Anomáliadetektálási szabályzatok a Defender for Cloud Appsben

  • Cikk

Megjegyzés

Microsoft Defender for Cloud Apps mostantól a Microsoft 365 Defender része, amely korrelálja a Microsoft Defender-csomagból érkező jeleket, és incidensszintű észlelési, vizsgálati és hatékony reagálási képességeket biztosít. További információt a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál.

A Microsoft Defender for Cloud Apps anomáliadetektálási szabályzatok beépített felhasználói és entitási viselkedéselemzést (UEBA) és gépi tanulást (ML) biztosítanak, így már a kezdettől fogva készen áll a fejlett fenyegetésészlelés futtatására a felhőkörnyezetben. Mivel automatikusan engedélyezve vannak, az új anomáliadetektálási szabályzatok azonnal elindítják az eredmények észlelésének és rendezésének folyamatát, és számos viselkedési rendellenességet céloznak meg a felhasználók és a hálózathoz csatlakoztatott gépek és eszközök között. A szabályzatok emellett további adatokat is elérhetővé tehetnek a Defender for Cloud Apps észlelési motorjából, így felgyorsíthatja a vizsgálati folyamatot, és folyamatos fenyegetéseket tartalmazhat.

Az anomáliadetektálási szabályzatok automatikusan engedélyezve vannak, de a Defender for Cloud Apps kezdeti tanulási időszaka hét nap, amely alatt nem minden anomáliadetektálási riasztás keletkezik. Ezt követően a konfigurált API-összekötőkből gyűjtött adatok alapján a rendszer minden munkamenetet összehasonlít a tevékenységgel, amikor a felhasználók aktívak voltak, IP-címeket, eszközöket stb. észleltek az elmúlt hónapban, és a tevékenységek kockázati pontszámát. Vegye figyelembe, hogy több órát is igénybe vehet, hogy az adatok elérhetők legyenek az API-összekötőkből. Ezek az észlelések a heurisztikus anomáliadetektálási motor részét képezik, amely profilt ad a környezetnek, és riasztásokat aktivál a szervezet tevékenységéről tanult alapkonfigurációval kapcsolatban. Ezek az észlelések gépi tanulási algoritmusokat is használnak, amelyek célja a felhasználók profilkészítése és a bejelentkezési minta használata a téves pozitív értékek csökkentése érdekében.

Az anomáliák kiszűrése a felhasználói tevékenység vizsgálatával történik. A kockázat értékelése több mint 30 különböző kockázati mutató alapján történik, kockázati tényezők szerint csoportosítva az alábbiak szerint:

  • Kockázatos IP-cím
  • Bejelentkezési hibák
  • Rendszergazda tevékenység
  • Inaktív fiókok
  • Hely
  • Lehetetlen utazás
  • Eszköz- és felhasználói ügynök
  • Tevékenységi arány

A szabályzat eredményei alapján biztonsági riasztások aktiválódnak. A Defender for Cloud Apps a felhőben minden felhasználói munkamenetet megvizsgál, és riasztást küld, ha valami olyan történik, amely eltér a szervezet alapkonfigurációjától vagy a felhasználó szokásos tevékenységétől.

A natív Defender for Cloud Apps-riasztások mellett a következő észlelési riasztásokat is megkapja az Azure Active Directory (AD) Identity Protectiontől kapott információk alapján:

Ezek a szabályzatok megjelennek a Defender for Cloud Apps szabályzatai lapon, és engedélyezhetők vagy letilthatók.

Anomáliadetektálási szabályzatok

Az anomáliadetektálási szabályzatokat a Microsoft 365 Defender portálon tekintheti meg a Cloud Apps -Policies ->Policy management (Felhőalkalmazások ->szabályzatkezelés) területen. Ezután válassza az Anomáliadetektálási szabályzat lehetőséget a szabályzattípushoz.

új anomáliadetektálási szabályzatok.

