この記事では、Microsoft Sentinel でさまざまな機械学習モデルを使用して検出される異常の一覧を示します。
異常の検出は、一定期間にわたって環境内でのユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで機能します。 ベースラインが確立されると、通常のパラメーターの範囲外にあるアクティビティは異常 (つまり、疑わしい) と見なされます。
Microsoft Sentinel では、2 つの異なるモデルを使用してベースラインを作成し、異常を検出します。
Note
次の異常検出は、結果の品質が低いため、2024 年 3 月 26 日の時点で廃止されます。
- ドメイン評価の Palo Alto の異常
- Palo Alto GlobalProtect を使用した 1 日のうちのマルチリージョン ログイン
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
UEBA anomalies
Sentinel UEBA では、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
UEBA の異常を検出するには、UEBA 機能を有効にする必要があります。
- 異常なアカウント アクセスの削除
- 異常なアカウントの作成
- 異常なアカウントの削除
- 異常なアカウント操作
- 異常なコード実行 (UEBA)
- 異常なデータの破棄
- 異常防御メカニズムの変更
- 異常な失敗したサインイン
- 異常なパスワード リセット
- 付与された異常な特権
- Anomalous Sign-in
異常なアカウント アクセスの削除
Description: An attacker may interrupt the availability of system and network resources by blocking access to accounts used by legitimate users. 攻撃者は、アカウントを削除、ロック、または操作して (資格情報を変更するなどの方法で)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Microsoft.Authorization/roleAssignments/delete Log Out |
異常なアカウント作成
Description: Adversaries may create an account to maintain access to targeted systems. 十分なレベルのアクセス権があれば、このようなアカウントの作成を利用して、永続的なリモート アクセス ツールをシステムにデプロイしなくても、セカンダリ資格情報によるアクセスを確立できてしまいます。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | Cloud Account |
| Activity: | Core Directory/UserManagement/Add user |
異常なアカウント削除
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Core Directory/UserManagement/Delete user コア ディレクトリ/デバイス/ユーザーの削除 Core Directory/UserManagement/Delete user |
異常なアカウント操作
Description: Adversaries may manipulate accounts to maintain access to target systems. これらのアクションとして、高い特権を持つグループへの新規アカウントの追加があります。 たとえば、Dragonfly 2.0 によって、管理者特権のアクセスを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 以下のクエリを使用すると、特権ロールに対して "ユーザーの更新" (名前の変更) を実行している影響範囲の大きいすべてのユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| Activity: | Core Directory/UserManagement/Update ユーザー |
異常なコード実行 (UEBA)
Description: Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
異常なデータ破壊
Description: Adversaries may destroy data and files on specific systems or in large numbers on a network to interrupt availability to systems, services, and network resources. データが破壊されると、ローカルまたはリモートのドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータが回復不能になるおそれがあります。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1485 - データの破壊 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
異常な防御メカニズムの変更
Description: Adversaries may disable security tools to avoid possible detection of their tools and activities.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Defense Evasion |
| MITRE ATT&CK の手法: | T1562 - 防御の低下 |
| MITRE ATT&CK サブ手法: | ツールを無効にするか変更する クラウド ファイアウォールを無効にするか変更する |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
異常なサインインの失敗
Description: Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Credential Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows Security: Failed login (Event ID 4625) |
異常なパスワード リセット
Description: Adversaries may interrupt availability of system and network resources by inhibiting access to accounts utilized by legitimate users. アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Core Directory/UserManagement/User password reset |
異常な特権付与
Description: Adversaries may add adversary-controlled credentials for Azure Service Principals in addition to existing legitimate credentials to maintain persistent access to victim Azure accounts.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | 追加の Azure サービス プリンシパル資格情報 |
| Activity: | アカウントのプロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
Anomalous Sign-in
Description: Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Persistence.
