Microsoft Sentinel 會藉由分析使用者在一段時間內環境中的行為,並建構合法活動的基準來偵測異常。 建立基準之後,一般參數以外的任何活動都會被視為異常且因此可疑。
Microsoft Sentinel 會使用兩個模型來建立基準並偵測異常。
本文列出 Microsoft Sentinel 使用各種機器學習模型偵測到的異常狀況。
在 [ 異常] 資料表中:
- 此
rulename欄指出 Sentinel 用來識別每個異常的規則。 - 該
score欄包含一個介於 0 和 1 之間的數值,用於量化與預期行為的偏差程度。 分數越高表示與基線的偏差越大,並且更有可能是真正的異常。 較低的分數可能仍然是異常的,但不太可能是顯著或可操作的。
Note
這些異常偵測自 2024 年 3 月 26 日起停止,因為結果品質較低:
- 網域信譽 Palo Alto 異常
- 透過 Palo Alto GlobalProtect 在單一天內的多區域登入
Important
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
UEBA 異常
Sentinel UEBA 會根據針對各種數據輸入為每個實體建立的動態基準來偵測異常。 每個實體的基準行為都是根據其本身的歷程記錄活動、其同儕節點的歷程記錄活動,以及組織整體的歷程記錄活動來設定。 異常狀況可能是由動作類型、地理位置、裝置、資源、ISP 等不同屬性的相互關聯所觸發。
您必須 在 Sentinel 工作區中啟用 UEBA 和異常偵測 ,才能偵測 UEBA 異常。
UEBA 會根據下列異常規則來偵測異常:
- UEBA 異常帳戶存取刪除
- UEBA 異常帳戶建立
- UEBA 異常帳戶刪除
- UEBA 異常帳戶操縱
- GCP 稽核記錄中的 UEBA 異常活動 (預覽版)
- Okta_CL 中的 UEBA 異常活動 (預覽版)
- UEBA 異常驗證 (預覽版)
- UEBA 異常程式碼執行
- UEBA 異常資料銷毀
- 來自 Amazon S3 的 UEBA 異常資料傳輸(預覽版)
- UEBA異常防禦機制修改
- UEBA 異常登入失敗
- UEBA Abnormalous Federated 或 SAML Identity Activity in AwsCloudTrail(預覽)
- UEBA Anomalous IAM Privilege Modification in AwsCloudTrail (Preview)
- AwsCloudTrail 中的 UEBA 異常登入 (預覽版)
- Okta_CL 中的 UEBA 異常 MFA 失敗 (預覽)
- UEBA 異常密碼重設
- 授予 UEBA 異常特權
- UEBA 異常秘密或 KMS 金鑰存取 AwsCloudTrail(預覽)
- UEBA 異常登入
- UEBA 異常 STS 在 AwsCloudTrail 中的 AssumeRole 行為(預覽)
Sentinel 會使用 BehaviorAnalytics 資料表中的擴充資料來識別 UEBA 異常,並具有租用戶和來源專屬的信賴度分數。
UEBA 異常帳戶存取刪除
描述: 攻擊者可能會透過阻止對合法使用者使用的帳戶的存取來中斷系統和網路資源的可用性。 攻擊者可能會刪除、鎖定或操作帳戶(例如,藉由變更其認證),以移除其存取權。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| Activity: | Microsoft.Authorization/roleAssignments/delete 登出 |
UEBA 異常帳戶建立
描述: 對手可能會建立帳戶來維持對目標系統的存取。 使用足夠的存取層級,建立這類帳戶可用來建立次要認證存取,而不需要在系統上部署持續性遠端訪問工具。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
| MITRE ATT&CK 子技術: | 雲端帳戶 |
| Activity: | Core Directory/UserManagement/新增使用者 |
UEBA 異常帳戶刪除
描述: 攻擊者可能會透過禁止存取合法使用者使用的帳戶來中斷系統和網路資源的可用性。 帳戶可能會遭到刪除、鎖定或操作(例如:已變更的認證),以移除帳戶的存取權。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| Activity: | Core Directory/UserManagement/Delete 使用者 Core Directory/Device/Delete 使用者 Core Directory/UserManagement/Delete 使用者 |
UEBA 異常帳戶操縱
描述: 對手可能會操縱帳戶以維持對目標系統的存取。 這些動作包括將新帳戶新增至高許可權群組。 例如,Dragonfly 2.0 已將新建立的帳戶新增至系統管理員群組,以維持提高的存取權。 下列查詢會產生所有執行「更新使用者」(名稱變更)的高爆炸半徑用戶輸出給特殊許可權角色,或第一次變更用戶的輸出。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| Activity: | Core Directory/UserManagement/Update 使用者 |
GCP 稽核記錄中的 UEBA 異常活動 (預覽版)
