Condividi tramite


Come esaminare gli avvisi di rilevamento anomalie

Microsoft Defender per il cloud App fornisce rilevamenti di sicurezza e avvisi per attività dannose. Lo scopo di questa guida è fornire informazioni generali e pratiche su ogni avviso, per facilitare le attività di analisi e correzione. Inclusa in questa guida sono informazioni generali sulle condizioni per l'attivazione degli avvisi. Tuttavia, è importante notare che poiché i rilevamenti di anomalie non sono deterministici per natura, vengono attivati solo quando esiste un comportamento che devia dalla norma. Infine, alcuni avvisi potrebbero essere in anteprima, quindi esaminare regolarmente la documentazione ufficiale per lo stato aggiornato degli avvisi.

MITRE ATT&CK

Per spiegare e semplificare il mapping della relazione tra gli avvisi di Defender per il cloud Apps e la nota matrice MITRE ATT&CK, gli avvisi sono stati classificati in base alla corrispondente tattica MITRE ATT&CK. Questo riferimento aggiuntivo semplifica la comprensione della tecnica di attacchi sospetti potenzialmente in uso quando viene attivato un avviso di Defender per il cloud Apps.

Questa guida fornisce informazioni sull'analisi e la correzione degli avvisi delle app Defender per il cloud nelle categorie seguenti.

Classificazioni degli avvisi di sicurezza

Dopo l'analisi corretta, tutti gli avvisi delle app Defender per il cloud possono essere classificati come uno dei tipi di attività seguenti:

  • Vero positivo (TP): avviso relativo a un'attività dannosa confermata.
  • Vero positivo non dannoso (B-TP): avviso relativo a attività sospette ma non dannose, ad esempio un test di penetrazione o un'altra azione sospetta autorizzata.
  • Falso positivo (FP):avviso relativo a un'attività non dannosa.

Passaggi generali per l'indagine

È consigliabile usare le linee guida generali seguenti durante l'analisi di qualsiasi tipo di avviso per ottenere una comprensione più chiara della potenziale minaccia prima di applicare l'azione consigliata.

  • Esaminare il punteggio di priorità di indagine dell'utente e confrontarlo con il resto dell'organizzazione. In questo modo è possibile identificare gli utenti dell'organizzazione che rappresentano il rischio maggiore.
  • Se si identifica un TP, esaminare tutte le attività dell'utente per comprendere l'impatto.
  • Esaminare tutte le attività utente per altri indicatori di compromissione ed esplorare l'origine e l'ambito di impatto. Ad esempio, esaminare le informazioni sul dispositivo utente seguenti e confrontare con le informazioni note sul dispositivo:
    • Sistema operativo e la sua versione
    • Browser e versione
    • Indirizzo IP e posizione

Avvisi di accesso iniziali

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di ottenere un punto di accesso iniziale all'organizzazione.

Attività da indirizzi IP anonimi

Descrizione

Attività da un indirizzo IP identificato come indirizzo IP proxy anonimo da Microsoft Threat Intelligence o dall'organizzazione. Questi proxy possono essere usati per nascondere l'indirizzo IP di un dispositivo e possono essere usati per attività dannose.

TP, B-TP o FP?

Questo rilevamento usa un algoritmo di Machine Learning che riduce gli eventi imprevisti B-TP , ad esempio gli indirizzi IP con tag non valido ampiamente usati dagli utenti dell'organizzazione.

  1. TP: se è possibile confermare che l'attività è stata eseguita da un indirizzo IP anonimo o TOR.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. B-TP: se un utente è noto per l'uso di indirizzi IP anonimi nell'ambito dei propri compiti. Ad esempio, quando un analista della sicurezza esegue test di sicurezza o penetrazione per conto dell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  • Esaminare tutte le attività utente e gli avvisi per altri indicatori di compromissione. Ad esempio, se l'avviso è stato seguito da un altro avviso sospetto, ad esempio un download insolito di file (dall'utente) o un avviso di inoltro di posta in arrivo sospetto, che spesso indica che un utente malintenzionato sta tentando di esfiltrare i dati.

Attività da un paese non frequente

Attività da un paese o un'area geografica che potrebbe indicare attività dannose. Questo criterio profila l'ambiente e attiva gli avvisi quando l'attività viene rilevata da una posizione che non è stata recentemente o non è mai stata visitata da alcun utente dell'organizzazione.

I criteri possono essere ulteriormente limitati a un sottoinsieme di utenti o possono escludere gli utenti noti per viaggiare in posizioni remote.

Periodo di apprendimento

Il rilevamento di posizioni anomale richiede un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata:

    1. Sospendere l'utente, reimpostare la password e identificare il momento giusto per riabilitare l'account in modo sicuro.
    2. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti rilevati come connessi da posizioni poco frequenti e i relativi manager per verificare l'attività.
  2. B-TP: se un utente è noto che si trova in questa posizione. Ad esempio, quando un utente che viaggia frequentemente ed è attualmente nella posizione specificata.

