Anomaliedetectiewaarschuwingen onderzoeken
Microsoft Defender voor Cloud Apps biedt beveiligingsdetecties en -waarschuwingen voor schadelijke activiteiten. Het doel van deze handleiding is om u algemene en praktische informatie over elke waarschuwing te geven, om u te helpen bij uw onderzoek en hersteltaken. Deze handleiding bevat algemene informatie over de voorwaarden voor het activeren van waarschuwingen. Het is echter belangrijk te weten dat omdat anomaliedetecties niet-deterministisch zijn, ze alleen worden geactiveerd wanneer er gedrag is dat afwijkt van de norm. Ten slotte zijn sommige waarschuwingen mogelijk in preview, dus bekijk regelmatig de officiële documentatie voor bijgewerkte waarschuwingsstatus.
MITRE ATT&CK
We hebben de waarschuwingen gecategoriseerd op basis van de bijbehorende MITRE ATT&CK-tactiek om de relatie tussen Defender voor Cloud Apps-waarschuwingen en de vertrouwde MITRE ATT&CK-matrix toe te wijzen. Deze extra verwijzing maakt het gemakkelijker om inzicht te krijgen in de technieken voor verdachte aanvallen die mogelijk in gebruik zijn wanneer een waarschuwing voor Defender voor Cloud Apps wordt geactiveerd.
Deze handleiding bevat informatie over het onderzoeken en herstellen van Defender voor Cloud Apps-waarschuwingen in de volgende categorieën.
Classificaties van beveiligingswaarschuwingen
Na een goed onderzoek kunnen alle Defender voor Cloud Apps-waarschuwingen worden geclassificeerd als een van de volgende activiteitstypen:
- Terecht positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
- Goedaardig terecht positief (B-TP): een waarschuwing over verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
- Fout-positief (FP): een waarschuwing over een niet-onbetrouwbale activiteit.
Algemene onderzoeksstappen
U moet de volgende algemene richtlijnen gebruiken bij het onderzoeken van elk type waarschuwing om een duidelijker inzicht te krijgen in de mogelijke bedreiging voordat u de aanbevolen actie toepast.
- Controleer de prioriteitsscore van het onderzoek van de gebruiker en vergelijk deze met de rest van de organisatie. Hiermee kunt u bepalen welke gebruikers in uw organisatie het grootste risico vormen.
- Als u een TP identificeert, bekijkt u alle activiteiten van de gebruiker om inzicht te krijgen in de impact.
- Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken de bron en het bereik van de impact. Bekijk bijvoorbeeld de volgende gebruikersapparaatgegevens en vergelijk deze met bekende apparaatgegevens:
- Besturingssysteem en versie
- Browser en versie
- IP-adres en -locatie
Eerste toegangswaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert een eerste voet aan de grond te krijgen in uw organisatie.
Activiteit vanaf anoniem IP-adres
Beschrijving
Activiteit van een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres door Microsoft Threat Intelligence of door uw organisatie. Deze proxy's kunnen worden gebruikt om het IP-adres van een apparaat te verbergen en kan worden gebruikt voor schadelijke activiteiten.
TP, B-TP of FP?
Deze detectie maakt gebruik van een machine learning-algoritme dat B-TP-incidenten vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.
TP: Als u kunt bevestigen dat de activiteit is uitgevoerd vanaf een anoniem OF TOR-IP-adres.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
B-TP: Als een gebruiker anonieme IP-adressen gebruikt binnen het bereik van hun taken. Wanneer een beveiligingsanalist bijvoorbeeld beveiligings- of penetratietests uitvoert namens de organisatie.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteiten en waarschuwingen voor andere indicatoren van inbreuk. Als de waarschuwing bijvoorbeeld wordt gevolgd door een andere verdachte waarschuwing, zoals een ongebruikelijk bestand downloaden (door gebruiker) of een waarschuwing voor het doorsturen van verdachte postvakken, geeft dit vaak aan dat een aanvaller probeert gegevens te exfiltreren.
Activiteit van onregelmatig land
Activiteit van een land/regio die kan duiden op schadelijke activiteiten. Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer activiteit wordt gedetecteerd vanaf een locatie die niet recent is of nooit is bezocht door een gebruiker in de organisatie.
Het beleid kan verder worden afgestemd op een subset van gebruikers of kan gebruikers uitsluiten die bekend zijn om naar externe locaties te reizen.
Leerperiode
Voor het detecteren van afwijkende locaties is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie:
- De gebruiker onderbreken, het wachtwoord opnieuw instellen en het juiste moment identificeren om het account veilig opnieuw in te schakelen.
- Optioneel: Maak een playbook met behulp van Power Automate om contact op te stellen met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties en hun managers om hun activiteit te verifiëren.
B-TP: Als een gebruiker op deze locatie bekend is. Bijvoorbeeld wanneer een gebruiker die vaak reist en zich momenteel op de opgegeven locatie bevindt.