A következő anomáliadetektálási szabályzatok érhetők el:

Lehetetlen utazás

    • Ez az észlelés két olyan felhasználói tevékenységet azonosít (egy vagy több munkamenetben), amelyek földrajzilag távoli helyekről származnak, rövidebb idő alatt, mint amikor a felhasználónak az első helyről a másodikra kellett volna utaznia, ami azt jelzi, hogy egy másik felhasználó ugyanazokat a hitelesítő adatokat használja. Ez az észlelés egy olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló "hamis pozitívokat", ami hozzájárul a lehetetlen utazási feltételhez, például vpn-eket és a szervezet más felhasználói által rendszeresen használt helyeket. Az észlelés egy hét napos kezdeti tanulási időszak, amely során egy új felhasználó tevékenységmintáját tanulja meg. A lehetetlen utazás észlelése szokatlan és lehetetlen felhasználói tevékenységet azonosít két hely között. A tevékenységnek elég szokatlannak kell lennie ahhoz, hogy a kompromisszum jelzésének és a riasztáshoz méltónak minősüljön. A művelet végrehajtásához az észlelési logika különböző szintű letiltási szinteket tartalmaz olyan forgatókönyvek kezelésére, amelyek hamis pozitív eseményt válthatnak ki, például VPN-tevékenységeket vagy olyan felhőszolgáltatóktól származó tevékenységeket, amelyek nem jeleznek fizikai helyet. A bizalmassági csúszkával befolyásolhatja az algoritmust, és meghatározhatja, hogy milyen szigorú az észlelési logika. Minél magasabb a bizalmassági szint, annál kevesebb tevékenység lesz letiltva az észlelési logika részeként. Ily módon a lefedettségi igényeknek és az SNR-céloknak megfelelően módosíthatja az észlelést.

      Megjegyzés

      • Ha az utazás mindkét oldalán található IP-címeket biztonságosnak tekintik, és a bizalmassági csúszka nem Magas értékre van állítva, az utazás megbízható, és nem aktiválódik a Lehetetlen utazás észlelése. Például mindkét oldal biztonságosnak minősül, ha vállalatiként vannak megjelölve. Ha azonban az utazásnak csak az egyik oldalának IP-címe tekinthető biztonságosnak, az észlelés a szokásos módon aktiválódik.
      • A helyek kiszámítása ország-/régiószinten történik. Ez azt jelenti, hogy nem lesznek riasztások két, ugyanabból az országból/régióból vagy a határ menti országokból/régiókból származó műveletre vonatkozóan.

Ritka országból származó tevékenység

  • Ez az észlelés a korábbi tevékenységi helyeket az új és ritka helyek meghatározására veszi figyelembe. Az anomáliadetektálási motor információkat tárol a felhasználó által használt korábbi helyekről. Riasztás akkor aktiválódik, ha egy tevékenység olyan helyről történik, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg. A téves pozitív riasztások csökkentése érdekében az észlelés letiltja azokat a kapcsolatokat, amelyeket a felhasználó általános preferenciái jellemeznek.

Kártevőészlelés

  • Ez az észlelés azonosítja a kártékony fájlokat a felhőtárhelyen, függetlenül attól, hogy a Microsoft-alkalmazásokból vagy külső alkalmazásokból származnak-e. Microsoft Defender for Cloud Apps a Microsoft fenyegetésfelderítését használja annak felismerésére, hogy bizonyos, a kockázatokkal egyező fájlok, például a fájltípus és a megosztási szint összefüggésben vannak-e az ismert kártevő támadásokkal, és potenciálisan rosszindulatúak-e. Ez a beépített szabályzat alapértelmezés szerint le van tiltva. A más heurisztika szerint potenciálisan kockázatosnak talált fájlokat a tesztkörnyezet is ellenőrzi. A rosszindulatú fájlok észlelése után megjelenik a Fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy olyan kártevőjelentés megnyitásához, amely információt nyújt arról, hogy a fájl milyen típusú kártevővel fertőzött.

    Ezt az észlelést valós időben használhatja munkamenet-szabályzatok használatával a fájlfeltöltések és -letöltések szabályozásához.

    A Defender for Cloud Apps a következő alkalmazások kártevő-észlelését támogatja:

  • Box

  • Dropbox

  • Google Workspace

  • Microsoft 365 (a Microsoft 365 P1 Microsoft Defender érvényes licencét igényli)

Megjegyzés

A Microsoft 365-alkalmazásokban észlelt kártevőket az alkalmazás automatikusan letiltja, és a felhasználó nem tudja elérni a fájlt. Csak az alkalmazás rendszergazdája rendelkezik hozzáféréssel. A Boxban, a Dropboxban és a Google Workspace-ben a Defender for Cloud Apps nem blokkolja a fájlt, de előfordulhat, hogy a blokkolás az alkalmazás képességeinek és az ügyfél által beállított konfigurációnak megfelelően történik.

