Microsoft Sentinel 機械学習エンジンによって検出される異常
この記事では、Microsoft Sentinel でさまざまな機械学習モデルを使用して検出される異常の一覧を示します。
異常の検出は、一定期間にわたって環境内でのユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで機能します。 ベースラインが確立されると、通常のパラメーターの範囲外にあるアクティビティは異常 (つまり、疑わしい) と見なされます。
Microsoft Sentinel では、2 つの異なるモデルを使用してベースラインを作成し、異常を検出します。
Note
次の異常検出は、結果の品質が低いため、2024 年 3 月 26 日の時点で廃止されます。
- ドメイン評価の Palo Alto の異常
- Palo Alto GlobalProtect を使用した 1 日のうちのマルチリージョン ログイン
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されるようになりました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
UEBA の異常
Sentinel UEBA では、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
UEBA の異常が検出されるためには、UEBA 機能を有効にする必要があります。
- 異常なアカウント アクセスの削除
- 異常なアカウント作成
- 異常なアカウント削除
- 異常なアカウント操作
- 異常なコード実行 (UEBA)
- 異常なデータ破壊
- 異常な防御メカニズムの変更
- 異常なサインインの失敗
- 異常なパスワード リセット
- 異常な特権付与
- 異常なサインイン
異常なアカウント アクセスの削除
説明: 攻撃者が、正当なユーザーが使用するアカウントへのアクセスをブロックすることで、システムとネットワークのリソースの可用性を妨害するおそれがあります。 攻撃者は、アカウントを削除、ロック、または操作して (資格情報を変更するなどの方法で)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| アクティビティ: | Microsoft.Authorization/roleAssignments/delete Log Out |
異常なアカウント作成
説明: 敵対者が、ターゲット システムへのアクセスを維持するためにアカウントを作成するおそれがあります。 十分なレベルのアクセス権があれば、このようなアカウントの作成を利用して、永続的なリモート アクセス ツールをシステムにデプロイしなくても、セカンダリ資格情報によるアクセスを確立できてしまいます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | 永続化 |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | クラウド アカウント |
| アクティビティ: | Core Directory/UserManagement/Add user |
異常なアカウント削除
説明: 敵対者が、正当なユーザーが利用するアカウントへのアクセスを阻止することで、システムとネットワークのリソースの可用性を妨害するおそれがあります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| アクティビティ: | Core Directory/UserManagement/Delete user Core Directory/Device/Delete user Core Directory/UserManagement/Delete user |
異常なアカウント操作
説明: 敵対者が、ターゲット システムへのアクセスを維持するためにアカウントを操作するおそれがあります。 これらのアクションとして、高い特権を持つグループへの新規アカウントの追加があります。 たとえば、Dragonfly 2.0 によって、管理者特権のアクセスを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 以下のクエリを使用すると、特権ロールに対して "ユーザーの更新" (名前の変更) を実行している影響範囲の大きいすべてのユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | 永続化 |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| アクティビティ: | Core Directory/UserManagement/Update user |
異常なコード実行 (UEBA)
説明: 敵対者が、コマンドとスクリプトのインタープリターを悪用して、コマンド、スクリプト、またはバイナリを実行するおそれがあります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 実行 |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| アクティビティ: | Microsoft.Compute/virtualMachines/runCommand/action |
異常なデータ破壊
説明: 敵対者が、特定のシステム上、またはネットワーク上の多数のシステム内のデータとファイルを破壊して、システム、サービス、ネットワーク リソースの可用性を妨害するおそれがあります。 データが破壊されると、ローカルまたはリモートのドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータが回復不能になるおそれがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 影響 |
