Sdílet prostřednictvím


Prověřování upozornění detekce anomálií

Microsoft Defender for Cloud Apps poskytuje detekce zabezpečení a výstrahy pro škodlivé aktivity. Účelem této příručky je poskytnout vám obecné a praktické informace o jednotlivých výstrahách, které vám pomůžou s vyšetřováním a nápravou. Součástí této příručky jsou obecné informace o podmínkách pro aktivaci výstrah. Je však důležité si uvědomit, že vzhledem k tomu, že detekce anomálií nejsou neurčí povahou, aktivují se pouze v případě, že se chování odchyluje od normy. A konečně, některé výstrahy můžou být ve verzi Preview, proto pravidelně zkontrolujte oficiální dokumentaci o aktualizovaném stavu upozornění.

MITRE ATT&CK

Abychom vysvětlili a usnadnili mapování vztahu mezi výstrahami Defenderu for Cloud Apps a známou maticí MITRE ATT&CK, kategorizovali jsme výstrahy podle jejich odpovídající taktiky MITRE ATT&CK. Tento dodatečný odkaz usnadňuje pochopení podezřelé techniky útoků, která se může použít při aktivaci upozornění Defenderu for Cloud Apps.

Tato příručka obsahuje informace o vyšetřování a nápravě výstrah Defenderu for Cloud Apps v následujících kategoriích.

Klasifikace výstrah zabezpečení

Po řádném šetření je možné všechny výstrahy Defenderu for Cloud Apps klasifikovat jako jeden z následujících typů aktivit:

  • Pravdivě pozitivní (TP):: Upozornění na potvrzenou škodlivou aktivitu.
  • Neškodné pravdivě pozitivní (B-TP):: Upozornění na podezřelou, ale ne škodlivou aktivitu, jako je penetrační test nebo jiná autorizovaná podezřelá akce.
  • Falešně pozitivní (FP):: Upozornění na nemalickou aktivitu.

Obecné kroky šetření

Při zkoumání jakéhokoli typu výstrahy byste měli použít následující obecné pokyny, abyste před použitím doporučené akce lépe pochopili potenciální hrozbu.

  • Zkontrolujte skóre priority šetření uživatele a porovnejte ho se zbytkem organizace. Pomůže vám to identifikovat, kteří uživatelé ve vaší organizaci představují největší riziko.
  • Pokud identifikujete tp, projděte si všechny aktivity uživatele a získejte přehled o dopadu.
  • Projděte si všechny aktivity uživatelů, kde najdete další indikátory ohrožení zabezpečení, a prozkoumejte zdroj a rozsah dopadu. Podívejte se například na následující informace o zařízení uživatele a porovnejte se známými informacemi o zařízení:
    • Operační systém a verze
    • Prohlížeč a verze
    • IP adresa a umístění

Upozornění na počáteční přístup

Tato část popisuje výstrahy, které indikují, že se škodlivý aktér může pokoušet o získání počátečního zápatí ve vaší organizaci.

Aktivita z anonymní IP adresy

Popis

Aktivita z IP adresy, která byla identifikována jako anonymní IP adresa proxy serveru službou Microsoft Threat Intelligence nebo vaší organizací Tyto proxy servery se dají použít ke skrytí IP adresy zařízení a můžou se použít pro škodlivé aktivity.

TP, B-TP nebo FP?

Tato detekce používá algoritmus strojového učení, který snižuje incidenty B-TP , jako jsou chybně označené IP adresy, které uživatelé v organizaci běžně používají.

  1. TP: Pokud si můžete ověřit, že aktivita byla provedena z anonymní IP adresy nebo IP adresy TOR.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. B-TP: Pokud je známo, že uživatel používá anonymní IP adresy v rozsahu svých povinností. Když například analytik zabezpečení provádí bezpečnostní testy nebo penetrační testy jménem organizace.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  • Zkontrolujte všechny aktivity uživatelů a výstrahy pro další indikátory ohrožení zabezpečení. Například pokud byla za výstrahou následovat další podezřelá výstraha, například neobvyklý soubor ke stažení (uživatelem) nebo upozornění na přeposílání podezřelé doručené pošty, často to značí, že se útočník pokouší exfiltrovat data.

Aktivita z občasné země

Aktivita ze země nebo oblasti, která by mohla znamenat škodlivou aktivitu. Tato zásada profiluje vaše prostředí a aktivuje výstrahy, když se zjistí aktivita z umístění, které v poslední době nebylo nebo ho nikdo v organizaci nikdy nenavštěvoval.

Zásady můžou být dále vymezeny na podmnožinu uživatelů nebo můžou vyloučit uživatele, kteří znají cestu do vzdálených umístění.

období Učení

Detekce neobvyklých umístění vyžaduje počáteční dobu výuky 7 dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce:

    1. Pozastavte uživatele, resetujte heslo a určete správný čas pro bezpečné opětovné povolení účtu.
    2. Volitelné: Vytvoření playbooku pomocí Power Automate pro kontaktování uživatelů zjištěných jako připojování z občasných míst a jejich manažerů za účelem ověření aktivity.
  2. B-TP: Pokud je známo, že uživatel je v tomto umístění. Například když uživatel, který cestuje často a je aktuálně v zadaném umístění.

