Tutorial: Erkennen von verdächtigen Benutzeraktivitäten mit UEBA

Microsoft Defender for Cloud Apps bietet erstklassige Erkennungen in der gesamten Angriffs-Killchain für kompromittierte Benutzer, Insider-Bedrohungen, Exfiltration, Ransomware und vieles mehr. Unsere umfassende Lösung wird erreicht, indem mehrere Erkennungsmethoden wie Anomalie, Verhaltensanalysen (UEBA) und regelbasierte Aktivitätserkennungen kombiniert werden, um eine umfassende Übersicht darüber zu bieten, wie Ihre Benutzer Apps in Ihrer Umgebung verwenden.

Warum ist es also wichtig, verdächtiges Verhalten zu erkennen? Die Auswirkungen eines Benutzers, der Ihre Cloudumgebung ändern kann, kann erheblich sein und sich direkt auf Ihre Fähigkeit zum Ausführen Ihres Unternehmens auswirken. Beispielsweise können wichtige Unternehmensressourcen wie die Server, die Ihre öffentliche Website oder Ihren Dienst für Kunden bereitstellen, kompromittiert werden.

Mit Daten, die aus mehreren Quellen erfasst werden, analysiert Defender for Cloud Apps die Daten, um App- und Benutzeraktivitäten in Ihrer Organisation zu extrahieren, wodurch Ihre Sicherheitsanalysten Einblick in die Cloudnutzung erhalten. Die gesammelten Daten werden korreliert, standardisierte und mit Bedrohungserkennung, Standort und vielen anderen Details ergänzt, um eine genaue, konsistente Ansicht verdächtiger Aktivitäten bereitzustellen.

Um die Vorteile dieser Erkennungen vollständig zu erkennen, stellen Sie zunächst sicher, dass Sie die folgenden Quellen konfigurieren:

• Aktivitätsprotokoll
  Aktivitäten aus ihren mit der API verbundenen Apps.
• Ermittlungsprotokoll
  Aktivitäten, die aus Firewall- und Proxydatenverkehrsprotokollen extrahiert wurden, die an Defender for Cloud Apps weitergeleitet werden. Die Protokolle werden anhand von mehr als 90 Risikofaktoren anhand des Cloud-App-Katalogs analysiert, bewertet und bewertet.
• Proxyprotokolle
  Aktivitäten aus Ihren Apps für die App-Steuerung für bedingten Zugriff.

Als Nächstes möchten Sie Ihre Richtlinien optimieren. Die folgenden Richtlinien können durch Festlegen von Filtern, dynamischen Schwellenwerten (UEBA) optimiert werden, um ihre Erkennungsmodelle zu trainieren, und Unterdrückungen, um häufige falsch positive Erkennungen zu reduzieren:

• Anomalieerkennung
• Anomalieerkennung durch Cloud Discovery
• Regelbasierte Aktivitätserkennung

In diesem Lernprogramm erfahren Sie, wie Sie Die Erkennung von Benutzeraktivitäten optimieren, um echte Kompromisse zu erkennen und die Ermüdung von Warnungen zu reduzieren, die sich aus der Behandlung großer Mengen falsch positiver Erkennungen ergeben:

• IP-Adressbereiche konfigurieren
• Optimieren der Richtlinien zur Anomalieerkennung
• Richtlinien zur Anomalieerkennung von Cloud Discovery
• Optimieren regelbasierter Erkennungsrichtlinien
• Warnungen konfigurieren
• Untersuchen und Korrigieren

Phase 1: Konfigurieren Sie IP-Adressbereiche

Bevor Sie einzelne Richtlinien konfigurieren, empfiehlt es sich, IP-Bereiche so zu konfigurieren, dass sie zur Feinabstimmung aller Arten verdächtiger Benutzeraktivitätserkennungsrichtlinien verfügbar sind.

Da IP-Adressinformationen für fast alle Untersuchungen von entscheidender Bedeutung sind, hilft die Konfiguration bekannter IP-Adressen unseren Machine Learning-Algorithmen, bekannte Standorte zu identifizieren und als Teil der Machine Learning-Modelle zu betrachten. Wenn Sie beispielsweise den IP-Adressbereich Ihres VPN hinzufügen, hilft das Modell, diesen IP-Bereich korrekt zu klassifizieren und automatisch von unmöglichen Reiseerkennungen auszuschließen, da der VPN-Standort nicht den tatsächlichen Standort dieses Benutzers darstellt.

