Anomaliedetectiebeleid voor Defender for Cloud Apps maken
Het Microsoft Defender for Cloud Apps anomaliedetectiebeleid biedt kant-en-klare gebruikers- en entiteitsgedragsanalyse (UEBA) en machine learning (ML), zodat u vanaf het begin klaar bent om geavanceerde detectie van bedreigingen in uw cloudomgeving uit te voeren. Omdat ze automatisch worden ingeschakeld, start het nieuwe anomaliedetectiebeleid onmiddellijk het proces van het detecteren en verzamelen van resultaten, gericht op tal van gedragsafwijkingen in uw gebruikers en de computers en apparaten die zijn verbonden met uw netwerk. Bovendien bevatten de beleidsregels meer gegevens van de Defender for Cloud Apps detectie-engine, om u te helpen het onderzoeksproces te versnellen en doorlopende bedreigingen te beperken.
Het anomaliedetectiebeleid wordt automatisch ingeschakeld, maar Defender for Cloud Apps heeft een eerste leerperiode van zeven dagen waarin niet alle anomaliedetectiewaarschuwingen worden weergegeven. Daarna wordt elke sessie, wanneer gegevens worden verzameld van uw geconfigureerde API-connectors, vergeleken met de activiteit, wanneer gebruikers actief waren, IP-adressen, apparaten, enzovoort, gedetecteerd in de afgelopen maand en de risicoscore van deze activiteiten. Houd er rekening mee dat het enkele uren kan duren voordat gegevens beschikbaar zijn via API-connectors. Deze detecties maken deel uit van de heuristische anomaliedetectie-engine die uw omgeving profileert en waarschuwingen activeert met betrekking tot een basislijn die is geleerd over de activiteiten van uw organisatie. Deze detecties maken ook gebruik van machine learning-algoritmen die zijn ontworpen om de gebruikers en het aanmeldingspatroon te profileeren om fout-positieven te verminderen.
Afwijkingen worden gedetecteerd door gebruikersactiviteit te scannen. Het risico wordt geëvalueerd door te kijken naar meer dan 30 verschillende risico-indicatoren, gegroepeerd in risicofactoren, als volgt:
- Riskant IP-adres
- Aanmeldingsfouten
- Beheer activiteit
- Inactieve accounts
- Locatie
- Onmogelijk reizen
- Apparaat- en gebruikersagent
- Activiteitsfrequentie
Op basis van de beleidsresultaten worden beveiligingswaarschuwingen geactiveerd. Defender for Cloud Apps kijkt naar elke gebruikerssessie in uw cloud en waarschuwt u wanneer er iets gebeurt dat verschilt van de basislijn van uw organisatie of van de normale activiteit van de gebruiker.
Naast systeemeigen Defender for Cloud Apps waarschuwingen krijgt u ook de volgende detectiewaarschuwingen op basis van informatie die is ontvangen van Microsoft Entra ID Protection:
- Gelekte referenties: wordt geactiveerd wanneer de geldige referenties van een gebruiker zijn gelekt. Zie detectie van gelekte referenties van Microsoft Entra ID voor meer informatie.
- Riskante aanmelding: combineert een aantal Microsoft Entra ID Protection aanmeldingsdetecties in één detectie. Zie detecties van aanmeldingsrisico's van Microsoft Entra ID voor meer informatie.
Deze beleidsregels worden weergegeven op de pagina Defender for Cloud Apps beleid en kunnen worden in- of uitgeschakeld.
Anomaliedetectiebeleid
U kunt het anomaliedetectiebeleid zien in de Microsoft Defender Portal door naar Cloud Apps ->Beleid ->Beleidsbeheer te gaan. Kies vervolgens Anomaliedetectiebeleid voor het beleidstype.