描述: 根據 GCP 稽核記錄中的 IAM 相關項目,嘗試存取 Google Cloud Platform (GCP) 資源失敗。 這些失敗可能反映配置錯誤的權限、嘗試存取未經授權的服務,或早期階段的攻擊者行為,例如透過服務帳戶進行權限探測或持久性。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | GCP 稽核記錄 |
| MITRE ATT&CK 策略: | 發現 |
| MITRE ATT&CK 技術: | T1087 – 帳戶探索,T1069 – 權限群組探索 |
| Activity: | iam.googleapis.com |
Okta_CL 中的 UEBA 異常活動 (預覽版)
描述: Okta 中非預期的驗證活動或與安全性相關的組態變更,包括登入規則、多重要素驗證 (MFA) 強制執行或管理權限的修改。 這類活動可能表示嘗試變更身分安全控制或透過特權變更來維護存取權。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 策略: | 持久性、權限提升 |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作,T1556 - 修改驗證程式 |
| Activity: | 用戶.session.impersonation.grant 用戶.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常驗證 (預覽版)
描述: 來自適用於端點的 Microsoft Defender 和 Microsoft Entra ID 訊號的異常驗證活動,包括裝置登入、受控識別登入,以及來自 Microsoft Entra ID 的服務主體驗證。 這些異常可能表示憑證濫用、非人類身分濫用或典型存取模式之外的橫向移動嘗試。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | 適用於端點的 Microsoft Defender、Microsoft Entra ID |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: |
UEBA 異常程式碼執行
描述: 對手可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | Execution |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
| MITRE ATT&CK 子技術: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 異常資料銷毀
描述: 攻擊者可能會銷毀特定系統上或網路上的大量資料和檔案,以中斷系統、服務和網路資源的可用性。 透過覆寫本機和遠端磁碟驅動器上的檔案或數據,數據解構可能會讓鑑識技術無法復原儲存的數據。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1485 - 數據解構 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
來自 Amazon S3 的 UEBA 異常資料傳輸(預覽版)
說明: 亞馬遜簡易儲存服務(S3)資料存取或下載模式的偏差。 異常是利用每個使用者、服務和資源的行為基準來判定,並將資料傳輸量、頻率及存取物件數量與歷史常態進行比較。 重大偏差——例如首次大量存取、異常龐大的資料擷取,或來自新地點或應用程式的活動——可能顯示資料外洩、政策違規或被入侵憑證的濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1567 - 透過Web服務外洩 |
| Activity: | PutObject、CopyObject、UploadPart、UploadPartCopy、CreateJob、CompleteMultipartUpload |
UEBA異常防禦機制修改
描述: 攻擊者可能會停用安全工具,以避免可能偵測到其工具和活動。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 防禦閃避 |
| MITRE ATT&CK 技術: | T1562 - 損害防禦 |
| MITRE ATT&CK 子技術: | 停用或修改工具 停用或修改雲端防火牆 |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 異常登入失敗
描述: 事先不了解系統或環境中合法憑證的對手可能會猜測密碼來嘗試存取帳戶。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 憑證存取 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
| Activity: |
Microsoft Entra 識別碼: 登入活動 Windows 安全性: 登入失敗 (事件標識碼 4625) |
UEBA Abnormalous Federated 或 SAML Identity Activity in AwsCloudTrail(預覽)
說明: 基於聯邦或安全主張標記語言(SAML)的身份出現異常行為,涉及首次行動、不熟悉的地理位置或過度的 API 呼叫。 此類異常可能表示會話劫持或聯邦憑證被濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始存取與持久性 |
| MITRE ATT&CK 技術: | T1078 - 有效帳號,T1550 - 使用替代認證資料 |
| Activity: | 使用者認證(EXTERNAL_IDP) |
