Microsoft Sentinel 일정 기간 동안 환경에서 사용자의 동작을 분석하고 합법적인 활동의 기준을 생성하여 변칙을 검색합니다. 기준이 설정되면 일반 매개 변수 외부의 모든 활동은 비정상으로 간주되므로 의심스러운 것으로 간주됩니다.
Microsoft Sentinel 두 모델을 사용하여 기준을 만들고 변칙을 검색합니다.
이 문서에서는 다양한 기계 학습 모델을 사용하여 Microsoft Sentinel 검색하는 변칙을 나열합니다.
- 열은
rulename각 변칙을 식별하는 데 사용되는 규칙 Sentinel 나타냅니다. - 열에는
score0에서 1 사이의 숫자 값이 포함되어 예상 동작의 편차 정도를 정량화합니다. 점수가 높을수록 기준선에서 더 큰 편차를 나타내며 실제 변칙일 가능성이 높습니다. 낮은 점수는 여전히 비정상일 수 있지만 중요하거나 실행 가능할 가능성이 적습니다.
참고
이러한 변칙 검색은 결과의 품질이 낮기 때문에 2026년 3월 8일부터 중단됩니다.
- DNS 도메인의 DGA(도메인 생성 알고리즘)
- 다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)
UEBA 및 기계 학습 기반 변칙 비교
UEBA 및 ML(기계 학습) 기반 변칙은 변칙 검색에 대한 보완적인 접근 방식입니다. 둘 다 테이블을 채웁니다 Anomalies .
| 측면 | UEBA 변칙 | ML 변칙 검색 규칙 |
|---|---|---|
| 초점 | 비정상적 으로 행동하는 사람 | 비정상적인 활동 |
| 검색 방법 | 기록 활동, 피어 동작 및 organization 수준 패턴과 비교된 엔터티 중심 동작 기준 | 특정 데이터 패턴에 대해 학습된 통계 및 ML 모델을 사용하여 사용자 지정 가능한 규칙 템플릿 |
| 기준 소스 | 각 엔터티의 자체 기록, 피어 그룹 및 organization | 특정 이벤트 유형에 대한 학습 기간(일반적으로 7-21일) |
| 사용자 지정 | UEBA 설정을 사용하여 사용/사용 안 함 | 분석 규칙 UI를 사용하여 튜닝 가능한 임계값 및 매개 변수 |
| 예 | 비정상적인 로그인, 비정상적인 계정 만들기, 비정상적인 권한 수정 | 무차별 암호 대입 시도, 과도한 다운로드, 네트워크 비콘 |
자세한 내용은 다음 항목을 참조하세요.
UEBA 변칙
Sentinel UEBA는 다양한 데이터 입력에서 각 엔터티에 대해 생성된 동적 기준을 기반으로 변칙을 검색합니다. 각 엔터티의 기준 동작은 자체 기록 활동, 해당 피어의 활동 및 organization 전체에 따라 설정됩니다. 동작 유형, 지리적 위치, 디바이스, 리소스, ISP 등과 같은 다양한 특성의 상관 관계에 의해 변칙이 트리거될 수 있습니다.
UEBA 변칙을 검색하려면 Sentinel 작업 영역에서 UEBA 및 변칙 검색을 사용하도록 설정해야 합니다.
UEBA는 다음과 같은 변칙 규칙에 따라 변칙을 검색합니다.
- UEBA 비정상적인 계정 액세스 제거
- UEBA 비정상적인 계정 만들기
- UEBA 비정상적인 계정 삭제
- UEBA 비정상적인 계정 조작
- GCP 감사 로그의 UEBA 비정상 작업
- Okta_CL UEBA 비정상 작업
- UEBA 비정상 인증
- UEBA 비정상 코드 실행
- UEBA 비정상적인 데이터 소멸
- Amazon S3에서 UEBA 비정상적인 데이터 전송
- UEBA 비정상적인 방어 메커니즘 수정
- UEBA 비정상적인 로그인 실패
- AwsCloudTrail의 UEBA 비정상적인 페더레이션 또는 SAML ID 활동
- AwsCloudTrail의 UEBA 비정상적인 IAM 권한 수정
- GCP 감사 로그의 UEBA 비정상적인 인프라 사용량
- GCP 감사 로그의 UEBA 비정상적인 로그인
- AwsCloudTrail의 UEBA 비정상적인 로그온
- Okta_CL UEBA 비정상적인 MFA 오류
- UEBA 비정상적인 암호 재설정
- UEBA 비정상 권한 부여
- GCP 감사 로그의 UEBA 비정상적인 권한 있는 작업
- GCP 감사 로그의 UEBA 비정상적인 리소스 배포
- AwsCloudTrail의 UEBA 비정상 비밀 또는 KMS 키 액세스
- GCP 감사 로그의 UEBA 비정상 비밀 또는 KMS 키 액세스
- UEBA 비정상적인 로그인
- AwsCloudTrail의 UEBA 비정상적인 STS AssumeRole 동작
Sentinel BehaviorAnalytics 테이블의 보강된 데이터를 사용하여 테넌트 및 원본과 관련된 신뢰도 점수로 UEBA 변칙을 식별합니다.