De volgende beleidsregels voor anomaliedetectie zijn beschikbaar:
Onmogelijk reizen
-
Deze detectie identificeert twee gebruikersactiviteiten (in één of meerdere sessies) die afkomstig zijn van geografisch afgelegen locaties binnen een periode die korter is dan de tijd die de gebruiker nodig had om van de eerste locatie naar de tweede te reizen, wat aangeeft dat een andere gebruiker dezelfde referenties gebruikt. Deze detectie maakt gebruik van een machine learning-algoritme dat duidelijke fout-positieven negeert die bijdragen aan de onmogelijke reisvoorwaarde, zoals VPN's en locaties die regelmatig worden gebruikt door andere gebruikers in de organisatie. De detectie heeft een initiële leerperiode van zeven dagen waarin het activiteitspatroon van een nieuwe gebruiker wordt geleerd. De detectie van onmogelijke reizen identificeert ongebruikelijke en onmogelijke gebruikersactiviteit tussen twee locaties. De activiteit moet ongebruikelijk genoeg zijn om te worden beschouwd als een indicator van compromissen en een waarschuwing waard. Om dit te laten werken, omvat de detectielogica verschillende niveaus van onderdrukking om scenario's aan te pakken die fout-positief kunnen activeren, zoals VPN-activiteiten of activiteiten van cloudproviders die geen fysieke locatie aangeven. Met de gevoeligheidsschuifregelaar kunt u het algoritme beïnvloeden en definiëren hoe strikt de detectielogica is. Hoe hoger het gevoeligheidsniveau, minder activiteiten worden onderdrukt als onderdeel van de detectielogica. Op deze manier kunt u de detectie aanpassen aan uw dekkingsbehoeften en uw SNR-doelen.
Opmerking
- Wanneer de IP-adressen aan beide zijden van de reis als veilig worden beschouwd en de gevoeligheidsschuifregelaar niet is ingesteld op Hoog, wordt de reis vertrouwd en uitgesloten van het activeren van de detectie van onmogelijke reizen. Beide zijden worden bijvoorbeeld als veilig beschouwd als ze zijn getagd als zakelijk. Als het IP-adres van slechts één kant van de reis echter als veilig wordt beschouwd, wordt de detectie als normaal geactiveerd.
- De locaties worden berekend op land-/regioniveau. Dit betekent dat er geen waarschuwingen zijn voor twee acties die afkomstig zijn uit hetzelfde land/dezelfde regio of in aangrenzende landen/regio's.
Activiteit uit onregelmatig land
- Deze detectie houdt rekening met eerdere activiteitslocaties om nieuwe en onregelmatige locaties te bepalen. De anomaliedetectie-engine slaat informatie op over eerdere locaties die door de gebruiker zijn gebruikt. Er wordt een waarschuwing geactiveerd wanneer een activiteit plaatsvindt vanaf een locatie die niet onlangs of nooit door de gebruiker is bezocht. Om fout-positieve waarschuwingen te verminderen, onderdrukt de detectie verbindingen die worden gekenmerkt door algemene voorkeuren voor de gebruiker.
Malwaredetectie
Deze detectie identificeert schadelijke bestanden in uw cloudopslag, ongeacht of deze afkomstig zijn van uw Microsoft-apps of apps van derden. Microsoft Defender for Cloud Apps gebruikt de bedreigingsinformatie van Microsoft om te herkennen of bepaalde bestanden die voldoen aan risico-heuristieken, zoals bestandstype en niveau van delen, zijn gekoppeld aan bekende malware-aanvallen en mogelijk schadelijk zijn. Dit ingebouwde beleid is standaard uitgeschakeld. Nadat schadelijke bestanden zijn gedetecteerd, ziet u een lijst met geïnfecteerde bestanden. Selecteer de naam van het malwarebestand in de bestandslade om een malwarerapport te openen met informatie over het type malware waarmee het bestand is geïnfecteerd.
Gebruik deze detectie om uploads en downloads van bestanden in realtime te beheren met sessiebeleid.
Bestandssandboxing
Door bestandssandboxing in te schakelen, worden bestanden die op basis van hun metagegevens en op basis van eigen heuristiek mogelijk riskant zijn, ook sandbox gescand in een veilige omgeving. De sandbox-scan kan bestanden detecteren die niet zijn gedetecteerd op basis van bedreigingsinformatiebronnen.
Defender for Cloud Apps ondersteunt malwaredetectie voor de volgende apps:
- Vak
- Dropbox
- Google Workspace
Opmerking
- Proactieve sandboxing wordt uitgevoerd in toepassingen van derden (Box, Dropbox , enzovoort). In OneDrive en SharePoint worden bestanden gescand en in de sandbox geplaatst als onderdeel van de service zelf.
