Политики обнаружения аномалий в приложениях Defender для облака

  • Статья

Политики обнаружения аномалий приложений Microsoft Defender для облака предоставляют встроенные аналитики поведения пользователей и сущностей (UEBA) и машинного обучения (ML), чтобы вы были готовы к выполнению расширенного обнаружения угроз в облачной среде. Так как они автоматически включены, новые политики обнаружения аномалий немедленно запускают процесс обнаружения и сортировки результатов, предназначенных для многочисленных аномалий поведения для пользователей и компьютеров и устройств, подключенных к сети. Кроме того, политики предоставляют больше данных из подсистемы обнаружения приложений Defender для облака, чтобы ускорить процесс расследования и содержать текущие угрозы.

Политики обнаружения аномалий включены автоматически, но Defender для облака Приложения имеют начальный период обучения в течение семи дней, в течение которых не все оповещения об обнаружении аномалий создаются. После этого, как данные собираются из настроенных соединителей API, каждый сеанс сравнивается с действием, когда пользователи были активными, IP-адресами, устройствами и т. д., обнаруженными в течение последнего месяца и оценкой риска этих действий. Помните, что для доступа к данным из соединителей API может потребоваться несколько часов. Эти обнаружения являются частью эвристического обработчика обнаружения аномалий, который профилирует среду и активирует оповещения относительно базовых показателей деятельности вашей организации. Эти обнаружения также используют алгоритмы машинного обучения, предназначенные для профилирования пользователей и входа в шаблон для уменьшения ложных срабатываний.

Аномалии определяются путем проверки активности пользователя. Риск оценивается по более чем 30 различным индикаторам, сгруппированным по факторам риска, таким как:

  • Рискованный IP-адрес
  • неудачные попытки входа;
  • действия администратора;
  • Неактивные учетные записи
  • Расположение
  • Неосуществимое перемещение
  • устройство и агент пользователя;
  • повторяемость действий.

На основании результатов политики активируются оповещения безопасности. Defender для облака Приложения смотрят на каждый сеанс пользователя в облаке и оповещают вас, когда происходит что-то, что отличается от базовых показателей вашей организации или от обычных действий пользователя.

Помимо оповещений Defender для облака Apps, вы также получите следующие оповещения обнаружения на основе информации, полученной от Защита идентификации Microsoft Entra:

  • Утечка учетных данных: активируется при утечке допустимых учетных данных пользователя. Дополнительные сведения см. в статье об обнаружении утечки учетных данных идентификатора Microsoft Entra.
  • Рискованный вход: объединяет несколько Защита идентификации Microsoft Entra обнаружения входа в единый режим обнаружения. Дополнительные сведения см. в статье об обнаружении рисков входа в систему в Microsoft Entra ID.

Эти политики будут отображаться на странице политик приложений Defender для облака и могут быть включены или отключены.

Политики обнаружения аномалий

Политики обнаружения аномалий можно просмотреть на портале Microsoft Defender, перейдя в cloud Apps ->Policies -Policy ->Policy. Затем выберите политику обнаружения аномалий для типа политики.

новые политики обнаружения аномалий.

Доступны следующие политики обнаружения аномалий.

Неосуществимое перемещение

    • Это обнаружение определяет два действия пользователя (в одном или нескольких сеансах), исходящих из географически удаленных расположений в течение определенного периода времени, чем время, затраченное пользователю на поездку из первого расположения во вторую, указывая на то, что другой пользователь использует одни и те же учетные данные. Это обнаружение использует алгоритм машинного обучения, который игнорирует очевидные ложные срабатывания, которые способствуют невозможному условию путешествия, например виртуальным сетям и расположениям, которые регулярно используют другие пользователи в организации. Обнаружение имеет начальный период обучения в течение семи дней, в течение которого он узнает новый шаблон действий пользователя. Обнаружение неосуществимого перемещения выявляет необычные и невозможные действия пользователя в двух расположениях. Действие должно быть достаточно необычным, чтобы считаться индикатором компрометации и требовать оповещения. Чтобы сделать эту работу, логика обнаружения включает различные уровни подавления для сценариев, которые могут активировать ложноположительные срабатывания, такие как действия VPN или действия от поставщиков облачных служб, которые не указывают физическое расположение. Ползунок конфиденциальности позволяет повлиять на алгоритм и определить, насколько строг логика обнаружения. Чем выше уровень конфиденциальности, тем меньше действий будет отключено в рамках логики обнаружения. Таким образом вы можете адаптировать обнаружение к необходимому вам охвату и уровню шума.

