Anomalies détectées par le moteur Machine Learning de Microsoft Sentinel

Cet article répertorie les anomalies détectées par Microsoft Sentinel à l’aide de différents modèles Machine Learning.

La détection d’anomalies fonctionne en analysant le comportement des utilisateurs dans un environnement sur une période et en construisant une ligne de base d’activité légitime. Une fois la ligne de base établie, toute activité en dehors des paramètres normaux est considérée comme anormale et donc suspecte.

Microsoft Sentinel utilise deux modèles différents pour créer des lignes de base et détecter des anomalies.

Remarque

Les détections d’anomalies suivantes sont interrompues depuis le 26 mars 2024, en raison de la faible qualité des résultats :

  • Anomalie Palo Alto de réputation de domaine
  • Connexions multirégions en une seule journée via Palo Alto GlobalProtect

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiées Microsoft dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Anomalies UEBA

Sentinel UEBA détecte les anomalies basées sur des lignes de base dynamiques créées pour chaque entité sur différentes entrées de données. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services Internet et bien plus encore.

Vous devez activer la fonctionnalité UEBA pour que les anomalies UEBA soient détectées.

Suppression anormale de l’accès au compte

Description : un attaquant peut interrompre la disponibilité des ressources système et réseau en bloquant l’accès aux comptes utilisés par les utilisateurs légitimes. L’attaquant peut supprimer, verrouiller ou manipuler un compte (par exemple, en modifiant ses informations d’identification) pour supprimer l’accès à celui-ci.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Impact
Techniques MITRE ATT&CK : T1531 - Suppression de l’accès au compte
Activité : Microsoft.Authorization/roleAssignments/delete
Log Out

Retour à la liste | des anomalies UEBA En haut

Création de compte anormale

Description : les adversaires peuvent créer un compte pour maintenir l’accès aux systèmes ciblés. Avec un niveau d’accès suffisant, la création de ces comptes peut être utilisée pour établir un accès aux informations d’identification secondaires sans exiger que les outils d’accès à distance persistants soient déployés sur le système.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Persistance
Techniques MITRE ATT&CK : T1136 - Créer un compte
Sous-techniques MITRE ATT&CK : Compte cloud
Activité : Répertoire principal/UserManagement/Ajouter un utilisateur

Retour à la liste | des anomalies UEBA En haut

Suppression de compte anormale

Description : les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Impact
Techniques MITRE ATT&CK : T1531 - Suppression de l’accès au compte
Activité : Répertoire principal/UserManagement/Supprimer un utilisateur
Répertoire principal/Appareil/Supprimer un utilisateur
Répertoire principal/UserManagement/Supprimer un utilisateur

Retour à la liste | des anomalies UEBA En haut

Manipulation de compte anormale

Description : les adversaires peuvent manipuler des comptes pour maintenir l’accès aux systèmes cibles. Ces actions incluent l’ajout de nouveaux comptes à des groupes à privilèges élevés. Dragonfly 2.0, par exemple, a ajouté des comptes nouvellement créés au groupe administrateurs pour maintenir l’accès avec élévation de privilèges. La requête ci-dessous génère une sortie de tous les utilisateurs à rayon d’impact élevé exécutant « Mettre à jour l’utilisateur » (changement de nom) en rôle privilégié ou ceux qui ont modifié les utilisateurs pour la première fois.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Persistance
Techniques MITRE ATT&CK : T1098 - Manipulation de compte
Activité : Répertoire principal/UserManagement/Mettre à jour un utilisateur

Retour à la liste | des anomalies UEBA En haut

Exécution de code anormale (UEBA)

Description : les adversaires peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Exécution
Techniques MITRE ATT&CK : T1059 - Interpréteur de commandes et de scripts
Sous-techniques MITRE ATT&CK : PowerShell
Activité : Microsoft.Compute/virtualMachines/runCommand/action

