Zelfstudie: Verdachte gebruikersactiviteit detecteren met gedragsanalyse (UEBA)

Microsoft Defender voor Cloud Apps biedt best-of-class detecties in de kill chain voor aanvallen voor gecompromitteerde gebruikers, insiderbedreigingen, exfiltratie, ransomware en meer. Onze uitgebreide oplossing wordt bereikt door meerdere detectiemethoden te combineren, waaronder anomalie, gedragsanalyse (UEBA) en op regels gebaseerde activiteitsdetecties, om een breed overzicht te bieden van de manier waarop uw gebruikers apps gebruiken in uw omgeving.

Waarom is het belangrijk om verdacht gedrag te detecteren? De impact van een gebruiker die uw cloudomgeving kan wijzigen, kan aanzienlijk zijn en heeft rechtstreeks invloed op uw vermogen om uw bedrijf te runnen. Belangrijke bedrijfsresources, zoals de servers waarop uw openbare website of service wordt uitgevoerd die u aan klanten levert, kunnen bijvoorbeeld worden aangetast.

Met behulp van gegevens die zijn vastgelegd uit verschillende bronnen, analyseert Defender voor Cloud Apps de gegevens om app- en gebruikersactiviteiten in uw organisatie te extraheren, zodat uw beveiligingsanalisten inzicht krijgen in cloudgebruik. De verzamelde gegevens worden gecorreleerd, gestandaardiseerde en verrijkt met bedreigingsinformatie, locatie en vele andere details om een nauwkeurige, consistente weergave van verdachte activiteiten te bieden.

Om de voordelen van deze detecties volledig te realiseren, moet u er daarom eerst voor zorgen dat u de volgende bronnen configureert:

• Activiteitenlogboek
  Activiteiten van uw met de API verbonden apps.
• Detectielogboek
  Activiteiten die zijn geëxtraheerd uit firewall- en proxyverkeerslogboeken die worden doorgestuurd naar Defender voor Cloud Apps. De logboeken worden geanalyseerd op basis van de cloud-app-catalogus, gerangschikt en beoordeeld op basis van meer dan 90 risicofactoren.
• Proxylogboek
  Activiteiten vanuit uw apps voor app-beheer voor voorwaardelijke toegang.

Vervolgens wilt u uw beleid afstemmen. Het volgende beleid kan worden afgestemd door filters, dynamische drempelwaarden (UEBA) in te stellen om hun detectiemodellen te trainen en onderdrukkingen om veelvoorkomende fout-positieve detecties te verminderen:

• Anomaliedetectie
• Afwijkingsdetectie voor Cloud Discovery
• Detectie van activiteit op basis van regels

In deze zelfstudie leert u hoe u detecties van gebruikersactiviteiten kunt afstemmen om echte compromissen te identificeren en de vermoeidheid van waarschuwingen te verminderen als gevolg van het verwerken van grote hoeveelheden fout-positieve detecties:

• IP-adresbereiken configureren
• Beleid voor anomaliedetectie afstemmen
• Beleid voor anomaliedetectie van clouddetectie afstemmen
• Beleid voor detectie op basis van regels afstemmen
• Waarschuwingen configureren
• Onderzoeken en herstellen

Fase 1: IP-adresbereiken configureren

Voordat u afzonderlijke beleidsregels configureert, is het raadzaam IP-bereiken te configureren, zodat ze beschikbaar zijn voor het verfijnen van elk type verdachte beleidsregels voor het detecteren van gebruikersactiviteiten.

Omdat IP-adresgegevens essentieel zijn voor bijna alle onderzoeken, helpt het configureren van bekende IP-adressen onze machine learning-algoritmen bij het identificeren van bekende locaties en deze te beschouwen als onderdeel van de machine learning-modellen. Als u bijvoorbeeld het IP-adresbereik van uw VPN toevoegt, kan het model dit IP-bereik correct classificeren en het automatisch uitsluiten van onmogelijke reisdetecties, omdat de VPN-locatie niet de werkelijke locatie van die gebruiker vertegenwoordigt.

Opmerking: geconfigureerde IP-bereiken zijn niet beperkt tot detecties en worden gebruikt in Defender voor Cloud Apps op gebieden zoals activiteiten in het activiteitenlogboek, voorwaardelijke toegang, enzovoort. Houd hierbij rekening met het configureren van de bereiken. Door bijvoorbeeld de IP-adressen van uw fysieke kantoor te identificeren, kunt u de manier aanpassen waarop logboeken en waarschuwingen worden weergegeven en onderzocht.

