Microsoft Sentinel では、一定期間にわたる環境内のユーザーの動作を分析し、正当なアクティビティのベースラインを構築することで、異常を検出します。 ベースラインが確立されると、通常のパラメーターの範囲外にあるアクティビティは異常 (つまり、疑わしい) と見なされます。
Microsoft Sentinel では、2 つのモデルを使用してベースラインを作成し、異常を検出します。
この記事では、さまざまな機械学習モデルを使用して Microsoft Sentinel が検出する異常の一覧を示します。
Anomalies テーブルで次 の手順を 実行します。
-
rulename列は、各異常を識別するために Sentinel が使用するルールを示します。 -
score列には、0 ~ 1 の数値が含まれています。これは、予期される動作からの偏差の程度を定量化します。 スコアが高いほどベースラインからの偏差が大きいことを示し、真の異常である可能性が高くなります。 スコアが低いほど異常な場合もありますが、有意または実用的である可能性は低くなります。
Note
これらの異常検出は、結果の品質が低いため、2024 年 3 月 26 日の時点で廃止されます。
- ドメイン評価の Palo Alto の異常
- Palo Alto GlobalProtect を使用した 1 日のうちのマルチリージョン ログイン
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
UEBA の異常
Sentinel UEBA では、さまざまなデータ入力にわたってエンティティごとに作成された動的ベースラインに基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
SENTINEL ワークスペースで UEBA と異常検出を有効にして、UEBA の異常を検出する必要があります。
UEBA は、次の異常ルールに基づいて異常を検出します。
- UEBA の異常なアカウント アクセスの削除
- UEBA の異常なアカウントの作成
- UEBA の異常なアカウントの削除
- UEBA の異常なアカウント操作
- GCP 監査ログの UEBA 異常アクティビティ (プレビュー)
- Okta_CLの UEBA 異常アクティビティ (プレビュー)
- UEBA 異常認証 (プレビュー)
- UEBA の異常なコード実行
- UEBA の異常なデータの破棄
- UEBA 異常防御メカニズムの変更
- UEBA Anomalous Failed Sign-in
- AWSCloudTrail での UEBA 異常ログオン (プレビュー)
- Okta_CLでの UEBA の異常な MFA エラー (プレビュー)
- UEBA の異常なパスワード リセット
- UEBA の異常な特権が付与されました
- UEBA 異常なサインイン
Sentinel では、BehaviorAnalytics テーブルからエンリッチされたデータを使用して、テナントとソースに固有の信頼度スコアを使用して UEBA の異常を識別します。
UEBA の異常なアカウント アクセスの削除
形容: 攻撃者は、正当なユーザーが使用するアカウントへのアクセスをブロックすることで、システムリソースとネットワーク リソースの可用性を中断する可能性があります。 攻撃者は、アカウントを削除、ロック、または操作して (資格情報を変更するなどの方法で)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Microsoft.Authorization/roleAssignments/delete ログアウトする |
UEBA の異常なアカウントの作成
形容: 敵対者は、対象システムへのアクセスを維持するためのアカウントを作成できます。 十分なレベルのアクセス権があれば、このようなアカウントの作成を利用して、永続的なリモート アクセス ツールをシステムにデプロイしなくても、セカンダリ資格情報によるアクセスを確立できてしまいます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
| MITRE ATT&CK サブ手法: | クラウド アカウント |
| Activity: | Core Directory/UserManagement/Add user |
UEBA の異常なアカウントの削除
形容: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Core Directory/UserManagement/Delete user コア ディレクトリ/デバイス/ユーザーの削除 Core Directory/UserManagement/Delete user |
UEBA の異常なアカウント操作
形容: 敵対者は、ターゲット システムへのアクセスを維持するためにアカウントを操作できます。 これらのアクションとして、高い特権を持つグループへの新規アカウントの追加があります。 たとえば、Dragonfly 2.0 によって、管理者特権のアクセスを維持するために、新しく作成されたアカウントが管理者グループに追加されました。 以下のクエリを使用すると、特権ロールに対して "ユーザーの更新" (名前の変更) を実行している影響範囲の大きいすべてのユーザー、または初めてユーザーを変更したユーザーの出力が生成されます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| Activity: | Core Directory/UserManagement/Update ユーザー |
GCP 監査ログの UEBA 異常アクティビティ (プレビュー)
