ערכת לימוד: זיהוי פעילות משתמש חשודה באמצעות ניתוח התנהגותי (UEBA)

יישומי ענן של Microsoft Defender כולל זיהויים עבור משתמשים שנחשף לסכנה, איומים של משתתפי Insider, סינון נתונים ופעילות תוכנת כופר. השירות משתמש בזיהוי חריגות, בניתוח התנהגות של משתמשים וישויות (UEBA) ובזיהוי פעילות מבוססת כללים כדי לנתח את פעילות המשתמשים באפליקציות מחוברות.

שינויים לא מורשים או בלתי צפויים בסביבה בענן יכולים להציג סיכוני אבטחה ותפעול. לדוגמה, שינויים במשאבי חברה עיקריים, כגון השרתים שבהם פועל אתר האינטרנט הציבורי או השירות שאתה מספק ללקוחות, עשויים להיחשף לסכנה.

יישומי ענן של Defender לוכד ומנתח נתונים מכמה מקורות כדי לזהות פעילויות של אפליקציות ומשתמשים בארגון שלך. ניתוח זה מעניק לאנליסטים האבטחה שלך את הניראות של שימוש בענן. הנתונים שנאספו תואמים, סטנדרטיים ומעשירים בבינה לאיומים ובפרטי מיקום, כדי לספק תצוגה מדויקת ועקבית של פעילויות חשודות.

לפני כוונון הזיהוי, קבע את תצורת מקורות הנתונים הבאים:

Source	תיאור
יומן פעילות	פעילויות מהאפליקציות המחוברות ל- API שלך.
יומן גילוי	פעילויות שחולצו מחומת האש ומ יומן תעבורת ה- Proxy שאתה מעביר יישומי ענן של Defender. יומני הרישום מנתחים את קטלוג היישומים בענן, המדורגים ומציונים בהתבסס על יותר מ- 90 גורמי סיכון.
יומן רישום של Proxy	פעילויות מאפליקציות בקרת האפליקציות שלך לגישה מותנית.

כוונן את פריטי המדיניות הבאים על-ידי הגדרת מסננים ותספי סף דינאמיים (UEBA) כדי להכשיר את מודלי הזיהוי שלהם. באפשרותך גם להגדיר דיכויים כדי לצמצם זיהויים חיוביים מוטעים נפוצים:

• זיהוי חריגות
• זיהוי חריגות בגילוי ענן
• זיהוי פעילות מבוססת כלל

למד כיצד לכוונן זיהויי פעילות משתמשים כדי לזהות סיכונים אמיתיים ולהפחית התראות מיותרות כתוצאה מכמויות גדולות של זיהויים חיוביים מוטעים:

• קביעת תצורה של טווחי כתובות IP
• כוונון מדיניות זיהוי חריגות
• כוונון מדיניות זיהוי חריגות של גילוי ענן
• כוונון מדיניות זיהוי מבוססת כללים
• קביעת תצורה של התראות
• לחקור ולבצע תיקון

שלב 1: קביעת תצורה של טווחי כתובות IP

• הגדר טווחי IP כדי לכוונן כל סוג של מדיניות זיהוי פעילות חשודה של משתמשים.

הגדרת כתובות IP מוכרות עוזרת לאלגוריתמים של למידת מכונה לזהות מיקומים ידועים ולשקול אותם כחלק מהמודלים של למידת המכונה. לדוגמה, הוספת טווח כתובות ה- IP של ה- VPN עוזרת למודל לסווג כראוי טווח IP זה ולהוצאתו באופן אוטומטי מזיהוי בלתי אפשרי של נסיעות מכיוון שמיקום ה- VPN אינו מייצג את המיקום האמיתי של משתמש זה.

הערה

יישומי ענן של Defender משתמש בטווחי IP ברחבי השירות, לא רק לזיהויים. טווחי IP משמשים ביומן הפעילות, בגישה מותנית ועוד. לדוגמה, זיהוי כתובות ה- IP הפיזיות של Office מאפשר לך להתאים אישית את האופן שבו אתה מציג וחקור יומני רישום והתראות.

