Kurz: Detekce podezřelých aktivit uživatelů pomocí analýzy chování (UEBA)

  • Článek

Microsoft Defender for Cloud Apps poskytuje nejlepší detekci ve třídě napříč řetězem útoku kill pro ohrožené uživatele, vnitřní hrozby, exfiltraci, ransomware a další. Naše komplexní řešení se dosahuje kombinací několika metod detekce, včetně anomálií, analýzy chování (UEBA) a detekcí aktivit založených na pravidlech, a poskytuje tak široký přehled o tom, jak vaši uživatelé používají aplikace ve vašem prostředí.

Proč je tedy důležité detekovat podezřelé chování? Dopad uživatele, který může změnit vaše cloudové prostředí, může mít významný a přímý vliv na vaši schopnost provozovat vaši firmu. Můžete například ohrozit klíčové podnikové prostředky, jako jsou servery, na kterých běží váš veřejný web nebo služba, kterou poskytujete zákazníkům.

Pomocí dat zachycených z několika zdrojů analyzuje Defender for Cloud Apps data za účelem extrakce aktivit aplikací a uživatelů ve vaší organizaci a poskytuje analytikům zabezpečení přehled o používání cloudu. Shromážděná data korelují, standardizované a obohacené o analýzu hrozeb, polohu a mnoho dalších podrobností, aby poskytovala přesné a konzistentní zobrazení podezřelých aktivit.

Proto pokud chcete plně realizovat výhody těchto detekcí, nejprve se ujistěte, že nakonfigurujete následující zdroje:

V dalším kroku budete chtít zásady vyladit. Následující zásady je možné doladit nastavením filtrů, dynamických prahových hodnot (UEBA), které pomáhají trénovat modely detekce a potlačení, aby se snížily běžné falešně pozitivní detekce:

  • Detekce anomálií
  • Detekce anomálií Cloud Discovery
  • Detekce aktivit na základě pravidel

V tomto kurzu se dozvíte, jak ladit detekce aktivit uživatelů, abyste identifikovali skutečné kompromisy a snížili únavu výstrah vyplývající z zpracování velkých objemů falešně pozitivních detekcí:

Fáze 1: Konfigurace rozsahů IP adres

Před konfigurací jednotlivých zásad doporučujeme nakonfigurovat rozsahy IP adres tak, aby byly k dispozici při vyladění jakéhokoli typu zásad detekce podezřelých aktivit uživatelů.

Vzhledem k tomu, že informace o IP adresách jsou pro téměř všechna šetření zásadní, pomáhá konfigurace známých IP adres našim algoritmům strojového učení identifikovat známá umístění a považovat je za součást modelů strojového učení. Například přidání rozsahu IP adres vaší sítě VPN pomůže modelu správně klasifikovat tento rozsah IP adres a automaticky ho vyloučit z detekcí nemožné cesty, protože umístění VPN nepředstavuje skutečné umístění tohoto uživatele.

Poznámka: Nakonfigurované rozsahy IP adres nejsou omezeny na detekce a používají se v rámci programu Defender for Cloud Apps v oblastech, jako jsou aktivity v protokolu aktivit, podmíněný přístup atd. Při konfiguraci rozsahů mějte na paměti. Identifikace IP adres fyzické kanceláře vám například umožňuje přizpůsobit způsob zobrazení a vyšetřování protokolů a upozornění.

Kontrola včasných upozornění detekce anomálií

Defender for Cloud Apps obsahuje sadu upozornění detekce anomálií pro identifikaci různých scénářů zabezpečení. Tyto detekce se automaticky aktivují a začnou profilovat aktivitu uživatelů a generují výstrahy hned po připojení příslušných konektorů aplikací.

Začněte tím, že se seznámíte s různými zásadami detekce, upřednostníte hlavní scénáře, které si myslíte, že jsou pro vaši organizaci nejrelevantní, a odpovídajícím způsobem vylaďte zásady.