Out-of-the-box waarschuwingen voor anomaliedetectie bekijken

Defender voor Cloud Apps bevat een set waarschuwingen voor anomaliedetectie om verschillende beveiligingsscenario's te identificeren. Deze detecties worden automatisch standaard ingeschakeld en beginnen gebruikersactiviteiten te profilen en waarschuwingen te genereren zodra de relevante app-connectors zijn verbonden.

Begin door vertrouwd te raken met het verschillende detectiebeleid, prioriteit te geven aan de belangrijkste scenario's die u het meest relevant vindt voor uw organisatie en het beleid dienovereenkomstig af te stemmen.

Fase 2: Beleid voor anomaliedetectie afstemmen

Er zijn verschillende ingebouwde beleidsregels voor anomaliedetectie beschikbaar in Defender voor Cloud-apps die vooraf zijn geconfigureerd voor veelvoorkomende beveiligingsgebruiksscenario's. Neem even de tijd om vertrouwd te raken met de meer populaire detecties, zoals:

• Onmogelijke reis
  Activiteiten van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties.
• Activiteit van onregelmatig land
  Activiteit vanaf een locatie die niet recent of nooit door de gebruiker is bezocht.
• Malwaredetectie
  Scant bestanden in uw cloud-apps en voert verdachte bestanden uit via de engine voor bedreigingsinformatie van Microsoft om te bepalen of ze zijn gekoppeld aan bekende malware.
• Ransomware-activiteit
  Bestand uploadt naar de cloud die mogelijk is geïnfecteerd met ransomware.
• Activiteit van verdachte IP-adressen
  Activiteit van een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence.
• Suspicious inbox forwarding (
  Detecteert verdachte regels voor het doorsturen van Postvak IN die zijn ingesteld in het Postvak IN van een gebruiker.
• Ongebruikelijke downloadactiviteiten voor meerdere bestanden
  Detecteert meerdere downloadactiviteiten voor bestanden in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.
• Ongebruikelijke administratieve activiteiten
  Detecteert meerdere beheeractiviteiten in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

Zie Beleid voor anomaliedetectie voor een volledige lijst met detecties en wat ze doen.

Notitie

Hoewel sommige anomaliedetecties voornamelijk gericht zijn op het detecteren van problematische beveiligingsscenario's, kunnen anderen helpen bij het identificeren en onderzoeken van afwijkend gebruikersgedrag dat mogelijk niet noodzakelijkerwijs een inbreuk aangeeft. Voor dergelijke detecties hebben we een ander gegevenstype gemaakt met de naam 'behaviors' dat beschikbaar is in de geavanceerde opsporingservaring van Microsoft Defender XDR. Zie Gedrag voor meer informatie.

Zodra u bekend bent met het beleid, moet u overwegen hoe u ze wilt afstemmen op de specifieke vereisten van uw organisatie voor betere doelactiviteiten die u mogelijk verder wilt onderzoeken.

1. Bereikbeleid voor specifieke gebruikers of groepen

   Bereikbeleid voor specifieke gebruikers kan helpen ruis te verminderen van waarschuwingen die niet relevant zijn voor uw organisatie. Elk beleid kan worden geconfigureerd om specifieke gebruikers en groepen op te nemen of uit te sluiten, zoals in de volgende voorbeelden:

   • Aanvalssimulaties
     Veel organisaties gebruiken een gebruiker of groep om voortdurend aanvallen te simuleren. Het is uiteraard niet zinvol om voortdurend waarschuwingen te ontvangen van de activiteiten van deze gebruikers. Daarom kunt u uw beleid zo configureren dat deze gebruikers of groepen worden uitgesloten. Dit helpt de machine learning-modellen deze gebruikers te identificeren en hun dynamische drempelwaarden dienovereenkomstig af te stemmen.
   • Gerichte detecties
     Uw organisatie is mogelijk geïnteresseerd in het onderzoeken van een specifieke groep VIP-gebruikers, zoals leden van een beheerder of CXO-groep. In dit scenario kunt u een beleid maken voor de activiteiten die u wilt detecteren en ervoor kiezen om alleen de set gebruikers of groepen op te nemen die u interesseert.

2. Afwijkende aanmeldingsdetecties afstemmen

   Sommige organisaties willen waarschuwingen zien die het gevolg zijn van mislukte aanmeldingsactiviteiten , omdat ze kunnen aangeven dat iemand een of meer gebruikersaccounts probeert te targeten. Aan de andere kant vinden beveiligingsaanvallen op gebruikersaccounts altijd plaats in de cloud en kunnen organisaties ze niet voorkomen. Daarom besluiten grotere organisaties meestal alleen waarschuwingen te ontvangen voor verdachte aanmeldingsactiviteiten die resulteren in geslaagde aanmeldingsactiviteiten, omdat ze mogelijk echte compromissen vertegenwoordigen.