- In Box, Dropbox en Google Workspace blokkeert Defender for Cloud Apps het bestand niet automatisch, maar kan het blokkeren worden uitgevoerd op basis van de mogelijkheden van de app en de configuratie van de app die door de klant is ingesteld.
- Als u niet zeker weet of een gedetecteerd bestand echt malware of een fout-positief is, gaat u naar de pagina https://www.microsoft.com/wdsi/filesubmission Microsoft-beveiligingsinformatie op en verzendt u het bestand voor verdere analyse.
Activiteit van anonieme IP-adressen
- Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres. Deze proxy's worden gebruikt door personen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadwillende bedoelingen. Deze detectie maakt gebruik van een machine learning-algoritme dat 'fout-positieven' vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.
Ransomware-activiteit
- Defender for Cloud Apps zijn mogelijkheden voor ransomwaredetectie uitgebreid met anomaliedetectie om een uitgebreidere dekking tegen geavanceerde Ransomware-aanvallen te garanderen. Met behulp van onze expertise op het gebied van beveiligingsonderzoek om gedragspatronen te identificeren die ransomware-activiteit weerspiegelen, zorgt Defender for Cloud Apps voor holistische en robuuste bescherming. Als Defender for Cloud Apps bijvoorbeeld een hoge snelheid van bestandsuploads of bestandsverwijderingsactiviteiten identificeert, kan dit een nadelig versleutelingsproces zijn. Deze gegevens worden verzameld in de logboeken die zijn ontvangen van verbonden API's en worden vervolgens gecombineerd met geleerde gedragspatronen en bedreigingsinformatie, bijvoorbeeld bekende ransomware-extensies. Zie Uw organisatie beschermen tegen ransomware voor meer informatie over hoe Defender for Cloud Apps ransomware detecteert.
Activiteit uitgevoerd door beëindigde gebruiker
- Met deze detectie kunt u bepalen wanneer een beëindigde werknemer acties blijft uitvoeren op uw SaaS-apps. Omdat uit gegevens blijkt dat het grootste risico op bedreigingen van binnenuit afkomstig is van werknemers die op slechte voorwaarden zijn vertrokken, is het belangrijk om de activiteiten op accounts van beëindigde werknemers in de gaten te houden. Wanneer werknemers een bedrijf verlaten, worden hun accounts soms niet meer ingericht vanuit bedrijfsapps, maar in veel gevallen behouden ze nog steeds toegang tot bepaalde bedrijfsresources. Dit is nog belangrijker bij het overwegen van bevoegde accounts, omdat de potentiële schade die een voormalige beheerder kan aanbrengen, inherent groter is. Deze detectie maakt gebruik van de Defender for Cloud Apps mogelijkheid om gebruikersgedrag in apps te bewaken, waardoor de normale activiteit van de gebruiker, het feit dat het account is verwijderd en de werkelijke activiteit in andere apps kan worden geïdentificeerd. Een werknemer van wie bijvoorbeeld het Microsoft Entra-account is verwijderd, maar nog steeds toegang heeft tot de aws-infrastructuur van het bedrijf, kan grootschalige schade veroorzaken.
Met de detectie wordt gezocht naar gebruikers van wie de accounts zijn verwijderd in Microsoft Entra ID, maar nog steeds activiteiten uitvoeren op andere platforms, zoals AWS of Salesforce. Dit is met name relevant voor gebruikers die een ander account (niet hun primaire account voor eenmalige aanmelding) gebruiken om resources te beheren, omdat deze accounts vaak niet worden verwijderd wanneer een gebruiker het bedrijf verlaat.
Activiteit van verdachte IP-adressen
- Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence. Deze IP-adressen zijn betrokken bij schadelijke activiteiten, zoals het uitvoeren van wachtwoordspray, Botnet C&C, en kunnen duiden op een gehackt account. Deze detectie maakt gebruik van een machine learning-algoritme dat 'fout-positieven' vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.
Verdacht doorsturen van postvak IN
- Met deze detectie wordt gezocht naar verdachte regels voor het doorsturen van e-mail, bijvoorbeeld als een gebruiker een regel voor Postvak IN heeft gemaakt waarmee een kopie van alle e-mailberichten naar een extern adres wordt doorgestuurd.
Opmerking
Defender for Cloud Apps alleen waarschuwingen voor elke doorstuurregel die als verdacht wordt geïdentificeerd, op basis van het typische gedrag voor de gebruiker.