Hinweis: Konfigurierte IP-Bereiche sind nicht auf Erkennungen beschränkt und werden in Defender for Cloud Apps in Bereichen wie Aktivitäten im Aktivitätsprotokoll, bedingter Zugriff usw. verwendet. Beachten Sie dies beim Konfigurieren der Bereiche. Wenn Sie beispielsweise Ihre physischen Büro-IP-Adressen identifizieren, können Sie die Art und Weise anpassen, wie Protokolle und Warnungen angezeigt und untersucht werden.

Überprüfen von sofort einsatzbereiten Anomalieerkennungswarnungen

Defender for Cloud Apps enthält eine Reihe von Anomalieerkennungswarnungen, um verschiedene Sicherheitsszenarien zu identifizieren. Diese Erkennungen werden automatisch sofort aktiviert und beginnen mit der Profilbenutzeraktivität und generieren Warnungen, sobald die relevanten App-Connectors verbunden sind.

Machen Sie sich mit den verschiedenen Erkennungsrichtlinien vertraut, priorisieren Sie die wichtigsten Szenarien, die Sie für Ihre Organisation am relevantesten halten, und optimieren Sie die Richtlinien entsprechend.

Phase 2: Optimieren der Richtlinien zur Anomalieerkennung

Mehrere integrierte Anomalieerkennungsrichtlinien sind in Defender for Cloud Apps verfügbar, die für häufige Sicherheitsanwendungsfälle vorkonfiguriert sind. Sie sollten einige Zeit in Anspruch nehmen, um sich mit den populäreren Erkennungen vertraut zu machen, z. B.:

• Unmöglicher Ortswechsel
  Aktivitäten von demselben Benutzer an unterschiedlichen Standorten innerhalb eines Zeitraums, der kürzer als die erwartete Reisezeit zwischen den beiden Standorten ist.
• Aktivität aus selten verwendetem Land
  Es wurde eine Aktivität über einen Standort ausgeführt, der schon länger nicht mehr oder noch nie von einem Benutzer in der Organisation verwendet wurde.
• Schadsoftwareerkennung
  Überprüft Dateien in Ihren Cloud-Apps und führt verdächtige Dateien über das Threat Intelligence-Modul von Microsoft aus, um festzustellen, ob sie mit bekannter Schadsoftware verknüpft sind.
• Ransomware-Aktivität
  Warnung, wenn ein Benutzer Dateien in die Cloud hochlädt, die möglicherweise infiziert sind.
• Aktivität von verdächtigen IP-Adressen
  Sie erkennt, wenn Benutzer Aktivitäten von einer IP-Adresse aus durchführen, die von Microsoft Threat Intelligence als riskant eingestuft wurde.
• Verdächtige Weiterleitung des Posteingangs
  Erkennt verdächtige Regeln für die Posteingangsweiterleitung, die für den Posteingang eines Benutzers festgelegt sind.
• Ungewöhnliche mehrfache Dateidownloads
  Diese Richtlinien suchen in einer einzelnen Sitzung nach Aktivitäten in Bezug auf die gelernte Baseline, die auf eine versuchte Sicherheitsverletzung hinweisen können.
• Ungewöhnliche Administratoraktivitäten
  Diese Richtlinien suchen in einer einzelnen Sitzung nach Aktivitäten in Bezug auf die gelernte Baseline, die auf eine versuchte Sicherheitsverletzung hinweisen können.

Eine vollständige Liste der Erkennungen und deren Aufgaben finden Sie unter Anomalieerkennungsrichtlinien.

Hinweis

Während einige der Anomalieerkennungen in erster Linie auf die Erkennung problematischer Sicherheitsszenarien konzentriert sind, können andere bei der Identifizierung und Untersuchung von anomalen Benutzerverhaltens helfen, die möglicherweise nicht notwendigerweise auf eine Kompromittierung hinweisen. Für solche Erkennungen haben wir einen anderen Datentyp namens „Verhaltensweisen“ erstellt, der in der erweiterten Bedrohungssuche von Microsoft Defender XDR verfügbar ist. Weitere Informationen finden Sie unter Verhaltensweisen.

