Jak badać alerty dotyczące wykrywania anomalii

Uwaga

  • Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps jest teraz częścią Microsoft 365 Defender. Portal Microsoft 365 Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji. Spowoduje to uproszczenie przepływów pracy i dodanie funkcjonalności innych usług Microsoft 365 Defender. Microsoft 365 Defender będzie domem do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach firmy Microsoft, danych, urządzeniach, aplikacjach i infrastrukturze. Aby uzyskać więcej informacji na temat tych zmian, zobacz Microsoft Defender for Cloud Apps w Microsoft 365 Defender.

Microsoft Defender for Cloud Apps zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby ułatwić badanie i zadania korygowania. W tym przewodniku znajdują się ogólne informacje o warunkach wyzwalania alertów. Należy jednak pamiętać, że ponieważ wykrycia anomalii nie są deterministyczne z natury, są wyzwalane tylko wtedy, gdy istnieje zachowanie, które odbiega od normy. Na koniec niektóre alerty mogą być w wersji zapoznawczej, więc regularnie przejrzyj oficjalną dokumentację dotyczącą zaktualizowanego stanu alertu.

MITRE ATT&CK

Aby wyjaśnić i ułatwić mapowanie relacji między alertami usługi Defender for Cloud Apps i znaną macierzą MITRE ATT&CK, sklasyfikowaliśmy alerty według odpowiedniej taktyki MITRE ATT&CK. Ta dodatkowa dokumentacja ułatwia zrozumienie potencjalnie używanej techniki podejrzanych ataków po wyzwoleniu alertu usługi Defender for Cloud Apps.

Ten przewodnik zawiera informacje dotyczące badania i korygowania alertów usługi Defender for Cloud Apps w następujących kategoriach.

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty usługi Defender for Cloud Apps można sklasyfikować jako jeden z następujących typów działań:

  • Wynik prawdziwie dodatni (TP): alert dotyczący potwierdzonej złośliwej aktywności.
  • Łagodny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetracyjne lub inne autoryzowane podejrzane działania.
  • Wynik fałszywie dodatni (FP): alert dotyczący niezwiązanej ze złośliwym działaniem.

Ogólne kroki badania

Podczas badania dowolnego typu alertu należy użyć poniższych ogólnych wytycznych, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

  • Przejrzyj wynik priorytetu badania użytkownika i porównaj go z resztą organizacji. Pomoże to określić, którzy użytkownicy w organizacji stanowią największe ryzyko.
  • Jeśli zidentyfikowasz moduł TP, przejrzyj wszystkie działania użytkownika, aby zrozumieć wpływ.
  • Przejrzyj wszystkie działania użytkowników, aby uzyskać inne wskaźniki naruszenia zabezpieczeń i zbadać źródło i zakres wpływu. Przejrzyj na przykład następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
    • System operacyjny i wersja
    • Przeglądarka i wersja
    • Adres IP i lokalizacja

Alerty dostępu początkowego

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać wstępną przyczółek w organizacji.

Działanie z anonimowego adresu IP

Opis

Działanie z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy przez usługę Microsoft Threat Intelligence lub przez organizację. Te serwery proxy mogą służyć do ukrywania adresu IP urządzenia i mogą być używane do złośliwych działań.

TP, B-TP lub FP?

Ta funkcja wykrywania używa algorytmu uczenia maszynowego, który zmniejsza liczbę zdarzeń B-TP , takich jak błędnie oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

  1. TP: Jeśli możesz potwierdzić, że działanie zostało wykonane z anonimowego lub adresu IP TOR.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. B-TP: Jeśli użytkownik jest znany z używania anonimowych adresów IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy bezpieczeństwa lub penetracyjne w imieniu organizacji.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

Aktywność z rzadko występującego kraju

Działanie z kraju/regionu, które może wskazywać na złośliwe działanie. Te zasady profiluje środowisko i wyzwala alerty, gdy działanie jest wykrywane z lokalizacji, która nie została ostatnio lub nigdy nie była odwiedzana przez żadnego użytkownika w organizacji.

Domyślnie zasady są skonfigurowane tak, aby obejmowały tylko pomyślne działania logowania, ale można je skonfigurować tak, aby obejmowały wszystkie działania logowania. Zasady mogą być dalej ograniczone do podzestawu użytkowników lub mogą wykluczać użytkowników znanych z podróży do lokalizacji zdalnych.

