Von der Microsoft Sentinel Machine Learning-Engine erkannte Anomalien

In diesem Artikel sind die Anomalien aufgeführt, die Microsoft Sentinel mit verschiedenen Machine Learning-Modellen erkennt.

Anomalien werden erkannt, indem das Verhalten der Benutzer in einer Umgebung über einen Zeitraum analysiert wird und indem eine Baseline für legitime Aktivitäten erstellt wird. Sobald die Baseline festgelegt wurde, wird jede Aktivität außerhalb der normalen Parameter als anomale und daher verdächtiger Aktivität betrachtet.

Microsoft Sentinel verwendet zwei verschiedene Modelle, um Baselines zu erstellen und Anomalien zu erkennen.

Hinweis

Die folgenden Anomalieerkennungen werden am 26. März 2024 aufgrund geringer Qualität der Ergebnisse eingestellt:

  • Domänenzuverlässigkeits-Palo-Alto-Anomalie
  • Anmeldungen in mehreren Regionen an einem einzigen Tag über Palo Alto GlobalProtect

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

UEBA-Anomalien

Sentinel UEBA erkennt Anomalien auf der Grundlage dynamischer Baselines, die für jede Entität über verschiedene Dateneingaben erstellt werden. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.

Sie müssen das UEBA-Feature für UEBA-Anomalien aktivieren, die erkannt werden sollen.

Entfernen anomaler Kontozugriffe

Beschreibung: Ein Angreifer kann die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem er den Zugriff auf Konten blockiert, die von legitimen Benutzern verwendet werden. Der Angreifer kann ein Konto löschen, sperren oder bearbeiten (z. B. durch Ändern seiner Anmeldeinformationen), damit nicht mehr darauf zugegriffen werden kann.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Auswirkung
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Aktivität: Microsoft.Authorization/roleAssignments/delete
Abmelden

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Kontoerstellung

Beschreibung: Angreifer können ein Konto erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Auf der entsprechenden Zugriffsebene kann durch die Erstellung dieser Konten der Zugriff auf sekundäre Konten hergestellt werden, ohne dass auf dem System Tools für den Remotezugriff dauerhaft bereitgestellt werden müssen.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistenz
MITRE ATT&CK-Techniken: T1136 – Konto erstellen
MITRE ATT&CK-Untertechniken: Cloudkonto
Aktivität: Kernverzeichnis/Benutzerverwaltung/Benutzer hinzufügen

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Kontolöschung

Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern verwendet werden, verhindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Auswirkung
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Aktivität: Kernverzeichnis/Benutzerverwaltung/Benutzer löschen
Kernverzeichnis/Gerät/Benutzer löschen
Kernverzeichnis/Benutzerverwaltung/Benutzer löschen

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Kontobearbeitung

Beschreibung: Angreifer können Konten bearbeiten, um Den Zugriff auf Zielsysteme zu erhalten. Diese Aktionen umfassen das Hinzufügen neuer Konten zu privilegierten Gruppen. Dragonfly 2.0 hat beispielsweise neu erstellte Konten zu Administratorengruppen hinzugefügt, um erhöhte Zugriffsrechte aufrechtzuerhalten. Mit der folgenden Abfrage wird die Ausgabe aller Benutzer mit hohem Wirkungsgrad generiert, die „Benutzer aktualisieren“ (Namensänderung) für privilegierte Rollen ausführen, oder solche, bei denen die Benutzer zum ersten Mal geändert wurden.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistenz
MITRE ATT&CK-Techniken: T1098 – Kontobearbeitung
Aktivität: Kernverzeichnis/Benutzerverwaltung/Benutzer aktualisieren

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomalous Code Execution (UEBA)

Beschreibung: Angreifer können Befehls- und Skript-Interpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Ausführung
MITRE ATT&CK-Techniken: T1059 – Befehls- und Skript-Interpreter
MITRE ATT&CK-Untertechniken: PowerShell
Aktivität: Microsoft.Compute/virtualMachines/runCommand/action