סקירת התראות זיהוי חריגות

יישומי ענן של Defender כולל ערכה של התראות זיהוי חריגות לזיהוי תרחישי אבטחה שונים. הם מתחילים ליצור פעילות משתמש בפרופיל וליצור התראות ברגע שאתה מחבר את מחברי היישומים הרלוונטיים.

התחל בהתמצאות במדיניות הזיהוי השונה. קבע את סדרי העדיפויות של התרחישים המובילים שללדעתך רלוונטיים ביותר עבור הארגון שלך, ובצע כוונון בהתאם למדיניות.

שלב 2: כוונון מדיניות זיהוי חריגות

יישומי ענן של Defender כולל כמה פריטי מדיניות מוכללים לזיהוי חריגות המוגדרים מראש עבור מקרי שימוש נפוצים באבטחה. זיהויים פופולריים כוללים:

זיהוי	תיאור
נסיעה בלתי אפשרית	פעילויות מאותו משתמש במיקומים שונים בתוך תקופה קצרה יותר מהתקופה הצפויה של זמן נסיעה בין שני המיקומים.
פעילות ממדינה נדירה	פעילות ממיקום שהמשתמש לא ביקר בו לאחרונה או מעולם לא ביקר בו.
זיהוי תוכנות זדוניות	סריקת קבצים באפליקציות הענן שלך והפעלת קבצים חשודים באמצעות מנוע הבינה האיומים של Microsoft כדי לבדוק אם הם משויכים לתוכנות זדוניות מוכרות.
פעילות תוכנת כופר	קבצים מועלים לענן שעלולים להידבק בתוכנות כופר.
פעילות מכתובות IP חשודות	פעילות מכתובת IP שבינת האיומים של Microsoft זיהתה כסיכון.
העברת תיבת דואר נכנס חשודה	מזהה כללי העברה חשודים של תיבת דואר נכנס המוגדרים בתיבת הדואר הנכנס של משתמש.
פעילויות חריגות של הורדת קבצים מרובים	מזהה פעילויות מרובות להורדת קבצים בהפעלה אחת ביחס לבסיס הבסיסי שלמדת, מה שיכול להצביע על הפרה של ניסיון.
פעילויות ניהוליות חריגות	מזהה פעילויות ניהול מרובות בהפעלה אחת ביחס לבסיס השורה שלמדת, מה שיכול להצביע על הפרה של ניסיון.

הערה

זיהוי חריגות מסוימים מתמקד בזיהוי תרחישי אבטחה בעייתיים, בעוד שאחרים עוזרים לזהות ולחקור התנהגות משתמש חריגה שעשויה לא בהכרח להצביע על פשרה. עבור זיהויים כאלה, באפשרותך להשתמש אופני פעולה הזמינים בחוויה Microsoft Defender XDR מתקדמת.

1. פריטי מדיניות של טווחים למשתמשים או קבוצות ספציפיים

   הגדרת טווח של פריטי מדיניות למשתמשים ספציפיים יכולה לסייע בהפחתת הרעש מהתראות שאינן רלוונטיות לארגון שלך. באפשרותך לקבוע את התצורה של כל מדיניות כך שתכלול או לא תכלול קבוצות ומשתמשים ספציפיים, כגון בדוגמאות הבאות:

   • הדמיות תקיפה
     ארגונים רבים משתמשים במשתמש או בקבוצה כדי לדמות כל הזמן התקפות. קבלת התראות ללא הרף מפעילויות המשתמשים יוצרת רעש מיותר. הגדר את פריטי המדיניות שלך כדי לא לכלול משתמשים או קבוצות אלה. פעולה זו עוזרת למודלים של למידת מכונה לזהות משתמשים אלה ולהתאים את ערכי הסף הדינאמיים שלהם.
   • זיהויים ייעודיים
     ייתכן שתרצה לחקור קבוצה ספציפית של משתמשי VIP, כגון חברים בקבוצת מנהל מערכת או מנהל ניסיון ראשי (CXO). במקרה זה, צור מדיניות עבור הפעילויות שברצונך לזהות ובחר לכלול רק את קבוצת המשתמשים או הקבוצות שמעניינים אותך.