Névtelen IP-címekről származó tevékenység

  • Ez az észlelés azt azonosítja, hogy a felhasználók egy névtelen proxy IP-címként azonosított IP-címről voltak aktívak. Ezeket a proxykat olyan személyek használják, akik el szeretnék rejteni az eszköz IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a szervezet felhasználói által széles körben használt helytelen címkézett IP-címeket.

Zsarolóprogram-tevékenység

  • A Defender for Cloud Apps kiterjesztette zsarolóprogram-észlelési képességeit anomáliadetektálással, hogy átfogóbb lefedettséget biztosítson a kifinomult Ransomware-támadások ellen. A biztonsági kutatással kapcsolatos szakértelmünk segítségével azonosíthatja a zsarolóprogramok tevékenységét tükröző viselkedési mintákat, a Defender for Cloud Apps holisztikus és robusztus védelmet biztosít. Ha a Defender for Cloud Apps például nagy mennyiségű fájlfeltöltést vagy fájltörlési tevékenységet azonosít, az kedvezőtlen titkosítási folyamatot jelenthet. Ezeket az adatokat a csatlakoztatott API-któl kapott naplókban gyűjtjük össze, majd a tanult viselkedési mintákkal és fenyegetésfelderítéssel, például ismert zsarolóprogram-bővítményekkel kombináljuk. További információ arról, hogy a Defender for Cloud Apps hogyan észleli a zsarolóprogramokat: Szervezet védelme zsarolóprogramok ellen.

A megszüntetett felhasználó által végzett tevékenység

  • Ez az észlelés lehetővé teszi annak azonosítását, hogy egy leállított alkalmazott mikor hajt végre műveleteket az SaaS-alkalmazásokon. Mivel az adatok azt mutatják, hogy az insider fenyegetés legnagyobb kockázata a rossz feltételekkel távozó alkalmazottaktól származik, fontos, hogy figyelemmel kísérjük a megszüntetett alkalmazottak fiókjainak tevékenységét. Előfordulhat, hogy amikor az alkalmazottak elhagynak egy vállalatot, a fiókjaik ki lesznek építve a vállalati alkalmazásokból, de sok esetben továbbra is megőrzik a hozzáférést bizonyos vállalati erőforrásokhoz. Ez még fontosabb a kiemelt fiókok figyelembe vételekor, mivel a korábbi rendszergazda által okozott esetleges károk természeténél fogva nagyobbak. Ez az észlelés kihasználja a Defender for Cloud Apps azon képességét, hogy monitorozza a felhasználók viselkedését az alkalmazások között, lehetővé téve a felhasználó rendszeres tevékenységének azonosítását, a fiók törlésének tényét, valamint a más alkalmazásokban végzett tényleges tevékenységeket. Például egy olyan alkalmazott, akinek Azure AD fiókját törölték, de továbbra is rendelkezik hozzáféréssel a vállalati AWS-infrastruktúrához, nagy mértékű kárt okozhat.

Az észlelés olyan felhasználókat keres, akiknek a fiókjai törölve lettek Azure AD, de továbbra is más platformokon, például az AWS-ben vagy a Salesforce-ban hajtanak végre tevékenységeket. Ez különösen fontos azon felhasználók számára, akik egy másik fiókot használnak (nem az elsődleges egyszeri bejelentkezési fiókjukat) az erőforrások kezeléséhez, mivel ezek a fiókok gyakran nem törlődnek, amikor egy felhasználó elhagyja a vállalatot.

Gyanús IP-címekről származó tevékenység

  • Ez az észlelés azt azonosítja, hogy a felhasználók a Microsoft Threat Intelligence által kockázatosként azonosított IP-címről voltak aktívak. Ezek az IP-címek kártékony tevékenységekben vesznek részt, például jelszópermetelést hajtanak végre, a Botnet C C-t&, és feltört fiókot jelezhetnek. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a szervezet felhasználói által széles körben használt helytelen címkézett IP-címeket.

Gyanús beérkezett üzenetek továbbítása

  • Ez az észlelés gyanús e-mail-továbbítási szabályokat keres, például ha egy felhasználó létrehozott egy beérkezett üzenetekre vonatkozó szabályt, amely az összes e-mail másolatát egy külső címre továbbítja.

Megjegyzés

A Defender for Cloud Apps csak minden gyanúsként azonosított továbbítási szabályról riasztást küld a felhasználó tipikus viselkedése alapján.