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Datenvernichtung

Beschreibung: Angreifer können Daten und Dateien auf bestimmten Systemen oder in großen Zahlen in einem Netzwerk vernichten, um die Verfügbarkeit von Systemen, Diensten und Netzwerkressourcen zu unterbrechen. Durch die Datenvernichtung werden gespeicherte Daten durch forensische Techniken durch Überschreiben von Dateien oder Daten auf lokalen und Remotelaufwerken unwiederherstellbar.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Auswirkung
MITRE ATT&CK-Techniken: T1485 – Datenvernichtung
Aktivität: Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Änderung des Defensivmechanismus

Beschreibung: Angreifer können Sicherheitstools deaktivieren, damit ihre Tools und Aktivitäten nicht erkannt werden können.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Umgehen von Verteidigungsmaßnahmen
MITRE ATT&CK-Techniken: T1562 – Verteidigung beeinträchtigen
MITRE ATT&CK-Untertechniken: Deaktivieren oder Ändern von Tools
Deaktivieren oder Ändern der Cloudfirewall
Aktivität: Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale fehlgeschlagene Anmeldung

Beschreibung: Angreifer ohne vorherige Kenntnisse der legitimen Anmeldeinformationen innerhalb des Systems oder der Umgebung können Kennwörter erraten, um zu versuchen, auf Konten zuzugreifen.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Anmeldeprotokolle
Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1110 – Brute Force
Aktivität: Microsoft Entra ID: Anmeldeaktivität
Windows-Sicherheit: Fehlgeschlagene Anmeldung (Ereignis-ID 4625)

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Kennwortzurücksetzung

Beschreibung: Angreifer können die Verfügbarkeit von System- und Netzwerkressourcen unterbrechen, indem sie den Zugriff auf Konten, die von legitimen Benutzern verwendet werden, verhindern. Konten können gelöscht, gesperrt oder bearbeitet werden (z. B. geänderte Anmeldeinformationen), damit nicht mehr auf die Konten zugegriffen werden kann.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Auswirkung
MITRE ATT&CK-Techniken: T1531 – Entfernen des Kontozugriffs
Aktivität: Kernverzeichnis/Benutzerverwaltung/Benutzerkennwortzurücksetzung

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Berechtigungen gewährt

Beschreibung: Angreifer können zusätzlich zu vorhandenen legitimen Anmeldeinformationen vom Angreifer kontrollierte Anmeldedaten für Azure-Dienstprinzipalen hinzufügen, um dauerhaft Zugriff auf Opfer-Azure-Konten zu erhalten.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Persistenz
MITRE ATT&CK-Techniken: T1098 – Kontobearbeitung
MITRE ATT&CK-Untertechniken: Zusätzliche Anmeldeinformationen für Azure-Dienstprinzipale
Aktivität: Kontobereitstellung/Anwendungsverwaltung/App-Rollenzuweisung zum Dienstprinzipal hinzufügen

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Anomale Anmeldung

Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzers oder Diensts mithilfe von Techniken für den Zugriff auf Anmeldeinformationen stehlen oder Anmeldeinformationen zu einem früheren Zeitpunkt in ihrem Erkundungsprozess durch Social Engineering abfangen, um so dauerhaft Zugang zu erhalten.

attribute Wert
Anomalietyp: UEBA
Datenquellen: Microsoft Entra-Anmeldeprotokolle
Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Persistenz
MITRE ATT&CK-Techniken: T1078 – Gültige Konten
Aktivität: Microsoft Entra ID: Anmeldeaktivität
Windows-Sicherheit: Erfolgreiche Anmeldung (Ereignis-ID 4624)

Zurück zur Liste | der UEBA-Anomalien zurück zum Anfang

Machine Learning-basierte Anomalien

Die auf Machine Learning basierenden anpassbaren Anomalien von Microsoft Sentinel können anomales Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern.