| MITRE ATT&CK の手法: | T1485 - データの破壊 |
| アクティビティ: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
異常な防御メカニズムの変更
説明: 敵対者が、自分のツールやアクティビティが検出されないようにセキュリティ ツールを無効にするおそれがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 防御回避 |
| MITRE ATT&CK の手法: | T1562 - 防御の低下 |
| MITRE ATT&CK サブ手法: | ツールを無効にするか変更する クラウド ファイアウォールを無効にするか変更する |
| アクティビティ: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
異常なサインインの失敗
説明: システムまたは環境内の正当な資格情報を事前に知らない敵対者が、パスワードを推測してアカウントへのアクセスを試みるおそれがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
| アクティビティ: | Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに失敗しました (イベント ID 4625) |
異常なパスワード リセット
説明: 敵対者が、正当なユーザーが利用するアカウントへのアクセスを阻止することで、システムとネットワークのリソースの可用性を妨害するおそれがあります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | 影響 |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| アクティビティ: | Core Directory/UserManagement/User password reset |
異常な特権付与
説明: 敵対者が、既存の正当な資格情報に加え、敵対者が制御する資格情報を Azure サービス プリンシパルに追加して、被害者となる Azure アカウントへの永続的なアクセスを維持するおそれがあります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | 永続化 |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | 追加の Azure サービス プリンシパル資格情報 |
| アクティビティ: | アカウントのプロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
異常なサインイン
説明: 敵対者が、永続性を得るための手段として、資格情報アクセス手法を使って特定のユーザーやサービス アカウントの資格情報を盗む場合や、ソーシャル エンジニアリングによって偵察プロセスの初期段階で資格情報を取得する場合があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 永続化 |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| アクティビティ: | Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに成功しました (イベント ID 4624) |
機械学習ベースの異常
機械学習に基づく、Microsoft Sentinel のカスタマイズ可能な異常検知では、追加設定なしですぐに使用できる分析ルール テンプレートによって異常な動作を特定できます。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。
- 異常な Microsoft Entra サインイン セッション
- 異常な Azure 操作
- 異常なコード実行
- 異常なローカル アカウント作成
- 異常なスキャン アクティビティ
- Office Exchange での異常なユーザー アクティビティ
- Azure 監査ログでの異常なユーザー/アプリ アクティビティ
- 異常な W3CIIS ログ アクティビティ
- 異常な Web 要求アクティビティ
- コンピューターのブルート フォースの試み
- ユーザー アカウントのブルート フォースの試み
- ログインの種類ごとのユーザー アカウントのブルート フォースの試み
- エラーの理由ごとのユーザー アカウントのブルート フォースの試み
- マシンによって生成されたネットワーク ビーコン動作の検出
- DNS ドメインでのドメイン生成アルゴリズム (DGA)
- Domain Reputation Palo Alto anomaly (DISCONTINUED)
- 過剰なデータ転送の異常
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- Palo Alto GlobalProtect アカウント ログインを使用した通常でないリージョンからのログイン
- Palo Alto GlobalProtect (DISCONTINUED) を使用した 1 日の複数リージョン ログイン
- データ ステージングの可能性
- 次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
- Palo Alto GlobalProtect アカウント ログインでの疑わしい地域変更
- 保護されたドキュメントへの疑わしい多数のアクセス
- AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
- EventTypeName によるグループ ユーザー アカウントの疑わしい多数の AWS CloudTrail ログ イベント
- ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