    Doporučená akce:

    1. Zavřete výstrahu a upravte zásadu tak, aby vyloučila uživatele.
    2. Vytvoření skupiny uživatelů pro časté cestující, import skupiny do Defenderu pro Cloud Apps a vyloučení uživatelů z tohoto upozornění
    3. Volitelné: Vytvoření playbooku pomocí Power Automate pro kontaktování uživatelů zjištěných jako připojování z občasných míst a jejich manažerů za účelem ověření aktivity.

Vysvětlení rozsahu porušení zabezpečení

  • Zkontrolujte, který prostředek mohl být ohrožen, například potenciální stahování dat.

Aktivita z podezřelých IP adres

Aktivita z IP adresy, která byla identifikována jako riziková služba Microsoft Threat Intelligence nebo vaší organizací. Tyto IP adresy byly identifikovány jako zapojené do škodlivých aktivit, jako je například provedení příkazu password spray, příkazu botnetu a řízení (C&C) a může to znamenat ohrožený účet.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. B-TP: Pokud je známo, že uživatel používá IP adresu v rozsahu svých povinností. Když například analytik zabezpečení provádí bezpečnostní testy nebo penetrační testy jménem organizace.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit a vyhledejte aktivity ze stejné IP adresy.
  2. Zkontrolujte, který prostředek mohl být ohrožen, například potenciální stahování dat nebo úpravy správy.
  3. Vytvořte skupinu pro analytiky zabezpečení dobrovolně aktivující tyto výstrahy a vylučte je ze zásad.

Nemožné cestování

Aktivita od stejného uživatele v různých umístěních v časovém období, které je kratší než očekávaná doba trvání cesty mezi dvěma umístěními. To ale může znamenat porušení zabezpečení přihlašovacích údajů, je také možné, že skutečné umístění uživatele je maskované, například pomocí sítě VPN.

Aby se zlepšila přesnost a upozorňování pouze v případě, že dojde k silnému označení porušení zabezpečení, Vytvoří Defender for Cloud Apps standardní hodnoty pro každého uživatele v organizaci a upozorní pouze v případě, že se zjistí neobvyklé chování. Zásady pro nemožné cestování je možné vyladit podle vašich požadavků.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

Tato detekce používá algoritmus strojového učení, který ignoruje běžné podmínky B-TP , například když jsou IP adresy na obou stranách cesty považovány za bezpečné, je cestování důvěryhodné a vyloučené z aktivace detekce nemožné cesty. Obě strany se například považují za bezpečné, pokud jsou označené jako firemní. Pokud je však IP adresa pouze jedné strany cesty považována za bezpečnou, detekce se aktivuje jako normální.

  1. TP: Pokud si můžete ověřit, že je umístění v upozornění na neuskutečněnou cestu pro uživatele nepravděpodobné.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (Nezjištěná cesta uživatele): Pokud si můžete ověřit, že uživatel nedávno cestoval do cíle uvedeného v upozornění. Pokud například telefon uživatele, který je v režimu v letadle, zůstane připojený ke službám, jako je Exchange Online ve vaší podnikové síti, zatímco cestuje do jiného umístění. Když uživatel dorazí do nového umístění, telefon se připojí k Exchangi Online, což aktivuje upozornění na nemožné cestování.

    Doporučená akce: Zavřete výstrahu.

  3. FP (Neoznačené VPN): Pokud si můžete ověřit, že rozsah IP adres pochází ze schválené sítě VPN.

    Doporučená akce: Zavřete výstrahu a přidejte rozsah IP adres sítě VPN do Programu Defender for Cloud Apps a pak ho použijte k označení rozsahu IP adres SÍTĚ VPN.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit a získejte přehled o podobných aktivitách ve stejném umístění a IP adrese.
  2. Pokud zjistíte, že uživatel provedl jiné rizikové aktivity, jako je například stahování velkého objemu souborů z nového umístění, mělo by to být silné označení možného ohrožení.
  3. Přidejte rozsahy podnikových VPN a IP adres.
  4. Vytvořte playbook pomocí Power Automate a obraťte se na manažera uživatele a zjistěte, jestli uživatel cestuje legitimním způsobem.
  5. Zvažte vytvoření známé databáze cestovatelů až pro minutu vytváření sestav cest organizace a jejich použití k křížovému odkazu na cestovní aktivity.

Zavádějící název aplikace OAuth

Tato detekce identifikuje aplikace s znaky, jako jsou cizí písmena, která se podobají latince. To může znamenat pokus o maskování škodlivé aplikace jako známé a důvěryhodné aplikace, aby útočníci mohli uživatele oklamat, aby si stáhli svoji škodlivou aplikaci.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aplikace má zavádějící název.

    Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

Pokud chcete zakázat přístup k aplikaci, na kartách Google nebo Salesforce na stránce zásad správného řízení aplikace na řádku, ve kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. – Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali, a autorizovaná byla zakázána. Oznámení uživatelům oznámí, že je aplikace zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby věděli, zrušte výběr možnosti Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci v dialogovém okně. – Doporučujeme, abyste uživatelům aplikace dali vědět, že jejich aplikace se chystá zakázat používání.

  1. FP: Pokud chcete ověřit, že aplikace má zavádějící název, ale má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

Zavádějící název vydavatele pro aplikaci OAuth

Tato detekce identifikuje aplikace s znaky, jako jsou cizí písmena, která se podobají latince. To může znamenat pokus o maskování škodlivé aplikace jako známé a důvěryhodné aplikace, aby útočníci mohli uživatele oklamat, aby si stáhli svoji škodlivou aplikaci.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aplikace má zavádějící název vydavatele.

    Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

  2. FP: Pokud chcete ověřit, že aplikace má zavádějící název vydavatele, ale je legitimním vydavatelem.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Na kartách Google nebo Salesforce na stránce zásad správného řízení aplikací vyberte aplikaci, aby se otevřela zásuvka aplikace, a pak vyberte Související aktivita. Otevře se stránka protokolu aktivit filtrovaná pro aktivity prováděné aplikací. Mějte na paměti, že některé aplikace provádějí aktivity zaregistrované jako provedené uživatelem. Tyto aktivity se automaticky vyfiltrují z výsledků v protokolu aktivit. Další šetření pomocí protokolu aktivit najdete v protokolu aktivit.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat její název a vydavatele v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace s nízkým počtem stahování
    • Aplikace s nízkým hodnocením nebo skóre nebo špatnými komentáři
    • Aplikace s podezřelým vydavatelem nebo webem
    • Aplikace, které nebyly nedávno aktualizovány. To může znamenat, že aplikace se už nepodporuje.
    • Aplikace, které mají irelevantní oprávnění. To může znamenat, že aplikace je riziková.
  3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit název aplikace, vydavatele a adresu URL online.

Upozornění na spuštění

Tato část popisuje výstrahy, které indikují, že se objekt actor se zlými úmysly může ve vaší organizaci spouštět škodlivý kód.

Více aktivit odstranění úložiště

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet odstranění cloudového úložiště nebo databáze z prostředků, jako jsou objekty blob Azure, kontejnery AWS S3 nebo Cosmos DB ve srovnání se směrným plánem, které jste se naučili. To může značit pokus o porušení vaší organizace.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud chcete potvrdit, že odstranění byla neautorizovaná.

    Doporučená akce: Pozastavení uživatele, resetování hesla a kontrola škodlivých hrozeb na všech zařízeních Projděte si všechny aktivity uživatelů, kde najdete další indikátory ohrožení zabezpečení, a prozkoumejte rozsah dopadu.

  2. FP: Pokud po šetření můžete ověřit, že správce má oprávnění k provádění těchto aktivit odstranění.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Obraťte se na uživatele a potvrďte aktivitu.
  2. Zkontrolujte protokol aktivit, kde najdete další indikátory ohrožení zabezpečení a zjistěte, kdo změnu provedl.
  3. Zkontrolujte aktivity uživatele, které se mění v jiných službách.

Více aktivit vytváření virtuálních počítačů

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet akcí vytváření virtuálních počítačů ve srovnání se směrným plánem, který se naučil. Několik vytvoření virtuálních počítačů v porušené cloudové infrastruktuře může znamenat pokus o spuštění kryptografických operací dolování z vaší organizace.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, tato detekce vytvoří základní hodnoty pro každé prostředí v organizaci, aby se snížily incidenty B-TP , jako je například správce, který oprávněně vytvořil více virtuálních počítačů než zavedený směrný plán, a pouze výstrahu v případě, že se zjistí neobvyklé chování.

  • TP: Pokud si můžete ověřit, že aktivity vytváření nebyly provedeny legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, resetování hesla a kontrola škodlivých hrozeb na všech zařízeních Projděte si všechny aktivity uživatelů, kde najdete další indikátory ohrožení zabezpečení, a prozkoumejte rozsah dopadu. Kromě toho se obraťte na uživatele, potvrďte jejich legitimní akce a pak se ujistěte, že zakážete nebo odstraníte všechny ohrožené virtuální počítače.

  • B-TP: Pokud po šetření můžete ověřit, že správce má oprávnění k provádění těchto aktivit vytváření.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a podívejte se na další indikátory ohrožení zabezpečení.
  2. Zkontrolujte prostředky vytvořené nebo upravené uživatelem a ověřte, že vyhovují zásadám vaší organizace.

Podezřelá aktivita vytváření pro cloudovou oblast (Preview)

Aktivity označující, že uživatel provedl neobvyklou akci vytvoření prostředku v neobvyklé oblasti AWS ve srovnání se směrným plánem, který jste se naučili. Vytváření prostředků v neobvyklých cloudových oblastech může znamenat pokus o provedení škodlivé aktivity, jako jsou operace kryptografického dolování z vaší organizace.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a upozorňování pouze v případě, že existuje silná indikace porušení zabezpečení, tato detekce stanoví směrný plán pro každé prostředí v organizaci, aby se snížily incidenty B-TP .

  • TP: Pokud si můžete ověřit, že aktivity vytváření nebyly provedeny legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, resetování hesla a kontrola škodlivých hrozeb na všech zařízeních Projděte si všechny aktivity uživatelů, kde najdete další indikátory ohrožení zabezpečení, a prozkoumejte rozsah dopadu. Kromě toho se obraťte na uživatele, potvrďte jejich legitimní akce a pak se ujistěte, že zakážete nebo odstraníte všechny ohrožené cloudové prostředky.

  • B-TP: Pokud po šetření můžete ověřit, že správce má oprávnění k provádění těchto aktivit vytváření.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a podívejte se na další indikátory ohrožení zabezpečení.
  2. Zkontrolujte vytvořené prostředky a ověřte, že vyhovují zásadám vaší organizace.

Upozornění trvalosti

Tato část popisuje výstrahy, které indikují, že se aktér se zlými úmysly může ve vaší organizaci udržovat jejich zápatí.