Aanbevolen actie:
- Sluit de waarschuwing en wijzig het beleid om de gebruiker uit te sluiten.
- Maak een gebruikersgroep voor frequente reizigers, importeer de groep in Defender voor Cloud Apps en sluit de gebruikers uit van deze waarschuwing
- Optioneel: Maak een playbook met behulp van Power Automate om contact op te stellen met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties en hun managers om hun activiteit te verifiëren.
Inzicht in het bereik van de inbreuk
- Controleer welke resource mogelijk is aangetast, zoals potentiële gegevensdownloads.
Activiteit van verdachte IP-adressen
Activiteit van een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence of door uw organisatie. Deze IP-adressen zijn geïdentificeerd als betrokken bij schadelijke activiteiten, zoals het uitvoeren van wachtwoordspray, botnetopdracht en -beheer (C&C) en kunnen duiden op een gecompromitteerd account.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
B-TP: Als een gebruiker bekend is dat het IP-adres in het bereik van hun taken wordt gebruikt. Wanneer een beveiligingsanalist bijvoorbeeld beveiligings- of penetratietests uitvoert namens de organisatie.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek en zoek naar activiteiten van hetzelfde IP-adres.
- Controleer welke resource mogelijk is aangetast, zoals mogelijke gegevensdownloads of administratieve wijzigingen.
- Maak een groep voor beveiligingsanalisten die deze waarschuwingen vrijwillig activeert en sluit ze uit van het beleid.
Onmogelijke reis
Activiteit van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties. Dit kan duiden op een inbreuk op referenties, maar het is ook mogelijk dat de werkelijke locatie van de gebruiker wordt gemaskeerd, bijvoorbeeld met behulp van een VPN.
Als u de nauwkeurigheid en waarschuwing alleen wilt verbeteren wanneer er een sterke indicatie van een schending is, stelt Defender voor Cloud Apps een basislijn vast voor elke gebruiker in de organisatie en waarschuwt u alleen wanneer het ongebruikelijke gedrag wordt gedetecteerd. Het onmogelijke reisbeleid kan worden afgestemd op uw vereisten.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
Deze detectie maakt gebruik van een machine learning-algoritme dat duidelijke B-TP-voorwaarden negeert, zoals wanneer de IP-adressen aan beide zijden van de reis als veilig worden beschouwd, wordt de reis vertrouwd en uitgesloten van het activeren van de detectie van onmogelijke reizen. Beide zijden worden bijvoorbeeld als veilig beschouwd als ze zijn gelabeld als zakelijk. Als het IP-adres van slechts één kant van de reis echter als veilig wordt beschouwd, wordt de detectie als normaal geactiveerd.
TP: Als u kunt bevestigen dat de locatie in de onmogelijke reiswaarschuwing onwaarschijnlijk is voor de gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Niet-gedetecteerde gebruikersreis): Als u kunt bevestigen dat de gebruiker onlangs naar de bestemming is gereisd die in de waarschuwing is vermeld. Als bijvoorbeeld de telefoon van een gebruiker die zich in de vliegtuigstand bevindt, verbonden blijft met services zoals Exchange Online in uw bedrijfsnetwerk terwijl u naar een andere locatie reist. Wanneer de gebruiker op de nieuwe locatie aankomt, maakt de telefoon verbinding met Exchange Online om de onmogelijke reiswaarschuwing te activeren.
Aanbevolen actie: De waarschuwing sluiten.
FP (VPN zonder vlag): als u kunt bevestigen dat het IP-adresbereik afkomstig is van een goedgekeurd VPN.
Aanbevolen actie: sluit de waarschuwing en voeg het IP-adresbereik van het VPN toe aan Defender voor Cloud Apps en gebruik deze vervolgens om het IP-adresbereik van het VPN te taggen.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek om inzicht te krijgen in vergelijkbare activiteiten op dezelfde locatie en hetzelfde IP-adres.
- Als u ziet dat de gebruiker andere riskante activiteiten heeft uitgevoerd, zoals het downloaden van een groot aantal bestanden vanaf een nieuwe locatie, zou dit een sterke indicatie zijn van een mogelijke inbreuk.
- Voeg bedrijfs-VPN's en IP-adresbereiken toe.
- Maak een playbook met Power Automate en neem contact op met de manager van de gebruiker om te zien of de gebruiker legitiem onderweg is.
- Overweeg om een bekende reizigersdatabase te maken voor maximaal de minuut dat organisatie reisrapporten rapporteren en deze gebruiken om kruisverwijzingsactiviteiten te gebruiken.
Misleidende naam van OAuth-app
Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te vermommen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de app een misleidende naam heeft.
Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden.
