Tutorial: detectar atividade de usuário suspeita com análise comportamental (UEBA)

O Microsoft Defender para Aplicativos de Nuvem fornece as melhores detecções da categoria em toda a cadeia de ataque para usuários comprometidos, ameaças internas, exfiltração, ransomware e muito mais. Nossa solução abrangente é alcançada combinando vários métodos de detecção, incluindo anomalias, análise comportamental (UEBA) e detecções de atividades baseadas em regras, para fornecer uma visão ampla de como seus usuários usam aplicativos em seu ambiente.

Então, por que é importante detectar comportamentos suspeitos? O impacto de um usuário que pode alterar seu ambiente de nuvem pode ser significativo e afetar diretamente sua capacidade de administrar seus negócios. Por exemplo, os principais recursos corporativos, como os servidores que executam seu site público ou serviço que você está fornecendo aos clientes, podem ser comprometidos.

Usando dados capturados de várias fontes, o Defender para Aplicativos de Nuvem analisa os dados para extrair atividades de aplicativos e usuários em sua organização, dando aos analistas de segurança visibilidade sobre o uso da nuvem. Os dados coletados são correlacionados, padronizados e enriquecidos com informações sobre ameaças, localização e muitos outros detalhes para fornecer uma visão precisa e consistente de atividades suspeitas.

Portanto, para perceber completamente os benefícios dessas detecções, primeiro certifique-se de configurar as seguintes fontes:

• Log de atividades
  Atividades dos aplicativos conectados à API.
• Log de descoberta
  Atividades extraídas de logs de tráfego de firewall e proxy que são encaminhados para o Defender para Aplicativos de Nuvem. Os logs são analisados em relação ao catálogo de aplicativos na nuvem, classificados e pontuados com base em mais de 90 fatores de risco.
• Log de proxy
  Atividades dos aplicativos de Controle de Aplicativos de Acesso Condicional.

Em seguida, convém ajustar suas políticas. As políticas a seguir podem ser ajustadas definindo filtros, limites dinâmicos (UEBA) para ajudar a treinar seus modelos de detecção e supressões para reduzir detecções comuns de falsos positivos:

• Detecção de anomalias
• Detecção de anomalias do Cloud Discovery
• Detecção de atividade baseada em regras

Neste tutorial, você aprenderá a ajustar as detecções de atividade do usuário para identificar comprometimentos verdadeiros e reduzir a fadiga de alertas resultante do tratamento de grandes volumes de detecções de falsos positivos:

• Configure intervalos de endereços IP
• Ajustar as políticas de detecção de anomalias
• Ajustar políticas de detecção de anomalias do Cloud Discovery
• Ajustar políticas de detecção baseadas em regras
• Configurar alertas
• Investigar e corrigir

Fase 1: configurar intervalo de endereços IP

Antes de configurar políticas individuais, é aconselhável configurar intervalos de IP para que eles estejam disponíveis para uso no ajuste fino de qualquer tipo de políticas de detecção de atividade de usuário suspeito.

Como as informações de endereço IP são cruciais para quase todas as investigações, a configuração de endereços IP conhecidos ajuda nossos algoritmos de aprendizado de máquina a identificar locais conhecidos e considerá-los como parte dos modelos de aprendizado de máquina. Por exemplo, adicionar o intervalo de endereços IP da sua VPN ajudará o modelo a classificar corretamente esse intervalo de IP e excluí-lo automaticamente de detecções de viagens impossíveis porque a localização da VPN não representa a verdadeira localização desse usuário.

Observação: os intervalos de IP configurados não se limitam a detecções e são usados em todo o Defender para Aplicativos de Nuvem em áreas como atividades no log de atividades, acesso condicional, etc. Tenha isso em mente ao configurar os intervalos. Assim, por exemplo, identificar os endereços IP do seu escritório físico permite personalizar a maneira como os logs e alertas são exibidos e investigados.

Revisar alertas de detecção de anomalias prontos para uso

O Defender para Aplicativos de Nuvem inclui um conjunto de alertas de detecção de anomalias para identificar diferentes cenários de segurança. Essas detecções são ativadas automaticamente e começarão a criar o perfil da atividade do usuário e gerar alertas assim que os conectores de aplicativos relevantes forem conectados.

Comece se familiarizando com as diferentes políticas de detecção, priorize os principais cenários que você acha mais relevantes para sua organização e ajuste as políticas de acordo.