Postvak IN-regels voor het manipuleren van verdachte e-mail
- Deze detectie profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor het verwijderen of verplaatsen van berichten of mappen zijn ingesteld in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is gecompromitteerd, dat berichten opzettelijk worden verborgen en dat het postvak wordt gebruikt om spam of malware in uw organisatie te distribueren.
Verdachte e-mailverwijderingsactiviteit (preview)
- Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer een gebruiker verdachte e-mailverwijderingsactiviteiten uitvoert in één sessie. Dit beleid kan erop wijzen dat de postvakken van een gebruiker mogelijk worden aangetast door mogelijke aanvalsvectoren, zoals command-and-control-communicatie (C&C/C2) via e-mail.
Opmerking
Defender for Cloud Apps integreert met Microsoft Defender XDR om beveiliging te bieden voor Exchange Online, waaronder URL-detonatie, malwarebeveiliging en meer. Zodra Defender voor Microsoft 365 is ingeschakeld, ziet u waarschuwingen in het activiteitenlogboek van de Defender for Cloud Apps.
Verdachte activiteiten voor het downloaden van OAuth-app-bestanden
- Scant de OAuth-apps die zijn verbonden met uw omgeving en activeert een waarschuwing wanneer een app meerdere bestanden downloadt van Microsoft SharePoint of Microsoft OneDrive op een manier die ongebruikelijk is voor de gebruiker. Dit kan erop wijzen dat het gebruikersaccount is gecompromitteerd.
Ongebruikelijke internetprovider voor een OAuth-app
- Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer een OAuth-app verbinding maakt met uw cloudtoepassingen van een ongebruikelijke internetprovider. Dit beleid kan erop wijzen dat een aanvaller heeft geprobeerd een legitieme gecompromitteerde app te gebruiken om schadelijke activiteiten uit te voeren op uw cloudtoepassingen.
Ongebruikelijke activiteiten (per gebruiker)
Met deze detecties worden gebruikers geïdentificeerd die het volgende uitvoeren:
- Ongebruikelijke activiteiten voor het downloaden van meerdere bestanden
- Ongebruikelijke activiteiten voor bestandsshares
- Ongebruikelijke activiteiten voor het verwijderen van bestanden
- Ongebruikelijke geïmiteerde activiteiten
- Ongebruikelijke beheeractiviteiten
- Ongebruikelijke activiteiten voor het delen van Power BI-rapporten (preview)
- Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview)
- Ongebruikelijke activiteiten voor het verwijderen van meerdere opslag (preview)
- Ongebruikelijke regio voor cloudresources (preview)
- Ongebruikelijke bestandstoegang
Met dit beleid wordt gezocht naar activiteiten binnen één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een inbreukpoging. Deze detecties maken gebruik van een machine learning-algoritme dat het aanmeldingspatroon van gebruikers profileert en fout-positieven vermindert. Deze detecties maken deel uit van de heuristische anomaliedetectie-engine die uw omgeving profileert en waarschuwingen activeert met betrekking tot een basislijn die is geleerd over de activiteiten van uw organisatie.
Meerdere mislukte aanmeldingspogingen
- Deze detectie identificeert gebruikers die meerdere aanmeldingspogingen in één sessie hebben mislukt met betrekking tot de geleerde basislijn, wat kan duiden op een inbreukpoging.
Gegevensexfiltratie naar niet-sanctioneerde apps
- Dit beleid wordt automatisch ingeschakeld om u te waarschuwen wanneer een gebruiker of IP-adres een app gebruikt die niet is goedgekeurd om een activiteit uit te voeren die lijkt op een poging om gegevens van uw organisatie te exfiltreren.
Meerdere VM-activiteiten verwijderen
- Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer gebruikers meerdere VM's in één sessie verwijderen, ten opzichte van de basislijn in uw organisatie. Dit kan duiden op een poging tot inbreuk.
Geautomatiseerd beheer inschakelen
U kunt geautomatiseerde herstelacties inschakelen voor waarschuwingen die worden gegenereerd door anomaliedetectiebeleid.
- Selecteer de naam van het detectiebeleid op de pagina Beleid .
- Stel in het venster Anomaliedetectiebeleid bewerken onder Beheeracties de gewenste herstelacties in voor elke verbonden app of voor alle apps.
