Rendellenesség-észlelési riasztások vizsgálata

Felhőhöz készült Microsoft Defender Alkalmazások biztonsági észleléseket és riasztásokat biztosítanak a rosszindulatú tevékenységekhez. Ennek az útmutatónak az a célja, hogy általános és gyakorlati információkat nyújtson az egyes riasztásokról, hogy segítsen a vizsgálati és szervizelési feladatokban. Ebben az útmutatóban általános információk találhatók a riasztások aktiválásának feltételeiről. Fontos azonban megjegyezni, hogy mivel az anomáliadetektálások természetüknél fogva nem determinisztikusak, csak akkor aktiválódnak, ha a viselkedés eltér a normától. Végül előfordulhat, hogy egyes riasztások előzetes verzióban jelennek meg, ezért rendszeresen tekintse át a hivatalos dokumentációt a frissített riasztási állapotról.

MITRE ATT&CK

A Felhőhöz készült Defender Apps-riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat magyarázatához és könnyebb leképezéséhez a riasztásokat a megfelelő MITRE ATT&CK-taktikával kategorizáltuk. Ez a további hivatkozás megkönnyíti a Felhőhöz készült Defender Apps-riasztások aktiválásakor esetleg használt gyanús támadási technikák megértését.

Ez az útmutató az Felhőhöz készült Defender-alkalmazások riasztásainak vizsgálatával és szervizelésével kapcsolatos információkat nyújt az alábbi kategóriákban.

• Kezdeti hozzáférés
• Végrehajtás
• Kitartás
• Jogosultság eszkalációja
• Hitelesítő adatok elérése
• Gyűjtemény
• Exfiltration
• Hatás

Biztonsági riasztások besorolása

A megfelelő vizsgálatot követően az Felhőhöz készült Defender Apps-riasztások az alábbi tevékenységtípusok egyikének minősíthetők:

• Valódi pozitív (TP): Riasztás egy megerősített rosszindulatú tevékenységről.
• Jóindulatú valódi pozitív (B-TP): Riasztás gyanús, de nem rosszindulatú tevékenységről, például behatolási tesztről vagy más engedélyezett gyanús műveletről.
• Hamis pozitív (FP): Riasztás egy nem rosszindulatú tevékenységről.

Általános vizsgálati lépések

Az ajánlott művelet alkalmazása előtt a következő általános irányelveket kell használnia bármilyen típusú riasztás vizsgálatához, hogy jobban megértse a lehetséges fenyegetést.

• Tekintse át a felhasználó vizsgálati prioritási pontszámát, és hasonlítsa össze a szervezet többi tagjával. Ez segít azonosítani, hogy a szervezet mely felhasználói jelentik a legnagyobb kockázatot.
• Ha azonosít egy TP-t, tekintse át a felhasználó összes tevékenységét, hogy megértse a hatást.
• Tekintse át az összes felhasználói tevékenységet a kompromisszum egyéb mutatóiért, és vizsgálja meg a hatás forrását és hatókörét. Tekintse át például a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkkal:
  • Operációs rendszer és verzió
  • Böngésző és verzió
  • IP-cím és hely

Kezdeti hozzáférési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál kezdeti lábat szerezni a szervezetnek.

Tevékenység névtelen IP-címről

Leírás

A Microsoft Threat Intelligence vagy a szervezet által névtelen proxy IP-címként azonosított IP-címből származó tevékenység. Ezek a proxyk az eszköz IP-címének elrejtésére és rosszindulatú tevékenységekre használhatók.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a B-TP-incidenseket , például a szervezet felhasználói által széles körben használt helytelen címkézett IP-címeket.

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet névtelen vagy TOR IP-címről hajtották végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. B-TP: Ha egy felhasználóról ismert, hogy névtelen IP-címeket használ a feladataik körében. Ha például egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

• Tekintse át az összes felhasználói tevékenységet és riasztást a biztonsági rések egyéb jelzéseihez. Ha például a riasztást egy másik gyanús riasztás követte, például egy szokatlan fájlletöltés (felhasználó) vagy egy Gyanús beérkezett üzenetek továbbítása riasztás, amely gyakran azt jelzi, hogy a támadó adatokat próbál kiszűrni.

Ritka országból származó tevékenység

Olyan országból/régióból származó tevékenység, amely rosszindulatú tevékenységre utalhat. Ez a szabályzat profilja a környezetnek, és riasztásokat aktivál, ha olyan helyről észleli a tevékenységet, amelyet nem nemrég vagy soha nem látogatott meg a szervezet egyik felhasználója sem.

A szabályzat tovább terjedhet a felhasználók egy részhalmazára, vagy kizárhatja a távoli helyekre való utazásról ismert felhasználókat.

Tanulás időszak

A rendellenes helyek észleléséhez hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet:

   1. Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és azonosítsa a megfelelő időt a fiók biztonságos újbóli engedélyezéséhez.
   2. Nem kötelező: Forgatókönyv létrehozása a Power Automate használatával, hogy kapcsolatba lépjen a ritkán használt helyekről csatlakozó felhasználókkal és a feletteseikkel a tevékenységük ellenőrzéséhez.