    Azione consigliata:

    1. Ignorare l'avviso e modificare il criterio per escludere l'utente.
    2. Creare un gruppo di utenti per viaggiatori frequenti, importare il gruppo in app Defender per il cloud ed escludere gli utenti da questo avviso
    3. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti rilevati come connessi da posizioni poco frequenti e i relativi manager per verificare l'attività.

Comprendere l'ambito della violazione

  • Esaminare la risorsa che potrebbe essere stata compromessa, ad esempio i potenziali download di dati.

Attività da indirizzi IP sospetti

Attività da un indirizzo IP identificato come rischioso da Microsoft Threat Intelligence o dall'organizzazione. Questi indirizzi IP sono stati identificati come coinvolti in attività dannose, ad esempio l'esecuzione di password spraying, il comando e il controllo botnet (C&C) e potrebbero indicare un account compromesso.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. B-TP: se un utente è noto per usare l'indirizzo IP nell'ambito dei propri compiti. Ad esempio, quando un analista della sicurezza esegue test di sicurezza o penetrazione per conto dell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività e cercare le attività dallo stesso indirizzo IP.
  2. Esaminare la risorsa che potrebbe essere stata compromessa, ad esempio potenziali download di dati o modifiche amministrative.
  3. Creare un gruppo per gli analisti della sicurezza che attivano volontariamente questi avvisi ed escluderli dai criteri.

Viaggio impossibile

Attività dello stesso utente in posizioni diverse entro un periodo di tempo più breve del tempo di viaggio previsto tra le due località. Ciò può indicare una violazione delle credenziali, tuttavia, è anche possibile che la posizione effettiva dell'utente sia mascherata, ad esempio, usando una VPN.

Per migliorare l'accuratezza e l'avviso solo quando è presente un'indicazione forte di una violazione, Defender per il cloud App stabilisce una baseline per ogni utente dell'organizzazione e avvisa solo quando viene rilevato un comportamento insolito. I criteri di viaggio impossibili possono essere ottimizzati in base alle proprie esigenze.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

Questo rilevamento usa un algoritmo di Machine Learning che ignora le condizioni B-TP ovvie, ad esempio quando gli indirizzi IP su entrambi i lati del viaggio sono considerati sicuri, il viaggio è attendibile ed escluso dall'attivazione del rilevamento di viaggi impossibili. Ad esempio, entrambi i lati sono considerati sicuri se sono contrassegnati come aziendali. Tuttavia, se l'indirizzo IP di un solo lato del viaggio è considerato sicuro, il rilevamento viene attivato come di consueto.

  1. TP: se si è in grado di confermare che la posizione nell'avviso di viaggio impossibile è improbabile per l'utente.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (Spostamento utente non rilevato): se è possibile confermare che l'utente ha viaggiato di recente alla destinazione indicata in dettaglio nell'avviso. Ad esempio, se il telefono di un utente in modalità aereo rimane connesso a servizi come Exchange Online nella rete aziendale durante il viaggio in una posizione diversa. Quando l'utente arriva alla nuova posizione, il telefono si connette a Exchange Online attivando l'avviso di viaggio impossibile.

    Azione consigliata: ignorare l'avviso.

  3. FP (VPN senza tag): se è possibile verificare che l'intervallo di indirizzi IP provenga da una VPN approvata.

    Azione consigliata: ignorare l'avviso e aggiungere l'intervallo di indirizzi IP della VPN a Defender per il cloud App e usarlo per contrassegnare l'intervallo di indirizzi IP della VPN.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per comprendere le attività simili nella stessa posizione e nello stesso indirizzo IP.
  2. Se si nota che l'utente ha eseguito altre attività rischiose, ad esempio il download di un volume elevato di file da una nuova posizione, si tratta di una forte indicazione di un possibile compromesso.
  3. Aggiungere intervalli di indirizzi IP e VPN aziendali.
  4. Creare un playbook usando Power Automate e contattare il responsabile dell'utente per verificare se l'utente è in viaggio legittimamente.
  5. Prendere in considerazione la creazione di un database di viaggiatori noto fino al minuto di report di viaggio dell'organizzazione e usarlo per l'attività di viaggio tra riferimenti.

Nome dell'app OAuth fuorviante

Questo rilevamento identifica le app con caratteri, ad esempio lettere straniere, che assomigliano a lettere latine. Ciò può indicare un tentativo di mascherare un'app dannosa come app nota e attendibile in modo che gli utenti malintenzionati possano ingannare gli utenti nel scaricare l'app dannosa.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'app ha un nome fuorviante.

    Azione consigliata: esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso. In base all'indagine è possibile scegliere di vietare l'accesso a questa app.