Retour à la liste | des anomalies UEBA En haut

Destruction de données anormale

Description : les adversaires peuvent détruire des données et des fichiers sur des systèmes spécifiques ou en grand nombre sur un réseau pour interrompre la disponibilité des systèmes, des services et des ressources réseau. La destruction des données est susceptible de rendre les données stockées irrécupérables par des techniques d’analyse par le biais d’un remplacement de fichiers ou de données sur des lecteurs locaux et distants.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Impact
Techniques MITRE ATT&CK : T1485 - Destruction de données
Activité : Microsoft.Compute/disks/delete
Microsoft.Compute/galleries/images/delete
Microsoft.Compute/hostGroups/delete
Microsoft.Compute/hostGroups/hosts/delete
Microsoft.Compute/images/delete
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete
Microsoft.Devices/digitalTwins/Delete
Microsoft.Devices/iotHubs/Delete
Microsoft.KeyVault/vaults/delete
Microsoft.Logic/integrationAccounts/delete
Microsoft.Logic/integrationAccounts/maps/delete
Microsoft.Logic/integrationAccounts/schemas/delete
Microsoft.Logic/integrationAccounts/partners/delete
Microsoft.Logic/integrationServiceEnvironments/delete
Microsoft.Logic/workflows/delete
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Sql/instancePools/delete
Microsoft.Sql/managedInstances/delete
Microsoft.Sql/managedInstances/administrators/delete
Microsoft.Sql/managedInstances/databases/delete
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.AAD/domainServices/delete

Retour à la liste | des anomalies UEBA En haut

Modification anormale du mécanisme défensif

Description : les adversaires peuvent désactiver les outils de sécurité pour éviter la détection possible de leurs outils et activités.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Évasion de défense
Techniques MITRE ATT&CK : T1562 - Défenses d’altération
Sous-techniques MITRE ATT&CK : Désactiver ou modifier des outils
Désactiver ou modifier le pare-feu cloud
Activité : Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete
Microsoft.Network/networkSecurityGroups/securityRules/delete
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/ddosProtectionPlans/delete
Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete
Microsoft.Network/applicationSecurityGroups/delete
Microsoft.Authorization/policyAssignments/delete
Microsoft.Sql/servers/firewallRules/delete
Microsoft.Network/firewallPolicies/delete
Microsoft.Network/azurefirewalls/delete

Retour à la liste | des anomalies UEBA En haut

Échec anormal de la connexion

Description : les adversaires sans connaissance préalable des informations d’identification légitimes au sein du système ou de l’environnement peuvent deviner les mots de passe pour tenter d’accéder à des comptes.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux de connexion Microsoft Entra
Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Techniques MITRE ATT&CK : T1110 - Force brute
Activité : Microsoft Entra ID : activité de connexion
Sécurité Windows : Échec de la connexion (ID d’événement 4625)

Retour à la liste | des anomalies UEBA En haut

Réinitialisation anormale du mot de passe

Description : les adversaires peuvent interrompre la disponibilité des ressources système et réseau en empêchant l’accès aux comptes utilisés par les utilisateurs légitimes. Les comptes peuvent être supprimés, verrouillés ou manipulés (par exemple, les informations d’identification modifiées) pour supprimer l’accès aux comptes.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Impact
Techniques MITRE ATT&CK : T1531 - Suppression de l’accès au compte
Activité : Répertoire principal/UserManagement/Réinitialisation du mot de passe de l’utilisateur

Retour à la liste | des anomalies UEBA En haut

Privilège anormal accordé

Description : les adversaires peuvent ajouter des informations d’identification contrôlées par l’adversaire pour les principaux de service Azure en plus des informations d’identification légitimes existantes pour maintenir l’accès persistant aux comptes Azure victimes.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Persistance
Techniques MITRE ATT&CK : T1098 - Manipulation de compte
Sous-techniques MITRE ATT&CK : Informations d’identification supplémentaires du principal de service
Activité : Approvisionnement de compte/Gestion des applications/Ajouter une attribution de rôle d’application au principal de service

Retour à la liste | des anomalies UEBA En haut

Connexion anormale

Description : les adversaires peuvent voler les informations d’identification d’un utilisateur ou d’un compte de service spécifique à l’aide de techniques d’accès aux informations d’identification, ou capturer les informations d’identification plus tôt dans leur processus de reconnaissance par le biais d’une méthode d’ingénierie sociale pour obtenir la persistance.