UEBA 비정상적인 계정 액세스 제거
설명: 공격자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 공격자는 계정(예: 자격 증명 변경)을 삭제, 잠금 또는 조작하여 액세스 권한을 제거할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 영향 |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 제거 |
| 활동: | Microsoft.Authorization/roleAssignments/delete 로그아웃 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 만들기
설명: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 만들 수 있습니다. 충분한 수준의 액세스를 통해 이러한 계정을 만들어 시스템에 영구 원격 액세스 도구를 배포할 필요 없이 보조 자격 증명 액세스를 설정하는 데 사용할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 감사 로그 Microsoft Entra |
| MITRE ATT&CK 전술: | 지속성 |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기 |
| MITRE ATT&CK 하위 기술: | 클라우드 계정 |
| 활동: | 핵심 디렉터리/UserManagement/사용자 추가 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 삭제
설명: 악의적 사용자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스를 제거하기 위해 계정을 삭제, 잠금 또는 조작(예: 변경된 자격 증명)할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 감사 로그 Microsoft Entra |
| MITRE ATT&CK 전술: | 영향 |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 제거 |
| 활동: | 핵심 디렉터리/UserManagement/사용자 삭제 핵심 디렉터리/디바이스/사용자 삭제 핵심 디렉터리/UserManagement/사용자 삭제 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 계정 조작
설명: 악의적 사용자는 대상 시스템에 대한 액세스를 유지하기 위해 계정을 조작할 수 있습니다. 이러한 작업에는 높은 권한의 그룹에 새 계정을 추가하는 작업이 포함됩니다. 예를 들어 Dragonfly 2.0은 관리자 그룹에 새로 만든 계정을 추가하여 상승된 액세스를 유지 관리합니다. 아래 쿼리는 권한 있는 역할로 "사용자 업데이트"(이름 변경)를 수행하는 모든 고폭발 Radius 사용자 또는 처음으로 사용자를 변경한 사용자의 출력을 생성합니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 감사 로그 Microsoft Entra |
| MITRE ATT&CK 전술: | 지속성 |
| MITRE ATT&CK 기술: | T1098 - 계정 조작 |
| 활동: | Core Directory/UserManagement/Update user |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상 작업
설명: GCP 감사 로그의 IAM 관련 항목을 기반으로 GCP(Google Cloud Platform) 리소스에 대한 액세스 시도가 실패했습니다. 이러한 오류는 잘못 구성된 권한, 권한 없는 서비스에 액세스하려는 시도 또는 서비스 계정을 통한 권한 검색 또는 지속성과 같은 초기 단계 공격자 동작을 반영할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 검색 |
| MITRE ATT&CK 기술: | T1087 – 계정 검색, T1069 – 권한 그룹 검색 |
| 활동: | iam.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Okta_CL UEBA 비정상 작업
설명: 로그온 규칙 수정, MFA(다단계 인증) 적용 또는 관리 권한을 포함하여 Okta에서 예기치 않은 인증 활동 또는 보안 관련 구성이 변경되었습니다. 이러한 활동은 ID 보안 제어를 변경하거나 권한 있는 변경을 통해 액세스를 유지하려는 시도를 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Okta 클라우드 로그(Okta_CL 및 OktaV2_CL) |
| MITRE ATT&CK 전술: | 지속성, 권한 에스컬레이션 |
| MITRE ATT&CK 기술: | T1098 - 계정 조작, T1556 - 인증 프로세스 수정 |
| 활동: | user.session.impersonation.grant user.session.impersonation.initiate user.session.start app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상 인증
설명: 디바이스 로그온, 관리 ID 로그인 및 Microsoft Entra ID 서비스 주체 인증을 포함하여 엔드포인트용 Microsoft Defender 및 Microsoft Entra ID 신호 간 비정상적인 인증 활동입니다. 이러한 변칙은 자격 증명 오용, 비인간 ID 남용 또는 일반적인 액세스 패턴 외부의 횡적 이동 시도를 암시할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 엔드포인트용 Microsoft Defender, Microsoft Entra ID |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| 활동: |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상 코드 실행