Aktivita prováděná ukončeným uživatelem

Aktivita prováděná ukončeným uživatelem může znamenat, že ukončený zaměstnanec, který má stále přístup k podnikovým prostředkům, se pokouší provést škodlivou aktivitu. Defender for Cloud Apps profile users in the organization and triggers an alert when a terminated user performs an activity.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že ukončený uživatel má stále přístup k určitým podnikovým prostředkům a provádí aktivity.

    Doporučená akce: Zakažte uživatele.

  2. B-TP: Pokud jste schopni určit, že byl uživatel dočasně zakázaný nebo byl odstraněn a znovu zaregistrován.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Křížové odkazy na záznamy personálního oddělení a ověřte, že je uživatel ukončen.
  2. Ověřte existenci uživatelského účtu Microsoft Entra.

    Poznámka:

    Pokud používáte Microsoft Entra Připojení, ověřte místní Active Directory objekt a potvrďte úspěšný cyklus synchronizace.

  3. Identifikujte všechny aplikace, ke kterým měl ukončený uživatel přístup, a vyřazení účtů z provozu.
  4. Aktualizace postupů vyřazení z provozu

Podezřelá změna služby protokolování CloudTrail

Aktivity v jedné relaci označující, že uživatel provedl podezřelé změny ve službě protokolování AWS CloudTrail. To může značit pokus o porušení vaší organizace. Při zakazování CloudTrail se už neprotokolují provozní změny. Útočník může provádět škodlivé aktivity a vyhnout se události auditu CloudTrail, jako je například úprava kontejneru S3 ze soukromého na veřejné.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, resetování hesla a vrácení aktivity CloudTrail

  2. FP: Pokud si můžete ověřit, že uživatel legitimní zakázal službu CloudTrail.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit, kde najdete další indikátory ohrožení zabezpečení, a zjistěte, kdo provedl změnu služby CloudTrail.
  2. Volitelné: Vytvoření playbooku pomocí Power Automate pro kontaktování uživatelů a jejich manažerů za účelem ověření jejich aktivity.

Podezřelá aktivita odstranění e-mailu (uživatelem)

Aktivity v jedné relaci označující, že uživatel provedl podezřelé odstranění e-mailu. Typ odstranění byl "pevným odstraněním", čímž se e-mailová položka odstranila a nebyla k dispozici v poštovní schránce uživatele. Odstranění bylo provedeno z připojení, které zahrnuje neobvyklé předvolby, jako je isP, země/oblast a uživatelský agent. To může znamenat pokus o porušení zabezpečení vaší organizace, jako je například pokus útočníků o maskování operací odstraněním e-mailů souvisejících s aktivitami spamu.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP: Pokud si můžete ověřit, že uživatel legitimním způsobem vytvořil pravidlo pro odstranění zpráv.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  • Zkontrolujte všechny aktivity uživatelů a zkontrolujte další indikátory ohrožení zabezpečení, jako je upozornění na přeposílání podezřelé doručené pošty následované upozorněním na nemožné cestování . Vyhledejte:

    1. Nová pravidla pro předávání SMTP, jak je znázorněno níže:
      • Zkontrolujte názvy pravidel pro přeposílání se zlými úmysly. Názvy pravidel se můžou lišit od jednoduchých názvů, například "Přeposlat všechny e-maily" a "Automatické přeposílání" nebo deceptivních jmen, například sotva viditelných "". Názvy pravidel přeposílání můžou být i prázdné a příjemce přeposílání může být jeden e-mailový účet nebo celý seznam. Škodlivá pravidla můžou být také skrytá v uživatelském rozhraní. Po zjištění můžete použít tento užitečný blogový příspěvek o tom, jak odstranit skrytá pravidla z poštovních schránek.
      • Pokud zjistíte nerozpoznané pravidlo přeposílání na neznámou interní nebo externí e-mailovou adresu, můžete předpokládat, že došlo k ohrožení zabezpečení účtu doručené pošty.
    2. Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo ty, které mají nejasné zásady vytváření názvů, například "...".
    3. Zvýšení počtu odeslaných e-mailů.

Pravidlo manipulace s podezřelou doručenou poštou

Aktivity označující, že útočník získal přístup ke složce doručené pošty uživatele a vytvořil podezřelé pravidlo. Pravidla manipulace, jako je odstranění nebo přesouvání zpráv nebo složek ze složky doručené pošty uživatele, můžou být pokusem o exfiltraci informací z vaší organizace. Podobně můžou indikovat pokus o manipulaci s informacemi, které uživatel vidí, nebo použít svoji doručenou poštu k distribuci spamu, phishingových e-mailů nebo malwaru. Defender for Cloud Apps profiluje vaše prostředí a aktivuje výstrahy, když se v doručené poště uživatele zjistí podezřelá pravidla manipulace s doručenou poštou. To může znamenat, že dojde k ohrožení zabezpečení účtu uživatele.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že se vytvořilo škodlivé pravidlo doručené pošty a že došlo k ohrožení zabezpečení účtu.