Attribut Valeur
Type d’anomalie : UEBA
Sources de données : Journaux de connexion Microsoft Entra
Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Persistance
Techniques MITRE ATT&CK : T1078 - Comptes valides
Activité : Microsoft Entra ID : activité de connexion
Sécurité Windows : Connexion réussie (ID d’événement 4624)

Retour à la liste | des anomalies UEBA En haut

Anomalies basées sur le Machine Learning

Les anomalies personnalisables basées sur le Machine Learning de Microsoft Sentinel peuvent identifier un comportement anormal avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces.

Sessions de connexion Microsoft Entra anormales

Description : le modèle Machine Learning regroupe les journaux de connexion Microsoft Entra par utilisateur. Le modèle est entraîné sur les 6 jours précédents du comportement de connexion utilisateur. Il indique des sessions de connexion anormales de l’utilisateur au cours de la dernière journée.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de connexion Microsoft Entra
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides
T1566 - Hameçonnage
T1133 - Services distants externes

Retour à la liste | des anomalies basées sur Machine Learning

Opérations Azure anormales

Description : cet algorithme de détection collecte 21 jours de données sur les opérations Azure regroupées par l’utilisateur pour entraîner ce modèle ML. L’algorithme génère ensuite des anomalies dans le cas des utilisateurs qui ont effectué des séquences d’opérations rares dans leurs espaces de travail. Le modèle ML formé évalue les opérations effectuées par l’utilisateur et considère comme anormales celles dont le score est supérieur au seuil défini.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1190 - Exploiter une application publique

Retour à la liste | des anomalies basées sur Machine Learning

Exécution de code anormale

Description : les attaquants peuvent abuser des commandes et des interpréteurs de scripts pour exécuter des commandes, des scripts ou des fichiers binaires. Ces interfaces et langages offrent des moyens d’interagir avec des systèmes informatiques et sont une fonctionnalité courante sur de nombreuses plateformes différentes.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux d’activité Azure
Tactiques MITRE ATT&CK : Exécution
Techniques MITRE ATT&CK : T1059 - Interpréteur de commandes et de scripts

Retour à la liste | des anomalies basées sur Machine Learning

Création anormale d’un compte local

Description : cet algorithme détecte la création anormale d’un compte local sur des systèmes Windows. Les attaquants peuvent créer des comptes locaux pour maintenir l’accès aux systèmes ciblés. Cet algorithme analyse l’activité de création de compte local au cours des 14 derniers jours par les utilisateurs. Il recherche une activité similaire le jour actuel de la part des utilisateurs qui n’ont pas été précédemment vus dans l’activité historique. Vous pouvez spécifier une liste verte pour filtrer les utilisateurs connus à partir du déclenchement de cette anomalie.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Persistance
Techniques MITRE ATT&CK : T1136 - Créer un compte

Retour à la liste | des anomalies basées sur Machine Learning

Activité d’analyse anormale

Description : cet algorithme recherche l’activité d’analyse des ports, provenant d’une adresse IP source unique vers une ou plusieurs adresses IP de destination, qui n’est normalement pas visible dans un environnement donné.

L’algorithme prend en compte si l’adresse IP est publique/externe ou privée/interne, et l’événement est marqué en conséquence. Seule l’activité privée à public ou publique à privée est prise en considération pour l’instant. L’activité d’analyse peut indiquer qu’un attaquant tente de déterminer les services disponibles dans un environnement qui peuvent être potentiellement exploités et utilisés pour l’entrée ou le mouvement latéral. Un grand nombre de ports sources et un nombre élevé de ports de destination d’une adresse IP source unique à une ou plusieurs adresses IP ou adresses IP de destination peuvent être intéressants et indiquer une analyse anormale. En outre, s’il existe un ratio élevé d’adresses IP de destination à l’adresse IP source unique, cela peut indiquer une analyse anormale.