설명: 악의적 사용자는 명령, 스크립트 또는 이진 파일을 실행하기 위해 명령 및 스크립트 인터프리터를 남용할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 일반적인 기능입니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 실행 |
| MITRE ATT&CK 기술: | T1059 - 명령 및 스크립팅 인터프리터 |
| MITRE ATT&CK 하위 기술: | PowerShell |
| 활동: | Microsoft.Compute/virtualMachines/runCommand/action |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 데이터 소멸
설명: 악의적 사용자는 시스템, 서비스 및 네트워크 리소스에 대한 가용성을 중단하기 위해 특정 시스템 또는 네트워크의 많은 수의 데이터와 파일을 파괴할 수 있습니다. 데이터 소멸은 로컬 및 원격 드라이브에서 파일 또는 데이터를 덮어쓰는 포렌식 기술에 의해 저장된 데이터를 복구할 수 없게 렌더링할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 영향 |
| MITRE ATT&CK 기술: | T1485 - 데이터 소멸 |
| 활동: | Microsoft.Compute/disks/delete Microsoft.Compute/gallerys/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Amazon S3에서 UEBA 비정상적인 데이터 전송
설명: Amazon S3(Simple Storage Service)에서 데이터 액세스 또는 다운로드 패턴의 편차입니다. 변칙은 각 사용자, 서비스 및 리소스에 대한 동작 기준을 사용하여 데이터 전송 볼륨, 빈도 및 액세스된 개체 수를 기록 표준과 비교하여 결정됩니다. 처음 대량 액세스, 비정상적으로 큰 데이터 검색 또는 새 위치 또는 애플리케이션의 활동과 같은 중요한 편차는 잠재적인 데이터 반출, 정책 위반 또는 손상된 자격 증명의 오용을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 유출 |
| MITRE ATT&CK 기술: | T1567 - 웹 서비스를 통한 반출 |
| 활동: | PutObject, CopyObject, UploadPart, UploadPartCopy, CreateJob, CompleteMultipartUpload |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 방어 메커니즘 수정
설명: 악의적 사용자는 도구 및 활동을 검색할 수 없도록 보안 도구를 사용하지 않도록 설정할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 방어 회피 |
| MITRE ATT&CK 기술: | T1562 - 방어 장애 |
| MITRE ATT&CK 하위 기술: | 도구 사용 안 함 또는 수정 클라우드 방화벽 사용 안 함 또는 수정 |
| 활동: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 로그인 실패
설명: 시스템 또는 환경 내에서 합법적인 자격 증명에 대한 사전 지식이 없는 악의적 사용자는 암호를 추측하여 계정에 대한 액세스를 시도할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 로그인 로그 Microsoft Entra 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
| 활동: |
Microsoft Entra ID: 로그인 활동 Windows 보안: 로그인 실패(이벤트 ID 4625) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 페더레이션 또는 SAML ID 활동
설명: 처음 작업, 익숙하지 않은 지리적 위치 또는 과도한 API 호출과 관련된 페더레이션 또는 SAML(보안 어설션 태그 언어) 기반 ID에 의한 비정상적인 작업입니다. 이러한 변칙은 세션 하이재킹 또는 페더레이션 자격 증명의 오용을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스, 지속성 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정, T1550 - 대체 인증 자료 사용 |
| 활동: | UserAuthentication(EXTERNAL_IDP) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 IAM 권한 수정
설명: 역할, 사용자 및 그룹의 처음 생성, 수정 또는 삭제 또는 새 인라인 또는 관리 정책 첨부 파일과 같은 IAM(ID 및 액세스 관리) 관리 동작의 편차입니다. 이는 권한 상승 또는 정책 남용을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 권한 상승, 지속성 |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기, T1098 - 계정 조작 |
| 활동: | iam.amazonaws.com, sso-directory.amazonaws.com 작업 만들기, 추가, 연결, 삭제, 비활성화, 배치 및 업데이트 작업 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상적인 인프라 사용량
설명: 사용자의 IP 주소, 사용자 에이전트, ISP 및 서비스 액세스 패턴을 기록 동작과 비교하여 식별되는 GCP(Google Cloud Platform)의 비정상적인 인프라 작업 패턴입니다. 인프라 서비스에 대한 처음 액세스, 일반적이지 않은 도구 또는 애플리케이션 또는 비정상적인 운영 패턴과 같은 변칙은 횡적 이동, 리소스 남용 또는 무단 인프라 수정을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 검색, 영향 |
| MITRE ATT&CK 기술: | T1580 – 클라우드 인프라 검색, T1496 – 리소스 하이재킹 |