Fase 2: ajustar as políticas de detecção de anomalias

Várias políticas internas de detecção de anomalias estão disponíveis no Defender para Aplicativos de Nuvem que são pré-configuradas para casos de uso de segurança comuns. Você deve levar algum tempo para se familiarizar com as detecções mais populares, como:

• Viagem impossível
  Atividades do mesmo usuário em localizações diferentes dentro de um período menor do que o tempo de viagem esperado entre as duas localizações.
• Atividade de país pouco frequente
  Atividade de uma localizações que não foi visitada recentemente ou nunca foi visitada pelo usuário.
• Detecção de malware
  Verifica arquivos nos aplicativos na nuvem e executa arquivos suspeitos por meio do mecanismo de Informações sobre ameaças da Microsoft para determinar se eles estão associados a malware conhecido.
• Atividade de ransomware
  Alerta quando um usuário carrega arquivos para a nuvem que podem ser infectados com ransomware.
• Atividade de endereços IP suspeitos
  A detecção identifica que os usuários estavam ativos com base em um endereço IP que foi identificado como arriscado pelas Informações sobre ameaças da Microsoft.
• Encaminhamento suspeito da caixa de entrada
  Detecta regras de Encaminhamento suspeito da caixa de entrada definidas na caixa de entrada de um usuário.
• Atividades incomuns de vários downloads de arquivos
  Detecta atividades de download de arquivos em uma única sessão em relação à linha de base aprendida, que pode indicar uma tentativa de violação.
• Atividades administrativas incomuns
  Detecta várias atividades administrativas em uma única sessão em relação à linha de base aprendida, que pode indicar uma tentativa de violação.

Para obter uma lista completa de detecções e o que elas fazem, consulte Políticas de detecção de anomalias.

Observação

Enquanto algumas das detecções de anomalias se concentram principalmente na detecção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar o comportamento anômalo do usuário que pode não necessariamente indicar um comprometimento. Para essas detecções, criamos outro tipo de dados chamado "comportamentos", que está disponível na experiência de busca avançada de ameaças do Microsoft Defender XDR. Para obter mais informações, confira Comportamentos.

Depois de estar familiarizado com as políticas, você deve considerar como deseja ajustá-las para os requisitos específicos da sua organização para direcionar melhor as atividades que talvez você queira investigar mais.

1. Políticas de escopo para usuários ou grupos específicos

   As políticas de escopo para usuários específicos podem ajudar a reduzir o ruído de alertas que não são relevantes para sua organização. Cada política pode ser configurada para incluir ou excluir usuários e grupos específicos, como nos exemplos a seguir:

   • Simulador de Ataques
     Muitas organizações usam um usuário ou um grupo para simular ataques constantemente. Obviamente, não faz sentido receber constantemente alertas das atividades desses usuários. Portanto, você pode configurar suas políticas para excluir esses usuários ou grupos. Isso também ajuda os modelos de machine learning a identificar esses usuários e ajustar seus limites dinâmicos de acordo.
   • Detecções direcionadas
     Sua organização pode estar interessada em investigar um grupo específico de usuários VIP, como membros de um administrador ou grupo CXO. Nesse cenário, você pode criar uma política para as atividades que deseja detectar e optar por incluir apenas o conjunto de usuários ou grupos interessados.

2. Ajustar detecções de iniciar sessão anômala.

   Algumas organizações desejam ver alertas resultantes de atividades de falha ao iniciar sessão, pois eles podem indicar que alguém está tentando direcionar uma ou mais contas de usuário. Por outro lado, ataques de força bruta a contas de usuários ocorrem o tempo todo na nuvem e as organizações não têm como evitá-los. Portanto, organizações maiores geralmente decidem receber alertas apenas para atividades de entrada suspeitas que resultam em atividades de iniciar sessão bem-sucedidas, pois podem representar comprometimentos verdadeiros.

   O roubo de identidade é uma importante fonte de comprometimento e representa um grande vetor de ameaças para sua organização. Nossos alertas de detecção Viagem impossível, atividades de endereços IP suspeitos e país/região pouco frequentes ajudam você a descobrir atividades que sugerem que uma conta está potencialmente comprometida.

3. Ajustar a confidencialidade de viagem impossívelConfigure o controle deslizante de sensibilidade que determina o nível de supressões aplicadas ao comportamento anômalo antes de disparar um alerta de viagem impossível. Por exemplo, organizações interessadas em alta fidelidade devem considerar aumentar o nível de confidencialidade. Por outro lado, se sua organização tiver muitos usuários que viajam, considere reduzir o nível de confidencialidade para suprimir atividades dos locais comuns de um usuário aprendidas com atividades anteriores. É possível escolher um dos seguintes níveis de confidencialidade:

   • Baixo: supressões de sistema, locatário e usuário
   • Médio: supressões do sistema e do usuário
   • Alto: somente supressões do sistema

   Em que:

   Tipo de supressão	Descrição
   Sistema	Detecções internas que são sempre suprimidas.
   Locatário	Atividades comuns com base na atividade anterior no locatário. Por exemplo, suprimir atividades de um ISP previamente alertado em sua organização.
   Usuário	Atividades comuns com base na atividade anterior do usuário específico. Por exemplo, suprimir atividades de um local que é comumente usado pelo usuário.

Fase 3: ajustar políticas de detecção de anomalias do Cloud Discovery

Como as políticas de detecção de anomalias, há várias políticas internas de detecção de anomalias de descoberta na nuvem que você pode ajustar. Por exemplo, a política de exfiltração dos dados para aplicativos não sancionados alerta quando os dados estão sendo exfiltrados para um aplicativo não sancionado e vem pré-configurada com configurações baseadas na experiência da Microsoft no campo de segurança.

