Uzyskiwanie analizy behawioralnej i wykrywania anomalii

Uwaga

  • Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps jest teraz częścią Microsoft 365 Defender. Portal Microsoft 365 Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji. Spowoduje to uproszczenie przepływów pracy i dodanie funkcjonalności innych usług Microsoft 365 Defender. Microsoft 365 Defender będzie domem do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach firmy Microsoft, danych, urządzeniach, aplikacjach i infrastrukturze. Aby uzyskać więcej informacji na temat tych zmian, zobacz Microsoft Defender for Cloud Apps w Microsoft 365 Defender.

Zasady wykrywania anomalii Microsoft Defender for Cloud Apps zapewniają gotowe do użycia funkcje analizy behawioralnej użytkowników i jednostek (UEBA) i uczenia maszynowego (ML), aby od samego początku móc uruchamiać zaawansowane wykrywanie zagrożeń w środowisku chmury. Ponieważ są one automatycznie włączone, nowe zasady wykrywania anomalii natychmiast rozpoczynają proces wykrywania i sortowania wyników, kierując do wielu anomalii behawioralnych między użytkownikami i maszynami i urządzeniami połączonymi z siecią. Ponadto zasady uwidaczniają więcej danych z aparatu wykrywania usługi Defender for Cloud Apps, aby przyspieszyć proces badania i zawierać trwające zagrożenia.

Zasady wykrywania anomalii są automatycznie włączone, ale usługa Defender for Cloud Apps ma początkowy okres szkoleniowy w ciągu siedmiu dni, w którym nie są zgłaszane wszystkie alerty wykrywania anomalii. Po tym, gdy dane są zbierane z skonfigurowanych łączników interfejsu API, każda sesja jest porównywana z działaniem, gdy użytkownicy byli aktywni, adresy IP, urządzenia itd., wykryte w ciągu ostatniego miesiąca i wynik ryzyka tych działań. Należy pamiętać, że udostępnienie danych z łączników interfejsu API może potrwać kilka godzin. Te wykrycia są częścią aparatu wykrywania anomalii heurystycznej, który profiluje środowisko i wyzwala alerty w odniesieniu do punktu odniesienia, który został poznany w działaniu organizacji. Te wykrycia używają również algorytmów uczenia maszynowego zaprojektowanych do profilowania użytkowników i wzorca logowania w celu zmniejszenia liczby wyników fałszywie dodatnich.

Anomalie są wykrywane przez skanowanie aktywności użytkowników. Ryzyko jest oceniane przez przeanalizowanie ponad 30 różnych wskaźników ryzyka pogrupowanych w czynniki ryzyka w następujący sposób:

  • Ryzykowny adres IP
  • Błędy logowania
  • działanie Administracja
  • Nieaktywne konta
  • Lokalizacja
  • Niemożliwa podróż
  • Agent urządzenia i użytkownika
  • Współczynnik aktywności

W oparciu o wyniki zasad wyzwalane są alerty bezpieczeństwa. Usługa Defender for Cloud Apps analizuje każdą sesję użytkownika w chmurze i ostrzega cię, gdy coś się różni od punktu odniesienia organizacji lub regularnego działania użytkownika.

Oprócz natywnych alertów usługi Defender for Cloud Apps uzyskasz również następujące alerty wykrywania na podstawie informacji odebranych z usługi Azure Active Directory (AD) Identity Protection:

Te zasady zostaną wyświetlone na stronie zasad usługi Defender for Cloud Apps i można je włączyć lub wyłączyć.

Zasady wykrywania anomalii

Zasady wykrywania anomalii można wyświetlić w portalu, klikając pozycję Kontrola , a następnie pozycję Zasady. Wybierz zasady wykrywania anomalii dla typu zasad.

nowe zasady wykrywania anomalii.