| 활동: | iamcredentials.googleapis.com, cloudresourcemanager.googleapis.com, container.googleapis.com, bigquerydatapolicy.googleapis.com, autoscaling.googleapis.com, run.googleapis.com, redis.googleapis.com, securitycenter.googleapis.com, compute.googleapis.com, storage.googleapis.com, k8s.io, cloudsql.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, appengine.googleapis.com 비 만들기/삽입 작업 dns.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상적인 로그인
설명: GCP 감사 로그의 로그인 관련 항목을 통해 GCP(Google Cloud Platform)에서 비정상적인 인증 활동이 검색되었습니다. 변칙은 사용자의 기록 로그인 패턴과 비교하여 지리적 위치, IP 주소, ISP 및 사용자 에이전트와 같은 특성에 따라 사용자 동작의 편차에 따라 결정됩니다. 이러한 편차는 무단 액세스 시도, 손상된 자격 증명 또는 불가능한 이동 시나리오를 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 – 유효한 계정 |
| 활동: | login.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 로그온
설명: ConsoleLogin 및 기타 인증 관련 특성과 같은 CloudTrail 이벤트를 기반으로 하는 AWS(Amazon Web Services) 서비스의 비정상적인 로그온 작업입니다. 변칙은 지리적 위치, 디바이스 지문, ISP 및 액세스 방법과 같은 특성에 따라 사용자 동작의 편차에 따라 결정되며 무단 액세스 시도 또는 잠재적 정책 위반을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| 활동: | ConsoleLogin |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Okta_CL UEBA 비정상적인 MFA 오류
설명: Okta에서 실패한 MFA 시도의 비정상적인 패턴입니다. 이러한 변칙은 계정 오용, 자격 증명 스터핑 또는 신뢰할 수 있는 디바이스 메커니즘의 부적절한 사용으로 인해 발생할 수 있으며, 종종 도난당한 자격 증명 테스트 또는 ID 보호 검색과 같은 초기 단계의 악의적인 동작을 반영합니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | Okta 클라우드 로그(Okta_CL 및 OktaV2_CL) |
| MITRE ATT&CK 전술: | 지속성, 권한 에스컬레이션 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정, T1556 - 인증 프로세스 수정 |
| 활동: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 암호 재설정
설명: 악의적 사용자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 차단하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정에 대한 액세스를 제거하기 위해 계정을 삭제, 잠금 또는 조작(예: 변경된 자격 증명)할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 감사 로그 Microsoft Entra |
| MITRE ATT&CK 전술: | 영향 |
| MITRE ATT&CK 기술: | T1531 - 계정 액세스 제거 |
| 활동: | 핵심 디렉터리/UserManagement/사용자 암호 재설정 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상 권한 부여
설명: 악의적 사용자는 기존 합법적인 자격 증명 외에도 Azure 서비스 주체에 대한 악의적인 제어 자격 증명을 추가하여 피해자 Azure 계정에 대한 지속적인 액세스를 유지할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 감사 로그 Microsoft Entra |
| MITRE ATT&CK 전술: | 지속성 |
| MITRE ATT&CK 기술: | T1098 - 계정 조작 |
| MITRE ATT&CK 하위 기술: | 추가 Azure 서비스 주체 자격 증명 |
| 활동: | 계정 프로비저닝/애플리케이션 관리/서비스 주체에 앱 역할 할당 추가 |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상적인 권한 있는 작업
설명: GCP(Google Cloud Platform)의 IAM(ID 및 액세스 관리) 관리 동작의 편차(예: 부여 가능한 역할의 첫 번째 쿼리, 서비스 계정 및 해당 키 검색 또는 생성 또는 IAM 정책 수정). 사용자의 기록 동작에 비해 훨씬 더 많은 양의 권한 또는 관리자 작업은 권한 상승, 서비스 계정을 통한 지속성 또는 사용 가능한 권한 정찰을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 권한 상승, 지속성 |
| MITRE ATT&CK 기술: | T1098 – 계정 조작, T1078 – 유효한 계정 |
| 활동: | QueryGrantableRoles, GetServiceAccount, ListServiceAccountKeys, CreateServiceAccount, GetIAMPolicy, ListApplicablePolicies, GetPolicy, CreateServiceAccountKey 및 iam.googleapis.com, firestore.googleapis.com, bigtableadmin.googleapis.com, alloydb.googleapis.com, admin.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상적인 리소스 배포