Sobald Sie mit den Richtlinien vertraut sind, sollten Sie überlegen, wie Sie sie für die spezifischen Anforderungen Ihrer Organisation optimieren möchten, um Aktivitäten besser zu adressieren, die Sie möglicherweise weiter untersuchen möchten.

1. Bereichsrichtlinien für bestimmte Benutzer oder Gruppen

   Die Bereichsdefinition von Richtlinien für bestimmte Benutzer kann dazu beitragen, Rauschen von Warnungen zu reduzieren, die für Ihre Organisation nicht relevant sind. Jede Richtlinie kann so konfiguriert werden, dass bestimmte Benutzer und Gruppen eingeschlossen oder ausgeschlossen werden, z. B. in den folgenden Beispielen:

   • · Angriffssimulator
     Viele Organisationen verwenden einen Benutzer oder eine Gruppe, um Angriffe ständig zu simulieren. Offensichtlich ist es nicht sinnvoll, ständig Benachrichtigungen über die Aktivitäten dieser Benutzer zu erhalten. Daher können Sie Ihre Richtlinien so konfigurieren, dass diese Benutzer oder Gruppen ausgeschlossen werden. Dies hilft auch den Machine Learning-Modellen, diese Benutzer zu identifizieren und ihre dynamischen Schwellenwerte entsprechend zu optimieren.
   • Gezielte Erkennungen
     Möglicherweise ist Ihre Organisation daran interessiert, eine bestimmte Gruppe von VIP-Benutzern zu untersuchen, z. B. Mitglieder eines Administrators oder einer CXO-Gruppe. In diesem Szenario können Sie eine Richtlinie für die Aktivitäten erstellen, die Sie erkennen möchten, und auswählen, dass nur die Gruppe von Benutzern oder Gruppen einbezogen werden soll, die Sie interessieren.

2. Erkennung anomaler Anmeldungen

   Einige Organisationen möchten Warnungen sehen, die sich aus fehlgeschlagenen Anmeldeaktivitäten ergeben, da sie möglicherweise darauf hinweisen, dass jemand versucht, auf ein oder mehrere Benutzerkonten zu abzielen. Andererseits treten Brute-Force-Angriffe auf Benutzerkonten immer in der Cloud auf, und Organisationen haben keine Möglichkeit, sie zu verhindern. Daher entscheiden sich größere Organisationen in der Regel, nur Benachrichtigungen für verdächtige Anmeldeaktivitäten zu erhalten, die zu erfolgreichen Anmeldeaktivitäten führen, da sie echte Kompromisse darstellen können.

   Identitätsdiebstahl ist eine wichtige Quelle für Kompromittierung und stellt einen großen Bedrohungsvektor für Ihre Organisation dar. Unsere unmögliche Reise, Aktivität von verdächtigen IP-Adressen und seltenen Warnungen bei der Erkennung von Ländern/Regionen helfen Ihnen, Aktivitäten zu erkennen, die vorschlagen, dass ein Konto potenziell kompromittiert wird.

3. Optimieren der Empfindlichkeit der unmöglichen ReiseKonfigurieren Sie den Vertraulichkeitsschieberegler, der die Ebene der Unterdrückung bestimmt, die auf anomales Verhalten angewendet wird, bevor eine unmögliche Reisewarnung ausgelöst wird. Organisationen, die an hoher Genauigkeit interessiert sind, sollten beispielsweise die Erhöhung der Vertraulichkeitsstufe in Betracht ziehen. Wenn Ihre Organisation jedoch viele Benutzer hat, die reisen, erwägen Sie, die Vertraulichkeitsstufe zu verringern, um Aktivitäten aus den allgemeinen Speicherorten eines Benutzers zu unterdrücken, die aus früheren Aktivitäten gelernt wurden. Folgenden Ebenen stehen zur Auswahl:

   • Niedrig: System-, Mandanten- und Benutzerunterdrückungen
   • Mittel: System- und Benutzerunterdrückungen
   • Hoch: Nur Systemunterdrückungen

   Hierbei gilt:

   Unterdrückungsdatei	Beschreibung
   System	Integrierte Erkennungen, die immer unterdrückt werden.
   Mandant	Allgemeine Aktivitäten basierend auf früheren Aktivitäten im Mandanten. So wird z. B. das Unterdrücken von Aktivitäten von einem ISP, die zuvor in Ihrer Organisation benachrichtigt wurden, unterdrückt.
   Benutzer	Allgemeine Aktivitäten basierend auf früheren Aktivitäten des bestimmten Benutzers. So unterdrücken Sie z. B. Aktivitäten von einem Speicherort, der häufig vom Benutzer verwendet wird.