Per impedire l'accesso all'app, nella scheda Google o Salesforce della pagina Governance dell'app selezionare l'icona del divieto nella riga in cui si vuole vietare l'app. - È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica informa gli utenti che l'app è disabilitata e non avrà accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. - È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

  1. FP: se si vuole confermare che l'app ha un nome fuorviante, ma ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  • Seguire l'esercitazione su come analizzare le app OAuth rischiose.

Nome dell'editore fuorviante per un'app OAuth

Questo rilevamento identifica le app con caratteri, ad esempio lettere straniere, che assomigliano a lettere latine. Ciò può indicare un tentativo di mascherare un'app dannosa come app nota e attendibile in modo che gli utenti malintenzionati possano ingannare gli utenti nel scaricare l'app dannosa.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'app ha un nome di autore fuorviante.

    Azione consigliata: esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso. In base all'indagine è possibile scegliere di vietare l'accesso a questa app.

  2. FP: se si vuole confermare che l'app ha un nome di autore fuorviante, ma è un editore legittimo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Nella scheda Google o Salesforce della pagina Governance delle app selezionare l'app per aprire il pannello App e quindi selezionare Attività correlate. Verrà visualizzata la pagina Log attività filtrata per le attività eseguite dall'app. Tenere presente che alcune app eseguono attività che sono registrate come se fossero eseguite da un utente. Queste attività vengono filtrate automaticamente dai risultati nel log attività. Per eseguire ulteriori analisi usando il log attività, vedere Log attività.
  2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e l'editore dell'app in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:
    • App con un numero ridotto di download.
    • App con una valutazione o un punteggio basso o con commenti non positivi.
    • App con editore o sito Web sospetto.
    • App che non sono state aggiornate di recente. Potrebbe indicare che un'app non è più supportata.
    • App con autorizzazioni non pertinenti. Potrebbe indicare che un'app è rischiosa.
  3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare online il nome, l'editore e l'URL dell'app.

Avvisi di esecuzione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di eseguire codice dannoso nell'organizzazione.

Più attività di eliminazione dell'archiviazione

Attività in una singola sessione che indica che un utente ha eseguito un numero insolito di eliminazioni di database o archiviazione cloud da risorse come BLOB di Azure, bucket AWS S3 o Cosmos DB rispetto alla baseline appresa. Ciò può indicare un tentativo di violazione dell'organizzazione.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se si vuole confermare che le eliminazioni non sono state autorizzate.

    Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi per individuare minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto.

  2. FP: se, dopo l'indagine, è possibile confermare che l'amministratore è stato autorizzato a eseguire queste attività di eliminazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Contattare l'utente e confermare l'attività.
  2. Esaminare il log attività per altri indicatori di compromissione e vedere chi ha apportato la modifica.
  3. Esaminare le attività dell'utente per le modifiche apportate ad altri servizi.

Più attività di creazione di macchine virtuali

Attività in una singola sessione che indica che un utente ha eseguito un numero insolito di azioni di creazione di macchine virtuali rispetto alla baseline appresa. Più creazioni di macchine virtuali in un'infrastruttura cloud violata potrebbero indicare un tentativo di eseguire operazioni di crypto mining dall'interno dell'organizzazione.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente una forte indicazione di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP , ad esempio un amministratore ha creato legittimamente più macchine virtuali rispetto alla baseline stabilita e genera un avviso solo quando viene rilevato un comportamento insolito.

  • TP: se è possibile confermare che le attività di creazione non sono state eseguite da un utente legittimo.

    Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi per individuare minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto. Inoltre, contattare l'utente, confermare le azioni legittime e quindi assicurarsi di disabilitare o eliminare le macchine virtuali compromesse.

  • B-TP: se, dopo l'indagine, è possibile confermare che l'amministratore è stato autorizzato a eseguire queste attività di creazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività utente per altri indicatori di compromissione.
  2. Esaminare le risorse create o modificate dall'utente e verificare che siano conformi ai criteri dell'organizzazione.

Attività di creazione sospetta per l'area cloud (anteprima)

Attività che indicano che un utente ha eseguito un'azione insolita di creazione di risorse in un'area AWS non comune rispetto alla baseline appresa. La creazione di risorse in aree cloud non comuni potrebbe indicare un tentativo di eseguire un'attività dannosa, ad esempio le operazioni di crypto mining dall'interno dell'organizzazione.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente un'indicazione forte di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP .

  • TP: se è possibile confermare che le attività di creazione non sono state eseguite da un utente legittimo.

    Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi per individuare minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto. Inoltre, contattare l'utente, confermare le azioni legittime e quindi assicurarsi di disabilitare o eliminare eventuali risorse cloud compromesse.

  • B-TP: se, dopo l'indagine, è possibile confermare che l'amministratore è stato autorizzato a eseguire queste attività di creazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività utente per altri indicatori di compromissione.
  2. Esaminare le risorse create e verificare che siano conformi ai criteri dell'organizzazione.

Avvisi di persistenza

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di mantenere il proprio punto di appoggio nell'organizzazione.