Anomale Microsoft Entra-Anmeldesitzungen

Beschreibung: Das Machine Learning-Modell gruppiert die Microsoft Entra-Anmeldeprotokolle pro Benutzer. Das Modell wird in den vorherigen 6 Tagen im Hinblick auf das Benutzeranmeldeverhalten trainiert. Es gibt anomale Benutzeranmeldesitzungen während des letzten Tags an.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Microsoft Entra-Anmeldeprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten
T1566 – Phishing
T1133 – Externe Remotedienste

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Azure-Vorgänge

Beschreibung: Dieser Erkennungsalgorithmus sammelt an 21 Tagen Daten über Azure-Vorgänge, die der Benutzer gruppiert hat, um dieses ML-Modell zu trainieren. Anschließend generiert der Algorithmus Anomalien im Falle von Benutzern, die Sequenzen von Vorgängen ausgeführt haben, die in ihren Arbeitsbereichen selten vorkommen. Das trainierte ML-Modell bewertet die vom Benutzer ausgeführten Vorgänge und betrachtet Anomalien, deren Bewertung oberhalb des definierten Schwellenwerts liegt.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1190 – Öffentliche Anwendung ausnutzen

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Codeausführung

Beschreibung: Angreifer können Befehls- und Skript-Interpreter missbrauchen, um Befehle, Skripts oder Binärdateien auszuführen. Diese Schnittstellen und Sprachen bieten Möglichkeiten für die Interaktion mit Computersystemen und sind ein gemeinsames Feature vieler verschiedener Plattformen.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Azure-Aktivitätsprotokolle
MITRE ATT&CK-Taktiken: Ausführung
MITRE ATT&CK-Techniken: T1059 – Befehls- und Skript-Interpreter

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale lokale Kontoerstellung

Beschreibung: Dieser Algorithmus erkennt die anomale lokale Kontoerstellung auf Windows-Systemen. Angreifer können lokale Konten erstellen, um den Zugriff auf Zielsysteme aufrechtzuerhalten. Dieser Algorithmus analysiert die lokale Kontoerstellungsaktivität über die vergangenen 14 Tage nach Benutzern. Es sucht nach ähnlichen tagesaktuellen Aktivitäten von Benutzern, die zuvor nicht in den Verlaufsaktivitäten aufgefallen sind. Sie können eine Zulassungsliste festlegen, um bekannte Benutzer herauszufiltern, damit diese Anomalie nicht ausgelöst wird.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Persistenz
MITRE ATT&CK-Techniken: T1136 – Konto erstellen

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Scanaktivität

Beschreibung: Dieser Algorithmus sucht nach Portscanaktivitäten, die von einer einzelnen Quell-IP zu einem oder mehreren Ziel-IPs stammen, die normalerweise in einer bestimmten Umgebung nicht vorkommen.

Der Algorithmus berücksichtigt, ob die IP öffentlich/extern oder privat/intern ist und ob das Ereignis entsprechend gekennzeichnet ist. Derzeit werden nur Aktivitäten des Typs „privat-zu öffentlich“ oder „öffentlich-zu-privat“ berücksichtigt. Die Überprüfungsaktivität kann darauf hinweisen, dass ein Angreifer versucht, verfügbare Dienste in einer Umgebung zu ermitteln, die potenziell ausgenutzt und für eingehende oder laterale Bewegungen verwendet werden kann. Eine große Zahl von Quellports und eine große Zahl von Zielports von einer einzigen Quell-IP zu einer einzelnen oder mehreren Ziel-IP- oder IPs kann interessant sein und auf anomale Überprüfungen hinweisen. Bei einer großen Zahl von Ziel-IPs im Verhältnis zu der einzelnen Quell-IP kann dies zudem auf eine anomale Überprüfung hinweisen.

Konfigurationsdetails:

  • Die Standardeinstellung für die Auftragsausführung lautet täglich mit Containern nach Stunden.
    Der Algorithmus verwendet die folgenden konfigurierbaren Standardwerte, um die Ergebnisse basierend auf Stundencontainern zu begrenzen.
  • Einbezogene Geräteaktionen – Akzeptieren, Zulassen, Starten
  • Ausgenommene Ports – 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Eindeutige Zielportanzahl >= 600
  • Eindeutige Quellportanzahl >= 600
  • Eindeutige Quellportanzahl geteilt durch die eindeutige Zielportanzahl, Verhältnis konvertiert in Prozent >= 99,99
  • Quell-IP (immer 1) geteilt durch Ziel-IP, Verhältnis konvertiert in Prozent >= 99,99
attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK-Taktiken: Ermittlung
MITRE ATT&CK-Techniken: T1046 – Netzwerkdienstüberprüfung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Benutzeraktivitäten in Office Exchange