Okres nauki

Wykrywanie nietypowych lokalizacji wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja:

    1. Wstrzymaj użytkownika, zresetuj swoje hasło i zidentyfikuj odpowiedni czas, aby bezpiecznie ponownie włączyć konto.
    2. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi jako nawiązywanie połączenia z rzadko używanych lokalizacji i ich menedżerów w celu zweryfikowania ich aktywności.
  2. B-TP: jeśli użytkownik jest znany z tej lokalizacji. Na przykład gdy użytkownik, który podróżuje często i znajduje się obecnie w określonej lokalizacji.

    Zalecana akcja:

    1. Odrzuć alert i zmodyfikuj zasady, aby wykluczyć użytkownika.
    2. Utwórz grupę użytkowników dla częstych podróżnych, zaimportuj grupę do usługi Defender for Cloud Apps i wyklucz użytkowników z tego alertu
    3. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi jako nawiązywanie połączenia z rzadko używanych lokalizacji i ich menedżerów w celu zweryfikowania ich aktywności.

Omówienie zakresu naruszenia

  • Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pliki do pobrania danych.

Działanie z podejrzanych adresów IP

Działanie z adresu IP, który został zidentyfikowany jako ryzykowny przez usługę Microsoft Threat Intelligence lub przez organizację. Te adresy IP zostały zidentyfikowane jako zaangażowane w złośliwe działania, takie jak wykonywanie sprayu haseł, polecenia i kontroli botnetu (C&) i mogą wskazywać na naruszone konto.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. B-TP: Jeśli użytkownik jest znany z używania adresu IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy bezpieczeństwa lub penetracyjne w imieniu organizacji.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj dziennik aktywności i wyszukaj działania z tego samego adresu IP.
  2. Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pobieranie danych lub modyfikacje administracyjne.
  3. Utwórz grupę dla analityków zabezpieczeń dobrowolnie wyzwalających te alerty i wyklucz je z zasad.

Niemożliwa podróż

Działanie od tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami. Może to wskazywać na naruszenie poświadczeń, jednak możliwe jest również, że rzeczywista lokalizacja użytkownika jest maskowana, na przykład przy użyciu sieci VPN.

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, usługa Defender for Cloud Apps ustanawia punkt odniesienia dla każdego użytkownika w organizacji i będzie otrzymywać alerty tylko wtedy, gdy wykryto nietypowe zachowanie. Niemożliwe zasady podróży można dostosować do swoich wymagań.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

To wykrywanie korzysta z algorytmu uczenia maszynowego, który ignoruje oczywiste warunki B-TP , takie jak wtedy, gdy adresy IP po obu stronach podróży są uznawane za bezpieczne, podróż jest zaufana i wykluczona z wyzwalania wykrywania niemożliwych podróży. Na przykład obie strony są uważane za bezpieczne, jeśli są oznaczone jako firmowe. Jeśli jednak adres IP tylko jednej strony podróży jest uznawany za bezpieczny, wykrywanie jest wyzwalane normalnie.

  1. TP: Jeśli możesz potwierdzić, że lokalizacja w niemożliwym alercie podróży jest mało prawdopodobna dla użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (niezakryta podróż użytkownika): jeśli możesz potwierdzić, że użytkownik niedawno udał się do miejsca docelowego wymienionego w alercie. Jeśli na przykład telefon użytkownika, który jest w trybie samolotowym, pozostaje połączony z usługami, takimi jak Exchange Online w sieci firmowej podczas podróży do innej lokalizacji. Gdy użytkownik dotrze do nowej lokalizacji, telefon łączy się z usługą Exchange Online, wyzwalając alert o niemożliwej podróży.

    Zalecana akcja: Odrzuć alert.

  3. FP (untagged VPN): Jeśli możesz potwierdzić, że zakres adresów IP pochodzi z zaakceptowanej sankcji sieci VPN.

    Zalecana akcja: Odrzuć alert i dodaj zakres adresów IP sieci VPN do usługi Defender for Cloud Apps, a następnie użyj go do tagowania zakresu adresów IP sieci VPN.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj dziennik aktywności, aby poznać podobne działania w tej samej lokalizacji i adresie IP.
  2. Jeśli zobaczysz, że użytkownik wykonał inne ryzykowne działania, takie jak pobieranie dużej liczby plików z nowej lokalizacji, byłoby to silnym wskazaniem możliwego naruszenia zabezpieczeń.
  3. Dodaj zakresy firmowej sieci VPN i adresów IP.
  4. Utwórz podręcznik przy użyciu usługi Power Automate i skontaktuj się z menedżerem użytkownika, aby sprawdzić, czy użytkownik podróżuje zgodnie z prawem.
  5. Rozważ utworzenie znanej bazy danych podróżników do minutowego raportowania podróży organizacyjnych i użycie jej do działań związanych z podróżami krzyżowym.