Détails de configuration :

  • La valeur par défaut de l’exécution du travail est quotidienne, avec des créneaux horaires.
    L’algorithme utilise les valeurs par défaut configurables suivantes pour limiter les résultats en fonction des créneaux horaires.
  • Actions d’appareil incluses : accepter, autoriser, démarrer
  • Ports exclus : 53, 67, 80, 8080, 123, 137, 138, 443, 445, 3389
  • Nombre de ports de destination distincts >= 600
  • Nombre de ports sources distincts >= 600
  • Nombre de ports sources distincts divisé par port de destination distinct, ratio converti en pourcentage >= 99,99
  • Adresse IP source (toujours 1) divisée par adresse IP de destination, ratio converti en pourcentage >= 99,99
Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tactiques MITRE ATT&CK : Découverte
Techniques MITRE ATT&CK : T1046 - Analyse du service réseau

Retour à la liste | des anomalies basées sur Machine Learning

Activités utilisateur anormales dans Office Exchange

Description : ce modèle Machine Learning regroupe les journaux d’activité Office Exchange par utilisateur en compartiments horaires. Nous définissons une heure comme une session. Le modèle est entraîné sur les 7 jours précédents de comportement sur tous les utilisateurs réguliers (non administrateurs). Il indique des sessions Office Exchange d’utilisateur anormales au cours du dernier jour.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : journal d’activité Office (Exchange)
Tactiques MITRE ATT&CK : Persistance
Collection
Techniques MITRE ATT&CK : Collecte :
T1114 - Collecte d’e-mails
T1213 - Données des référentiels d’informations

Persistance :
T1098 - Manipulation de compte
T1136 - Créer un compte
T1137 - Démarrage de l’application Office
T1505 - Composant logiciel serveur

Retour à la liste | des anomalies basées sur Machine Learning

Activités d’utilisateur/application anormales dans les journaux d’audit Azure

Description : cet algorithme identifie les sessions Azure anormales utilisateur/application dans les journaux d’audit pour le dernier jour, en fonction du comportement des 21 jours précédents sur l’ensemble des utilisateurs et applications. L’algorithme recherche un volume suffisant de données avant d’entraîner le modèle.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux d'audit Microsoft Entra
Tactiques MITRE ATT&CK : Collection
Découverte
Accès initial
Persistance
Élévation des privilèges
Techniques MITRE ATT&CK : Collecte :
T1530 - Données de l’objet de stockage cloud

Découverte :
T1087 - Découverte de compte
T1538 - Tableau de bord du service cloud
T1526 - Découverte du service cloud
T1069 - Découverte de groupes d’autorisations
T1518 - Découverte de logiciels

Accès initial :
T1190 - Exploiter une application publique
T1078 - Comptes valides

Persistance :
T1098 - Manipulation de compte
T1136 - Créer un compte
T1078 - Comptes valides

Élévation des privilèges :
T1484 - Modification de la stratégie de domaine
T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Activité anormale des journaux W3CIIS

Description : cet algorithme de Machine Learning indique des sessions IIS anormales au cours du dernier jour. Il capture, par exemple, un nombre inhabituellement élevé de requêtes URI distinctes, d’agents utilisateur ou de journaux d’activité dans une session, ou de verbes HTTP spécifiques ou d’états HTTP dans une session. L’algorithme identifie les événements W3CIISLog inhabituels dans une session horaire, regroupés par nom de site et adresse IP du client. Le modèle est entraîné au cours des 7 derniers jours de l’activité IIS. L’algorithme recherche un volume suffisant d’activités IIS avant d’entraîner le modèle.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux W3CIIS
Tactiques MITRE ATT&CK : Accès initial
Persistance
Techniques MITRE ATT&CK : Accès initial :
T1190 - Exploiter une application publique

Persistance :
T1505 - Composant logiciel serveur

Retour à la liste | des anomalies basées sur Machine Learning

Activité de requête web anormale

Description : cet algorithme regroupe les événements W3CIISLog en sessions horaires regroupées par nom de site et ressource URI. Le modèle Machine Learning identifie les sessions avec un nombre inhabituellement élevé de requêtes qui ont déclenché des codes de réponse de classe 5xx au cours du dernier jour. Les codes de classe 5xx indiquent que certaines conditions d’instabilité ou d’erreur de l’application ont été déclenchées par la requête. Il peut s’agir d’une indication qu’un attaquant sonde la ressource URI pour détecter les vulnérabilités et les problèmes de configuration, effectuer une activité d’exploitation telle que l’injection de code SQL ou tirer parti d’une vulnérabilité non corrigée. Cet algorithme utilise 6 jours de données pour l’apprentissage.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux W3CIIS
Tactiques MITRE ATT&CK : Accès initial
Persistance
Techniques MITRE ATT&CK : Accès initial :
T1190 - Exploiter une application publique