Fáze 2: Ladění zásad detekce anomálií

V programu Defender for Cloud Apps je k dispozici několik předdefinovaných zásad detekce anomálií, které jsou předem nakonfigurované pro běžné případy použití zabezpečení. Než se seznámíte s oblíbenějšími detekcemi, například:

  • Nemožné cestování
    Aktivity od stejného uživatele v různých umístěních v rámci období, které je kratší než očekávaná doba trvání cesty mezi těmito dvěma umístěními.
  • Aktivita z občasné země
    Aktivita z umístění, které uživatel nedávno nevštěvoval nebo nikdy nevštěvoval.
  • Detekce malwaru
    Prohledává soubory v cloudových aplikacích a spouští podezřelé soubory prostřednictvím modulu microsoftu pro analýzu hrozeb a zjišťuje, jestli jsou přidružené ke známému malwaru.
  • Aktivita ransomwaru
    Soubor se nahraje do cloudu, který může být napaden ransomwarem.
  • Aktivita z podezřelých IP adres
    Aktivita z IP adresy, která byla identifikovaná jako riziková službou Microsoft Threat Intelligence.
  • Podezřelé přeposílání doručené pošty
    Detekuje podezřelá pravidla předávání doručené pošty nastavená ve složce Doručená pošta uživatele.
  • Neobvyklé aktivity stahování více souborů
    Detekuje více aktivit stahování souborů v jedné relaci s ohledem na získané základní hodnoty, což může znamenat pokus o porušení zabezpečení.
  • Neobvyklé administrativní aktivity
    Detekuje více aktivit správy v jedné relaci s ohledem na směrný plán, který by mohl znamenat pokus o porušení zabezpečení.

Úplný seznam detekcí a jejich použití najdete v tématu Zásady detekce anomálií.

Poznámka:

Zatímco některé detekce anomálií se primárně zaměřují na zjišťování problematických scénářů zabezpečení, jiné můžou pomoct při identifikaci a zkoumání neobvyklého chování uživatelů, které nemusí nutně znamenat ohrožení zabezpečení. Pro takové detekce jsme vytvořili další datový typ s názvem "chování", který je k dispozici v rozšířeném prostředí pro vyhledávání XDR v programu Microsoft Defender. Další informace naleznete v tématu Chování.

Jakmile se seznámíte se zásadami, měli byste zvážit, jak je chcete vyladit pro konkrétní požadavky vaší organizace na lepší cílové aktivity, které byste mohli chtít dále prozkoumat.

  1. Určení rozsahu zásad konkrétním uživatelům nebo skupinám

    Zásady rozsahu pro konkrétní uživatele můžou pomoct snížit šum z upozornění, která nejsou pro vaši organizaci relevantní. Jednotlivé zásady je možné nakonfigurovat tak, aby zahrnovaly nebo vyloučily konkrétní uživatele a skupiny, například v následujících příkladech:

    • Simulace útoků
      Mnoho organizací používá uživatele nebo skupinu k neustálé simulaci útoků. Samozřejmě nemá smysl neustále přijímat upozornění z aktivit těchto uživatelů. Proto můžete nakonfigurovat zásady tak, aby tyto uživatele nebo skupiny vyloučily. To také pomáhá modelům strojového učení identifikovat tyto uživatele a vyladit jejich dynamické prahové hodnoty odpovídajícím způsobem.
    • Cílené detekce
      Vaše organizace se může zajímat o zkoumání konkrétní skupiny uživatelů VIP, jako jsou členové skupiny správce nebo skupiny CXO. V tomto scénáři můžete vytvořit zásadu pro aktivity, které chcete zjistit, a zvolit, aby zahrnovala pouze sadu uživatelů nebo skupin, které vás zajímají.