Myląca nazwa aplikacji OAuth

To wykrywanie identyfikuje aplikacje z znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę.

    Zalecana akcja: Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

Aby zablokować dostęp do aplikacji, na stronie Aplikacje OAuth w wierszu, w którym zostanie wyświetlona aplikacja, którą chcesz zablokować, wybierz ikonę zakazu. — Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zakazana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pola Wyboru Powiadom użytkowników, którzy przyznali dostęp do tej zakazanej aplikacji w oknie dialogowym. — Zaleca się, aby poinformować użytkowników aplikacji, że ich aplikacja ma zostać wykluczony z używania.

  1. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę, ale ma legalne użycie biznesowe w organizacji.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

Myląca nazwa wydawcy dla aplikacji OAuth

To wykrywanie identyfikuje aplikacje z znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy.

    Zalecana akcja: Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

  2. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy, ale jest legalnym wydawcą.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Na stronie Aplikacje OAuth wybierz aplikację, aby otworzyć szufladę aplikacji, a następnie wybierz pozycję Powiązane działanie. Spowoduje to otwarcie strony Dziennik aktywności przefiltrowanej pod kątem działań wykonywanych przez aplikację. Należy pamiętać, że niektóre aplikacje wykonują działania zarejestrowane jako wykonywane przez użytkownika. Te działania są automatycznie filtrowane z wyników w dzienniku aktywności. Aby dokładniej zbadać użycie dziennika aktywności, zobacz Dziennik aktywności.
  2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy i wydawcy aplikacji w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
    • Aplikacje z małą liczbą pobrań.
    • Aplikacje z niską oceną lub oceną lub złymi komentarzami.
    • Aplikacje z podejrzanym wydawcą lub witryną internetową.
    • Aplikacje, które nie zostały ostatnio zaktualizowane. Może to wskazywać na aplikację, która nie jest już obsługiwana.
    • Aplikacje, które mają nieistotne uprawnienia. Może to oznaczać, że aplikacja jest ryzykowna.
  3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę aplikacji, wydawcę i adres URL w trybie online.

Alerty dotyczące wykonywania

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uruchomić złośliwy kod w organizacji.

Wiele działań usuwania magazynu

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę operacji usuwania magazynu w chmurze lub bazy danych z zasobów, takich jak obiekty blob platformy Azure, zasobniki usług AWS S3 lub cosmos DB w porównaniu z poznanym punktem odniesienia. Może to wskazywać na próbę naruszenia zabezpieczeń organizacji.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli chcesz potwierdzić, że usunięcia nie zostały autoryzowane.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

  2. FP: Jeśli po zbadaniu możesz potwierdzić, że administrator miał uprawnienia do wykonywania tych działań usuwania.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Skontaktuj się z użytkownikiem i potwierdź działanie.
  2. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i sprawdź, kto dokonał zmiany.
  3. Przejrzyj działania użytkownika dotyczące zmian w innych usługach.

Wiele działań tworzenia maszyn wirtualnych

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę akcji tworzenia maszyny wirtualnej w porównaniu do poznanej linii bazowej. Wiele tworzenia maszyn wirtualnych w naruszonej infrastrukturze chmury może wskazywać na próbę uruchomienia operacji wyszukiwania kryptograficznego z poziomu organizacji.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia liczby zdarzeń B-TP , takich jak administrator legalnie utworzył więcej maszyn wirtualnych niż ustalony punkt odniesienia, i ostrzega tylko wtedy, gdy wykryto nietypowe zachowanie.

  • TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź swoje uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszelkie naruszone maszyny wirtualne.

  • B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań tworzenia.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń.
  2. Przejrzyj zasoby utworzone lub zmodyfikowane przez użytkownika i sprawdź, czy są one zgodne z zasadami organizacji.

Podejrzane działanie tworzenia dla regionu chmury (wersja zapoznawcza)

Działania wskazujące, że użytkownik wykonał nietypową akcję tworzenia zasobów w nietypowym regionie platformy AWS w porównaniu do poznanego punktu odniesienia. Tworzenie zasobów w nietypowych regionach chmury może wskazywać na próbę wykonania złośliwych działań, takich jak operacje wyszukiwania kryptograficznego z poziomu organizacji.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Aby poprawić dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia zdarzeń B-TP .

  • TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź swoje uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszelkie naruszone zasoby w chmurze.

  • B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań związanych z tworzeniem.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników, aby uzyskać inne wskaźniki naruszenia zabezpieczeń.
  2. Przejrzyj utworzone zasoby i sprawdź, czy są one zgodne z zasadami organizacji.