Dostępne są następujące zasady wykrywania anomalii:

Niemożliwa podróż

  • To wykrywanie identyfikuje dwie działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas, w jaki użytkownik przejeżdłby z pierwszej lokalizacji do drugiej, wskazując, że inny użytkownik używa tych samych poświadczeń. To wykrywanie używa algorytmu uczenia maszynowego, który ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwego stanu podróży, takiego jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. Wykrywanie ma początkowy okres nauki z siedmiu dni, w którym uczy się wzorca aktywności nowego użytkownika. Wykrywanie niemożliwych podróży identyfikuje nietypową i niemożliwą aktywność użytkownika między dwiema lokalizacjami. Działanie powinno być wystarczająco niezwykłe, aby uznać za wskaźnik naruszenia zabezpieczeń i godny alertu. Aby wykonać tę pracę, logika wykrywania obejmuje różne poziomy pomijania w scenariuszach, które mogą wyzwalać fałszywie dodatnie wyniki, takie jak działania sieci VPN lub działania dostawców usług w chmurze, które nie wskazują lokalizacji fizycznej. Suwak poufności umożliwia wpływanie na algorytm i definiowanie ścisłej logiki wykrywania. Im wyższy poziom poufności, mniej działań zostanie pominiętych w ramach logiki wykrywania. W ten sposób można dostosować wykrywanie zgodnie z potrzebami pokrycia i celami SNR.

    Uwaga

    • Gdy adresy IP po obu stronach podróży są uważane za bezpieczne, podróż jest zaufana i wykluczona z wyzwalania wykrywania niemożliwych podróży. Na przykład obie strony są uważane za bezpieczne, jeśli są oznaczone jako firmowe. Jeśli jednak adres IP tylko jednej strony podróży jest uważany za bezpieczny, wykrywanie jest wyzwalane normalnie.
    • Lokalizacje są obliczane na poziomie kraju. Oznacza to, że nie będzie żadnych alertów dotyczących dwóch działań pochodzących z tego samego kraju lub krajów graniczyjących.

Aktywność z rzadko występującego kraju

  • To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji. Alert jest wyzwalany, gdy działanie występuje z lokalizacji, która nie była ostatnio odwiedzana przez żadnego użytkownika w organizacji.

Wykrywanie złośliwego oprogramowania

  • To wykrywanie identyfikuje złośliwe pliki w magazynie w chmurze, niezależnie od tego, czy pochodzą one z aplikacji firmy Microsoft, czy aplikacji innych firm. Microsoft Defender for Cloud Apps używa analizy zagrożeń firmy Microsoft do rozpoznawania, czy niektóre pliki są skojarzone ze znanymi atakami złośliwego oprogramowania i są potencjalnie złośliwe. Te wbudowane zasady są domyślnie wyłączone. Pliki, które są potencjalnie ryzykowne zgodnie z naszymi heurystykami, również będą skanowane piaskownicą. Po wykryciu złośliwych plików można wyświetlić listę zainfekowanych plików. Wybierz nazwę pliku złośliwego oprogramowania w szufladzie plików, aby otworzyć raport złośliwego oprogramowania, który zawiera informacje o typie złośliwego oprogramowania, z którym plik jest zainfekowany.

    Tego wykrywania można używać w czasie rzeczywistym przy użyciu zasad sesji do kontrolowania przekazywania i pobierania plików.

    Usługa Defender for Cloud Apps obsługuje wykrywanie złośliwego oprogramowania dla następujących aplikacji:

    • Box
    • Dropbox
    • Obszar roboczy Google
    • Office 365 (wymaga ważnej licencji dla Ochrona usługi Office 365 w usłudze Microsoft Defender P1)

    Uwaga

    Złośliwe oprogramowanie wykryte w aplikacjach Office 365 jest automatycznie blokowane przez aplikację i użytkownik nie może nawiązać połączenia z plikiem. Tylko administrator aplikacji ma dostęp.

    W usłudze Box, Dropbox i Google Workspace usługa Defender for Cloud Apps nie blokuje pliku, ale blokowanie może być wykonywane zgodnie z możliwościami aplikacji i konfiguracją aplikacji ustawioną przez klienta.

Działanie z anonimowych adresów IP

  • To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza "fałszywie dodatnie", takie jak błędnie oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

Działanie wymuszania oprogramowania wymuszającego okup

  • Usługa Defender for Cloud Apps rozszerzyła możliwości wykrywania oprogramowania wymuszającego okup dzięki wykrywaniu anomalii, aby zapewnić bardziej kompleksowe pokrycie przed zaawansowanymi atakami wymuszającym okup. Korzystając z naszej wiedzy z zakresu badań nad zabezpieczeniami, aby zidentyfikować wzorce behawioralne odzwierciedlające aktywność oprogramowania wymuszającego okup, usługa Defender for Cloud Apps zapewnia całościową i niezawodną ochronę. Jeśli usługa Defender for Cloud Apps identyfikuje na przykład wysoką szybkość przekazywania plików lub działań usuwania plików, może to reprezentować niekorzystny proces szyfrowania. Te dane są zbierane w dziennikach odebranych z połączonych interfejsów API, a następnie są łączone z poznanymi wzorcami behawioralnymi i analizą zagrożeń, na przykład znanymi rozszerzeniami oprogramowania wymuszającego okup. Aby uzyskać więcej informacji na temat wykrywania oprogramowania wymuszającego okup przez usługę Defender for Cloud Apps, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup.

