Microsoft Sentinel 机器学习引擎检测的异常情况
本文列出了 Microsoft Sentinel 使用不同机器学习模型检测的异常情况。
异常情况检测的工作方式是分析用户在一段时间内在环境中的行为并构建合法活动的基线。 建立基线后,任何超出正常参数的活动都将被视为异常,因此被视为可疑活动。
Microsoft Sentinel 使用两种不同的模型来创建基线和检测异常情况。
UEBA 异常情况
Sentinel UEBA 基于动态基线检测异常情况,这些基线是根据各种数据输入为每个实体创建的。 每个实体的基线行为是根据其自身的历史活动、其对等方的活动以及整个组织的活动设置的。 可以通过关联不同的属性(例如操作类型、地理位置、设备、资源、ISP 等)来触发异常情况。
必须启用 UEBA 功能才能检测到 UEBA 异常。
异常的帐户访问权限删除
说明:攻击者可能会通过阻止访问合法用户使用的帐户来中断系统和网络资源的可用性。 攻击者可能会删除、锁定或操控帐户(例如,通过更改其凭据)以删除对该帐户的访问权限。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | Microsoft.Authorization/roleAssignments/delete 注销 |
异常的帐户创建
说明:攻击者可能会创建一个帐户来保持对目标系统的访问权限。 获得足够的访问权限级别后,可以创建此类帐户来建立辅助凭据访问权限,而无需在系统上部署永久性远程访问工具。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1136 - 创建帐户 |
| MITRE ATT&CK 子方法: | 云帐户 |
| 活动: | 核心目录/用户管理/添加用户 |
异常的帐户删除
说明:攻击者可能会通过禁止访问合法用户使用的帐户来中断系统和网络资源的可用性。 可能会删除、锁定或操控帐户(例如更改凭据)来删除对帐户的访问权限。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | 核心目录/用户管理/删除用户 核心目录/设备/删除用户 核心目录/用户管理/删除用户 |
异常的帐户操控
说明:攻击者可能会操控帐户以保持对目标系统的访问权限。 这些操作包括将新帐户添加到高特权组。 例如,Dragonfly 2.0 将新建的帐户添加到了管理员组以保持提升的访问权限。 以下查询生成一个输出,其中包含对特权角色执行“更新用户”(名称更改)的、影响范围广泛的所有用户,或那些首次更改了用户的用户。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1098 - 帐户操控 |
| 活动: | 核心目录/用户管理/更新用户 |
异常的代码执行 (UEBA)
说明:攻击者可能滥用命令和脚本解释器来执行命令、脚本或二进制文件。 这些接口和语言提供了与计算机系统交互的方式,并且是许多不同平台共有的功能。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 执行 |
| MITRE ATT&CK 方法: | T1059 - 命令和脚本解释器 |
| MITRE ATT&CK 子方法: | PowerShell |
| 活动: | Microsoft.Compute/virtualMachines/runCommand/action |
异常的数据销毁
说明:攻击者可能会销毁特定系统或网络中的大量数据和文件,以中断系统、服务和网络资源的可用性。 通过覆盖本地和远程驱动器上的文件或数据,数据销毁有可能导致取证技术无法恢复存储的数据。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1485 - 数据销毁 |
| 活动: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
异常的防御机制修改
说明:攻击者可能会禁用安全工具,以避免对他们的工具和活动进行检测。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 防御规避 |
| MITRE ATT&CK 方法: | T1562 - 削弱防御 |
| MITRE ATT&CK 子方法: | 禁用或修改工具 禁用或修改云防火墙 |
| 活动: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
异常的失败登录
说明:事先不知道系统或环境中的合法凭据的攻击者可能会猜测密码以企图访问帐户。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 登录日志 Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
| 活动: | Microsoft Entra ID:登录活动 Windows 安全性:失败的登录(事件 ID 4625) |