- 各グループ ユーザー アカウントによる AWS Console への疑わしい多数のログイン試行の失敗
- 各送信元 IP アドレスによる AWS Console への疑わしい多数のログイン試行の失敗
- コンピューターへの疑わしい多数のログイン
- 管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
- ユーザー アカウントへの疑わしい多数のログイン
- ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
- 管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
- 異常な外部ファイアウォール アラームの検出
- 異常に多くのダウングレード AIP ラベル
- 一般的に使用されているポートでの異常なネットワーク通信
- 通常とは異なるネットワーク ボリュームの異常
- URL パス内の IP での異常な Web トラフィックの検出
異常な Microsoft Entra サインイン セッション
説明: この機械学習モデルでは、Microsoft Entra サインイン ログをユーザーごとにグループ化します。 このモデルは、過去 6 日間のユーザー サインイン動作でトレーニングされています。 これが、前日の異常なユーザー サインイン セッションを示しています。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Microsoft Entra サインイン ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント T1566 - フィッシング T1133 - 外部リモート サービス |
異常な Azure 操作
説明: この検出アルゴリズムでは、この ML モデルをトレーニングするためにユーザー別にグループ化された Azure 操作に関する 21 日間分のデータを収集します。 その後、このアルゴリズムでは、そのワークスペースで一般的でない一連の操作を実行したユーザーについての異常を生成します。 トレーニングされた ML モデルでは、ユーザーによって実行された操作にスコアを付け、そのスコアが定義済みしきい値を超えているものを異常と見なします。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1190 - 公開アプリケーションの悪用 |
異常なコード実行
説明: 攻撃者が、コマンドとスクリプトのインタープリターを悪用して、コマンド、スクリプト、またはバイナリを実行するおそれがあります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の方針: | 実行 |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウント作成
説明: このアルゴリズムでは、Windows システムでの異常なローカル アカウントの作成を検出します。 攻撃者が、ターゲット システムへのアクセスを維持するためにローカル アカウントを作成するおそれがあります。 このアルゴリズムでは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 過去のアクティビティでこれまで検出されなかったユーザーによる、当日の同様のアクティビティを探します。 許可リストを指定して既知のユーザーをフィルターで除外して、この異常がトリガーされるのを避けることができます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 永続化 |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
異常なスキャン アクティビティ
説明: このアルゴリズムでは、1 つの送信元 IP から 1 つ以上の宛先 IP に送信されるポート スキャン アクティビティを探します。これは通常、特定の環境では検出されません。
このアルゴリズムでは IP がパブリック/外部かプライベート/内部かを考慮し、それに応じてイベントにマーク付けします。 現時点では、プライベートからパブリックまたはパブリックからプライベートへのアクティビティのみが考慮されます。 スキャン アクティビティにより、攻撃者が環境内の利用可能なサービスを特定しようとしていることが示される場合があります。これが悪用され、イングレスまたは横後方の移動に使用できるおそれがあります。 1 つの送信元 IP から 1 つまたは複数の宛先 IP への送信元ポートの数と宛先ポートの数がそれぞれ多い場合、注意が必要であり、異常なスキャンを示していると考えられます。 また、1 つの送信元 IP に対する宛先 IP の比率が高い場合、異常なスキャンを示している可能性があります。
構成の詳細:
- ジョブ実行の既定値は毎日であり、時間単位のビンがあります。
このアルゴリズムでは、次の構成可能な既定値を使用して、時間単位のビンに基づいて結果を制限します。 - 含まれるデバイス アクション - 受け入れ、許可、開始
- 除外されるポート - 53、67、80、8080、123、137、138、443、445、3389
- 個別の宛先ポート数 >= 600
- 個別の送信元ポート数 >= 600
- 個別の送信元ポート数を個別の宛先ポートで除算し、比率をパーセントに変換 >= 99.99
- 送信元 IP (常に 1) を宛先 IP で除算し、比率をパーセントに変換 >= 99.99
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK の方針: | 探索 |
| MITRE ATT&CK の手法: | T1046 - ネットワーク サービス スキャン |
Office Exchange での異常なユーザー アクティビティ
