Esercitazione: Rilevare attività utente sospette con l'analisi comportamentale (UEBA)

  • Articolo

Microsoft Defender per il cloud App offre rilevamenti di classe ottimali nella kill chain degli attacchi per utenti compromessi, minacce interne, esfiltrazione, ransomware e altro ancora. La nostra soluzione completa si ottiene combinando più metodi di rilevamento, tra cui anomalie, analisi comportamentale (UEBA) e rilevamenti di attività basate su regole, per offrire una panoramica generale del modo in cui gli utenti usano le app nell'ambiente.

Perché è quindi importante rilevare comportamenti sospetti? L'impatto di un utente in grado di modificare l'ambiente cloud può essere significativo e influire direttamente sulla capacità di gestire l'azienda. Ad esempio, le risorse aziendali chiave come i server che eseguono il sito Web pubblico o il servizio fornito ai clienti possono essere compromesse.

Usando i dati acquisiti da diverse origini, Defender per il cloud App analizza i dati per estrarre le attività dell'app e degli utenti nell'organizzazione, offrendo agli analisti della sicurezza visibilità sull'uso del cloud. I dati raccolti sono correlati, standardizzati e arricchiti con intelligence sulle minacce, posizione e molti altri dettagli per fornire una visualizzazione accurata e coerente delle attività sospette.

Di conseguenza, per sfruttare appieno i vantaggi di questi rilevamenti, assicurarsi prima di tutto di configurare le origini seguenti:

  • Log attività
    Attività dalle app connesse alle API.
  • Log di individuazione
    Attività estratte dai log del traffico del firewall e proxy inoltrate alle app di Defender per il cloud. I log vengono analizzati in base al catalogo delle app cloud, classificati e classificati in base a più di 90 fattori di rischio.
  • Log proxy
    Attività dalle app di controllo app per l'accesso condizionale.

Successivamente, è necessario ottimizzare i criteri. I criteri seguenti possono essere ottimizzati impostando filtri, soglie dinamiche (UEBA) per eseguire il training dei modelli di rilevamento e eliminazioni per ridurre i rilevamenti falsi positivi comuni:

  • Rilevamento anomalie
  • Rilevamento di anomalie di Cloud Discovery
  • Rilevamento di attività basate su regole

In questa esercitazione si apprenderà come ottimizzare i rilevamenti delle attività utente per identificare i veri compromessi e ridurre l'affaticamento degli avvisi risultante dalla gestione di grandi volumi di rilevamenti falsi positivi:

Fase 1: Configurare gli intervalli di indirizzi IP

Prima di configurare i singoli criteri, è consigliabile configurare gli intervalli IP in modo che siano disponibili per l'ottimizzazione di qualsiasi tipo di criteri di rilevamento delle attività utente sospette.

Poiché le informazioni sugli indirizzi IP sono fondamentali per quasi tutte le indagini, la configurazione di indirizzi IP noti consente agli algoritmi di Machine Learning di identificare le posizioni note e considerarle come parte dei modelli di Machine Learning. Ad esempio, l'aggiunta dell'intervallo di indirizzi IP della VPN consentirà al modello di classificare correttamente questo intervallo IP ed escluderlo automaticamente dai rilevamenti di viaggi impossibili perché la posizione VPN non rappresenta la vera posizione dell'utente.

Nota: gli intervalli IP configurati non sono limitati ai rilevamenti e vengono usati in tutte le app Defender per il cloud in aree come le attività nel log attività, l'accesso condizionale e così via. Tenere presente questo aspetto durante la configurazione degli intervalli. Ad esempio, l'identificazione degli indirizzi IP dell'ufficio fisico consente di personalizzare il modo in cui vengono visualizzati e esaminati i log e gli avvisi.

Esaminare gli avvisi di rilevamento anomalie predefiniti

Defender per il cloud App include un set di avvisi di rilevamento anomalie per identificare diversi scenari di sicurezza. Questi rilevamenti vengono abilitati automaticamente automaticamente e inizieranno a profilare l'attività dell'utente e generano avvisi non appena i connettori dell'app pertinenti sono connessi.