설명: 컴퓨팅 인스턴스, 스토리지 버킷, Kubernetes 클러스터, 클라우드 함수 또는 기타 인프라 리소스의 처음 프로비저닝을 포함하여 GCP(Google Cloud Platform)에서 비정상적인 리소스 생성 또는 배포 작업 사용자의 기록 동작에 비해 리소스 배포 비율이 훨씬 높을수록 암호화, 데이터 스테이징 또는 환경에서 영구 발판 설정에 대한 무단 리소스 배포가 표시될 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 실행, 지속성 |
| MITRE ATT&CK 기술: | T1610 – 컨테이너 배포, T1578 – 클라우드 컴퓨팅 인프라 수정 |
| 활동: | apigee.googleapis.com, appengine.googleapis.com, bigquery.googleapis.com, bigquerydatatransfer.googleapis.com, cloudfunctions.googleapis.com, cloudsql.googleapis.com, compute.googleapis.com, container.googleapis.com, dataproc.googleapis.com, datastore.googleapis.com, dns.googleapis.com, firestore.googleapis.com, k8s.io, osconfig.googleapis.com, run.googleapis.com, storage.googleapis.com |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상 비밀 또는 KMS 키 액세스
설명: AWS 비밀 관리자 또는 KMS(키 관리 서비스) 리소스에 대한 의심스러운 액세스. 처음 액세스하거나 비정상적으로 높은 액세스 빈도는 자격 증명 수집 또는 데이터 반출 시도를 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스, 컬렉션 |
| MITRE ATT&CK 기술: | T1555 - 암호 저장소의 자격 증명 |
| 활동: | GetSecretValue BatchGetSecretValue ListKeys ListSecrets PutSecretValue CreateSecret UpdateSecret DeleteSecret CreateKey PutKeyPolicy |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
GCP 감사 로그의 UEBA 비정상 비밀 또는 KMS 키 액세스
설명: Google Cloud Secret Manager 또는 Cloud KMS 리소스에 대한 의심스러운 액세스. 비밀 자격 증명 모음, 키 또는 인증서에 대한 처음 액세스, 피어 간의 비정상적인 액세스 패턴 또는 사용자의 기록 기준에 비해 훨씬 더 많은 액세스 볼륨은 자격 증명 수집, 데이터 반출 시도 또는 손상된 서비스 계정 남용을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | GCP 감사 로그 |
| MITRE ATT&CK 전술: | 자격 증명 액세스, 컬렉션 |
| MITRE ATT&CK 기술: | T1555 – 암호 저장소의 자격 증명, T1552 – 보안되지 않은 자격 증명 |
| 활동: | cloudkms.googleapis.com, secretmanager.googleapis.com 관리 작업(AccessSecretVersion, AsymmetricDecrypt, GetPublicKey, AsymmetricSign 제외) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
UEBA 비정상적인 로그인
설명: 악의적 사용자는 자격 증명 액세스 기술을 사용하여 특정 사용자 또는 서비스 계정의 자격 증명을 도용하거나 지속성을 얻기 위해 소셜 엔지니어링을 통해 정찰 프로세스의 앞부분에서 자격 증명을 캡처할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | 로그인 로그 Microsoft Entra 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 지속성 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
| 활동: |
Microsoft Entra ID: 로그인 활동 Windows 보안: 로그인 성공(이벤트 ID 4624) |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
AwsCloudTrail의 UEBA 비정상적인 STS AssumeRole 동작
설명: 특히 권한 있는 역할 또는 계정 간 액세스와 관련된 AWS STS(보안 토큰 서비스) AssumeRole 작업의 비정상적인 사용. 일반적인 사용량의 편차는 권한 상승 또는 ID 손상을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | UEBA |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 권한 상승, 방어 회피 |
| MITRE ATT&CK 기술: | T1548 - 권한 상승 제어 메커니즘 남용, T1078 - 유효한 계정 |
| 활동: | AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity AssumeRoot |
UEBA 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
기계 학습 기반 변칙
Microsoft Sentinel 사용자 지정 가능한 기계 학습 기반 변칙은 바로 작동하도록 배치할 수 있는 분석 규칙 템플릿을 사용하여 비정상적인 동작을 식별할 수 있습니다. 변칙이 악의적이거나 의심스러운 동작을 반드시 나타내는 것은 아니지만 검색, 조사 및 위협 헌팅을 개선하는 데 사용할 수 있습니다.
