Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender for Cloud Apps obejmuje wykrywanie naruszeń zabezpieczeń użytkowników, zagrożeń wewnętrznych, eksfiltracji danych i działań wymuszania okupu. Usługa używa wykrywania anomalii, analizy zachowania użytkowników i jednostek (UEBA) oraz wykrywania aktywności opartej na regułach w celu analizowania aktywności użytkowników w połączonych aplikacjach.
Nieautoryzowane lub nieoczekiwane zmiany w środowisku chmury mogą wprowadzać zagrożenia bezpieczeństwa i działania. Na przykład zmiany kluczowych zasobów firmowych, takich jak serwery z publiczną witryną internetową lub usługą, które udostępniasz klientom, mogą zostać naruszone.
Defender for Cloud Apps przechwytuje i analizuje dane z kilku źródeł, aby zidentyfikować działania aplikacji i użytkowników w organizacji. Ta analiza zapewnia analitykom zabezpieczeń wgląd w korzystanie z chmury. Zebrane dane są skorelowane, standaryzowane i wzbogacone o analizę zagrożeń i szczegóły lokalizacji, aby zapewnić dokładny, spójny widok podejrzanych działań.
Przed wykryciem dostrajania skonfiguruj następujące źródła danych:
| Źródło | Opis |
|---|---|
| Dziennik aktywności | Działania z aplikacji połączonych z interfejsem API. |
| Dziennik odnajdywania | Działania wyodrębnione z dziennika ruchu zapory i serwera proxy, które są przekazywane do Defender for Cloud Apps. Dzienniki są analizowane względem katalogu aplikacji w chmurze, klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka. |
| Dziennik serwera proxy | Działania z aplikacji kontroli dostępu warunkowego. |
Dostosuj następujące zasady, ustawiając filtry i progi dynamiczne (UEBA), aby wytrenować modele wykrywania. Można również ustawić pomijania, aby zmniejszyć typowe wykrycia fałszywie dodatnie:
- Wykrywanie anomalii
- Wykrywanie anomalii odnajdywania w chmurze
- Wykrywanie aktywności opartej na regułach
Dowiedz się, jak dostroić wykrywanie aktywności użytkowników w celu identyfikowania prawdziwych naruszeń zabezpieczeń i zmniejszania niepotrzebnych alertów wynikających z dużej liczby wykrywania fałszywie dodatniego:
Faza 1. Konfigurowanie zakresów adresów IP
- Skonfiguruj zakresy adresów IP, aby dostosować dowolny typ zasad wykrywania podejrzanych działań użytkowników.
Konfigurowanie znanych adresów IP pomaga algorytmom uczenia maszynowego identyfikować znane lokalizacje i traktować je jako część modeli uczenia maszynowego. Na przykład dodanie zakresu adresów IP sieci VPN pomaga modelowi poprawnie sklasyfikować ten zakres adresów IP i automatycznie wykluczyć go z wykrycia niemożliwego ruchu, ponieważ lokalizacja sieci VPN nie reprezentuje rzeczywistej lokalizacji tego użytkownika.
Uwaga
Defender for Cloud Apps używa zakresów adresów IP w całej usłudze, nie tylko do wykrywania. Zakresy adresów IP są używane w dzienniku aktywności, dostępie warunkowym i nie tylko. Na przykład zidentyfikowanie fizycznych adresów IP biura pozwala dostosować sposób wyświetlania i badania dzienników i alertów.
Przejrzyj alerty wykrywania anomalii
Defender for Cloud Apps zawiera zestaw alertów wykrywania anomalii do identyfikowania różnych scenariuszy zabezpieczeń. Zaczynają profilować aktywność użytkowników i generować alerty zaraz po nawiązaniu połączenia z odpowiednimi łącznikami aplikacji.
Zacznij od zapoznania się z różnymi zasadami wykrywania. Określ priorytety najważniejszych scenariuszy, które twoim zdaniem są najbardziej istotne dla Twojej organizacji, i dostosuj odpowiednie zasady.