2. B-TP: Ha egy felhasználóról ismert, hogy ezen a helyen tartózkodik. Ha például egy felhasználó gyakran utazik, és jelenleg a megadott helyen tartózkodik.

   Javasolt művelet:

   1. Zárja be a riasztást, és módosítsa a házirendet, hogy kizárja a felhasználót.
   2. Hozzon létre egy felhasználói csoportot a gyakori utazók számára, importálja a csoportot Felhőhöz készült Defender Apps alkalmazásba, és zárja ki a felhasználókat ebből a riasztásból
   3. Nem kötelező: Forgatókönyv létrehozása a Power Automate használatával, hogy kapcsolatba lépjen a ritkán használt helyekről csatlakozó felhasználókkal és a feletteseikkel a tevékenységük ellenőrzéséhez.

A szabálysértés hatókörének ismertetése

• Tekintse át, hogy mely erőforrás kerülhetett veszélybe, például a lehetséges adatletöltéseket.

Gyanús IP-címekről származó tevékenység

Olyan IP-címről származó tevékenység, amelyet a Microsoft Threat Intelligence vagy a szervezete kockázatosnak talált. Ezeket az IP-címeket rosszindulatú tevékenységekben érintettként azonosították, például jelszópermetet, botnet parancsot és vezérlést (C&C) hajtottak végre, és feltört fiókot jelezhetnek.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. B-TP: Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet. Ha például egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplót, és keressen ugyanabból az IP-címről származó tevékenységeket.
2. Ellenőrizze, hogy mely erőforrás kerülhetett veszélybe, például lehetséges adatletöltéseket vagy rendszergazdai módosításokat.
3. Hozzon létre egy csoportot a biztonsági elemzők számára, akik önként aktiválják ezeket a riasztásokat, és kizárják őket a szabályzatból.

Lehetetlen utazás

Azonos felhasználótól származó tevékenység különböző helyeken a két hely közötti várható utazási időnél rövidebb időtartamon belül. Ez jelentheti a hitelesítő adatok megsértését, de az is lehetséges, hogy a felhasználó tényleges tartózkodási helye maszkolt, például VPN használatával.

A pontosság és a riasztás javítása érdekében csak akkor, ha erős jelzés jelenik meg a szabálysértésről, Felhőhöz készült Defender Az alkalmazások alapkonfigurációt hoznak létre a szervezet minden felhasználóján, és csak a szokatlan viselkedés észlelésekor fognak riasztást adni. A lehetetlen utazási szabályzat finomhangolható a követelményeknek megfelelően.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló B-TP-feltételeket , például ha az utazás mindkét oldalán található IP-címek biztonságosnak minősülnek, az utazás megbízható, és nem aktiválja a Lehetetlen utazás észlelését. Például mindkét oldal biztonságosnak minősül, ha vállalatiként vannak megjelölve. Ha azonban az utazásnak csak az egyik oldalának IP-címe biztonságosnak minősül, az észlelés a szokásos módon aktiválódik.

1. TP: Ha meg tudja erősíteni, hogy a lehetetlen utazási riasztásban szereplő hely nem valószínű a felhasználó számára.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Nem észlelt felhasználói utazás): Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott. Ha például egy repülőgép módban lévő felhasználó telefonja továbbra is csatlakozik olyan szolgáltatásokhoz, mint az Exchange Online a vállalati hálózaton, miközben másik helyre utazik. Amikor a felhasználó megérkezik az új helyre, a telefon csatlakozik az Exchange Online-hoz, és elindítja a lehetetlen utazási riasztást.

   Javasolt művelet: A riasztás elvetése.

3. FP (Untagged VPN): Ha meg tudja erősíteni, hogy az IP-címtartomány egy engedélyezett VPN-ből származik.

   Javasolt művelet: Zárja be a riasztást, és adja hozzá a VPN IP-címtartományát az Felhőhöz készült Defender Alkalmazásokhoz, majd használja a VPN IP-címtartományának címkézéséhez.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplót, és ismerje meg az azonos helyen és IP-címen található hasonló tevékenységeket.
2. Ha azt látja, hogy a felhasználó más kockázatos tevékenységeket hajtott végre, például nagy mennyiségű fájlt tölt le egy új helyről, ez egy lehetséges kompromisszumra utalna.
3. Vállalati VPN- és IP-címtartományok hozzáadása.
4. Hozzon létre egy forgatókönyvet a Power Automate használatával, és lépjen kapcsolatba a felhasználó felettesével, és ellenőrizze, hogy a felhasználó jogszerűen utazik-e.
5. Érdemes lehet létrehozni egy ismert utazási adatbázist akár a percek alatt végzett utazások jelentéséhez, és felhasználhatja az utazási tevékenységek kereszthivatkozására.

Félrevezető OAuth-alkalmazásnév

Ez az észlelés azonosítja a latin betűkre hasonlító karaktereket, például idegen betűket tartalmazó alkalmazásokat. Ez azt jelezheti, hogy egy rosszindulatú alkalmazás ismert és megbízható alkalmazásként való álcázására tett kísérlet, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy az alkalmazás félrevezető névvel rendelkezik.