形容: GCP 監査ログの IAM 関連エントリに基づいて、Google Cloud Platform (GCP) リソースへのアクセス試行に失敗しました。 これらのエラーは、正しく構成されていないアクセス許可、未承認のサービスへのアクセスの試行、またはサービス アカウントを介した特権プローブや永続化などの初期の攻撃者の動作を反映している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | GCP 監査ログ |
| MITRE ATT&CK の戦術: | 発見 |
| MITRE ATT&CK の手法: | T1087 – アカウントの検出、T1069 – アクセス許可グループの検出 |
| Activity: | iam.googleapis.com |
Okta_CLの UEBA 異常アクティビティ (プレビュー)
形容: Okta での予期しない認証アクティビティまたはセキュリティ関連の構成の変更 (サインオン規則の変更、多要素認証 (MFA) の適用、管理者特権など)。 このようなアクティビティは、ID セキュリティ制御を変更したり、特権の変更によってアクセスを維持しようとしたりすることを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK の戦術: | 永続化、特権エスカレーション |
| MITRE ATT&CK の手法: | T1098 - アカウント操作、T1556 - 認証プロセスの変更 |
| Activity: | 'user.session.impersonation.grant' 'user.session.impersonation.initiate' 'user.session.start' 'app.oauth2.admin.consent.grant_success' 'app.oauth2.authorize.code_success' 'device.desktop_mfa.recovery_pin.generate' 'user.authentication.auth_via_mfa' 'user.mfa.attempt_bypass' 'user.mfa.factor.deactivate' 'user.mfa.factor.reset_all' 'user.mfa.factor.suspend' 'user.mfa.okta_verify' |
UEBA 異常認証 (プレビュー)
形容: デバイス ログオン、マネージド ID サインイン、Microsoft Entra ID からのサービス プリンシパル認証など、Microsoft Defender for Endpoint と Microsoft Entra ID からのシグナル間の異常な認証アクティビティ。 これらの異常は、資格情報の誤用、人間以外の ID の悪用、または一般的なアクセス パターン外での横移動の試行を示唆する可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Defender for Endpoint、Microsoft Entra ID |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: |
UEBA の異常なコード実行
形容: 敵対者は、コマンドインタープリターやスクリプト インタープリターを悪用して、コマンド、スクリプト、バイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
| MITRE ATT&CK サブ手法: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA の異常なデータの破棄
形容: 敵対者は、システム、サービス、およびネットワーク リソースの可用性を中断するために、特定のシステム上またはネットワーク上の多数のデータとファイルを破棄する可能性があります。 データが破壊されると、ローカルまたはリモートのドライブ上のファイルまたはデータを上書きすることで、フォレンジック手法によって保存されたデータが回復不能になるおそれがあります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1485 - データの破壊 |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA 異常防御メカニズムの変更
形容: 敵対者は、セキュリティ ツールを無効にして、ツールやアクティビティが検出される可能性を回避できます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 防御回避 |
| MITRE ATT&CK の手法: | T1562 - 防御の低下 |
| MITRE ATT&CK サブ手法: | ツールを無効にするか変更する クラウド ファイアウォールを無効にするか変更する |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA Anomalous Failed Sign-in
形容: システムまたは環境内の正当な資格情報を事前に知っていない敵対者は、アカウントへのアクセスを試みるためにパスワードを推測する可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: 失敗したログイン (イベント ID 4625) |
AWSCloudTrail での UEBA 異常ログオン (プレビュー)
形容: ConsoleLogin などの CloudTrail イベントやその他の認証関連の属性に基づくアマゾン ウェブ サービス (AWS) サービスでの異常なログオン アクティビティ。 異常は、位置情報、デバイスフィンガープリント、ISP、アクセス方法などの属性に基づくユーザー動作の偏差によって決定され、不正アクセスの試行やポリシー違反の可能性を示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: | signin.amazonaws.com |