Phase 3: Optimieren der Richtlinien zur Anomalieerkennung von Cloud Discovery

Wie bei den Anomalieerkennungsrichtlinien gibt es mehrere integrierte Anomalieerkennungsrichtlinien für die Cloudermittlung, die Sie optimieren können. Die Datenexfiltration an nicht genehmigte Apps warnt Sie beispielsweise, wenn Daten in eine nicht genehmigte App exfiltriert werden und mit Einstellungen basierend auf der Microsoft-Erfahrung im Sicherheitsfeld vorkonfiguriert werden.

Sie können jedoch die integrierten Richtlinien optimieren oder eigene Richtlinien erstellen, um Sie bei der Identifizierung anderer Szenarien zu unterstützen, die Sie möglicherweise untersuchen möchten. Da diese Richtlinien auf Cloud Discovery-Protokollen basieren, haben sie unterschiedliche Optimierungsfunktionen , die sich stärker auf anomales App-Verhalten und Datenexfiltration konzentrieren.

1. Optimieren der Nutzungsüberwachung
   Legen Sie die Verwendungsfilter fest, um den Basisplan, den Umfang und den Aktivitätszeitraum für die Erkennung eines anomalen Verhaltens zu steuern. Sie können z. B. Benachrichtigungen zu anomalen Aktivitäten in Bezug auf Mitarbeiter auf Führungskräfteebene erhalten.

2. Optimieren der Benachrichtigungsempfindlichkeit
   Um die Ermüdung von Warnungen zu verhindern, konfigurieren Sie die Vertraulichkeit von Warnungen. Sie können den Schieberegler für Vertraulichkeit verwenden, um die Anzahl der Warnungen mit hohem Risiko zu steuern, die pro 1.000 Benutzer pro Woche gesendet wurden. Höhere Empfindlichkeiten erfordern weniger Varianz, um als Anomalie betrachtet zu werden und mehr Warnungen zu generieren. Legen Sie im Allgemeinen eine niedrige Vertraulichkeit für Benutzer fest, die keinen Zugriff auf vertrauliche Daten haben.

Phase 4: Optimieren regelbasierter Erkennungsrichtlinien (Aktivitätsrichtlinien)

Regelbasierte Erkennungsrichtlinien bieten Ihnen die Möglichkeit, Anomalieerkennungsrichtlinien mit organisationsspezifischen Anforderungen zu ergänzen. Es wird empfohlen, regelbasierte Richtlinien mithilfe einer unserer Aktivitätsrichtlinienvorlagen zu erstellen (wechseln Sie zu Steuerung>Vorlagen, und legen Sie den FilterTyp auf Aktivitätsrichtlinie fest), und konfigurieren Sie sie dann, um Verhaltensweisen zu erkennen, die für Ihre Umgebung nicht normal sind. Für eine Organisation, die in einem bestimmten Land/einer bestimmten Region nicht vorhanden ist, kann es sinnvoll sein, eine Richtlinie zu erstellen, mit der die anomalien Aktivitäten aus diesem Land/dieser Region erkannt und darüber benachrichtigt werden. Für andere, die große Filialen in diesem Land/dieser Region haben, sind Aktivitäten aus diesem Land/dieser Region normal und es wäre nicht sinnvoll, solche Aktivitäten zu erkennen.