Alerty dotyczące trwałości

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.

Działanie wykonywane przez zakończonego użytkownika

Działanie wykonywane przez zakończonego użytkownika może wskazywać, że zakończony pracownik, który nadal ma dostęp do zasobów firmy, próbuje wykonać złośliwe działanie. Użytkownicy profilów usługi Defender for Cloud Apps w organizacji i wyzwalają alert po zakończeniu działania przez zakończonego użytkownika.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że zakończony użytkownik nadal ma dostęp do niektórych zasobów firmowych i wykonuje działania.

    Zalecana akcja: Wyłącz użytkownika.

  2. B-TP: Jeśli możesz ustalić, czy użytkownik został tymczasowo wyłączony lub został usunięty i ponownie zarejestrowany.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Krzyżowe rekordy kadr, aby potwierdzić, że użytkownik został zakończony.
  2. Zweryfikuj istnienie konta użytkownika usługi Azure Active Directory (Azure AD).

    Uwaga

    W przypadku korzystania z programu Azure AD Connect zweryfikuj obiekt жергілікті Active Directory i potwierdź pomyślny cykl synchronizacji.

  3. Zidentyfikuj wszystkie aplikacje, do których zakończony użytkownik miał dostęp i likwiduje konta.
  4. Aktualizowanie procedur likwidacji.

Podejrzane zmiany usługi rejestrowania CloudTrail

Działania w jednej sesji wskazujące, że użytkownik wykonał podejrzane zmiany w usłudze rejestrowania AWS CloudTrail. Może to wskazywać na próbę naruszenia organizacji. Podczas wyłączania usługi CloudTrail zmiany operacyjne nie są już rejestrowane. Osoba atakująca może wykonywać złośliwe działania, unikając zdarzenia inspekcji CloudTrail, takiego jak modyfikowanie zasobnika S3 z prywatnego na publiczny.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj swoje hasło i odwróć działanie CloudTrail.

  2. FP: Jeśli możesz potwierdzić, że użytkownik legalnie wyłączył usługę CloudTrail.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i sprawdź, kto dokonał zmiany w usłudze CloudTrail.
  2. Opcjonalnie: Utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i menedżerami w celu zweryfikowania ich aktywności.

Podejrzane działanie usuwania wiadomości e-mail (według użytkownika)

Działania w jednej sesji wskazujące, że użytkownik wykonał podejrzane usunięcia wiadomości e-mail. Może to wskazywać na próbę naruszenia organizacji, takie jak osoby atakujące próbujące zamaskować operacje, usuwając wiadomości e-mail związane z działaniami niepożądanymi.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP: Jeśli możesz potwierdzić, że użytkownik słusznie utworzył regułę usuwania komunikatów.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  • Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert podejrzanej skrzynki odbiorczej , po którym następuje alert Niemożliwe podróże . Wyszukaj:

    1. Nowe reguły przekazywania SMTP w następujący sposób:
      • Sprawdź nazwy złośliwych reguł przesyłania dalej. Nazwy reguł mogą różnić się od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatycznie przesyłaj dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przekazywania mogą być nawet puste, a odbiorca przekazujący może być pojedynczym kontem e-mail lub całą listą. Złośliwe reguły mogą być również ukryte przed interfejsem użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu na temat usuwania ukrytych reguł ze skrzynek pocztowych.
      • Jeśli wykryjesz nierozpoznaną regułę przekazywania do nieznanego wewnętrznego lub zewnętrznego adresu e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
    2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
    3. Wzrost liczby wysłanych wiadomości e-mail.

Reguła manipulowania podejrzaną skrzynką odbiorczą

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulowania, takie jak usuwanie lub przenoszenie wiadomości lub folderów, ze skrzynki odbiorczej użytkownika mogą być próbą eksfiltracji informacji z organizacji. Podobnie mogą wskazać próbę manipulowania informacjami wyświetlanymi przez użytkownika lub używaniem skrzynki odbiorczej do rozpowszechniania spamu, wyłudzania informacji lub złośliwego oprogramowania. Usługa Defender for Cloud Apps profiluje środowisko i wyzwala alerty po wykryciu podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to wskazywać, że konto użytkownika zostało naruszone.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że utworzono złośliwą regułę skrzynki odbiorczej i konto zostało naruszone.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i usuń regułę przekazywania.

