Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Microsoft Defender for Cloud Apps magában foglalja a feltört felhasználók észlelését, a belső fenyegetéseket, az adatkiszivárgást és a zsarolóprogram-tevékenységeket. A szolgáltatás anomáliadetektálást, felhasználó- és entitásviselkedés-elemzést (UEBA) és szabályalapú tevékenységészlelést használ a felhasználói tevékenységek csatlakoztatott alkalmazások közötti elemzéséhez.
A felhőkörnyezetek jogosulatlan vagy váratlan változásai biztonsági és üzemeltetési kockázatokat okozhatnak. A kulcsfontosságú vállalati erőforrások, például a nyilvános webhelyét vagy szolgáltatását futtató kiszolgálók módosításai például veszélybe kerülhetnek.
Defender for Cloud Apps több forrásból származó adatokat rögzít és elemez a szervezet alkalmazás- és felhasználói tevékenységeinek azonosításához. Ez az elemzés betekintést nyújt a biztonsági elemzők számára a felhőhasználatba. Az összegyűjtött adatok korrelálva, szabványosítva és kiegészítve jelennek meg a fenyegetésfelderítéssel és a tartózkodási hellyel, így pontos és egységes képet adnak a gyanús tevékenységekről.
Az észlelések finomhangolása előtt konfigurálja a következő adatforrásokat:
| Source (Forrás) | Leírás |
|---|---|
| Tevékenységnapló | Az API-hoz csatlakoztatott alkalmazások tevékenységei. |
| Felderítési napló | A tűzfalból és a proxy forgalmi naplójából kinyert tevékenységek, amelyeket a Defender for Cloud Apps továbbít. A naplókat a rendszer a felhőalkalmazás-katalógus alapján elemzi, rangsorolja, és több mint 90 kockázati tényező alapján pontozza. |
| Proxynapló | A feltételes hozzáférésű alkalmazásvezérlő alkalmazások tevékenységei. |
Az észlelési modellek betanításához szűrők és dinamikus küszöbértékek (UEBA) beállításával finomhangolhatja az alábbi szabályzatokat. Letiltásokat is beállíthat a gyakori téves pozitív észlelések csökkentése érdekében:
- Anomáliadetektálás
- Felhőfelderítési anomáliadetektálás
- Szabályalapú tevékenységészlelés
Ismerje meg, hogyan hangolhatja a felhasználói tevékenységek észlelését a valódi biztonsági rések azonosítása és a nagy mennyiségű téves pozitív észlelésből származó szükségtelen riasztások csökkentése érdekében:
1. fázis: IP-címtartományok konfigurálása
- Állítson be IP-címtartományokat a gyanús felhasználói tevékenységészlelési szabályzatok bármilyen típusának finomhangolásához.
Az ismert IP-címek beállításával a gépi tanulási algoritmusok azonosíthatják az ismert helyeket, és a gépi tanulási modellek részeként tekinthet rájuk. A VPN IP-címtartományának hozzáadása például segít a modellnek megfelelően besorolni ezt az IP-tartományt, és automatikusan kizárni a lehetetlen utazási észlelésekből, mert a VPN-hely nem az adott felhasználó valódi helyét jelöli.
Megjegyzés:
Defender for Cloud Apps ip-címtartományokat használ a szolgáltatásban, nem csak észlelésekhez. Az IP-címtartományok a tevékenységnaplóban, a feltételes hozzáférésben és egyebekben használatosak. A fizikai irodai IP-címek azonosításával például testre szabhatja a naplók és riasztások megtekintésének és kivizsgálásának módját.
Anomáliadetektálási riasztások áttekintése
Defender for Cloud Apps anomáliadetektálási riasztásokat tartalmaz a különböző biztonsági forgatókönyvek azonosításához. Elkezdenek profilt készíteni a felhasználói tevékenységekről, és riasztásokat generálnak, amint csatlakoztatja a megfelelő alkalmazás-összekötőket.
Első lépésként ismerkedjen meg a különböző észlelési szabályzatokkal. Rangsorolja a legfontosabb forgatókönyveket, amelyek szerinte a leginkább relevánsak a szervezet számára, és ennek megfelelően finomhangolja a szabályzatokat.