Als u de toegang tot de app wilt verbieden, selecteert u op de tabbladen Google of Salesforce op de pagina App-beheer in de rij waarin de app die u wilt verbieden, het pictogram Ban. - U kunt kiezen of u gebruikers wilt laten weten welke app ze hebben geïnstalleerd en geautoriseerd, is verboden. Met de melding kunnen gebruikers weten dat de app is uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u de optie Gebruikers informeren uit die toegang hebben verleend tot deze verboden app in het dialoogvenster. - Het is raadzaam dat u de app-gebruikers laat weten dat hun app binnenkort niet kan worden gebruikt.
FP: Als u wilt bevestigen dat de app een misleidende naam heeft, maar een legitiem zakelijk gebruik in de organisatie heeft.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Volg de zelfstudie over het onderzoeken van riskante OAuth-apps.
Misleidende uitgeversnaam voor een OAuth-app
Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te vermommen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de app een misleidende uitgeversnaam heeft.
Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden.
FP: Als u wilt bevestigen dat de app een misleidende uitgeversnaam heeft, maar een legitieme uitgever is.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Selecteer op de tabbladen Google of Salesforce op de pagina App-beheer de app om de app-lade te openen en selecteer vervolgens Gerelateerde activiteit. Hiermee opent u de pagina Activiteitenlogboek die is gefilterd op activiteiten die door de app worden uitgevoerd. Houd er rekening mee dat sommige apps activiteiten uitvoeren die zijn geregistreerd als zijn uitgevoerd door een gebruiker. Deze activiteiten worden automatisch gefilterd op de resultaten in het activiteitenlogboek. Zie Activiteitenlogboek voor verder onderzoek met behulp van het activiteitenlogboek.
- Als u vermoedt dat een app verdacht is, raden we u aan de naam en uitgever van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
- Apps met een laag aantal downloads.
- Apps met een lage waardering of score of slechte opmerkingen.
- Apps met een verdachte uitgever of website.
- Apps die niet onlangs zijn bijgewerkt. Dit kan duiden op een app die niet meer wordt ondersteund.
- Apps met irrelevante machtigingen. Dit kan erop wijzen dat een app riskant is.
- Als u nog steeds vermoedt dat een app verdacht is, kunt u de app-naam, uitgever en URL online onderzoeken.
Uitvoeringswaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk schadelijke code probeert uit te voeren in uw organisatie.
Meerdere opslagverwijderingsactiviteiten
Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal cloudopslag- of databaseverwijderingen heeft uitgevoerd uit resources zoals Azure-blobs, AWS S3-buckets of Cosmos DB in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot schending van uw organisatie.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u wilt bevestigen dat de verwijderingen niet zijn geautoriseerd.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken het bereik van de impact.
FP: Als u na uw onderzoek kunt bevestigen dat de beheerder is gemachtigd om deze verwijderingsactiviteiten uit te voeren.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Neem contact op met de gebruiker en bevestig de activiteit.
- Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en kijk wie de wijziging heeft aangebracht.
- Bekijk de activiteiten van de gebruiker voor wijzigingen in andere services.
Activiteiten voor het maken van meerdere VM's
Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal VM-aanmaakacties heeft uitgevoerd in vergelijking met de basislijn die is geleerd. Meerdere VM-creaties in een geschonden cloudinfrastructuur kunnen duiden op een poging om cryptoanalysebewerkingen uit te voeren vanuit uw organisatie.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, stelt deze detectie een basislijn vast voor elke omgeving in de organisatie om B-TP-incidenten te verminderen, zoals een beheerder die legitiem meer VM's heeft gemaakt dan de vastgestelde basislijn, en alleen waarschuwen wanneer het ongebruikelijke gedrag wordt gedetecteerd.
TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken het bereik van de impact. Neem ook contact op met de gebruiker, bevestig hun legitieme acties en zorg ervoor dat u eventuele geïnfecteerde VM's uitschakelt of verwijdert.
B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd is om deze aanmaakactiviteiten uit te voeren.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk.
- Controleer de resources die door de gebruiker zijn gemaakt of gewijzigd en controleer of ze voldoen aan het beleid van uw organisatie.
Verdachte activiteit voor het maken van een cloudregio (preview)
Activiteiten die aangeven dat een gebruiker een ongebruikelijke actie voor het maken van resources heeft uitgevoerd in een ongebruikelijke AWS-regio in vergelijking met de geleerde basislijn. Het maken van resources in ongebruikelijke cloudregio's kan duiden op een poging om een schadelijke activiteit uit te voeren, zoals cryptoanalysebewerkingen vanuit uw organisatie.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, wordt met deze detectie een basislijn voor elke omgeving in de organisatie vastgesteld om B-TP-incidenten te verminderen.
TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken het bereik van de impact. Neem ook contact op met de gebruiker, bevestig hun legitieme acties en zorg ervoor dat u eventuele aangetaste cloudresources uitschakelt of verwijdert.