Attività eseguita da un utente terminato

L'attività eseguita da un utente terminato può indicare che un dipendente terminato che ha ancora accesso alle risorse aziendali sta tentando di eseguire un'attività dannosa. Defender per il cloud Le app profila gli utenti dell'organizzazione e attiva un avviso quando un utente terminato esegue un'attività.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'utente terminato ha ancora accesso a determinate risorse aziendali e sta eseguendo attività.

    Azione consigliata: disabilitare l'utente.

  2. B-TP: se è possibile determinare che l'utente è stato temporaneamente disabilitato o è stato eliminato e registrato di nuovo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Record HR a riferimento incrociato per verificare che l'utente venga terminato.
  2. Convalidare l'esistenza dell'account utente di Microsoft Entra.

    Nota

    Se si usa Microsoft Entra Connessione, convalidare l'oggetto Active Directory locale e confermare un ciclo di sincronizzazione riuscito.

  3. Identificare tutte le app a cui l'utente terminato ha avuto accesso e rimuovere le autorizzazioni per gli account.
  4. Aggiornare le procedure di rimozione delle autorizzazioni.

Modifica sospetta del servizio di registrazione CloudTrail

Attività in una singola sessione che indica che un utente ha eseguito modifiche sospette al servizio di registrazione AWS CloudTrail. Ciò può indicare un tentativo di violazione dell'organizzazione. Quando si disabilita CloudTrail, le modifiche operative non vengono più registrate. Un utente malintenzionato può eseguire attività dannose evitando un evento di controllo CloudTrail, ad esempio la modifica di un bucket S3 da privato a pubblico.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, reimpostare la password e invertire l'attività CloudTrail.

  2. FP: se è possibile confermare che l'utente ha disabilitato il servizio CloudTrail in modo legittimo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per altri indicatori di compromissione e vedere chi ha apportato la modifica al servizio CloudTrail.
  2. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti e i responsabili per verificare l'attività.

Attività di eliminazione sospetta della posta elettronica (da parte dell'utente)

Attività in una singola sessione che indica che un utente ha eseguito eliminazioni di posta elettronica sospette. Il tipo di eliminazione è il tipo di eliminazione "hard delete", che rende l'elemento di posta elettronica eliminato e non disponibile nella cassetta postale dell'utente. L'eliminazione è stata eseguita da una connessione che include preferenze non comuni, ad esempio ISP, paese/area geografica e agente utente. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli utenti malintenzionati che tentano di mascherare le operazioni eliminando i messaggi di posta elettronica correlati alle attività di posta indesiderata.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP: se è possibile confermare che l'utente ha creato legittimamente una regola per eliminare i messaggi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  • Esaminare tutte le attività dell'utente per altri indicatori di compromissione, ad esempio l'avviso di inoltro posta in arrivo sospetto seguito da un avviso Di viaggio impossibile. Cerca:

    1. Nuove regole di inoltro SMTP, come indicato di seguito:
      • Verificare la presenza di nomi di regole di inoltro dannoso. I nomi delle regole possono variare da nomi semplici, ad esempio "Inoltra tutti i messaggi di posta elettronica" e "Inoltra automaticamente" o nomi ingannevoli, ad esempio un nome visibile a malapena ". I nomi delle regole di inoltro possono anche essere vuoti e il destinatario dell'inoltro può essere un singolo account di posta elettronica o un intero elenco. Le regole dannose possono anche essere nascoste dall'interfaccia utente. Dopo aver rilevato, è possibile usare questo utile post di blog su come eliminare le regole nascoste dalle cassette postali.
      • Se si rileva una regola di inoltro non riconosciuta a un indirizzo di posta elettronica interno o esterno sconosciuto, è possibile presupporre che l'account posta in arrivo sia stato compromesso.
    2. Nuove regole della posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscura, ad esempio "...".
    3. Un aumento dei messaggi di posta elettronica inviati.

Regola di manipolazione della posta in arrivo sospetta

Attività che indicano che un utente malintenzionato ha ottenuto l'accesso alla posta in arrivo di un utente e ha creato una regola sospetta. Le regole di manipolazione, ad esempio l'eliminazione o lo spostamento di messaggi o cartelle, dalla posta in arrivo di un utente potrebbero essere un tentativo di esfiltrare le informazioni dall'organizzazione. Analogamente, possono indicare un tentativo di modificare le informazioni visualizzate da un utente o di usare la posta in arrivo per distribuire posta indesiderata, messaggi di posta elettronica di phishing o malware. Defender per il cloud Le app profilano l'ambiente e attivano avvisi quando vengono rilevate regole di manipolazione della posta in arrivo sospette nella posta in arrivo di un utente. Ciò potrebbe indicare che l'account dell'utente è compromesso.

TP, B-TP o FP?

  1. TP: se è possibile verificare che sia stata creata una regola di posta in arrivo dannosa e che l'account sia stato compromesso.