- 비정상적인 Azure 작업
- 비정상적인 코드 실행
- 비정상적인 로컬 계정 만들기
- Office Exchange의 비정상적인 사용자 활동
- 컴퓨터 무차별 암호 대입 시도
- 사용자 계정 무차별 암호 대입 시도
- 로그인 유형당 사용자 계정 무차별 암호 대입 시도
- 실패 이유당 사용자 계정 무차별 암호 대입 시도
- 컴퓨터에서 생성된 네트워크 비콘 동작 검색
- DNS 도메인의 DGA(도메인 생성 알고리즘)
- Palo Alto GlobalProtect를 통한 과도한 다운로드
- Palo Alto GlobalProtect를 통한 과도한 업로드
- 다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)
- 비 AWS 원본 IP 주소에서 의심스러운 양의 AWS API 호출
- 사용자 계정에서 의심스러운 양의 AWS 쓰기 API 호출
- 컴퓨터에 대한 의심스러운 로그인 볼륨
- 관리자 권한 토큰이 있는 컴퓨터에 대한 의심스러운 로그인 볼륨
- 사용자 계정에 대한 의심스러운 로그인 볼륨
- 로그온 유형별로 사용자 계정에 대한 의심스러운 로그인 볼륨
- 관리자 권한 토큰을 사용하여 사용자 계정에 대한 의심스러운 로그인 볼륨
비정상적인 Azure 작업
설명: 이 검색 알고리즘은 이 ML 모델을 학습하기 위해 사용자가 그룹화한 Azure 작업에 대한 21일 분량의 데이터를 수집합니다. 그런 다음 알고리즘은 작업 영역에서 일반적이지 않은 작업 시퀀스를 수행한 사용자의 경우 변칙을 생성합니다. 학습된 ML 모델은 사용자가 수행하는 작업에 점수를 매기고 점수가 정의된 임계값보다 큰 비정상으로 간주합니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1190 - 익스플로잇 Public-Facing 애플리케이션 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비정상적인 코드 실행
설명: 공격자는 명령, 스크립트 또는 이진 파일을 실행하기 위해 명령 및 스크립트 인터프리터를 남용할 수 있습니다. 이러한 인터페이스 및 언어는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며 다양한 플랫폼에서 일반적인 기능입니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Azure 활동 로그 |
| MITRE ATT&CK 전술: | 실행 |
| MITRE ATT&CK 기술: | T1059 - 명령 및 스크립팅 인터프리터 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비정상적인 로컬 계정 만들기
설명: 이 알고리즘은 Windows 시스템에서 비정상적인 로컬 계정 생성을 검색합니다. 공격자는 대상 시스템에 대한 액세스를 유지하기 위해 로컬 계정을 만들 수 있습니다. 이 알고리즘은 사용자가 지난 14일 동안 로컬 계정 만들기 작업을 분석합니다. 기록 활동에서 이전에 볼 수 없었던 사용자로부터 현재 날짜에 유사한 활동을 찾습니다. 허용 목록을 지정하여 알려진 사용자가 이 변칙을 트리거하지 않도록 필터링할 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 지속성 |
| MITRE ATT&CK 기술: | T1136 - 계정 만들기 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Office Exchange의 비정상적인 사용자 활동
설명: 이 기계 학습 모델은 사용자별로 Office Exchange 로그를 시간별 버킷으로 그룹화합니다. 1시간을 세션으로 정의합니다. 모델은 이전 7일 동안 모든 일반(관리자가 아닌) 사용자에 대해 학습됩니다. 마지막 날의 비정상적인 사용자 Office Exchange 세션을 나타냅니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | Office 활동 로그(Exchange) |
| MITRE ATT&CK 전술: | 지속성 컬렉션 |
| MITRE ATT&CK 기술: |
컬렉션: T1114 - Email 컬렉션 T1213 - 정보 리포지토리의 데이터 유지: T1098 - 계정 조작 T1136 - 계정 만들기 T1137 - Office 애플리케이션 시작 T1505 - 서버 소프트웨어 구성 요소 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
컴퓨터 무차별 암호 대입 시도
설명: 이 알고리즘은 지난 날 컴퓨터당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델은 이전 21일간의 Windows 보안 이벤트 로그에서 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
사용자 계정 무차별 암호 대입 시도