Persistance :
T1505 - Composant logiciel serveur

Retour à la liste | des anomalies basées sur Machine Learning

Tentative de force brute de l’ordinateur

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Techniques MITRE ATT&CK : T1110 - Force brute

Retour à la liste | des anomalies basées sur Machine Learning

Tentative de force brute du compte d’utilisateur

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Techniques MITRE ATT&CK : T1110 - Force brute

Retour à la liste | des anomalies basées sur Machine Learning

Tentative de force brute du compte d’utilisateur par type de connexion

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par type de connexion au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Techniques MITRE ATT&CK : T1110 - Force brute

Retour à la liste | des anomalies basées sur Machine Learning

Tentative de force brute du compte d’utilisateur par motif de défaillance

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué (ID d’événement de sécurité 4625) par motif de défaillance au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Techniques MITRE ATT&CK : T1110 - Force brute

Retour à la liste | des anomalies basées sur Machine Learning

Détecter le comportement de balisage réseau généré par l’ordinateur

Description : cet algorithme identifie les modèles de balisage à partir des journaux de connexion de trafic réseau en fonction des modèles delta de temps récurrents. Toute connexion réseau vers des réseaux publics non approuvés à différents moments répétitifs est une indication des tentatives de rappel de programmes malveillants ou d’exfiltration de données. L’algorithme calcule la différence de temps entre les connexions réseau consécutives entre la même adresse IP source et l’adresse IP de destination, ainsi que le nombre de connexions dans une séquence de différence de temps entre les mêmes sources et destinations. Le pourcentage de balisage est calculé en tant que connexions dans la séquence de différences de temps par rapport au nombre total de connexions en un jour.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN)
Tactiques MITRE ATT&CK : Commande et contrôle
Techniques MITRE ATT&CK : T1071 - Protocole de couche Application
T1132 - Encodage des données
T1001 - Obfuscation des données
T1568 - Résolution dynamique
T1573 - Canal chiffré
T1008 - Canaux de secours
T1104 - Canaux multiphases
T1095 - Protocole de couche non-application
T1571 - Port non standard
T1572 - Tunneling de protocole
T1090 - Proxy
T1205 - Signalisation du trafic
T1102 - Service web

Retour à la liste | des anomalies basées sur Machine Learning

Algorithme de génération de domaine (DGA) sur des domaines DNS

Description : ce modèle Machine Learning indique les domaines DGA potentiels du dernier jour dans les journaux DNS. L’algorithme s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Événements DNS
Tactiques MITRE ATT&CK : Commande et contrôle
Techniques MITRE ATT&CK : T1568 - Résolution dynamique

Retour à la liste | des anomalies basées sur Machine Learning

Anomalie Palo Alto de réputation de domaine (DISCONTINUED)

Description : cet algorithme évalue la réputation de tous les domaines vus spécifiquement dans les journaux de pare-feu Palo Alto (produit PAN-OS). Un score d’anomalie élevé indique une faible réputation, suggérant que le domaine a été observé pour héberger du contenu malveillant ou est susceptible de le faire.

Retour à la liste | des anomalies basées sur Machine Learning

Anomalie de transfert de données excessif

Description : cet algorithme détecte un transfert de données anormalement élevé observé dans les journaux réseau. Il utilise des séries chronologiques pour décomposer les données en composants saisonniers, tendances et résiduels pour calculer la ligne de base. Tout écart important soudain de la ligne de base historique est considéré comme une activité anormale.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tactiques MITRE ATT&CK : Exfiltration
Techniques MITRE ATT&CK : T1030 - Limites de taille de transfert de données
T1041 - Exfiltration sur le canal C2
T1011 - Exfiltration sur d’autres supports réseau
T1567 - Exfiltration sur le service web
T1029 - Transfert planifié
T1537 - Transférer des données vers un compte cloud