    Azione consigliata: sospendere l'utente, reimpostare la password e rimuovere la regola di inoltro.

  2. FP: se è possibile confermare che un utente ha creato la regola in modo legittimo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività dell'utente per altri indicatori di compromissione, ad esempio l'avviso di inoltro posta in arrivo sospetto seguito da un avviso Di viaggio impossibile. Cercare:
    • Nuove regole di inoltro SMTP.
    • Nuove regole della posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscura, ad esempio "...".
  2. Raccogliere l'indirizzo IP e le informazioni sulla posizione per l'azione.
  3. Esaminare le attività eseguite dall'indirizzo IP usato per creare la regola per rilevare altri utenti compromessi.

Avvisi di escalation dei privilegi

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di ottenere autorizzazioni di livello superiore nell'organizzazione.

Attività amministrativa insolita (per utente)

Attività che indicano che un utente malintenzionato ha compromesso un account utente ed ha eseguito azioni amministrative non comuni per tale utente. Ad esempio, un utente malintenzionato può provare a modificare un'impostazione di sicurezza per un utente, un'operazione relativamente rara per un utente comune. Defender per il cloud App crea una linea di base in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un amministratore legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP: se si è in grado di confermare che un amministratore ha eseguito legittimamente il volume insolito di attività amministrative.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività dell'utente per altri indicatori di compromissione, ad esempio l'inoltro di posta in arrivo sospetto o il viaggio impossibile.
  2. Esaminare altre modifiche di configurazione, ad esempio la creazione di un account utente che potrebbe essere usato per la persistenza.

Avvisi di accesso alle credenziali

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare nomi di account e password dall'organizzazione.

Più tentativi di accesso non riusciti

I tentativi di accesso non riusciti potrebbero indicare un tentativo di violazione di un account. Tuttavia, gli accessi non riusciti possono anche essere comportamenti normali. Ad esempio, quando un utente ha immesso una password errata per errore. Per ottenere l'accuratezza e l'avviso solo quando esiste un'indicazione forte di una violazione tentata, Defender per il cloud App stabilisce una baseline di abitudini di accesso per ogni utente dell'organizzazione e avvisa solo quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

Questo criterio si basa sull'apprendimento del normale comportamento di accesso di un utente. Quando viene rilevata una deviazione dalla norma, viene attivato un avviso. Se il rilevamento inizia a vedere che lo stesso comportamento continua, l'avviso viene generato una sola volta.

  1. TP (MFA ha esito negativo): se si è in grado di verificare che l'autenticazione a più fattori funzioni correttamente, potrebbe trattarsi di un tentativo di attacco di forza bruta.

    Azioni consigliate:

    1. Sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.
    2. Trovare l'app che ha eseguito le autenticazioni non riuscite e riconfigurarla.
    3. Cercare altri utenti connessi al tempo dell'attività perché potrebbero anche essere compromessi. Sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.
  2. B-TP (MFA ha esito negativo): se è possibile confermare che l'avviso è causato da un problema con MFA.

    Azione consigliata: creare un playbook con Power Automate per contattare l'utente e verificare se si verificano problemi con MFA.

  3. B-TP (app configurata in modo non corretto): se è possibile verificare che un'app non configurata correttamente tenti di connettersi a un servizio più volte con credenziali scadute.

    Azione consigliata: ignorare l'avviso.

  4. B-TP (Password modificata): se è possibile confermare che un utente ha modificato di recente la password, ma non ha avuto alcun impatto sulle credenziali tra le condivisioni di rete.

    Azione consigliata: ignorare l'avviso.

  5. B-TP (Test di sicurezza): se è possibile verificare che un test di sicurezza o penetrazione venga eseguito dagli analisti della sicurezza per conto dell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività utente per altri indicatori di compromissione, ad esempio l'avviso, è seguito da uno degli avvisi seguenti: Impossible Travel, Activity from anonymous IP address o Activity from infrequent country.
  2. Esaminare le informazioni sul dispositivo utente seguenti e confrontare con le informazioni note sul dispositivo:
    • Sistema operativo e la sua versione
    • Browser e versione
    • Indirizzo IP e posizione
  3. Identificare l'indirizzo IP o il percorso di origine in cui si è verificato il tentativo di autenticazione.
  4. Identificare se l'utente ha modificato di recente la password e assicurarsi che tutte le app e i dispositivi abbiano la password aggiornata.

Aggiunta insolita di credenziali a un'app OAuth

Questo rilevamento identifica l'aggiunta sospetta di credenziali con privilegi a un'app OAuth. Il rilevamento può indicare che un utente malintenzionato ha compromesso l'app e la usa per attività dannose.

Periodo di apprendimento

L'apprendimento dell'ambiente dell'organizzazione richiede un periodo di sette giorni durante il quale potrebbe essere previsto un volume elevato di avvisi.