   Javasolt művelet: Tekintse át az alkalmazás által kért engedély szintjét, és hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

Az alkalmazáshoz való hozzáférés letiltásához az Alkalmazásszabályozás lap Google vagy Salesforce lapjának azon sorában, amelyben a tiltani kívánt alkalmazás megjelenik, válassza a tilalom ikont. - Kiválaszthatja, hogy szeretné-e értesíteni a felhasználókat arról, hogy az általuk telepített és engedélyezett alkalmazás ki lett tiltva. Az értesítés tájékoztatja a felhasználókat arról, hogy az alkalmazás le van tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, a párbeszédpanelen törölje a jelölést azoknak a felhasználóknak, akik hozzáférést adtak ehhez a tiltott alkalmazáshoz . - Javasoljuk, hogy tájékoztassa az alkalmazás felhasználóit, hogy az alkalmazás hamarosan ki lesz tiltva a használatból.

1. FP: Ha meg kell győződnie arról, hogy az alkalmazás félrevezető névvel rendelkezik, de jogszerű üzleti használattal rendelkezik a szervezetben.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

• Kövesse a kockázatos OAuth-alkalmazások vizsgálatáról szóló oktatóanyagot.

OAuth-alkalmazás félrevezető közzétevői neve

Ez az észlelés azonosítja a latin betűkre hasonlító karaktereket, például idegen betűket tartalmazó alkalmazásokat. Ez azt jelezheti, hogy egy rosszindulatú alkalmazás ismert és megbízható alkalmazásként való álcázására tett kísérlet, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik.

   Javasolt művelet: Tekintse át az alkalmazás által kért engedély szintjét, és hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

2. FP: Ha meg szeretné erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik, de megbízható közzétevő.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Az Alkalmazásirányítási oldal Google vagy Salesforce lapján válassza ki az alkalmazást az alkalmazásfiók megnyitásához, majd válassza a Kapcsolódó tevékenység lehetőséget. Ekkor megnyílik az alkalmazás által végzett tevékenységekre szűrt Tevékenységnapló lap. Ne feledje, hogy egyes alkalmazások olyan tevékenységeket végeznek, amelyeket a felhasználó végzettként regisztrált. Ezek a tevékenységek automatikusan ki lesznek szűrve az eredményekből a tevékenységnaplóban. A tevékenységnaplóval kapcsolatos további vizsgálatért tekintse meg a Tevékenységnaplót.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és közzétevőjét különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:
   • Kevés letöltést tartalmazó alkalmazások.
   • Alacsony értékeléssel, pontszámmal vagy rossz megjegyzésekkel rendelkező alkalmazások.
   • Gyanús közzétevőt vagy webhelyet tartalmazó alkalmazások.
   • A közelmúltban nem frissített alkalmazások. Ez olyan alkalmazást jelezhet, amely már nem támogatott.
   • Irreleváns engedélyekkel rendelkező alkalmazások. Ez azt jelezheti, hogy egy alkalmazás kockázatos.
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, online is megvizsgálhatja az alkalmazás nevét, közzétevője és URL-címét.

Végrehajtási riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő rosszindulatú kódot próbál futtatni a szervezetben.

Több tárolási törlési tevékenység

Egyetlen munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú felhőbeli tárterületet vagy adatbázis-törlést hajtott végre az erőforrásokból, például az Azure blobokból, az AWS S3-gyűjtőkből vagy a Cosmos DB-ből az alapkonfigurációval összehasonlítva. Ez a szervezet megsértésének kísérletére utalhat.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha ellenőrizni szeretné, hogy a törlések jogosulatlanok voltak-e.

   Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, és vizsgálja meg a hatás hatókörét.

2. FP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt-e a törlési tevékenységek végrehajtására.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
2. Tekintse át a tevékenységnaplót a kompromisszum egyéb jelzéseiért, és ellenőrizze, hogy ki hajtotta végre a módosítást.
3. Tekintse át a felhasználó tevékenységeit a többi szolgáltatás módosításához.

Több virtuálisgép-létrehozási tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-létrehozási műveletet hajtott végre a tanult alapkonfigurációhoz képest. A feltört felhőinfrastruktúra több virtuálisgép-létrehozása is jelezheti a szervezeten belüli kriptobányászati műveletek futtatásának kísérletét.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

A pontosság és a riasztás javítása érdekében csak akkor, ha erős jelzést ad egy incidensre, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében, például egy rendszergazda jogszerűen több virtuális gépet hozott létre, mint a megállapított alapkonfiguráció, és csak a szokatlan viselkedés észlelése esetén riasztást.

• TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogos felhasználó hajtotta végre.

  Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, és vizsgálja meg a hatás hatókörét. Ezenkívül lépjen kapcsolatba a felhasználóval, erősítse meg a jogos műveleteit, majd győződjön meg arról, hogy letiltja vagy törli a feltört virtuális gépeket.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt e létrehozási tevékenységek végrehajtására.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért.
2. Tekintse át a felhasználó által létrehozott vagy módosított erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Gyanús létrehozási tevékenység a felhőrégióban (előzetes verzió)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan erőforrás-létrehozási műveletet hajtott végre egy nem gyakori AWS-régióban az alaptervhez képest. A nem gyakori felhőrégiókban történő erőforrás-létrehozás rosszindulatú tevékenység, például a szervezeten belüli kriptobányászati műveletek elvégzésére tett kísérletet jelezhet.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Annak érdekében, hogy a pontosság és a riasztás csak akkor javuljon, ha erős jelzést ad egy incidensre, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében.

• TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogos felhasználó hajtotta végre.

  Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, és vizsgálja meg a hatás hatókörét. Ezenkívül lépjen kapcsolatba a felhasználóval, erősítse meg a jogszerű műveleteket, majd győződjön meg arról, hogy letiltja vagy törli a feltört felhőbeli erőforrásokat.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt e létrehozási tevékenységek végrehajtására.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért.
2. Tekintse át a létrehozott erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Adatmegőrzési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja fenntartani a lábtartását a szervezetben.

A megszakított felhasználó által végzett tevékenység

A leállított felhasználó által végzett tevékenység azt jelezheti, hogy a vállalati erőforrásokhoz még hozzáféréssel rendelkező, leállított alkalmazott rosszindulatú tevékenységet próbál végrehajtani. Felhőhöz készült Defender Alkalmazások profilokat ad a szervezet felhasználóinak, és riasztást aktivál, amikor egy leállított felhasználó végez tevékenységet.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a leállított felhasználó továbbra is hozzáfér bizonyos vállalati erőforrásokhoz, és tevékenységeket végez.

   Javasolt művelet: Tiltsa le a felhasználót.

2. B-TP: Ha meg tudja állapítani, hogy a felhasználó ideiglenesen le lett tiltva, vagy törölték és újra regisztrálták.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Kereszthivatkozási HR-rekordok a felhasználó leállításának megerősítéséhez.
2. Ellenőrizze a Microsoft Entra felhasználói fiók meglétét.

   Feljegyzés

   Ha Microsoft Entra Csatlakozás használ, ellenőrizze a helyi Active Directory objektumot, és erősítse meg a sikeres szinkronizálási ciklust.

3. Azonosítsa azokat az alkalmazásokat, amelyekhez a megszüntetett felhasználó hozzáfért, és le kell szerelnie a fiókokat.
4. A leszerelési eljárások frissítése.

A CloudTrail naplózási szolgáltatásának gyanús módosítása

Egyetlen munkamenet tevékenységei, amelyek azt jelzik, hogy egy felhasználó gyanús módosításokat hajtott végre az AWS CloudTrail naplózási szolgáltatásban. Ez a szervezet megsértésének kísérletére utalhat. A CloudTrail letiltásakor a rendszer már nem naplózza a működési módosításokat. A támadók rosszindulatú tevékenységeket végezhetnek, miközben elkerülik a CloudTrail naplózási eseményeit, például módosíthatják az S3-gyűjtőt privátról nyilvánosra.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a CloudTrail-tevékenység megfordítása.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen letiltotta a CloudTrail szolgáltatást.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplóban a biztonsági rések egyéb mutatóit, és ellenőrizze, hogy ki módosította a CloudTrail szolgáltatást.
2. Nem kötelező: Forgatókönyv létrehozása a Power Automate használatával, hogy kapcsolatba lépjen a felhasználókkal és a felettesekkel a tevékenységük ellenőrzéséhez.

Gyanús e-mail törlési tevékenység (felhasználó szerint)

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy egy felhasználó gyanús e-mail-törléseket hajtott végre. A törlés típusa a "kemény törlés" típus volt, ami miatt az e-mail elem törölve lett, és nem érhető el a felhasználó postaládájában. A törlés olyan kapcsolatból történt, amely nem gyakori beállításokat tartalmaz, például internetszolgáltatót, országot/régiót és felhasználói ügynököt. Ez a szervezet megsértésének kísérletére utalhat, például a támadók a levélszemét-tevékenységekhez kapcsolódó e-mailek törlésével próbálják elfedni a műveleteket.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hozott létre egy szabályt az üzenetek törléséhez.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

• Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, például a gyanús beérkezett üzenetek továbbítására vonatkozó riasztásért, majd egy Impossible Travel-riasztásért . Keresse a következőt:

  1. Új SMTP-továbbítási szabályok az alábbiak szerint:
     • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például a "Minden e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például egy alig látható "." névtől. A továbbítási szabály neve akár üres is lehet, és a továbbító címzett lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Miután észlelte, használhatja ezt a hasznos blogbejegyzést a rejtett szabályok postaládákból való törléséről.
     • Ha ismeretlen belső vagy külső e-mail-címre nem felismert továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókja sérült.
  2. Új beérkezett üzenetekre vonatkozó szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például a "...".
  3. Az elküldött e-mailek számának növekedése.