异常的密码重置
说明:攻击者可能会通过禁止访问合法用户使用的帐户来中断系统和网络资源的可用性。 可能会删除、锁定或操控帐户(例如更改凭据)来删除对帐户的访问权限。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 影响 |
| MITRE ATT&CK 方法: | T1531 - 删除帐户访问权限 |
| 活动: | 核心目录/用户管理/用户密码重置 |
异常的特权授予
说明:除了添加现有的合法凭据外,攻击者还可能为 Azure 服务主体添加由他们控制的凭据,以持久保留对受害 Azure 帐户的访问权限。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1098 - 帐户操控 |
| MITRE ATT&CK 子方法: | 其他 Azure 服务主体凭据 |
| 活动: | 帐户预配/应用程序管理/将应用角色分配添加到服务主体 |
异常登录
说明:攻击者可能会使用凭据访问技术窃取特定用户或服务帐户的凭据,或者在侦查过程早期通过社交工程捕获凭据以获取持久访问权限。
| Attribute | 值 |
|---|---|
| 异常类型: | UEBA |
| 数据源: | Microsoft Entra 登录日志 Windows 安全性日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
| 活动: | Microsoft Entra ID:登录活动 Windows 安全性:成功的登录(事件 ID 4624) |
基于机器学习的异常情况
Microsoft Sentinel 的可自定义的、基于机器学习的异常可以通过分析规则模板来识别异常行为,这些模板可以开箱即用。 虽然单单异常本身不一定表明存在恶意行为,甚至是可疑行为,但可用于提高检测、调查和威胁搜寻。
- 异常的 Microsoft Entra 登录会话
- 异常的 Azure 操作
- 异常的代码执行
- 异常的本地帐户创建
- 异常的扫描活动
- Office Exchange 中的异常用户活动
- Azure 审核日志中的异常用户/应用活动
- 异常的 W3CIIS 日志活动
- 异常的 Web 请求活动
- 企图暴力破解计算机
- 企图暴力破解用户帐户
- 按登录类型列出的用户帐户暴力破解企图
- 按失败原因列出的用户帐户暴力破解企图
- 检测计算机生成的网络信标行为
- DNS 域上的域生成算法 (DGA)
- 域信誉 Palo Alto 异常情况
- 传输过多数据异常情况
- 通过 Palo Alto GlobalProtect 过度下载
- 通过 Palo Alto GlobalProtect 过度上传
- 通过 Palo Alto GlobalProtect 帐户登录名在不常见区域登录
- 一天内通过 Palo Alto GlobalProtect 在多个区域登录
- 潜在的数据暂存
- 下一级 DNS 域上的潜在域生成算法 (DGA)
- Palo Alto GlobalProtect 帐户登录中可疑的地理位置更改
- 访问受保护文档的可疑次数
- 登录到计算机的可疑次数
- 使用权限提升的令牌登录到计算机的可疑次数
- 登录到用户帐户的可疑次数
- 按登录类型列出的登录到用户帐户的可疑次数
- 使用权限提升的令牌登录到用户帐户的可疑次数
- 检测到不常见的外部防火墙警报
- 以不常见的方式批量降级 AIP 标签
- 以不常见的方式在常用端口上进行网络通信
- 不常见的网络流量异常情况
- 检测到使用 URL 路径中的 IP 发送不常见的 Web 流量
异常的 Microsoft Entra 登录会话
说明:机器学习模型按用户对 Microsoft Entra 登录日志进行分组。 该模型是根据用户登录行为的前 6 天训练的。 它指示过去一天的异常用户登录会话。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Microsoft Entra 登录日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 T1566 - 网络钓鱼 T1133 - 外部远程服务 |
异常的 Azure 操作
说明:此检测算法收集 21 天的 Azure 操作数据(按用户分组)来训练此 ML 模型。 然后,如果用户在其工作区中执行不常见的操作序列,该算法会生成异常情况。 已训练的 ML 模型对用户执行的操作进行评分,并分析那些评分大于定义的阈值的操作。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1190 - 恶意利用面向公众的应用程序 |
异常的代码执行
说明:攻击者可能滥用命令和脚本解释器来执行命令、脚本或二进制文件。 这些接口和语言提供了与计算机系统交互的方式,并且是许多不同平台共有的功能。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 活动日志 |
