Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Defender for Cloud Apps zahrnuje detekci ohrožených uživatelů, vnitřní hrozby, exfiltraci dat a aktivitu ransomwaru. Služba používá detekci anomálií, analýzu chování uživatelů a entit (UEBA) a detekci aktivit na základě pravidel k analýze aktivity uživatelů v připojených aplikacích.
Neautorizované nebo neočekávané změny v cloudovém prostředí můžou představovat bezpečnostní a provozní rizika. Například změny klíčových podnikových prostředků, jako jsou servery s vaším veřejným webem nebo službou, které poskytujete zákazníkům, můžou být ohroženy.
Defender for Cloud Apps zachytává a analyzuje data z několika zdrojů, aby identifikovala aktivity aplikací a uživatelů ve vaší organizaci. Tato analýza poskytuje analytikům zabezpečení přehled o používání cloudu. Shromážděná data jsou korelovaná, standardizovaná a rozšířená o analýzu hrozeb a podrobnosti o poloze, aby poskytovala přesný a konzistentní přehled o podezřelých aktivitách.
Před laděním detekce nakonfigurujte následující zdroje dat:
| Source (Zdroj) | Popis |
|---|---|
| Protokol aktivit | Aktivity z aplikací připojených k rozhraní API |
| Protokol zjišťování | Aktivity extrahované z brány firewall a protokolu přenosů proxy serveru, které předáváte do Defender for Cloud Apps. Protokoly se analyzují podle katalogu cloudových aplikací, řadí se a bodují na základě více než 90 rizikových faktorů. |
| Protokol proxy serveru | Aktivity z aplikací s podmíněným přístupem řídí aplikace. |
Vylaďte následující zásady nastavením filtrů a dynamických prahových hodnot (UEBA) pro trénování modelů detekce. Můžete také nastavit potlačení, abyste omezili počet běžných falešně pozitivních detekcí:
- Detekce anomálií
- Detekce anomálií Cloud Discovery
- Detekce aktivit na základě pravidel
Naučte se ladit detekce aktivit uživatelů, abyste identifikovali skutečné ohrožení zabezpečení a snížili počet zbytečných upozornění, která jsou výsledkem velkého objemu falešně pozitivních detekcí:
Fáze 1: Konfigurace rozsahů IP adres
- Nastavte rozsahy IP adres a vylaďte jakýkoli typ zásad detekce podezřelých aktivit uživatelů.
Nastavení známých IP adres pomáhá algoritmům strojového učení identifikovat známá místa a považovat je za součást modelů strojového učení. Například přidání rozsahu IP adres vaší sítě VPN pomůže modelu správně klasifikovat tento rozsah IP adres a automaticky ho vyloučit z detekce nemožné cesty, protože umístění SÍTĚ VPN nepředstavuje skutečné umístění daného uživatele.
Poznámka
Defender for Cloud Apps používá rozsahy IP adres v rámci služby, a to nejen k detekci. Rozsahy IP adres se používají v protokolu aktivit, podmíněném přístupu a dalších. Například identifikace fyzických IP adres kanceláře vám umožní přizpůsobit způsob zobrazení a zkoumání protokolů a upozornění.
Kontrola upozornění detekce anomálií
Defender for Cloud Apps zahrnuje sadu výstrah detekce anomálií, které identifikují různé scénáře zabezpečení. Začnou profilovat aktivitu uživatelů a generovat upozornění, jakmile připojíte příslušné konektory aplikací.
Začněte tím, že se seznámíte s různými zásadami detekce. Upřednostněte hlavní scénáře, které jsou podle vás pro vaši organizaci nejrelevantní, a odpovídajícím způsobem vylaďte zásady.