  2. FP: Jeśli możesz potwierdzić, że użytkownik słusznie utworzył regułę.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert podejrzanej skrzynki odbiorczej , po którym następuje alert Niemożliwe podróże . Wyszukaj:
    • Nowe reguły przekazywania SMTP.
    • Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
  2. Zbierz informacje o adresie IP i lokalizacji dla akcji.
  3. Przejrzyj działania wykonywane na podstawie adresu IP używanego do utworzenia reguły wykrywania innych użytkowników, których bezpieczeństwo zostało naruszone.

Alerty eskalacji uprawnień

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać uprawnienia wyższego poziomu w organizacji.

Nietypowe działania administracyjne (według użytkownika)

Działania wskazujące, że osoba atakująca naruszyła konto użytkownika i wykonała akcje administracyjne, które nie są typowe dla tego użytkownika. Na przykład osoba atakująca może spróbować zmienić ustawienie zabezpieczeń użytkownika— operację stosunkowo rzadką dla wspólnego użytkownika. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego administratora.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP: Jeśli możesz potwierdzić, że administrator legalnie wykonał nietypową liczbę działań administracyjnych.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak podejrzane przekazywanie skrzynki odbiorczej lub niemożliwe podróże.
  2. Przejrzyj inne zmiany konfiguracji, takie jak tworzenie konta użytkownika, które może być używane do trwałości.

Alerty dostępu poświadczeń

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść nazwy kont i hasła z organizacji.

Wiele nieudanych prób logowania

Nieudane próby logowania mogą wskazywać na próbę naruszenia konta. Jednak nieudane logowania mogą być również normalnym zachowaniem. Na przykład, gdy użytkownik wprowadził nieprawidłowe hasło przez pomyłkę. Aby osiągnąć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie próby naruszenia, usługa Defender for Cloud Apps ustanawia punkt odniesienia nawyków logowania dla każdego użytkownika w organizacji i będzie otrzymywać alerty tylko wtedy, gdy wykryto nietypowe zachowanie.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

Te zasady są oparte na uczeniu się normalnego zachowania logowania użytkownika. Po wykryciu odchylenia od normy zostanie wyzwolony alert. Jeśli wykrywanie zacznie widzieć, że to samo zachowanie będzie kontynuowane, alert zostanie zgłoszony tylko raz.

  1. Tp (MFA kończy się niepowodzeniem): jeśli możesz potwierdzić, że uwierzytelnianie wieloskładnikowe działa prawidłowo, może to być oznaką próby ataku siłowego.

    Zalecane akcje:

    1. Wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.
    2. Znajdź aplikację, która wykonała nieudane uwierzytelnianie i skonfiguruj ją ponownie.
    3. Poszukaj innych użytkowników zalogowanych w czasie działania, ponieważ mogą również zostać naruszone. Wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.
  2. B-TP (MFA kończy się niepowodzeniem): jeśli możesz potwierdzić, że alert jest spowodowany problemem z usługą MFA.

    Zalecana akcja: utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikiem i sprawdzić, czy występują problemy z usługą MFA.

  3. B-TP (nieprawidłowo skonfigurowana aplikacja): jeśli możesz potwierdzić, że nieprawidłowo skonfigurowana aplikacja próbuje nawiązać połączenie z usługą wiele razy z wygasłymi poświadczeniami.

    Zalecana akcja: odrzuć alert.

  4. B-TP (hasło zmienione): jeśli możesz potwierdzić, że użytkownik niedawno zmienił swoje hasło, ale nie ma to wpływu na poświadczenia w udziałach sieciowych.

    Zalecana akcja: odrzuć alert.

  5. B-TP (test zabezpieczeń): jeśli możesz potwierdzić, że test zabezpieczeń lub penetracji jest przeprowadzany przez analityków zabezpieczeń w imieniu organizacji.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak alert, następuje jeden z następujących alertów: Niemożliwa podróż, Działanie z anonimowego adresu IP lub Działanie zrzadko używanego kraju.
  2. Przejrzyj następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
    • System operacyjny i wersja
    • Przeglądarka i wersja
    • Adres IP i lokalizacja
  3. Zidentyfikuj źródłowy adres IP lub lokalizację, w której wystąpiła próba uwierzytelnienia.
  4. Ustal, czy użytkownik ostatnio zmienił swoje hasło, i upewnij się, że wszystkie aplikacje i urządzenia mają zaktualizowane hasło.

Nietypowe dodawanie poświadczeń do aplikacji OAuth

To wykrywanie identyfikuje podejrzane dodanie poświadczeń uprzywilejowanych do aplikacji OAuth. Może to wskazywać, że osoba atakująca naruszyła aplikację i używa jej do złośliwych działań.

Okres nauki

Nauka środowiska organizacji wymaga okresu siedmiu dni, w którym można oczekiwać dużej liczby alertów.