Gyanús levelezési kezelési szabályok

  • Ez az észlelés profilt ad a környezetnek, és riasztásokat aktivál, ha az üzeneteket vagy mappákat törlő vagy áthelyező gyanús szabályok be vannak állítva a felhasználó Beérkezett üzenetek mappájában. Ez azt jelezheti, hogy a felhasználó fiókját feltörték, az üzenetek szándékosan rejtve vannak, és hogy a postaládát levélszemét vagy kártevők terjesztésére használják a szervezetben.

Gyanús e-mail-törlési tevékenység (előzetes verzió)

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor egy felhasználó gyanús e-mail-törlési tevékenységeket hajt végre egyetlen munkamenetben. Ez a szabályzat azt jelezheti, hogy a felhasználó postaládáit veszélyeztethetik az olyan lehetséges támadási vektorok, mint a parancs- és vezérlési kommunikáció (C&/C2) e-mailben.

Megjegyzés

A Defender for Cloud Apps integrálható a Microsoft 365 Defender az Exchange online védelmének biztosításához, beleértve az URL-robbanást, a kártevők elleni védelmet és egyebeket. Ha a Microsoft 365-höz készült Defender engedélyezve van, riasztásokat fog látni a Defender for Cloud Apps tevékenységnaplójában.

Gyanús OAuth-alkalmazásfájlletöltési tevékenységek

  • Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást aktivál, amikor egy alkalmazás több fájlt tölt le a Microsoft SharePointból vagy a Microsoft OneDrive-ról a felhasználó számára szokatlan módon. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült.

Szokatlan isP egy OAuth-alkalmazáshoz

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor egy OAuth-alkalmazás nem gyakori szolgáltatótól csatlakozik a felhőalkalmazásokhoz. Ez a szabályzat azt jelezheti, hogy egy támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtására a felhőalkalmazásokon.

Szokatlan tevékenységek (felhasználó szerint)

Ezek az észlelések azonosítják azokat a felhasználókat, akik a következőket hajtják végre:

  • Szokatlan több fájlletöltési tevékenység
  • Szokatlan fájlmegosztási tevékenységek
  • Szokatlan fájltörlés
  • Szokatlan megszemélyesített tevékenységek
  • Szokatlan felügyeleti tevékenységek
  • Szokatlan Power BI-jelentésmegosztási tevékenységek (előzetes verzió)
  • Szokatlan több virtuálisgép-létrehozási tevékenység (előzetes verzió)
  • Szokatlan több tárterület-törlési tevékenység (előzetes verzió)
  • Szokatlan régió a felhőerőforráshoz (előzetes verzió)
  • Szokatlan fájlhozzáférés

Ezek a szabályzatok egyetlen munkameneten belül keresnek tevékenységeket a tanult alapkonfigurációval kapcsolatban, ami incidensi kísérletre utalhat. Ezek az észlelések egy gépi tanulási algoritmust használnak, amely profilt ad a felhasználók bejelentkezési mintájáról, és csökkenti a téves pozitívumokat. Ezek az észlelések a heurisztikus anomáliadetektálási motor részei, amely profilt ad a környezetéről, és riasztásokat aktivál a szervezet tevékenységéről tanult alapkonfigurációval kapcsolatban.

Több sikertelen bejelentkezési kísérlet

  • Ez az észlelés azonosítja azokat a felhasználókat, amelyek egyetlen munkamenetben több bejelentkezési kísérletet is meghiúsultak a tanult alapkonfiguráció alapján, ami biztonsági incidensi kísérletre utalhat.

Adatkiszivárgás nem engedélyezett alkalmazásokba

  • Ez a szabályzat automatikusan riasztást küld, ha egy felhasználó vagy IP-cím olyan alkalmazást használ, amely nem engedélyezett olyan tevékenység végrehajtására, amely hasonlít a szervezet adatainak kiszivárgására tett kísérlethez.

Több törlési virtuálisgép-tevékenység

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor a felhasználók több virtuális gépet törölnek egyetlen munkamenetben, a szervezet alapkonfigurációjához képest. Ez behatolási kísérletre utalhat.

Automatizált szabályozás engedélyezése

Engedélyezheti az automatikus szervizelési műveleteket az anomáliadetektálási szabályzatok által létrehozott riasztásokon.

  1. Válassza ki az észlelési szabályzat nevét a Szabályzatok lapon.
  2. A megnyíló Anomáliadetektálási szabályzat szerkesztése ablakban a Cégirányítási műveletek területen állítsa be az egyes csatlakoztatott alkalmazásokhoz vagy az összes alkalmazáshoz használni kívánt szervizelési műveleteket.
  3. Válassza a Frissítés lehetőséget.

