Tutorial: Mendeteksi aktivitas pengguna yang mencurigakan dengan analitik perilaku (UEBA)

Microsoft Defender untuk Cloud Apps menyediakan deteksi terbaik di seluruh rantai pembunuhan serangan untuk pengguna yang disusupi, ancaman orang dalam, eksfiltrasi, ransomware, dan banyak lagi. Solusi komprehensif kami dicapai dengan menggabungkan beberapa metode deteksi, termasuk anomali, analitik perilaku (UEBA), dan deteksi aktivitas berbasis aturan, untuk memberikan tampilan luas tentang cara pengguna Anda menggunakan aplikasi di lingkungan Anda.

Jadi mengapa penting untuk mendeteksi perilaku mencurigakan? Dampak pengguna yang dapat mengubah lingkungan cloud Anda dapat menjadi signifikan dan berdampak langsung pada kemampuan Anda untuk menjalankan bisnis Anda. Misalnya, sumber daya perusahaan utama seperti server yang menjalankan situs web atau layanan publik yang Anda berikan kepada pelanggan dapat disusupi.

Menggunakan data yang diambil dari beberapa sumber, Defender untuk Cloud Apps menganalisis data untuk mengekstrak aktivitas aplikasi dan pengguna di organisasi Anda yang memberikan visibilitas analis keamanan Anda ke dalam penggunaan cloud. Data yang dikumpulkan berkorelasi, distandarisasi, dan diperkaya dengan inteligensi ancaman, lokasi, dan banyak detail lainnya untuk memberikan pandangan yang akurat dan konsisten tentang aktivitas yang mencurigakan.

Oleh karena itu, untuk sepenuhnya mewujudkan manfaat deteksi ini, pertama-tama pastikan Anda mengonfigurasi sumber berikut:

• Log aktivitas
  Aktivitas dari aplikasi yang terhubung dengan API Anda.
• Log penemuan
  Aktivitas yang diekstrak dari log lalu lintas firewall dan proksi yang diteruskan ke Defender untuk Cloud Apps. Log dianalisis terhadap katalog aplikasi cloud, peringkat, dan skor berdasarkan lebih dari 90 faktor risiko.
• Log proksi
  Aktivitas dari aplikasi Kontrol Aplikasi Akses Bersyar Anda.

Selanjutnya, Anda harus menyetel kebijakan Anda. Kebijakan berikut dapat disempurnakan dengan mengatur filter, ambang batas dinamis (UEBA) untuk membantu melatih model deteksi mereka, dan supresi untuk mengurangi deteksi positif palsu umum:

• Deteksi anomali
• Deteksi anomali Cloud Discovery
• Deteksi aktivitas berbasis aturan

Dalam tutorial ini, Anda akan mempelajari cara menyetel deteksi aktivitas pengguna untuk mengidentifikasi kompromi sejati dan mengurangi kelelahan pemberitahuan yang dihasilkan dari penanganan deteksi positif palsu dalam volume besar:

• Mengonfigurasi rentang alamat IP
• Menyetel kebijakan deteksi anomali
• Menyetel kebijakan deteksi anomali penemuan cloud
• Menyetel kebijakan deteksi berbasis aturan
• Konfigurasikan peringatan
• Menyelidiki dan memulihkan

Fase 1: Mengonfigurasi rentang alamat IP

Sebelum mengonfigurasi kebijakan individual, disarankan untuk mengonfigurasi rentang IP sehingga tersedia untuk digunakan dalam menyempurnakan semua jenis kebijakan deteksi aktivitas pengguna yang mencurigakan.

Karena informasi alamat IP sangat penting untuk hampir semua penyelidikan, mengonfigurasi alamat IP yang diketahui membantu algoritma pembelajaran mesin kami mengidentifikasi lokasi yang diketahui dan menganggapnya sebagai bagian dari model pembelajaran mesin. Misalnya, menambahkan rentang alamat IP VPN Anda akan membantu model mengklasifikasikan rentang IP ini dengan benar dan secara otomatis mengecualikannya dari deteksi perjalanan yang tidak mungkin karena lokasi VPN tidak mewakili lokasi sebenarnya dari pengguna tersebut.

Catatan: Rentang IP yang dikonfigurasi tidak terbatas pada deteksi dan digunakan di seluruh Defender untuk Cloud Aplikasi di area seperti aktivitas di log aktivitas, akses bersyarah, dll. Ingatlah hal ini saat mengonfigurasi rentang. Jadi, misalnya, mengidentifikasi alamat IP kantor fisik Anda memungkinkan Anda menyesuaikan cara log dan pemberitahuan ditampilkan dan diselidiki.