Nietypowa usługodawca internetowa dla aplikacji OAuth

Wykrywanie identyfikuje aplikację OAuth łączącą się z aplikacją w chmurze z dostawcy tożsamości, która jest rzadkością dla aplikacji. Może to wskazywać, że osoba atakująca próbowała użyć wiarygodnej aplikacji, której bezpieczeństwo jest zagrożone w celu wykonania złośliwych działań w aplikacjach w chmurze.

Okres nauki

Okres szkoleniowy dla tego wykrywania wynosi 30 dni.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie było legalnym działaniem aplikacji OAuth lub że ten usługodawca nie jest używany przez legalną aplikację OAuth.

    Zalecana akcja: odwoływanie wszystkich tokenów dostępu aplikacji OAuth i badanie, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

  2. FP: Jeśli możesz potwierdzić, że działanie zostało wykonane zgodnie z prawem przez prawdziwą aplikację OAuth.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj działania wykonywane przez aplikację OAuth.

  2. Sprawdź, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

Alerty dotyczące kolekcji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące dane w celu organizacji.

Wiele Power BI działań udostępniania raportów

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę działań raportu udostępniania w Power BI w porównaniu do poznanej linii bazowej. Może to wskazywać na próbę naruszenia organizacji.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: Usuwanie dostępu do udostępniania z Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj hasło.

  2. FP: Jeśli możesz potwierdzić, że użytkownik miał uzasadnienie biznesowe, aby udostępnić te raporty.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Przyjrzyj się adresowi IP, z którego są rejestrowane, i szczegóły urządzenia.
  2. Skontaktuj się z zespołem Power BI lub zespołem Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Podejrzane udostępnianie raportów usługi Power BI

Działania wskazujące, że użytkownik udostępnił raport Power BI, który może zawierać poufne informacje zidentyfikowane przy użyciu nlp do analizowania metadanych raportu. Raport został udostępniony zewnętrznemu adresowi e-mail, opublikowanemu w Internecie lub do zewnętrznego subskrybowanego adresu e-mail. Może to wskazywać na próbę naruszenia organizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: Usuwanie dostępu do udostępniania z Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj hasło.

  2. FP: Jeśli możesz potwierdzić, że użytkownik miał uzasadnienie biznesowe, aby udostępnić te raporty.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Przyjrzyj się adresowi IP, z którego są rejestrowane, i szczegóły urządzenia.
  2. Skontaktuj się z zespołem Power BI lub zespołem Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Nietypowe działanie personifikowane (według użytkownika)

W niektórych programach istnieją opcje umożliwiające innym użytkownikom personifikację innych użytkowników. Na przykład usługi poczty e-mail umożliwiają użytkownikom autoryzowanie innych użytkowników do wysyłania wiadomości e-mail w ich imieniu. To działanie jest często używane przez osoby atakujące do tworzenia wiadomości e-mail wyłudzających informacje podczas próby wyodrębnienia informacji o organizacji. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i tworzy działanie po wykryciu nietypowego działania personifikacji.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał nietypowe działania lub więcej działań niż ustalony punkt odniesienia.

    Zalecana akcja: odrzuć alert.

  3. FP: Jeśli możesz potwierdzić, że aplikacje, takie jak Teams, legalnie podszywały się pod użytkownika.

    Zalecana akcja: Przejrzyj akcje i w razie potrzeby odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników i alerty, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.
  2. Przejrzyj działania personifikacji, aby zidentyfikować potencjalne złośliwe działania.
  3. Przejrzyj konfigurację dostępu delegowanego.

Alerty dotyczące wykradania

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść dane z organizacji.

Podejrzane przekazywanie skrzynki odbiorczej

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulowania, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail, mogą być próbą wyprowadzenia informacji z organizacji. Usługa Defender for Cloud Apps profiluje środowisko i wyzwala alerty po wykryciu podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to oznaczać, że konto użytkownika zostało naruszone.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że została utworzona złośliwa reguła przekazywania skrzynki odbiorczej i że konto zostało naruszone.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i usuń regułę przekazywania.