Faza 2. Dostrajanie zasad wykrywania anomalii
Defender for Cloud Apps zawiera kilka wbudowanych zasad wykrywania anomalii, które są wstępnie skonfigurowane dla typowych przypadków użycia zabezpieczeń. Popularne wykrycia obejmują:
| Wykrywania | Opis |
|---|---|
| Niemożliwa podróż | Działania tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami. |
| Aktywność z rzadkiego kraju | Działanie z lokalizacji, która nie była ostatnio odwiedzana lub nigdy nie była odwiedzana przez użytkownika. |
| Wykrywanie złośliwego oprogramowania | Skanuje pliki w aplikacjach w chmurze i uruchamia podejrzane pliki za pośrednictwem aparatu analizy zagrożeń firmy Microsoft, aby sprawdzić, czy są one skojarzone ze znanym złośliwym oprogramowaniem. |
| Działanie wymuszające okup | Plik jest przekazywany do chmury, która może zostać zainfekowana oprogramowaniem wymuszającym okup. |
| Działanie z podejrzanych adresów IP | Działanie z adresu IP zidentyfikowanego przez usługę Microsoft Threat Intelligence jako ryzykowne. |
| Podejrzane przekazywanie skrzynki odbiorczej | Wykrywa podejrzane reguły przekazywania skrzynki odbiorczej ustawione w skrzynce odbiorczej użytkownika. |
| Nietypowe działania pobierania wielu plików | Wykrywa wiele działań pobierania plików w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia. |
| Nietypowe działania administracyjne | Wykrywa wiele działań administracyjnych w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia. |
Uwaga
Niektóre wykrywania anomalii koncentrują się na wykrywaniu problematycznych scenariuszy zabezpieczeń, podczas gdy inne pomagają zidentyfikować i zbadać nietypowe zachowanie użytkownika, które niekoniecznie może wskazywać na naruszenie zabezpieczeń. W przypadku takich wykryć można użyć zachowań, które są dostępne w Microsoft Defender XDR zaawansowanym środowisku wyszukiwania zagrożeń.
Zasady zakresu dla określonych użytkowników lub grup
Określanie zakresu zasad dla konkretnych użytkowników może pomóc w ograniczeniu szumu z alertów, które nie są istotne dla Twojej organizacji. Poszczególne zasady można skonfigurować tak, aby uwzględniać lub wykluczać określonych użytkowników i grupy, na przykład w następujących przykładach:
-
Symulacje ataków
Wiele organizacji używa użytkownika lub grupy do ciągłego symulowania ataków. Ciągłe odbieranie alertów z działań tych użytkowników powoduje niepotrzebne zakłócenia. Skonfiguruj zasady, aby wykluczyć tych użytkowników lub grupy. Ta akcja pomaga modelom uczenia maszynowego zidentyfikować tych użytkowników i dostosować ich progi dynamiczne. -
Wykrywanie docelowe
Możesz zbadać określoną grupę użytkowników vipów, takich jak członkowie grupy administratora lub dyrektora ds. środowiska (CXO). W takim przypadku utwórz zasady dla działań, które chcesz wykryć, i wybierz opcję uwzględnienia tylko zestawu użytkowników lub grup, które Cię interesują.
-
Symulacje ataków
Dostrajanie nietypowych wykrywania logowania
Alerty wynikające z nieudanych działań logowania mogą wskazywać, że ktoś próbuje skierować co najmniej jedno konto użytkownika.
Poświadczenia, których zabezpieczenia zostały naruszone, są częstą przyczyną przejęcia konta i nieautoryzowanego działania. Niemożliwa podróż, aktywność z podejrzanych adresów IP i rzadko występujące alerty wykrywania kraju lub regionu ułatwiają odnajdywanie działań sugerujących, że konto jest potencjalnie zagrożone.
Dostroj czułość niemożliwego podróżySkonfiguruj suwak poufności , który określa poziom pomijania stosowany do nietypowego zachowania przed wyzwoleniem alertu o niemożliwym podróży. Organizacje zainteresowane wysoką wiernością powinny rozważyć zwiększenie poziomu poufności. Jeśli twoja organizacja ma wielu użytkowników, którzy podróżują, rozważ obniżenie poziomu poufności, aby pominąć działania z typowych lokalizacji użytkownika poznanych na podstawie poprzednich działań. Możesz wybrać spośród następujących poziomów poufności:
- Niski: pomijanie systemów, dzierżaw i użytkowników
- Średni: Pomijania systemów i użytkowników
- Wysoki: tylko pominięcia systemu
Gdzie:
Typ pomijania Opis System Wbudowane wykrywania, które są zawsze pomijane. Dzierżawca Typowe działania oparte na poprzednim działaniu w dzierżawie. Na przykład pomijanie działań ze strony usługodawcy sieciowego, który wcześniej otrzymywał alerty w organizacji. Użytkownik Typowe działania na podstawie poprzedniej aktywności określonego użytkownika. Na przykład pomijanie działań z lokalizacji, która jest często używana przez użytkownika.
Faza 3. Dostrajanie zasad wykrywania anomalii w chmurze
Możesz dostosować kilka wbudowanych zasad wykrywania anomalii odnajdywania w chmurze lub utworzyć własne zasady w celu zidentyfikowania innych scenariuszy, które warto zbadać. Te zasady korzystają z dzienników odnajdywania w chmurze z funkcjami dostrajania , które koncentrują się na nietypowym zachowaniu aplikacji i eksfiltracji danych.
Dostrajanie monitorowania użycia
Ustaw filtry użycia, aby kontrolować zakres i okres działania w celu wykrywania nietypowych zachowań. Na przykład otrzymywać alerty dotyczące nietypowych działań od pracowników na poziomie kadry kierowniczej.