Gyanús beérkezett üzenetek kezelési szabálya

Olyan tevékenységek, amelyek azt jelzik, hogy a támadó hozzáfért egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. Az olyan manipulációs szabályok, mint például az üzenetek vagy mappák törlése vagy áthelyezése egy felhasználó postaládájából, megpróbálhatják kiszűrni az információkat a szervezetből. Hasonlóképpen azt is jelezhetik, hogy megpróbálják manipulálni a felhasználó által látott információkat, vagy a beérkezett üzeneteket a levélszemét, adathalász e-mailek vagy kártevők terjesztésére használják. Felhőhöz készült Defender Az alkalmazások profilt adnak a környezetnek, és riasztásokat aktiválnak, ha gyanús postaláda-kezelési szabályokat észlelnek a felhasználó postaládájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

1. TP: Ha meg tudja győződni arról, hogy rosszindulatú beérkezett üzenetek szabályt hoztak létre, és a fiók feltörve lett.

   Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a továbbítási szabály eltávolítása.

2. FP: Ha meg tudja erősíteni, hogy egy felhasználó jogszerűen hozta-e létre a szabályt.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, például a gyanús beérkezett üzenetek továbbítására vonatkozó riasztásért, majd egy Impossible Travel-riasztásért . Keresni:
   • Új SMTP-továbbítási szabályok.
   • Új beérkezett üzenetekre vonatkozó szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például a "...".
2. Gyűjtse össze a művelet IP-címét és helyadatait.
3. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

Jogosultság-eszkalációs riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál magasabb szintű engedélyeket szerezni a szervezetben.

Szokatlan felügyeleti tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó feltört egy felhasználói fiókot, és olyan felügyeleti műveleteket hajtott végre, amelyek nem gyakoriak az adott felhasználó számára. A támadók például megpróbálhatnak módosítani egy felhasználó biztonsági beállításait, amely egy gyakori felhasználó számára viszonylag ritka művelet. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható rendszergazda hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP: Ha meg tudja erősíteni, hogy egy rendszergazda jogszerűen hajtotta végre a szokatlan mennyiségű rendszergazdai tevékenységet.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, például a gyanús postaládák továbbításáért vagy az Impossible Travelért.
2. Tekintse át az egyéb konfigurációs módosításokat, például hozzon létre egy olyan felhasználói fiókot, amely felhasználható az adatmegőrzéshez.

Hitelesítőadat-hozzáférési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja ellopni a fiókneveket és jelszavakat a szervezettől.

Több sikertelen bejelentkezési kísérlet

A sikertelen bejelentkezési kísérletek egy fiók feltörésére tett kísérletre utalhatnak. A sikertelen bejelentkezések azonban normális viselkedést is jelenthetnek. Ha például egy felhasználó tévedésből hibás jelszót adott meg. A pontosság és a riasztás csak akkor érhető el, ha erős jelzést ad a behatolási kísérletről, Felhőhöz készült Defender Az alkalmazások a szervezet minden felhasználója számára alapkonfigurációt hoznak létre a bejelentkezési szokásokhoz, és csak a szokatlan viselkedés észlelésekor fognak riasztást adni.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Ez a szabályzat a felhasználó normál bejelentkezési viselkedésének megismerésén alapul. A normától való eltérés észlelésekor a rendszer riasztást indít el. Ha az észlelés azt látja, hogy ugyanaz a viselkedés folytatódik, a riasztás csak egyszer jelenik meg.

1. TP (MFA sikertelen): Ha meg tudja erősíteni, hogy az MFA megfelelően működik, ez egy találgatásos támadás jele lehet.

   Javasolt műveletek:

   1. Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.
   2. Keresse meg a sikertelen hitelesítéseket végrehajtó alkalmazást, és konfigurálja újra.
   3. Keresse meg a tevékenység ideje körül bejelentkezett többi felhasználót, mert azokat is veszélybe sodorhatja. Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

2. B-TP (MFA sikertelen): Ha meg tudja erősíteni, hogy a riasztást az MFA-val kapcsolatos probléma okozza.

   Javasolt művelet: Hozzon létre egy forgatókönyvet a Power Automate használatával, hogy kapcsolatba lépjen a felhasználóval, és ellenőrizze, hogy problémákat tapasztalnak-e az MFA-val kapcsolatban.

3. B-TP (helytelenül konfigurált alkalmazás): Ha meg tudja erősíteni, hogy egy helytelenül konfigurált alkalmazás többször próbál csatlakozni egy szolgáltatáshoz lejárt hitelesítő adatokkal.

   Javasolt művelet: A riasztás elvetése.

4. B-TP (A jelszó megváltozott): Ha meg tudja erősíteni, hogy egy felhasználó nemrég módosította a jelszavát, de az nem befolyásolta a hálózati megosztások hitelesítő adatait.

   Javasolt művelet: A riasztás elvetése.

5. B-TP (Biztonsági teszt): Ha meg tudja erősíteni, hogy biztonsági vagy behatolási tesztet végeznek biztonsági elemzők a szervezet nevében.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rés egyéb jelzéseiért, például a riasztást a következő riasztások egyike követi: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy ritkán használt országból származó tevékenység.
2. Tekintse át a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkkal:
   • Operációs rendszer és verzió
   • Böngésző és verzió
   • IP-cím és hely
3. Azonosítsa a forrás IP-címét vagy helyét, ahol a hitelesítési kísérlet történt.
4. Állapítsa meg, hogy a felhasználó nemrég módosította-e a jelszavát, és győződjön meg arról, hogy minden alkalmazás és eszköz rendelkezik a frissített jelszóval.