Beschreibung: Dieses Machine Learning-Modell gruppiert die Office Exchange Protokolle pro Benutzer in Bucket nach Stunden. Eine Stunde wird als Sitzung definiert. Das Modell wird anhand des Verhaltens der vorangegangenen 7 Tage für alle regulären (Nicht-Administrator-)Benutzer trainiert. Office Exchange-Sitzungen mit anomalen Benutzern werden am letzten Tag angegeben.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Office-Aktivitätsprotokoll (Exchange)
MITRE ATT&CK-Taktiken: Persistenz
Sammlung
MITRE ATT&CK-Techniken: Sammlung:
T1114 – E-Mail-Sammlung
T1213 – Daten aus Informationsrepositorys

Persistenz:
T1098 – Kontobearbeitung
T1136 – Konto erstellen
T1137 – Office-Anwendungsstart
T1505 – Serversoftwarekomponente

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Benutzer-/App-Aktivitäten in Azure-Überwachungsprotokollen

Beschreibung: Dieser Algorithmus identifiziert anomale Benutzer-/App-Azure-Sitzungen in Überwachungsprotokollen für den letzten Tag basierend auf dem Verhalten der vorangegangenen 21 Tage aller Benutzer und Apps. Der Algorithmus überprüft, ob eine ausreichende Menge an Daten vorhanden ist, bevor das Modell trainiert wird.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Microsoft Entra-Überwachungsprotokolle
MITRE ATT&CK-Taktiken: Sammlung
Ermittlung
Erstzugriff
Persistenz
Rechteausweitung
MITRE ATT&CK-Techniken: Sammlung:
T1530 – Daten aus Cloudspeicherobjekt

Ermittlung:
T1087 – Kontoermittlung
T1538 – Clouddienst-Dashboard
T1526 – Clouddiensterkennung
T1069 – Berechtigungsgruppenerkennung
T1518 – Softwareerkennung

Erstzugriff:
T1190 – Öffentliche Anwendung ausnutzen
T1078 – Gültige Konten

Persistenz:
T1098 – Kontobearbeitung
T1136 – Konto erstellen
T1078 – Gültige Konten

Rechteausweitung
T1484 – Änderung der Domänenrichtlinie
T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale W3CIIS-Protokollaktivität

Beschreibung: Dieser Machine-Learning-Algorithmus weist auf anomale IIS-Sitzungen am letzten Tag hin. Er erfasst z. B. eine ungewöhnlich hohe Anzahl an unterschiedlichem URI-Abfragen, Benutzer-Agents oder Protokollen in einer Sitzung oder an bestimmten HTTP-Verben oder HTTP-Status in einer Sitzung. Der Algorithmus identifiziert ungewöhnliche W3CIISLog-Ereignisse innerhalb einer Stundensitzung, gruppiert nach Websitename und Client-IP. Das Modell wird an den der IIS-Aktivität vorangegangenen 7 Tagen trainiert. Der Algorithmus überprüft, ob eine ausreichende Menge an IIS-Aktivitäten vorhanden ist, bevor das Modell trainiert wird.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: W3CIIS-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
Persistenz
MITRE ATT&CK-Techniken: Erstzugriff:
T1190 – Öffentliche Anwendung ausnutzen

Persistenz:
T1505 – Serversoftwarekomponente

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anomale Webanforderungsaktivität

Beschreibung: Dieser Algorithmus gruppiert W3CIISLog-Ereignisse in Stundensitzungen, die nach Websitename und URI-Stamm gruppiert sind. Das Machine Learning-Modell identifiziert Sitzungen mit ungewöhnlich vielen Anforderungen, die am letzten Tag 5xx-Klassenantwortcodes ausgelöst haben. 5xx-Klassencodes sind ein Hinweis darauf, dass einige Anwendungsinstabilitäten oder Fehlerbedingungen durch die Anforderung ausgelöst wurden. Sie können ein Hinweis darauf sein, dass ein Angreifer den URI-Stamm auf Sicherheitsrisiken und Konfigurationsprobleme testet, einige Ausnutzungsaktivitäten wie z. B. SQL-Injektionen durchführt oder eine nicht gepatchte Sicherheitsanfälligkeit nutzt. Dieser Algorithmus braucht für das Training 6 Tage.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: W3CIIS-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
Persistenz
MITRE ATT&CK-Techniken: Erstzugriff:
T1190 – Öffentliche Anwendung ausnutzen