  2. Ladění neobvyklých detekcí přihlašování

    Některé organizace chtějí zobrazit upozornění vyplývající z neúspěšných aktivit přihlašování, protože můžou znamenat, že se někdo pokouší cílit na jeden nebo více uživatelských účtů. Na druhou stranu útoky hrubou silou na uživatelské účty probíhají neustále v cloudu a organizace nemají způsob, jak jim zabránit. Větší organizace se proto obvykle rozhodnou dostávat upozornění jenom na podezřelé aktivity přihlašování, které vedou k úspěšným aktivitám přihlašování, protože můžou představovat skutečné ohrožení zabezpečení.

    Krádež identity je klíčovým zdrojem ohrožení a představuje pro vaši organizaci hlavní vektor hrozeb. Naše neuskutečitelná cesta, aktivita z podezřelých IP adres a upozornění detekce zemí/oblastí pomáhají zjišťovat aktivity, které naznačují, že je účet potenciálně ohrožen.

  3. Vylaďte citlivost nemožné cesty: Nakonfigurujte posuvník citlivosti, který určuje úroveň potlačení použitou na neobvyklé chování před aktivací upozornění na nemožné cestování. Například organizace, které mají zájem o vysokou věrnost, by měly zvážit zvýšení úrovně citlivosti. Na druhou stranu, pokud má vaše organizace mnoho uživatelů, kteří cestují, zvažte snížení úrovně citlivosti, aby se potlačit aktivity z běžných umístění uživatele získaných z předchozích aktivit. Můžete si vybrat z následujících úrovní citlivosti:

    • Nízké: Potlačení systému, tenanta a uživatele
    • Střední: Potlačení systému a uživatelů
    • Vysoká: Pouze potlačení systému

    Kde:

    Typ potlačení Popis
    Systém Integrované detekce, které jsou vždy potlačeny.
    Klient Běžné aktivity založené na předchozí aktivitě v tenantovi Například potlačování aktivit z zprostředkovatele internetových služeb dříve upozorňovalo ve vaší organizaci.
    Uživatel Běžné aktivity založené na předchozí aktivitě konkrétního uživatele Například potlačování aktivit z umístění, které běžně používá uživatel.

Fáze 3: Ladění zásad detekce anomálií cloud discovery

Podobně jako zásady detekce anomálií existuje několik předdefinovaných zásad detekce anomálií cloud discovery, které můžete vyladit. Například exfiltrace dat na neschválené aplikace vás upozorní, když se data exfiltrují do neschválené aplikace a jsou předem nakonfigurovaná s nastavením na základě prostředí Microsoftu v poli zabezpečení.

Můžete ale doladit předdefinované zásady nebo vytvořit vlastní zásady, které vám pomůžou identifikovat další scénáře, které vás mohou zajímat. Vzhledem k tomu, že tyto zásady jsou založené na protokolech cloud discovery, mají různé možnosti ladění, které se více zaměřují na neobvyklé chování aplikací a exfiltraci dat.

  1. Ladění monitorování využití
    Nastavte filtry použití pro řízení směrného plánu, rozsahu a období aktivity pro detekci neobvyklého chování. Můžete například chtít dostávat upozornění na neobvyklé aktivity týkající se zaměstnanců na úrovni vedení.

  2. Ladění citlivosti upozornění
    Pokud chcete zabránit únavě výstrah, nakonfigurujte citlivost výstrah. Pomocí posuvníku citlivosti můžete řídit počet vysoce rizikových výstrah odeslaných na 1 000 uživatelů za týden. Vyšší citlivost vyžadují, aby se za anomálie považovala anomálie a vygenerovala více výstrah. Obecně platí, že pro uživatele, kteří nemají přístup k důvěrným datům, nastavte nízkou citlivost.

Fáze 4: Ladění zásad detekce na základě pravidel (aktivity)

Zásady detekce založené na pravidlech umožňují doplnit zásady detekce anomálií pomocí požadavků specifických pro organizaci. Doporučujeme vytvářet zásady založené na pravidlech pomocí jedné z našich šablon zásad aktivit (přejděte na Řídicí>šablony a nastavte filtr typů na zásady aktivity) a pak je nakonfigurujete tak, aby detekovaly chování, která nejsou pro vaše prostředí normální. Například u některých organizací, které nemají žádnou přítomnost v konkrétní zemi nebo oblasti, může být vhodné vytvořit zásadu, která zjistí neobvyklé aktivity z dané země nebo oblasti a upozorní na ně. Pro ostatní, kteří mají velké pobočky v dané zemi nebo oblasti, by aktivity z této země/oblasti byly normální a nemělo by smysl takové aktivity detekovat.