Tinjau pemberitahuan deteksi anomali siap pakai

Defender untuk Cloud Apps menyertakan serangkaian pemberitahuan deteksi anomali untuk mengidentifikasi skenario keamanan yang berbeda. Deteksi ini secara otomatis diaktifkan di luar kotak dan akan mulai membuat profil aktivitas pengguna dan menghasilkan pemberitahuan segera setelah konektor aplikasi yang relevan terhubung.

Mulailah dengan membiasakan diri dengan kebijakan deteksi yang berbeda, prioritaskan skenario teratas yang menurut Anda paling relevan untuk organisasi Anda, dan sesuaikan kebijakan yang sesuai.

Fase 2: Menyetel kebijakan deteksi anomali

Beberapa kebijakan deteksi anomali bawaan tersedia di Defender untuk Cloud Apps yang telah dikonfigurasi sebelumnya untuk kasus penggunaan keamanan umum. Anda harus meluangkan waktu untuk membiasakan diri dengan deteksi yang lebih populer, seperti:

• Perjalanan yang tidak memungkinkan
  Aktivitas dari pengguna yang sama di lokasi yang berbeda dalam periode yang lebih pendek dari waktu perjalanan yang diharapkan antara dua lokasi.
• Aktivitas dari negara yang jarang
  Aktivitas dari lokasi yang baru-baru ini atau tidak pernah dikunjungi oleh pengguna.
• Deteksi malware
  Memindai file di aplikasi cloud Anda dan menjalankan file mencurigakan melalui mesin inteligensi ancaman Microsoft untuk menentukan apakah file tersebut terkait dengan malware yang diketahui.
• Aktivitas ransomware
  Unggahan file ke cloud yang mungkin terinfeksi ransomware.
• Aktivitas dari alamat IP yang mencurigakan
  Aktivitas dari alamat IP yang telah diidentifikasi berisiko oleh Inteligensi Ancaman Microsoft.
• Penerusan kotak masuk yang mencurigakan
  Mendeteksi aturan penerusan kotak masuk yang mencurigakan yang ditetapkan pada kotak masuk pengguna.
• Beberapa aktivitas pengunduhan file yang tidak biasa
  Mendeteksi beberapa aktivitas unduhan file dalam satu sesi sehubungan dengan garis besar yang dipelajari, yang dapat menunjukkan upaya pelanggaran.
• Aktivitas administratif yang tidak biasa
  Mendeteksi beberapa aktivitas administratif dalam satu sesi sehubungan dengan garis besar yang dipelajari, yang dapat menunjukkan upaya pelanggaran.

Untuk daftar lengkap deteksi dan apa yang mereka lakukan, lihat Kebijakan deteksi anomali.

Catatan

Meskipun beberapa deteksi anomali terutama berfokus pada mendeteksi skenario keamanan yang bermasalah, yang lain dapat membantu dalam mengidentifikasi dan menyelidiki perilaku pengguna anomali yang mungkin belum tentu menunjukkan kompromi. Untuk deteksi tersebut, kami membuat jenis data lain yang disebut "perilaku" yang tersedia dalam pengalaman berburu tingkat lanjut Microsoft Defender XDR. Untuk informasi selengkapnya, lihat Perilaku.

Setelah Anda terbiasa dengan kebijakan, Anda harus mempertimbangkan bagaimana Anda ingin menyempurnakannya untuk persyaratan spesifik organisasi Anda untuk menargetkan aktivitas yang lebih baik yang mungkin ingin Anda selidiki lebih lanjut.

1. Kebijakan cakupan untuk pengguna atau grup tertentu

   Kebijakan cakupan untuk pengguna tertentu dapat membantu mengurangi kebisingan dari pemberitahuan yang tidak relevan dengan organisasi Anda. Setiap kebijakan dapat dikonfigurasi untuk menyertakan atau mengecualikan pengguna dan grup tertentu, seperti dalam contoh berikut:

   • Simulasi serangan
     Banyak organisasi menggunakan pengguna atau grup untuk terus mensimulasikan serangan. Jelas, tidak masuk akal untuk terus menerima pemberitahuan dari aktivitas pengguna ini. Oleh karena itu, Anda dapat mengonfigurasi kebijakan untuk mengecualikan pengguna atau grup ini. Ini juga membantu model pembelajaran mesin mengidentifikasi pengguna ini dan menyempurnakan ambang dinamis mereka.
   • Deteksi yang ditargetkan
     Organisasi Anda mungkin tertarik untuk menyelidiki grup pengguna VIP tertentu seperti anggota administrator atau grup CXO. Dalam skenario ini, Anda dapat membuat kebijakan untuk aktivitas yang ingin Anda deteksi dan memilih untuk hanya menyertakan sekumpulan pengguna atau grup yang Anda minati.

