Anomalias detetadas pelo mecanismo de aprendizado de máquina Microsoft Sentinel

O Microsoft Sentinel deteta anomalias analisando o comportamento dos usuários em um ambiente durante um período de tempo e construindo uma linha de base de atividade legítima. Uma vez estabelecida a linha de base, qualquer atividade fora dos parâmetros normais é considerada anómala e, por conseguinte, suspeita.

O Microsoft Sentinel usa dois modelos para criar linhas de base e detetar anomalias.

• Anomalias da UEBA
• Anomalias baseadas em aprendizagem automática

Este artigo lista as anomalias que o Microsoft Sentinel deteta usando vários modelos de aprendizado de máquina.

Na tabela Anomalias :

• A rulename coluna indica a regra utilizada pelo Sentinel para identificar cada anomalia.
• A score coluna contém um valor numérico entre 0 e 1, que quantifica o grau de desvio do comportamento esperado. Pontuações mais altas indicam maior desvio em relação à linha de base e são mais prováveis de serem verdadeiras anomalias. Pontuações mais baixas ainda podem ser anômalas, mas são menos prováveis de serem significativas ou acionáveis.

Anomalias da UEBA

O Sentinel UEBA deteta anomalias com base em linhas de base dinâmicas criadas para cada entidade através de várias entradas de dados. O comportamento de base de cada entidade é definido de acordo com suas próprias atividades históricas, as de seus pares e as da organização como um todo. As anomalias podem ser desencadeadas pela correlação de diferentes atributos, como tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.

Você deve habilitar a UEBA e a deteção de anomalias em seu espaço de trabalho do Sentinel para detetar anomalias da UEBA.

A UEBA deteta anomalias com base nestas regras de anomalias:

• Remoção Anômala de Acesso à Conta UEBA
• Criação de Conta Anômala UEBA
• Exclusão anômala de conta da UEBA
• Manipulação anômala de contas da UEBA
• Atividade anômala da UEBA em logs de auditoria do GCP (visualização)
• Atividade Anômala da UEBA no Okta_CL (Visualização)
• Autenticação Anômala UEBA (Visualização)
• Execução Anômala de Código UEBA
• Destruição Anômala de Dados UEBA
• UEBA Transferência Anómala de Dados a partir da Amazon S3 (Pré-visualização)
• Modificação Anômala do Mecanismo Defensivo da UEBA
• UEBA Anômalo Falhou Login
• Atividade Federada Anómala ou Identidade SAML da UEBA no AwsCloudTrail (Pré-visualização)
• Modificação de Privilégios Anómalos IAM na UEBA no AwsCloudTrail (Pré-visualização)
• Logon anômalo do UEBA no AwsCloudTrail (visualização)
• Falhas Anômalas de MFA da UEBA no Okta_CL (Visualização)
• Redefinição anômala de senha da UEBA
• UEBA Privilégio Anômalo Concedido
• UEBA Secret Anómalo ou Acesso à Chave KMS no AwsCloudTrail (Pré-visualização)
• Login anômalo da UEBA
• Comportamento Anómalo de Assumir Papel STS na UEBA no AwsCloudTrail (Pré-visualização)

O Sentinel usa dados enriquecidos da tabela BehaviorAnalytics para identificar anomalias da UEBA com uma pontuação de confiança específica para seu locatário e fonte.

Remoção Anômala de Acesso à Conta UEBA

Descrição: Um invasor pode interromper a disponibilidade de recursos do sistema e da rede bloqueando o acesso a contas usadas por usuários legítimos. O invasor pode excluir, bloquear ou manipular uma conta (por exemplo, alterando suas credenciais) para remover o acesso a ela.

Voltar à lista | Voltar ao topo

Criação de Conta Anômala UEBA

Descrição: Os adversários podem criar uma conta para manter o acesso aos sistemas visados. Com um nível suficiente de acesso, a criação dessas contas pode ser usada para estabelecer acesso credenciado secundário sem exigir que ferramentas de acesso remoto persistentes sejam implantadas no sistema.

Voltar à lista | Voltar ao topo

Exclusão anômala de conta da UEBA

Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.

Voltar à lista | Voltar ao topo

Manipulação anômala de contas da UEBA

Descrição: Os adversários podem manipular contas para manter o acesso aos sistemas de destino. Essas ações incluem a adição de novas contas a grupos altamente privilegiados. O Dragonfly 2.0, por exemplo, adicionou contas recém-criadas ao grupo de administradores para manter o acesso elevado. A consulta abaixo gera uma saída de todos os usuários de raio de explosão alto executando "Atualizar usuário" (alteração de nome) para função privilegiada ou aqueles que alteraram usuários pela primeira vez.