ISP insolito per un'app OAuth

Il rilevamento identifica un'app OAuth che si connette all'applicazione cloud da un ISP non comune per l'app. Ciò potrebbe indicare che un utente malintenzionato ha tentato di usare un'app compromessa legittima per eseguire attività dannose nelle applicazioni cloud.

Periodo di apprendimento

Il periodo di apprendimento per questo rilevamento è di 30 giorni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata un'attività legittima dell'app OAuth o che questo ISP non viene usato dall'app OAuth legittima.

    Azione consigliata: revocare tutti i token di accesso dell'app OAuth e verificare se un utente malintenzionato ha accesso alla generazione di token di accesso OAuth.

  2. FP: se è possibile confermare che l'attività è stata effettuata legittimamente dall'app OAuth originale.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le attività eseguite dall'app OAuth.

  2. Verificare se un utente malintenzionato ha accesso alla generazione di token di accesso OAuth.

Avvisi di raccolta

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di raccogliere i dati di interesse per l'obiettivo dell'organizzazione.

Più attività di condivisione di report di Power BI

Attività in una singola sessione che indica che un utente ha eseguito un numero insolito di attività di condivisione del report in Power BI rispetto alla baseline appresa. Ciò può indicare un tentativo di violazione dell'organizzazione.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: rimuovere l'accesso alla condivisione da Power BI. Se è possibile verificare che l'account sia compromesso, sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP: se si è in grado di confermare che l'utente ha una giustificazione aziendale per condividere questi report.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per ottenere una migliore comprensione delle altre attività eseguite dall'utente. Esaminare l'indirizzo IP da cui sono connessi e i dettagli del dispositivo.
  2. Contattare il team di Power BI o il team di Information Protection per comprendere le linee guida per la condivisione dei report internamente ed esternamente.

Condivisione di report di Power BI sospetta

Attività che indicano che un utente ha condiviso un report di Power BI che potrebbe contenere informazioni riservate identificate tramite NLP per analizzare i metadati del report. Il report è stato condiviso con un indirizzo di posta elettronica esterno, pubblicato sul Web o uno snapshot è stato recapitato a un indirizzo di posta elettronica sottoscritto esternamente. Ciò può indicare un tentativo di violazione dell'organizzazione.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: rimuovere l'accesso alla condivisione da Power BI. Se è possibile verificare che l'account sia compromesso, sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP: se si è in grado di confermare che l'utente ha una giustificazione aziendale per condividere questi report.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per ottenere una migliore comprensione delle altre attività eseguite dall'utente. Esaminare l'indirizzo IP da cui sono connessi e i dettagli del dispositivo.
  2. Contattare il team di Power BI o il team di Information Protection per comprendere le linee guida per la condivisione dei report internamente ed esternamente.

Attività di rappresentazione insolita (da parte dell'utente)

In alcuni software sono disponibili opzioni per consentire ad altri utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questa attività viene comunemente usata dagli utenti malintenzionati per creare messaggi di posta elettronica di phishing nel tentativo di estrarre informazioni sull'organizzazione. Defender per il cloud App crea una linea di base in base al comportamento dell'utente e crea un'attività quando viene rilevata un'attività di rappresentazione insolita.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (comportamento insolito): se si è in grado di confermare che l'utente ha eseguito le attività insolite o più attività rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

  3. FP: se è possibile confermare che le app, ad esempio Teams, rappresentano legittimamente l'utente.

    Azione consigliata: esaminare le azioni e ignorare l'avviso, se necessario.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività utente e gli avvisi per ulteriori indicatori di compromissione.
  2. Esaminare le attività di rappresentazione per identificare potenziali attività dannose.
  3. Esaminare la configurazione dell'accesso delegato.

Avvisi di esfiltrazione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare dati dall'organizzazione.

Inoltro sospetto per la Posta in arrivo

Attività che indicano che un utente malintenzionato ha ottenuto l'accesso alla posta in arrivo di un utente e ha creato una regola sospetta. Le regole di manipolazione, ad esempio inoltrare tutti o specifici messaggi di posta elettronica a un altro account di posta elettronica, potrebbero essere un tentativo di esfiltrare le informazioni dall'organizzazione. Defender per il cloud Le app profilano l'ambiente e attivano avvisi quando vengono rilevate regole di manipolazione della posta in arrivo sospette nella posta in arrivo di un utente. Ciò potrebbe indicare che l'account dell'utente è compromesso.

TP, B-TP o FP?

  1. TP: se si è in grado di verificare che sia stata creata una regola di inoltro della posta in arrivo dannosa e che l'account sia stato compromesso.

    Azione consigliata: sospendere l'utente, reimpostare la password e rimuovere la regola di inoltro.