Persistenz:
T1505 – Serversoftwarekomponente

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Versuchter Computer Brute-Force

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Anmeldetyp

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Anmeldetyp am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Versuchter Benutzerkonto-Brute-Force je Fehlergrund

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von fehlgeschlagenen Anmeldeversuchen (Sicherheitsereignis-ID 4625) pro Fehlergrund am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1110 – Brute Force

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Computergeneriertes Netzwerk-Beaconing-Verhalten erkennen

Beschreibung: Dieser Algorithmus identifiziert Beaconing-Muster aus Netzwerkdatenverkehrs-Verbindungsprotokollen basierend auf wiederkehrenden Zeit-Delta-Mustern. Jede Netzwerkverbindung zu nicht vertrauenswürdigen öffentlichen Netzwerken bei wiederholten Deltas ist ein Hinweis auf Malware-Rückrufe oder Datenexfiltrationsversuche. Der Algorithmus berechnet das Zeitdelta zwischen aufeinander folgenden Netzwerkverbindungen zwischen derselben Quell-IP und Ziel-IP sowie die Anzahl der Verbindungen in einer Zeit-Delta-Sequenz zwischen denselben Quellen und Zielen. Der Beaconing-Prozentsatz wird in Form der Verbindungen in der Zeit-Delta-Sequenz mit Gesamtverbindungen in einem Tag berechnet.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN)
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1071 – Anwendungsebenenprotokoll
T1132 – Datencodierung
T1001 – Datenverschleierung
T1568 – Dynamische Auflösung
T1573 – Verschlüsselter Kanal
T1008 – Fallbackkanäle
T1104 – Mehrstufige Kanäle
T1095 – Nicht-Anwendungsebenenprotokoll
T1571 – Nicht standardmäßiger Port
T1572 – Protokolltunnelung
T1090 – Proxy
T1205 – Datenverkehrssignalisierung
T1102 – Webdienst

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Domänengenerierungsalgorithmus (DGA) für DNS-Domänen

Beschreibung: Dieses Machine Learning-Modell gibt potenzielle DGA-Domänen vom letzten Tag in den DNS-Protokollen an. Der Algorithmus gilt für DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: DNS-Ereignisse
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1568 – Dynamische Auflösung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Domain Reputation Palo Alto Anomalie (NICHT MEHR VERFÜGBAR)

Beschreibung: Dieser Algorithmus bewertet die Zuverlässigkeit aller Domänen speziell in Palo Alto-Firewallprotokollen (PAN-OS-Produkt). Eine hohe Anomaliebewertung weist auf eine geringe Zuverlässigkeit hin, die darauf hindeutet, dass beobachtet wurde, dass die Domäne schädliche Inhalte hostet oder dies wahrscheinlich tun wird.

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Übermäßige Datenübertragungsomalie

Beschreibung: Dieser Algorithmus erkennt ungewöhnlich hohe Datenübertragungen in Netzwerkprotokollen. Er verwendet Zeitreihen, um die Daten zur Berechnung der Baseline in saisonale, Trend- und Restkomponenten zu unterteilen. Jede plötzliche große Abweichung von der historischen Baseline gilt als aomale Aktivität.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße
T1041 – Exfiltration über C2-Kanal
T1011 – Exfiltration über anderes Netzwerkmedium
T1567 – Exfiltration über Webdienst
T1029 – Geplante Übertragung
T1537 – Daten an Cloudkonto übertragen

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Übermäßige Downloads über Palo Alto GlobalProtect

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Downloadvolumen pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Downloads am letzten Tag hin.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße
T1041 – Exfiltration über C2-Kanal
T1011 – Exfiltration über anderes Netzwerkmedium
T1567 – Exfiltration über Webdienst
T1029 – Geplante Übertragung
T1537 – Daten an Cloudkonto übertragen

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Übermäßige Uploads über Palo Alto GlobalProtect

