Tutorial: Erkennen verdächtiger Benutzeraktivitäten mit Verhaltensanalysen (UEBA)
Microsoft Defender for Cloud Apps bietet erstklassige Erkennungen in der gesamten Angriffs-Kill Chain für kompromittierte Benutzer, Insider-Bedrohungen, Exfiltration, Ransomware und mehr. Unsere umfassende Lösung wird erreicht, indem mehrere Erkennungsmethoden kombiniert werden, einschließlich Anomalien, Verhaltensanalysen (UEBA) und regelbasierte Aktivitätserkennungen, um einen umfassenden Überblick darüber zu bieten, wie Ihre Benutzer Apps in Ihrer Umgebung verwenden.
Warum ist es also wichtig, verdächtiges Verhalten zu erkennen? Die Auswirkungen eines Benutzers, der Ihre Cloudumgebung ändern kann, kann erheblich sein und sich direkt auf Ihre Fähigkeit auswirken, Ihr Unternehmen zu führen. Für instance können wichtige Unternehmensressourcen wie die Server, auf denen Ihre öffentliche Website oder Der Dienst ausgeführt wird, den Sie für Kunden bereitstellen, gefährdet werden.
Mithilfe von Daten, die aus mehreren Quellen erfasst wurden, analysiert Defender for Cloud Apps die Daten, um App- und Benutzeraktivitäten in Ihrem organization extrahieren und Ihren Sicherheitsanalysten Einblick in die Cloudnutzung zu geben. Die gesammelten Daten sind korreliert, standardisiert und mit Threat Intelligence, Standort und vielen anderen Details angereichert, um eine genaue und konsistente Ansicht verdächtiger Aktivitäten zu bieten.
Um die Vorteile dieser Erkennungen vollständig zu nutzen, stellen Sie daher zunächst sicher, dass Sie die folgenden Quellen konfigurieren:
-
Aktivitätsprotokoll
Aktivitäten aus Ihren mit der API verbundenen Apps. -
Ermittlungsprotokoll
Aktivitäten, die aus Firewall- und Proxydatenverkehrsprotokollen extrahiert werden, die an Defender for Cloud Apps weitergeleitet werden. Die Protokolle werden anhand des Cloud-App-Katalogs analysiert, bewertet und basierend auf mehr als 90 Risikofaktoren bewertet. -
Proxyprotokoll
Aktivitäten von Apps für den bedingten Zugriff.
Als Nächstes sollten Sie Ihre Richtlinien optimieren. Die folgenden Richtlinien können optimiert werden, indem Filter, dynamische Schwellenwerte (UEBA) festgelegt werden, um ihre Erkennungsmodelle zu trainieren, und Unterdrückungen, um häufige falsch positive Erkennungen zu reduzieren:
- Anomalieerkennung
- Cloud Discovery-Anomalieerkennung
- Regelbasierte Aktivitätserkennung
In diesem Tutorial erfahren Sie, wie Sie erkennungen von Benutzeraktivitäten optimieren, um echte Kompromittierungen zu identifizieren und die Warnungsermüdung zu reduzieren, die sich aus der Behandlung großer Mengen falsch positiver Erkennungen ergibt:
Phase 1: Konfigurieren von IP-Adressbereichen
Vor dem Konfigurieren einzelner Richtlinien empfiehlt es sich, IP-Adressbereiche so zu konfigurieren, dass sie für die Optimierung von Richtlinien zur Erkennung verdächtiger Benutzeraktivitäten zur Verfügung stehen.
Da IP-Adressinformationen für fast alle Untersuchungen von entscheidender Bedeutung sind, hilft die Konfiguration bekannter IP-Adressen unseren Machine Learning-Algorithmen , bekannte Standorte zu identifizieren und als Teil der Machine Learning-Modelle zu berücksichtigen. Das Hinzufügen des IP-Adressbereichs Ihres VPN hilft dem Modell beispielsweise, diesen IP-Adressbereich ordnungsgemäß zu klassifizieren und automatisch von unmöglichen Reiseerkennungen auszuschließen, da der VPN-Standort nicht den tatsächlichen Standort dieses Benutzers darstellt.