설명: 이 알고리즘은 지난 날 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델은 이전 21일간의 Windows 보안 이벤트 로그에서 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
로그인 유형당 사용자 계정 무차별 암호 대입 시도
설명: 이 알고리즘은 지난 날 로그온 유형당 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델은 이전 21일간의 Windows 보안 이벤트 로그에서 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
실패 이유당 사용자 계정 무차별 암호 대입 시도
설명: 이 알고리즘은 지난 날 오류 원인에 따라 사용자 계정당 비정상적으로 많은 양의 실패한 로그인 시도(보안 이벤트 ID 4625)를 검색합니다. 이 모델은 이전 21일간의 Windows 보안 이벤트 로그에서 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 자격 증명 액세스 |
| MITRE ATT&CK 기술: | T1110 - 무차별 암호 대입 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
컴퓨터에서 생성된 네트워크 비콘 동작 검색
설명: 이 알고리즘은 되풀이 시간 델타 패턴을 기반으로 네트워크 트래픽 연결 로그에서 비콘 패턴을 식별합니다. 반복 시간 델타에서 신뢰할 수 없는 공용 네트워크에 대한 모든 네트워크 연결은 맬웨어 콜백 또는 데이터 반출 시도를 나타냅니다. 알고리즘은 동일한 원본 IP와 대상 IP 간의 연속 네트워크 연결 간의 시간 델타와 동일한 원본과 대상 간의 시간 델타 시퀀스의 연결 수를 계산합니다. 비콘의 백분율은 하루의 총 연결에 대한 시간 델타 시퀀스의 연결로 계산됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | PAN(CommonSecurityLog) |
| MITRE ATT&CK 전술: | 명령 및 제어 |
| MITRE ATT&CK 기술: | T1071 - 애플리케이션 계층 프로토콜 T1132 - 데이터 인코딩 T1001 - 데이터 난독 처리 T1568 - 동적 해상도 T1573 - 암호화된 채널 T1008 - 대체 채널 T1104 - 다단계 채널 T1095 - 비 애플리케이션 계층 프로토콜 T1571 - 비 Standard 포트 T1572 - 프로토콜 터널링 T1090 - 프록시 T1205 - 트래픽 신호 T1102 - 웹 서비스 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
DNS 도메인의 DGA(도메인 생성 알고리즘)
설명: 이 기계 학습 모델은 DNS 로그에서 지난 날의 잠재적 DGA 도메인을 나타냅니다. 알고리즘은 IPv4 및 IPv6 주소에 resolve DNS 레코드에 적용됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | DNS 이벤트 |
| MITRE ATT&CK 전술: | 명령 및 제어 |
| MITRE ATT&CK 기술: | T1568 - 동적 해상도 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Palo Alto GlobalProtect를 통한 과도한 다운로드
설명: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 많은 양의 다운로드를 검색합니다. 모델은 VPN 로그의 이전 14일 동안 학습됩니다. 이는 지난 날의 비정상적인 대량 다운로드를 나타냅니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | CommonSecurityLog(PAN VPN) |
| MITRE ATT&CK 전술: | 유출 |
| MITRE ATT&CK 기술: | T1030 - 데이터 전송 크기 제한 T1041 - C2 채널을 통한 반출 T1011 - 다른 네트워크 매체를 통한 반출 T1567 - 웹 서비스를 통한 반출 T1029 - 예약된 전송 T1537 - 클라우드 계정으로 데이터 전송 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
Palo Alto GlobalProtect를 통한 과도한 업로드
설명: 이 알고리즘은 Palo Alto VPN 솔루션을 통해 사용자 계정당 비정상적으로 많은 업로드를 검색합니다. 모델은 VPN 로그의 이전 14일 동안 학습됩니다. 이는 지난 날의 비정상적인 대량 업로드를 나타냅니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | CommonSecurityLog(PAN VPN) |
| MITRE ATT&CK 전술: | 유출 |