説明: この機械学習モデルでは、ユーザーごとの Office Exchange ログを時間単位のバケットにグループ化します。 1 時間を 1 つのセッションとして定義します。 このモデルは、通常 (管理者以外) のユーザー全員の過去 7 日間の動作でトレーニングされます。 これは、前日のユーザーの異常な Office Exchange セッションを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の方針: | 永続化 コレクション |
| MITRE ATT&CK の手法: | コレクション: T1114 - メール コレクション T1213 - 情報リポジトリからのデータ 永続化: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションの起動 T1505 - サーバー ソフトウェア コンポーネント |
Azure 監査ログでの異常なユーザー/アプリ アクティビティ
説明: このアルゴリズムでは、すべてのユーザーとアプリの過去 21 日間の動作に基づいて、前日の監査ログ内の異常なユーザー/アプリ Azure セッションを特定します。 このアルゴリズムでは、モデルをトレーニングする前に十分な量のデータをチェックします。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の方針: | コレクション 検出 初期アクセス 永続化 特権エスカレーション |
| MITRE ATT&CK の手法: | コレクション: T1530 - クラウド ストレージ オブジェクトからのデータ 検出: T1087 - アカウントの検出 T1538 - クラウド サービス ダッシュボード T1526 - クラウド サービスの検出 T1069 - アクセス許可グループの検出 T1518 - ソフトウェアの検出 初期アクセス: T1190 - 公開アプリケーションの悪用 T1078 - 有効なアカウント 永続化: T1098 - アカウント操作 T1136 - アカウントの作成 T1078 - 有効なアカウント 特権エスカレーション: T1484 - ドメイン ポリシーの変更 T1078 - 有効なアカウント |
異常な W3CIIS ログ アクティビティ
説明: この機械学習アルゴリズムでは、前日の異常な IIS セッションを示します。 たとえば、セッション内の個別の URI クエリ、ユーザー エージェント、ログの数、またはセッション内の特定の HTTP 動詞または HTTP 状態の数が異常に多いことを検出します。 このアルゴリズムでは、時間単位のセッション内の異常な W3CIISLog イベントを特定し、サイト名とクライアント IP でグループ化します。 このモデルは、過去 7 日間の IIS アクティビティでトレーニングされます。 このアルゴリズムでは、モデルをトレーニングする前に十分な量の IIS アクティビティをチェックします。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | W3CIIS ログ |
| MITRE ATT&CK の方針: | 初期アクセス 永続化 |
| MITRE ATT&CK の手法: | 初期アクセス: T1190 - 公開アプリケーションの悪用 永続化: T1505 - サーバー ソフトウェア コンポーネント |
異常な Web 要求アクティビティ
説明: このアルゴリズムでは、W3CIISLog イベントを、サイト名と URI ステムでグループ化された時間単位のセッションにグループ化します。 この機械学習モデルでは、前日に 5xx クラスの応答コードをトリガーした、要求の数が異常に多いセッションを特定します。 5xx クラスのコードは、アプリケーションの不安定性またはエラー状態が要求によってトリガーされたことを示します。 これらは、攻撃者が脆弱性や構成の問題があるか URI ステムを調べ、SQL インジェクションなどの悪用アクティビティを実行したり、パッチが未適用の脆弱性を利用したりしていることを示す場合があります。 このアルゴリズムでは、トレーニングに 6 日間のデータを使用します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | W3CIIS ログ |
| MITRE ATT&CK の方針: | 初期アクセス 永続化 |
| MITRE ATT&CK の手法: | 初期アクセス: T1190 - 公開アプリケーションの悪用 永続化: T1505 - サーバー ソフトウェア コンポーネント |
コンピューターのブルート フォースの試み
説明: このアルゴリズムでは、前日にコンピューターあたりに異常に多くのログイン試行の失敗 (セキュリティ イベント ID 4625) があったことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試み
説明: このアルゴリズムでは、前日にユーザー アカウントあたりに異常に多くのログイン試行の失敗 (セキュリティ イベント ID 4625) があったことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントのブルート フォースの試み
説明: このアルゴリズムでは、前日に、ログオンの種類別のユーザー アカウントあたりに異常に多くのログイン試行の失敗 (セキュリティ イベント ID 4625) があったことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
エラーの理由ごとのユーザー アカウントのブルート フォースの試み
説明: このアルゴリズムでは、前日に、エラーの理由別のユーザー アカウントあたりに異常に多くのログイン試行の失敗 (セキュリティ イベント ID 4625) があったことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコン動作の検出