2. כוונון זיהויי כניסה חריגים

   התראות כתוצאה מפעילויות כניסה שנכשלו עשויות להצביע על כך שמישהו מנסה לייעד חשבון משתמש אחד או יותר.

   אישורים שנחשף לסכנה הם סיבה נפוצה לביצוע החשבון ולפעילות בלתי מורשית. הנסיעות הבלתי אפשריות, הפעילות מכתובות IP חשודות והתראות נדירות לגבי מדינות או אזורים מסייעות לך לגלות פעילויות שמציעות חשבון שעלולות להיות בסכנה.

3. כוונון הרגישות של נסיעות בלתי אפשריות קבע את תצורת מחוון הרגישות הקובע את רמת ההדחקה שחלה על התנהגות חריגה לפני הפעלת התראת נסיעה בלתי אפשרית. ארגונים המעוניינים באמינות גבוהה צריכים לשקול להגדיל את רמת הרגישות. אם לארגון שלך יש משתמשים רבים העוברים לנסיעות, שקול להוריד את רמת הרגישות כדי להעלים פעילויות מהמיקומים הנפוצים של המשתמש הנלמדים מהפעילויות הקודמות. באפשרותך לבחור מבין רמות הרגישות הבאות:

   • נמוכה: מערכת, דייר והדחקות משתמשים
   • בינוני: דיכויי מערכת ומשתמשים
   • גבוהה: רק דיכויי מערכת

   היכן:

   סוג העלמה	תיאור
   מערכת	זיהויים מוכללים המודחקים תמיד.
   דייר	פעילויות נפוצות המבוססות על הפעילות הקודמת בדייר. לדוגמה, העלם פעילויות של ISP שהוצגה בו התראה בעבר בארגון שלך.
   משתמש	פעילויות נפוצות המבוססות על הפעילות הקודמת של המשתמש הספציפי. לדוגמה, העלם פעילויות ממיקום שנמצא בשימוש נפוץ על-ידי המשתמש.

שלב 3: כוונון מדיניות זיהוי חריגות של גילוי ענן

באפשרותך לכוונן כמה פריטי מדיניות מוכללים לזיהוי חריגות בענן או ליצור מדיניות משלך כדי לזהות תרחישים אחרים ששווה לחקור. פריטי מדיניות אלה משתמשים ביומני גילוי בענן, עם יכולות כוונון שמתמקדות באופן פעולה חריג של אפליקציות ובגליפת נתונים.

כוונון ניטור השימוש

הגדר את מסנני השימוש כדי לקבוע את הטווח ואת תקופת הפעילות עבור זיהוי אופן פעולה חריג. לדוגמה, קבל התראות עבור פעילויות חריגות מעובדים ברמת הניהול.

כוונון רגישות ההתראה

כדי להפחית התראות מיותרות, הגדר את הרגישות של התראות. השתמש במחוון הרגישות כדי לקבוע את מספר ההתראות בסיכון גבוה הנשלחות לכל 1,000 משתמשים בשבוע. רגישות גבוהה יותר דורשות סטייה נמוכה יותר כדי להיחשב לאנושיות וליצור התראות נוספות. באופן כללי, הגדר רגישות נמוכה עבור משתמשים שאין להם גישה לנתונים סודיים.

שלב 4: כוונון מדיניות זיהוי (פעילות) המבוססת על כללים

מדיניות זיהוי מבוססת כללים משלימה את מדיניות זיהוי הסטיות לדרישות ספציפיות לארגון. צור פריטי מדיניות המבוססים על כללים באמצעות אחת מתבניות מדיניות הפעילות.