Retour à la liste | des anomalies basées sur Machine Learning

Téléchargements excessifs via Palo Alto GlobalProtect

Description : cet algorithme détecte un volume inhabituel de téléchargement par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de téléchargements au cours de la dernière journée.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (VPN PAN)
Tactiques MITRE ATT&CK : Exfiltration
Techniques MITRE ATT&CK : T1030 - Limites de taille de transfert de données
T1041 - Exfiltration sur le canal C2
T1011 - Exfiltration sur d’autres supports réseau
T1567 - Exfiltration sur le service web
T1029 - Transfert planifié
T1537 - Transférer des données vers un compte cloud

Retour à la liste | des anomalies basées sur Machine Learning

Chargements excessifs via Palo Alto GlobalProtect

Description : cet algorithme détecte un volume inhabituel de chargements par compte d’utilisateur via la solution VPN Palo Alto. Le modèle est entraîné au cours des 14 derniers jours des journaux VPN. Il indique un volume anormalement élevé de chargements au cours de la dernière journée.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (VPN PAN)
Tactiques MITRE ATT&CK : Exfiltration
Techniques MITRE ATT&CK : T1030 - Limites de taille de transfert de données
T1041 - Exfiltration sur le canal C2
T1011 - Exfiltration sur d’autres supports réseau
T1567 - Exfiltration sur le service web
T1029 - Transfert planifié
T1537 - Transférer des données vers un compte cloud

Retour à la liste | des anomalies basées sur Machine Learning

Connexion à partir d’une région inhabituelle via les connexions de compte Palo Alto GlobalProtect

Description : lorsqu’un compte Palo Alto GlobalProtect se connecte à partir d’une région source qui a rarement été connectée au cours des 14 derniers jours, une anomalie est déclenchée. Cette anomalie peut indiquer que le compte a été compromis.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (VPN PAN)
Tactiques MITRE ATT&CK : Accès aux informations d’identification
Accès initial
Déplacement latéral
Techniques MITRE ATT&CK : T1133 - Services distants externes

Retour à la liste | des anomalies basées sur Machine Learning

Connexions multirégions en une seule journée via Palo Alto GlobalProtect (DISCONTINUED)

Description : cet algorithme détecte un compte d’utilisateur qui avait des connexions à partir de plusieurs régions non adjacentes en une seule journée par le biais d’un VPN Palo Alto.

Retour à la liste | des anomalies basées sur Machine Learning

Mise en lots de données potentielles

Description : cet algorithme compare les téléchargements de fichiers distincts par utilisateur à partir de la semaine précédente avec les téléchargements du jour actuel pour chaque utilisateur, et une anomalie est déclenchée lorsque le nombre de téléchargements de fichiers distincts dépasse le nombre configuré d’écarts types au-dessus de la moyenne. Actuellement, l’algorithme analyse uniquement les fichiers couramment vus lors de l’exfiltration de documents, d’images, de vidéos et d’archives avec les extensions doc, docx, xls, xlsx, xlsm, ppt, pptx, one, pdf, zip, rar, bmp, jpg, mp3, mp4 et mov.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : journal d’activité Office (Exchange)
Tactiques MITRE ATT&CK : Collection
Techniques MITRE ATT&CK : T1074 - Données intermédiaires

Retour à la liste | des anomalies basées sur Machine Learning

Algorithme de génération de domaine potentiel (DGA) sur des domaines DNS de niveau suivant

Description : ce modèle Machine Learning indique les domaines de niveau suivant (troisième niveau et supérieur) des noms de domaine du dernier jour des journaux DNS inhabituels. Ils peuvent potentiellement être la sortie d’un algorithme de génération de domaine (DGA). L’anomalie s’applique aux enregistrements DNS qui sont résolus en adresses IPv4 et IPv6.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Événements DNS
Tactiques MITRE ATT&CK : Commande et contrôle
Techniques MITRE ATT&CK : T1568 - Résolution dynamique

Retour à la liste | des anomalies basées sur Machine Learning

Modification suspecte de la géographie dans les connexions de compte Palo Alto GlobalProtect

Description : une correspondance indique qu’un utilisateur s’est connecté à distance à partir d’un pays/région différent du pays/région de la dernière connexion à distance de l’utilisateur. Cette règle peut également indiquer une compromission de compte, en particulier si la correspondance de la règle s’est produite dans un délai proche. Cela inclut le scénario de voyage impossible.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (VPN PAN)
Tactiques MITRE ATT&CK : Accès initial
Accès aux informations d’identification
Techniques MITRE ATT&CK : T1133 - Services distants externes
T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Nombre suspect de documents protégés accessibles