No entanto, você pode ajustar as políticas internas ou criar suas próprias políticas para ajudar você a identificar outros cenários que talvez você esteja interessado em investigar. Como essas políticas são baseadas em logs de descoberta na nuvem, elas têm diferentes recursos de ajuste mais focados no comportamento anômalo do aplicativo e na exfiltração dos dados.

1. Ajustar monitoramento de uso
   Defina os filtros de uso para controlar a linha de base, o escopo e o período de atividade para detectar comportamentos anômalos. Por exemplo, talvez você queira receber alertas sobre atividades anômalas relacionadas a funcionários de nível executivo.

2. Ajustar a confidencialidade do alerta
   Para evitar a fadiga de alertas, configure a confidencialidade dos alertas. É possível usar o controle deslizante de confidencialidade para controlar o número de alertas de alto risco enviados por 1.000 usuários por semana. Confidencialidades mais altas requerem menos variância para serem consideradas uma anomalia e gerar mais alertas. Em geral, defina baixa confidencialidade para usuários que não têm acesso a dados confidenciais.

Fase 4: ajustar políticas de detecção (atividade) baseadas em regras

As políticas de detecção baseadas em regras oferecem a capacidade de complementar as políticas de detecção de anomalias com requisitos específicos da organização. Recomendamos criar políticas baseadas em regras usando um de nossos modelos de política de Atividade (vá para Modelos>de Controle e defina o filtro Tipo como Política de Atividade) e, em seguida, configure-os para detectar comportamentos que não são normais para seu ambiente. Por exemplo, para algumas organizações que não têm presença em um determinado país/região, pode fazer sentido criar uma política que detecte as atividades anômalas desse país/região e alerte sobre elas. Para outros, que têm grandes filiais naquele país/região, as atividades daquele país/região seriam normais e não faria sentido detectar tais atividades.

1. Ajustar o volume da atividade
   Escolha o volume de atividade necessário antes que a detecção gere um alerta. Usando nosso exemplo de país/região, se você não tem presença em um país/região, até mesmo uma única atividade é significativa e merece um alerta. No entanto, uma falha de login único pode ser um erro humano e só interessa se houver muitas falhas em um curto período.
2. Ajustar filtros de atividade
   Defina os filtros necessários para detectar o tipo de atividade sobre a qual deseja alertar. Por exemplo, para detectar a atividade de um país/região, use o parâmetro Location.
3. Ajustar alertas
   Para evitar a fadiga de alertas, defina o limite de alerta diário.

Fase 5: configurar alertas

Observação

Desde 15 de dezembro de 2022, os Alertas/SMS (mensagens de texto) foram preteridos. Se você desejar receber alertas de texto, deverá usar o Microsoft Power Automate para automação de alerta personalizado. Para obter mais informações, consulte Integração com o Microsoft Power Automate para automação de alertas personalizada.

É possível optar por receber alertas no formato e meio que mais se adequam às suas necessidades. Para receber alertas imediatos a qualquer hora do dia, você pode preferir recebê-los por email.

Também é possível querer a capacidade de analisar alertas no contexto de outros alertas disparados por outros produtos em sua organização para fornecer uma visão holística de uma ameaça potencial. Por exemplo, convém correlacionar entre eventos locais e baseados em nuvem para ver se há outras evidências atenuantes que possam confirmar um ataque.

Além disso, também é possível acionar a automação de alertas personalizados usando nossa integração com o Microsoft Power Automate. Por exemplo, você pode configurar um guia estratégico para criar automaticamente um problema no ServiceNow ou enviar um email de aprovação para executar uma ação de governança personalizada quando um alerta for disparado.

Use as seguintes diretrizes para configurar os alertas:

1. Email
   Escolha esta opção para receber alertas por email.
2. SIEM
   Há várias opções de integração do SIEM, incluindo o Microsoft Sentinel, a API de Segurança do Microsoft Graph e outros SIEMs genéricos. Escolha a integração que melhor satisfaça os seus requisitos.
3. Automação do Power Automate
   Crie os guias estratégicos de automação necessários e defina-os como o alerta da política para a ação do Power Automate.

Fase 6: investigar e corrigir

Ótimo, você configurou suas políticas e começou a receber alertas de atividades suspeitas. O que você deve fazer sobre elas? Para começar, você deve tomar medidas para investigar a atividade. Por exemplo, talvez você queira examinar atividades que indicam que um usuário foi comprometido.

Para otimizar sua proteção, você deve considerar a configuração de ações de correção automática para minimizar o risco para sua organização. Nossas políticas permitem que você aplique ações de governança em conjunto aos alertas para que o risco para sua organização seja reduzido antes mesmo de começar a investigar. As ações disponíveis são determinadas pelo tipo de política, incluindo ações como suspender um usuário ou bloquear o acesso ao recurso solicitado.

Se você encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.

Saiba mais

• Guia interativo: detecte ameaças e gerencie alertas com o Microsoft Defender para Aplicativos de Nuvem