  2. FP: Jeśli możesz potwierdzić, że użytkownik utworzył regułę przekazywania do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert, następuje alert Niemożliwe podróże . Wyszukaj:

    1. Nowe reguły przekazywania SMTP w następujący sposób:
      • Sprawdź nazwy złośliwych reguł przesyłania dalej. Nazwy reguł mogą się różnić od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatycznie przesyłaj dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przesyłania dalej mogą być nawet puste, a odbiorca przekazujący może być pojedynczym kontem e-mail lub całą listą. Złośliwe reguły mogą być również ukryte w interfejsie użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu dotyczącego usuwania ukrytych reguł ze skrzynek pocztowych.
      • Jeśli wykryjesz nierozpoznaną regułę przekazywania do nieznanego wewnętrznego lub zewnętrznego adresu e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
    2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystkie", "przenieś wiadomości do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
  2. Przejrzyj działania wykonywane na podstawie adresu IP użytego do utworzenia reguły w celu wykrywania innych użytkowników, których bezpieczeństwo zostało naruszone.

  3. Przejrzyj listę przesłanych dalej komunikatów przy użyciu śledzenia komunikatów usługi Exchange Online.

Pobieranie nietypowego pliku (przez użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę pobrań plików z platformy magazynu w chmurze w porównaniu do poznanej linii bazowej. Może to wskazywać na próbę uzyskania informacji o organizacji. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań pobierania plików niż ustalony punkt odniesienia.

    Zalecana akcja: Odrzuć alert.

  3. FP (synchronizacja oprogramowania): jeśli możesz potwierdzić, że oprogramowanie, takie jak OneDrive, zsynchronizowane z zewnętrzną kopią zapasową, która spowodowała alert.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj działania pobierania i utwórz listę pobranych plików.
  2. Przejrzyj poufność pobranych plików z właścicielem zasobu i sprawdź poziom dostępu.

Nietypowy dostęp do plików (przez użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę dostępu do plików w SharePoint lub OneDrive do plików zawierających dane finansowe lub dane sieciowe w porównaniu do poznanego punktu odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji, zarówno do celów finansowych, jak i do dostępu do poświadczeń i penetracji sieci. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Okres szkoleniowy zależy od aktywności użytkownika. Ogólnie rzecz biorąc, okres nauki wynosi od 21 do 45 dni dla większości użytkowników.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań dostępu do plików niż ustalony punkt odniesienia.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj działania dostępu i utwórz listę plików, do których uzyskuje się dostęp.
  2. Przejrzyj poufność plików, do których uzyskiwano dostęp, z właścicielem zasobu i zweryfikuj poziom dostępu.

Nietypowe działanie udziału plików (przez użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę akcji udostępniania plików z platformy magazynu w chmurze w porównaniu do poznanej linii bazowej. Może to wskazywać na próbę uzyskania informacji o organizacji. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań udostępniania plików niż ustalony punkt odniesienia.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Przejrzyj działania udostępniania i utwórz listę udostępnionych plików.
  2. Zapoznaj się z poufnością udostępnionych plików z właścicielem zasobu i zweryfikuj poziom dostępu.
  3. Utwórz zasady dotyczące plików dla podobnych dokumentów, aby wykrywać przyszłe udostępnianie poufnych plików.

Alerty dotyczące wpływu

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować manipulować, przerywać lub niszczyć systemy i dane w organizacji.

Wiele działań usuwania maszyny wirtualnej

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę usunięć maszyn wirtualnych w porównaniu do poznanej linii bazowej. Usunięcie wielu maszyn wirtualnych może wskazywać na próbę zakłócenia lub zniszczenia środowiska. Istnieje jednak wiele normalnych scenariuszy, w których maszyny wirtualne są usuwane.

TP, B-TP lub FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia liczby zdarzeń B-TP i alertu tylko w przypadku wykrycia nietypowego zachowania.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

  • TP: Jeśli możesz potwierdzić, że usunięcia nie zostały autoryzowane.

    Zalecana akcja: wstrzymaj użytkownika, zresetuj hasło i przeskanuj wszystkie urządzenia pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

  • B-TP: Jeśli po zbadaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań usuwania.

    Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia zabezpieczeń

  1. Skontaktuj się z użytkownikiem i potwierdź działanie.
  2. Przejrzyj wszystkie działania użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia, takie jak alert, następuje jeden z następujących alertów: Niemożliwa podróż, aktywność z anonimowego adresu IP lub działanie z rzadkiego kraju.

Działanie oprogramowania wymuszającego okup

Ransomware to cyberatak, w którym atakujący blokuje ofiary z ich urządzeń lub blokuje im dostęp do swoich plików, dopóki ofiara nie zapłaci okupu. Oprogramowanie wymuszającego okup może być rozpowszechniane przez złośliwy plik udostępniony lub sieć, która została naruszona. Usługa Defender for Cloud Apps korzysta z wiedzy z zakresu badań dotyczących zabezpieczeń, analizy zagrożeń i poznanych wzorców behawioralnych w celu identyfikowania aktywności oprogramowania wymuszającego okup. Na przykład wysoki współczynnik przekazywania plików lub usuwania plików może reprezentować proces szyfrowania, który jest powszechny w operacjach oprogramowania wymuszającego okup.