- Selecteer Bijwerken.
Anomaliedetectiebeleid afstemmen
Als u de anomaliedetectie-engine wilt beïnvloeden om waarschuwingen te onderdrukken of weer te geven op basis van uw voorkeuren:
In het beleid Onmogelijk reizen kunt u de schuifregelaar gevoeligheid instellen om het niveau van afwijkend gedrag te bepalen dat nodig is voordat een waarschuwing wordt geactiveerd. Als u deze bijvoorbeeld instelt op laag of gemiddeld, worden Impossible Travel-waarschuwingen van de algemene locaties van een gebruiker onderdrukt en als u deze instelt op hoog, worden dergelijke waarschuwingen weergegeven. U kunt kiezen uit de volgende gevoeligheidsniveaus:
Laag: onderdrukkingen van systeem, tenant en gebruikers
Gemiddeld: Systeem- en gebruikersonderdrukkingen
Hoog: alleen systeemonderdrukkingen
Waarbij:
Onderdrukkingstype Beschrijving Systeem Ingebouwde detecties die altijd worden onderdrukt. Tenant Algemene activiteiten op basis van eerdere activiteiten in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een internetprovider die eerder is gewaarschuwd in uw organisatie. Gebruiker Algemene activiteiten op basis van eerdere activiteiten van de specifieke gebruiker. Bijvoorbeeld activiteiten onderdrukken vanaf een locatie die vaak door de gebruiker wordt gebruikt.
Opmerking
Onmogelijk reizen, activiteiten uit niet-frequente landen/regio's, activiteit van anonieme IP-adressen en activiteiten van verdachte IP-adressen zijn niet van toepassing op mislukte aanmeldingen en niet-interactieve aanmeldingen.
Beleid voor anomaliedetectie van bereik
Elk anomaliedetectiebeleid kan onafhankelijk worden bereikt, zodat het alleen van toepassing is op de gebruikers en groepen die u wilt opnemen en uitsluiten in het beleid. U kunt bijvoorbeeld de activiteit van onregelmatige regiodetectie instellen op het negeren van een specifieke gebruiker die vaak reist.
Ga als volgende te werk om het bereik van een anomaliedetectiebeleid te bepalen:
Ga in de Microsoft Defender Portal naar Cloud Apps ->Beleid ->Beleidsbeheer. Kies vervolgens Anomaliedetectiebeleid voor het beleidstype.
Selecteer het beleid dat u wilt bereiken.
Wijzig onder Bereik de vervolgkeuzelijst van de standaardinstelling Alle gebruikers en groepen in Specifieke gebruikers en groepen.
Selecteer Opnemen om de gebruikers en groepen op te geven voor wie dit beleid van toepassing is. Elke gebruiker of groep die hier niet is geselecteerd, wordt niet beschouwd als een bedreiging en genereert geen waarschuwing.
Selecteer Uitsluiten om gebruikers op te geven voor wie dit beleid niet van toepassing is. Elke gebruiker die hier is geselecteerd, wordt niet beschouwd als een bedreiging en genereert geen waarschuwing, zelfs niet als ze lid zijn van groepen die zijn geselecteerd onder Opnemen.
Waarschuwingen voor anomaliedetectie sorteren
U kunt de verschillende waarschuwingen die worden geactiveerd door het nieuwe anomaliedetectiebeleid snel sorteren en bepalen welke waarschuwingen het eerst moeten worden afgehandeld. Hiervoor hebt u de context voor de waarschuwing nodig, zodat u het grotere geheel kunt zien en kunt begrijpen of er inderdaad iets kwaadaardigs gebeurt.
In het activiteitenlogboek kunt u een activiteit openen om de activiteitslade weer te geven. Selecteer Gebruiker om het tabblad Gebruikersinzichten weer te geven. Dit tabblad bevat informatie zoals het aantal waarschuwingen, activiteiten en waar ze verbinding mee hebben gemaakt. Dit is belangrijk bij een onderzoek.
Voor met malware geïnfecteerde bestanden ziet u nadat bestanden zijn gedetecteerd een lijst met geïnfecteerde bestanden. Selecteer de bestandsnaam van de malware in de bestandslade om een malwarerapport te openen met informatie over dat type malware waarmee het bestand is geïnfecteerd.
Gerelateerde video's
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.