  1. Ladění objemu aktivit
    Zvolte požadovaný objem aktivity, než detekce vyvolá výstrahu. V našem příkladu země/oblasti platí, že pokud v zemi nebo oblasti nemáte žádnou přítomnost, je důležitá i jedna aktivita a zaručuje výstrahu. Selhání jednotného přihlašování ale může být lidské chyby a zajímá ho jen v případě, že v krátké době dochází k mnoha selháním.
  2. Ladění filtrů aktivit
    Nastavte filtry, které potřebujete k rozpoznání typu aktivity, na kterou chcete upozorňovat. Pokud například chcete zjistit aktivitu ze země nebo oblasti, použijte parametr Location .
  3. Ladění upozornění
    Pokud chcete zabránit únavě výstrah, nastavte denní limit upozornění.

Fáze 5: Konfigurace upozornění

Poznámka:

Od 15. prosince 2022 se upozornění/SMS (textové zprávy) přestanou používat. Pokud chcete dostávat textová upozornění, měli byste použít Microsoft Power Automate pro vlastní automatizaci upozornění. Další informace najdete v tématu Integrace s Microsoft Power Automate pro vlastní automatizaci upozornění.

Můžete se rozhodnout dostávat upozornění ve formátu a médiu, které nejvíce vyhovuje vašim potřebám. Pokud chcete dostávat okamžitá upozornění kdykoliv v den, můžete je raději dostávat e-mailem.

Můžete také chtít, abyste mohli analyzovat výstrahy v kontextu jiných výstrah aktivovaných jinými produkty ve vaší organizaci, abyste získali ucelený pohled na potenciální hrozbu. Můžete například chtít korelovat mezi cloudovými a místními událostmi a zjistit, jestli existují nějaké další důkazy pro zmírnění rizik, které by mohly potvrdit útok.

Kromě toho můžete také aktivovat vlastní automatizaci upozornění pomocí naší integrace s Microsoft Power Automate. Playbook můžete například automaticky vytvořit v ServiceNow nebo odeslat schvalovací e-mail, který při aktivaci upozornění spustí vlastní akci zásad správného řízení.

Ke konfiguraci upozornění použijte následující pokyny:

  1. Poslat e-mail
    Tuto možnost zvolte, pokud chcete dostávat upozornění e-mailem.
  2. SIEM
    Existuje několik možností integrace SIEM, včetně Microsoft Sentinelu, Microsoft Graphu Rozhraní API pro zabezpečení a dalších obecných SIEM. Zvolte integraci, která nejlépe vyhovuje vašim požadavkům.
  3. Automatizace Power Automate
    Vytvořte playbooky automatizace, které potřebujete, a nastavte je jako upozornění zásady na akci Power Automate.

Fáze 6: Zkoumání a náprava

Skvělé, nastavili jste zásady a začali dostávat upozornění na podezřelou aktivitu. Co byste s nimi měli dělat? Pro začátek byste měli provést kroky k prozkoumání aktivity. Můžete se například podívat na aktivity, které značí, že došlo k ohrožení zabezpečení uživatele.

Pokud chcete optimalizovat ochranu, měli byste zvážit nastavení automatických nápravných akcí, abyste minimalizovali riziko pro vaši organizaci. Naše zásady umožňují používat akce zásad správného řízení ve spojení s upozorněními, aby se riziko pro vaši organizaci snížilo i předtím, než začnete zkoumat. Dostupné akce jsou určeny typem zásad, včetně akcí, jako je pozastavení uživatele nebo blokování přístupu k požadovanému prostředku.

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.

Další informace