Description : cet algorithme détecte un volume élevé d’accès aux documents protégés dans les journaux Azure Information Protection (AIP). Il considère les enregistrements de charge de travail AIP pendant un nombre donné de jours et détermine si l’utilisateur a effectué un accès inhabituel aux documents protégés en un jour compte tenu du comportement historique.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux Azure Information Protection
Tactiques MITRE ATT&CK : Collection
Techniques MITRE ATT&CK : T1530 - Données de l’objet de stockage cloud
T1213 - Données des référentiels d’informations
T1005 - Données du système local
T1039 - Données du lecteur de partage réseau
T1114 - Collecte d’e-mails

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect d’appels d’API AWS à partir d’une adresse IP de source non-AWS

Description : cet algorithme détecte un volume inhabituellement élevé d’appels d’API AWS par compte d’utilisateur par espace de travail, à partir d’adresses IP sources en dehors des plages d’adresses IP sources d’AWS, au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que le compte d’utilisateur est compromis.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux AWS CloudTrail
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect d’événements de journal AWS CloudTrail du compte d’utilisateur de groupe par EventTypeName

Description : cet algorithme détecte un volume d’événements inhabituellement élevé par compte d’utilisateur de groupe, par différents types d’événements (AwsApiCall, AwsServiceEvent, AwsConsoleSignIn, AwsConsoleAction), dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte de groupe d’utilisateurs. Cette activité peut indiquer que le compte est compromis.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux AWS CloudTrail
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect d’appels d’API d’écriture AWS à partir d’un compte d’utilisateur

Description : cet algorithme détecte un volume inhabituellement élevé d’appels d’API d’écriture AWS par compte d’utilisateur au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte d’utilisateur. Cette activité peut indiquer que le compte est compromis.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux AWS CloudTrail
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque compte d’utilisateur de groupe

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué à la console AWS par compte d’utilisateur de groupe dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par compte de groupe d’utilisateurs. Cette activité peut indiquer que le compte est compromis.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux AWS CloudTrail
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de tentatives de connexion ayant échoué à la console AWS par chaque adresse IP source

Description : cet algorithme détecte un volume inhabituellement élevé de tentatives de connexion ayant échoué à la console AWS par adresse IP source dans votre journal AWS CloudTrail au cours du dernier jour. Le modèle est entraîné sur les 21 jours précédents des événements de journal AWS CloudTrail par adresse IP source. Cette activité peut indiquer que l’adresse IP est compromise.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux AWS CloudTrail
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de connexions à l’ordinateur

Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de connexions à l’ordinateur avec jeton avec élévation de privilèges

Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges administratifs par ordinateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de connexions au compte d’utilisateur

Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de connexions au compte d’utilisateur par types de connexions

Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) par compte d'utilisateur et par différents types de connexions, au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Volume suspect de connexions au compte d'utilisateur avec jeton avec élévation de privilèges

Description : cet algorithme détecte un volume inhabituellement élevé de connexions réussies (ID d’événement de sécurité 4624) avec des privilèges administratifs par compte d'utilisateur au cours du dernier jour. Le modèle est entraîné au cours des 21 derniers jours des journaux des événements de sécurité Windows.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux de Sécurité Windows
Tactiques MITRE ATT&CK : Accès initial
Techniques MITRE ATT&CK : T1078 - Comptes valides

Retour à la liste | des anomalies basées sur Machine Learning

Alarme de pare-feu externe inhabituelle détectée

Description : cet algorithme identifie les alarmes de pare-feu externes inhabituelles qui sont des signatures de menace publiées par un fournisseur de pare-feu. Il utilise les activités des 7 derniers jours pour calculer les 10 signatures les plus déclenchées et les 10 hôtes qui ont déclenché le plus de signatures. Après avoir exclu les deux types d’événements bruyants, il déclenche une anomalie uniquement après avoir dépassé le seuil du nombre de signatures déclenchées en un seul jour.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN)
Tactiques MITRE ATT&CK : Découverte
Commande et contrôle
Techniques MITRE ATT&CK : Découverte :
T1046 - Analyse du service réseau
T1135 - Découverte du partage réseau