2. Menyetel deteksi masuk anomali

   Beberapa organisasi ingin melihat pemberitahuan yang dihasilkan dari aktivitas masuk yang gagal karena mungkin menunjukkan bahwa seseorang mencoba menargetkan satu atau beberapa akun pengguna. Di sisi lain, serangan brute force pada akun pengguna terjadi sepanjang waktu di cloud dan organisasi tidak memiliki cara untuk mencegahnya. Oleh karena itu, organisasi yang lebih besar biasanya memutuskan untuk hanya menerima pemberitahuan untuk aktivitas masuk yang mencurigakan yang mengakibatkan keberhasilan aktivitas masuk, karena dapat mewakili kompromi sejati.

   Pencurian identitas adalah sumber utama kompromi dan menimbulkan vektor ancaman utama untuk organisasi Anda. Perjalanan yang tidak mungkin, aktivitas dari alamat IP yang mencurigakan, dan peringatan deteksi negara/wilayah yang jarang membantu Anda menemukan aktivitas yang menunjukkan akun berpotensi disusupi.

3. Selaraskan sensitivitas perjalananmustahil Mengonfigurasi penggeledah sensitivitas yang menentukan tingkat supresi yang diterapkan pada perilaku anomali sebelum memicu pemberitahuan perjalanan yang tidak mungkin. Misalnya, organisasi yang tertarik dengan keakuratan tinggi harus mempertimbangkan untuk meningkatkan tingkat sensitivitas. Di sisi lain, jika organisasi Anda memiliki banyak pengguna yang melakukan perjalanan, pertimbangkan untuk menurunkan tingkat sensitivitas untuk menekan aktivitas dari lokasi umum pengguna yang dipelajari dari aktivitas sebelumnya. Anda dapat memilih dari tingkat sensitivitas berikut:

   • Rendah: Sistem, penyewa, dan supresi pengguna
   • Sedang: Supresi sistem dan pengguna
   • Tinggi: Hanya supresi sistem

   Mana:

   Jenis supresi	Deskripsi
   Log	Deteksi bawaan yang selalu ditekan.
   Penyewa	Aktivitas umum berdasarkan aktivitas sebelumnya di penyewa. Misalnya, menekan aktivitas dari ISP yang sebelumnya diberitahukan di organisasi Anda.
   Pengguna	Aktivitas umum berdasarkan aktivitas sebelumnya dari pengguna tertentu. Misalnya, menekan aktivitas dari lokasi yang biasanya digunakan oleh pengguna.

Fase 3: Menyetel kebijakan deteksi anomali penemuan cloud

Seperti kebijakan deteksi anomali, ada beberapa kebijakan deteksi anomali penemuan cloud bawaan yang dapat Anda sesuaikan. Misalnya, penyelundupan Data ke kebijakan aplikasi yang tidak disanksi memberi tahu Anda saat data dieksfiltrasi ke aplikasi yang tidak disanksi dan telah dikonfigurasi sebelumnya dengan pengaturan berdasarkan pengalaman Microsoft di bidang keamanan.

Namun, Anda dapat menyempurnakan kebijakan bawaan atau membuat kebijakan Anda sendiri untuk membantu Anda mengidentifikasi skenario lain yang mungkin ingin Anda selidiki. Karena kebijakan ini didasarkan pada log penemuan cloud, mereka memiliki kemampuan penyetelan yang berbeda yang lebih berfokus pada perilaku aplikasi anomali dan penyelundupan data.

1. Menyetel pemantauan penggunaan
   Atur filter penggunaan untuk mengontrol garis besar, cakupan, dan periode aktivitas untuk mendeteksi perilaku anomali. Misalnya, Anda mungkin ingin menerima pemberitahuan untuk aktivitas anomali yang berkaitan dengan karyawan tingkat eksekutif.

2. Menyetel sensitivitas pemberitahuan
   Untuk mencegah kelelahan pemberitahuan, konfigurasikan sensitivitas pemberitahuan. Anda dapat menggunakan penggeser sensitivitas untuk mengontrol jumlah pemberitahuan berisiko tinggi yang dikirim per 1.000 pengguna per minggu. Sensitivitas yang lebih tinggi membutuhkan lebih sedikit varians untuk dianggap sebagai anomali dan menghasilkan lebih banyak peringatan. Secara umum, tetapkan sensitivitas rendah untuk pengguna yang tidak memiliki akses ke data rahasia.