    Doporučená akce: Pozastavení uživatele, resetování hesla a odebrání pravidla pro přeposílání

  2. FP: Pokud si můžete ověřit, že uživatel pravidlo vytvořil legitimním způsobem.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a zkontrolujte další indikátory ohrožení zabezpečení, jako je upozornění na přeposílání podezřelé doručené pošty následované upozorněním na nemožné cestování . Hledat:
    • Nová pravidla předávání SMTP.
    • Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo ty, které mají nejasné zásady vytváření názvů, například "...".
  2. Shromážděte IP adresu a informace o poloze pro akci.
  3. Zkontrolujte aktivity prováděné z IP adresy použité k vytvoření pravidla a detekujte ostatní ohrožené uživatele.

Upozornění eskalace oprávnění

Tato část popisuje výstrahy, které indikují, že se škodlivý aktér může pokoušet získat ve vaší organizaci oprávnění vyšší úrovně.

Neobvyklá aktivita správy (uživatelem)

Aktivity označující, že útočník narušil uživatelský účet a provedl akce správy, které nejsou pro tohoto uživatele běžné. Útočník se například může pokusit změnit nastavení zabezpečení pro uživatele, operaci, která je pro běžného uživatele relativně vzácná. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu, když se zjistí neobvyklé chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním správcem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP: Pokud jste schopni potvrdit, že správce oprávněně provedl neobvyklý objem administrativních aktivit.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a podívejte se na další indikátory ohrožení zabezpečení, jako je přesměrování podezřelé doručené pošty nebo nemožné cestování.
  2. Zkontrolujte další změny konfigurace, například vytvoření uživatelského účtu, který se může použít pro trvalost.

Upozornění na přístup k přihlašovacím údajům

Tato část popisuje výstrahy, které značí, že se aktér se zlými úmysly může z vaší organizace ukrást názvy účtů a hesla.

Několik neúspěšných pokusů o přihlášení

Neúspěšné pokusy o přihlášení můžou znamenat pokus o porušení účtu. Neúspěšná přihlášení ale můžou být také normálním chováním. Například když uživatel omylem zadal nesprávné heslo. Aby bylo možné dosáhnout přesnosti a upozorňování pouze v případě, že dojde k silnému označení pokusu o porušení zabezpečení, vytvoří Defender for Cloud Apps standardní hodnoty zvyků přihlašování pro každého uživatele v organizaci a upozorní pouze v případě, že se zjistí neobvyklé chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

Tato zásada je založená na učení normálního chování přihlašování uživatele. Při zjištění odchylky od normy se aktivuje výstraha. Pokud detekce začne vidět, že stejné chování pokračuje, výstraha se vyvolá pouze jednou.

  1. TP (MFA selže): Pokud můžete ověřit, že vícefaktorové ověřování funguje správně, může se jednat o znamení pokusu o útok hrubou silou.

    Doporučené akce:

    1. Pozastavte uživatele, označte ho jako ohrožený a resetujte jeho heslo.
    2. Vyhledejte aplikaci, která prováděla neúspěšná ověřování, a znovu ji nakonfigurujte.
    3. Vyhledejte další uživatele přihlášené v době aktivity, protože by mohly být také ohroženy. Pozastavte uživatele, označte ho jako ohrožený a resetujte jeho heslo.
  2. B-TP (MFA selže): Pokud můžete ověřit, že je upozornění způsobeno problémem s vícefaktorovým ověřováním.

    Doporučená akce: Vytvořte playbook pomocí Power Automate, abyste kontaktovali uživatele a zkontrolovali, jestli nemá problémy s vícefaktorovým ověřováním.

  3. B-TP (nesprávně nakonfigurovaná aplikace): Pokud můžete ověřit, že se chybně nakonfigurovaná aplikace pokouší připojit se ke službě několikrát s prošlými přihlašovacími údaji.

    Doporučená akce: Zavřete výstrahu.

  4. B-TP (změněné heslo): Pokud si můžete ověřit, že uživatel nedávno změnil heslo, ale nemá to vliv na přihlašovací údaje napříč síťovými sdílenými složkami.

    Doporučená akce: Zavřete výstrahu.

  5. B-TP (Bezpečnostní test): Pokud jste schopni potvrdit, že bezpečnostní nebo penetrační test provádí bezpečnostní analytici jménem organizace.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a podívejte se na další indikátory ohrožení zabezpečení, jako je výstraha, následuje jedna z následujících upozornění: Neuskutečné cestování, aktivita z anonymní IP adresy nebo aktivita z občasné země.
  2. Projděte si následující informace o zařízení uživatele a porovnejte se známými informacemi o zařízení:
    • Operační systém a verze
    • Prohlížeč a verze
    • IP adresa a umístění
  3. Identifikujte zdrojovou IP adresu nebo umístění, kde došlo k pokusu o ověření.
  4. Zjistěte, jestli uživatel nedávno změnil heslo, a ujistěte se, že všechny aplikace a zařízení mají aktualizované heslo.

Neobvyklé přidání přihlašovacích údajů do aplikace OAuth

Tato detekce identifikuje podezřelé přidání privilegovaných přihlašovacích údajů do aplikace OAuth. To může znamenat, že útočník aplikaci ohrožoval a používá ji pro škodlivou aktivitu.

období Učení

Učení prostředí vaší organizace vyžaduje 7 dnů, během kterých můžete očekávat velký objem výstrah.