B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd is om deze aanmaakactiviteiten uit te voeren.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk.
- Controleer de gemaakte resources en controleer of ze voldoen aan het beleid van uw organisatie.
Persistentiewaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert zijn voet aan de grond te houden in uw organisatie.
Activiteit uitgevoerd door beëindigde gebruiker
Activiteit die door een beëindigde gebruiker wordt uitgevoerd, kan aangeven dat een beëindigde werknemer die nog steeds toegang heeft tot bedrijfsbronnen een schadelijke activiteit probeert uit te voeren. Defender voor Cloud Apps-profielen gebruikers in de organisatie en activeert een waarschuwing wanneer een beëindigde gebruiker een activiteit uitvoert.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de beëindigde gebruiker nog steeds toegang heeft tot bepaalde bedrijfsresources en activiteiten uitvoert.
Aanbevolen actie: de gebruiker uitschakelen.
B-TP: Als u kunt bepalen dat de gebruiker tijdelijk is uitgeschakeld of is verwijderd en opnieuw is geregistreerd.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Hr-records met kruisverwijzingen om te bevestigen dat de gebruiker is beëindigd.
- Valideer het bestaan van het Microsoft Entra-gebruikersaccount.
Notitie
Als u Microsoft Entra Verbinding maken gebruikt, valideert u het on-premises Active Directory-object en bevestigt u een geslaagde synchronisatiecyclus.
- Identificeer alle apps waartoe de beëindigde gebruiker toegang had en stel de accounts buiten gebruik.
- Procedures voor buiten gebruik stellen bijwerken.
Suspicious change of CloudTrail logging service (Verdachte wijziging van cloudtraillogboekservice
Activiteiten in één sessie die aangeeft dat een gebruiker verdachte wijzigingen heeft uitgevoerd in de AWS CloudTrail-logboekregistratieservice. Dit kan duiden op een poging tot schending van uw organisatie. Bij het uitschakelen van CloudTrail worden operationele wijzigingen niet meer vastgelegd. Een aanvaller kan schadelijke activiteiten uitvoeren terwijl een CloudTrail-auditgebeurtenis wordt vermeden, zoals het wijzigen van een S3-bucket van privé naar openbaar.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de CloudTrail-activiteit omkeren.
FP: Als u kunt bevestigen dat de gebruiker de CloudTrail-service legitiem heeft uitgeschakeld.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en kijk wie de wijziging heeft aangebracht in de CloudTrail-service.
- Optioneel: Maak een playbook met Power Automate om contact op te leggen met gebruikers en hun managers om hun activiteit te verifiëren.
Verdachte activiteit voor het verwijderen van e-mail (per gebruiker)
Activiteiten in één sessie die aangeeft dat een gebruiker verdachte e-mailverwijderingen heeft uitgevoerd. Het verwijderingstype was het type 'hard delete', waardoor het e-mailitem is verwijderd en niet beschikbaar is in het postvak van de gebruiker. De verwijdering is gemaakt vanuit een verbinding die ongebruikelijke voorkeuren bevat, zoals internetprovider, land/regio en gebruikersagent. Dit kan duiden op een poging tot schending van uw organisatie, zoals aanvallers die bewerkingen proberen te maskeren door e-mailberichten met betrekking tot spamactiviteiten te verwijderen.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP: Als u kunt bevestigen dat de gebruiker een regel heeft gemaakt om berichten te verwijderen.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk, zoals de waarschuwing voor verdacht doorsturen van Postvak IN, gevolgd door een waarschuwing onmogelijke reis . Zoek naar:
- Nieuwe REGELS voor SMTP-doorsturen, als volgt:
- Controleer op namen van kwaadwillende doorstuurregels. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbaar ''. Namen van doorstuurregels kunnen zelfs leeg zijn en de doorstuuradressen kunnen één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit nuttige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
- Als u een niet-herkende doorstuurregel detecteert naar een onbekend intern of extern e-mailadres, kunt u ervan uitgaan dat het Postvak IN-account is aangetast.
- Nieuwe regels voor Postvak IN, zoals Alles verwijderen, Berichten verplaatsen naar een andere map of berichten met verborgen naamconventies, bijvoorbeeld '...'.
- Een toename van verzonden e-mailberichten.
- Nieuwe REGELS voor SMTP-doorsturen, als volgt:
Verdachte regel voor manipulatie van Postvak IN
Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het verwijderen of verplaatsen van berichten of mappen, vanuit het Postvak IN van een gebruiker, kunnen een poging zijn om gegevens uit uw organisatie te exfiltreren. Op dezelfde manier kunnen ze wijzen op een poging om informatie te manipuleren die een gebruiker ziet of om zijn Postvak IN te gebruiken om spam, phishing-e-mailberichten of malware te distribueren. Defender voor Cloud Apps profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is aangetast.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat er een schadelijke regel voor Postvak IN is gemaakt en het account is gecompromitteerd.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de doorstuurregel verwijderen.
