Samouczek: wykrywanie podejrzanych działań użytkowników przy użyciu analizy behawioralnej (UEBA)

usługa Microsoft Defender dla Chmury Apps zapewnia najlepsze w klasie wykrywanie w łańcuchu zabić ataków dla zagrożonych użytkowników, zagrożeń wewnętrznych, eksfiltracji, oprogramowania wymuszającego okup i nie tylko. Nasze kompleksowe rozwiązanie jest osiągane przez połączenie wielu metod wykrywania, w tym anomalii, analizy behawioralnej (UEBA) i wykrywania działań opartych na regułach w celu zapewnienia szerokiego wglądu w sposób, w jaki użytkownicy korzystają z aplikacji w danym środowisku.

Dlaczego więc ważne jest wykrywanie podejrzanego zachowania? Wpływ użytkownika, który może zmienić środowisko chmury, może mieć znaczący i bezpośredni wpływ na możliwość prowadzenia firmy. Na przykład kluczowe zasoby firmowe, takie jak serwery z publiczną witryną internetową lub usługą, którą udostępniasz klientom, mogą zostać naruszone.

Korzystając z danych przechwyconych z kilku źródeł, Defender dla Chmury Apps analizuje dane w celu wyodrębnienia działań aplikacji i użytkowników w organizacji, co zapewnia analitykom zabezpieczeń wgląd w użycie chmury. Zebrane dane są skorelowane, ustandaryzowane i wzbogacone o analizę zagrożeń, lokalizację i wiele innych szczegółów w celu zapewnienia dokładnego, spójnego widoku podejrzanych działań.

W związku z tym, aby w pełni zrealizować zalety tych wykrywania, najpierw upewnij się, że skonfigurowaliśmy następujące źródła:

• Dziennik aktywności
  Działania z połączonych aplikacji interfejsu API.
• Dziennik odnajdywania
  Działania wyodrębnione z dzienników ruchu zapory i serwera proxy, które są przekazywane do aplikacji Defender dla Chmury. Dzienniki są analizowane w katalogu aplikacji w chmurze, sklasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka.
• Dziennik serwera proxy
  Działania z aplikacji kontroli dostępu warunkowego do aplikacji.

Następnie należy dostosować zasady. Następujące zasady można dostosować, ustawiając filtry, progi dynamiczne (UEBA), aby ułatwić trenowanie modeli wykrywania oraz pomijanie w celu zmniejszenia typowych wykrywania wyników fałszywie dodatnich:

• Wykrywanie anomalii
• Wykrywanie anomalii w rozwiązaniu Cloud Discovery
• Wykrywanie działań opartych na regułach

W tym samouczku dowiesz się, jak dostroić wykrycia aktywności użytkowników w celu zidentyfikowania prawdziwych kompromisów i zmniejszenia zmęczenia alertów wynikającego z obsługi dużych ilości wykrywania wyników fałszywie dodatnich:

• Konfigurowanie zakresów adresów IP
• Dostrajanie zasad wykrywania anomalii
• Dostrajanie zasad wykrywania anomalii w usłudze Cloud Discovery
• Dostrajanie zasad wykrywania opartych na regułach
• Konfiguruj alerty
• Badanie i korygowanie

Faza 1. Konfigurowanie zakresów adresów IP

Przed skonfigurowaniem poszczególnych zasad zaleca się skonfigurowanie zakresów adresów IP w taki sposób, aby były one dostępne do dostosowania dowolnego typu podejrzanych zasad wykrywania aktywności użytkownika.

Ponieważ informacje o adresach IP mają kluczowe znaczenie dla prawie wszystkich badań, skonfigurowanie znanych adresów IP pomaga naszym algorytmom uczenia maszynowego identyfikować znane lokalizacje i uwzględniać je jako część modeli uczenia maszynowego. Na przykład dodanie zakresu adresów IP sieci VPN pomoże modelowi poprawnie sklasyfikować ten zakres adresów IP i automatycznie wykluczyć go z niemożliwych wykryć podróży, ponieważ lokalizacja sieci VPN nie reprezentuje prawdziwej lokalizacji tego użytkownika.

Uwaga: Skonfigurowane zakresy adresów IP nie są ograniczone do wykrywania i są używane w aplikacjach Defender dla Chmury w obszarach, takich jak działania w dzienniku aktywności, dostępie warunkowym itp. Pamiętaj o tym podczas konfigurowania zakresów. Na przykład zidentyfikowanie fizycznych adresów IP biura umożliwia dostosowanie sposobu wyświetlania i badania dzienników i alertów.