UEBA Anomalous IAM Privilege Modification in AwsCloudTrail (Preview)
說明: 身份與存取管理(IAM)管理行為的偏差,例如首次建立、修改或刪除角色、使用者及群組,或附加新的內線或受管理政策。 這些可能代表特權升級或政策濫用。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 權限升級與持續性 |
| MITRE ATT&CK 技術: | T1136 - 建立帳號,T1098 - 帳號操作 |
| Activity: | iam.amazonaws.com、sso-directory.amazonaws.com 的建立、新增、附加、刪除、停用、置入及更新操作 |
AwsCloudTrail 中的 UEBA 異常登入 (預覽版)
描述: Amazon Web Services (AWS) 服務中基於 CloudTrail 事件 (例如 ConsoleLogin 和其他身份驗證相關屬性) 的異常登入活動。 異常是由基於地理位置、設備指紋、ISP 和訪問方法等屬性的用戶行為偏差決定的,並可能表示未經授權的訪問嘗試或潛在的政策違規。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: | 主控台登入 |
Okta_CL 中的 UEBA 異常 MFA 失敗 (預覽)
描述: Okta 中失敗的 MFA 嘗試異常模式。 這些異常可能是由於帳戶濫用、憑證填充或不當使用受信任的裝置機制造成的,並且通常反映了早期階段的對手行為,例如測試被盜的憑證或探測身分保護措施。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Okta 雲端日誌 |
| MITRE ATT&CK 策略: | 持久性、權限提升 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶,T1556 - 修改身份驗證過程 |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 異常密碼重設
描述: 攻擊者可能會透過禁止存取合法使用者使用的帳戶來中斷系統和網路資源的可用性。 帳戶可能會遭到刪除、鎖定或操作(例如:已變更的認證),以移除帳戶的存取權。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Impact |
| MITRE ATT&CK 技術: | T1531 - 帳戶存取移除 |
| Activity: | Core Directory/UserManagement/用戶密碼重設 |
授予 UEBA 異常特權
描述: 除了現有的合法認證之外,敵人還可以為 Azure 服務主體新增敵人控制的認證,以維護對受害者 Azure 帳戶的持續存取。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 稽核記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1098 - 帳戶操作 |
| MITRE ATT&CK 子技術: | 其他 Azure 服務主體認證 |
| Activity: | 帳戶布建/應用程式管理/將應用程式角色指派新增至服務主體 |
UEBA 異常秘密或 KMS 金鑰存取 AwsCloudTrail(預覽)
說明: 對 AWS Secrets Manager 或金鑰管理服務(KMS)資源的可疑存取。 首次存取或異常高的存取頻率可能表示憑證收集或資料外洩嘗試。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 憑證存取與收集 |
| MITRE ATT&CK 技術: | T1555 - 密碼儲存庫的憑證 |
| Activity: | GetSecretValue BatchGetSecretValue 清單鍵 秘密清單 PutSecretValue 創造秘密 秘密更新 刪除秘密 CreateKey PutKeyPolicy |
UEBA 異常登入
描述: 攻擊者可能會使用憑證存取技術竊取特定使用者或服務帳戶的憑證,或在偵察過程的早期透過社交工程擷取憑證,以獲得持久性。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | Microsoft Entra 登入記錄 Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
| Activity: |
Microsoft Entra 識別碼: 登入活動 Windows 安全性: 登入成功 (事件標識碼 4624) |
UEBA 異常 STS 在 AwsCloudTrail 中的 AssumeRole 行為(預覽)
說明: AWS 安全令牌服務(STS)AssumeRole 行動的異常使用,特別是涉及特權角色或跨帳號存取。 與一般使用方式不同的情況可能代表權限升級或身份外洩。
| Attribute | Value |
|---|---|
| 異常類型: | UEBA |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 特權升級與防禦規避 |
| MITRE ATT&CK 技術: | T1548 - 濫用高階控制機制,T1078 - 有效帳號 |
| Activity: | 承擔角色 AssumeRoleWithSAML AssumeRoleWithWebIdentity 假設根 |
機器學習型異常