Commande et contrôle :
T1071 - Protocole de couche Application
T1095 - Protocole de couche non-application
T1571 - Port non standard

Retour à la liste | des anomalies basées sur Machine Learning

Étiquette AIP de mise à niveau de masse inhabituelle

Description : cet algorithme détecte un volume inhabituel d’activité d’étiquette de rétrogradation dans les journaux Azure Information Protection (AIP). Il prend en considération les enregistrements de charge de travail « AIP » pendant un nombre donné de jours et détermine la séquence d’activité effectuée sur les documents, ainsi que l’étiquette appliquée pour classifier le volume inhabituel de l’activité de rétrogradation.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : Journaux Azure Information Protection
Tactiques MITRE ATT&CK : Collection
Techniques MITRE ATT&CK : T1530 - Données de l’objet de stockage cloud
T1213 - Données des référentiels d’informations
T1005 - Données du système local
T1039 - Données du lecteur de partage réseau
T1114 - Collecte d’e-mails

Retour à la liste | des anomalies basées sur Machine Learning

Communication réseau inhabituelle sur les ports couramment utilisés

Description : cet algorithme identifie les communications réseau inhabituelles sur les ports couramment utilisés, comparant le trafic quotidien à une ligne de base des 7 jours précédents. Cela inclut le trafic sur les ports couramment utilisés (22, 53, 80, 443, 8080, 8888) et compare le trafic quotidien à l’écart moyen et standard de plusieurs attributs de trafic réseau calculés au cours de la période de référence. Les attributs de trafic considérés sont des événements totaux quotidiens, un transfert de données quotidien et un nombre d’adresses IP sources distinctes par port. Une anomalie est déclenchée lorsque les valeurs quotidiennes sont supérieures au nombre configuré d’écarts types au-dessus de la moyenne.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tactiques MITRE ATT&CK : Commande et contrôle
Exfiltration
Techniques MITRE ATT&CK : Commande et contrôle :
T1071 - Protocole de couche Application

Exfiltration :
T1030 - Limites de taille de transfert de données

Retour à la liste | des anomalies basées sur Machine Learning

Anomalie inhabituelle du volume réseau

Description : cet algorithme détecte un volume inhabituel de connexions dans les journaux réseau. Il utilise des séries chronologiques pour décomposer les données en composants saisonniers, tendances et résiduels pour calculer la ligne de base. Tout écart important soudain de la ligne de base historique est considéré comme une activité anormale.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN, Zscaler, CEF, CheckPoint, Fortinet)
Tactiques MITRE ATT&CK : Exfiltration
Techniques MITRE ATT&CK : T1030 - Limites de taille de transfert de données

Retour à la liste | des anomalies basées sur Machine Learning

Trafic web inhabituel détecté avec l’adresse IP dans le chemin d’accès d’URL

Description : cet algorithme identifie les requêtes web inhabituelles qui répertorient une adresse IP en tant qu’hôte. L’algorithme recherche toutes les requêtes web avec des adresses IP dans le chemin d’URL et les compare à la semaine précédente des données pour exclure le trafic inoffensif connu. Après avoir exclu le trafic inoffensif connu, il déclenche une anomalie uniquement après avoir dépassé certains seuils avec des valeurs configurées telles que le nombre total de requêtes web, le nombre d’URL vues avec la même adresse IP de destination hôte et le nombre d’adresses IP sources distinctes au sein de l’ensemble d’URL avec la même adresse IP de destination. Ce type de requête peut indiquer une tentative de contournement des services de réputation d’URL à des fins malveillantes.

Attribut Valeur
Type d’anomalie : Machine Learning personnalisable
Sources de données : CommonSecurityLog (PAN, Zscaler, CheckPoint, Fortinet)
Tactiques MITRE ATT&CK : Commande et contrôle
Accès initial
Techniques MITRE ATT&CK : Commande et contrôle :
T1071 - Protocole de couche Application

Accès initial :
T1189 - Compromission par lecteur

Retour à la liste | des anomalies basées sur Machine Learning

Étapes suivantes