Fáze 2: Ladění zásad detekce anomálií
Defender for Cloud Apps zahrnuje několik předdefinovaných zásad detekce anomálií, které jsou předem nakonfigurované pro běžné případy použití zabezpečení. Mezi oblíbené detekce patří:
| Detekce | Popis |
|---|---|
| Nemožné cestování | Aktivity od stejného uživatele v různých umístěních během období, které je kratší než očekávaná doba trvání cesty mezi těmito dvěma umístěními. |
| Aktivita z občasné země | Aktivita z místa, které uživatel nedávno nenavštívil nebo ho nikdy nenavštívil. |
| Detekce malwaru | Kontroluje soubory v cloudových aplikacích a spouští podezřelé soubory prostřednictvím modulu analýzy hrozeb Microsoftu, aby zkontroloval, jestli jsou přidružené ke známému malwaru. |
| Aktivita ransomware | Soubory se nahrají do cloudu, které můžou být napadené ransomwarem. |
| Aktivita z podezřelých IP adres | Aktivita z IP adresy, kterou Microsoft Threat Intelligence označila za rizikovou. |
| Podezřelé přeposílání doručené pošty | Zjistí podezřelá pravidla přeposílání doručené pošty nastavená v doručené poště uživatele. |
| Neobvyklé aktivity při stahování více souborů | Zjistí více aktivit stahování souborů v jedné relaci s ohledem na naznačené směrné hodnoty, což může znamenat pokus o porušení zabezpečení. |
| Neobvyklé aktivity správy | Detekuje více aktivit správy v jedné relaci s ohledem na naznačený směrný plán, což může znamenat pokus o porušení zabezpečení. |
Poznámka
Některé detekce anomálií se zaměřují na detekci problematických scénářů zabezpečení, zatímco jiné pomáhají identifikovat a prozkoumat neobvyklé chování uživatelů, které nemusí nutně znamenat ohrožení zabezpečení. Pro takové detekce můžete použít Chování, které je k dispozici v prostředí Microsoft Defender XDR rozšířeného proaktivního vyhledávání.
Nastavení rozsahu zásad pro konkrétní uživatele nebo skupiny
Omezení zásad pro konkrétní uživatele může pomoct snížit šum z výstrah, které nejsou pro vaši organizaci relevantní. Každou zásadu můžete nakonfigurovat tak, aby zahrnovala nebo vyloučila konkrétní uživatele a skupiny, například v následujících příkladech:
-
Simulace útoku
Mnoho organizací používá uživatele nebo skupinu k neustálé simulaci útoků. Neustálé přijímání upozornění z aktivit těchto uživatelů vytváří zbytečný šum. Nastavte zásady tak, aby se tito uživatelé nebo skupiny vyloučili. Tato akce pomáhá modelům strojového učení identifikovat tyto uživatele a vyladit jejich dynamické prahové hodnoty. -
Cílená detekce
Možná budete chtít prozkoumat konkrétní skupinu uživatelů VIRTUÁLNÍCH IP adres, jako jsou členové skupiny správce nebo CXO (Chief Experience Officer). V takovém případě vytvořte zásadu pro aktivity, které chcete detekovat, a zvolte, aby zahrnovala jenom sadu uživatelů nebo skupin, které vás zajímají.
-
Simulace útoku
Ladění neobvyklých detekcí přihlašování
Upozornění vyplývající z neúspěšných aktivit přihlášení můžou znamenat, že se někdo pokouší cílit na jeden nebo více uživatelských účtů.
Ohrožené přihlašovací údaje jsou běžnou příčinou převzetí účtu a neoprávněné aktivity. Upozornění na nemožnost cestovat, aktivity z podezřelých IP adres a občasné detekce země nebo oblasti vám pomůžou odhalit aktivity, které naznačují, že účet může být ohrožen.
Ladění citlivosti nemožnécesty: Před aktivací upozornění na nemožné cestování nakonfigurujte posuvník citlivosti, který určuje úroveň potlačení použitých u neobvyklého chování. Organizace, které mají zájem o vysokou věrnost, by měly zvážit zvýšení úrovně citlivosti. Pokud má vaše organizace mnoho uživatelů, kteří cestují, zvažte snížení úrovně citlivosti, aby se potlačily aktivity ze společných míst uživatele, které se naučily z předchozích aktivit. Můžete si vybrat z následujících úrovní citlivosti:
- Nízká: Potlačení systému, tenanta a uživatele
- Střední: Potlačení systému a uživatelů
- Vysoká: Pouze systémová potlačení
Kde:
Typ potlačení Popis Systému Integrované detekce, které jsou vždy potlačeny. Tenant Běžné aktivity založené na předchozí aktivitě v tenantovi Například potlačování aktivit od isp dříve upozorňujících ve vaší organizaci. Uživatel Běžné aktivity založené na předchozí aktivitě konkrétního uživatele Například potlačování aktivit z umístění, které uživatel běžně používá.
Fáze 3: Ladění zásad detekce anomálií cloud discovery
Můžete doladit několik předdefinovaných zásad detekce anomálií cloud discovery nebo vytvořit vlastní zásady, abyste identifikovali další scénáře, které stojí za prozkoumání. Tyto zásady používají protokoly cloud discovery s možnostmi ladění , které se zaměřují na neobvyklé chování aplikací a exfiltraci dat.