  2. FP: se è possibile confermare che l'utente ha creato una regola di inoltro a un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività dell'utente per ulteriori indicatori di compromissione, ad esempio l'avviso, seguito da un avviso Di viaggio impossibile. Cerca:

    1. Nuove regole di inoltro SMTP, come indicato di seguito:
      • Verificare la presenza di nomi di regole di inoltro dannoso. I nomi delle regole possono variare da nomi semplici, ad esempio "Inoltra tutti i messaggi di posta elettronica" e "Inoltra automaticamente" o nomi ingannevoli, ad esempio un nome visibile a malapena ". I nomi delle regole di inoltro possono anche essere vuoti e il destinatario dell'inoltro può essere un singolo account di posta elettronica o un intero elenco. Le regole dannose possono anche essere nascoste dall'interfaccia utente. Dopo aver rilevato, è possibile usare questo utile post di blog su come eliminare le regole nascoste dalle cassette postali.
      • Se si rileva una regola di inoltro non riconosciuta a un indirizzo di posta elettronica interno o esterno sconosciuto, è possibile presupporre che l'account posta in arrivo sia stato compromesso.
    2. Nuove regole della posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscura, ad esempio "...".
  2. Esaminare le attività eseguite dall'indirizzo IP usato per creare la regola per rilevare altri utenti compromessi.

  3. Esaminare l'elenco dei messaggi inoltrati usando il rilevamento dei messaggi di Exchange Online.

Download insolito dei file (da parte dell'utente)

Attività che indicano che un utente ha eseguito un numero insolito di download di file da una piattaforma di archiviazione cloud rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione. Defender per il cloud App crea una linea di base in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (comportamento insolito): se è possibile confermare che l'utente ha eseguito in modo legittimo più attività di download di file rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

  3. FP (Sincronizzazione software): se è possibile confermare il software, ad esempio OneDrive, sincronizzato con un backup esterno che ha causato l'avviso.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le attività di download e creare un elenco di file scaricati.
  2. Esaminare la riservatezza dei file scaricati con il proprietario della risorsa e convalidare il livello di accesso.

Accesso insolito ai file (per utente)

Attività che indicano che un utente ha eseguito un numero insolito di accessi ai file in SharePoint o OneDrive ai file che contengono dati finanziari o dati di rete rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione, a scopo finanziario o per l'accesso alle credenziali e lo spostamento laterale. Defender per il cloud App crea una linea di base in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Il periodo di apprendimento dipende dall'attività dell'utente. In genere, il periodo di apprendimento è compreso tra 21 e 45 giorni per la maggior parte degli utenti.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (comportamento insolito): se è possibile confermare che l'utente ha eseguito in modo legittimo più attività di accesso ai file rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le attività di accesso e creare un elenco di file a cui si accede.
  2. Esaminare la riservatezza dei file a cui si accede con il proprietario della risorsa e convalidare il livello di accesso.

Attività insolita di condivisione file (per utente)

Attività che indicano che un utente ha eseguito un numero insolito di azioni di condivisione file da una piattaforma di archiviazione cloud rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione. Defender per il cloud App crea una linea di base in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (comportamento insolito): se è possibile confermare che l'utente ha eseguito in modo legittimo più attività di condivisione file rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le attività di condivisione e creare un elenco di file condivisi.
  2. Esaminare la riservatezza dei file condivisi con il proprietario della risorsa e convalidare il livello di accesso.
  3. Creare un criterio di file per documenti simili per rilevare la condivisione futura dei file sensibili.

Avvisi di impatto

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di modificare, interrompere o distruggere i sistemi e i dati nell'organizzazione.

Più attività di eliminazione di VM

Attività in una singola sessione che indica che un utente ha eseguito un numero insolito di eliminazioni di macchine virtuali rispetto alla baseline appresa. Più eliminazioni di macchine virtuali possono indicare un tentativo di interrompere o distruggere un ambiente. Esistono tuttavia molti scenari normali in cui le macchine virtuali vengono eliminate.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente un'indicazione forte di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP e avvisare solo quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

  • TP: se è possibile confermare che le eliminazioni non sono state autorizzate.

    Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi per individuare minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto.

  • B-TP: se, dopo l'indagine, è possibile confermare che l'amministratore è stato autorizzato a eseguire queste attività di eliminazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Contattare l'utente e confermare l'attività.
  2. Esaminare tutte le attività utente per indicatori aggiuntivi di compromissione, ad esempio l'avviso, è seguito da uno degli avvisi seguenti: Impossible Travel, Activity from anonymous IP address o Activity from infrequent country.

Attività ransomware

Ransomware è un cyberattack in cui un utente malintenzionato blocca le vittime dai loro dispositivi o impedisce loro di accedere ai loro file fino a quando la vittima non paga un riscatto. Il ransomware può essere diffuso da un file condiviso dannoso o da una rete compromessa. Defender per il cloud App usa competenze di ricerca sulla sicurezza, intelligence sulle minacce e modelli comportamentali appresi per identificare le attività ransomware. Ad esempio, una frequenza elevata di caricamenti di file, o eliminazioni di file, potrebbe rappresentare un processo di crittografia comune tra le operazioni ransomware.