Fase 4: Menyetel kebijakan deteksi (aktivitas) berbasis aturan

Kebijakan deteksi berbasis aturan memberi Anda kemampuan untuk melengkapi kebijakan deteksi anomali dengan persyaratan khusus organisasi. Sebaiknya buat kebijakan berbasis aturan menggunakan salah satu templat kebijakan Aktivitas kami (buka Templat Kontrol>dan atur filter Jenis ke kebijakan Aktivitas) lalu konfigurasikan untuk mendeteksi perilaku yang tidak normal untuk lingkungan Anda. Misalnya, untuk beberapa organisasi yang tidak memiliki kehadiran apa pun di negara/wilayah tertentu, mungkin masuk akal untuk membuat kebijakan yang mendeteksi aktivitas anomali dari negara/wilayah tersebut dan memperingatkannya. Bagi orang lain, yang memiliki cabang besar di negara/wilayah tersebut, aktivitas dari negara/wilayah tersebut akan normal dan tidak masuk akal untuk mendeteksi aktivitas tersebut.

1. Menyetel volume aktivitas
   Pilih volume aktivitas yang diperlukan sebelum deteksi memunculkan pemberitahuan. Menggunakan contoh negara/wilayah kami, jika Anda tidak memiliki kehadiran di negara/wilayah, bahkan satu aktivitas signifikan dan menjamin pemberitahuan. Namun, kegagalan masuk tunggal bisa menjadi kesalahan manusia dan hanya menarik jika ada banyak kegagalan dalam waktu singkat.
2. Menyetel filter aktivitas
   Atur filter yang Anda perlukan untuk mendeteksi jenis aktivitas yang ingin Anda beri tahu. Misalnya, untuk mendeteksi aktivitas dari negara/wilayah, gunakan parameter Lokasi .
3. Menyetel pemberitahuan
   Untuk mencegah kelelahan pemberitahuan, atur batas pemberitahuan harian.

Fase 5: Mengonfigurasi pemberitahuan

Catatan

Sejak 15 Desember 2022, Pemberitahuan/SMS (pesan teks) tidak digunakan lagi. Jika Anda ingin menerima pemberitahuan teks, Anda harus menggunakan Microsoft Power Automate untuk otomatisasi pemberitahuan kustom. Untuk informasi selengkapnya, lihat Mengintegrasikan dengan Microsoft Power Automate untuk otomatisasi pemberitahuan kustom.

Anda dapat memilih untuk menerima pemberitahuan dalam format dan medium yang paling sesuai dengan kebutuhan Anda. Untuk menerima pemberitahuan langsung kapan saja dalam sehari, Anda mungkin lebih suka menerimanya melalui email.

Anda mungkin juga menginginkan kemampuan untuk menganalisis pemberitahuan dalam konteks pemberitahuan lain yang dipicu oleh produk lain di organisasi Anda untuk memberi Anda pandangan holistik tentang potensi ancaman. Misalnya, Anda mungkin ingin berkorelasi antara peristiwa berbasis cloud dan lokal untuk melihat apakah ada bukti mitigasi lain yang mungkin mengonfirmasi serangan.

Selain itu, Anda juga dapat memicu otomatisasi pemberitahuan kustom menggunakan integrasi kami dengan Microsoft Power Automate. Misalnya, Anda dapat menyiapkan playbook secara otomatis membuat masalah di ServiceNow atau mengirim email persetujuan untuk menjalankan tindakan tata kelola kustom saat pemberitahuan dipicu.

Gunakan panduan berikut untuk mengonfigurasi pemberitahuan Anda:

1. email
   Pilih opsi ini untuk menerima pemberitahuan melalui email.
2. SIEM
   Ada beberapa opsi integrasi SIEM termasuk Microsoft Sentinel, Microsoft Graph Security API, dan SIEM generik lainnya. Pilih integrasi yang paling sesuai dengan kebutuhan Anda.
3. Otomatisasi Power Automate
   Buat playbook otomatisasi yang Anda butuhkan dan atur sebagai pemberitahuan kebijakan ke tindakan Power Automate.

Fase 6: Menyelidiki dan memulihkan

Bagus, Anda telah menyiapkan kebijakan dan mulai menerima pemberitahuan aktivitas yang mencurigakan. Apa yang harus Anda lakukan tentang mereka? Untuk memulai, Anda harus mengambil langkah-langkah untuk menyelidiki aktivitas. Misalnya, Anda mungkin ingin melihat aktivitas yang menunjukkan bahwa pengguna telah disusupi.

Untuk mengoptimalkan perlindungan, Anda harus mempertimbangkan untuk menyiapkan tindakan remediasi otomatis untuk meminimalkan risiko terhadap organisasi Anda. Kebijakan kami memungkinkan Anda menerapkan tindakan tata kelola bersama dengan pemberitahuan sehingga risiko terhadap organisasi Anda berkurang bahkan sebelum Anda mulai menyelidiki. Tindakan yang tersedia ditentukan oleh jenis kebijakan termasuk tindakan seperti menangguhkan pengguna atau memblokir akses ke sumber daya yang diminta.

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.

Pelajari selengkapnya

• Coba panduan interaktif kami: Mendeteksi ancaman dan mengelola pemberitahuan dengan aplikasi Microsoft Defender untuk Cloud