Voltar à lista | Voltar ao topo

Atividade anômala da UEBA em logs de auditoria do GCP (visualização)

Descrição: Tentativas de acesso com falha aos recursos do Google Cloud Platform (GCP) com base em entradas relacionadas ao IAM nos logs de auditoria do GCP. Essas falhas podem refletir permissões mal configuradas, tentativas de acessar serviços não autorizados ou comportamentos de invasores em estágio inicial, como investigação de privilégios ou persistência por meio de contas de serviço.

Voltar à lista | Voltar ao topo

Atividade Anômala da UEBA no Okta_CL (Visualização)

Descrição: Atividade de autenticação inesperada ou alterações de configuração relacionadas à segurança no Okta, incluindo modificações nas regras de entrada, imposição de autenticação multifator (MFA) ou privilégios administrativos. Essa atividade pode indicar tentativas de alterar os controles de segurança de identidade ou manter o acesso por meio de alterações privilegiadas.

Voltar à lista | Voltar ao topo

Autenticação Anômala UEBA (Visualização)

Descrição: Atividade de autenticação incomum entre sinais do Microsoft Defender for Endpoint e do Microsoft Entra ID, incluindo logons de dispositivo, entradas de identidade gerenciadas e autenticações de entidade de serviço do Microsoft Entra ID. Essas anomalias podem sugerir uso indevido de credenciais, abuso de identidade não humana ou tentativas de movimento lateral fora dos padrões típicos de acesso.

Voltar à lista | Voltar ao topo

Execução Anômala de Código UEBA

Descrição: Os adversários podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.

Voltar à lista | Voltar ao topo

Destruição Anômala de Dados UEBA

Descrição: Os adversários podem destruir dados e arquivos em sistemas específicos ou em grande número em uma rede para interromper a disponibilidade de sistemas, serviços e recursos de rede. É provável que a destruição de dados torne os dados armazenados irrecuperáveis por técnicas forenses através da substituição de ficheiros ou dados em unidades locais e remotas.

Voltar à lista | Voltar ao topo

UEBA Transferência Anómala de Dados a partir da Amazon S3 (Pré-visualização)

Descrição: Desvios nos padrões de acesso ou download de dados do Amazon Simple Storage Service (S3). A anomalia é determinada usando referências comportamentais para cada utilizador, serviço e recurso, comparando o volume, frequência e número de objetos acedidos de transferência de dados com normas históricas. Desvios significativos – como acesso em massa pela primeira vez, recuperações de dados incomumente grandes ou atividade a partir de novas localizações ou aplicações – podem indicar potencial exfiltração de dados, violações de políticas ou uso indevido de credenciais comprometidas.

Voltar à lista | Voltar ao topo

Modificação Anômala do Mecanismo Defensivo da UEBA

Descrição: Os adversários podem desativar as ferramentas de segurança para evitar a possível deteção de suas ferramentas e atividades.

Voltar à lista | Voltar ao topo

UEBA Anômalo Falhou Login

Descrição: Adversários sem conhecimento prévio de credenciais legítimas dentro do sistema ou ambiente podem adivinhar senhas para tentar acessar contas.

Voltar à lista | Voltar ao topo

Atividade Federada Anómala ou Identidade SAML da UEBA no AwsCloudTrail (Pré-visualização)

Descrição: Atividade invulgar por identidades federadas ou baseadas em Linguagem de Marcação de Asserção de Segurança (SAML) envolvendo ações iniciais, geolocalizações desconhecidas ou chamadas excessivas de API. Tais anomalias podem indicar sequestro de sessão ou uso indevido de credenciais federadas.

Voltar à lista | Voltar ao topo

Modificação de Privilégios Anómalos IAM na UEBA no AwsCloudTrail (Pré-visualização)

Descrição: Desvios no comportamento administrativo da Gestão de Identidade e Acesso (IAM), como a criação, modificação ou eliminação pela primeira vez de funções, utilizadores e grupos, ou anexação de novas políticas inline ou geridas. Isto pode indicar escalada de privilégios ou abuso de políticas.

Voltar à lista | Voltar ao topo

Logon anômalo do UEBA no AwsCloudTrail (visualização)

Descrição: Atividade de logon incomum em serviços da Amazon Web Services (AWS) com base em eventos do CloudTrail, como ConsoleLogin e outros atributos relacionados à autenticação. As anomalias são determinadas por desvios no comportamento do usuário com base em atributos como geolocalização, impressão digital do dispositivo, ISP e método de acesso, e podem indicar tentativas de acesso não autorizado ou possíveis violações de políticas.