説明: このアルゴリズムでは、再帰時間差分パターンに基づいて、ネットワーク トラフィック接続ログからビーコン パターンを特定します。 再帰時間差分において信頼されていない公衆ネットワークへのネットワーク接続がある場合、マルウェア コールバックまたはデータ流出の試みを示しています。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差分と、同じ送信元と宛先の間の時間差分シーケンス内の接続の数が計算されます。 ビーコンの割合は、1 日の合計接続数に対する時間差分シーケンス内の接続数として計算されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の方針: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1071 - アプリケーション レイヤーのプロトコル T1132 - データのエンコード T1001 - データの難読化 T1568 - 動的な解像度 T1573 - 暗号化チャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナル T1102 - Web サービス |
DNS ドメインでのドメイン生成アルゴリズム (DGA)
説明: この機械学習モデルでは、DNS ログ内の前日の潜在的な DGA ドメインを示します。 このアルゴリズムは、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の方針: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Domain Reputation Palo Alto anomaly (DISCONTINUED)
説明: このアルゴリズムでは、特に Palo Alto ファイアウォール (PAN-OS 製品) のログで検出されるすべてのドメインの評価を査定します。 異常スコアが高い場合は評価が低いことを示していて、そのドメインが悪意のあるコンテンツをホストしていることが観察されたかその可能性があることを示唆します。
過剰なデータ転送の異常
説明: このアルゴリズムでは、ネットワーク ログ内で異常に多くのデータ転送が観察されたことを検出します。 これは、時系列を使用してデータを季節、トレンド、その他のコンポーネントに分けてベースラインを計算します。 過去のベースラインから突然大きく逸脱した場合は、異常なアクティビティと見なされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK の方針: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
説明: このアルゴリズムでは、Palo Alto VPN ソリューションを使用したユーザー アカウントあたりのダウンロード数が異常に多いことを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のダウンロード数が異常に多いことを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の方針: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
説明: このアルゴリズムでは、Palo Alto VPN ソリューションを使用したユーザー アカウントあたりのアップロード数が異常に多いことを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のアップロード数が異常に多いことを示します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の方針: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect アカウント ログインを使用した通常でないリージョンからのログイン
説明: 過去 14 日間にほとんどサインインが行われていないサインイン元リージョンから Palo Alto GlobalProtect アカウントがサインインすると、異常がトリガーされます。 この異常は、アカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の方針: | 資格情報アクセス 初期アクセス 侵入の拡大 |
| MITRE ATT&CK の手法: | T1133 - 外部リモート サービス |
Palo Alto GlobalProtect (DISCONTINUED) を使用した 1 日の複数リージョン ログイン
説明: このアルゴリズムでは、Palo Alto VPN を介して 1 日のうちに複数の隣接していないリージョンからサインインしたユーザー アカウントを検出します。
データ ステージングの可能性
説明: このアルゴリズムでは、前の週のユーザーあたりの個別ファイルのダウンロード数を当日のユーザーごとのダウンロード数と比較し、個別ファイルのダウンロード数が平均を上回る構成された標準偏差の数を超えると異常がトリガーされます。 現在、このアルゴリズムでは、ドキュメント、画像、ビデオ、アーカイブの流出時に一般的に見受けられる、拡張子が doc、docx、xls、xlsx、xlsm、ppt、pptx、one、pdf、zip、rar、bmp、jpg、mp3、mp4、mov のファイルのみを分析します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の方針: | コレクション |
| MITRE ATT&CK の手法: | T1074 - ステージング データ |
次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