1. Optimieren des Aktivitätsvolumens
   Wählen Sie das erforderliche Aktivitätsvolumen aus, bevor die Erkennung eine Warnung auslöst. Wenn Sie in unserem Land/unserer Region beispielsweise keine Anwesenheit in einem Land/einer Region haben, ist selbst eine einzelne Aktivität von Bedeutung und garantiert eine Warnung. Ein einmaliger Anmeldefehler kann jedoch ein menschlicher Fehler sein und nur dann von Interesse sein, wenn es in kurzer Zeit viele Fehler gibt.
2. Optimieren von Aktivitätsfiltern
   Legen Sie die Filter fest, die Sie benötigen, um den Typ der Aktivität zu erkennen, die Sie benachrichtigen möchten. Um beispielsweise Aktivitäten aus einem Land/einer Region zu erkennen, verwenden Sie den Parameter Standort.
3. Optimieren von Warnungen
   Um Warnungsermüdung zu verhindern, legen Sie den täglichen Warngrenzwert fest.

Phase 5: Konfigurieren von Warnungen

Hinweis

Seit dem 15. Dezember 2022 sind die Warnungen/SMS (Textnachrichten) veraltet. Wenn Sie Textbenachrichtigungen erhalten möchten, sollten Sie Microsoft Power Automate für die benutzerdefinierte Benachrichtigungsautomatisierung verwenden. Weitere Informationen finden Sie unter Integration in Microsoft Power Automate für die benutzerdefinierte Warnungsautomatisierung.

Sie können sich entscheiden, Benachrichtigungen im Format und Medium zu erhalten, das ihren Anforderungen am meisten entspricht. Um sofortige Benachrichtigungen zu einem beliebigen Zeitpunkt des Tages zu erhalten, können Sie sie per E-Mail empfangen.

Sie können auch die Möglichkeit haben, Warnungen im Kontext anderer Warnungen zu analysieren, die von anderen Produkten in Ihrer Organisation ausgelöst werden, um Ihnen einen ganzheitlichen Überblick über eine potenzielle Bedrohung zu geben. Sie können z. B. zwischen cloudbasierten und lokalen Ereignissen korrelieren, um festzustellen, ob andere mildernde Nachweise vorhanden sind, die einen Angriff bestätigen können.

Darüber hinaus können Sie mithilfe unserer Integration mit Microsoft Power Automate auch eine benutzerdefinierte Warnungsautomatisierung auslösen. Sie können z. B. ein Playbook automatisch einrichten, um ein Problem in ServiceNow zu erstellen oder eine Genehmigungs-E-Mail zu senden, um eine benutzerdefinierte Governanceaktion auszuführen, wenn eine Warnung ausgelöst wird.

Beachten Sie beim Installieren und Konfigurieren der Bereitstellung die folgenden Richtlinien:

1. E-Mail
   Wählen Sie diese Option aus, um Benachrichtigungen per E-Mail zu erhalten.
2. SIEM
   Es gibt mehrere SIEM-Integrationsoptionen, darunter Microsoft Sentinel, Microsoft Graph Sicherheits-API und andere generische SIEMs. Wählen Sie den Mechanismus aus, der Ihre Anforderungen am besten erfüllt.
3. Power Automate-Automatisierung
   Erstellen Sie die benötigten Automatisierungs-Playbooks, und legen Sie sie als Warnung der Richtlinie auf Power Automate-Aktion fest.

Phase 6: Untersuchen und Korrigieren

Großartig, Sie haben Ihre Richtlinien eingerichtet und beginnen, verdächtige Aktivitätswarnungen zu erhalten. Wie sollten Sie vorgehen? Zunächst sollten Sie Schritte ausführen, um die Aktivität zu untersuchen. Sie können beispielsweise Aktivitäten untersuchen, die darauf hinweisen, dass ein Benutzer kompromittiert wurde.

Um Ihren Schutz zu optimieren, sollten Sie erwägen, automatische Wartungsaktionen einzurichten, um das Risiko für Ihre Organisation zu minimieren. Mit unseren Richtlinien können Sie Governanceaktionen in Verbindung mit den Warnungen anwenden, damit das Risiko für Ihre Organisation reduziert wird, bevor Sie mit der Untersuchung beginnen. Verfügbare Aktionen werden durch den Richtlinientyp bestimmt, einschließlich Aktionen wie das Anhalten eines Benutzers oder das Blockieren des Zugriffs auf die angeforderte Ressource.

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.

Weitere Informationen

• Probieren Sie unseren Interaktiver Leitfaden: Erkennen von Bedrohungen und Verwalten von Warnungen mit Microsoft Defender for Cloud Apps