Voltar à lista | Voltar ao topo

Falhas Anômalas de MFA da UEBA no Okta_CL (Visualização)

Descrição: Padrões incomuns de tentativas fracassadas de MFA em Okta. Essas anomalias podem resultar de uso indevido de conta, preenchimento de credenciais ou uso indevido de mecanismos de dispositivos confiáveis e, muitas vezes, refletem comportamentos adversários em estágio inicial, como testar credenciais roubadas ou investigar salvaguardas de identidade.

Voltar à lista | Voltar ao topo

Redefinição anômala de senha da UEBA

Descrição: Os adversários podem interromper a disponibilidade dos recursos do sistema e da rede, inibindo o acesso a contas utilizadas por utilizadores legítimos. As contas podem ser excluídas, bloqueadas ou manipuladas (por exemplo, credenciais alteradas) para remover o acesso às contas.

Voltar à lista | Voltar ao topo

UEBA Privilégio Anômalo Concedido

Descrição: Os adversários podem adicionar credenciais controladas por adversários para Entidades de Serviço do Azure, além das credenciais legítimas existentes para manter o acesso persistente às contas do Azure vítimas.

Voltar à lista | Voltar ao topo

UEBA Secret Anómalo ou Acesso à Chave KMS no AwsCloudTrail (Pré-visualização)

Descrição: Acesso suspeito aos recursos do AWS Secrets Manager ou Key Management Service (KMS). O acesso pela primeira vez ou uma frequência de acesso invulgarmente elevada podem indicar tentativas de recolha de credenciais ou exfiltração de dados.

Voltar à lista | Voltar ao topo

Login anômalo da UEBA

Descrição: Os adversários podem roubar as credenciais de um usuário específico ou conta de serviço usando técnicas de Acesso a Credenciais ou capturar credenciais anteriormente em seu processo de reconhecimento por meio de engenharia social para obter Persistência.

Voltar à lista | Voltar ao topo

Comportamento Anómalo de Assumir Papel STS na UEBA no AwsCloudTrail (Pré-visualização)

Descrição: Uso anómalo das ações AssumeRole do AWS Security Token Service (STS), especialmente envolvendo papéis privilegiados ou acesso entre contas. Desvios do uso típico podem indicar escalada de privilégios ou comprometimento de identidade.

Voltar à lista | Voltar ao topo

Anomalias baseadas em aprendizagem automática

As anomalias personalizáveis e baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar comportamentos anômalos com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças.

• Operações anômalas do Azure
• Execução de código anômalo
• Criação anômala de conta local
• Atividades anômalas do usuário no Office Exchange
• Tentativa de força bruta no computador
• Tentativa de força bruta da conta de utilizador
• Tentativa de força bruta da conta de usuário por tipo de login
• Tentativa de força bruta da conta de usuário por motivo de falha
• Detetar o comportamento de balizamento de rede gerado pela máquina
• Algoritmo de geração de domínio (DGA) em domínios DNS
• Downloads excessivos via Palo Alto GlobalProtect
• Uploads excessivos via Palo Alto GlobalProtect
• Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível
• Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS
• Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário
• Volume suspeito de logins no computador
• Volume suspeito de logins no computador com token elevado
• Volume suspeito de logins na conta de usuário
• Volume suspeito de logins na conta de usuário por tipos de logon
• Volume suspeito de logins na conta de usuário com token elevado

Operações anômalas do Azure

Descrição: Esse algoritmo de deteção coleta dados de 21 dias sobre operações do Azure agrupadas por usuário para treinar esse modelo de ML. O algoritmo então gera anomalias no caso de usuários que realizaram sequências de operações incomuns em seus espaços de trabalho. O modelo de ML treinado pontua as operações realizadas pelo usuário e considera anômalas aquelas cuja pontuação é maior do que o limiar definido.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Execução de código anômalo

Descrição: Os invasores podem abusar de interpretadores de comandos e scripts para executar comandos, scripts ou binários. Estas interfaces e linguagens proporcionam formas de interagir com sistemas informáticos e são uma característica comum a muitas plataformas diferentes.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Criação anômala de conta local

Descrição: Este algoritmo deteta a criação anômala de contas locais em sistemas Windows. Os atacantes podem criar contas locais para manter o acesso aos sistemas visados. Este algoritmo analisa a atividade de criação de conta local nos 14 dias anteriores pelos utilizadores. Ele procura atividade semelhante no dia atual de usuários que não foram vistos anteriormente na atividade histórica. Você pode especificar uma lista de permissões para filtrar usuários conhecidos de acionar essa anomalia.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Atividades anômalas do usuário no Office Exchange