Przejrzyj gotowe alerty wykrywania anomalii

Defender dla Chmury Apps zawiera zestaw alertów wykrywania anomalii w celu identyfikowania różnych scenariuszy zabezpieczeń. Te wykrycia są automatycznie włączane w pudełku i zaczną profilować aktywność użytkownika i generować alerty natychmiast po nawiązaniu połączenia z odpowiednimi łącznikami aplikacji.

Zacznij od zapoznania się z różnymi zasadami wykrywania, nadaj priorytet najlepszym scenariuszom, które uważasz za najbardziej istotne dla organizacji, i odpowiednio dostosuj zasady.

Faza 2. Dostosowywanie zasad wykrywania anomalii

Kilka wbudowanych zasad wykrywania anomalii jest dostępnych w aplikacjach Defender dla Chmury, które są wstępnie skonfigurowane dla typowych przypadków użycia zabezpieczeń. Należy trochę czasu zapoznać się z bardziej popularnymi wykrywaniami, takimi jak:

• Niemożliwa podróż
  Działania od tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami.
• Aktywność z rzadko występującego kraju
  Działanie z lokalizacji, która nie była ostatnio odwiedzana lub nigdy nie była odwiedzana przez użytkownika.
• Wykrywanie złośliwego oprogramowania
  Skanuje pliki w aplikacjach w chmurze i uruchamia podejrzane pliki za pośrednictwem aparatu analizy zagrożeń firmy Microsoft, aby ustalić, czy są one skojarzone ze znanym złośliwym oprogramowaniem.
• Działanie wymuszania oprogramowania wymuszającego okup
  Pliki są przekazywane do chmury, która może być zainfekowana oprogramowaniem wymuszającym okup.
• Działanie z podejrzanych adresów IP
  Działanie z adresu IP, który został zidentyfikowany jako ryzykowny przez usługę Microsoft Threat Intelligence.
• Podejrzane przekazywanie skrzynki odbiorczej
  Wykrywa podejrzane reguły przekazywania skrzynki odbiorczej ustawione na skrzynce odbiorczej użytkownika.
• Nietypowe działania pobierania wielu plików
  Wykrywa wiele działań pobierania plików w jednej sesji w odniesieniu do poznanego punktu odniesienia, co może wskazywać na próbę naruszenia.
• Nietypowe działania administracyjne
  Wykrywa wiele działań administracyjnych w jednej sesji w odniesieniu do poznanego punktu odniesienia, co może wskazywać na próbę naruszenia.

Aby uzyskać pełną listę wykrywania i ich działania, zobacz Zasady wykrywania anomalii.

Uwaga

Podczas gdy niektóre wykrycia anomalii koncentrują się głównie na wykrywaniu problematycznych scenariuszy zabezpieczeń, inne mogą pomóc w identyfikowaniu i badaniu nietypowego zachowania użytkownika, które niekoniecznie wskazują na naruszenie zabezpieczeń. W przypadku takich wykryć utworzyliśmy inny typ danych o nazwie "zachowania", który jest dostępny w zaawansowanym środowisku wyszukiwania zagrożeń w usłudze Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Zachowania.

Po zapoznaniu się z zasadami należy rozważyć, w jaki sposób chcesz dostosować je pod kątem konkretnych wymagań organizacji, aby lepiej kierować działania, które warto dokładniej zbadać.

1. Określanie zakresu zasad dla określonych użytkowników lub grup

   Zasady określania zakresu dla konkretnych użytkowników mogą pomóc zmniejszyć liczbę szumów z alertów, które nie są istotne dla Twojej organizacji. Poszczególne zasady można skonfigurować tak, aby uwzględniały lub wykluczały określonych użytkowników i grupy, na przykład w następujących przykładach:

   • Symulacje ataków
     Wiele organizacji używa użytkownika lub grupy do ciągłego symulowania ataków. Oczywiście nie ma sensu, aby stale otrzymywać alerty z działań tych użytkowników. W związku z tym można skonfigurować zasady, aby wykluczyć tych użytkowników lub grupy. Pomaga to również modelom uczenia maszynowego zidentyfikować tych użytkowników i odpowiednio dostosować ich progi dynamiczne.
   • Wykrywanie docelowe
     Twoja organizacja może być zainteresowana badaniem określonej grupy użytkowników adresów VIP, takich jak członkowie grupy administratora lub grupy CXO. W tym scenariuszu można utworzyć zasady dla działań, które chcesz wykryć i wybrać, aby uwzględnić tylko zestaw zainteresowanych użytkowników lub grup.