Okta_CLでの UEBA の異常な MFA エラー (プレビュー)
形容: Okta で失敗した MFA 試行の異常なパターン。 これらの異常は、アカウントの誤用、資格情報の詰め込み、または信頼されたデバイス メカニズムの不適切な使用に起因する可能性があり、多くの場合、盗まれた資格情報のテストや ID セーフガードの調査など、初期段階の敵対者の動作を反映しています。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Okta クラウド ログ |
| MITRE ATT&CK の戦術: | 永続化、特権エスカレーション |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント、T1556 - 認証プロセスの変更 |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA の異常なパスワード リセット
形容: 敵対者は、正当なユーザーが利用するアカウントへのアクセスを禁止することで、システムおよびネットワーク リソースの可用性を中断する可能性があります。 アカウントを削除、ロック、または操作して (資格情報を変更するなどして)、アカウントにアクセスできなくすると考えられます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Impact |
| MITRE ATT&CK の手法: | T1531 - アカウント アクセスの削除 |
| Activity: | Core Directory/UserManagement/User password reset |
UEBA の異常な特権が付与されました
形容: 敵対者は、既存の正当な資格情報に加えて、Azure サービス プリンシパルの敵対者が制御する資格情報を追加して、被害者の Azure アカウントへの永続的なアクセスを維持することができます。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra 監査ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1098 - アカウント操作 |
| MITRE ATT&CK サブ手法: | 追加の Azure サービス プリンシパル資格情報 |
| Activity: | アカウントのプロビジョニング/アプリケーション管理/サービス プリンシパルへのアプリ ロールの割り当ての追加 |
UEBA 異常なサインイン
形容: 敵対者は、資格情報アクセス手法を使用して特定のユーザーまたはサービス アカウントの資格情報を盗んだり、永続性を得るためにソーシャル エンジニアリングを通じて偵察プロセスの早い段階で資格情報をキャプチャしたりする可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | UEBA |
| データ ソース: | Microsoft Entra サインイン ログ Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
| Activity: |
Microsoft Entra ID: サインイン アクティビティ Windows セキュリティ: ログインに成功しました (イベント ID 4624) |
機械学習ベースの異常
機械学習に基づく、Microsoft Sentinel のカスタマイズ可能な異常検知では、追加設定なしですぐに使用できる分析ルール テンプレートによって異常な動作を特定できます。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。
- 異常な Azure 操作
- 異常なコード実行
- 異常なローカル アカウントの作成
- Office Exchange の異常なユーザー アクティビティ
- 試行されたコンピューターのブルート フォース
- 試行されたユーザー アカウントのブルート フォース
- ログインの種類ごとに試行されたユーザー アカウントのブルート フォース
- 失敗した理由ごとの試行されたユーザー アカウントのブルート フォース
- マシンによって生成されたネットワーク ビーコン動作を検出する
- DNS ドメインのドメイン生成アルゴリズム (DGA)
- Palo Alto GlobalProtect を使用した過剰なダウンロード
- Palo Alto GlobalProtect を使用した過剰なアップロード
- 次のレベルの DNS ドメインでの潜在的なドメイン生成アルゴリズム (DGA)
- AWS 以外のソース IP アドレスからの AWS API 呼び出しの疑わしいボリューム
- ユーザー アカウントからの AWS 書き込み API 呼び出しの疑わしいボリューム
- コンピューターへのログインの疑わしいボリューム
- 昇格されたトークンを使用したコンピューターへの疑わしいログイン量
- ユーザー アカウントへのログインの疑わしいボリューム
- ログオンの種類別にユーザー アカウントへのログインの疑わしいボリューム
- 昇格されたトークンを使用したユーザー アカウントへの疑わしいログイン量
異常な Azure 操作
形容: この検出アルゴリズムは、この ML モデルをトレーニングするためにユーザー別にグループ化された Azure 操作に関する 21 日間分のデータを収集します。 その後、このアルゴリズムでは、そのワークスペースで一般的でない一連の操作を実行したユーザーについての異常を生成します。 トレーニングされた ML モデルでは、ユーザーによって実行された操作にスコアを付け、そのスコアが定義済みしきい値を超えているものを異常と見なします。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1190 - 公開アプリケーションの悪用 |