FP: Als u kunt bevestigen dat een gebruiker de regel legitiem heeft gemaakt.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk, zoals de waarschuwing voor verdacht doorsturen van Postvak IN, gevolgd door een waarschuwing onmogelijke reis . Zoeken:
- Nieuwe REGELS voor SMTP-doorsturen.
- Nieuwe regels voor Postvak IN, zoals Alles verwijderen, Berichten verplaatsen naar een andere map of berichten met verborgen naamconventies, bijvoorbeeld '...'.
- Verzamel IP-adres- en locatiegegevens voor de actie.
- Bekijk activiteiten die worden uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.
Waarschuwingen voor escalatie van bevoegdheden
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert machtigingen op een hoger niveau in uw organisatie te krijgen.
Ongebruikelijke beheeractiviteit (per gebruiker)
Activiteiten die aangeven dat een aanvaller een gebruikersaccount heeft aangetast en beheeracties heeft uitgevoerd die niet gebruikelijk zijn voor die gebruiker. Een aanvaller kan bijvoorbeeld proberen een beveiligingsinstelling voor een gebruiker te wijzigen, een bewerking die relatief zeldzaam is voor een algemene gebruiker. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme beheerder.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP: Als u kunt bevestigen dat een beheerder het ongebruikelijke aantal beheeractiviteiten legitiem heeft uitgevoerd.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk, zoals Verdacht doorsturen van Postvak IN of Onmogelijk reizen.
- Bekijk andere configuratiewijzigingen, zoals het maken van een gebruikersaccount dat kan worden gebruikt voor persistentie.
Waarschuwingen voor toegang tot referenties
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert accountnamen en wachtwoorden van uw organisatie te stelen.
Meerdere mislukte aanmeldingspogingen
Mislukte aanmeldingspogingen kunnen duiden op een poging om een account te schenden. Mislukte aanmeldingen kunnen echter ook normaal gedrag zijn. Bijvoorbeeld wanneer een gebruiker per ongeluk een onjuist wachtwoord heeft ingevoerd. Als u alleen nauwkeurigheid en waarschuwingen wilt bereiken wanneer er een sterke indicatie is van een inbreuk, stelt Defender voor Cloud Apps een basislijn vast voor aanmeldingsgewoonten voor elke gebruiker in de organisatie en waarschuwt u alleen wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
Dit beleid is gebaseerd op het leren van het normale aanmeldingsgedrag van een gebruiker. Wanneer een afwijking van de norm wordt gedetecteerd, wordt er een waarschuwing geactiveerd. Als de detectie begint te zien dat hetzelfde gedrag zich blijft voordoen, wordt de waarschuwing slechts eenmaal gegenereerd.
TP (MFA mislukt): Als u kunt bevestigen dat MFA correct werkt, kan dit een teken zijn van een poging tot beveiligingsaanval.
Aanbevolen acties:
- De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
- Zoek de app die de mislukte verificaties heeft uitgevoerd en configureer deze opnieuw.
- Zoek naar andere gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat ze mogelijk ook worden aangetast. De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
B-TP (MFA mislukt): als u kunt bevestigen dat de waarschuwing wordt veroorzaakt door een probleem met MFA.
Aanbevolen actie: maak een playbook met Power Automate om contact op te nemen met de gebruiker en te controleren of er problemen zijn met MFA.
B-TP (onjuist geconfigureerde app): als u kunt bevestigen dat een onjuist geconfigureerde app meerdere keren probeert verbinding te maken met een service met verlopen referenties.
Aanbevolen actie: De waarschuwing sluiten.
B-TP (Wachtwoord gewijzigd): Als u kunt bevestigen dat een gebruiker onlangs zijn wachtwoord heeft gewijzigd, maar dit geen invloed heeft op referenties in netwerkshares.
Aanbevolen actie: De waarschuwing sluiten.
B-TP (Beveiligingstest): Als u kunt bevestigen dat een beveiligings- of penetratietest wordt uitgevoerd door beveiligingsanalisten namens de organisatie.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een van de volgende waarschuwingen: Onmogelijke reis, activiteit van anoniem IP-adres of Activiteit van onregelmatig land.
- Bekijk de volgende apparaatgegevens van gebruikers en vergelijk deze met bekende apparaatgegevens:
- Besturingssysteem en versie
- Browser en versie
- IP-adres en -locatie
- Identificeer het bron-IP-adres of de locatie waar de verificatiepoging is opgetreden.
- Bepaal of de gebruiker onlangs het wachtwoord heeft gewijzigd en zorg ervoor dat alle apps en apparaten het bijgewerkte wachtwoord hebben.