| Attribute | Value |
|---|---|
| Anomaly type: | UEBA |
| Data sources: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows Security: Successful login (Event ID 4624) |
機械学習ベースの異常
機械学習に基づく、Microsoft Sentinel のカスタマイズ可能な異常検知では、追加設定なしですぐに使用できる分析ルール テンプレートによって異常な動作を特定できます。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。
- 異常な Azure 操作
- 異常なコード実行
- 異常なローカル アカウントの作成
- Office Exchange の異常なユーザー アクティビティ
- 試行されたコンピューターのブルート フォース
- 試行されたユーザー アカウントのブルート フォース
- ログインの種類ごとに試行されたユーザー アカウントのブルート フォース
- 失敗した理由ごとの試行されたユーザー アカウントのブルート フォース
- マシンによって生成されたネットワーク ビーコン動作を検出する
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
- AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
- ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
- コンピューターへのログインの疑わしいボリューム
- 昇格されたトークンを使用したコンピューターへの疑わしいログイン量
- ユーザー アカウントへのログインの疑わしいボリューム
- ログオンの種類別にユーザー アカウントへのログインの疑わしいボリューム
- 昇格されたトークンを使用したユーザー アカウントへの疑わしいログイン量
異常な Azure 操作
Description: This detection algorithm collects 21 days' worth of data on Azure operations grouped by user to train this ML model. その後、このアルゴリズムでは、そのワークスペースで一般的でない一連の操作を実行したユーザーについての異常を生成します。 トレーニングされた ML モデルでは、ユーザーによって実行された操作にスコアを付け、そのスコアが定義済みしきい値を超えているものを異常と見なします。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1190 - 公開アプリケーションの悪用 |
異常なコード実行
Description: Attackers may abuse command and script interpreters to execute commands, scripts, or binaries. これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウント作成
Description: This algorithm detects anomalous local account creation on Windows systems. 攻撃者が、ターゲット システムへのアクセスを維持するためにローカル アカウントを作成するおそれがあります。 このアルゴリズムでは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 過去のアクティビティでこれまで検出されなかったユーザーによる、当日の同様のアクティビティを探します。 許可リストを指定して既知のユーザーをフィルターで除外して、この異常がトリガーされるのを避けることができます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
Office Exchange での異常なユーザー アクティビティ
Description: This machine learning model groups the Office Exchange logs on a per-user basis into hourly buckets. 1 時間を 1 つのセッションとして定義します。 このモデルは、通常 (管理者以外) のユーザー全員の過去 7 日間の動作でトレーニングされます。 これは、前日のユーザーの異常な Office Exchange セッションを示します。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の戦術: | Persistence Collection |
| MITRE ATT&CK の手法: |
Collection: T1114 - メール コレクション T1213 - 情報リポジトリからのデータ Persistence: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションの起動 T1505 - サーバー ソフトウェア コンポーネント |
コンピューターのブルート フォースの試み
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per computer over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Credential Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試み
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Credential Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントのブルート フォースの試み
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per logon type over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Credential Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
エラーの理由ごとのユーザー アカウントのブルート フォースの試み
Description: This algorithm detects an unusually high volume of failed login attempts (security event ID 4625) per user account per failure reason over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Credential Access |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコン動作の検出
Description: This algorithm identifies beaconing patterns from network traffic connection logs based on recurrent time delta patterns. 再帰時間差分において信頼されていない公衆ネットワークへのネットワーク接続がある場合、マルウェア コールバックまたはデータ流出の試みを示しています。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差分と、同じ送信元と宛先の間の時間差分シーケンス内の接続の数が計算されます。 ビーコンの割合は、1 日の合計接続数に対する時間差分シーケンス内の接続数として計算されます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1071 - アプリケーション レイヤーのプロトコル T1132 - データのエンコード T1001 - データの難読化 T1568 - 動的な解像度 T1573 - 暗号化チャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナル T1102 - Web サービス |
DNS ドメインでのドメイン生成アルゴリズム (DGA)
Description: This machine learning model indicates potential DGA domains from the past day in the DNS logs. このアルゴリズムは、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | DNS Events |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
Description: This algorithm detects unusually high volume of download per user account through the Palo Alto VPN solution. このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のダウンロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
Description: This algorithm detects unusually high volume of upload per user account through the Palo Alto VPN solution. このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のアップロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
Description: This machine learning model indicates the next-level domains (third-level and up) of the ___domain names from the last day of DNS logs that are unusual. これらは、ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | DNS Events |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
Description: This algorithm detects an unusually high volume of AWS API calls per user account per workspace, from source IP addresses outside of AWS's source IP ranges, within the last day. このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、ユーザーのアカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
Description: This algorithm detects an unusually high volume of AWS write API calls per user account within the last day. このモデルは、ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
コンピューターへの疑わしい多数のログイン
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per computer over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per computer, over the last day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントへの疑わしい多数のログイン
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) per user account, by different logon types, over the past day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
Description: This algorithm detects an unusually high volume of successful logins (security event ID 4624) with administrative privileges, per user account, over the last day. このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| Anomaly type: | カスタマイズ可能な機械学習 |
| Data sources: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Initial Access |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
Next steps
Microsoft Sentinel で機械学習によって生成された異常 について説明します。
異常ルールを操作する方法について説明します。
Investigate incidents with Microsoft Sentinel.