Microsoft Sentinel 可自定義的機器學習型異常,可以使用可立即運作的分析規則範本來識別異常行為。 雖然異常不一定本身表示惡意或甚至可疑行為,但它們可以用來改善偵測、調查和威脅搜捕。
- 異常 Azure 作業
- 異常程式代碼執行
- 建立異常本機帳戶
- Office Exchange 中的異常用戶活動
- 嘗試的計算機暴力密碼破解
- 嘗試的用戶帳戶暴力密碼破解
- 每個登入類型嘗試的用戶帳戶暴力密碼破解
- 每一失敗原因嘗試用戶帳戶暴力密碼破解
- 偵測機器產生的網路指標行為
- DNS 網域上的網域產生演算法 (DGA)
- 透過 Palo Alto GlobalProtect 進行過度下載
- 透過 Palo Alto GlobalProtect 過度上傳
- 新層級 DNS 網域的潛在網域產生演算法 (DGA)
- 來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
- 來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
- 對電腦的可疑登入數量
- 具有更高令牌之計算機的可疑登入數量
- 用戶帳戶的可疑登入數量
- 依登入類型對用戶帳戶的可疑登入數量
- 具有提升許可權令牌之用戶帳戶的可疑登入數量
異常 Azure 作業
描述: 此偵測演算法會收集 21 天的 Azure 作業資料,依使用者分組,以定型此 ML 模型。 接著,此演算法會在工作區中執行作業順序的不常見用戶時產生異常狀況。 定型的 ML 模型會為使用者所執行的作業評分,並考慮其分數大於已定義的閾值的異常。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1190 - 惡意探索公開應用程式 |
異常程式碼執行
描述: 攻擊者可能會濫用命令和腳本解釋器來執行命令、腳本或二進位檔。 這些介面和語言提供與計算機系統互動的方式,而且是許多不同平臺的常見功能。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Azure 活動記錄 |
| MITRE ATT&CK 策略: | Execution |
| MITRE ATT&CK 技術: | T1059 - 命令和腳本解釋器 |
建立異常本機帳戶
描述: 此演算法會偵測 Windows 系統上異常的本機帳戶建立。 攻擊者可能會建立本機帳戶,以維護目標系統的存取權。 此演算法會分析使用者在過去14天內的本機帳戶建立活動。 它從先前在歷史活動中未看到的用戶,尋找當天的類似活動。 您可以指定允許清單來篩選已知使用者,使其無法觸發此異常。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | Persistence |
| MITRE ATT&CK 技術: | T1136 - 建立帳戶 |
Office Exchange 中的異常用戶活動
描述: 此機器學習模型會以每個使用者為基礎,將 Office Exchange 記錄分組到每小時的貯體中。 我們會將一小時定義為會話。 此模型會在所有一般(非系統管理員)使用者之前 7 天的行為訓練。 它表示過去一天中的異常使用者 Office Exchange 會話。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Office 活動記錄 (Exchange) |
| MITRE ATT&CK 策略: | Persistence Collection |
| MITRE ATT&CK 技術: |
Collection: T1114 - 電子郵件收集 T1213 - 來自資訊儲存庫的資料 Persistence: T1098 - 帳戶操作 T1136 - 建立帳戶 T1137 - Office 應用程式啟動 T1505 - 伺服器軟體元件 |
嘗試的計算機暴力密碼破解
描述: 此演算法會偵測過去一天每部電腦異常大量的失敗登入嘗試 (安全性事件標識碼 4625) 。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 憑證存取 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個使用者帳戶異常大量的失敗登入嘗試 (安全性事件識別碼 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 憑證存取 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每個登入類型嘗試的用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個登入類型的每個使用者帳戶異常大量的失敗登入嘗試 (安全性事件標識碼 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 憑證存取 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
每一失敗原因嘗試用戶帳戶暴力密碼破解
描述: 此演算法會偵測過去一天每個使用者帳戶針對失敗原因的異常大量失敗登入嘗試 (安全性事件識別碼 4625)。 模型會在過去 21 天的 Windows 安全性事件記錄檔中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 憑證存取 |
| MITRE ATT&CK 技術: | T1110 - 暴力密碼破解 |
偵測機器產生的網路指標行為