To wykrywanie określa punkt odniesienia normalnych wzorców pracy poszczególnych użytkowników w organizacji, takich jak kiedy użytkownik uzyskuje dostęp do chmury i co często robią w chmurze.

Zasady automatycznego wykrywania zagrożeń w usłudze Defender for Cloud Apps zaczynają działać w tle od momentu nawiązania połączenia. Korzystając z naszej wiedzy z zakresu badań nad zabezpieczeniami, aby zidentyfikować wzorce behawioralne odzwierciedlające aktywność oprogramowania wymuszającego okup w naszej organizacji, usługa Defender for Cloud Apps zapewnia kompleksowy zakres przed zaawansowanymi atakami wymuszającym okup.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu nauki w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP (nietypowe zachowanie): użytkownik legalnie wykonał wiele działań usuwania i przekazywania podobnych plików w krótkim czasie.

    Zalecana akcja: po przejrzeniu dziennika aktywności i potwierdzeniu, że rozszerzenia plików nie są podejrzane, odrzuć alert.

  3. FP (typowe rozszerzenie pliku oprogramowania wymuszającego okup): jeśli możesz potwierdzić, że rozszerzenia plików, których dotyczy problem, są zgodne ze znanym rozszerzeniem oprogramowania wymuszającego okup.

    Zalecana akcja: skontaktuj się z użytkownikiem i potwierdź, że pliki są bezpieczne, a następnie odrzucić alert.

Omówienie zakresu naruszenia

  1. Przejrzyj dziennik aktywności, aby uzyskać inne wskaźniki naruszenia zabezpieczeń, takie jak masowe pobieranie lub masowe usuwanie plików.
  2. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender, przejrzyj alerty komputera użytkownika, aby sprawdzić, czy wykryto złośliwe pliki.
  3. Przeszukaj dziennik aktywności pod kątem działań związanych ze złośliwym przekazywaniem i udostępnianiem plików.

Nietypowe działanie usuwania plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypowe działanie usuwania plików w porównaniu z punktem odniesienia. Może to wskazywać na atak na oprogramowanie wymuszającego okup. Na przykład osoba atakująca może zaszyfrować pliki użytkownika i usunąć wszystkie oryginały, pozostawiając tylko zaszyfrowane wersje, których można użyć do przymusu ofiary do zapłaty okupu. Usługa Defender for Cloud Apps tworzy punkt odniesienia na podstawie normalnego zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, w którym alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. FP: Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań usuwania plików niż ustalony punkt odniesienia.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj działania usuwania i utwórz listę usuniętych plików. W razie potrzeby odzyskaj usunięte pliki.
  2. Opcjonalnie utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i menedżerami w celu zweryfikowania działania.

Zwiększenie wskaźnika priorytetu badania (wersja zapoznawcza)

Nietypowe działania i działania, które wyzwalały alerty, otrzymują wyniki na podstawie ważności, wpływu użytkownika i analizy behawioralnej użytkownika. Analiza jest wykonywana na podstawie innych użytkowników w dzierżawach.

Jeśli istnieje znaczny i nietypowy wzrost wyniku priorytetu badania określonego użytkownika, alert zostanie wyzwolony.

Ten alert umożliwia wykrywanie potencjalnych naruszeń, które charakteryzują się działaniami, które niekoniecznie wyzwalają określone alerty, ale gromadzą się w podejrzanym zachowaniu użytkownika.

Okres nauki

Ustanowienie wzorca aktywności nowego użytkownika wymaga początkowego okresu szkoleniowego w ciągu siedmiu dni, podczas którego alerty nie są wyzwalane w przypadku żadnego zwiększenia wyników.

TP, B-TP lub FP?

  1. TP: Jeśli możesz potwierdzić, że działania użytkownika nie są uzasadnione.

    Zalecana akcja: wstrzymaj użytkownika, oznacz użytkownika jako naruszonego i zresetuj swoje hasło.

  2. B-TP: Jeśli możesz potwierdzić, że użytkownik rzeczywiście znacznie odbiegał od zwykłego zachowania, ale nie ma potencjalnego naruszenia.

  3. FP (nietypowe zachowanie): jeśli możesz potwierdzić, że użytkownik legalnie wykonał nietypowe działania lub więcej działań niż ustalony punkt odniesienia.

    Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

  1. Przejrzyj wszystkie działania użytkowników i alerty, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.

Zobacz też