   Identiteitsdiefstal is een belangrijke bron van inbreuk en vormt een belangrijke bedreigingsvector voor uw organisatie. Onze onmogelijke reis, activiteit van verdachte IP-adressen en incidentele waarschuwingen voor land-/regiodetecties helpen u bij het detecteren van activiteiten die suggereren dat een account mogelijk wordt aangetast.

3. De gevoeligheid van onmogelijke reisafstemmen Configureer de gevoeligheidsschuifregelaar die bepaalt welk niveau van onderdrukkingen wordt toegepast op afwijkend gedrag voordat een onmogelijke reiswaarschuwing wordt geactiveerd. Organisaties die geïnteresseerd zijn in hoge betrouwbaarheid, moeten bijvoorbeeld overwegen om het gevoeligheidsniveau te verhogen. Als uw organisatie echter veel gebruikers heeft die reizen, kunt u overwegen om het gevoeligheidsniveau te verlagen om activiteiten van de algemene locaties van een gebruiker te onderdrukken die zijn geleerd van eerdere activiteiten. U kunt kiezen uit de volgende gevoeligheidsniveaus:

   • Laag: Systeem-, tenant- en gebruikersonderdrukkingen
   • Gemiddeld: systeem- en gebruikersonderdrukkingen
   • Hoog: Alleen systeemonderdrukkingen

   Hierin:

   Onderdrukkingstype	Beschrijving
   Systeem	Ingebouwde detecties die altijd worden onderdrukt.
   Tenant	Algemene activiteiten op basis van eerdere activiteiten in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een internetprovider die eerder is gewaarschuwd in uw organisatie.
   Gebruiker	Algemene activiteiten op basis van eerdere activiteiten van de specifieke gebruiker. Bijvoorbeeld het onderdrukken van activiteiten van een locatie die vaak door de gebruiker wordt gebruikt.

Fase 3: Beleid voor anomaliedetectie van clouddetectie afstemmen

Net als bij het anomaliedetectiebeleid zijn er verschillende ingebouwde beleidsregels voor anomaliedetectie in de cloud die u kunt verfijnen. De gegevensexfiltratie naar beleid voor niet-opgegeven apps waarschuwt u bijvoorbeeld wanneer gegevens worden geëxfileerd naar een niet-opgegeven app en vooraf zijn geconfigureerd met instellingen op basis van Microsoft-ervaring in het beveiligingsveld.

U kunt echter de ingebouwde beleidsregels verfijnen of uw eigen beleid maken om u te helpen bij het identificeren van andere scenario's die u mogelijk wilt onderzoeken. Omdat deze beleidsregels zijn gebaseerd op logboeken voor clouddetectie, hebben ze verschillende afstemmingsmogelijkheden die meer gericht zijn op afwijkend app-gedrag en gegevensexfiltratie.

1. Gebruiksbewaking afstemmen
   Stel de gebruiksfilters in om de basislijn, het bereik en de activiteitsperiode te bepalen voor het detecteren van afwijkend gedrag. U kunt bijvoorbeeld waarschuwingen ontvangen voor afwijkende activiteiten met betrekking tot leidinggevenden.

2. Gevoeligheid van waarschuwingen afstemmen
   Als u vermoeidheid van waarschuwingen wilt voorkomen, configureert u de gevoeligheid van waarschuwingen. U kunt de gevoeligheidsschuifregelaar gebruiken om het aantal waarschuwingen met een hoog risico te bepalen dat per 1000 gebruikers per week wordt verzonden. Voor hogere gevoeligheiden is minder variantie vereist om als anomalie te worden beschouwd en meer waarschuwingen te genereren. Over het algemeen stelt u een lage gevoeligheid in voor gebruikers die geen toegang hebben tot vertrouwelijke gegevens.

Fase 4: Beleid voor detectie op basis van regels (activiteit) afstemmen

Beleidsregels voor detectie op basis van regels bieden u de mogelijkheid om anomaliedetectiebeleid aan te vullen met organisatiespecifieke vereisten. U wordt aangeraden beleidsregels op basis van regels te maken met behulp van een van onze beleidssjablonen voor activiteiten (ga naar Beheersjablonen> en stel het filter Type in op activiteitenbeleid) en configureer deze vervolgens om gedrag te detecteren dat niet normaal is voor uw omgeving. Voor sommige organisaties die geen aanwezigheid hebben in een bepaald land/bepaalde regio, kan het bijvoorbeeld zinvol zijn om een beleid te maken dat de afwijkende activiteiten van dat land/die regio detecteert en erop waarschuwt. Voor anderen, die grote filialen in dat land/regio hebben, zouden activiteiten uit dat land/die regio normaal zijn en zou het niet zinvol zijn om dergelijke activiteiten te detecteren.