Descrição: Esse modelo de aprendizado de máquina agrupa os logs do Office Exchange por usuário em buckets por hora. Definimos uma hora como uma sessão. O modelo é treinado nos últimos 7 dias de comportamento em todos os usuários regulares (não administradores). Ele indica sessões anômalas do Office Exchange no último dia.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Tentativa de força bruta no computador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Tentativa de força bruta da conta de utilizador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Tentativa de força bruta da conta de usuário por tipo de login

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por tipo de início de sessão no dia anterior. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Tentativa de força bruta da conta de usuário por motivo de falha

Descrição: Este algoritmo deteta um volume invulgarmente elevado de tentativas de início de sessão falhadas (ID de evento de segurança 4625) por conta de utilizador por motivo de falha no dia anterior. O modelo é treinado nos 21 dias anteriores dos logs de eventos de segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Detetar o comportamento de balizamento de rede gerado pela máquina

Descrição: Esse algoritmo identifica padrões de beaconing a partir de logs de conexão de tráfego de rede com base em padrões delta de tempo recorrente. Qualquer conexão de rede com redes públicas não confiáveis em deltas de tempo repetitivo é uma indicação de retornos de chamada de malware ou tentativas de exfiltração de dados. O algoritmo calculará o delta de tempo entre conexões de rede consecutivas entre o mesmo IP de origem e IP de destino, bem como o número de conexões em uma sequência de delta de tempo entre as mesmas fontes e destinos. A porcentagem de beaconing é calculada como as conexões na sequência tempo-delta em relação ao total de conexões em um dia.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Algoritmo de geração de domínio (DGA) em domínios DNS

Descrição: Este modelo de aprendizagem automática indica potenciais domínios DGA do dia anterior nos registos DNS. O algoritmo aplica-se a registos DNS que resolvem para endereços IPv4 e IPv6.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Downloads excessivos via Palo Alto GlobalProtect

Descrição: Este algoritmo deteta um volume invulgarmente elevado de downloads por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Indica um elevado volume anómalo de downloads no último dia.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Uploads excessivos via Palo Alto GlobalProtect

Descrição: Este algoritmo deteta um volume invulgarmente elevado de carregamento por conta de utilizador através da solução Palo Alto VPN. O modelo é treinado nos 14 dias anteriores dos logs de VPN. Isso indica um alto volume anômalo de upload no dia anterior.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Algoritmo de geração de domínio potencial (DGA) em domínios DNS de próximo nível

Descrição: Esse modelo de aprendizado de máquina indica os domínios de próximo nível (terceiro nível e superior) dos nomes de domínio do último dia de logs DNS que são incomuns. Eles podem ser potencialmente a saída de um algoritmo de geração de domínio (DGA). A anomalia aplica-se aos registos DNS que são resolvidos para endereços IPv4 e IPv6.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de chamadas de API da AWS de endereços IP de origem que não são da AWS

Descrição: Esse algoritmo deteta um volume anormalmente alto de chamadas de API da AWS por conta de usuário por espaço de trabalho, a partir de endereços IP de origem fora dos intervalos de IP de origem da AWS, no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por endereço IP de origem. Essa atividade pode indicar que a conta do usuário está comprometida.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de chamadas de API de gravação da AWS a partir de uma conta de usuário

Descrição: Esse algoritmo deteta um volume anormalmente alto de chamadas de API de gravação da AWS por conta de usuário no último dia. O modelo é treinado nos 21 dias anteriores de eventos de log do AWS CloudTrail por conta de usuário. Esta atividade pode indicar que a conta está comprometida.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de logins no computador

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por computador no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de logins no computador com token elevado

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por computador, durante o último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de logins na conta de usuário

Descrição: Esse algoritmo deteta um volume anormalmente alto de logins bem-sucedidos (ID de evento de segurança 4624) por conta de usuário no dia anterior. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de logins na conta de usuário por tipos de logon

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) por conta de utilizador, por diferentes tipos de início de sessão, no último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Volume suspeito de logins na conta de usuário com token elevado

Descrição: Este algoritmo deteta um volume invulgarmente elevado de inícios de sessão bem-sucedidos (ID de evento de segurança 4624) com privilégios administrativos, por conta de utilizador, durante o último dia. O modelo é treinado nos 21 dias anteriores dos logs de eventos de Segurança do Windows.

Voltar à lista de anomalias baseadas em Machine Learning | Voltar ao topo

Próximos passos

• Saiba mais sobre anomalias geradas por aprendizado de máquina no Microsoft Sentinel.

• Saiba como trabalhar com regras de anomalias.

• Investigue incidentes com o Microsoft Sentinel.