Questo rilevamento stabilisce una linea di base dei normali modelli di lavoro di ogni utente dell'organizzazione, ad esempio quando l'utente accede al cloud e le operazioni comunemente eseguite nel cloud.

I criteri di rilevamento automatizzato delle minacce delle app Defender per il cloud iniziano a essere eseguiti in background dal momento in cui ci si connette. Usando la nostra esperienza di ricerca sulla sicurezza per identificare i modelli comportamentali che riflettono l'attività ransomware nell'organizzazione, Defender per il cloud App offre una copertura completa contro attacchi ransomware sofisticati.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita dall'utente.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP (comportamento insolito): l'utente ha eseguito legittimamente più attività di eliminazione e caricamento di file simili in un breve periodo di tempo.

    Azione consigliata: dopo aver esaminato il log attività e aver verificato che le estensioni di file non sono sospette, ignorare l'avviso.

  3. FP (estensione di file ransomware comune): se si è in grado di confermare che le estensioni dei file interessati sono una corrispondenza per un'estensione ransomware nota.

    Azione consigliata: contattare l'utente e verificare che i file siano sicuri e quindi ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per altri indicatori di compromissione, ad esempio il download di massa o l'eliminazione di massa, dei file.
  2. Se si usa Microsoft Defender per endpoint, esaminare gli avvisi del computer dell'utente per verificare se sono stati rilevati file dannosi.
  3. Cercare nel log attività attività di caricamento e condivisione di file dannosi.

Attività insolita di eliminazione di file (da parte dell'utente)

Attività che indicano che un utente ha eseguito un'attività insolita di eliminazione di file rispetto alla baseline appresa. Questo può indicare un attacco ransomware. Ad esempio, un utente malintenzionato può crittografare i file di un utente ed eliminare tutti gli originali, lasciando solo le versioni crittografate che possono essere usate per costringere la vittima a pagare un riscatto. Defender per il cloud App crea una linea di base in base al normale comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni durante il quale gli avvisi non vengono attivati per le nuove posizioni.

TP, B-TP o FP?

  1. TP: se è possibile confermare che l'attività non è stata eseguita da un utente legittimo.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. FP: se è possibile confermare che l'utente ha eseguito in modo legittimo più attività di eliminazione dei file rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le attività di eliminazione e creare un elenco di file eliminati. Se necessario, recuperare i file eliminati.
  2. Facoltativamente, creare un playbook usando Power Automate per contattare gli utenti e i responsabili per verificare l'attività.

Aumento del punteggio di priorità dell'indagine (anteprima)

Le attività e le attività anomale che hanno attivato gli avvisi vengono assegnati punteggi in base alla gravità, all'impatto dell'utente e all'analisi comportamentale dell'utente. L'analisi viene eseguita in base ad altri utenti nei tenant.

Quando si verifica un aumento significativo e anomalo del punteggio di priorità di indagine di un determinato utente, l'avviso verrà attivato.

Questo avviso consente di rilevare potenziali violazioni caratterizzate da attività che non attivano necessariamente avvisi specifici, ma si accumulano in un comportamento sospetto per l'utente.

Periodo di apprendimento

Per stabilire un modello di attività di un nuovo utente è necessario un periodo di apprendimento iniziale di sette giorni, durante il quale gli avvisi non vengono attivati per un aumento del punteggio.

TP, B-TP o FP?

  1. TP: se è possibile confermare che le attività dell'utente non sono legittime.

    Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

  2. B-TP: se si è in grado di confermare che l'utente ha effettivamente deviato in modo significativo dal comportamento consueto, ma non esiste alcuna potenziale violazione.

  3. FP (comportamento insolito): se si è in grado di confermare che l'utente ha eseguito le attività insolite o più attività rispetto alla baseline stabilita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività utente e gli avvisi per ulteriori indicatori di compromissione.

Sequenza temporale di deprecazione

Il punteggio di priorità dell'indagine viene gradualmente ritirato per aumentare l'avviso da Microsoft Defender per il cloud App entro agosto 2024.

Dopo un'attenta analisi e considerazione, è stato deciso di deprecarlo a causa dell'elevato tasso di falsi positivi associati a questo avviso, che non è stato rilevato contribuisce in modo efficace alla sicurezza complessiva dell'organizzazione.

La nostra ricerca ha indicato che questa funzionalità non ha aggiunto un valore significativo e non è stata allineata con il nostro obiettivo strategico sulla fornitura di soluzioni di sicurezza affidabili e di alta qualità.

Ci impegniamo a migliorare costantemente i nostri servizi e a garantire che soddisfino le esigenze e le aspettative.

Per coloro che desiderano continuare a usare questo avviso, è consigliabile usare invece la query di ricerca avanzata seguente come modello suggerito. Modificare la query in base alle esigenze.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Vedi anche