| MITRE ATT&CK 기술: | T1030 - 데이터 전송 크기 제한 T1041 - C2 채널을 통한 반출 T1011 - 다른 네트워크 매체를 통한 반출 T1567 - 웹 서비스를 통한 반출 T1029 - 예약된 전송 T1537 - 클라우드 계정으로 데이터 전송 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
다음 수준 DNS 도메인의 잠재적인 DGA(도메인 생성 알고리즘)
설명: 이 기계 학습 모델은 비정상적인 DNS 로그의 마지막 날 도메인 이름의 다음 수준 도메인(세 번째 수준 이상)을 나타냅니다. DGA(도메인 생성 알고리즘)의 출력일 수 있습니다. 변칙은 IPv4 및 IPv6 주소에 resolve DNS 레코드에 적용됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | DNS 이벤트 |
| MITRE ATT&CK 전술: | 명령 및 제어 |
| MITRE ATT&CK 기술: | T1568 - 동적 해상도 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
비 AWS 원본 IP 주소에서 의심스러운 양의 AWS API 호출
설명: 이 알고리즘은 마지막 날 내에 AWS 원본 IP 범위 외부의 원본 IP 주소에서 작업 영역당 사용자 계정당 비정상적으로 많은 양의 AWS API 호출을 검색합니다. 이 모델은 이전 21일 간의 AWS CloudTrail 로그 이벤트에서 원본 IP 주소별로 학습됩니다. 이 활동은 사용자 계정이 손상되었음을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
사용자 계정에서 의심스러운 양의 AWS 쓰기 API 호출
설명: 이 알고리즘은 마지막 날 내에 사용자 계정당 비정상적으로 많은 양의 AWS 쓰기 API 호출을 검색합니다. 이 모델은 사용자 계정으로 이전 21일 간의 AWS CloudTrail 로그 이벤트에 대해 학습됩니다. 이 활동은 계정이 손상되었음을 나타낼 수 있습니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | AWS CloudTrail 로그 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
컴퓨터에 대한 의심스러운 로그인 볼륨
설명: 이 알고리즘은 지난 날 컴퓨터당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 모델은 Windows 보안 이벤트 로그의 이전 21일 동안 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
관리자 권한 토큰이 있는 컴퓨터에 대한 의심스러운 로그인 볼륨
설명: 이 알고리즘은 지난 날 컴퓨터당 관리 권한이 있는 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 모델은 Windows 보안 이벤트 로그의 이전 21일 동안 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
사용자 계정에 대한 의심스러운 로그인 볼륨
설명: 이 알고리즘은 지난 날 사용자 계정당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 모델은 Windows 보안 이벤트 로그의 이전 21일 동안 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
로그온 유형별로 사용자 계정에 대한 의심스러운 로그인 볼륨
설명: 이 알고리즘은 지난 날 여러 로그온 유형별로 사용자 계정당 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 모델은 Windows 보안 이벤트 로그의 이전 21일 동안 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
관리자 권한 토큰을 사용하여 사용자 계정에 대한 의심스러운 로그인 볼륨
설명: 이 알고리즘은 지난 날 사용자 계정당 관리 권한이 있는 비정상적으로 많은 양의 성공적인 로그인(보안 이벤트 ID 4624)을 검색합니다. 모델은 Windows 보안 이벤트 로그의 이전 21일 동안 학습됩니다.
| 특성 | 값 |
|---|---|
| 변칙 유형: | 사용자 지정 가능한 기계 학습 |
| 데이터 원본: | 로그 Windows 보안 |
| MITRE ATT&CK 전술: | 초기 액세스 |
| MITRE ATT&CK 기술: | T1078 - 유효한 계정 |
기계 학습 기반 변칙 목록 | 으로 돌아가기맨 위로 돌아가기
다음 단계
- Microsoft Sentinel 기계 학습에서 생성된 변칙에 대해 알아봅니다.
- 변칙 규칙을 사용하여 작업하는 방법을 알아봅니다.
- Microsoft Sentinel 사용하여 인시던트 조사