| MITRE ATT&CK 策略: | 执行 |
| MITRE ATT&CK 方法: | T1059 - 命令和脚本解释器 |
异常的本地帐户创建
说明:此算法检测 Windows 系统上的异常本地帐户创建活动。 攻击者可能会创建本地帐户来保持对目标系统的访问权限。 该算法分析用户在过去 14 天内的本地帐户创建活动。 它会在历史活动中查找是否有未曾见过的用户在当天执行了类似的活动。 可以指定一个允许列表来筛选已知用户,以免对其触发此异常情况。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 持久性 |
| MITRE ATT&CK 方法: | T1136 - 创建帐户 |
异常的扫描活动
说明:此算法查找从单个源 IP 对一个或多个目标 IP 执行的、在给定环境中不常见的端口扫描活动。
该算法会分析源 IP 是公共/外部的还是专用/内部的,并相应地标记事件。 目前只会分析专用 IP 到公共 IP 或公共 IP 到专用 IP 扫描活动。 扫描活动可能指示攻击者试图确定环境中的可用服务,他们可能会恶意利用这些服务进行数据传入或横向移动。 如果存在大量的源端口和目标端口,发生从单个源 IP 扫描一个或多个目标 IP 的情况时就需要引以关注,这可能表示存在异常的扫描。 此外,如果目标 IP 与单个源 IP 的比率很高,这可能表示存在异常的扫描。
配置详细信息:
- 作业运行默认间隔为每日,箱的间隔为每小时。
该算法使用以下可配置的默认值来基于每小时箱限制结果。 - 包含的设备操作 - 接受、允许、启动
- 排除的端口 - 53、67、80、8080、123、137、138、443、445、3389
- 非重复目标端口计数 >= 600
- 非重复源端口计数 >= 600
- 将非重复源端口计数除以非重复目标端口计数,转换后的百分比 >= 99.99
- 将源 IP(始终为 1)除以目标 IP,转换后的百分比 => 99.99
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog(PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 发现 |
| MITRE ATT&CK 方法: | T1046 - 网络服务扫描 |
Office Exchange 中的异常用户活动
说明:此机器学习模型按用户将 Office Exchange 日志分组到每小时桶中。 我们将一小时定义为一个会话。 该模型是根据所有普通(非管理员)用户在过去 7 天的行为训练的。 它指示过去一天的异常用户 Office Exchange 会话。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Office 活动日志 (Exchange) |
| MITRE ATT&CK 策略: | 持久性 集合 |
| MITRE ATT&CK 方法: | 收集: T1114 - 电子邮件收集 T1213 - 来自信息存储库的数据 持久性: T1098 - 帐户操控 T1136 - 创建帐户 T1137 - Office 应用程序启动 T1505 - 服务器软件组件 |
Azure 审核日志中的异常用户/应用活动
说明:此算法根据过去 21 天内所有用户和应用的行为,在审核日志中识别过去一天内的异常用户/应用 Azure 会话。 该算法在训练模型之前检查数据量是否足够。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Microsoft Entra 审核日志 |
| MITRE ATT&CK 策略: | 集合 发现 初始访问 持久性 特权提升 |
| MITRE ATT&CK 方法: | 收集: T1530 - 来自云存储对象的数据 发现: T1087 - 帐户发现 T1538 - 云服务仪表板 T1526 - 云服务发现 T1069 - 权限组发现 T1518 - 软件发现 初始访问: T1190 - 恶意利用面向公众的应用程序 T1078 - 有效帐户 持久性: T1098 - 帐户操控 T1136 - 创建帐户 T1078 - 有效帐户 特权提升: T1484 - 域策略修改 T1078 - 有效帐户 |
异常的 W3CIIS 日志活动
说明:此机器学习算法指示过去一天的异常 IIS 会话。 例如,它会捕获会话中异常多的非重复 URI 查询、用户代理或日志,或者会话中的特定 HTTP 谓词或 HTTP 状态。 该算法在每小时会话中识别不常见的 W3CIISLog 事件(按站点名称和客户端 IP 分组)。 该模型是根据前 7 天的 IIS 活动训练的。 该算法在训练模型之前检查 IIS 活动数量是否足够。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | W3CIIS 日志 |
| MITRE ATT&CK 策略: | 初始访问 持久性 |