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Uploadvolumen pro Benutzerkonto über die Palo Alto VPN-Lösung. Das Modell wird an den den VPN-Protokollen vorangegangenen 14 Tagen trainiert. Es weist auf ein anomal hohes Volumen an Uploads am letzten Tag hin.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße
T1041 – Exfiltration über C2-Kanal
T1011 – Exfiltration über anderes Netzwerkmedium
T1567 – Exfiltration über Webdienst
T1029 – Geplante Übertragung
T1537 – Daten an Cloudkonto übertragen

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Anmeldung von einer ungewöhnlichen Region über Palo Alto GlobalProtect-Kontoanmeldungen

Beschreibung: Wenn sich mit einem Palo Alto GlobalProtect-Konto aus einer Quellregion anmeldet wird, bei dem sich in den letzten 14 Tagen selten angemeldet wurde, wird eine Anomalie ausgelöst. Diese Anomalie kann darauf hinweisen, dass das Konto kompromittiert wurde.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Zugriff auf Anmeldeinformationen
Erstzugriff
Seitliche Verschiebung
MITRE ATT&CK-Techniken: T1133 – Externe Remotedienste

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Mehrregionenanmeldungen an einem einzigen Tag über Palo Alto GlobalProtect (DISCONTINUED)

Beschreibung: Dieser Algorithmus erkennt ein Benutzerkonto, bei dem Anmeldungen aus mehreren nicht angrenzenden Regionen an einem einzigen Tag über ein Palo Alto VPN erfolgt sind.

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Potenzieller Daten-Stagingprozess

Beschreibung: Dieser Algorithmus vergleicht die Downloads unterschiedlicher Dateien pro Benutzerbasis aus der vorangegangenen Woche mit den Downloads für den aktuellen Tag für jeden Benutzer, und es wird eine Anomalie ausgelöst, wenn die Anzahl der Downloads unterschiedlicher Dateien die konfigurierte Anzahl von Standardabweichungen über dem Mittelwert überschreitet. Derzeit analysiert der Algorithmus nur Dateien, die während der Exfiltration von Dokumenten, Bildern, Videos und Archiven häufig vorkommen und die die Erweiterungen doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 und mov haben.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Office-Aktivitätsprotokoll (Exchange)
MITRE ATT&CK-Taktiken: Sammlung
MITRE ATT&CK-Techniken: T1074 – Daten gestaffelt

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Potenzieller Domänengenerierungsalgorithmus (DGA) auf DNS-Domänen der nächsten Ebene

Beschreibung: In diesem Machine Learning-Modell werden die Domänen der nächsten Ebene (ab der dritten Ebene) der Domänennamen des letzten Tags der DNS-Protokolle angegeben, die ungewöhnlich sind. Sie könnten möglicherweise die Ausgabe eines Domänengenerierungsalgorithmus (DGA) sein. Die Anomalie gilt für die DNS-Datensätze, die zu IPv4- und IPv6-Adressen aufgelöst werden.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: DNS-Ereignisse
MITRE ATT&CK-Taktiken: Command-and-Control
MITRE ATT&CK-Techniken: T1568 – Dynamische Auflösung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtige Geografische Änderung in Palo Alto GlobalProtect-Kontoanmeldungen

Beschreibung: Eine Übereinstimmung gibt an, dass ein Benutzer remote aus einem anderen Land bzw. einer Region angemeldet ist als dort, wo sich der Benutzer zuletzt remote angemeldet hat. Diese Regel kann auch auf ein kompromittiertes Konto hinweisen, insbesondere, wenn die Regelabgleichungen zeitnah erfolgt sind. Dies schließt das Szenario der unmöglichen Reise ein.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN VPN)
MITRE ATT&CK-Taktiken: Erstzugriff
Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: T1133 – Externe Remotedienste
T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtige Anzahl aufgerufener geschützter Dokumente

