Criteri di rilevamento anomalie in Defender for Cloud Apps

Nota

Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender ed è possibile accedervi tramite il portale all'indirizzo: https://security.microsoft.com. Microsoft 365 Defender correla i segnali provenienti dalla suite di Microsoft Defender tra endpoint, identità, posta elettronica e app SaaS per fornire funzionalità di rilevamento, analisi e risposta a livello di evento imprevisto. Migliora l'efficienza operativa con priorità migliore e tempi di risposta più brevi che proteggono l'organizzazione in modo più efficace. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

I criteri di rilevamento anomalie Microsoft Defender for Cloud Apps offrono funzionalità predefinite di analisi del comportamento dell'utente e dell'entità (UEBA) e Machine Learning (ML) in modo da essere pronti fin dall'inizio per eseguire il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché vengono abilitati automaticamente, i nuovi criteri di rilevamento anomalie avviano immediatamente il processo di rilevamento e confronto dei risultati, destinati a numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i criteri espongono più dati dal motore di rilevamento di Defender for Cloud Apps, per velocizzare il processo di indagine e contenere minacce in corso.

I criteri di rilevamento anomalie vengono abilitati automaticamente, ma Defender for Cloud Apps ha un periodo di apprendimento iniziale di sette giorni durante il quale non vengono generati tutti gli avvisi di rilevamento anomalie. Successivamente, man mano che i dati vengono raccolti dai connettori API configurati, ogni sessione viene confrontata con l'attività, quando gli utenti erano attivi, indirizzi IP, dispositivi e così via, rilevati nell'ultimo mese e il punteggio di rischio di queste attività. Tenere presente che potrebbero essere necessarie diverse ore prima che i dati siano disponibili dai connettori API. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristico che profila l'ambiente e attiva gli avvisi in relazione a una baseline appresa sull'attività dell'organizzazione. Questi rilevamenti usano anche algoritmi di Machine Learning progettati per profilare gli utenti e il modello di accesso per ridurre i falsi positivi.

Le anomalie vengono rilevate mediante l'analisi delle attività degli utenti. Il rischio viene valutato sulla base di oltre 30 diversi indicatori, raggruppati in fattori di rischio, come segue:

• Indirizzo IP rischioso
• Errori di accesso
• Attività amministrative
• Account inattivi
• Location
• Comunicazione impossibile
• Agente utente e dispositivo
• Frequenza dell'attività

In base ai risultati dei criteri, vengono generati avvisi di sicurezza. Defender for Cloud Apps esamina ogni sessione utente nel cloud e avvisa quando si verifica un evento diverso dalla baseline dell'organizzazione o dall'attività regolare dell'utente.

Oltre agli avvisi nativi di Defender for Cloud Apps, si otterranno anche gli avvisi di rilevamento seguenti in base alle informazioni ricevute da Azure Active Directory (AD) Identity Protection:

• Credenziali perse: attivate quando le credenziali valide di un utente sono state perse. Per altre informazioni, vedere Rilevamento delle credenziali perse di Azure AD.
• Accesso a rischio: combina diversi rilevamenti di accesso di Azure AD Identity Protection in un unico rilevamento. Per altre informazioni, vedere Rilevamento dei rischi di accesso di Azure AD.

Questi criteri verranno visualizzati nella pagina dei criteri di Defender for Cloud Apps e possono essere abilitati o disabilitati.

Criteri di rilevamento anomalie

È possibile visualizzare i criteri di rilevamento anomalie nel portale di Microsoft 365 Defender passando ad App cloud -Criteri ->>Gestione dei criteri. Scegliere quindi Criteri di rilevamento anomalie per il tipo di criterio.

Sono disponibili i criteri di rilevamento anomalie seguenti:

Comunicazione impossibile

• Questo rilevamento identifica due attività utente (in una singola o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve del tempo impiegato dall'utente per spostarsi dalla prima posizione alla seconda, a indicare che un utente diverso usa le stesse credenziali. Questo rilevamento usa un algoritmo di Machine Learning che ignora gli ovvi "falsi positivi" che contribuiscono alla condizione di viaggio impossibile, ad esempio VPN e posizioni usate regolarmente da altri utenti dell'organizzazione. Il rilevamento ha un periodo di apprendimento iniziale di sette giorni durante il quale apprende il modello di attività di un nuovo utente. Il rilevamento di tipo comunicazione impossibile identifica attività insolite e impossibili tra utenti in due località diverse. L'attività deve essere sufficientemente insolita da essere considerata indicativa di compromissione e adatta a generare un avviso. Per eseguire questa operazione, la logica di rilevamento include diversi livelli di eliminazione per risolvere scenari che possono attivare falsi positivi, ad esempio attività VPN o attività da provider di servizi cloud che non indicano una posizione fisica. Il dispositivo di scorrimento di riservatezza consente di influire sull'algoritmo e definire il livello di severità della logica di rilevamento. Maggiore è il livello di riservatezza, meno attività verranno eliminate come parte della logica di rilevamento. In questo modo, è possibile adattare il rilevamento alle esigenze di copertura e alle destinazioni SNR.