| MITRE ATT&CK 方法: | 初始访问: T1190 - 恶意利用面向公众的应用程序 持久性: T1505 - 服务器软件组件 |
异常的 Web 请求活动
说明:此算法按站点名称和 URI 词干将 W3CIISLog 事件分组到每小时会话中。 机器学习模型可以识别包含过去一天内触发了 5xx 类响应代码的异常多的请求的会话。 5xx 类代码指示请求触发了某种应用程序不稳定情况或错误情况。 它们可能指示攻击者正在探测 URI 词干以找出漏洞和配置问题,并执行某种恶意利用活动(例如 SQL 注入)或利用未修补的漏洞。 此算法使用 6 天的数据进行训练。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | W3CIIS 日志 |
| MITRE ATT&CK 策略: | 初始访问 持久性 |
| MITRE ATT&CK 方法: | 初始访问: T1190 - 恶意利用面向公众的应用程序 持久性: T1505 - 服务器软件组件 |
企图暴力破解计算机
说明:此算法检测过去一天内每台计算机上是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
企图暴力破解用户帐户
说明:此算法检测过去一天内每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
按登录类型列出的用户帐户暴力破解企图
说明:此算法检测过去一天内每种登录类型的每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
按失败原因列出的用户帐户暴力破解企图
说明:此算法检测过去一天内每种失败原因的每个用户帐户是否发生异常多的失败登录尝试(安全事件 ID 4625)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 凭据访问 |
| MITRE ATT&CK 方法: | T1110 - 暴力破解 |
检测计算机生成的网络信标行为
说明:此算法根据重复时间增量模式在网络流量连接日志中识别信标模式。 在重复时间增量中与不受信任的公用网络建立任何网络连接都表明存在恶意软件回调或数据外泄企图。 该算法将计算在同一源 IP 与目标 IP 之间连续建立网络连接的时间增量,以及在时间增量序列中在同一源与目标之间建立的连接数。 计算出的信标百分比是时间增量序列中的连接数与一天中的总连接数之比。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1071 - 应用层协议 T1132 - 数据编码 T1001 - 数据模糊处理 T1568 - 动态分辨率 T1573 - 加密通道 T1008 - 回退通道 T1104 - 多级通道 T1095 - 非应用层协议 T1571 - 非标准端口 T1572 - 协议隧道 T1090 - 代理 T1205 - 流量信令 T1102 - Web 服务 |
DNS 域上的域生成算法 (DGA)
说明:此机器学习模型在 DNS 日志中指示过去一天的潜在 DGA 域。 该算法适用于解析为 IPv4 和 IPv6 地址的 DNS 记录。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1568 - 动态分辨率 |
域信誉 Palo Alto 异常情况
说明:此算法专门评估 Palo Alto 防火墙(PAN-OS 产品)日志中显示的所有域的信誉。 异常高的评分表示低信誉,表明已观察到该域托管了恶意内容或可能这样做。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1568 - 动态分辨率 |
传输过多数据异常情况
说明:此算法检测在网络日志中观察到的异常多的数据传输。 它使用时序将数据分解为季节性、趋势和残差分量以计算基线。 如果突然与历史基线之间出现很大偏差,则认为存在异常活动。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog(PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 T1041 - 通过 C2 通道外泄 T1011 - 通过其他网络媒体外泄 T1567 - 通过 Web 服务外泄 T1029 - 计划性转移 T1537 - 将数据传输到云帐户 |
通过 Palo Alto GlobalProtect 过度下载
说明:此算法通过 Palo Alto VPN 解决方案检测每个用户帐户的异常多的下载次数。 该模型是根据前 14 天的 VPN 日志训练的。 它指示过去一天的异常多的下载次数。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 T1041 - 通过 C2 通道外泄 T1011 - 通过其他网络媒体外泄 T1567 - 通过 Web 服务外泄 T1029 - 计划性转移 T1537 - 将数据传输到云帐户 |
通过 Palo Alto GlobalProtect 过度上传