Per iniziare, acquisire familiarità con i diversi criteri di rilevamento, classificare in ordine di priorità gli scenari principali che si ritiene siano più rilevanti per l'organizzazione e ottimizzare i criteri di conseguenza.

Fase 2: Ottimizzare i criteri di rilevamento anomalie

Sono disponibili diversi criteri di rilevamento anomalie predefiniti in Defender per il cloud App preconfigurate per i casi d'uso di sicurezza comuni. È consigliabile dedicare del tempo per acquisire familiarità con i rilevamenti più diffusi, ad esempio:

  • Comunicazione impossibile
    Attività dello stesso utente in posizioni diverse entro un periodo più breve del tempo di viaggio previsto tra le due località.
  • Attività da un paese non frequente
    Attività da una posizione che non è stata recentemente o mai visitata dall'utente.
  • Rilevamento malware
    Analizza i file nelle app cloud ed esegue file sospetti tramite il motore di intelligence per le minacce di Microsoft per determinare se sono associati a malware noto.
  • Attività ransomware
    Caricamenti di file nel cloud che potrebbero essere infettati da ransomware.
  • Attività da indirizzi IP sospetti
    Attività da un indirizzo IP identificato come rischioso da Microsoft Threat Intelligence.
  • Inoltro sospetto per la Posta in arrivo
    Rileva le regole di inoltro della posta in arrivo sospette impostate nella posta in arrivo di un utente.
  • Attività insolite di download di più file
    Rileva più attività di download di file in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.
  • Attività amministrative insolite
    Rileva più attività amministrative in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.

Per un elenco completo dei rilevamenti e delle operazioni eseguite, vedere Criteri di rilevamento anomalie.

Nota

Anche se alcuni rilevamenti di anomalie sono principalmente incentrati sul rilevamento di scenari di sicurezza problematici, altri possono facilitare l'identificazione e l'analisi del comportamento anomalo dell'utente che potrebbe non necessariamente indicare una compromissione. Per questi rilevamenti è stato creato un altro tipo di dati denominato "comportamenti", disponibile nell'esperienza di ricerca avanzata di Microsoft Defender XDR. Per altre informazioni, vedere Comportamenti.

Dopo aver acquisito familiarità con i criteri, è consigliabile valutare come ottimizzare i criteri in base ai requisiti specifici dell'organizzazione per migliorare le attività di destinazione che è possibile esaminare ulteriormente.

  1. Definire l'ambito dei criteri per utenti o gruppi specifici

    La definizione dell'ambito dei criteri per utenti specifici può contribuire a ridurre il rumore dagli avvisi che non sono rilevanti per l'organizzazione. Ogni criterio può essere configurato per includere o escludere utenti e gruppi specifici, ad esempio negli esempi seguenti:

    • Simulazioni di attacchi
      Molte organizzazioni usano un utente o un gruppo per simulare costantemente gli attacchi. Ovviamente, non ha senso ricevere costantemente avvisi da queste attività degli utenti. È quindi possibile configurare i criteri per escludere questi utenti o gruppi. In questo modo, i modelli di Machine Learning identificano questi utenti e ottimizzano di conseguenza le soglie dinamiche.
    • Rilevamenti mirati
      L'organizzazione potrebbe essere interessata all'analisi di un gruppo specifico di utenti VIP, ad esempio membri di un amministratore o di un gruppo CXO. In questo scenario è possibile creare un criterio per le attività che si desidera rilevare e scegliere di includere solo il set di utenti o gruppi a cui si è interessati.

  2. Ottimizzare i rilevamenti di accesso anomali

    Alcune organizzazioni vogliono visualizzare gli avvisi risultanti da attività di accesso non riuscite perché potrebbero indicare che un utente sta tentando di indirizzare uno o più account utente. D'altra parte, gli attacchi di forza bruta sugli account utente si verificano sempre nel cloud e le organizzazioni non hanno modo di impedirli. Di conseguenza, le organizzazioni di grandi dimensioni in genere decidono di ricevere avvisi solo per attività di accesso sospette che comportano attività di accesso riuscite, in quanto possono rappresentare veri compromessi.