Hitelesítő adatok szokatlan hozzáadása OAuth-alkalmazásokhoz

Ez az észlelés azonosítja a kiemelt hitelesítő adatok gyanús hozzáadását egy OAuth-alkalmazáshoz. Ez azt jelezheti, hogy egy támadó feltörte az alkalmazást, és rosszindulatú tevékenységre használja.

Tanulás időszak

Tanulás a szervezet környezetéhez hét nap szükséges, amely alatt nagy mennyiségű riasztásra számíthat.

Szokatlan internetszolgáltató egy OAuth-alkalmazáshoz

Az észlelés azonosít egy OAuth-alkalmazást, amely egy olyan internetszolgáltatótól csatlakozik a felhőalkalmazáshoz, amely nem gyakori az alkalmazásban. Ez azt jelezheti, hogy a támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtására a felhőalkalmazásokon.

Tanulás időszak

Az észlelés tanulási időtartama 30 nap.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenység nem az OAuth-alkalmazás jogszerű tevékenysége volt, vagy hogy ezt az internetszolgáltatót nem használja a jogszerű OAuth-alkalmazás.

   Javasolt művelet: Vonja vissza az OAuth-alkalmazás összes hozzáférési jogkivonatát, és vizsgálja meg, hogy a támadó rendelkezik-e hozzáféréssel OAuth-hozzáférési jogkivonatok létrehozásához.

2. FP: Ha meg tudja erősíteni, hogy a tevékenységet jogszerűen hajtotta végre az eredeti OAuth-alkalmazás.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az OAuth-alkalmazás által végzett tevékenységeket.

2. Vizsgálja meg, hogy a támadó rendelkezik-e hozzáféréssel OAuth-hozzáférési jogkivonatok létrehozásához.

Gyűjtési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő esetleg megkísérli összegyűjteni a céljuknak megfelelő adatokat a szervezettől.

Több Power BI-jelentésmegosztási tevékenység

Egyetlen munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú megosztási jelentési tevékenységet hajtott végre a Power BI-ban a tanult alapkonfigurációhoz képest. Ez a szervezet megsértésének kísérletére utalhat.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: Megosztási hozzáférés eltávolítása a Power BI-ból. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor felfüggesztheti a felhasználót, megjelölheti a felhasználót sérültként, és alaphelyzetbe állíthatja a jelszavát.

2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplót, hogy jobban megismerje a felhasználó által végzett egyéb tevékenységeket. Tekintse meg a bejelentkezett IP-címet és az eszköz adatait.
2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba a Power BI csapatával vagy az Information Protection csapatával.

Gyanús Power BI-jelentésmegosztás

Olyan tevékenységek, amelyek azt jelzik, hogy egy felhasználó megosztott egy Power BI-jelentést, amely az NLP használatával azonosított bizalmas információkat tartalmazhat a jelentés metaadatainak elemzéséhez. A jelentést megosztották egy külső e-mail-címmel, közzétették a weben, vagy egy pillanatképet egy külsőleg előfizetett e-mail-címre kézbesítettek. Ez a szervezet megsértésének kísérletére utalhat.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: Megosztási hozzáférés eltávolítása a Power BI-ból. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor felfüggesztheti a felhasználót, megjelölheti a felhasználót sérültként, és alaphelyzetbe állíthatja a jelszavát.

2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplót, hogy jobban megismerje a felhasználó által végzett egyéb tevékenységeket. Tekintse meg a bejelentkezett IP-címet és az eszköz adatait.
2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba a Power BI csapatával vagy az Information Protection csapatával.

Szokatlan megszemélyesített tevékenység (felhasználó szerint)

Egyes szoftverekben lehetőség van arra, hogy más felhasználók megszemélyesíthessenek más felhasználókat. Az e-mail-szolgáltatások lehetővé teszik például, hogy más felhasználók e-maileket küldjenek a nevükben. Ezt a tevékenységet a támadók gyakran használják adathalász e-mailek létrehozására a szervezettel kapcsolatos információk kinyerésére tett kísérlet során. Felhőhöz készült Defender Az alkalmazások a felhasználó viselkedése alapján létrehoznak egy alapkonfigurációt, és szokatlan megszemélyesítési tevékenység észlelésekor létrehoznak egy tevékenységet.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtotta végre a szokatlan tevékenységeket, vagy több tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

3. FP: Ha meg tudja erősíteni, hogy az alkalmazások, például a Teams, jogszerűen megszemélyesítették a felhasználót.

   Javasolt művelet: Tekintse át a műveleteket, és szükség esetén zárja be a riasztást.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet és riasztást a biztonsági rések további jelzéseiért.
2. Tekintse át a megszemélyesítési tevékenységeket a lehetséges rosszindulatú tevékenységek azonosításához.
3. Tekintse át a delegált hozzáférés konfigurációját.

Kiszűrési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál adatokat lopni a szervezettől.