Neobvyklý poskytovatele internetových služeb pro aplikaci OAuth

Detekce identifikuje aplikaci OAuth, která se připojuje k vaší cloudové aplikaci z poskytovatele internetových služeb, která je pro aplikaci neobvyklá. To může znamenat, že se útočník pokusil použít legitimní ohroženou aplikaci k provádění škodlivých aktivit ve vašich cloudových aplikacích.

období Učení

Výukové období pro toto zjišťování je 30 dnů.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla legitimní aktivitou aplikace OAuth nebo že tento poskytovatele internetových služeb nepoužívá legitimní aplikace OAuth.

    Doporučená akce: Odvolejte všechny přístupové tokeny aplikace OAuth a prozkoumejte, jestli má útočník přístup ke generování přístupových tokenů OAuth.

  2. FP: Pokud můžete ověřit, že aktivita byla provedena legitimní aplikací OAuth.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aktivity prováděné aplikací OAuth.

  2. Zjistěte, jestli má útočník přístup ke generování přístupových tokenů OAuth.

Upozornění kolekce

Tato část popisuje výstrahy, které indikují, že se objekt actor se zlými úmysly může pokoušet shromáždit data, která jsou pro jejich cíl z vaší organizace zajímavá.

Více aktivit sdílení sestav Power BI

Aktivity v jedné relaci označující, že uživatel ve srovnání se směrným plánem provedl neobvyklý počet aktivit sestavy sdílení v Power BI. To může značit pokus o porušení vaší organizace.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Odebrání přístupu ke sdílení z Power BI Pokud si můžete ověřit, že dojde k ohrožení zabezpečení účtu, pozastavte uživatele, označte ho jako ohrožený a resetujte jeho heslo.

  2. FP: Pokud si můžete ověřit, že uživatel měl obchodní odůvodnění ke sdílení těchto sestav.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit, abyste lépe porozuměli dalším aktivitám prováděným uživatelem. Podívejte se na IP adresu, ze které jsou přihlášeni, a podrobnosti o zařízení.
  2. Pokud chcete porozumět pokynům pro interní a externí sdílení sestav, obraťte se na tým Power BI nebo tým Information Protection.

Podezřelé sdílení sestav Power BI

Aktivity označující, že uživatel sdílel sestavu Power BI, která může obsahovat citlivé informace identifikované pomocí NLP k analýze metadat sestavy. Sestava se buď sdílela s externí e-mailovou adresou, publikovanou na webu, nebo se snímek doručil na externě předplacenou e-mailovou adresu. To může značit pokus o porušení vaší organizace.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Odebrání přístupu ke sdílení z Power BI Pokud si můžete ověřit, že dojde k ohrožení zabezpečení účtu, pozastavte uživatele, označte ho jako ohrožený a resetujte jeho heslo.

  2. FP: Pokud si můžete ověřit, že uživatel měl obchodní odůvodnění ke sdílení těchto sestav.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit, abyste lépe porozuměli dalším aktivitám prováděným uživatelem. Podívejte se na IP adresu, ze které jsou přihlášeni, a podrobnosti o zařízení.
  2. Pokud chcete porozumět pokynům pro interní a externí sdílení sestav, obraťte se na tým Power BI nebo tým Information Protection.

Neobvyklá zosobněná aktivita (uživatelem)

V některých softwarových aplikacích existují možnosti, které ostatním uživatelům umožňují zosobnit jiné uživatele. Například e-mailové služby umožňují uživatelům autorizovat ostatní uživatele k posílání e-mailů jejich jménem. Tuto aktivitu běžně používají útočníci k vytváření phishingových e-mailů při pokusu o extrakci informací o vaší organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a vytvoří aktivitu při zjištění neobvyklé aktivity zosobnění.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (neobvyklé chování): Pokud jste schopni ověřit, že uživatel oprávněně provedl neobvyklé aktivity nebo více aktivit, než je zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

  3. FP: Pokud můžete potvrdit, že aplikace, jako je Teams, zosobněly uživatele legitimním způsobem.

    Doporučená akce: Zkontrolujte akce a v případě potřeby upozornění zavřete.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a výstrahy, které vám pověří další indikátory ohrožení zabezpečení.
  2. Projděte si aktivity zosobnění a identifikujte potenciální škodlivé aktivity.
  3. Zkontrolujte konfiguraci delegovaného přístupu.

Upozornění exfiltrace

Tato část popisuje výstrahy, které značí, že se aktér se zlými úmysly může z vaší organizace zcizit data.

Podezřelé přeposílání doručené pošty

Aktivity označující, že útočník získal přístup ke složce doručené pošty uživatele a vytvořil podezřelé pravidlo. Pravidla manipulace, například přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet, můžou být pokusem o exfiltraci informací z vaší organizace. Defender for Cloud Apps profiluje vaše prostředí a aktivuje výstrahy, když se v doručené poště uživatele zjistí podezřelá pravidla manipulace s doručenou poštou. To může znamenat, že dojde k ohrožení zabezpečení účtu uživatele.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že se vytvořilo pravidlo pro přeposílání doručené pošty se zlými úmysly a že došlo k ohrožení zabezpečení účtu.