说明:此算法通过 Palo Alto VPN 解决方案检测每个用户帐户的异常多的上传次数。 该模型是根据前 14 天的 VPN 日志训练的。 它指示过去一天的异常多的上传次数。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 T1041 - 通过 C2 通道外泄 T1011 - 通过其他网络媒体外泄 T1567 - 通过 Web 服务外泄 T1029 - 计划性转移 T1537 - 将数据传输到云帐户 |
通过 Palo Alto GlobalProtect 帐户登录名在不常见区域登录
说明:如果 Palo Alto GlobalProtect 帐户从过去 14 天内极少登录的源区域登录,则会触发异常情况。 此异常情况可能表示该帐户已遭入侵。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 凭据访问 初始访问 横向移动 |
| MITRE ATT&CK 方法: | T1133 - 外部远程服务 |
一天内通过 Palo Alto GlobalProtect 在多个区域登录
说明:此算法检测在一天内通过 Palo Alto VPN 从多个非邻近区域登录的用户帐户。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 防御规避 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
潜在的数据暂存
说明:此算法将每个用户在过去一周的非重复文件下载次数与每个用户当天的下载次数进行比较,如果非重复文件的下载次数超过配置的高于平均值的标准偏差数,则会触发异常情况。 目前,该算法仅在扩展名为 doc、docx、xls、xlsx、xlsm、ppt、pptx、one、pdf、zip、rar、bmp、jpg、mp3、mp4 和 mov 的文件、图像、视频和存档外泄期间分析常见的文件。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Office 活动日志 (Exchange) |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 方法: | T1074 - 暂存的数据 |
下一级 DNS 域上的潜在域生成算法 (DGA)
说明:此机器学习模型在过去一天的 DNS 日志中指示域名的不常见下一级域(三级及以上)。 它们可能是域生成算法 (DGA) 的输出。 异常情况适用于解析为 IPv4 和 IPv6 地址的 DNS 记录。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | DNS 事件 |
| MITRE ATT&CK 策略: | 命令和控制 |
| MITRE ATT&CK 方法: | T1568 - 动态分辨率 |
Palo Alto GlobalProtect 帐户登录中可疑的地理位置更改
说明:如果存在匹配项,表示用户从不同于其上次远程登录时所在的国家/地区远程登录。 此规则也可能表示帐户遭到入侵,尤其是在接近的时间发生规则匹配时。 这包括不可能前往该地的情况。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK 策略: | 初始访问 凭据访问 |
| MITRE ATT&CK 方法: | T1133 - 外部远程服务 T1078 - 有效帐户 |
访问受保护文档的可疑次数
说明:此算法在 Azure 信息保护 (AIP) 日志中检测是否访问受保护文档很多次。 它会分析给定天数的 AIP 工作负载记录,并确定用户是否在一天内对受保护文档进行了不寻常的访问(根据历史行为判断)。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 信息保护日志 |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 方法: | T1530 - 来自云存储对象的数据 T1213 - 来自信息存储库的数据 T1005 - 来自本地系统的数据 T1039 - 来自网络共享驱动器的数据 T1114 - 电子邮件收集 |
登录到计算机的可疑次数
说明:此算法检测过去一天内每台计算机上是否发生异常多的成功登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
使用权限提升的令牌登录到计算机的可疑次数
说明:此算法检测过去一天内每台计算机上是否发生异常多的使用管理特权的成功登录事件(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户是否发生异常多的成功登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