2. fázis: Anomáliadetektálási szabályzatok hangolása
Defender for Cloud Apps számos beépített anomáliadetektálási szabályzatot tartalmaz, amelyek előre vannak konfigurálva a gyakori biztonsági használati esetekhez. A népszerű észlelések közé tartoznak a következők:
| Nyomozás | Leírás |
|---|---|
| Lehetetlen utazás | Ugyanazon felhasználótól különböző helyeken végzett tevékenységek egy olyan időtartamon belül, amely rövidebb a két hely közötti várható utazási időnél. |
| Ritka országból származó tevékenység | Olyan helyről származó tevékenység, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg. |
| Kártevőészlelés | Megvizsgálja a felhőalkalmazásokban lévő fájlokat, és gyanús fájlokat futtat a Microsoft fenyegetésfelderítési motorján keresztül annak ellenőrzéséhez, hogy azok ismert kártevőkkel vannak-e társítva. |
| Zsarolóprogramokkal kapcsolatos tevékenység | Fájlok feltöltése a felhőbe, amelyek zsarolóprogramokkal fertőzöttek lehetnek. |
| Gyanús IP-címekről származó tevékenység | A Microsoft Threat Intelligence által kockázatosként azonosított IP-címről származó tevékenység. |
| Gyanús beérkezett üzenetek továbbítása | Észleli a felhasználó beérkezett üzenetek mappájában beállított gyanús üzenettovábbítási szabályokat. |
| Szokatlan több fájlletöltési tevékenység | Több fájlletöltési tevékenységet észlel egyetlen munkamenetben az alapkonfigurációval kapcsolatban, ami biztonsági incidensre utalhat. |
| Szokatlan adminisztratív tevékenységek | Több felügyeleti tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációhoz képest, ami biztonsági incidensre utalhat. |
Megjegyzés:
Egyes anomáliadetektálások a problémás biztonsági forgatókönyvek észlelésére összpontosítanak, míg mások segítenek azonosítani és kivizsgálni az olyan rendellenes felhasználói viselkedéseket, amelyek nem feltétlenül jelentenek kompromisszumot. Az ilyen észlelésekhez használhatja a Microsoft Defender XDR speciális veszélyforrás-keresési felületen elérhető viselkedéseket.
Szabályzatok hatóköre adott felhasználókra vagy csoportokra
Az adott felhasználókra vonatkozó hatókörkezelési szabályzatok segíthetnek csökkenteni a szervezet szempontjából nem releváns riasztások zaját. Az egyes szabályzatokat úgy konfigurálhatja, hogy adott felhasználókat és csoportokat is belefoglaljanak vagy kizárjanak, például az alábbi példákban:
-
Támadásszimulációk
Számos szervezet használ felhasználót vagy csoportot a támadások folyamatos szimulálására. A felhasználók tevékenységeitől érkező folyamatos riasztások szükségtelen zajt okoznak. Állítsa be a szabályzatokat úgy, hogy kizárják ezeket a felhasználókat vagy csoportokat. Ez a művelet segít a gépi tanulási modelleknek azonosítani ezeket a felhasználókat, és finomhangolni a dinamikus küszöbértékeiket. -
Célzott észlelések
Érdemes lehet megvizsgálni a VIRTUÁLIS IP-felhasználók egy adott csoportját, például egy rendszergazdai vagy a CXO-csoport tagjait. Ebben az esetben hozzon létre egy szabályzatot az észlelni kívánt tevékenységekhez, és válassza ki, hogy csak az Önt érdeklő felhasználókat vagy csoportokat foglalja bele.
-
Támadásszimulációk
Rendellenes bejelentkezési észlelések hangolása
A sikertelen bejelentkezési tevékenységekből származó riasztások azt jelezhetik, hogy valaki egy vagy több felhasználói fiókot próbál meg célozni.
A feltört hitelesítő adatok gyakori okai a fiókátvételnek és a jogosulatlan tevékenységeknek. A lehetetlen utazás, a gyanús IP-címekről származó tevékenységek és a ritkán előforduló ország- vagy régióészlelési riasztások segítenek felderíteni azokat a tevékenységeket, amelyek arra utalnak, hogy egy fiók biztonsága sérülhet.
A lehetetlen utazásérzékenységének finomhangolásaKonfigurálja a bizalmassági csúszkát, amely meghatározza a rendellenes viselkedésre alkalmazott mellőzések szintjét, mielőtt egy lehetetlen utazási riasztást aktivál. A magas megbízhatóság iránt érdeklődő szervezeteknek érdemes megfontolni a bizalmassági szint növelését. Ha a szervezetnek sok felhasználója van, érdemes lehet csökkenteni a bizalmassági szintet, hogy a felhasználók korábbi tevékenységeiből megismert gyakori helyekről ne jelenjenek meg tevékenységek. A következő bizalmassági szintek közül választhat:
- Alacsony: Rendszer-, bérlő- és felhasználói letiltások
- Közepes: Rendszer- és felhasználóelnyomások
- Magas: Csak rendszerelnyomások
Hely:
Mellőzés típusa Leírás Rendszer Beépített észlelések, amelyek mindig le vannak tiltva. Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezeten belül korábban riasztást küldő egyik ispéldából származó tevékenységeket. Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.
3. fázis: Felhőfelderítési anomáliadetektálási szabályzatok finomhangolása
Számos beépített felhőfelderítési anomáliadetektálási szabályzatot finomhangolhat, vagy létrehozhat saját szabályzatokat más, kivizsgálandó forgatókönyvek azonosításához. Ezek a szabályzatok felhőfelderítési naplókat használnak, olyan finomhangolási képességekkel , amelyek az alkalmazások rendellenes viselkedésére és az adatkiszivárgásra összpontosítanak.