    Doporučená akce: Pozastavení uživatele, resetování hesla a odebrání pravidla pro přeposílání

  2. FP: Pokud si můžete ověřit, že uživatel vytvořil pravidlo přeposílání na nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a zkontrolujte další indikátory ohrožení zabezpečení, jako je výstraha, za kterou následuje upozornění na nemožné cestování . Vyhledejte:

    1. Nová pravidla pro předávání SMTP, jak je znázorněno níže:
      • Zkontrolujte názvy pravidel pro přeposílání se zlými úmysly. Názvy pravidel se můžou lišit od jednoduchých názvů, například "Přeposlat všechny e-maily" a "Automatické přeposílání" nebo deceptivních jmen, například sotva viditelných "". Názvy pravidel přeposílání můžou být i prázdné a příjemce přeposílání může být jeden e-mailový účet nebo celý seznam. Škodlivá pravidla můžou být také skrytá v uživatelském rozhraní. Po zjištění můžete použít tento užitečný blogový příspěvek o tom, jak odstranit skrytá pravidla z poštovních schránek.
      • Pokud zjistíte nerozpoznané pravidlo přeposílání na neznámou interní nebo externí e-mailovou adresu, můžete předpokládat, že došlo k ohrožení zabezpečení účtu doručené pošty.
    2. Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo ty, které mají nejasné zásady vytváření názvů, například "...".
  2. Zkontrolujte aktivity prováděné z IP adresy použité k vytvoření pravidla a detekujte ostatní ohrožené uživatele.

  3. Zkontrolujte seznam přeposlaných zpráv pomocí sledování zpráv Exchange Online.

Neobvyklý soubor ke stažení (uživatelem)

Aktivity označující, že uživatel provedl neobvyklý počet stahování souborů z platformy cloudového úložiště ve srovnání se směrným plánem, který jste se naučili. To může znamenat pokus o získání informací o organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu, když se zjistí neobvyklé chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (neobvyklé chování): Pokud můžete ověřit, že uživatel oprávněně provedl více aktivit stahování souborů než zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

  3. FP (Synchronizace softwaru): Pokud si můžete ověřit, že software, například OneDrive, synchronizovaný s externím zálohováním, které výstrahu způsobilo.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Projděte si aktivity stahování a vytvořte seznam stažených souborů.
  2. Zkontrolujte citlivost stažených souborů s vlastníkem prostředku a ověřte úroveň přístupu.

Neobvyklý přístup k souborům (podle uživatele)

Aktivity označující, že uživatel provedl neobvyklý počet přístupů k souborům na SharePointu nebo OneDrivu k souborům, které obsahují finanční data nebo síťová data ve srovnání se směrným plánem. To může znamenat pokus o získání informací o organizaci, ať už pro finanční účely nebo pro přístup k přihlašovacím údajům a laterální přesun. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu, když se zjistí neobvyklé chování.

období Učení

Studijní období závisí na aktivitě uživatele. Obecně platí, že studijní období je pro většinu uživatelů mezi 21 a 45 dny.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (neobvyklé chování): Pokud můžete ověřit, že uživatel oprávněně prováděl více aktivit přístupu k souborům než zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aktivity přístupu a vytvořte seznam přístupových souborů.
  2. Zkontrolujte citlivost přístupových souborů s vlastníkem prostředku a ověřte úroveň přístupu.

Neobvyklá aktivita sdílené složky (uživatelem)

Aktivity označující, že uživatel provedl neobvyklý počet akcí sdílení souborů z platformy cloudového úložiště ve srovnání se směrným plánem, který jste se naučili. To může znamenat pokus o získání informací o organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu, když se zjistí neobvyklé chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (neobvyklé chování): Pokud můžete ověřit, že uživatel oprávněně prováděl více aktivit sdílení souborů než zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aktivity sdílení a vytvořte seznam sdílených souborů.
  2. Zkontrolujte citlivost sdílených souborů s vlastníkem prostředku a ověřte úroveň přístupu.
  3. Vytvořte zásadu souborů pro podobné dokumenty, abyste zjistili budoucí sdílení citlivých souborů.

Ovlivnění výstrah

Tato část popisuje výstrahy, které značí, že se aktér se zlými úmysly se může pokoušet manipulovat s vašimi systémy a daty ve vaší organizaci, přerušit je nebo zničit.

Několik aktivit odstranění virtuálních počítačů

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet odstranění virtuálních počítačů ve srovnání se směrným plánem, který se naučil. Odstranění několika virtuálních počítačů může znamenat pokus o narušení nebo zničení prostředí. Existuje však mnoho běžných scénářů, kdy se virtuální počítače odstraní.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, tato detekce stanoví směrný plán pro každé prostředí v organizaci, aby se snížily incidenty B-TP a výstrahy pouze v případě zjištění neobvyklého chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

  • TP: Pokud můžete potvrdit, že odstranění byla neautorizováno.

    Doporučená akce: Pozastavení uživatele, resetování hesla a kontrola škodlivých hrozeb na všech zařízeních Projděte si všechny aktivity uživatelů, kde najdete další indikátory ohrožení zabezpečení, a prozkoumejte rozsah dopadu.

  • B-TP: Pokud po šetření můžete ověřit, že správce má oprávnění k provádění těchto aktivit odstranění.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Obraťte se na uživatele a potvrďte aktivitu.
  2. Zkontrolujte všechny aktivity uživatelů a zkontrolujte další indikátory ohrožení zabezpečení, jako je výstraha, následuje jedna z následujících upozornění: Neuskutečné cestování, aktivita z anonymní IP adresy nebo aktivita z občasné země.