  Nota

  • Quando gli indirizzi IP su entrambi i lati del viaggio sono considerati sicuri e il dispositivo di scorrimento di sensibilità non è impostato su Alto, il viaggio è attendibile ed escluso dall'attivazione del rilevamento di viaggi impossibile. Ad esempio, entrambi i lati sono considerati sicuri se sono contrassegnati come aziendali. Tuttavia, se l'indirizzo IP di un solo lato del viaggio è considerato sicuro, il rilevamento viene attivato come di consueto.
  • Le località vengono calcolate a livello di paese. Ciò significa che non ci saranno avvisi per due azioni che hanno origine nello stesso paese o nei paesi confinanti.

Attività da un paese non frequente

• Questo rilevamento prende in considerazione le località di attività passate per determinare località nuove e non frequenti. Il motore di rilevamento anomalie archivia le informazioni sui percorsi precedenti usati dall'utente. Un avviso viene attivato quando si verifica un'attività da una posizione che non è stata recentemente o mai visitata dall'utente. Per ridurre gli avvisi falsi positivi, il rilevamento elimina le connessioni caratterizzate da preferenze comuni per l'utente.

Rilevamento di malware

• Questo rilevamento identifica i file dannosi presenti nell'archiviazione cloud, sia nelle app Microsoft che nelle app di terze parti. Microsoft Defender for Cloud Apps usa l'intelligence sulle minacce di Microsoft per riconoscere se determinati file sono associati ad attacchi malware noti e sono potenzialmente dannosi. Per impostazione predefinita, questo criterio predefinito è disattivato. Anche i file potenzialmente rischiosi in base all'euristica verranno analizzati in modalità sandbox. Dopo aver rilevato file dannosi, è possibile visualizzare un elenco di file infetti. Selezionare il nome del file malware nel pannello dei file per aprire un report malware che fornisce informazioni sul tipo di malware con cui il file è infetto.

  È possibile usare questo rilevamento in tempo reale usando i criteri di sessione per controllare i caricamenti e i download dei file.

  Defender for Cloud Apps supporta il rilevamento malware per le app seguenti:

  • Casella
  • Dropbox
  • Google Workspace
  • Office 365 (richiede una licenza valida per Microsoft Defender per Office 365 P1)

  Nota

  Il malware rilevato nelle app Office 365 viene bloccato automaticamente dall'app e l'utente non riesce a raggiungere il file. Solo l'amministratore dell'app ha accesso.

  In Box, Dropbox e Google Workspace Defender for Cloud Apps non blocca il file, ma il blocco può essere eseguito in base alle funzionalità dell'app e alla configurazione dell'app impostata dal cliente.

Attività da indirizzi IP anonimi

• Questo rilevamento indica che erano presenti utenti attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per finalità dannose. Questo rilevamento usa un algoritmo di Machine Learning che riduce i "falsi positivi", ad esempio indirizzi IP con tag errato ampiamente usati dagli utenti dell'organizzazione.

Attività ransomware

• Defender for Cloud Apps ha esteso le funzionalità di rilevamento ransomware con il rilevamento anomalie per garantire una copertura più completa contro attacchi ransomware sofisticati. L'uso delle nostre competenze di ricerca sulla sicurezza per identificare i modelli comportamentali che riflettono l'attività ransomware, Defender for Cloud Apps garantisce una protezione olistica e affidabile. Se Defender for Cloud Apps identifica, ad esempio, una frequenza elevata di caricamenti di file o attività di eliminazione di file può rappresentare un processo di crittografia negativo. Questi dati vengono raccolti nei log ricevuti dalle API connesse e vengono quindi combinati con i modelli comportamentali acquisiti e le informazioni sulle minacce, ad esempio, le estensioni ransomware note. Per altre informazioni su come Defender for Cloud Apps rileva ransomware, vedere Protezione dell'organizzazione da ransomware.