Hinweis: Konfigurierte IP-Adressbereiche sind nicht auf Erkennungen beschränkt und werden in Defender for Cloud Apps in Bereichen wie Aktivitäten im Aktivitätsprotokoll, bedingter Zugriff usw. verwendet. Beachten Sie dies beim Konfigurieren der Bereiche. So können Sie beispielsweise durch die Identifizierung Ihrer physischen Büro-IP-Adressen die Art und Weise anpassen, wie Protokolle und Warnungen angezeigt und untersucht werden.
Überprüfen von sofort einsatzbereiten Anomalieerkennungswarnungen
Defender for Cloud Apps enthält eine Reihe von Warnungen zur Anomalieerkennung, um verschiedene Sicherheitsszenarien zu identifizieren. Diese Erkennungen werden automatisch sofort aktiviert und beginnen mit der Profilerstellung der Benutzeraktivität und generieren Warnungen, sobald die relevanten App-Connectors verbunden sind.
Machen Sie sich zunächst mit den verschiedenen Erkennungsrichtlinien vertraut, priorisieren Sie die wichtigsten Szenarien, die Ihrer Meinung nach für Ihre organization am relevantesten sind, und optimieren Sie die Richtlinien entsprechend.
Phase 2: Optimieren von Richtlinien für die Anomalieerkennung
In Defender for Cloud Apps sind mehrere integrierte Richtlinien zur Anomalieerkennung verfügbar, die für häufige Sicherheitsanwendungsfälle vorkonfiguriert sind. Sie sollten sich etwas Zeit nehmen, um sich mit den gängigeren Erkennungen vertraut zu machen, z. B.:
-
Unmöglicher Ortswechsel
Aktivitäten desselben Benutzers an unterschiedlichen Standorten innerhalb eines Zeitraums, der kürzer ist als die erwartete Reisezeit zwischen den beiden Standorten. -
Aktivität aus seltenen Ländern
Aktivität von einem Standort, der nicht kürzlich oder nie vom Benutzer besucht wurde. -
Schadsoftwareerkennung
Überprüft Dateien in Ihren Cloud-Apps und führt verdächtige Dateien über die Threat Intelligence-Engine von Microsoft aus, um zu ermitteln, ob sie mit bekannter Schadsoftware in Verbindung stehen. -
Ransomware-Aktivität
Dateien, die in die Cloud hochgeladen werden, die möglicherweise mit Ransomware infiziert sind. -
Aktivität von verdächtigen IP-Adressen
Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence als riskant identifiziert wurde. -
Verdächtige Posteingangsweiterleitung
Entdeckt verdächtige Posteingang-Weiterleitungsregeln im Posteingang eines Benutzers. -
Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien
Entdeckt Aktivitäten zum Herunterladen mehrere Dateien in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte. -
Ungewöhnliche administrative Aktivitäten
Entdeckt mehrfache administrative Aktivitäten in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte.
Eine vollständige Liste der Erkennungen und deren Funktionsweise finden Sie unter Richtlinien für die Anomalieerkennung.
Hinweis
Während sich einige der Anomalieerkennungen in erster Linie auf die Erkennung problematischer Sicherheitsszenarien konzentrieren, können andere bei der Identifizierung und Untersuchung von anomalen Benutzerverhalten helfen, die nicht unbedingt auf eine Gefährdung hindeuten. Für solche Erkennungen haben wir einen weiteren Datentyp namens "Behaviors" erstellt, der in der Microsoft Defender XDR erweiterten Hunting-Benutzeroberfläche verfügbar ist. Weitere Informationen finden Sie unter Verhalten.
Sobald Sie mit den Richtlinien vertraut sind, sollten Sie überlegen, wie Sie sie für die spezifischen Anforderungen Ihrer organization optimieren möchten, um Aktivitäten, die Sie ggf. weiter untersuchen möchten, besser zu erreichen.