描述: 此演算法會根據週期性時間差異模式,從網路流量連線記錄檔中識別信標模式。 重複差異時,任何對不受信任公用網路的網路連線,都是惡意代碼回呼或數據外流嘗試的指示。 此演算法會計算相同來源IP與目的地IP之間連續網路連線之間的時間差異,以及相同來源與目的地之間的時間差異序列中的連線數目。 指標的百分比會計算為時間差異序列中的連線,以一天的總連線。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1071 - 應用層通訊協定 T1132 - 數據編碼 T1001 - 數據混淆 T1568 - 動態解析度 T1573 - 加密通道 T1008 - 後援通道 T1104 - 多階段通道 T1095 - 非應用層通訊協定 T1571 - 非標準埠 T1572 - 通訊協定通道 T1090 - 代理 T1205 - 交通信號 T1102 - Web 服務 |
DNS 網域上的網域產生演算法 (DGA)
描述: 此機器學習模型會在 DNS 記錄檔中指出過去一天的潛在 DGA 網域。 此演算法適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
透過 Palo Alto GlobalProtect 進行過度下載
描述: 此演算法透過 Palo Alto VPN 解決方案偵測每個使用者帳戶異常高的下載量。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天下載量異常高。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
透過 Palo Alto GlobalProtect 過度上傳
描述: 此演算法會偵測每個使用者帳戶透過 Palo Alto VPN 解決方案上傳異常大量的內容。 此模型會在 VPN 記錄的前 14 天進行定型。 它表示過去一天上傳量異常高。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | Exfiltration |
| MITRE ATT&CK 技術: | T1030 - 資料傳輸大小限制 T1041 - 透過 C2 通道外洩 T1011 - 透過其他網路媒體外洩 T1567 - 透過Web服務外洩 T1029 - 排程傳輸 T1537 - 將數據傳輸到雲端帳戶 |
新層級 DNS 網域的潛在網域產生演算法 (DGA)
描述: 此機器學習模型會指出 DNS 記錄最後一天的網域名稱的下一層網域 (第三層及以上) 異常。 它們可能是網域產生演算法 (DGA) 的輸出。 異常適用於解析為 IPv4 和 IPv6 位址的 DNS 記錄。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令與控制 |
| MITRE ATT&CK 技術: | T1568 - 動態解析度 |
來自非 AWS 來源 IP 位址的可疑 AWS API 呼叫數量
描述: 此演算法會在最後一天內偵測到每個工作區每個使用者帳戶的異常大量 AWS API 呼叫,這些呼叫來自 AWS 來源 IP 範圍之外的來源 IP 地址。 模型會根據來源IP位址,在AWS CloudTrail記錄事件的前21天定型。 此活動可能表示用戶帳戶遭到入侵。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
來自用戶帳戶的可疑 AWS 寫入 API 呼叫數量
描述: 此演算法會偵測到每個使用者帳戶在最後一天內異常大量的 AWS 寫入 API 呼叫。 模型會依用戶帳戶在 AWS CloudTrail 記錄事件的過去 21 天內定型。 此活動可能表示帳戶遭到入侵。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | AWS CloudTrail 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
對電腦的可疑登入數量
描述: 此演算法會偵測過去一天每部電腦異常大量的成功登入 (安全性事件標識碼 4624) 。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有更高令牌之計算機的可疑登入數量
描述: 此演算法會偵測異常大量的成功登入 (安全性事件標識碼 4624) ,每部電腦在最後一天具有系統管理許可權。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
用戶帳戶的可疑登入數量
描述: 此演算法會偵測過去一天每個使用者帳戶異常大量的成功登入 (安全性事件識別碼 4624)。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
依登入類型對用戶帳戶的可疑登入數量
描述: 此演算法會偵測過去一天中,每個使用者帳戶的成功登入數量異常高 (安全性事件識別碼 4624) ,依不同的登入類型。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |
具有提升許可權令牌之用戶帳戶的可疑登入數量
描述: 此演算法會偵測異常大量的成功登入 (安全性事件標識碼 4624) ,每個使用者帳戶在最後一天具有系統管理許可權。 模型會在前 21 天的 Windows 安全性 事件記錄中定型。
| Attribute | Value |
|---|---|
| 異常類型: | 可自定義的機器學習 |
| 資料來源: | Windows 安全性 記錄 |
| MITRE ATT&CK 策略: | 初始訪問 |
| MITRE ATT&CK 技術: | T1078 - 有效帳戶 |