A használat monitorozásának finomhangolása
Állítsa be a használati szűrőket a hatókör és a tevékenységi időszak szabályozásához a rendellenes viselkedés észleléséhez. Például riasztásokat kaphat a vezetői szintű alkalmazottak rendellenes tevékenységeiről.
Riasztás érzékenységének finomhangolása
A szükségtelen riasztások csökkentése érdekében állítsa be a riasztások érzékenységét. A bizalmassági csúszkával szabályozhatja a hetente 1000 felhasználónként küldött magas kockázatú riasztások számát. A nagyobb érzékenységhez kisebb eltérésre van szükség ahhoz, hogy anomáliának tekintsük, és több riasztást generáljon. Általánosságban elmondható, hogy a bizalmas adatokhoz hozzáféréssel nem rendelkező felhasználók számára alacsony érzékenységet állítson be.
4. fázis: Szabályalapú észlelési (tevékenység-) szabályzatok hangolása
A szabályalapú észlelési szabályzatok kiegészítik az anomáliadetektálási szabályzatokat a szervezetspecifikus követelményekkel. Szabályalapú szabályzatok létrehozása a Tevékenységszabályzat-sablonok egyikével.
Ha a szervezet nem rendelkezik jelenléti állapottal egy adott országban vagy régióban, hozzon létre egy szabályzatot, amely észleli az adott helyről származó rendellenes tevékenységeket. Az adott országban vagy régióban nagy ágakkal rendelkező szervezetek esetében az ilyen tevékenységek normálisak, és nem érdemes észlelni az ilyen tevékenységeket.
- Lépjen aHázirendszabályzat-sablonok> lapra, és állítsa a Típus szűrőt Tevékenységházirend értékre. Állítson be tevékenységszűrőket a környezetében nem normális viselkedések észleléséhez.
-
Tevékenységkötet hangolása
Válassza ki a szükséges tevékenységmennyiséget, mielőtt az észlelés riasztást aktivál. Ha a szervezet nem rendelkezik jelenléti állapottal egy országban vagy régióban, még egyetlen tevékenység is jelentős, és riasztást igényel. Az egyszeri bejelentkezési hiba emberi hiba lehet, és csak akkor lehet érdekes, ha rövid időn belül sok hiba történik. -
Tevékenységszűrők hangolása
Állítsa be azokat a szűrőket, amelyek alapján észlelni szeretné, hogy milyen típusú tevékenységről szeretne riasztást kapni. Ha például egy országból vagy régióból szeretne tevékenységet észlelni, használja a Location paramétert. -
Riasztások hangolása
A szükségtelen riasztások csökkentése érdekében állítsa be a napi riasztási korlátot.
5. fázis: Riasztások konfigurálása
Megjegyzés:
A Microsoft 2022. december 15-én megszüntette a Riasztások/SMS -ek (sms-ek) funkciót. Ha szöveges riasztásokat szeretne kapni, használja a Microsoft Power Automate egyéni riasztások automatizálásához. További információ: Integráció Microsoft Power Automate egyéni riasztások automatizálásához.
Ha a nap bármely időpontjában azonnali riasztásokat szeretne kapni, válassza az e-mailben történő fogadást.
Érdemes lehet elemezni a riasztásokat a szervezet más termékei által aktivált egyéb riasztások kontextusában is. Ez az elemzés átfogó képet ad egy lehetséges fenyegetésről. Előfordulhat például, hogy korrelálni szeretne a felhőalapú és a helyszíni események között, hogy láthassa, van-e más olyan enyhítő bizonyíték, amely megerősíti a támadást.
A Microsoft Power Automate egyéni riasztásautomatizálást aktiválhat. Riasztás aktiválásakor a következőkre van lehetőség:
- Forgatókönyv beállítása
- Probléma létrehozása a ServiceNow-ben
- Jóváhagyási e-mail küldése egyéni cégirányítási művelet futtatásához riasztás aktiválásakor
A riasztások konfigurálásához kövesse az alábbi irányelveket:
-
E-mail
Válassza ezt a lehetőséget a riasztások e-mailben történő fogadásához. -
SIEM
Számos SIEM-integrációs lehetőség létezik, például a Microsoft Sentinel, a Microsoft Graph Biztonság és más általános SIEM-ek. Válassza ki a követelményeknek leginkább megfelelő integrációt. -
A Power Automate automatizálása
Hozza létre a szükséges automatizálási forgatókönyveket, és állítsa be a szabályzat Power Automate-műveletre vonatkozó riasztásaként.
6. fázis: Vizsgálat és javítás
A védelem optimalizálásához állítson be automatikus javítási műveleteket a szervezetet veszélyeztető kockázatok minimalizálása érdekében. A szabályzatokkal irányítási műveleteket alkalmazhat a riasztásokkal, így a szervezetre vonatkozó kockázat még a vizsgálat megkezdése előtt csökken. A szabályzat típusa határozza meg az elérhető műveleteket, beleértve az olyan műveleteket, mint a felhasználó szüneteltetése vagy a kért erőforráshoz való hozzáférés letiltása.