Ladění monitorování využití
Nastavte filtry použití pro řízení rozsahu a období aktivity pro detekci neobvyklého chování. Můžete například dostávat upozornění na neobvyklé aktivity od zaměstnanců na úrovni vedení.
Ladění citlivosti upozornění
Pokud chcete snížit počet zbytečných upozornění, nastavte citlivost výstrah. Pomocí posuvníku citlivosti můžete řídit počet výstrah s vysokým rizikem odeslaných na 1 000 uživatelů za týden. Vyšší citlivosti vyžadují menší odchylky, aby se považovaly za anomálii a generovaly více výstrah. Obecně platí, že pro uživatele, kteří nemají přístup k důvěrným datům, nastavte nízkou citlivost.
Fáze 4: Ladění zásad detekce (aktivit) na základě pravidel
Zásady detekce založené na pravidlech doplňují zásady detekce anomálií s požadavky specifickými pro organizaci. Vytvořte zásady založené na pravidlech pomocí jedné ze šablon zásad aktivit.
Pokud vaše organizace nemá žádnou přítomnost v konkrétní zemi nebo oblasti, vytvořte zásadu, která zjistí neobvyklé aktivity z této oblasti. Pro organizace s velkými pobočkami v dané zemi nebo oblasti jsou takové aktivity normální a nedává smysl takové aktivity zjišťovat.
- Přejděte naŠablony zásadzásad> a nastavte filtr Typ na Zásady aktivity. Nastavte filtry aktivit , které detekují chování, která nejsou pro vaše prostředí normální.
-
Ladění hlasitosti aktivity
Zvolte požadovaný objem aktivity před tím, než detekce vyvolá výstrahu. Pokud vaše organizace není v zemi nebo oblasti, je důležitá i jedna aktivita, která vyžaduje výstrahu. Selhání jednotného přihlášení může být chyba lidského faktoru a může být zajímavá pouze v případě, že během krátké doby dojde k mnoha selháním. -
Ladění filtrů aktivit
Nastavte filtry, které potřebujete ke zjištění typu aktivity, na kterou chcete upozorňovat. Pokud například chcete zjistit aktivitu ze země nebo oblasti, použijte parametr Umístění . -
Ladění upozornění
Pokud chcete snížit počet zbytečných upozornění, nastavte denní limit výstrah.
Fáze 5: Konfigurace upozornění
Poznámka
Microsoft 15. prosince 2022 vyřadil funkci Upozornění/SMS (textové zprávy). Pokud chcete dostávat textová upozornění, použijte Microsoft Power Automate pro automatizaci vlastních upozornění. Další informace najdete v tématu Integrace s Microsoft Power Automate pro vlastní automatizaci upozornění.
Pokud chcete dostávat okamžitá upozornění kdykoli během dne, zvolte, že je chcete dostávat e-mailem.
Můžete také chtít možnost analyzovat výstrahy v kontextu jiných výstrah aktivovaných jinými produkty ve vaší organizaci. Tato analýza poskytuje ucelený pohled na potenciální hrozbu. Můžete například chtít korelovat mezi cloudovými a místními událostmi, abyste zjistili, jestli existují nějaké další důkazy, které by mohly útok potvrdit.
Pomocí Microsoft Power Automate můžete aktivovat vlastní automatizaci upozornění. Při aktivaci upozornění můžete:
- Nastavení playbooku
- Vytvoření problému v ServiceNow
- Odeslání schvalovacího e-mailu pro spuštění vlastní akce zásad správného řízení při aktivaci upozornění
Při konfiguraci upozornění postupujte podle následujících pokynů:
-
E-mail
Tuto možnost zvolte, pokud chcete dostávat upozornění e-mailem. -
SIEM
Existuje několik možností integrace SIEM, včetně Microsoft Sentinel, Microsoft Graphu Rozhraní API pro zabezpečení a dalších obecných SIEM. Zvolte integraci, která nejlépe vyhovuje vašim požadavkům. -
Automatizace Power Automate
Vytvořte požadované playbooky pro automatizaci a nastavte je jako upozornění zásad na akci Power Automate.
Fáze 6: Šetření a náprava
Pokud chcete optimalizovat ochranu, nastavte automatické nápravné akce, které minimalizují riziko pro vaši organizaci. Zásady umožňují použít s upozorněními akce zásad správného řízení , aby se riziko pro vaši organizaci snížilo ještě před tím, než začnete prošetřovat. Typ zásady určuje dostupné akce, včetně akcí, jako je pozastavení uživatele nebo blokování přístupu k požadovanému prostředku.