Działanie wykonywane przez zakończonego użytkownika

  • To wykrywanie umożliwia zidentyfikowanie, kiedy zakończony pracownik będzie nadal wykonywać akcje w aplikacjach SaaS. Ponieważ dane pokazują, że największym ryzykiem zagrożenia wewnętrznego są pracownicy, którzy opuścili złe warunki, ważne jest, aby mieć oko na aktywność na kontach od zakończonych pracowników. Czasami, gdy pracownicy opuszczają firmę, ich konta są deprowizowane z aplikacji firmowych, ale w wielu przypadkach nadal zachowują dostęp do niektórych zasobów firmowych. Jest to jeszcze ważniejsze podczas rozważania uprzywilejowanych kont, ponieważ potencjalne szkody, jakie może zrobić były administrator, jest z natury większe. Dzięki temu wykryciu usługa Defender for Cloud Apps może monitorować zachowanie użytkowników w aplikacjach, umożliwiając identyfikację regularnej aktywności użytkownika, fakt, że konto zostało usunięte i rzeczywiste działanie w innych aplikacjach. Na przykład pracownik, którego konto Azure AD zostało usunięte, ale nadal ma dostęp do infrastruktury firmowej platformy AWS, może spowodować szkody na dużą skalę.

Wykrywanie wyszukuje użytkowników, których konta zostały usunięte w Azure AD, ale nadal wykonują działania na innych platformach, takich jak AWS lub Salesforce. Jest to szczególnie istotne w przypadku użytkowników korzystających z innego konta (a nie podstawowego konta logowania jednokrotnego) do zarządzania zasobami, ponieważ te konta często nie są usuwane, gdy użytkownik opuści firmę.

Działanie z podejrzanych adresów IP

  • To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako ryzykowni przez usługę Microsoft Threat Intelligence. Te adresy IP są zaangażowane w złośliwe działania, takie jak wykonywanie sprayu haseł, Botnet C C&i może wskazywać na naruszone konto. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę "wyników fałszywie dodatnich", takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

Podejrzane przekazywanie skrzynki odbiorczej

  • To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.

Uwaga

Usługa Defender for Cloud Apps wysyła alerty tylko dla każdej reguły przekazywania, która jest identyfikowana jako podejrzana, na podstawie typowego zachowania użytkownika.

Podejrzane reguły manipulowania skrzynką odbiorczą

  • To wykrywanie profiluje środowisko i wyzwala alerty, gdy podejrzane reguły, które usuwają lub przenoszą komunikaty lub foldery, są ustawiane w skrzynce odbiorczej użytkownika. Może to oznaczać, że bezpieczeństwo konta użytkownika zostało naruszone, że wiadomości są celowo ukryte i że skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.

Podejrzane działanie usuwania wiadomości e-mail (wersja zapoznawcza)

  • Te zasady profiluje środowisko i wyzwala alerty, gdy użytkownik wykonuje podejrzane działania usuwania wiadomości e-mail w jednej sesji. Te zasady mogą wskazywać, że skrzynki pocztowe użytkownika mogą zostać naruszone przez potencjalne wektory ataków, takie jak komunikacja poleceń i kontroli (C&/C2) za pośrednictwem poczty e-mail.

Uwaga

Usługa Defender for Cloud Apps integruje się z Ochrona usługi Office 365 w usłudze Microsoft Defender w celu zapewnienia ochrony usługi Exchange Online, w tym detonacji adresów URL, ochrony przed złośliwym oprogramowaniem i nie tylko. Po włączeniu Ochrona usługi Office 365 w usłudze Defender zobaczysz alerty w dzienniku aktywności usługi Defender for Cloud Apps.