2. Dostrajanie nietypowych wykryć logowania

   Niektóre organizacje chcą zobaczyć alerty wynikające z nieudanych działań związanych z logowaniem, ponieważ mogą wskazywać, że ktoś próbuje kierować co najmniej jedno konto użytkownika. Z drugiej strony ataki siłowe na konta użytkowników są wykonywane przez cały czas w chmurze, a organizacje nie mają możliwości ich zapobiegania. W związku z tym większe organizacje zwykle decydują się otrzymywać alerty dotyczące podejrzanych działań związanych z logowaniem, które powodują pomyślne działania związane z logowaniem, ponieważ mogą reprezentować prawdziwe naruszenia.

   Kradzież tożsamości jest kluczowym źródłem naruszenia zabezpieczeń i stanowi poważny wektor zagrożenia dla organizacji. Nasze niemożliwe podróże, aktywność z podejrzanych adresów IP i rzadko wykrywane alerty dotyczące wykrywania kraju/regionu ułatwiają odnajdywanie działań, które sugerują, że konto jest potencjalnie zagrożone.

3. Dostosuj czułość niemożliwej podróżySkonfiguruj suwak poufności, który określa poziom pomijań zastosowanych do nietypowego zachowania przed wyzwoleniem niemożliwego alertu podróży. Na przykład organizacje zainteresowane wysoką wiernością powinny rozważyć zwiększenie poziomu poufności. Z drugiej strony, jeśli organizacja ma wielu użytkowników, którzy podróżują, rozważ obniżenie poziomu poufności w celu pomijania działań z typowych lokalizacji użytkownika poznanych z poprzednich działań. Możesz wybrać spośród następujących poziomów poufności:

   • Niski: pomijanie systemu, dzierżawy i użytkowników
   • Średni: pomijanie systemu i użytkownika
   • Wysoki: tylko pomijania systemu

   Gdzie:

   Typ pomijania	opis
   Zadania systemowe	Wbudowane wykrycia, które są zawsze pomijane.
   Dzierżawca	Typowe działania oparte na poprzednim działaniu w dzierżawie. Na przykład pomijanie działań z usługodawcy lokalnego wcześniej powiadamianego w organizacji.
   Użytkownik	Typowe działania na podstawie poprzedniego działania określonego użytkownika. Na przykład pomijanie działań z lokalizacji, która jest często używana przez użytkownika.

Faza 3. Dostosowywanie zasad wykrywania anomalii w usłudze Cloud Discovery

Podobnie jak w przypadku zasad wykrywania anomalii, istnieje kilka wbudowanych zasad wykrywania anomalii odnajdywania w chmurze, które można dostosować. Na przykład eksfiltracja danych do niezatwierdzonych zasad aplikacji wysyła alerty, gdy dane są eksfiltrowane do niezaakceptowanej aplikacji i są wstępnie skonfigurowane z ustawieniami opartymi na środowisku firmy Microsoft w polu zabezpieczeń.

Można jednak dostosować wbudowane zasady lub utworzyć własne zasady, aby ułatwić identyfikowanie innych scenariuszy, które mogą cię zainteresować. Ponieważ te zasady są oparte na dziennikach odnajdywania w chmurze, mają różne możliwości dostrajania bardziej skoncentrowane na nietypowym zachowaniu aplikacji i eksfiltracji danych.

1. Dostrajanie monitorowania użycia
   Ustaw filtry użycia, aby kontrolować punkt odniesienia, zakres i okres aktywności na potrzeby wykrywania nietypowego zachowania. Możesz na przykład otrzymywać alerty dotyczące nietypowych działań związanych z pracownikami na poziomie kadry kierowniczej.

2. Dostrajanie poufności alertów
   Aby zapobiec zmęczeniu alertów, skonfiguruj poufność alertów. Możesz użyć suwaka poufności, aby kontrolować liczbę alertów wysokiego ryzyka wysyłanych na 1000 użytkowników tygodniowo. Wyższa czułość wymaga mniejszej wariancji, aby uznać anomalię i wygenerować więcej alertów. Ogólnie rzecz biorąc, ustaw niską czułość dla użytkowników, którzy nie mają dostępu do poufnych danych.