    Il furto di identità è una fonte chiave di compromissione e rappresenta un importante vettore di minaccia per l'organizzazione. Gli avvisi relativi a viaggi impossibili, attività da indirizzi IP sospetti e rilevamenti di paese/area geografica poco frequenti consentono di individuare le attività che suggeriscono che un account è potenzialmente compromesso.

  3. Ottimizzare la sensibilità del viaggioimpossibile Configurare il dispositivo di scorrimento di riservatezza che determina il livello di eliminazioni applicate al comportamento anomalo prima di attivare un avviso di viaggio impossibile. Ad esempio, le organizzazioni interessate ad alta fedeltà dovrebbero prendere in considerazione l'aumento del livello di riservatezza. D'altra parte, se l'organizzazione ha molti utenti che viaggiano, è consigliabile abbassare il livello di riservatezza per eliminare le attività dalle posizioni comuni di un utente apprese dalle attività precedenti. È possibile scegliere tra i livelli di riservatezza seguenti:

    • Basso: eliminazione di sistema, tenant e utente
    • Media: eliminazioni di sistema e utente
    • Alto: solo le eliminazioni di sistema

    Dove:

    Tipo di eliminazione Descrizione
    Di sistema Rilevamenti predefiniti che vengono sempre eliminati.
    Tenant Attività comuni basate sull'attività precedente nel tenant. Ad esempio, eliminando le attività da un ISP precedentemente avvisato nell'organizzazione.
    Utente Attività comuni basate sull'attività precedente dell'utente specifico. Ad esempio, eliminando le attività da una posizione comunemente usata dall'utente.

Fase 3: Ottimizzare i criteri di rilevamento anomalie di Cloud Discovery

Analogamente ai criteri di rilevamento anomalie, esistono diversi criteri di rilevamento anomalie predefiniti di Cloud Discovery che è possibile ottimizzare. Ad esempio, l'esfiltrazione di dati alle app non approvate avvisa l'utente quando i dati vengono esfiltrati in un'app non approvata e vengono preconfigurati con le impostazioni basate sull'esperienza Microsoft nel campo sicurezza.

Tuttavia, è possibile ottimizzare i criteri predefiniti o creare criteri personalizzati per facilitare l'identificazione di altri scenari che potrebbero essere interessati all'analisi. Poiché questi criteri sono basati su log di Cloud Discovery, hanno funzionalità di ottimizzazione diverse più incentrate sul comportamento anomalo delle app e sull'esfiltrazione di dati.

  1. Ottimizzare il monitoraggio dell'utilizzo
    Impostare i filtri di utilizzo per controllare la linea di base, l'ambito e il periodo di attività per rilevare il comportamento anomalo. Ad esempio, è possibile ricevere avvisi per le attività anomale relative ai dipendenti di livello esecutivo.

  2. Ottimizzare la riservatezza degli avvisi
    Per evitare l'affaticamento degli avvisi, configurare la sensibilità degli avvisi. È possibile usare il dispositivo di scorrimento di riservatezza per controllare il numero di avvisi ad alto rischio inviati per 1.000 utenti alla settimana. Una maggiore sensibilità richiede meno varianza per essere considerata un'anomalia e generare più avvisi. In generale, impostare bassa riservatezza per gli utenti che non hanno accesso ai dati riservati.