Bereich von Richtlinien für bestimmte Benutzer oder Gruppen
Das Eingrenzen von Richtlinien auf bestimmte Benutzer kann dazu beitragen, das Rauschen von Warnungen zu reduzieren, die für Ihre organization nicht relevant sind. Jede Richtlinie kann so konfiguriert werden, dass bestimmte Benutzer und Gruppen eingeschlossen oder ausgeschlossen werden, z. B. in den folgenden Beispielen:
-
Angriffssimulationen
Viele Organisationen verwenden einen Benutzer oder eine Gruppe, um Angriffe ständig zu simulieren. Offensichtlich ist es nicht sinnvoll, ständig Warnungen von den Aktivitäten dieser Benutzer zu erhalten. Daher können Sie Ihre Richtlinien so konfigurieren, dass diese Benutzer oder Gruppen ausgeschlossen werden. Dies hilft den Machine Learning-Modellen auch, diese Benutzer zu identifizieren und ihre dynamischen Schwellenwerte entsprechend zu optimieren. -
Gezielte Erkennungen
Ihre organization ist möglicherweise daran interessiert, eine bestimmte Gruppe von VIP-Benutzern zu untersuchen, z. B. Mitglieder eines Administrators oder einer CXO-Gruppe. In diesem Szenario können Sie eine Richtlinie für die Aktivitäten erstellen, die Sie erkennen möchten, und auswählen, dass nur die Gruppe von Benutzern oder Gruppen einbezogen werden soll, die Sie interessieren.
-
Angriffssimulationen
Optimieren von anomalen Anmeldeerkennungen
Einige Organisationen möchten Warnungen anzeigen, die sich aus fehlgeschlagenen Anmeldeaktivitäten ergeben, da sie möglicherweise darauf hinweisen, dass jemand versucht, ein oder mehrere Benutzerkonten als Ziel zu verwenden. Auf der anderen Seite treten brute-force-Angriffe auf Benutzerkonten ständig in der Cloud auf, und Organisationen haben keine Möglichkeit, sie zu verhindern. Daher entscheiden sich größere Organisationen in der Regel, nur Warnungen für verdächtige Anmeldeaktivitäten zu erhalten, die zu erfolgreichen Anmeldeaktivitäten führen, da sie echte Kompromittierungen darstellen können.
Identitätsdiebstahl ist eine wichtige Kompromittierungsquelle und stellt einen wichtigen Bedrohungsvektor für Ihre organization dar. Unsere Warnungen zu unmöglichen Reisen, Aktivitäten von verdächtigen IP-Adressen und seltenen Landes-/Regionserkennungen helfen Ihnen, Aktivitäten zu erkennen, die darauf hindeuten, dass ein Konto potenziell kompromittiert ist.
Optimieren der Empfindlichkeit von unmöglichem ReisenKonfigurieren Sie den Empfindlichkeitsschieberegler , der den Grad der Unterdrückungen bestimmt, die auf anomales Verhalten angewendet werden, bevor eine Warnung zur unmöglichen Reise ausgelöst wird. Beispielsweise sollten Organisationen, die an hoher Genauigkeit interessiert sind, die Empfindlichkeitsstufe erhöhen. Wenn Ihre organization jedoch viele Benutzer hat, die reisen, sollten Sie erwägen, die Empfindlichkeitsstufe zu senken, um Aktivitäten von den gemeinsamen Speicherorten eines Benutzers zu unterdrücken, die aus vorherigen Aktivitäten gelernt wurden. Sie können aus den folgenden Vertraulichkeitsstufen wählen:
- Niedrig: System-, Mandanten- und Benutzerunterdrückungen
- Mittel: System- und Benutzerunterdrückungen
- Hoch: Nur Systemunterdrückungen
Dabei gilt:
Unterdrückungstyp Description System Eingebaute Entdeckungen, die immer unterdrückt werden. Mandant Häufige Aktivitäten, die auf der früheren Aktivität des Mandanten basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem ISP, für die zuvor in Ihrem organization eine Warnung ausgelöst wurde. Benutzer Häufige Aktivitäten, die auf der früheren Aktivität des bestimmten Benutzers basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem Speicherort, der häufig vom Benutzer verwendet wird.
Phase 3: Optimieren von Richtlinien zur Erkennung von Anomalien in der Cloudermittlung
Wie bei den Richtlinien für die Anomalieerkennung gibt es mehrere integrierte Cloud Discovery-Richtlinien zur Anomalieerkennung , die Sie optimieren können. Die Richtlinie Datenexfiltration in nicht sanktionierte Apps warnt Sie beispielsweise, wenn Daten in eine nicht sanktionierte App exfiltriert werden. Außerdem sind einstellungen basierend auf der Microsoft-Erfahrung im Sicherheitsbereich vorkonfiguriert.
Sie können jedoch die integrierten Richtlinien optimieren oder eigene Richtlinien erstellen, um andere Szenarien zu identifizieren, die Sie möglicherweise untersuchen möchten. Da diese Richtlinien auf Cloud Discovery-Protokollen basieren, verfügen sie über verschiedene Optimierungsfunktionen , die sich stärker auf anomales App-Verhalten und Datenexfiltration konzentrieren.
Optimieren der Nutzungsüberwachung
Legen Sie die Verwendungsfilter fest, um die Baseline, den Bereich und den Aktivitätszeitraum für die Erkennung anomales Verhalten zu steuern. Sie können z. B. Warnungen für anomale Aktivitäten im Zusammenhang mit Mitarbeitern auf Leitender Ebene erhalten.Optimieren der Warnungsempfindlichkeit
Konfigurieren Sie die Vertraulichkeit von Warnungen, um die Ermüdung von Warnungen zu verhindern. Sie können den Vertraulichkeitsschieberegler verwenden, um die Anzahl von Warnungen mit hohem Risiko zu steuern, die pro 1.000 Benutzer pro Woche gesendet werden. Höhere Empfindlichkeiten erfordern eine geringere Varianz, um als Anomalie betrachtet zu werden und mehr Warnungen zu generieren. Legen Sie im Allgemeinen eine niedrige Vertraulichkeit für Benutzer fest, die keinen Zugriff auf vertrauliche Daten haben.
Phase 4: Optimieren von Richtlinien für die regelbasierte Erkennung (Aktivität)
Regelbasierte Erkennungsrichtlinien bieten Ihnen die Möglichkeit, Richtlinien zur Anomalieerkennung mit organization spezifischen Anforderungen zu ergänzen. Es wird empfohlen, regelbasierte Richtlinien mithilfe einer unserer Aktivitätsrichtlinienvorlagen zu erstellen (wechseln Sie zu Steuerelementvorlagen>, und legen Sie den Typfilter auf Aktivitätsrichtlinie fest), und konfigurieren Sie sie dann, um Verhaltensweisen zu erkennen, die für Ihre Umgebung nicht normal sind. Für einige organization, die in einem bestimmten Land/einer bestimmten Region nicht vorhanden sind, kann es z. B. sinnvoll sein, eine Richtlinie zu erstellen, die anomale Aktivitäten aus diesem Land/dieser Region erkennt und entsprechende Warnungen enthält. Für andere, die über große Niederlassungen in diesem Land/dieser Region verfügen, wären Aktivitäten aus diesem Land/dieser Region normal, und es wäre nicht sinnvoll, solche Aktivitäten zu erkennen.
-
Optimieren des Aktivitätsvolumens
Wählen Sie das erforderliche Aktivitätsvolumen aus, bevor die Erkennung eine Warnung auslöst. Wenn Sie in unserem Beispiel für Land/Region keine Anwesenheit in einem Land/einer Region haben, ist selbst eine einzelne Aktivität von Bedeutung und erfordert eine Warnung. Ein Fehler bei der einmaligen Anmeldung kann jedoch ein menschlicher Fehler sein und nur dann von Interesse sein, wenn es innerhalb kurzer Zeit viele Fehler gibt. -
Optimieren von Aktivitätsfiltern
Legen Sie die Filter fest, die Sie benötigen, um den Typ der Aktivität zu erkennen, für die Sie warnungen möchten. Um beispielsweise Aktivitäten aus einem Land/einer Region zu erkennen, verwenden Sie den Parameter Location . -
Optimieren von Warnungen
Legen Sie den Grenzwert für tägliche Warnungen fest, um die Ermüdung von Warnungen zu verhindern.
Phase 5: Konfigurieren von Warnungen
Hinweis
Seit dem 15. Dezember 2022 sind Warnungen/SMS (SMS) veraltet. Wenn Sie Textwarnungen erhalten möchten, sollten Sie Microsoft Power Automate für die benutzerdefinierte Warnungsautomatisierung verwenden. Weitere Informationen finden Sie unter Integrieren in Microsoft Power Automate für die automatisierung von benutzerdefinierten Warnungen.
Sie können auswählen, ob Sie Warnungen in dem Format und Medium erhalten möchten, das Ihren Anforderungen am besten entspricht. Um zu jeder Tageszeit sofortige Benachrichtigungen zu erhalten, sollten Sie es vorziehen, diese per E-Mail zu erhalten.
Möglicherweise möchten Sie auch die Möglichkeit haben, Warnungen im Kontext anderer Warnungen zu analysieren, die von anderen Produkten in Ihrem organization ausgelöst werden, um Ihnen einen ganzheitlichen Überblick über eine potenzielle Bedrohung zu geben. Sie können z. B. zwischen cloudbasierten und lokalen Ereignissen korrelieren, um festzustellen, ob es andere mildernde Beweise gibt, die einen Angriff bestätigen könnten.
Darüber hinaus können Sie mithilfe unserer Integration in Microsoft Power Automate auch eine benutzerdefinierte Warnungsautomatisierung auslösen. Sie können beispielsweise ein Playbook einrichten, um automatisch ein Problem in ServiceNow zu erstellen oder eine Genehmigungs-E-Mail zu senden, um eine benutzerdefinierte Governanceaktion auszuführen, wenn eine Warnung ausgelöst wird.
Verwenden Sie die folgenden Richtlinien, um Ihre Warnungen zu konfigurieren:
-
E-Mail
Wählen Sie diese Option aus, um Benachrichtigungen per E-Mail zu erhalten. -
SIEM
Es gibt mehrere SIEM-Integrationsoptionen, z. B. Microsoft Sentinel, Microsoft Graph Sicherheits-API und andere generische SIEMs. Wählen Sie die Integration aus, die Ihren Anforderungen am besten entspricht. -
Power Automate-Automatisierung
Erstellen Sie die benötigten Automatisierungs-Playbooks, und legen Sie sie als Warnung der Richtlinie auf Power Automate-Aktion fest.
Phase 6: Untersuchen und Korrigieren
Großartig, Sie haben Ihre Richtlinien eingerichtet und erhalten Warnungen zu verdächtigen Aktivitäten. Was sollten Sie dagegen tun? Zunächst sollten Sie Schritte ausführen, um die Aktivität zu untersuchen. Beispielsweise können Sie aktivitäten untersuchen, die darauf hinweisen, dass ein Benutzer kompromittiert wurde.
Um Ihren Schutz zu optimieren, sollten Sie automatische Korrekturaktionen einrichten, um das Risiko für Ihre organization zu minimieren. Mit unseren Richtlinien können Sie Governanceaktionen in Verbindung mit den Warnungen anwenden, sodass das Risiko für Ihre organization reduziert wird, bevor Sie mit der Untersuchung beginnen. Verfügbare Aktionen werden durch den Richtlinientyp bestimmt, einschließlich Aktionen wie das Anhalten eines Benutzers oder das Blockieren des Zugriffs auf die angeforderte Ressource.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.
Weitere Informationen
- Testen Sie unseren interaktiven Leitfaden: Erkennen von Bedrohungen und Verwalten von Warnungen mit Microsoft Defender for Cloud Apps