Aktivita ransomwaru

Ransomware je kybernetický útok, ve kterém útočník zamkne oběti ze svých zařízení nebo jim zablokuje přístup ke svým souborům, dokud oběť nezaplatí výkupné. Ransomware může být šířený škodlivým sdíleným souborem nebo ohroženou sítí. Defender for Cloud Apps používá k identifikaci aktivity ransomwaru odborné znalosti v oblasti zabezpečení, analýzu hrozeb a naučené vzorce chování. Například vysoká míra nahrávání souborů nebo odstranění souborů může představovat proces šifrování, který je běžný mezi operacemi ransomware.

Tato detekce stanoví směrný plán normálních pracovních vzorů každého uživatele ve vaší organizaci, například když uživatel přistupuje ke cloudu a co běžně dělá v cloudu.

Zásady automatizované detekce hrozeb Defender for Cloud Apps se začnou spouštět na pozadí od okamžiku, kdy se připojíte. S využitím našich odborných znalostí v oblasti výzkumu zabezpečení k identifikaci vzorů chování, které odrážejí aktivitu ransomwaru v naší organizaci, poskytuje Defender for Cloud Apps komplexní pokrytí sofistikovaných útoků ransomware.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP (neobvyklé chování): Uživatel v krátkém časovém období provedl více aktivit odstranění a nahrávání podobných souborů.

    Doporučená akce: Po kontrole protokolu aktivit a potvrzení, že přípony souborů nejsou podezřelé, zavřete upozornění.

  3. FP (společná přípona souboru ransomware): Pokud můžete potvrdit, že rozšíření ovlivněných souborů odpovídají známé příponě ransomware.

    Doporučená akce: Obraťte se na uživatele a potvrďte, že jsou soubory v bezpečí, a pak upozornění zavřete.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit a vyhledejte další indikátory ohrožení zabezpečení, jako je hromadné stahování nebo hromadné odstranění souborů.
  2. Pokud používáte Microsoft Defender for Endpoint, zkontrolujte upozornění na počítač uživatele a zjistěte, jestli se detekovaly škodlivé soubory.
  3. V protokolu aktivit vyhledejte aktivity nahrávání a sdílení škodlivých souborů.

Neobvyklá aktivita odstranění souboru (uživatelem)

Aktivity označující, že uživatel provedl neobvyklou aktivitu odstranění souboru ve srovnání se směrným plánem, který se naučil. To může značit útok ransomwaru. Útočník může například zašifrovat soubory uživatele a odstranit všechny originály a nechat jenom zašifrované verze, které lze použít k převodu oběti na zaplacení výkupného. Defender for Cloud Apps vytvoří směrný plán na základě normálního chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční dobu učení sedmi dnů, během které se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. FP: Pokud jste schopni ověřit, že uživatel oprávněně prováděl více aktivit odstranění souborů než zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aktivity odstranění a vytvořte seznam odstraněných souborů. V případě potřeby obnovte odstraněné soubory.
  2. Volitelně můžete pomocí Power Automate vytvořit playbook, abyste kontaktovali uživatele a jejich manažery a ověřili aktivitu.

Zvýšení skóre priority šetření (Preview)

Neobvyklé aktivity a aktivity, které aktivovaly výstrahy, se udělují skóre na základě závažnosti, dopadu na uživatele a analýzy chování uživatele. Analýza se provádí na základě jiných uživatelů v tenantech.

Pokud dojde k významnému a neobvyklému zvýšení skóre priority šetření určitého uživatele, aktivuje se upozornění.

Tato výstraha umožňuje detekovat potenciální porušení zabezpečení, které jsou charakterizovány aktivitami, které nemusí nutně aktivovat konkrétní výstrahy, ale hromadí se podezřelému chování uživatele.

období Učení

Vytvoření vzoru aktivity nového uživatele vyžaduje počáteční období učení sedmi dnů, během kterého se upozornění neaktivují pro zvýšení skóre.

TP, B-TP nebo FP?

  1. TP: Pokud si můžete ověřit, že aktivity uživatele nejsou legitimní.

    Doporučená akce: Pozastavení uživatele, označení uživatele jako ohroženého a resetování hesla

  2. B-TP: Pokud jste schopni potvrdit, že se uživatel skutečně výrazně odlišil od obvyklého chování, ale neexistuje žádné potenciální porušení zabezpečení.

  3. FP (neobvyklé chování): Pokud jste schopni ověřit, že uživatel oprávněně provedl neobvyklé aktivity nebo více aktivit, než je zavedený směrný plán.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity uživatelů a výstrahy, které vám pověří další indikátory ohrožení zabezpečení.

Časová osa vyřazení

Do srpna 2024 postupně vyřazujeme upozornění na zvýšení skóre priority šetření z Programu Microsoft Defender for Cloud Apps.

Po pečlivé analýze a zvážení jsme se rozhodli ji vyřadit z důvodu vysoké míry falešně pozitivních výsledků spojených s tímto upozorněním, které jsme zjistili, že nepřispívalo efektivně k celkovému zabezpečení vaší organizace.

Náš výzkum ukázal, že tato funkce nepřidávalo významnou hodnotu a nebyla v souladu s naším strategickým zaměřením na poskytování vysoce kvalitních a spolehlivých řešení zabezpečení.

Zavázali jsme se neustále zlepšovat naše služby a zajistit, aby splňovaly vaše potřeby a očekávání.

Pro ty, kteří chtějí pokračovat v používání této výstrahy, doporučujeme místo navrhované šablony použít následující rozšířený dotaz proaktivního vyhledávání. Upravte dotaz podle svých potřeb.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Viz také