Fase 4: Ottimizzare i criteri di rilevamento (attività) basati su regole

I criteri di rilevamento basati su regole consentono di integrare i criteri di rilevamento anomalie con requisiti specifici dell'organizzazione. È consigliabile creare criteri basati su regole usando uno dei modelli di criteri attività (passare a Modelli di controllo>e impostare il filtro Tipo su Criteri attività) e quindi configurarli per rilevare i comportamenti non normali per l'ambiente in uso. Ad esempio, per alcune organizzazioni che non hanno alcuna presenza in un determinato paese o area geografica, può essere opportuno creare un criterio che rilevi le attività anomale da quel paese o area geografica e avvisarle. Per altri, che dispongono di rami di grandi dimensioni in quel paese/area geografica, le attività provenienti da tale paese/area geografica sarebbero normali e non avrebbe senso rilevare tali attività.

  1. Ottimizzare il volume di attività
    Scegliere il volume di attività necessario prima che il rilevamento generi un avviso. Usando il nostro esempio di paese/area geografica, se non si ha alcuna presenza in un paese/area geografica, anche una singola attività è significativa e garantisce un avviso. Tuttavia, un errore di accesso Single Sign-In potrebbe essere umano e di interesse solo se si verificano molti errori in un breve periodo.
  2. Ottimizzare i filtri delle attività
    Impostare i filtri necessari per rilevare il tipo di attività su cui si vuole inviare un avviso. Ad esempio, per rilevare l'attività da un paese/area geografica, usare il parametro Location .
  3. Ottimizzare gli avvisi
    Per evitare l'affaticamento degli avvisi, impostare il limite di avviso giornaliero.

Fase 5: Configurare gli avvisi

Nota

Dal 15 dicembre 2022, gli avvisi/SMS (SMS) sono stati deprecati. Se si desidera ricevere avvisi di testo, è consigliabile usare Microsoft Power Automate per l'automazione degli avvisi personalizzata. Per altre informazioni, vedere Integrare con Microsoft Power Automate per l'automazione degli avvisi personalizzata.

È possibile scegliere di ricevere avvisi nel formato e nel supporto più adatti alle proprie esigenze. Per ricevere avvisi immediati in qualsiasi momento del giorno, è preferibile riceverli tramite posta elettronica.

È anche possibile analizzare gli avvisi nel contesto di altri avvisi attivati da altri prodotti dell'organizzazione per offrire una visione olistica di una potenziale minaccia. Ad esempio, è possibile correlare tra eventi locali e basati sul cloud per verificare se sono presenti altre prove di mitigazione che potrebbero confermare un attacco.

Inoltre, è anche possibile attivare l'automazione degli avvisi personalizzata usando l'integrazione con Microsoft Power Automate. Ad esempio, è possibile configurare un playbook crea automaticamente un problema in ServiceNow o inviare un messaggio di posta elettronica di approvazione per eseguire un'azione di governance personalizzata quando viene attivato un avviso.

Usare le linee guida seguenti per configurare gli avvisi:

  1. Messaggio e-mail
    Scegliere questa opzione per ricevere avvisi tramite posta elettronica.
  2. SIEM
    Sono disponibili diverse opzioni di integrazione SIEM, tra cui Microsoft Sentinel, Microsoft Graph API Sicurezza e altri SIEM generici. Scegliere l'integrazione più adatta alle proprie esigenze.
  3. Automazione di Power Automate
    Creare i playbook di automazione necessari e impostarlo come avviso del criterio sull'azione di Power Automate.

Fase 6: Analizzare e correggere

Sono stati configurati i criteri e si inizia a ricevere avvisi di attività sospette. Cosa dovresti fare su di loro? Per un inizio, è necessario eseguire i passaggi per analizzare l'attività. Ad esempio, è possibile esaminare le attività che indicano che un utente è stato compromesso.

Per ottimizzare la protezione, è consigliabile configurare azioni di correzione automatica per ridurre al minimo il rischio per l'organizzazione. I criteri consentono di applicare azioni di governance insieme agli avvisi in modo che il rischio per l'organizzazione venga ridotto anche prima di iniziare l'analisi. Le azioni disponibili sono determinate dal tipo di criteri, incluse azioni come la sospensione di un utente o il blocco dell'accesso alla risorsa richiesta.

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.

Altre informazioni