Gyanús beérkezett üzenetek továbbítása

Olyan tevékenységek, amelyek azt jelzik, hogy a támadó hozzáfért egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. A manipulációs szabályok, például az összes vagy egy adott e-mail továbbítása egy másik e-mail-fiókba azt jelenthetik, hogy megpróbálják kiszűrni a szervezet adatait. Felhőhöz készült Defender Az alkalmazások profilt adnak a környezetnek, és riasztásokat aktiválnak, ha gyanús postaláda-kezelési szabályokat észlelnek a felhasználó postaládájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

1. TP: Ha meg tudja győződni arról, hogy rosszindulatú levelezési továbbítási szabály jött létre, és a fiók feltörve lett.

   Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a továbbítási szabály eltávolítása.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó létrehozott egy továbbítási szabályt egy új vagy személyes külső e-mail-fiókba jogos okokból.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések további jelzéseiért, például a riasztást egy Impossible Travel-riasztás követi. Keresse a következőt:

   1. Új SMTP-továbbítási szabályok az alábbiak szerint:
      • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például a "Minden e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például egy alig látható "." névtől. A továbbítási szabály neve akár üres is lehet, és a továbbító címzett lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Miután észlelte, használhatja ezt a hasznos blogbejegyzést a rejtett szabályok postaládákból való törléséről.
      • Ha ismeretlen belső vagy külső e-mail-címre nem felismert továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókja sérült.
   2. Új beérkezett üzenetekre vonatkozó szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például a "...".

2. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

3. Tekintse át a továbbított üzenetek listáját az Exchange Online üzenetkövetésével.

Szokatlan fájlletöltés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlletöltést hajtott végre egy felhőalapú tárolási platformról a tanult alapkonfigurációhoz képest. Ez azt jelezheti, hogy megpróbál információt szerezni a szervezetről. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlletöltési tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

3. FP (Szoftverszinkronizálás): Ha meg tudja erősíteni, hogy a szoftver( például a OneDrive) szinkronizálva van egy külső biztonsági másolattal, amely a riasztást okozta.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a letöltési tevékenységeket, és hozzon létre egy listát a letöltött fájlokról.
2. Tekintse át a letöltött fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlhozzáférés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlhozzáférést hajtott végre a SharePointban vagy a OneDrive-ban olyan fájlokhoz, amelyek pénzügyi adatokat vagy hálózati adatokat tartalmaznak a tanult alapkonfigurációhoz képest. Ez arra utalhat, hogy a szervezetről próbál információt szerezni, akár pénzügyi célból, akár hitelesítő adatokhoz való hozzáféréshez és oldalirányú mozgáshoz. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

A tanulási időszak a felhasználó tevékenységétől függ. A tanulási időszak általában 21 és 45 nap között van a legtöbb felhasználó számára.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlhozzáférési tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a hozzáférési tevékenységeket, és hozzon létre egy listát a megnyitott fájlokról.
2. Tekintse át a hozzáfért fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlmegosztási tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlmegosztási műveletet hajtott végre egy felhőbeli tárolási platformról a tanult alapkonfigurációhoz képest. Ez azt jelezheti, hogy megpróbál információt szerezni a szervezetről. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlmegosztási tevékenységet, mint a létrehozott alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a megosztási tevékenységeket, és hozzon létre egy listát a megosztott fájlokról.
2. Tekintse át a megosztott fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.
3. Hozzon létre egy fájlszabályzatot hasonló dokumentumokhoz a bizalmas fájlok jövőbeli megosztásának észleléséhez.

Hatásriasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja manipulálni, megszakítani vagy megsemmisíteni a szervezet rendszereit és adatait.

Több virtuálisgép-törlési tevékenység

Egyetlen munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-törlést hajtott végre a tanult alapkonfigurációhoz képest. Több virtuális gép törlése azt jelezheti, hogy megkísérel megzavarni vagy megsemmisíteni egy környezetet. A virtuális gépek törlésére azonban számos normál forgatókönyv létezik.

TP, B-TP vagy FP?

A pontosság és a riasztás javítása érdekében csak akkor, ha erős jelzést ad egy incidensre, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében, és csak a szokatlan viselkedés észlelése esetén.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

• TP: Ha meg tudja erősíteni, hogy a törlések jogosulatlanok voltak.

  Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb jelzéseiért, és vizsgálja meg a hatás hatókörét.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt-e a törlési tevékenységek végrehajtására.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
2. Tekintse át az összes felhasználói tevékenységet a biztonsági rések további jelzéseiért, például a riasztást a következő riasztások valamelyike követi: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy ritkán használt országból származó tevékenység.

Zsarolóprogram-tevékenység

A ransomware egy kibertámadás, amelyben a támadó zárolja az áldozatokat az eszközeikről, vagy letiltja őket a fájlok elérésében, amíg az áldozat váltságdíjat nem fizet. A zsarolóprogramokat rosszindulatú megosztott fájl vagy feltört hálózat terjesztheti. Felhőhöz készült Defender Az alkalmazások biztonsági kutatási szakértelemmel, fenyegetésfelderítéssel és tanult viselkedési mintákkal azonosítják a zsarolóprogram-tevékenységeket. A fájlfeltöltések vagy fájltörlések magas aránya például olyan titkosítási folyamatot jelenthet, amely gyakori a zsarolóprogram-műveletekben.

