ATT&CK: | T1531 – Remoção de acesso à conta |
| Activity: | Diretório Principal/UserManagement/Redefinição de senha do usuário |
Lista de anomalias | do UEBADe volta ao topo
Privilégio anômômal da UEBA concedido
Descrição: Os adversários podem adicionar credenciais controladas por adversários para entidades de serviço do Azure, além de credenciais legítimas existentes para manter o acesso persistente às contas do Azure vítimas.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de auditoria do Microsoft Entra |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1098 – Manipulação de contas |
| Sub-técnicas MITRE ATT&CK: | Adicionar credenciais de entidade de serviço do Azure |
| Activity: | Provisionamento de conta/gerenciamento de aplicativos/adicionar atribuição de função do aplicativo à entidade de serviço |
Lista de anomalias | do UEBADe volta ao topo
Entrada anômômala do UEBA
Descrição: Os adversários podem roubar as credenciais de uma conta de usuário ou serviço específica usando técnicas de Acesso à Credencial ou capturar credenciais anteriores em seu processo de reconhecimento por meio da engenharia social para obter persistência.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | UEBA |
| Fontes de dados: | Logs de entrada do Microsoft Entra Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
| Activity: |
ID do Microsoft Entra: Atividade de entrada Segurança do Windows: Logon bem-sucedido (ID do evento 4624) |
Lista de anomalias | do UEBADe volta ao topo
Anomalias baseadas em machine learning
As anomalias personalizáveis baseadas no machine learning do Microsoft Sentinel podem identificar o comportamento anormal com modelos de regra de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente um comportamento mal-intencionado ou mesmo suspeito por si só, elas podem ser usadas para aprimorar as detecções, as investigações e a busca por ameaças.
- Operações anômalas do Azure
- Execução de código anômômala
- Criação de conta local anômômala
- Atividades anômalas do usuário no Office Exchange
- Tentativa de força bruta do computador
- Tentativa de força bruta da conta de usuário
- Tentativa de força bruta da conta de usuário por tipo de logon
- Tentativa de força bruta da conta de usuário por motivo de falha
- Detectar o comportamento de beacon de rede gerado pelo computador
- Algoritmo de geração de domínio (DGA) em domínios DNS
- Downloads excessivos por meio do Palo Alto GlobalProtect
- Uploads excessivos por meio do Palo Alto GlobalProtect
- Potencial algoritmo de geração de domínio (DGA) em domínios DNS de nível seguinte
- Volume suspeito de chamadas de API AWS de endereço IP de origem não AWS
- Volume suspeito de chamadas de API de gravação da AWS de uma conta de usuário
- Volume suspeito de logons no computador
- Volume suspeito de logons no computador com token com privilégios elevados
- Volume suspeito de logons na conta de usuário
- Volume suspeito de logons na conta de usuário por tipos de logon
- Volume suspeito de logons na conta de usuário com token com privilégios elevados
Operações anormais do Azure
Descrição: Esse algoritmo de detecção coleta 21 dias de dados em operações do Azure agrupadas pelo usuário para treinar esse modelo de ML. Em seguida, o algoritmo gera anomalias no caso de usuários que executaram sequências de operações incomuns nos respectivos workspaces. O modelo de ML treinado pontua as operações executadas pelo usuário e considera anormais aquelas cuja pontuação é maior que o limite definido.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1190 – Exploração do aplicativo voltado para o público |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Execução anormal de código
Descrição: Os invasores podem abusar de interpretadores de comando e script para executar comandos, scripts ou binários. Essas interfaces e linguagens fornecem maneiras de interagir com sistemas de computador e são um recurso comum em várias plataformas diferentes.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Atividades do Azure |
| Táticas MITRE ATT&CK: | Execution |
| Técnicas MITRE ATT&CK: | T1059 – Interpretador de comando e de script |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Criação anormal de conta local
Descrição: Esse algoritmo detecta a criação de conta local anômala em sistemas Windows. Os invasores podem criar contas locais para manter o acesso aos sistemas escolhidos como alvo. Esse algoritmo analisa a atividade de criação de conta local nos últimos 14 dias pelos usuários. Ele procura atividades semelhantes no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permitidos para excluir os usuários conhecidos do disparo dessa anomalia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Persistence |
| Técnicas MITRE ATT&CK: | T1136 – Criação de contas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Atividades anormais de usuário no Office Exchange
Descrição: Esse modelo de machine learning agrupa os logs do Office Exchange por usuário em buckets por hora. Definimos uma hora como uma sessão. O modelo é treinado nos últimos sete dias de comportamento de todos os usuários comuns (não administradores). Indica as sessões de usuário anormais do Office Exchange no último dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Log de atividades do Office (Exchange) |
| Táticas MITRE ATT&CK: | Persistence Collection |
| Técnicas MITRE ATT&CK: |
Collection: T1114 – Coleção de email T1213 – Dados de repositórios de informações Persistence: T1098 – Manipulação de contas T1136 – Criação de contas T1137 – Inicialização de aplicativo Office T1505 – Componente do software para servidores |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta do computador
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de tentativas de logon com falha (ID do evento de segurança 4625) por computador no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso à credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de tentativas de logon com falha (ID do evento de segurança 4625) por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso à credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário por tipo de logon