      Примечание.

      • Если IP-адреса на обеих сторонах путешествия считаются безопасными, а ползунок конфиденциальности не имеет значения High, поездки являются доверенными и исключены из активации обнаружения невозможных путешествий. Например, обе стороны считаются безопасными, если они помечены как корпоративные. Однако если IP-адрес только одной стороны путешествия считается безопасным, обнаружение активируется как обычное.
      • Расположения вычисляются на уровне страны или региона. Это означает, что не будет оповещений о двух действиях, происходящих в одной стране или регионе или в пограничных странах или регионах.

Действие из редко упоминаемой страны

  • Это обнаружение изучает расположения, где выполнялись предыдущие действия, чтобы определить новые редко упоминаемые расположения. Модуль обнаружения аномалий хранит сведения о предыдущих расположениях, используемых пользователем. Оповещение активируется, когда действие происходит из расположения, которое не было недавно или никогда не посещалось пользователем. Чтобы уменьшить ложноположительные оповещения, обнаружение подавляет подключения, которые характеризуются общими предпочтениями пользователя.

Обнаружение вредоносных программ

Эта функция обнаружения выявляет вредоносные файлы приложений Майкрософт и сторонних приложений в облачном хранилище. Microsoft Defender для облака приложения используют аналитику угроз Майкрософт для распознавания того, соответствуют ли определенные файлы, которые соответствуют эвристикам, таким как тип файлов и уровень общего доступа, связаны с известными атаками вредоносных программ и потенциально вредоносными. Эта встроенная политика отключена по умолчанию. После обнаружения вредоносных файлов можно просмотреть список инфицированных файлов. Выберите имя файла вредоносных программ в ящике файлов, чтобы открыть отчет о вредоносных программах, который предоставляет сведения о типе вредоносных программ, с которыми заражен файл.

Используйте это обнаружение для управления отправкой и загрузкой файлов в режиме реального времени с помощью политик сеансов.

Песочница файлов

Включив песочницу файлов, файлы, которые соответствуют их метаданным и основанные на собственных эвристиках, которые потенциально рискуют, также будут проверяться в безопасной среде. Проверка песочницы может обнаруживать файлы, которые не были обнаружены на основе источников аналитики угроз.

Defender для облака Приложения поддерживают обнаружение вредоносных программ для следующих приложений:

  • Box
  • Dropbox
  • Google Workspace
  • Microsoft 365 (требуется действительная лицензия для Microsoft Defender для Microsoft 365 P1)

Примечание.

  • Вредоносные программы, обнаруженные в приложениях Microsoft 365, автоматически блокируются приложением. Пользователи не могут получить доступ к заблокированным файлам, а у администратора приложения есть доступ.

  • В Box, Dropbox и Google Workspace Defender для облака Apps не блокирует файл, но блокировка может выполняться в соответствии с возможностями приложения и конфигурацией приложения, заданной клиентом.

  • Если вы не уверены, является ли обнаруженный файл действительно вредоносным или ложным срабатыванием, перейдите на страницу https://www.microsoft.com/wdsi/filesubmission портал для обнаружения угроз (Microsoft) и отправьте файл для дальнейшего анализа.

Действия, выполняемые с анонимных IP-адресов

  • Эта функция обнаруживает, что пользователи использовали IP-адрес, который был идентифицирован как анонимный IP-адрес прокси-сервера. Эти прокси-серверы используются людьми, которые хотят скрыть IP-адрес своего устройства и могут использоваться для злонамеренного намерения. Это обнаружение использует алгоритм машинного обучения, который уменьшает "ложные срабатывания", например неправильно помеченные IP-адреса, которые широко используются пользователями в организации.