Attività eseguita da un utente terminato

• Questo rilevamento consente di identificare quando un dipendente terminato continua a eseguire azioni sulle app SaaS. Poiché i dati dimostrano che il rischio più grave di minaccia interna proviene dai dipendenti che hanno lasciato l'azienda in cattivi rapporti, è importante monitorare l'attività degli account dei dipendenti terminati. In alcuni casi, quando un dipendente lascia una società, viene effettuato il deprovisioning dell'account dalle app aziendali, ma in molti casi i dipendenti hanno ancora accesso a determinate risorse aziendali. Questo è ancora più importante quando si tratta di account con privilegi, perché il danno potenziale che può arrecare un ex amministratore è intrinsecamente maggiore. Questo rilevamento sfrutta la possibilità di Defender for Cloud Apps di monitorare il comportamento degli utenti tra le app, consentendo l'identificazione della regolare attività dell'utente, il fatto che l'account è stato eliminato e l'attività effettiva in altre app. Ad esempio, un dipendente il cui account Azure AD è stato eliminato, ma ha ancora accesso all'infrastruttura AWS aziendale, può causare danni su larga scala.

Il rilevamento cerca gli utenti i cui account sono stati eliminati in Azure AD, ma continuano a eseguire attività in altre piattaforme, ad esempio AWS o Salesforce. Ciò è particolarmente rilevante per gli utenti che usano un altro account (non l'account Single Sign-On primario) per gestire le risorse, poiché questi account spesso non vengono eliminati quando un utente lascia la società.

Attività da indirizzi IP sospetti

• Questo rilevamento individua gli utenti attivi da un indirizzo IP che è stato identificato come rischioso dall'intelligence per le minacce di Microsoft. Questi indirizzi IP sono coinvolti in attività dannose, ad esempio l'esecuzione di password spraying, Botnet C C&e possono indicare un account compromesso. Questo rilevamento usa un algoritmo di Machine Learning che riduce i "falsi positivi", ad esempio indirizzi IP con tag errato ampiamente usati dagli utenti dell'organizzazione.

Inoltro sospetto della Posta in arrivo

• Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.

Nota

Defender for Cloud Apps avvisa solo l'utente per ogni regola di inoltro identificata come sospetta, in base al comportamento tipico per l'utente.

Regole di manipolazione della posta in arrivo sospette

• Questo criterio di rilevamento profila l'ambiente e genera avvisi quando nella Posta in arrivo di un utente vengono configurate regole sospette per eliminare o spostare messaggi o cartelle. Ciò potrebbe indicare che l'account utente è danneggiato, che i messaggi vengono nascosti intenzionalmente e che la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.

Attività di eliminazione di posta elettronica sospetta (anteprima)

• Questo criterio profila l'ambiente e attiva gli avvisi quando un utente esegue attività di eliminazione di posta elettronica sospette in una singola sessione. Questo criterio può indicare che le cassette postali di un utente possono essere compromesse da potenziali vettori di attacco, ad esempio la comunicazione da comando e controllo (C&/C2) tramite posta elettronica.

Nota

Defender for Cloud Apps si integra con Microsoft Defender per Office 365 per fornire protezione per Exchange online, tra cui detonazione URL, protezione malware e altro ancora. Dopo aver abilitato Defender per Office 365, si inizieranno a visualizzare gli avvisi nel log attività di Defender for Cloud Apps.

Attività di download di file di app OAuth sospette

• Analizza le app OAuth connesse all'ambiente e attiva un avviso quando un'app scarica più file da Microsoft SharePoint o Microsoft OneDrive in modo insolito per l'utente. Ciò può indicare che l'account utente è compromesso.

ISP insolito per un'app OAuth

• Questo criterio profila l'ambiente e attiva gli avvisi quando un'app OAuth si connette alle applicazioni cloud da un ISP non comune. Questo criterio può indicare che un utente malintenzionato ha tentato di usare un'app compromessa legittima per eseguire attività dannose nelle applicazioni cloud.

Attività insolita (per utente)

Questi rilevamenti identificano gli utenti che eseguono:

• Più attività insolite di download di file
• Attività insolite di condivisione file
• Attività insolite di eliminazione file
• Attività insolite di rappresentazione
• Attività amministrative insolite
• Attività di condivisione report di Power BI insolite (anteprima)
• Attività di creazione di più macchine virtuali insolite (anteprima)
• Attività di eliminazione di archiviazione insolite (anteprima)
• Area insolita per la risorsa cloud (anteprima)
• Accesso insolito ai file

Questi criteri cercano attività in una singola sessione, rispetto alla linea di base appresa, che potrebbero indicare un tentativo di violazione. Questi rilevamenti sfruttano un algoritmo di Machine Learning che profila il modello di accesso degli utenti e riduce i falsi positivi. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristica che profila l'ambiente e attiva gli avvisi rispetto a una linea di base appresa sull'attività dell'organizzazione.

Più tentativi di accesso non riusciti

• Questo rilevamento identifica gli utenti che hanno effettuato più tentativi di accesso non riusciti in una singola sessione, rispetto alla linea di base appresa, che potrebbero indicare un tentativo di violazione.

Estrazione di dati verso app non approvate

• Questo criterio viene abilitato automaticamente per l'invio di avvisi quando un utente o indirizzo IP usa un'app non approvata per l'esecuzione di un'attività che costituisce un tentativo di estrarre informazioni dall'organizzazione.