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de tentativas de logon com falha (ID do evento de segurança 4625) por conta de usuário por tipo de logon no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso à credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Tentativa de força bruta da conta de usuário por motivo de falha
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de tentativas de logon com falha (ID do evento de segurança 4625) por conta de usuário por motivo de falha no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos de segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso à credencial |
| Técnicas MITRE ATT&CK: | T1110 – Força bruta |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Detectar o comportamento de sinalizadores de rede gerados pelo computador
Descrição: Esse algoritmo identifica padrões de beaconing de logs de conexão de tráfego de rede com base em padrões de delta de tempo recorrentes. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivos é uma indicação de retornos de chamada de malware ou tentativas de exfiltração dos dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e o IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. O percentual de sinalizadores é calculado como as conexões na sequência de delta de tempo em relação ao total de conexões em um dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (PAN) |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1071 – Protocolo de camada aplicável T1132 – Codificação de dados T1001 – Ofuscação de dados T1568 – Resolução dinâmica T1573 – Canal criptografado T1008 – Canais de fallback T1104 – Canais de várias fases T1095 – Protocolo de camada não aplicável T1571 – Porta não padrão T1572 – Túnel do protocolo T1090 – Proxy T1205 – Sinalização de tráfego T1102 – Serviço Web |
Lista de anomalias baseadas | em machine learningDe volta ao topo
DGA (Algoritmo de geração de domínio) em domínios DNS
Descrição: Esse modelo de machine learning indica os domínios DGA potenciais do último dia nos logs DNS. O algoritmo se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Downloads excessivos por meio do Palo Alto GlobalProtect
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de download por conta de usuário por meio da solução VPN Palo Alto. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de downloads no último dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Uploads excessivos por meio do Palo Alto GlobalProtect
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de upload por conta de usuário por meio da solução VPN Palo Alto. O modelo é treinado nos últimos 14 dias dos logs de VPN. Indica um alto volume anormal de uploads no último dia.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | CommonSecurityLog (VPN PAN) |
| Táticas MITRE ATT&CK: | Exfiltration |
| Técnicas MITRE ATT&CK: | T1030 – Limites de tamanho de transferência de dados T1041 – Exfiltração pelo canal C2 T1011 – Exfiltração por outro meio de rede T1567 – Exfiltração pelo serviço Web T1029 – Transferência agendada T1537 – Transferência de dados para uma conta de nuvem |
Lista de anomalias baseadas | em machine learningDe volta ao topo
DGA (Algoritmo de geração de domínio) potencial em domínios DNS de próximo nível
Descrição: Esse modelo de machine learning indica os domínios de nível seguinte (terceiro nível e superior) dos nomes de domínio do último dia de logs DNS que são incomuns. Eles podem ser a saída de um DGA (algoritmo de geração de domínio). A anomalia se aplica aos registros DNS que são resolvidos para endereços IPv4 e IPv6.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Eventos DNS |
| Táticas MITRE ATT&CK: | Comando e controle |
| Técnicas MITRE ATT&CK: | T1568 – Resolução dinâmica |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de chamadas à API da AWS de um endereço IP de origem não proveniente da AWS
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de chamadas à API AWS por conta de usuário por workspace, de endereços IP de origem fora dos intervalos de IP de origem da AWS, no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta de usuário está comprometida.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de chamadas à API de gravação da AWS em uma conta de usuário
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de chamadas de API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de eventos de log do AWS CloudTrail por conta de usuário. Essa atividade pode indicar que a conta está comprometida.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs do CloudTrail do AWS |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons no computador
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de logons bem-sucedidos (ID do evento de segurança 4624) por computador no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons no computador com token elevado
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de logons bem-sucedidos (ID do evento de segurança 4624) com privilégios administrativos, por computador, no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de logons bem-sucedidos (ID do evento de segurança 4624) por conta de usuário no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário por tipos de logon
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de logons bem-sucedidos (ID do evento de segurança 4624) por conta de usuário, por tipos de logon diferentes, no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Volume suspeito de logons na conta de usuário com token elevado
Descrição: Esse algoritmo detecta um volume excepcionalmente alto de logons bem-sucedidos (ID do evento de segurança 4624) com privilégios administrativos, por conta de usuário, no último dia. O modelo é treinado nos últimos 21 dias de logs de eventos da Segurança do Windows.
| Attribute | Value |
|---|---|
| Tipo de anomalia: | Machine learning personalizável |
| Fontes de dados: | Logs de Segurança do Windows |
| Táticas MITRE ATT&CK: | Acesso Inicial |
| Técnicas MITRE ATT&CK: | T1078 – Contas válidas |
Lista de anomalias baseadas | em machine learningDe volta ao topo
Próximas etapas
Saiba mais sobre anomalias geradas pelo machine learning no Microsoft Sentinel.
Saiba como trabalhar com regras de anomalias.
Investigue incidentes com o Microsoft Sentinel.