1. Activiteitsvolume afstemmen
   Kies het vereiste volume van de activiteit voordat de detectie een waarschuwing genereert. Als u geen aanwezigheid hebt in een land/regio, is zelfs één activiteit aanzienlijk en wordt een waarschuwing gerechtvaardigd met behulp van ons land/regiovoorbeeld. Een fout bij eenmalige aanmelding kan echter een menselijke fout zijn en is alleen interessant als er in een korte periode veel fouten zijn.
2. Activiteitsfilters afstemmen
   Stel de filters in die u nodig hebt om het type activiteit te detecteren waarop u een waarschuwing wilt toepassen. Als u bijvoorbeeld activiteit wilt detecteren vanuit een land/regio, gebruikt u de parameter Locatie .
3. Waarschuwingen afstemmen
   Als u vermoeidheid van waarschuwingen wilt voorkomen, stelt u de dagelijkse waarschuwingslimiet in.

Fase 5: Waarschuwingen configureren

Notitie

Sinds 15 december 2022 is de waarschuwingen/sms (sms-berichten) afgeschaft. Als u tekstwaarschuwingen wilt ontvangen, moet u Microsoft Power Automate gebruiken voor aangepaste waarschuwingsautomatisering. Zie Integreren met Microsoft Power Automate voor aangepaste waarschuwingsautomatisering voor meer informatie.

U kunt ervoor kiezen om waarschuwingen te ontvangen in de indeling en het medium die het meest geschikt zijn voor uw behoeften. Als u op elk moment van de dag direct waarschuwingen wilt ontvangen, kunt u ze liever via e-mail ontvangen.

Mogelijk wilt u ook waarschuwingen analyseren in de context van andere waarschuwingen die door andere producten in uw organisatie worden geactiveerd, zodat u een holistische weergave krijgt van een mogelijke bedreiging. U kunt bijvoorbeeld correleren tussen cloudgebeurtenissen en on-premises gebeurtenissen om te zien of er andere beperkende bewijzen zijn die een aanval kunnen bevestigen.

Daarnaast kunt u ook aangepaste waarschuwingsautomatisering activeren met behulp van onze integratie met Microsoft Power Automate. U kunt bijvoorbeeld automatisch een playbook instellen om een probleem in ServiceNow te maken of een goedkeurings-e-mail verzenden om een aangepaste beheeractie uit te voeren wanneer een waarschuwing wordt geactiveerd.

Gebruik de volgende richtlijnen om uw waarschuwingen te configureren:

1. E-mailen
   Kies deze optie om waarschuwingen per e-mail te ontvangen.
2. SIEM
   Er zijn verschillende SIEM-integratieopties, waaronder Microsoft Sentinel, Microsoft Graph beveiligings-API en andere algemene SIEM's. Kies de integratie die het beste aan uw vereisten voldoet.
3. Automatisering van Power Automate
   Maak de automation-playbooks die u nodig hebt en stel deze in als de waarschuwing van het beleid voor De actie Power Automate.

Fase 6: Onderzoeken en herstellen

Geweldig, u hebt uw beleid ingesteld en begint met het ontvangen van waarschuwingen voor verdachte activiteiten. Wat moet je eraan doen? Voor een begin moet u stappen ondernemen om de activiteit te onderzoeken. U kunt bijvoorbeeld activiteiten bekijken die aangeven dat een gebruiker is gecompromitteerd.

Als u uw beveiliging wilt optimaliseren, moet u overwegen om automatische herstelacties in te stellen om het risico voor uw organisatie te minimaliseren. Met ons beleid kunt u beheeracties toepassen in combinatie met de waarschuwingen, zodat het risico voor uw organisatie wordt verminderd, zelfs voordat u begint met onderzoeken. Beschikbare acties worden bepaald door het beleidstype, waaronder acties zoals het onderbreken van een gebruiker of het blokkeren van de toegang tot de aangevraagde resource.

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.

Meer informatie

• Probeer onze interactieve handleiding: Bedreigingen detecteren en waarschuwingen beheren met Microsoft Defender voor Cloud-apps