Ongebruikelijke toevoeging van referenties aan een OAuth-app
Deze detectie identificeert de verdachte toevoeging van bevoegde referenties aan een OAuth-app. Dit kan erop wijzen dat een aanvaller de app heeft aangetast en deze gebruikt voor schadelijke activiteiten.
Leerperiode
Voor het leren van de omgeving van uw organisatie is een periode van zeven dagen vereist waarin u een groot aantal waarschuwingen kunt verwachten.
Ongebruikelijke internetprovider voor een OAuth-app
De detectie identificeert een OAuth-app die verbinding maakt met uw cloudtoepassing vanuit een internetprovider die ongebruikelijk is voor de app. Dit kan erop wijzen dat een aanvaller probeert een legitieme gecompromitteerde app te gebruiken om schadelijke activiteiten uit te voeren op uw cloudtoepassingen.
Leerperiode
De leerperiode voor deze detectie is 30 dagen.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit geen legitieme activiteit van de OAuth-app was of dat deze internetprovider niet wordt gebruikt door de legitieme OAuth-app.
Aanbevolen actie: Alle toegangstokens van de OAuth-app intrekken en onderzoeken of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.
FP: Als u kunt bevestigen dat de activiteit legitiem is gemaakt door de legitieme OAuth-app.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
Bekijk de activiteiten die door de OAuth-app worden uitgevoerd.
Onderzoek of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.
Verzamelingswaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te verzamelen die van belang zijn voor hun doel van uw organisatie.
Meerdere Activiteiten voor het delen van Power BI-rapporten
Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal rapportactiviteiten in Power BI heeft uitgevoerd in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot schending van uw organisatie.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: Toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gecompromitteerd, kunt u de gebruiker opschorten, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP: Als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek om meer inzicht te krijgen in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van wie ze zijn aangemeld en de apparaatgegevens.
- Neem contact op met uw Power BI-team of Information Protection-team om inzicht te hebben in de richtlijnen voor het intern en extern delen van rapporten.
Verdacht delen van Power BI-rapporten
Activiteiten die aangeven dat een gebruiker een Power BI-rapport heeft gedeeld dat mogelijk gevoelige informatie bevat die is geïdentificeerd met NLP om de metagegevens van het rapport te analyseren. Het rapport is gedeeld met een extern e-mailadres, gepubliceerd op internet of een momentopname is bezorgd bij een extern geabonneerd e-mailadres. Dit kan duiden op een poging tot schending van uw organisatie.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: Toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gecompromitteerd, kunt u de gebruiker opschorten, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP: Als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek om meer inzicht te krijgen in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van wie ze zijn aangemeld en de apparaatgegevens.
- Neem contact op met uw Power BI-team of Information Protection-team om inzicht te hebben in de richtlijnen voor het intern en extern delen van rapporten.
Ongebruikelijke geïmiteerde activiteit (per gebruiker)
In sommige software zijn er opties waarmee andere gebruikers andere gebruikers kunnen imiteren. Met e-mailservices kunnen gebruikers bijvoorbeeld andere gebruikers machtigen om namens hen e-mail te verzenden. Deze activiteit wordt vaak gebruikt door aanvallers om phishing-e-mailberichten te maken in een poging om informatie over uw organisatie te extraheren. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en maakt een activiteit wanneer een ongebruikelijke imitatieactiviteit wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
FP: Als u kunt bevestigen dat apps, zoals Teams, de gebruiker legitiem geïmiteerd hebben.
Aanbevolen actie: Controleer de acties en sluit de waarschuwing indien nodig.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteiten en waarschuwingen voor aanvullende indicatoren van inbreuk.
- Bekijk de imitatieactiviteiten om mogelijke schadelijke activiteiten te identificeren.
- Controleer de configuratie van gedelegeerde toegang.
Exfiltratiewaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens van uw organisatie te stelen.
Verdachte doorstuuractiviteit voor Postvak IN
Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount, kan een poging zijn om gegevens van uw organisatie te exfiltreren. Defender voor Cloud Apps profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is aangetast.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat er een schadelijke regel voor het doorsturen van Postvak IN is gemaakt en het account is gecompromitteerd.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de doorstuurregel verwijderen.
FP: Als u kunt bevestigen dat de gebruiker om legitieme redenen een doorstuurregel heeft gemaakt naar een nieuw of persoonlijk extern e-mailaccount.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
Bekijk alle gebruikersactiviteit voor aanvullende indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een Impossible Travel-waarschuwing . Zoek naar:
- Nieuwe REGELS voor SMTP-doorsturen, als volgt:
- Controleer op namen van kwaadwillende doorstuurregels. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbaar ''. Namen van doorstuurregels kunnen zelfs leeg zijn en de doorstuuradressen kunnen één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit nuttige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
- Als u een niet-herkende doorstuurregel detecteert naar een onbekend intern of extern e-mailadres, kunt u ervan uitgaan dat het Postvak IN-account is aangetast.