按登录类型列出的登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户通过不同的登录类型成功实现了异常多的登录(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
使用权限提升的令牌登录到用户帐户的可疑次数
说明:此算法检测过去一天内每个用户帐户是否发生异常多的使用管理特权的成功登录事件(安全事件 ID 4624)。 该模型是根据过去 21 天的 Windows 安全事件日志训练的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Windows 安全性日志 |
| MITRE ATT&CK 策略: | 初始访问 |
| MITRE ATT&CK 方法: | T1078 - 有效帐户 |
检测到不常见的外部防火墙警报
说明:此算法识别不常见的外部防火墙警报,这些警报是防火墙供应商发布的威胁签名。 它使用过去 7 天的活动来计算触发次数最多的 10 个签名,以及触发了最多签名的 10 个主机。 在排除这两种类型的干扰性事件后,它仅在超过一天中触发的签名数阈值后才会触发异常情况。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog (PAN) |
| MITRE ATT&CK 策略: | 发现 命令和控制 |
| MITRE ATT&CK 方法: | 发现: T1046 - 网络服务扫描 T1135 - 网络共享发现 命令和控制: T1071 - 应用层协议 T1095 - 非应用层协议 T1571 - 非标准端口 |
以不常见的方式批量降级 AIP 标签
说明:此算法在 Azure 信息保护 (AIP) 日志中检测是否发生异常多的降级标签活动。 它会分析给定天数的“AIP”工作负载记录,并确定针对文档执行的活动序列,以及用于对异常数量的降级活动进行分类的标签。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | Azure 信息保护日志 |
| MITRE ATT&CK 策略: | 集合 |
| MITRE ATT&CK 方法: | T1530 - 来自云存储对象的数据 T1213 - 来自信息存储库的数据 T1005 - 来自本地系统的数据 T1039 - 来自网络共享驱动器的数据 T1114 - 电子邮件收集 |
以不常见的方式在常用端口上进行网络通信
说明:此算法识别常用端口上的不常见网络通信,并将每日流量与过去 7 天的基线进行比较。 这包括常用端口(22、53、80、443、8080、8888)上的流量。它会将每日流量与在基线期间计算的多个网络流量属性的平均值和标准偏差进行比较。 考虑的流量属性为每日事件总数、每日数据传输和每个端口的非重复源 IP 地址数。 当每日值大于配置的高于平均值的标准偏差数时,将触发异常情况。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog(PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 命令和控制 外泄 |
| MITRE ATT&CK 方法: | 命令和控制: T1071 - 应用层协议 外泄: T1030 - 数据传输大小限制 |
不常见的网络流量异常情况
说明:此算法在网络日志中检测是否存在异常多的连接。 它使用时序将数据分解为季节性、趋势和残差分量以计算基线。 如果突然与历史基线之间出现很大偏差,则认为存在异常活动。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog(PAN、Zscaler、CEF、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 外泄 |
| MITRE ATT&CK 方法: | T1030 - 数据传输大小限制 |
检测到使用 URL 路径中的 IP 发送不常见的 Web 流量
说明:此算法识别将 IP 地址列为主机的不常见 Web 请求。 该算法查找使用 URL 路径中的 IP 地址的所有 Web 请求,并将它们与过去一周的数据进行比较,以排除已知良性的流量。 在排除已知良性的流量后,它仅在超过特定阈值和配置的值(例如 Web 请求总数、发现的具有相同主机目标 IP 地址的 URL 数、URL 集内具有相同目标 IP 地址的非重复源 IP 数)后才触发异常情况。 这种类型的请求可能表示攻击者企图绕过 URL 信誉服务来达到恶意目的。
| Attribute | 值 |
|---|---|
| 异常类型: | 可自定义的机器学习 |
| 数据源: | CommonSecurityLog(PAN、Zscaler、CheckPoint、Fortinet) |
| MITRE ATT&CK 策略: | 命令和控制 初始访问 |
| MITRE ATT&CK 方法: | 命令和控制: T1071 - 应用层协议 初始访问: T1189 - 路过攻击 |
后续步骤
- 使用 Microsoft Sentinel 调查事件。