説明: この機械学習モデルでは、通常とは異なる、前日の DNS ログのドメイン名の次のレベルのドメイン (第 3 レベル以上) を示します。 これらは、ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の方針: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Palo Alto GlobalProtect アカウント ログインでの疑わしい地域変更
説明: 一致する場合、ユーザーが前回リモートでログインした国およびリージョンとは異なる国および地域からリモートでログインしたことを示します。 また、特にルールの一致が時間的に短い間隔で発生する場合に、このルールがアカウントの侵害を示す場合もあります。 これには、あり得ない移動のシナリオが含まれます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の方針: | 初期アクセス 資格情報アクセス |
| MITRE ATT&CK の手法: | T1133 - 外部リモート サービス T1078 - 有効なアカウント |
保護されたドキュメントへの疑わしい多数のアクセス
説明: このアルゴリズムでは、Azure Information Protection (AIP) ログ内で保護されたドキュメントへの多数のアクセスを検出します。 これは、特定の日数の AIP ワークロード レコードを検討し、過去の動作においてユーザーが 1 日のうちに保護されたドキュメントに対して異常なアクセスを実行したかどうかを判断します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure Information Protection ログ |
| MITRE ATT&CK の方針: | コレクション |
| MITRE ATT&CK の手法: | T1530 - クラウド ストレージ オブジェクトからのデータ T1213 - 情報リポジトリからのデータ T1005 - ローカル システムからのデータ T1039 - ネットワーク共有ドライブからのデータ T1114 - メール コレクション |
AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
説明: このアルゴリズムでは、前日に、AWS の送信元 IP 範囲外の送信元 IP アドレスからの、各ワークスペースのユーザー アカウントあたりの AWS API 呼び出しの数が異常に多かったことを検出します。 このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、ユーザーのアカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
EventTypeName によるグループ ユーザー アカウントの疑わしい多数の AWS CloudTrail ログ イベント
説明: このアルゴリズムでは、前日に、AWS CloudTrail ログ内でさまざまなイベントの種類 (AwsApiCall、AwsServiceEvent、AwsConsoleSignIn、AwsConsoleAction) 別のグループ ユーザー アカウントあたりに異常に多くのイベントがあることを検出します。 このモデルは、グループ ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
説明: このアルゴリズムでは、前日に、ユーザー アカウントあたりに異常に多くの AWS 書き込み API 呼び出しがあったことを検出します。 このモデルは、ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
各グループ ユーザー アカウントによる AWS Console への疑わしい多数のログイン試行の失敗
説明: このアルゴリズムでは、前日に、AWS CloudTrail ログ内でグループ ユーザー アカウントあたりの AWS Console に対するログイン試行の失敗の数が異常に多かったことを検出します。 このモデルは、グループ ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
各送信元 IP アドレスによる AWS Console への疑わしい多数のログイン試行の失敗
説明: このアルゴリズムでは、前日に、AWS CloudTrail ログ内で送信元 IP アドレスあたりの AWS Console に対する失敗したログイン イベントの数が異常に多かったことを検出します。 このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、IP アドレスが侵害されたことを示している可能性があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
コンピューターへの疑わしい多数のログイン
説明: このアルゴリズムでは、前日にコンピューターあたりに異常に多くの成功したログイン (セキュリティ イベント ID 4624) があったことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
説明: このアルゴリズムでは、前日に、コンピューターあたりの、管理者特権を使用する成功したログインが異常に多かった (セキュリティ イベント ID 4624) ことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントへの疑わしい多数のログイン
説明: このアルゴリズムでは、前日にユーザー アカウントあたりの成功したログインが異常に多かった (セキュリティ イベント ID 4624) ことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
説明: このアルゴリズムでは、前日に、さまざまなログオンの種類ごとのユーザー アカウントあたりに成功したログインが異常に多かった (セキュリティ イベント ID 4624) ことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