異常なコード実行
形容: 攻撃者はコマンド インタープリターとスクリプト インタープリターを悪用して、コマンド、スクリプト、またはバイナリを実行する可能性があります。 これらのインターフェイスと言語は、コンピューター システムと対話する手段を提供し、さまざまなプラットフォームに共通した機能です。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Azure のアクティビティ ログ |
| MITRE ATT&CK の戦術: | Execution |
| MITRE ATT&CK の手法: | T1059 - コマンドおよびスクリプト インタープリター |
異常なローカル アカウント作成
形容: このアルゴリズムは、Windows システムでの異常なローカル アカウントの作成を検出します。 攻撃者が、ターゲット システムへのアクセスを維持するためにローカル アカウントを作成するおそれがあります。 このアルゴリズムでは、ユーザーによる過去 14 日間のローカル アカウント作成アクティビティを分析します。 過去のアクティビティでこれまで検出されなかったユーザーによる、当日の同様のアクティビティを探します。 許可リストを指定して既知のユーザーをフィルターで除外して、この異常がトリガーされるのを避けることができます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | Persistence |
| MITRE ATT&CK の手法: | T1136 - アカウントの作成 |
Office Exchange での異常なユーザー アクティビティ
形容: この機械学習モデルは、ユーザーごとに Office Exchange ログを時間単位のバケットにグループ化します。 1 時間を 1 つのセッションとして定義します。 このモデルは、通常 (管理者以外) のユーザー全員の過去 7 日間の動作でトレーニングされます。 これは、前日のユーザーの異常な Office Exchange セッションを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Office アクティビティ ログ (Exchange) |
| MITRE ATT&CK の戦術: | Persistence Collection |
| MITRE ATT&CK の手法: |
Collection: T1114 - メール コレクション T1213 - 情報リポジトリからのデータ Persistence: T1098 - アカウント操作 T1136 - アカウントの作成 T1137 - Office アプリケーションの起動 T1505 - サーバー ソフトウェア コンポーネント |
コンピューターのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日にコンピューターごとに異常に大量のログイン試行 (セキュリティ イベント ID 4625) が失敗したことを検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに、異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
ログインの種類ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
エラーの理由ごとのユーザー アカウントのブルート フォースの試み
形容: このアルゴリズムは、過去 1 日の失敗の理由ごとに、ユーザー アカウントごとに異常に大量の失敗したログイン試行 (セキュリティ イベント ID 4625) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 資格情報アクセス |
| MITRE ATT&CK の手法: | T1110 - ブルート フォース |
マシンによって生成されたネットワーク ビーコン動作の検出
形容: このアルゴリズムは、繰り返しの時間差分パターンに基づいて、ネットワーク トラフィック接続ログからのビーコン パターンを識別します。 再帰時間差分において信頼されていない公衆ネットワークへのネットワーク接続がある場合、マルウェア コールバックまたはデータ流出の試みを示しています。 このアルゴリズムでは、同じ送信元 IP と宛先 IP の間の連続するネットワーク接続間の時間差分と、同じ送信元と宛先の間の時間差分シーケンス内の接続の数が計算されます。 ビーコンの割合は、1 日の合計接続数に対する時間差分シーケンス内の接続数として計算されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN) |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1071 - アプリケーション レイヤーのプロトコル T1132 - データのエンコード T1001 - データの難読化 T1568 - 動的な解像度 T1573 - 暗号化チャネル T1008 - フォールバック チャネル T1104 - マルチステージ チャネル T1095 - アプリケーション レイヤー以外のプロトコル T1571 - 標準以外のポート T1572 - プロトコル トンネリング T1090 - プロキシ T1205 - トラフィック シグナル T1102 - Web サービス |
DNS ドメインでのドメイン生成アルゴリズム (DGA)
形容: この機械学習モデルは、DNS ログ内の過去 1 日の潜在的な DGA ドメインを示します。 このアルゴリズムは、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