Anomáliadetektálási szabályzatok hangolása

Az anomáliadetektálási motort a beállításoknak megfelelően letiltó vagy felszínre hozó riasztások befolyásolása:

  • A Lehetetlen utazás házirendben beállíthatja a bizalmassági csúszkát, hogy meghatározza a rendellenes viselkedés szintjét, amely a riasztás aktiválása előtt szükséges. Ha például alacsony vagy közepes értékre állítja, akkor a felhasználó gyakori helyéről letiltja a Lehetetlen utazás riasztásokat, és ha magasra állítja, akkor az ilyen riasztásokat fogja felszínre állítani. A következő bizalmassági szintek közül választhat:

    • Alacsony: Rendszer-, bérlő- és felhasználói letiltások

    • Közepes: Rendszer- és felhasználóelnyomások

    • Magas: Csak rendszerelnyomások

      Ahol:

      Mellőzés típusa Description
      Rendszer Beépített észlelések, amelyek mindig el vannak rejtve.
      Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezeten belül korábban riasztást kapott ispéldák tevékenységeit.
      Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.

Megjegyzés

A lehetetlen utazás, a ritkán használt országokból/régiókból származó tevékenységek, a névtelen IP-címekről származó tevékenységek és a gyanús IP-címekről származó tevékenységekre vonatkozó riasztások nem vonatkoznak a sikertelen bejelentkezésekre és a nem interaktív bejelentkezésekre.

Hatókör anomáliadetektálási szabályzatai

Minden anomáliadetektálási szabályzat külön hatókörrel rendelkezhet, így csak a szabályzatba felvenni és kizárni kívánt felhasználókra és csoportokra vonatkozik. Beállíthatja például, hogy a ritkán előforduló megyei észlelésből származó tevékenység figyelmen kívül hagyja a gyakran utazó adott felhasználót.

Anomáliadetektálási szabályzat hatókörének meghatározása:

  1. A Microsoft 365 Defender portálon lépjen a Cloud Apps -Policies -Policy management (Felhőalkalmazások ->szabályzatok kezelése) területre>. Ezután válassza az Anomáliadetektálási szabályzat lehetőséget a szabályzattípushoz.

  2. Válassza ki a hatókörbe helyezni kívánt szabályzatot.

  3. A Hatókör területen módosítsa a legördülő listát a Minden felhasználó és csoport alapértelmezett beállításáról a Konkrét felhasználók és csoportok beállításra.

  4. Válassza a Belefoglalás lehetőséget, ha meg szeretné adni azokat a felhasználókat és csoportokat, akikre ez a szabályzat vonatkozni fog. Az itt nem kiválasztott felhasználók vagy csoportok nem minősülnek fenyegetésnek, és nem hoznak létre riasztást.

  5. Válassza a Kizárás lehetőséget, ha meg szeretné adni a felhasználókat, akikre ez a szabályzat nem vonatkozik. Az itt kiválasztott felhasználók nem minősülnek fenyegetésnek, és nem hoznak létre riasztást, még akkor sem, ha tagjai a Belefoglalás csoportban kiválasztott csoportoknak.

    anomáliadetektálási hatókörkezelés.

Anomáliadetektálási riasztások osztályozása

Gyorsan osztályozhatja az új anomáliadetektálási szabályzatok által kiváltott különböző riasztásokat, és eldöntheti, hogy mely riasztásokról kell először gondoskodnia. Ehhez szükség van a riasztás környezetére, hogy jobban láthassa a képet, és megértse, hogy valóban történik-e valami rosszindulatú.

  1. A Tevékenységnaplóban megnyithat egy tevékenységet a Tevékenység fiók megjelenítéséhez. Válassza a Felhasználó lehetőséget a felhasználói elemzések lap megtekintéséhez. Ez a lap olyan információkat tartalmaz, mint a riasztások száma, a tevékenységek és a kapcsolatuk helye, ami fontos a vizsgálat során.

    anomáliadetektálási riasztás.

  2. Kártevő-fertőzött fájlok esetén a fájlok észlelése után megjelenik a Fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy olyan kártevőjelentés megnyitásához, amely információt nyújt arról a kártevőtípusról, amellyel a fájl fertőzött.

Veszélyforrások elleni védelem webináriuma

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson támogatási jegyet.