Faza 4. Dostosowywanie zasad wykrywania opartego na regułach (działania)

Zasady wykrywania oparte na regułach umożliwiają uzupełnienie zasad wykrywania anomalii przy użyciu wymagań specyficznych dla organizacji. Zalecamy tworzenie zasad opartych na regułach przy użyciu jednego z naszych szablonów zasad działania (przejdź do pozycji Szablony sterowania>i ustaw filtr Typ na zasady działania), a następnie skonfigurujemy je w celu wykrywania zachowań, które nie są normalne dla danego środowiska. Na przykład w przypadku niektórych organizacji, które nie mają żadnej obecności w danym kraju/regionie, warto utworzyć zasady, które wykrywają nietypowe działania z tego kraju/regionu i ostrzegają o nich. W przypadku innych osób, które mają duże oddziały w tym kraju/regionie, działania z tego kraju/regionu byłyby normalne i nie miałoby sensu wykrywać takich działań.

1. Dostrajanie woluminu działania
   Wybierz wymaganą ilość działań, zanim wykrycie zgłosi alert. Korzystając z naszego przykładu kraju/regionu, jeśli nie masz obecności w kraju/regionie, nawet jedna działalność jest znacząca i gwarantuje alert. Jednak niepowodzenie logowania jednokrotnego może być błędem człowieka i tylko wtedy, gdy istnieje wiele błędów w krótkim okresie.
2. Dostrajanie filtrów działań
   Ustaw filtry, których potrzebujesz, aby wykryć typ działania, dla którego chcesz otrzymywać alerty. Aby na przykład wykryć aktywność z kraju/regionu, użyj parametru Lokalizacja .
3. Dostrajanie alertów
   Aby zapobiec zmęczeniu alertów, ustaw dzienny limit alertów.

Faza 5. Konfigurowanie alertów

Uwaga

Od 15 grudnia 2022 r. alerty/wiadomości SMS są przestarzałe. Jeśli chcesz otrzymywać alerty tekstowe, użyj usługi Microsoft Power Automate na potrzeby niestandardowej automatyzacji alertów. Aby uzyskać więcej informacji, zobacz Integracja z usługą Microsoft Power Automate na potrzeby niestandardowej automatyzacji alertów.

Możesz otrzymywać alerty w formacie i medium, które najlepiej odpowiada Twoim potrzebom. Aby otrzymywać natychmiastowe alerty w dowolnym momencie dnia, możesz wolisz otrzymywać je za pośrednictwem poczty e-mail.

Możesz również chcieć analizować alerty w kontekście innych alertów wyzwalanych przez inne produkty w organizacji, aby zapewnić całościowy wgląd w potencjalne zagrożenie. Na przykład możesz skorelować zdarzenia oparte na chmurze i lokalne, aby sprawdzić, czy istnieją inne dowody łagodzenia, które mogą potwierdzić atak.

Ponadto możesz również wyzwolić niestandardową automatyzację alertów przy użyciu naszej integracji z usługą Microsoft Power Automate. Na przykład możesz skonfigurować podręcznik automatycznie utworzyć problem w usłudze ServiceNow lub wysłać wiadomość e-mail z zatwierdzeniem w celu wykonania niestandardowej akcji ładu po wyzwoleniu alertu.

Skorzystaj z poniższych wskazówek, aby skonfigurować alerty:

1. Poczta e-mail
   Wybierz tę opcję, aby otrzymywać alerty pocztą e-mail.
2. SIEM
   Istnieje kilka opcji integracji rozwiązania SIEM, takich jak Microsoft Sentinel, Microsoft Graph interfejs API Zabezpieczenia i inne ogólne rozwiązania SIEM. Wybierz integrację, która najlepiej spełnia Twoje wymagania.
3. Automatyzacja usługi Power Automate
   Utwórz wymagane podręczniki automatyzacji i ustaw je jako alert zasad dla akcji usługi Power Automate.

Faza 6. Badanie i korygowanie

Świetnie, skonfigurowano zasady i zaczynasz otrzymywać podejrzane alerty aktywności. Co należy z nimi zrobić? Na początek należy wykonać kroki w celu zbadania działania. Na przykład możesz przyjrzeć się działaniom wskazującym, że naruszono bezpieczeństwo użytkownika.

Aby zoptymalizować ochronę, należy rozważyć skonfigurowanie akcji automatycznego korygowania w celu zminimalizowania ryzyka dla organizacji. Nasze zasady umożliwiają stosowanie akcji ładu w połączeniu z alertami, dzięki czemu ryzyko dla organizacji zostanie zmniejszone jeszcze przed rozpoczęciem badania. Dostępne akcje są określane przez typ zasad, w tym akcje, takie jak zawieszenie użytkownika lub blokowanie dostępu do żądanego zasobu.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.

Dowiedz się więcej

• Wypróbuj nasz interaktywny przewodnik: Wykrywanie zagrożeń i zarządzanie alertami za pomocą usługi Microsoft Defender dla Chmury Apps