Podejrzane działania pobierania pliku aplikacji OAuth

  • Skanuje aplikacje OAuth połączone ze środowiskiem i wyzwala alert, gdy aplikacja pobiera wiele plików z programu Microsoft SharePoint lub Microsoft OneDrive w sposób nietypowy dla użytkownika. Może to oznaczać, że konto użytkownika zostało naruszone.

Nietypowa usługodawca internetowa dla aplikacji OAuth

  • Te zasady profiluje środowisko i wyzwala alerty, gdy aplikacja OAuth łączy się z aplikacjami w chmurze z nietypowego usługodawcy isp. Te zasady mogą wskazywać, że osoba atakująca próbowała użyć uzasadnionej naruszonej aplikacji do wykonywania złośliwych działań w aplikacjach w chmurze.

Nietypowe działania (według użytkownika)

Te wykrycia identyfikują użytkowników, którzy wykonują następujące czynności:

  • Nietypowe działania pobierania wielu plików
  • Nietypowe działania udziału plików
  • Nietypowe działania usuwania plików
  • Nietypowe działania personifikowane
  • Nietypowe działania administracyjne
  • Nietypowe działania udostępniania raportów usługi Power BI (wersja zapoznawcza)
  • Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza)
  • Nietypowe działania usuwania magazynu (wersja zapoznawcza)
  • Nietypowy region zasobu w chmurze (wersja zapoznawcza)
  • Nietypowy dostęp do plików

Te zasady szukają działań w ramach jednej sesji w odniesieniu do poznanego punktu odniesienia, co może wskazywać na próbę naruszenia zabezpieczeń. Te wykrycia korzystają z algorytmu uczenia maszynowego, który profiluje użytkowników loguje się do wzorca i zmniejsza liczbę wyników fałszywie dodatnich. Te wykrycia są częścią aparatu wykrywania anomalii heurystycznych, który profiluje środowisko i wyzwala alerty w odniesieniu do punktu odniesienia poznanego w działaniu organizacji.

Wiele nieudanych prób logowania

  • To wykrywanie identyfikuje użytkowników, którzy nie powiodły się w ramach jednej sesji w odniesieniu do poznanej linii bazowej, co może wskazywać na próbę naruszenia zabezpieczeń.

Eksfiltracja danych do niezatwierdzonych aplikacji

  • Te zasady są automatycznie włączane, aby otrzymywać alerty, gdy użytkownik lub adres IP korzysta z aplikacji, która nie jest akceptowana w celu wykonania działania przypominającego próbę eksfiltracji informacji z organizacji.

Wiele działań usuwania maszyny wirtualnej

  • Te zasady profiluje środowisko i wyzwala alerty, gdy użytkownicy usuwają wiele maszyn wirtualnych w jednej sesji względem punktu odniesienia w organizacji. Może to wskazywać na próbę naruszenia.

Włączanie zautomatyzowanego ładu

Akcje automatycznego korygowania można włączyć dla alertów generowanych przez zasady wykrywania anomalii.

  1. Wybierz nazwę zasad wykrywania na stronie Zasady .
  2. W wyświetlonym oknie Edytowanie zasad wykrywania anomalii w obszarze Ład ustaw akcje korygujące dla każdej połączonej aplikacji lub dla wszystkich aplikacji.
  3. Wybierz pozycję Aktualizuj.

Dostrajanie zasad wykrywania anomalii

Aby wpłynąć na aparat wykrywania anomalii, aby pominąć lub wyświetlić alerty zgodnie z preferencjami:

  • W zasadach Niemożliwe podróże można ustawić suwak poufności, aby określić poziom nietypowego zachowania wymaganego przed wyzwoleniem alertu. Jeśli na przykład ustawisz ją na niską lub średnią, pomija alerty Niemożliwe podróże ze wspólnych lokalizacji użytkownika, a jeśli ustawisz ją na wysoką, zostaną wyświetlone takie alerty. Możesz wybrać spośród następujących poziomów poufności:

    • Niski: pomijanie systemu, dzierżawy i użytkowników

    • Średni: pomijania systemu i użytkownika

    • Wysoki: tylko pomijania systemu

      Gdzie:

      Typ pomijania Opis
      System Wbudowane wykrycia, które są zawsze pomijane.
      Dzierżawy Typowe działania oparte na poprzednich działaniach w dzierżawie. Na przykład pomijanie działań od usługodawcy isp wcześniej powiadamianego w organizacji.
      Użytkownik Typowe działania oparte na poprzednim działaniu określonego użytkownika. Na przykład pomijanie działań z lokalizacji, która jest często używana przez użytkownika.