Beschreibung: Dieser Algorithmus erkennt viele Zugriffe auf geschützte Dokumente in Azure Information Protection-(AIP-)Protokollen. Er betrachtet AIP-Workload-Datensätze für eine bestimmte Anzahl von Tagen und bestimmt, ob der Benutzer an einem Tag angesichts des bisherigen Verhaltens in ungewöhnlicher Weise Zugriff auf geschützte Dokumente genommen hat.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Azure Information Protection-Protokolle
MITRE ATT&CK-Taktiken: Sammlung
MITRE ATT&CK-Techniken: T1530 – Daten aus Cloudspeicherobjekt
T1213 – Daten aus Informationsrepositorys
T1005 – Daten aus lokalem System
T1039 – Daten aus dem freigegebenen Netzwerklaufwerk
T1114 – E-Mail-Sammlung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von AWS-API-Aufrufen von Nicht-AWS-Quell-IP-Adressen

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-API-Aufrufen pro Benutzerkonto pro Arbeitsbereich, von Quell-IP-Adressen außerhalb der Quell-IP-Bereiche von AWS innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von AWS CloudTrail-Protokollereignissen des Gruppenbenutzerkontos durch EventTypeName

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von Ereignissen pro Gruppenbenutzerkonto durch verschiedene Ereignistypen (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction) in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Gruppenbenutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von AWS-Schreib-API-Aufrufen von einem Benutzerkonto

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen von AWS-Schreib-API-Aufrufen pro Benutzerkonto innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Benutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jedes Gruppenbenutzerkonto

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeversuche bei AWS Console pro Gruppenbenutzerkonto in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Gruppenbenutzerkonto trainiert. Diese Aktivität kann darauf hinweisen, dass das Konto kompromittiert ist.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von fehlgeschlagenen Anmeldeversuchen bei AWS-Konsole durch jede Quell-IP-Adresse

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen fehlgeschlagener Anmeldeereignisse bei AWS Console pro Quell-IP-Adresse in Ihrem AWS CloudTrail-Protokoll innerhalb des letzten Tages. Das Modell wird in den vorangegangenen 21 Tagen vor den AWS CloudTrail-Protokollereignissen nach Quell-IP-Adresse trainiert. Diese Aktivität kann darauf hinweisen, dass die IP-Adresse kompromittiert ist.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: AWS CloudTrail-Protokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen auf dem Computer

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen am Computer mit Token mit erweiterten Rechten

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorberechtigung pro Computer am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen bei Benutzerkonto

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto nach Anmeldetypen

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) pro Benutzerkonto nach unterschiedlichne Anmeldetypen am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Verdächtiges Volumen von Anmeldungen beim Benutzerkonto mit Token mit erweiterten Rechten

Beschreibung: Dieser Algorithmus erkennt ein ungewöhnlich hohes Volumen an erfolgreichen Anmeldungen (Sicherheitsereignis-ID 4624) mit Administratorberechtigung pro Benutzerkonto am letzten Tag. Das Modell wird an den vorangegangenen 21 Tagen der Windows-Sicherheitsereignisprotokolle trainiert.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Windows-Sicherheitsprotokolle
MITRE ATT&CK-Taktiken: Erstzugriff
MITRE ATT&CK-Techniken: T1078 – Gültige Konten

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Ungewöhnlicher externer Firewall-Alarm erkannt

Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche externe Firewall-Alarme, die Bedrohungssignaturen sind, die von einem Firewallanbieter veröffentlicht werden. Er verwendet die Aktivitäten der letzten 7 Tage, um die 10 am häufigsten ausgelösten Signaturen und die 10 Hosts zu berechnen, die die meisten Signaturen ausgelöst haben. Nachdem beide Arten von lauten Ereignissen ausgeschlossen wurden, löst er nur eine Anomalie aus, nachdem der Schwellenwert für die Anzahl der Signaturen überschritten wurde, die an einem einzigen Tag ausgelöst wurden.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN)
MITRE ATT&CK-Taktiken: Ermittlung
Befehl und Steuerung
MITRE ATT&CK-Techniken: Ermittlung:
T1046 – Netzwerkdienstüberprüfung
T1135 – Netzwerkfreigabeermittlung

Befehl und Steuerung:
T1071 – Anwendungsebenenprotokoll
T1095 – Nicht-Anwendungsebenenprotokoll
T1571 – Nicht standardmäßiger Port

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Ungewöhnliche Massendowngrade-AIP-Bezeichnung

Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von Downgrade-Bezeichnungsaktivitäten in Azure Information Protection (AIP)-Protokollen. Er betrachtet „AIP“-Workloaddatensätze für eine bestimmte Anzahl von Tagen und bestimmt die Abfolge der Aktivität, die an Dokumenten ausgeführt wird, zusammen mit der Bezeichnung, die auf ungewöhnliches Volumen von Downgrade-Aktivitäten angewendet wird.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: Azure Information Protection-Protokolle
MITRE ATT&CK-Taktiken: Sammlung
MITRE ATT&CK-Techniken: T1530 – Daten aus Cloudspeicherobjekt
T1213 – Daten aus Informationsrepositorys
T1005 – Daten aus lokalem System
T1039 – Daten aus dem freigegebenen Netzwerklaufwerk
T1114 – E-Mail-Sammlung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Ungewöhnliche Netzwerkkommunikation an häufig verwendeten Ports

Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche Netzwerkkommunikation auf häufig verwendeten Ports, indem er den täglichen Datenverkehr mit einer Baseline aus den vorherigen 7 Tagen vergleicht. Dazu gehört der Datenverkehr auf häufig verwendeten Ports (22, 53, 80, 443, 8080, 8888); außerdem wird der tägliche Datenverkehr mit der mittleren und der Standardabweichung mehrerer Netzwerkdatenverkehrsattribute verglichen, die im Basiszeitraum berechnet wurden. Die berücksichtigten Datenverkehrsattribute sind tägliche Ereignisse insgesamt, die tägliche Datenübertragung und die Anzahl unterschiedlicher Quell-IP-Adressen pro Port. Eine Anomalie wird ausgelöst, wenn die täglichen Werte größer als die konfigurierte Anzahl von Standardabweichungen über dem Mittelwert sind.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
MITRE ATT&CK-Taktiken: Befehl und Steuerung
Exfiltration
MITRE ATT&CK-Techniken: Befehl und Steuerung:
T1071 – Anwendungsebenenprotokoll

Exfiltration:
T1030 – Grenzwerte für die Datenübertragungsgröße

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Ungewöhnliche Netzwerkvolumen-Anomalie

Beschreibung: Dieser Algorithmus erkennt eine ungewöhnlich hohe Anzahl von Verbindungen in Netzwerkprotokollen. Er verwendet Zeitreihen, um die Daten zur Berechnung der Baseline in saisonale, Trend- und Restkomponenten zu unterteilen. Jede plötzliche große Abweichung von der historischen Baseline gilt als anomale Aktivität.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: T1030 – Grenzwerte für die Datenübertragungsgröße

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Ungewöhnlicher Webdatenverkehr, erkannt mit IP im URL-Pfad

Beschreibung: Dieser Algorithmus identifiziert ungewöhnliche Webanforderungen, in denen eine IP-Adresse als Host aufgelistet ist. Der Algorithmus findet alle Webanforderungen mit IP-Adressen im URL-Pfad und vergleicht sie mit den Daten der vorherigen Woche, um bekannten gutartigen Datenverkehr auszuschließen. Nachdem der bekannte gutartige Datenverkehr ausgeschlossen wurde, löst er eine Anomalie nur dann aus, wenn bestimmte Schwellenwerte mit konfigurierten Werten wie der gesamten Webanforderungen, der Anzahl von URLs, die mit derselben Hostziel-IP-Adresse angezeigt wurden, und der Anzahl der eindeutigen Quell-IPs innerhalb der Gruppe von URLs mit derselben Ziel-IP-Adresse. Dieser Anforderungstyp kann auf einen Versuch hinweisen, URL-Reputationsdienste für böswillige Zwecke zu umgehen.

attribute Wert
Anomalietyp: Anpassbares maschinelles Lernen
Datenquellen: CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
MITRE ATT&CK-Taktiken: Befehl und Steuerung
Erstzugriff
MITRE ATT&CK-Techniken: Befehl und Steuerung:
T1071 – Anwendungsebenenprotokoll

Erstzugriff:
T1189 – Drive-by-Kompromittierung

Zurück zur Liste | der machine learning-basierten Anomalien Zurück zum Anfang

Nächste Schritte