説明: このアルゴリズムでは、前日に、ユーザー アカウントあたりの管理者特権を使用する成功したログインが異常に多かった (セキュリティ イベント ID 4624) ことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の方針: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
異常な外部ファイアウォール アラームの検出
説明: このアルゴリズムでは、ファイアウォール ベンダーが発した脅威シグネチャである、異常な外部ファイアウォール アラームを特定します。 これは、過去 7 日間のアクティビティを使用して、最も多くトリガーされた 10 個のシグネチャと、最も多くのシグネチャをトリガーした 10 個のホストを計算します。 両方の種類のノイズの多いイベントを除外した後、1 日にトリガーされるシグネチャ数のしきい値を超えると、異常をトリガーします。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の方針: | 探索 コマンドと制御 |
| MITRE ATT&CK の手法: | 検出: T1046 - ネットワーク サービス スキャン T1135 - ネットワーク共有の検出 コマンドとコントロール: T1071 - アプリケーション レイヤーのプロトコル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート |
異常に多くのダウングレード AIP ラベル
説明: このアルゴリズムでは、Azure Information Protection (AIP) ログで異常に多くのダウングレード ラベル アクティビティを検出します。 これは、特定の日数の "AIP" ワークロード レコードを検討し、ドキュメントで実行される一連のアクティビティと適用されたラベルを確認して、異常に多くのダウングレード アクティビティを分類します。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure Information Protection ログ |
| MITRE ATT&CK の方針: | コレクション |
| MITRE ATT&CK の手法: | T1530 - クラウド ストレージ オブジェクトからのデータ T1213 - 情報リポジトリからのデータ T1005 - ローカル システムからのデータ T1039 - ネットワーク共有ドライブからのデータ T1114 - メール コレクション |
一般的に使用されているポートでの異常なネットワーク通信
説明: このアルゴリズムでは、一般に使用されているポートでの異常なネットワーク通信を特定し、毎日のトラフィックを過去 7 日間のベースラインと比較します。 これには一般に使用されているポート (22、53、80、443、8080、8888) のトラフィックが含まれ、毎日のトラフィックが、ベースライン期間で計算された複数のネットワーク トラフィック属性の平均と標準の偏差と比較されます。 考慮対象のトラフィック属性は、ポートごとの毎日の合計イベント数、毎日のデータ転送、個別の送信元 IP アドレスの数です。 毎日の値が、平均を上回る構成された標準偏差の数より大きいと、異常がトリガーされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK の方針: | コマンドと制御 窃盗 |
| MITRE ATT&CK の手法: | コマンドとコントロール: T1071 - アプリケーション レイヤーのプロトコル データ流出: T1030 - データ転送サイズの制限 |
通常とは異なるネットワーク ボリュームの異常
説明: このアルゴリズムでは、ネットワーク ログ内で接続数が異常に多いことを検出します。 これは、時系列を使用してデータを季節、トレンド、その他のコンポーネントに分けてベースラインを計算します。 過去のベースラインから突然大きく逸脱した場合は、異常なアクティビティと見なされます。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK の方針: | 流出 |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 |
URL パス内の IP での異常な Web トラフィックの検出
説明: このアルゴリズムでは、IP アドレスをホストとして一覧表示する、異常な Web 要求を特定します。 このアルゴリズムでは、URL パス内の IP アドレスを使用するすべての Web 要求を見つけ、前の週のデータと比較して、既知の無害なトラフィックを除外します。 既知の無害なトラフィックを除外した後、Web 要求の合計数、同じホスト宛先 IP アドレスを持つ URL の数、同じ宛先 IP アドレスを持つ URL のセット内の個別の送信元 IP の数など、値が構成されている特定のしきい値を超えると、異常をトリガーします。 この種類の要求は、悪意のある目的で URL 評価サービスをバイパスしようとする試みを示す場合があります。
| 属性 | 値 |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK の方針: | コマンドと制御 初期アクセス |
| MITRE ATT&CK の手法: | コマンドとコントロール: T1071 - アプリケーション レイヤーのプロトコル 初期アクセス: T1189 - ドライブバイ侵害 |
次のステップ
Microsoft Sentinel の機械学習によって生成される異常について確認します。
異常ルールを操作する方法について確認します。
Microsoft Sentinel を使用してインシデントを調査します。