- Nieuwe regels voor Postvak IN, zoals Alles verwijderen, Berichten verplaatsen naar een andere map of berichten met verborgen naamconventies, bijvoorbeeld '...'.
- Nieuwe REGELS voor SMTP-doorsturen, als volgt:
Bekijk activiteiten die worden uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.
Bekijk de lijst met doorgestuurde berichten met exchange Online-berichten bijhouden.
Ongebruikelijk bestand downloaden (per gebruiker)
Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandsdownloads heeft uitgevoerd vanuit een cloudopslagplatform in vergelijking met de basislijn die is geleerd. Dit kan duiden op een poging om informatie over de organisatie op te halen. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer downloadactiviteiten voor bestanden heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
FP (Softwaresynchronisatie): Als u kunt bevestigen dat de software, zoals OneDrive, is gesynchroniseerd met een externe back-up die de waarschuwing heeft veroorzaakt.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk de downloadactiviteiten en maak een lijst met gedownloade bestanden.
- Controleer de gevoeligheid van de gedownloade bestanden met de resource-eigenaar en valideer het toegangsniveau.
Ongebruikelijke bestandstoegang (per gebruiker)
Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandstoegang in SharePoint of OneDrive heeft uitgevoerd naar bestanden die financiële gegevens of netwerkgegevens bevatten in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie te verkrijgen, voor financiële doeleinden of voor referentietoegang en laterale verplaatsing. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
De leerperiode is afhankelijk van de activiteit van de gebruiker. Over het algemeen is de leerperiode tussen 21 en 45 dagen voor de meeste gebruikers.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer bestandstoegangsactiviteiten heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk de toegangsactiviteiten en maak een lijst met geopende bestanden.
- Controleer de gevoeligheid van de geopende bestanden met de resource-eigenaar en valideer het toegangsniveau.
Ongebruikelijke activiteit van bestandsshares (per gebruiker)
Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal acties voor het delen van bestanden heeft uitgevoerd vanuit een cloudopslagplatform in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie op te halen. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer activiteiten voor het delen van bestanden heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk de activiteiten voor delen en maak een lijst met gedeelde bestanden.
- Controleer de gevoeligheid van de gedeelde bestanden met de resource-eigenaar en valideer het toegangsniveau.
- Maak een bestandsbeleid voor vergelijkbare documenten om toekomstig delen van gevoelige bestanden te detecteren.
Impactwaarschuwingen
In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert uw systemen en gegevens in uw organisatie te manipuleren, onderbreken of vernietigen.
Meerdere VM-activiteiten verwijderen
Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal VM-verwijderingen heeft uitgevoerd in vergelijking met de basislijn die is geleerd. Meerdere VM-verwijderingen kunnen duiden op een poging om een omgeving te verstoren of te vernietigen. Er zijn echter veel normale scenario's waarin VM's worden verwijderd.
TP, B-TP of FP?
Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een inbreuk is, stelt deze detectie een basislijn vast voor elke omgeving in de organisatie om B-TP-incidenten te verminderen en alleen waarschuwingen te ontvangen wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP: Als u kunt bevestigen dat de verwijderingen niet zijn geautoriseerd.
Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken het bereik van de impact.
B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder is gemachtigd om deze verwijderingsactiviteiten uit te voeren.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Neem contact op met de gebruiker en bevestig de activiteit.
- Bekijk alle gebruikersactiviteiten voor aanvullende indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een van de volgende waarschuwingen: Onmogelijk reizen, activiteit van anoniem IP-adres of Activiteit van onregelmatig land.
Ransomware-activiteit
Ransomware is een cyberaanval waarbij een aanvaller slachtoffers van hun apparaten vergrendelt of hen blokkeert om toegang te krijgen tot hun bestanden totdat het slachtoffer een losgeld betaalt. Ransomware kan worden verspreid door een schadelijk gedeeld bestand of gecompromitteerd netwerk. Defender voor Cloud Apps maakt gebruik van expertise op het gebied van beveiligingsonderzoek, bedreigingsinformatie en geleerde gedragspatronen om ransomware-activiteiten te identificeren. Een hoge snelheid van bestandsuploads of het verwijderen van bestanden kan bijvoorbeeld een versleutelingsproces vertegenwoordigen dat gebruikelijk is bij ransomware-bewerkingen.
Met deze detectie wordt een basislijn vastgesteld van de normale werkpatronen van elke gebruiker in uw organisatie, bijvoorbeeld wanneer de gebruiker toegang heeft tot de cloud en wat ze meestal doen in de cloud.