אם לארגון שלך אין נוכחות במדינה או באזור מסוימים, צור מדיניות שמאתרה את הפעילויות הסטיות ממיקום זה. עבור ארגונים בעלי ענפים גדולים במדינה או באזור זה, פעילויות כאלה הן רגילות ולא הגיוני לזהות פעילויות כאלה.

1. עבור אל תבניות מדיניות>מדיניות והגדר את המסנן סוגלמדיניות פעילות. הגדר מסנני פעילות כדי לזהות אופני פעולה שאינם רגילים עבור הסביבה שלך.
2. כוונון עוצמת הקול של פעילות
   בחר את נפח הפעילות הנדרש לפני שהזיהוי מעלה התראה. אם לארגון שלך אין נוכחות במדינה או באזור, אפילו פעילות אחת היא משמעותית ומ אחריות על התראה. כשל בכניסה יחידה עשוי להיות שגיאה אנושית ורק אם קיימים כשלים רבים במהלך פרק זמן קצר.
3. כוונון מסנני פעילות
   הגדר את המסננים שאתה דורש כדי לזהות את סוג הפעילות שברצונך להתריע לגביה. לדוגמה, כדי לזהות פעילות ממדינה או אזור, השתמש בפרמטר Location .
4. כוונון התראות
   כדי להפחית התראות מיותרות, הגדר את מגבלת ההתראה היומית.

שלב 5: קביעת תצורה של התראות

הערה

Microsoft פחתה את התכונה התראות/SMS (הודעות טקסט) ב- 15 בדצמבר 2022. אם ברצונך לקבל התראות טקסט, השתמש ב- Microsoft Power Automate לאוטומציית התראות מותאמת אישית. לקבלת מידע נוסף, ראה שילוב עם התראות Microsoft Power Automate אוטומציית התראות מותאמת אישית.

כדי לקבל התראות מיידיות בכל עת, בחר לקבל אותן בדואר אלקטרוני.

ייתכן שתרצה גם את היכולת לנתח התראות בהקשר של התראות אחרות שמופעלות על-ידי מוצרים אחרים בארגון שלך. ניתוח זה מספק לך תצוגה הוליסטית של איום פוטנציאלי. לדוגמה, ייתכן שתרצה לתאם בין אירועים מבוססי ענן לאירועים מקומיים כדי לראות אם יש ראיות מקלות אחרות שמאשרות מתקפה.

באפשרותך להשתמש ב- Microsoft Power Automate כדי להפעיל אוטומציית התראות מותאמת אישית. כאשר מופעלת התראה, באפשרותך:

• הגדרת ספר משחקים
• צור בעיה ב- ServiceNow
• שלח הודעת דואר אלקטרוני לאישור כדי להפעיל פעולת פיקוח מותאמת אישית כאשר מופעלת התראה

השתמש בקווים המנחים הבאים כדי לקבוע את תצורת ההתראות שלך:

1. דואר אלקטרוני
   בחר באפשרות זו כדי לקבל התראות בדואר אלקטרוני.
2. סיאם (סיאם
   קיימות כמה אפשרויות שילוב של SIEM, Microsoft Sentinel, Microsoft Graph API של אבטחה ו- SIEMs כלליים אחרים. בחר את השילוב המתאים ביותר לדרישות שלך.
3. אוטומציה של Power Automate
   צור את ספרי ההשמעה של האוטומציה שאתה דורש והגדר אותם כהתראת המדיניות לפעולה Power Automate.

שלב 6: חקר ותיקון

כדי למטב את ההגנה שלך, הגדר פעולות תיקון אוטומטיות כדי למזער את הסיכון לארגון שלך. המדיניות מאפשרת לך להחיל פעולות פיקוח עם ההתראות כך שהסיכון לארגון שלך יקטן גם לפני שתתחיל לחקור. סוג המדיניות קובע את הפעולות הזמינות, כולל פעולות כגון השהיית משתמש או חסימת גישה למשאב המבוקש.