Palo Alto GlobalProtect を使用した過剰なダウンロード
形容: このアルゴリズムは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとの異常に大量のダウンロードを検出します。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のダウンロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
Palo Alto GlobalProtect を使用した過剰なアップロード
形容: このアルゴリズムでは、Palo Alto VPN ソリューションを使用して、ユーザー アカウントごとに異常に大量のアップロードが検出されます。 このモデルは、過去 14 日間の VPN ログでトレーニングされます。 これは、前日のアップロード数が異常に多いことを示します。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | CommonSecurityLog (PAN VPN) |
| MITRE ATT&CK の戦術: | Exfiltration |
| MITRE ATT&CK の手法: | T1030 - データ転送サイズの制限 T1041 - C2 チャネル経由のデータ流出 T1011 - 他のネットワーク メディア経由のデータ流出 T1567 - Web サービス経由のデータ流出 T1029 - スケジュールされた転送 T1537 - クラウド アカウントへのデータ転送 |
次のレベルの DNS ドメインでのドメイン生成アルゴリズム (DGA) の可能性
形容: この機械学習モデルは、通常とは異なる DNS ログの最終日のドメイン名の次のレベルのドメイン (第 3 レベルおよび上位) を示します。 これらは、ドメイン生成アルゴリズム (DGA) の出力である可能性があります。 この異常は、IPv4 および IPv6 アドレスに解決される DNS レコードに適用されます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | DNS イベント |
| MITRE ATT&CK の戦術: | コマンドとコントロール |
| MITRE ATT&CK の手法: | T1568 - 動的な解像度 |
AWS 以外の送信元 IP アドレスからの疑わしい多数の AWS API 呼び出し
形容: このアルゴリズムは、過去 1 日以内に、AWS のソース IP 範囲外のソース IP アドレスから、ワークスペースごとにユーザー アカウントごとに異常に大量の AWS API 呼び出しを検出します。 このモデルは、送信元 IP アドレス別の 過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、ユーザーのアカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントからの疑わしい多数の AWS 書き込み API 呼び出し
形容: このアルゴリズムは、過去 1 日以内にユーザー アカウントごとに異常に大量の AWS 書き込み API 呼び出しを検出します。 このモデルは、ユーザー アカウント別の過去 21 日間の AWS CloudTrail ログ イベントでトレーニングされます。 このアクティビティは、アカウントが侵害されたことを示している可能性があります。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | AWS CloudTrail ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
コンピューターへの疑わしい多数のログイン
形容: このアルゴリズムでは、過去 1 日にコンピューターごとに異常に大量のログイン (セキュリティ イベント ID 4624) が検出されます。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したコンピューターへの疑わしい多数のログイン
形容: このアルゴリズムは、最後の日にコンピューターごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のユーザー アカウントごとに異常に大量のログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
ログオンの種類ごとのユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日のログオンの種類ごとに、ユーザー アカウントごとに異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
管理者特権のトークンを使用したユーザー アカウントへの疑わしい多数のログイン
形容: このアルゴリズムは、過去 1 日の間に、ユーザー アカウントごとに管理特権を持つ異常に大量の成功したログイン (セキュリティ イベント ID 4624) を検出します。 このモデルは、過去 21 日間の Windows セキュリティ イベント ログでトレーニングされます。
| Attribute | Value |
|---|---|
| 異常の種類: | カスタマイズ可能な機械学習 |
| データ ソース: | Windows セキュリティ ログ |
| MITRE ATT&CK の戦術: | 初期アクセス |
| MITRE ATT&CK の手法: | T1078 - 有効なアカウント |
次のステップ
Microsoft Sentinel で機械学習によって生成された異常 について説明します。
異常ルールを操作する方法について説明します。
Microsoft Sentinel を使用してインシデントを調査します。