Ez az észlelés alapkonfigurációt hoz létre a szervezet minden felhasználójának normál működési mintáiról, például arról, hogy a felhasználó mikor fér hozzá a felhőhöz, és hogy milyen műveleteket végeznek a felhőben.

A Felhőhöz készült Defender Alkalmazások automatikus fenyegetésészlelési szabályzatai a csatlakozás pillanatától kezdve a háttérben futnak. A biztonsági kutatással kapcsolatos szakértelmünk segítségével azonosíthatja a szervezet zsarolóprogram-tevékenységét tükröző viselkedési mintákat, Felhőhöz készült Defender Apps átfogó lefedettséget biztosít a kifinomult ransomware-támadások ellen.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem a felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP (Szokatlan viselkedés): A felhasználó rövid időn belül jogszerűen hajtott végre több törlési és feltöltési tevékenységet hasonló fájlokból.

   Javasolt művelet: Miután áttekintette a tevékenységnaplót, és meggyőződött arról, hogy a fájlkiterjesztések nem gyanúsak, zárja be a riasztást.

3. FP (Common ransomware file extension): Ha meg tudja erősíteni, hogy az érintett fájlok kiterjesztése megegyezik egy ismert ransomware kiterjesztéssel.

   Javasolt művelet: Lépjen kapcsolatba a felhasználóval, és győződjön meg arról, hogy a fájlok biztonságban vannak, majd zárja be a riasztást.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplóban a fájlok egyéb biztonsági jelzéseit, például a fájlok tömeges letöltését vagy tömeges törlését.
2. Ha Végponthoz készült Microsoft Defender használ, tekintse át a felhasználó számítógépére vonatkozó riasztásokat, és ellenőrizze, hogy rosszindulatú fájlokat észlelt-e.
3. Keressen kártékony fájlfeltöltési és -megosztási tevékenységeket a tevékenységnaplóban.

Szokatlan fájltörlési tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan fájltörlési tevékenységet hajtott végre a tanult alapkonfigurációhoz képest. Ez zsarolóprogram-támadást jelezhet. A támadók például titkosíthatják a felhasználó fájljait, és törölhetik az összes eredetit, így csak azokat a titkosított verziókat hagyhatják meg, amelyek arra kényszeríthetik az áldozatot, hogy váltságdíjat fizessenek. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó normál viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájltörlési tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a törlési tevékenységeket, és hozzon létre egy listát a törölt fájlokról. Szükség esetén állítsa helyre a törölt fájlokat.
2. Ha szeretné, hozzon létre egy forgatókönyvet a Power Automate használatával, hogy kapcsolatba lépjen a felhasználókkal és a felettesekkel a tevékenység ellenőrzéséhez.

Vizsgálat prioritási pontszámának növelése (előzetes verzió)

A riasztásokat kiváltó rendellenes tevékenységek és tevékenységek a felhasználó súlyossága, felhasználói hatása és viselkedéselemzése alapján kapnak pontszámot. Az elemzés a bérlők többi felhasználója alapján történik.

Ha egy adott felhasználó vizsgálati prioritási pontszámának jelentős és rendellenes növekedése történik, a riasztás aktiválódik.

Ez a riasztás lehetővé teszi az olyan lehetséges incidensek észlelését, amelyeket olyan tevékenységek jellemeznek, amelyek nem feltétlenül váltanak ki konkrét riasztásokat, de gyanús viselkedést váltanak ki a felhasználó számára.

Tanulás időszak

Az új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszak szükséges, amely során a rendszer nem aktiválja a riasztásokat a pontszám növeléséhez.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a felhasználó tevékenységei nem jogszerűek.

   Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

2. B-TP: Ha meg tudja erősíteni, hogy a felhasználó valóban jelentősen eltért a szokásos viselkedéstől, de nincs lehetséges behatolás.

3. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtotta végre a szokatlan tevékenységeket, vagy több tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az összes felhasználói tevékenységet és riasztást a biztonsági rések további jelzéseiért.

Elavulás idővonala

2024 augusztusára fokozatosan visszavonulunk a vizsgálati prioritási pontszámok Felhőhöz készült Microsoft Defender-alkalmazások riasztásától.

Gondos elemzés és megfontolás után úgy döntöttünk, hogy a riasztáshoz társított hamis pozitív értékek magas aránya miatt elavul, ami nem járul hozzá hatékonyan a szervezet általános biztonságához.

Kutatásunk kimutatta, hogy ez a funkció nem jelent jelentős értéket, és nem igazodott a kiváló minőségű, megbízható biztonsági megoldások biztosítására összpontosító stratégiai fókuszunkhoz.

Elkötelezettek vagyunk a szolgáltatások folyamatos fejlesztése és annak biztosítása mellett, hogy megfeleljenek az Ön igényeinek és elvárásainak.

Azok számára, akik továbbra is használni szeretnék ezt a riasztást, javasoljuk, hogy inkább a következő speciális keresési lekérdezést használja javasolt sablonként. Módosítsa a lekérdezést az igényeinek megfelelően.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Lásd még

Kockázatos felhasználók vizsgálata