Più attività di eliminazione di VM

• Questo criterio delinea il profilo dell'ambiente e attiva gli avvisi quando gli utenti eliminano più macchine virtuali in una singola sessione rispetto alla baseline dell'organizzazione. Ciò potrebbe indicare un tentativo di violazione.

Abilitare la governance automatizzata

Negli avvisi generati da criteri di rilevamento anomalie, è possibile abilitare azioni di correzione automatizzate.

1. Selezionare il nome dei criteri di rilevamento nella pagina Criteri .
2. Nella finestra Modifica criteri di rilevamento anomalie visualizzata, in Azioni di governance impostare le azioni di correzione desiderate per ogni app connessa o per tutte le app.
3. Selezionare Aggiorna.

Ottimizzare i criteri di rilevamento anomalie

Per modificare il funzionamento del motore di rilevamento delle anomalie per impedire o consentire la visualizzazione di avvisi in base alle proprie preferenze:

• Nel criterio relativo alIo spostamento fisico impossibile si può impostare il dispositivo di scorrimento della sensibilità in modo da determinare il livello di comportamento anomalo che deve essere raggiunto prima che venga attivato un avviso. Ad esempio, se lo si imposta su basso o medio, gli avvisi di viaggio impossibile verranno eliminati dalle posizioni comuni di un utente e, se è impostato su alto, verranno visualizzati tali avvisi. È possibile scegliere tra i livelli di sensibilità seguenti:

  • Bassa: richieste di eliminazione a livello di sistema, tenant e utente

  • Media: richieste di eliminazione a livello di sistema e utente

  • Alta: solo richieste di eliminazione a livello di sistema

    Dove:

    Tipo di eliminazione	Descrizione
    Sistema	Rilevamenti predefiniti che vengono sempre eliminati.
    Tenant	Attività comuni basate sull'attività precedente nel tenant. Un esempio è l'eliminazione di attività derivanti da un provider di servizi Internet già segnalato nell'organizzazione.
    Utente	Attività comuni basate sull'attività precedente dell'utente specifico. Un esempio è l'eliminazione di attività svolte in una località in cui l'utente soggiorna spesso.

Nota

Impossibile viaggiare, attività da paesi/aree non frequenti, attività da indirizzi IP anonimi e attività da indirizzi IP sospetti non si applicano agli account di accesso non riusciti e agli account di accesso non interattivi.

Definire l'ambito dei criteri di rilevamento anomalie

È possibile definire un ambito in modo indipendente per tutti i criteri di rilevamento anomalie, in modo che siano applicabili solo agli utenti e ai gruppi che si vuole includere ed escludere nei criteri. Ad esempio, è possibile impostare il rilevamento delle attività da un paese non frequente in modo da ignorare un utente specifico che viaggia di frequente.

Per definire l'ambito per un criterio di rilevamento anomalie:

1. Nel portale di Microsoft 365 Defender passare a App cloud -Criteri ->>Gestione criteri. Scegliere quindi criteri di rilevamento anomalie per il tipo di criterio.

2. Selezionare i criteri da applicare.

3. In Ambito modificare l'impostazione predefinita nell'elenco a discesa Tutti gli utenti e gruppi selezionando Specific users and groups (Utenti e gruppi specifici).

4. Selezionare Includi per specificare gli utenti e i gruppi per chi verrà applicato questo criterio. Qualsiasi utente o gruppo non selezionato qui non verrà considerato una minaccia e non genererà un avviso.

5. Selezionare Escludi per specificare gli utenti per cui questo criterio non verrà applicato. Tutti gli utenti selezionati qui non verranno considerati una minaccia e non genereranno un avviso, anche se sono membri di gruppi selezionati in Includi.

   

Valutazione degli avvisi di rilevamento anomalie

È possibile valutare rapidamente i vari avvisi attivati dai nuovi criteri di rilevamento anomalie e decidere per quali intervenire prima. A tale scopo, è necessario il contesto per l'avviso, quindi è possibile visualizzare l'immagine più grande e comprendere se qualcosa di dannoso sta effettivamente accadendo.

1. Nel log attività è possibile aprire un'attività per visualizzare il pannello attività. Selezionare Utente per visualizzare la scheda Informazioni dettagliate utente. Questa scheda include informazioni come il numero di avvisi, le attività e la posizione in cui sono connessi, che è importante in un'indagine.

   

2. I file rilevati come infetti da malware sono visualizzabili in un elenco di file infetti. Selezionare il nome del file malware nel cassetto file per aprire un report malware che fornisce informazioni sul tipo di malware con cui il file è infettato.

Video correlati

Webinar sulla protezione delle minacce

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.