Uwaga

Domyślnie starsze protokoły logowania, takie jak te, które nie korzystają z uwierzytelniania wieloskładnikowego (na przykład WS-Trust), nie są monitorowane przez niemożliwe zasady podróży. Jeśli Organizacja używa starszych protokołów, aby uniknąć brakujących odpowiednich działań, edytuj zasady i w obszarze Konfiguracja zaawansowana ustaw opcję Analizuj działania logowania na Wszystkie logowania.

Określanie zakresu zasad wykrywania anomalii

Każda zasada wykrywania anomalii może być niezależnie ograniczona, tak aby dotyczyła tylko użytkowników i grup, które chcesz uwzględnić i wykluczyć w zasadach. Możesz na przykład ustawić działanie z rzadko używanego wykrywania powiatu, aby zignorować określonego użytkownika, który często podróżuje.

Aby ograniczyć zakres zasad wykrywania anomalii:

  1. Wybierz pozycję Zasady sterowania> i ustaw filtr Typ na zasady wykrywania anomalii.

  2. Wybierz zasady, które chcesz ograniczyć.

  3. W obszarze Zakres zmień listę rozwijaną z domyślnego ustawienia Wszyscy użytkownicy i grupy na Określone użytkowników i grupy.

  4. Wybierz pozycję Dołącz , aby określić użytkowników i grupy, dla których będą stosowane te zasady. Żaden użytkownik lub grupa, która nie została w tym miejscu wybrana, nie zostanie uznana za zagrożenie i nie wygeneruje alertu.

  5. Wybierz pozycję Wyklucz , aby określić użytkowników, dla których te zasady nie będą stosowane. Żaden użytkownik wybrany w tym miejscu nie zostanie uznany za zagrożenie i nie wygeneruje alertu, nawet jeśli są członkami grup wybranych w obszarze Dołącz.

    określanie zakresu wykrywania anomalii.

Klasyfikowanie alertów wykrywania anomalii

Możesz szybko sklasyfikować różne alerty wyzwalane przez nowe zasady wykrywania anomalii i zdecydować, które z nich należy podjąć. W tym celu potrzebny jest kontekst alertu, aby zobaczyć większy obraz i zrozumieć, czy rzeczywiście dzieje się coś złośliwego.

  1. W dzienniku aktywności można otworzyć działanie, aby wyświetlić szufladę działania. Wybierz pozycję Użytkownik , aby wyświetlić kartę szczegółowe informacje o użytkowniku. Ta karta zawiera informacje, takie jak liczba alertów, działań i miejsce ich połączenia, co jest ważne w trakcie badania.

    alert wykrywania anomalii1.alert wykrywania anomalii2.

  2. Dzięki temu można zrozumieć, jakie są podejrzane działania wykonywane przez użytkownika i uzyskać większą pewność co do tego, czy konto zostało naruszone. Na przykład alert dotyczący wielu nieudanych logowań może być rzeczywiście podejrzany i może wskazywać na potencjalny atak siłowy, ale może to być również błędna konfiguracja aplikacji, co powoduje, że alert jest łagodnym wynikiem prawdziwie dodatnim. Jeśli jednak zostanie wyświetlony alert dotyczący wielu nieudanych logowań z dodatkowymi podejrzanymi działaniami, istnieje większe prawdopodobieństwo naruszenia zabezpieczeń konta. W poniższym przykładzie widać, że po wystąpieniu alertu Wiele nieudanych prób logowania następujeDziałanie z adresu IP TOR i Niemożliwa aktywność podróży, oba silne wskaźniki naruszenia (IOCs) samodzielnie. Jeśli nie było to wystarczająco podejrzane, można zobaczyć, że ten sam użytkownik wykonał operację masowego pobierania, która jest często wskaźnikiem eksfiltracji danych przez osobę atakującą.

    alert wykrywania anomalii3.

  3. W przypadku zainfekowanych plików złośliwego oprogramowania po wykryciu plików można wyświetlić listę zainfekowanych plików. Wybierz nazwę pliku złośliwego oprogramowania w szufladzie plików, aby otworzyć raport złośliwego oprogramowania zawierający informacje o tym typie złośliwego oprogramowania, z którym plik jest zainfekowany.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.