Vanaf het moment dat u verbinding maakt, worden de Defender voor Cloud Apps geautomatiseerde beleidsregels voor bedreigingsdetectie uitgevoerd op de achtergrond. Door gebruik te maken van onze expertise op het gebied van beveiligingsonderzoek om gedragspatronen te identificeren die de ransomware-activiteit in onze organisatie weerspiegelen, biedt Defender voor Cloud Apps uitgebreide dekking tegen geavanceerde ransomware-aanvallen.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet door de gebruiker is uitgevoerd.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP (Ongebruikelijk gedrag): De gebruiker heeft in korte tijd legitieme meerdere verwijderings- en uploadactiviteiten van vergelijkbare bestanden uitgevoerd.
Aanbevolen actie: nadat u het activiteitenlogboek hebt bekeken en hebt bevestigd dat de bestandsextensies niet verdacht zijn, sluit u de waarschuwing.
FP (Algemene ransomware bestandsextensie): Als u kunt bevestigen dat de extensies van de betrokken bestanden een overeenkomst zijn voor een bekende ransomware-extensie.
Aanbevolen actie: Neem contact op met de gebruiker en bevestig dat de bestanden veilig zijn en sluit vervolgens de waarschuwing.
Inzicht in het bereik van de inbreuk
- Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk, zoals massadownload of massaverwijdering, van bestanden.
- Als u Microsoft Defender voor Eindpunt gebruikt, controleert u de computerwaarschuwingen van de gebruiker om te zien of er schadelijke bestanden zijn gedetecteerd.
- Zoek in het activiteitenlogboek naar activiteiten voor het uploaden en delen van schadelijke bestanden.
Ongebruikelijke activiteit voor het verwijderen van bestanden (per gebruiker)
Activiteiten die aangeven dat een gebruiker een ongebruikelijke activiteit voor het verwijderen van bestanden heeft uitgevoerd in vergelijking met de geleerde basislijn. Dit kan duiden op ransomware-aanvallen. Een aanvaller kan bijvoorbeeld bestanden van een gebruiker versleutelen en alle originelen verwijderen, waardoor alleen de versleutelde versies die kunnen worden gebruikt om het slachtoffer te dwingen een losgeld te betalen. Defender voor Cloud Apps maakt een basislijn op basis van het normale gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
FP: Als u kunt bevestigen dat de gebruiker legitiem meer activiteiten voor het verwijderen van bestanden heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk de verwijderingsactiviteiten en maak een lijst met verwijderde bestanden. Herstel indien nodig de verwijderde bestanden.
- U kunt eventueel een playbook maken met Behulp van Power Automate om contact op te leggen met gebruikers en hun managers om de activiteit te verifiëren.
Verhoging van de prioriteitsscore van onderzoek (preview)
Afwijkende activiteiten en activiteiten die waarschuwingen hebben geactiveerd, krijgen scores op basis van ernst, gebruikersimpact en gedragsanalyse van de gebruiker. De analyse wordt uitgevoerd op basis van andere gebruikers in de tenants.
Wanneer er sprake is van een significante en afwijkende toename van de onderzoeksprioriteitsscore van een bepaalde gebruiker, wordt de waarschuwing geactiveerd.
Met deze waarschuwing kunt u potentiële schendingen detecteren die worden gekenmerkt door activiteiten die niet noodzakelijkerwijs specifieke waarschuwingen activeren, maar zich verzamelen tot een verdacht gedrag voor de gebruiker.
Leerperiode
Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist, waarbij waarschuwingen niet worden geactiveerd voor een scoreverhoging.
TP, B-TP of FP?
TP: Als u kunt bevestigen dat de activiteiten van de gebruiker niet legitiem zijn.
Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
B-TP: Als u kunt bevestigen dat de gebruiker inderdaad aanzienlijk afwijkt van het gebruikelijke gedrag, maar er geen potentiële inbreuk is.
FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.
Aanbevolen actie: De waarschuwing sluiten.
Inzicht in het bereik van de inbreuk
- Bekijk alle gebruikersactiviteiten en waarschuwingen voor aanvullende indicatoren van inbreuk.
Tijdlijn voor afschaffing
In augustus 2024 wordt de waarschuwing voor het verhogen van de prioriteitsscore onderzoek geleidelijk buiten gebruik gesteld van Microsoft Defender voor Cloud Apps.
Na zorgvuldige analyse en overweging hebben we besloten deze te verwijderen vanwege het hoge aantal fout-positieven dat aan deze waarschuwing is gekoppeld, die we niet effectief hebben gevonden voor de algehele beveiliging van uw organisatie.
Ons onderzoek gaf aan dat deze functie geen aanzienlijke waarde toevoegde en niet was afgestemd op onze strategische focus op het leveren van betrouwbare beveiligingsoplossingen van hoge kwaliteit.
We streven ernaar om onze services continu te verbeteren en ervoor te zorgen dat ze voldoen aan uw behoeften en verwachtingen.
Voor degenen die deze waarschuwing willen blijven gebruiken, raden we u aan in plaats daarvan de volgende geavanceerde opsporingsquery te gebruiken als een voorgestelde sjabloon. Wijzig de query op basis van uw behoeften.
let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores