Jak badać alerty dotyczące wykrywania anomalii

Microsoft Defender dla Chmury Apps zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby ułatwić badanie i zadania korygowania. W tym przewodniku znajdują się ogólne informacje o warunkach wyzwalania alertów. Należy jednak pamiętać, że ponieważ wykrycia anomalii nie są deterministyczne z natury, są wyzwalane tylko wtedy, gdy występuje zachowanie, które odbiega od normy. Na koniec niektóre alerty mogą być w wersji zapoznawczej, dlatego regularnie zapoznaj się z oficjalną dokumentacją dotyczącą zaktualizowanego stanu alertu.

MITRE ATT&CK

Aby wyjaśnić i ułatwić mapowanie relacji między alertami Defender dla Chmury Apps i znanymi macierzami MITRE ATT&CK, sklasyfikowaliśmy alerty według odpowiedniej taktyki MITRE ATT&CK. Ta dodatkowa dokumentacja ułatwia zrozumienie potencjalnie używanej techniki podejrzanych ataków w przypadku wyzwolenia alertu Defender dla Chmury Apps.

Ten przewodnik zawiera informacje na temat badania i korygowania alertów Defender dla Chmury Apps w następujących kategoriach.

• Dostęp początkowy
• Wykonanie
• Trwałość
• Eskalacja uprawnień
• Dostęp poświadczeń
• Kolekcja
• Eksfiltracja
• Wpływ

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty usługi Defender dla Chmury Apps można sklasyfikować jako jeden z następujących typów działań:

• Wynik prawdziwie dodatni (TP): alert dotyczący potwierdzonej złośliwej aktywności.
• Łagodny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetracyjne lub inne autoryzowane podejrzane działanie.
• Wynik fałszywie dodatni (FP): alert dotyczący niezwiązanego z złośliwym działaniem.

Ogólne kroki badania

Podczas badania dowolnego typu alertu należy użyć poniższych ogólnych wytycznych, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

• Przejrzyj wynik priorytetu badania użytkownika i porównaj go z resztą organizacji. Pomoże to określić, którzy użytkownicy w organizacji stanowią największe ryzyko.
• Jeśli zidentyfikujesz moduł TP, przejrzyj wszystkie działania użytkownika, aby zrozumieć wpływ.
• Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zbadaj źródło i zakres wpływu. Przejrzyj na przykład następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
  • System operacyjny i wersja
  • Przeglądarka i wersja
  • Adres IP i lokalizacja

Alerty dotyczące dostępu początkowego

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać wstępną przyczółek do organizacji.

Działanie z anonimowego adresu IP

Opis

Działanie z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy przez usługę Microsoft Threat Intelligence lub twoją organizację. Te serwery proxy mogą służyć do ukrywania adresu IP urządzenia i mogą być używane do złośliwych działań.

TP, B-TP lub FP?

To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę zdarzeń B-TP , takich jak błędnie oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

1. TP: Jeśli możesz potwierdzić, że działanie zostało wykonane z anonimowego lub adresu IP TOR.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. B-TP: Jeśli użytkownik jest znany z używania anonimowych adresów IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy bezpieczeństwa lub penetracyjne w imieniu organizacji.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

• Przejrzyj wszystkie działania użytkowników i alerty, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń. Jeśli na przykład alert był obserwowany przez inny podejrzany alert, taki jak pobieranie nietypowego pliku (przez użytkownika) lub alert podejrzanego przekazywania skrzynki odbiorczej, często oznacza to, że osoba atakująca próbuje eksfiltrować dane.

Aktywność z rzadko występującego kraju

Działanie z kraju/regionu, które może wskazywać na złośliwe działanie. Te zasady profiluje środowisko i wyzwala alerty, gdy aktywność zostanie wykryta z lokalizacji, która nie była ostatnio lub nigdy nie była odwiedzana przez żadnego użytkownika w organizacji.

Zasady mogą być dalej ograniczone do podzbioru użytkowników lub mogą wykluczać użytkowników znanych z podróży do lokalizacji zdalnych.

okres Edukacja

Wykrywanie nietypowych lokalizacji wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja:

   1. Wstrzymaj użytkownika, zresetuj swoje hasło i zidentyfikuj odpowiedni czas, aby bezpiecznie ponownie włączyć konto.
   2. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi podczas nawiązywania połączenia z rzadko używanych lokalizacji i ich menedżerów w celu zweryfikowania ich aktywności.

2. B-TP: jeśli użytkownik jest znany w tej lokalizacji. Na przykład gdy użytkownik, który często podróżuje i znajduje się obecnie w określonej lokalizacji.

   Zalecana akcja:

   1. Odrzuć alert i zmodyfikuj zasady, aby wykluczyć użytkownika.
   2. Utwórz grupę użytkowników dla częstych podróżnych, zaimportuj grupę do aplikacji Defender dla Chmury i wyklucz użytkowników z tego alertu
   3. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi podczas nawiązywania połączenia z rzadko używanych lokalizacji i ich menedżerów w celu zweryfikowania ich aktywności.

Omówienie zakresu naruszenia

• Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pobieranie danych.

Działanie z podejrzanych adresów IP

Działanie z adresu IP, który został zidentyfikowany jako ryzykowny przez usługę Microsoft Threat Intelligence lub organizację. Te adresy IP zostały zidentyfikowane jako zaangażowane w złośliwe działania, takie jak wykonywanie sprayu haseł, polecenia botnetu i kontroli (C&C) i mogą wskazywać na naruszone konto.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. B-TP: jeśli użytkownik jest znany z używania adresu IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy bezpieczeństwa lub penetracyjne w imieniu organizacji.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności i wyszukaj działania z tego samego adresu IP.
2. Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pobieranie danych lub modyfikacje administracyjne.
3. Utwórz grupę dla analityków zabezpieczeń dobrowolnie wyzwalających te alerty i wyklucz je z zasad.

Niemożliwa podróż

Działanie od tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami. Może to wskazywać na naruszenie poświadczeń, jednak istnieje również możliwość, że rzeczywista lokalizacja użytkownika jest maskowana, na przykład przy użyciu sieci VPN.

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, Defender dla Chmury Apps ustanawia punkt odniesienia dla każdego użytkownika w organizacji i będzie ostrzegać tylko wtedy, gdy wykryto nietypowe zachowanie. Niemożliwe zasady podróży można dostosować do Twoich wymagań.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

To wykrywanie używa algorytmu uczenia maszynowego, który ignoruje oczywiste warunki B-TP , takie jak gdy adresy IP po obu stronach podróży są uznawane za bezpieczne, podróż jest zaufana i wykluczona z wyzwalania wykrywania niemożliwych podróży. Na przykład obie strony są uważane za bezpieczne, jeśli są oznaczone jako firmowe. Jeśli jednak adres IP tylko jednej strony podróży jest uznawany za bezpieczny, wykrywanie jest wyzwalane normalnie.

1. TP: Jeśli możesz potwierdzić, że lokalizacja w niemożliwym alercie podróży jest mało prawdopodobna dla użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (niezakryta podróż użytkownika): jeśli możesz potwierdzić, że użytkownik niedawno udał się do miejsca docelowego wymienionego w alercie. Jeśli na przykład telefon użytkownika, który jest w trybie samolotowym, pozostaje połączony z usługami, takimi jak Exchange Online w sieci firmowej podczas podróży do innej lokalizacji. Gdy użytkownik dotrze do nowej lokalizacji, telefon łączy się z usługą Exchange Online, wyzwalając alert o niemożliwej podróży.

   Zalecana akcja: Odrzuć alert.

3. FP (untagged VPN): Jeśli możesz potwierdzić, że zakres adresów IP pochodzi z zaakceptowanej przez sankcje sieci VPN.

   Zalecana akcja: Odrzuć alert i dodaj zakres adresów IP sieci VPN do Defender dla Chmury Apps, a następnie użyj go do tagowania zakresu adresów IP sieci VPN.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby poznać podobne działania w tej samej lokalizacji i adresie IP.
2. Jeśli zobaczysz, że użytkownik wykonał inne ryzykowne działania, takie jak pobieranie dużej ilości plików z nowej lokalizacji, byłoby to silne wskazanie możliwego naruszenia.
3. Dodaj zakresy firmowych adresów IP i sieci VPN.
4. Utwórz podręcznik przy użyciu usługi Power Automate i skontaktuj się z menedżerem użytkownika, aby sprawdzić, czy użytkownik jest legalnie podróżujący.
5. Rozważ utworzenie znanej bazy danych podróżników do minutowego raportowania podróży w organizacji i użycie jej do działań związanych z podróżami krzyżowych.

Myląca nazwa aplikacji OAuth

To wykrywanie identyfikuje aplikacje z znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę.

   Zalecana akcja: Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

Aby zablokować dostęp do aplikacji, na kartach Google lub Salesforce na stronie ład aplikacji w wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. — Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zakazana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będzie mieć dostępu do połączonej aplikacji. Jeśli nie chcesz ich znać, usuń zaznaczenie pola wyboru Powiadom użytkowników, którzy przyznali dostęp do tej zakazanej aplikacji w oknie dialogowym. — Zaleca się, aby poinformować użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

1. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę, ale ma legalne użycie biznesowe w organizacji.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

• Postępuj zgodnie z samouczkiem dotyczącym sposobu badania ryzykownych aplikacji OAuth.

Myląca nazwa wydawcy dla aplikacji OAuth

To wykrywanie identyfikuje aplikacje z znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy.

   Zalecana akcja: Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

2. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy, ale jest legalnym wydawcą.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Na kartach Google lub Salesforce na stronie Zarządzanie aplikacjami wybierz aplikację, aby otworzyć szufladę aplikacji, a następnie wybierz pozycję Powiązane działanie. Spowoduje to otwarcie strony Dziennik aktywności przefiltrowanej pod kątem działań wykonywanych przez aplikację. Należy pamiętać, że niektóre aplikacje wykonują działania zarejestrowane jako wykonywane przez użytkownika. Te działania są automatycznie filtrowane z wyników w dzienniku aktywności. Aby uzyskać dalsze badanie przy użyciu dziennika aktywności, zobacz Dziennik aktywności.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy i wydawcy aplikacji w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
   • Aplikacje z małą liczbą pobrań.
   • Aplikacje z niską oceną lub oceną lub złymi komentarzami.
   • Aplikacje z podejrzanym wydawcą lub witryną internetową.
   • Aplikacje, które nie zostały ostatnio zaktualizowane. Może to wskazywać na aplikację, która nie jest już obsługiwana.
   • Aplikacje, które mają nieistotne uprawnienia. Może to oznaczać, że aplikacja jest ryzykowna.
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę aplikacji, wydawcę i adres URL w trybie online.

Alerty wykonywania

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uruchomić złośliwy kod w organizacji.

Wiele działań usuwania magazynu

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę operacji usuwania magazynu w chmurze lub bazy danych z zasobów, takich jak obiekty blob platformy Azure, zasobniki usługi AWS S3 lub cosmos DB w porównaniu ze poznanym punktem odniesienia. Może to wskazywać na próbę naruszenia organizacji.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli chcesz potwierdzić, że usunięcia były nieautoryzowane.

   Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

2. FP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań usuwania.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Skontaktuj się z użytkownikiem i potwierdź działanie.
2. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i sprawdź, kto dokonał zmiany.
3. Przejrzyj działania użytkownika dotyczące zmian w innych usługach.

Wiele działań związanych z tworzeniem maszyn wirtualnych

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę akcji tworzenia maszyny wirtualnej w porównaniu do poznanej linii bazowej. Wiele tworzenia maszyn wirtualnych w naruszonej infrastrukturze chmury może wskazywać na próbę uruchomienia operacji wyszukiwania kryptograficznego z organizacji.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia liczby zdarzeń B-TP , takich jak administrator legalnie utworzył więcej maszyn wirtualnych niż ustalony punkt odniesienia, i ostrzega tylko wtedy, gdy wykryto nietypowe zachowanie.

• TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

  Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź swoje uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszelkie naruszone maszyny wirtualne.

• B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań tworzenia.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń.
2. Przejrzyj zasoby utworzone lub zmodyfikowane przez użytkownika i sprawdź, czy są one zgodne z zasadami organizacji.

Podejrzane działanie tworzenia dla regionu chmury (wersja zapoznawcza)

Działania wskazujące, że użytkownik wykonał nietypową akcję tworzenia zasobów w nietypowym regionie platformy AWS w porównaniu ze poznanym punktem odniesienia. Tworzenie zasobów w nietypowych regionach chmury może wskazywać na próbę wykonania złośliwych działań, takich jak operacje wyszukiwania kryptograficznego z organizacji.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia liczby zdarzeń B-TP .

• TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

  Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź swoje uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszelkie naruszone zasoby w chmurze.

• B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań tworzenia.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń.
2. Przejrzyj utworzone zasoby i sprawdź, czy są one zgodne z zasadami organizacji.

Alerty dotyczące trwałości

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.

Działanie wykonywane przez zakończonego użytkownika

Działanie wykonywane przez zakończonego użytkownika może wskazywać, że zakończony pracownik, który nadal ma dostęp do zasobów firmy, próbuje wykonać złośliwe działanie. Defender dla Chmury Użytkownicy profilów aplikacji w organizacji i wyzwalają alert, gdy zakończony użytkownik wykonuje działanie.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że zakończony użytkownik nadal ma dostęp do niektórych zasobów firmy i wykonuje działania.

   Zalecana akcja: Wyłącz użytkownika.

2. B-TP: Jeśli możesz określić, że użytkownik został tymczasowo wyłączony lub został usunięty i ponownie zarejestrowany.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Krzyżowe rekordy HR w celu potwierdzenia zakończenia działania użytkownika.
2. Zweryfikuj istnienie konta użytkownika Microsoft Entra.

   Uwaga

   Jeśli korzystasz z Połączenie firmy Microsoft, zweryfikuj obiekt lokalna usługa Active Directory i potwierdź pomyślny cykl synchronizacji.

3. Zidentyfikuj wszystkie aplikacje, do których zakończony użytkownik miał dostęp, i zlikwidować konta.
4. Aktualizowanie procedur likwidowania.

Podejrzana zmiana usługi rejestrowania CloudTrail

Działania w jednej sesji wskazujące, że użytkownik wykonał podejrzane zmiany w usłudze rejestrowania AWS CloudTrail. Może to wskazywać na próbę naruszenia organizacji. Podczas wyłączania usługi CloudTrail zmiany operacyjne nie są już rejestrowane. Osoba atakująca może wykonywać złośliwe działania, unikając zdarzenia inspekcji CloudTrail, takiego jak modyfikowanie zasobnika S3 z prywatnego na publiczny.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, zresetuj swoje hasło i odwróć działanie CloudTrail.

2. FP: Jeśli możesz potwierdzić, że użytkownik legalnie wyłączył usługę CloudTrail.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i sprawdź, kto dokonał zmiany w usłudze CloudTrail.
2. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i ich menedżerami w celu zweryfikowania ich aktywności.

Podejrzane działanie usuwania wiadomości e-mail (według użytkownika)

Działania w jednej sesji wskazujące, że użytkownik wykonał podejrzane usunięcia wiadomości e-mail. Typ usunięcia to typ "twardego usunięcia", który sprawia, że element poczty e-mail został usunięty i niedostępny w skrzynce pocztowej użytkownika. Usunięcie zostało wykonane z połączenia, które zawiera nietypowe preferencje, takie jak usługodawca internetowy, kraj/region i agent użytkownika. Może to wskazywać na próbę naruszenia organizacji, takie jak osoby atakujące próbujące zamaskować operacje, usuwając wiadomości e-mail związane z działaniami niepożądanymi.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP: Jeśli możesz potwierdzić, że użytkownik utworzył regułę w celu usunięcia komunikatów.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

• Przejrzyj wszystkie działania użytkownika, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert dotyczący przekazywania podejrzanej skrzynki odbiorczej , a następnie alert Niemożliwe podróże . Wyszukaj:

  1. Nowe reguły przesyłania dalej SMTP w następujący sposób:
     • Sprawdź nazwy złośliwych reguł przesyłania dalej. Nazwy reguł mogą się różnić od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatycznie przesyłaj dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przekazywania mogą być nawet puste, a odbiorca przekazujący może być pojedynczym kontem e-mail lub całą listą. Złośliwe reguły mogą być również ukryte przed interfejsem użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu dotyczącego usuwania ukrytych reguł ze skrzynek pocztowych.
     • Jeśli wykryjesz nierozpoznaną regułę przekazywania do nieznanego wewnętrznego lub zewnętrznego adresu e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
  2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
  3. Wzrost liczby wysłanych wiadomości e-mail.

Podejrzana reguła manipulowania skrzynką odbiorczą

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulowania, takie jak usuwanie lub przenoszenie wiadomości lub folderów, ze skrzynki odbiorczej użytkownika mogą być próbą eksfiltracji informacji z organizacji. Podobnie może wskazać próbę manipulowania informacjami, które użytkownik widzi lub używa skrzynki odbiorczej do rozpowszechniania spamu, wyłudzania informacji lub złośliwego oprogramowania. Defender dla Chmury Aplikacje profiluje środowisko i wyzwala alerty po wykryciu podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to oznaczać, że konto użytkownika zostało naruszone.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że utworzono złośliwą regułę skrzynki odbiorczej i konto zostało naruszone.

   Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i usuń regułę przekazywania.

2. FP: Jeśli możesz potwierdzić, że użytkownik legalnie utworzył regułę.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkownika, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert dotyczący przekazywania podejrzanej skrzynki odbiorczej , a następnie alert Niemożliwe podróże . Szukać:
   • Nowe reguły przesyłania dalej SMTP.
   • Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
2. Zbierz informacje o adresie IP i lokalizacji akcji.
3. Przejrzyj działania wykonywane na podstawie adresu IP użytego do utworzenia reguły w celu wykrycia innych użytkowników, których bezpieczeństwo zostało naruszone.

Alerty eskalacji uprawnień

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać uprawnienia wyższego poziomu w organizacji.

Nietypowe działania administracyjne (według użytkownika)

Działania wskazujące, że osoba atakująca naruszyła konto użytkownika i wykonała akcje administracyjne, które nie są wspólne dla tego użytkownika. Na przykład osoba atakująca może spróbować zmienić ustawienie zabezpieczeń dla użytkownika— operację, która jest stosunkowo rzadka dla wspólnego użytkownika. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego administratora.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP: Jeśli możesz potwierdzić, że administrator legalnie wykonał nietypową liczbę działań administracyjnych.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak podejrzane przekazywanie skrzynki odbiorczej lub niemożliwe podróże.
2. Przejrzyj inne zmiany konfiguracji, takie jak tworzenie konta użytkownika, które może być używane do trwałości.

Alerty dostępu do poświadczeń

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść nazwy kont i hasła z organizacji.

Wiele nieudanych prób logowania

Nieudane próby logowania mogą wskazywać na próbę naruszenia konta. Jednak nieudane logowania mogą być również normalnym zachowaniem. Na przykład gdy użytkownik wprowadził nieprawidłowe hasło przez pomyłkę. Aby osiągnąć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, Defender dla Chmury Apps ustanawia punkt odniesienia nawyków logowania dla każdego użytkownika w organizacji i będzie ostrzegać tylko wtedy, gdy wykryto nietypowe zachowanie.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Te zasady są oparte na uczeniu się normalnego zachowania logowania użytkownika. Po wykryciu odchylenia od normy zostanie wyzwolony alert. Jeśli wykrywanie zacznie widzieć, że to samo zachowanie będzie kontynuowane, alert zostanie zgłoszony tylko raz.

1. Moduł TP (uwierzytelnianie wieloskładnikowe kończy się niepowodzeniem): jeśli możesz potwierdzić, że uwierzytelnianie wieloskładnikowe działa prawidłowo, może to być oznaką próby ataku siłowego.

   Zalecane akcje:

   1. Wstrzymaj użytkownika, oznacz go jako naruszonego i zresetuj swoje hasło.
   2. Znajdź aplikację, która wykonała nieudane uwierzytelnianie i skonfiguruj ją ponownie.
   3. Poszukaj innych użytkowników zalogowanych w czasie działania, ponieważ mogą również zostać naruszone. Wstrzymaj użytkownika, oznacz go jako naruszonego i zresetuj swoje hasło.

2. B-TP (MFA kończy się niepowodzeniem): jeśli możesz potwierdzić, że alert jest spowodowany problemem z uwierzytelnianiem wieloskładnikowym.

   Zalecana akcja: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikiem i sprawdzić, czy występują problemy z uwierzytelnianiem wieloskładnikowym.

3. B-TP (nieprawidłowo skonfigurowana aplikacja): jeśli możesz potwierdzić, że nieprawidłowo skonfigurowana aplikacja próbuje nawiązać połączenie z usługą wiele razy z wygasłymi poświadczeniami.

   Zalecana akcja: Odrzuć alert.

4. B-TP (hasło zmienione): jeśli możesz potwierdzić, że użytkownik niedawno zmienił hasło, ale nie ma to wpływu na poświadczenia w udziałach sieciowych.

   Zalecana akcja: Odrzuć alert.

5. B-TP (test zabezpieczeń): jeśli możesz potwierdzić, że test zabezpieczeń lub penetracji jest przeprowadzany przez analityków zabezpieczeń w imieniu organizacji.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak alert, następuje jeden z następujących alertów: Niemożliwa podróż, Działanie z anonimowego adresu IP lub Działanie z rzadko używanego kraju.
2. Przejrzyj następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
   • System operacyjny i wersja
   • Przeglądarka i wersja
   • Adres IP i lokalizacja
3. Zidentyfikuj źródłowy adres IP lub lokalizację, w której nastąpiła próba uwierzytelnienia.
4. Zidentyfikuj, czy użytkownik niedawno zmienił hasło, i upewnij się, że wszystkie aplikacje i urządzenia mają zaktualizowane hasło.

Nietypowe dodawanie poświadczeń do aplikacji OAuth

To wykrywanie identyfikuje podejrzane dodanie poświadczeń uprzywilejowanych do aplikacji OAuth. Może to oznaczać, że osoba atakująca naruszyła aplikację i używa jej do złośliwych działań.

okres Edukacja

Edukacja środowisko organizacji wymaga okresu siedmiu dni, w którym można oczekiwać dużej liczby alertów.

Nietypowa usługodawca internetowa dla aplikacji OAuth

Wykrywanie identyfikuje aplikację OAuth łączącą się z aplikacją w chmurze z usługodawcy isp, który jest nietypowy dla aplikacji. Może to oznaczać, że osoba atakująca próbowała użyć uzasadnionej naruszonej aplikacji do wykonywania złośliwych działań w aplikacjach w chmurze.

okres Edukacja

Okres szkoleniowy dla tego wykrywania wynosi 30 dni.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie było legalnym działaniem aplikacji OAuth lub że ten usługodawca nie jest używany przez legalną aplikację OAuth.

   Zalecana akcja: Odwołaj wszystkie tokeny dostępu aplikacji OAuth i sprawdź, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

2. FP: Jeśli możesz potwierdzić, że działanie zostało wykonane zgodnie z prawem przez prawdziwą aplikację OAuth.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania wykonywane przez aplikację OAuth.

2. Sprawdź, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

Alerty dotyczące kolekcji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące dane w celu organizacji.

Wiele działań udostępniania raportów usługi Power BI

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę działań raportu udostępniania w usłudze Power BI w porównaniu ze poznanym punktem odniesienia. Może to wskazywać na próbę naruszenia organizacji.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: Usuwanie dostępu do udostępniania z usługi Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymaj użytkownika, oznacz go jako naruszonego i zresetuj hasło.

2. FP: Jeśli możesz potwierdzić, że użytkownik miał uzasadnienie biznesowe, aby udostępnić te raporty.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Sprawdź adres IP, z którego się logują, oraz szczegóły urządzenia.
2. Skontaktuj się z zespołem usługi Power BI lub zespołem usługi Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Podejrzane udostępnianie raportów usługi Power BI

Działania wskazujące, że użytkownik udostępnił raport usługi Power BI, który może zawierać poufne informacje zidentyfikowane przy użyciu nlp w celu przeanalizowania metadanych raportu. Raport został udostępniony zewnętrznemu adresowi e-mail, opublikowanemu w Internecie lub migawki dostarczonej na zewnętrznie subskrybowany adres e-mail. Może to wskazywać na próbę naruszenia organizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: Usuwanie dostępu do udostępniania z usługi Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymaj użytkownika, oznacz go jako naruszonego i zresetuj hasło.

2. FP: Jeśli możesz potwierdzić, że użytkownik miał uzasadnienie biznesowe, aby udostępnić te raporty.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Sprawdź adres IP, z którego się logują, oraz szczegóły urządzenia.
2. Skontaktuj się z zespołem usługi Power BI lub zespołem usługi Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Nietypowe działanie personifikowane (według użytkownika)

W niektórych programach istnieją opcje umożliwiające innym użytkownikom personifikację innych użytkowników. Na przykład usługi poczty e-mail umożliwiają użytkownikom autoryzowanie innych użytkowników do wysyłania wiadomości e-mail w ich imieniu. To działanie jest często używane przez osoby atakujące do tworzenia wiadomości e-mail wyłudzających informacje w celu wyodrębnienia informacji o organizacji. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i tworzy działanie po wykryciu nietypowego działania personifikacji.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał nietypowe działania lub więcej działań niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

3. FP: Jeśli możesz potwierdzić, że aplikacje, takie jak Teams, legalnie personifikowały użytkownika.

   Zalecana akcja: Przejrzyj akcje i w razie potrzeby odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników i alerty, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.
2. Przejrzyj działania personifikacji, aby zidentyfikować potencjalne złośliwe działania.
3. Przejrzyj konfigurację dostępu delegowanego.

Alerty eksfiltracji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść dane z organizacji.

Podejrzane przekazywanie skrzynki odbiorczej

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulowania, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail, mogą być próbą eksfiltracji informacji z organizacji. Defender dla Chmury Aplikacje profiluje środowisko i wyzwala alerty po wykryciu podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to oznaczać, że konto użytkownika zostało naruszone.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że została utworzona złośliwa reguła przekazywania skrzynki odbiorczej i konto zostało naruszone.

   Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i usuń regułę przekazywania.

2. FP: Jeśli możesz potwierdzić, że użytkownik utworzył regułę przesyłania dalej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak alert, następuje alert Niemożliwy podróż . Wyszukaj:

   1. Nowe reguły przesyłania dalej SMTP w następujący sposób:
      • Sprawdź nazwy złośliwych reguł przesyłania dalej. Nazwy reguł mogą się różnić od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatycznie przesyłaj dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przekazywania mogą być nawet puste, a odbiorca przekazujący może być pojedynczym kontem e-mail lub całą listą. Złośliwe reguły mogą być również ukryte przed interfejsem użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu dotyczącego usuwania ukrytych reguł ze skrzynek pocztowych.
      • Jeśli wykryjesz nierozpoznaną regułę przekazywania do nieznanego wewnętrznego lub zewnętrznego adresu e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
   2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".

2. Przejrzyj działania wykonywane na podstawie adresu IP użytego do utworzenia reguły w celu wykrycia innych użytkowników, których bezpieczeństwo zostało naruszone.

3. Przejrzyj listę komunikatów przekazywanych przy użyciu śledzenia komunikatów usługi Exchange Online.

Pobieranie nietypowego pliku (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę pobrań plików z platformy magazynu w chmurze w porównaniu do poznanej linii bazowej. Może to wskazywać na próbę uzyskania informacji o organizacji. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań pobierania plików niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

3. FP (synchronizacja oprogramowania): Jeśli możesz potwierdzić, że oprogramowanie, takie jak OneDrive, zostało zsynchronizowane z zewnętrzną kopią zapasową, która spowodowała alert.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania pobierania i utwórz listę pobranych plików.
2. Przejrzyj ważność pobranych plików z właścicielem zasobu i zweryfikuj poziom dostępu.

Nietypowy dostęp do plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę dostępu do plików w programie SharePoint lub OneDrive do plików zawierających dane finansowe lub dane sieciowe w porównaniu ze poznanym punktem odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji, zarówno w celach finansowych, jak i w celu uzyskania dostępu do poświadczeń i przenoszenia bocznego. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

okres Edukacja

Okres nauki zależy od aktywności użytkownika. Ogólnie rzecz biorąc, okres nauki wynosi od 21 do 45 dni dla większości użytkowników.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań dostępu do plików niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania dostępu i utwórz listę plików, do których uzyskuje się dostęp.
2. Przejrzyj ważność plików, do których uzyskujesz dostęp, i sprawdź poprawność poziomu dostępu.

Nietypowe działanie udziału plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę akcji udostępniania plików z platformy magazynu w chmurze w porównaniu ze poznanym punktem odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań udostępniania plików niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania udostępniania i utwórz listę udostępnionych plików.
2. Przejrzyj poufność udostępnionych plików z właścicielem zasobu i sprawdź poprawność poziomu dostępu.
3. Utwórz zasady dotyczące plików dla podobnych dokumentów, aby wykrywać przyszłe udostępnianie poufnych plików.

Alerty dotyczące wpływu

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować manipulować, przerwać lub zniszczyć systemy i dane w organizacji.

Wiele działań usuwania maszyny wirtualnej

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę operacji usuwania maszyn wirtualnych w porównaniu do poznanej linii bazowej. Usunięcie wielu maszyn wirtualnych może wskazywać na próbę zakłócenia lub zniszczenia środowiska. Istnieje jednak wiele normalnych scenariuszy, w których maszyny wirtualne są usuwane.

TP, B-TP lub FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia liczby zdarzeń B-TP i alertu tylko wtedy, gdy wykryto nietypowe zachowanie.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

• TP: Jeśli możesz potwierdzić, że usunięcia nie zostały nieautoryzowane.

  Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

• B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań usuwania.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Skontaktuj się z użytkownikiem i potwierdź działanie.
2. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak alert, następuje jeden z następujących alertów: Niemożliwa podróż, Działanie z anonimowego adresu IP lub Działanie z rzadko używanego kraju.

Działanie wymuszania oprogramowania wymuszającego okup

Ransomware to cyberatak, w którym atakujący blokuje ofiary z urządzeń lub blokuje im dostęp do swoich plików, dopóki ofiara nie zapłaci okupu. Oprogramowanie wymuszającego okup może być rozpowszechniane przez złośliwy plik udostępniony lub sieć, która została naruszona. Defender dla Chmury Apps wykorzystuje wiedzę badawczą dotyczącą zabezpieczeń, analizę zagrożeń i poznane wzorce behawioralne w celu identyfikowania aktywności oprogramowania wymuszającego okup. Na przykład wysoka częstotliwość przekazywania plików lub usuwania plików może reprezentować proces szyfrowania, który jest typowy dla operacji wymuszania oprogramowania wymuszającego okup.

To wykrywanie określa punkt odniesienia normalnych wzorców roboczych każdego użytkownika w organizacji, na przykład gdy użytkownik uzyskuje dostęp do chmury i co często robią w chmurze.

Zasady automatycznego wykrywania zagrożeń Defender dla Chmury Apps zaczynają działać w tle od momentu nawiązania połączenia. Korzystając z naszej wiedzy z zakresu badań nad zabezpieczeniami, aby zidentyfikować wzorce behawioralne odzwierciedlające aktywność oprogramowania wymuszającego okup w naszej organizacji, Defender dla Chmury Apps zapewnia kompleksowy zakres przed zaawansowanymi atakami wymuszającym okup.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP (nietypowe zachowanie): użytkownik legalnie wykonał wiele działań usuwania i przekazywania podobnych plików w krótkim czasie.

   Zalecana akcja: po przejrzeniu dziennika aktywności i potwierdzeniu, że rozszerzenia plików nie są podejrzane, odrzuć alert.

3. FP (typowe rozszerzenie pliku ransomware): Jeśli możesz potwierdzić, że rozszerzenia plików, których dotyczy problem, są zgodne ze znanym rozszerzeniem ransomware.

   Zalecana akcja: Skontaktuj się z użytkownikiem i upewnij się, że pliki są bezpieczne, a następnie odrzucają alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia, takich jak masowe pobieranie lub masowe usuwanie plików.
2. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender, przejrzyj alerty komputera użytkownika, aby sprawdzić, czy wykryto złośliwe pliki.
3. Przeszukaj dziennik aktywności pod kątem działań związanych z przekazywaniem i udostępnianiem złośliwych plików.

Nietypowe działanie usuwania plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypowe działanie usuwania plików w porównaniu z punktem odniesienia. Może to wskazywać na atak oprogramowania wymuszającego okup. Na przykład osoba atakująca może zaszyfrować pliki użytkownika i usunąć wszystkie oryginały, pozostawiając tylko zaszyfrowane wersje, których można użyć do przymusu ofiary do zapłaty okupu. Defender dla Chmury Apps tworzy punkt odniesienia na podstawie normalnego zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. FP: Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań usuwania plików niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania usuwania i utwórz listę usuniętych plików. W razie potrzeby odzyskaj usunięte pliki.
2. Opcjonalnie utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i ich menedżerami w celu zweryfikowania działania.

Wzrost wskaźnika priorytetu badania (wersja zapoznawcza)

Nietypowe działania i działania, które wyzwalały alerty, otrzymują wyniki na podstawie ważności, wpływu użytkownika i analizy behawioralnej użytkownika. Analiza jest przeprowadzana na podstawie innych użytkowników w dzierżawach.

W przypadku znacznego i nietypowego wzrostu wyniku priorytetu badania określonego użytkownika alert zostanie wyzwolony.

Ten alert umożliwia wykrywanie potencjalnych naruszeń charakteryzujących się działaniami, które niekoniecznie wyzwalają określone alerty, ale gromadzą się w podejrzanym zachowaniu użytkownika.

okres Edukacja

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki z siedmiu dni, podczas którego alerty nie są wyzwalane w celu zwiększenia wyniku.

TP, B-TP lub FP?

1. TP: Jeśli możesz potwierdzić, że działania użytkownika nie są uzasadnione.

   Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

2. B-TP: Jeśli możesz potwierdzić, że użytkownik rzeczywiście znacznie odbiegał od zwykłego zachowania, ale nie ma potencjalnego naruszenia.

3. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał nietypowe działania lub więcej działań niż ustalony punkt odniesienia.

   Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników i alerty, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.

Zobacz też

Badanie ryzykownych użytkowników