Dostrajanie poufności alertów
Aby zmniejszyć liczbę niepotrzebnych alertów, skonfiguruj czułość alertów. Suwak poufności umożliwia kontrolowanie liczby alertów wysokiego ryzyka wysyłanych na 1000 użytkowników tygodniowo. Wyższe czułości wymagają mniejszej wariancji, aby uznać je za anomalię i wygenerować więcej alertów. Ogólnie rzecz biorąc, ustaw niską czułość dla użytkowników, którzy nie mają dostępu do poufnych danych.
Faza 4. Dostrajanie zasad wykrywania (działania) opartych na regułach
Zasady wykrywania oparte na regułach uzupełniają zasady wykrywania anomalii o wymagania specyficzne dla organizacji. Utwórz zasady oparte na regułach przy użyciu jednego z szablonów zasad działania.
Jeśli twoja organizacja nie jest obecna w określonym kraju lub regionie, utwórz zasady, które wykrywają nietypowe działania z tej lokalizacji. W przypadku organizacji z dużymi oddziałami w tym kraju lub regionie takie działania są normalne i wykrywanie takich działań nie ma sensu.
- Przejdź doszablonów zasadzasad> i ustaw filtr Typ na wartość Zasady działania. Skonfiguruj filtry działań w celu wykrywania zachowań, które nie są normalne dla danego środowiska.
-
Dostrajanie woluminu aktywności
Wybierz wymaganą ilość aktywności, zanim wykrycie zgłosi alert. Jeśli Twoja organizacja nie jest obecna w kraju lub regionie, nawet pojedyncze działanie jest znaczące i gwarantuje alert. Niepowodzenie logowania jednokrotnego może być błędem ludzkim i być interesujące tylko wtedy, gdy w krótkim okresie wystąpi wiele błędów. -
Dostrajanie filtrów działań
Ustaw filtry wymagane do wykrywania typu działania, na które chcesz otrzymywać alerty. Aby na przykład wykryć działanie z kraju lub regionu, użyj parametru Lokalizacja . -
Dostrajanie alertów
Aby zmniejszyć liczbę niepotrzebnych alertów, ustaw dzienny limit alertów.
Faza 5. Konfigurowanie alertów
Uwaga
15 grudnia 2022 r. firma Microsoft wycofała funkcję Alerty/WIADOMOŚCI SMS (wiadomości SMS). Jeśli chcesz otrzymywać alerty tekstowe, użyj Microsoft Power Automate na potrzeby niestandardowej automatyzacji alertów. Aby uzyskać więcej informacji, zobacz Integrowanie z Microsoft Power Automate na potrzeby niestandardowej automatyzacji alertów.
Aby uzyskać natychmiastowe alerty o dowolnej porze dnia, wybierz, aby otrzymywać je za pośrednictwem poczty e-mail.
Możesz również chcieć analizować alerty w kontekście innych alertów wyzwalanych przez inne produkty w organizacji. Ta analiza zapewnia całościowe spojrzenie na potencjalne zagrożenie. Na przykład możesz chcieć skorelować zdarzenia oparte na chmurze i lokalne, aby sprawdzić, czy istnieją inne dowody łagodzące potwierdzające atak.
Możesz użyć Microsoft Power Automate, aby wyzwolić niestandardową automatyzację alertów. Po wyzwoleniu alertu można:
- Konfigurowanie podręcznika
- Tworzenie problemu w ServiceNow
- Wysyłanie wiadomości e-mail z zatwierdzeniem w celu uruchomienia niestandardowej akcji ładu po wyzwoleniu alertu
Aby skonfigurować alerty, skorzystaj z następujących wskazówek:
-
Poczta e-mail
Wybierz tę opcję, aby otrzymywać alerty pocztą e-mail. -
SIEM
Istnieje kilka opcji integracji rozwiązania SIEM, w tym Microsoft Sentinel, microsoft Graph interfejs API Zabezpieczenia i inne ogólne moduły SIEM. Wybierz integrację, która najlepiej spełnia Twoje wymagania. -
Automatyzacja usługi Power Automate
Utwórz wymagane podręczniki automatyzacji i ustaw go jako alert zasad na akcję usługi Power Automate.
Faza 6. Badanie i korygowanie
Aby zoptymalizować ochronę, skonfiguruj akcje automatycznego korygowania, aby zminimalizować ryzyko dla organizacji. Zasady umożliwiają stosowanie akcji ładu z alertami, dzięki czemu ryzyko dla organizacji zostanie zmniejszone jeszcze przed rozpoczęciem badania. Typ zasad określa dostępne akcje, w tym akcje, takie jak wstrzymywanie użytkownika lub blokowanie dostępu do żądanego zasobu.