Активность программы-шантажиста

  • Defender для облака Приложения расширили возможности обнаружения программ-шантажистов с обнаружением аномалий, чтобы обеспечить более комплексное покрытие от сложных атак программ-шантажистов. Используя наш опыт исследования безопасности для выявления шаблонов поведения, которые отражают действия программ-шантажистов, Defender для облака Приложения обеспечивают целостную и надежную защиту. Если Defender для облака Приложения идентифицируют, например, высокий уровень передачи файлов или действий по удалению файлов, он может представлять неблагоприятный процесс шифрования. Эти данные собираются в журналах, полученных от подключенных API-интерфейсов, и объединяются с изученными шаблонами поведения и сведениями об известных угрозах, например о расширениях-шантажистах. Дополнительные сведения о том, как приложения Defender для облака обнаруживают программ-шантажистов, см. в статье "Защита организации от программ-шантажистов".

Действие, выполненное уволенным пользователем

  • Это обнаружение позволяет определить, что уволенный сотрудник продолжает выполнять действия с приложениями SaaS. Статистика показывает, что наиболее высокий риск внутренних угроз связан с сотрудниками, не согласными с условиями увольнения. Это означает, что контроль учетных записей уволенных сотрудников крайне важен. Иногда учетные записи уволенных сотрудников даже после удаления из корпоративных приложений сохраняют некоторые права доступа к отдельным ресурсам. Еще важнее правильно контролировать привилегированные учетные записи, ведь бывший администратор имеет потенциальную возможность нанести огромный ущерб компании. Это обнаружение использует преимущества Defender для облака Приложения для отслеживания поведения пользователей в приложениях, что позволяет определить регулярное действие пользователя, тот факт, что учетная запись была удалена и фактические действия в других приложениях. Например, сотрудник, чья учетная запись Microsoft Entra была удалена, но по-прежнему имеет доступ к корпоративной инфраструктуре AWS, может привести к крупномасштабному ущербу.

Обнаружение ищет пользователей, учетные записи которых были удалены в идентификаторе Microsoft Entra, но по-прежнему выполняют действия на других платформах, таких как AWS или Salesforce. Это особенно важно для пользователей, использующих другую учетную запись (а не их основную учетную запись единого входа) для управления ресурсами, так как эти учетные записи часто не удаляются, когда пользователь покидает компанию.

Действия с подозрительных IP-адресов

  • Эта функция обнаруживает, когда пользователи выполняют действия с IP-адреса, который Microsoft Threat Intelligence считает подозрительным. Эти IP-адреса участвуют в вредоносных действиях, таких как выполнение распыления паролей, Botnet C&C и может указывать на скомпрометированную учетную запись. Это обнаружение использует алгоритм машинного обучения, который уменьшает "ложные срабатывания", например неправильно помеченные IP-адреса, которые широко используются пользователями в организации.

Подозрительная пересылка входящих писем

  • Эта функция определяет подозрительные правила переадресации сообщений электронной почты, например, если пользователь создал правило для папки "Входящие", которое отправляет копию всех сообщений электронной почты на внешний адрес.

Примечание.

Defender для облака Приложения оповещают вас только о каждом правиле пересылки, которое определяется как подозрительное, в зависимости от типичного поведения пользователя.

Подозрительные правила для папки "Входящие"

  • Эта политика профилирует среду и активирует оповещения при обнаружении подозрительных правил, которые удаляют или перемещают сообщения либо папки в папке "Входящие" пользователя. Это может указывать на то, что учетная запись пользователя скомпрометирована, что сообщения намеренно скрыты и что почтовый ящик используется для распространения нежелательной почты или вредоносных программ в вашей организации.

Подозрительное действие удаления электронной почты (предварительная версия)

  • Эта политика профилирует среду и активирует оповещения, когда пользователь выполняет подозрительные действия по удалению электронной почты в одном сеансе. Эта политика может указывать на то, что почтовые ящики пользователя могут быть скомпрометированы потенциальными векторами атак, такими как обмен данными между командами и управлением (C&C/C2) по электронной почте.

Примечание.

Defender для облака приложения интегрируются с XDR в Microsoft Defender, чтобы обеспечить защиту для Exchange Online, включая детонацию URL-адресов, защиту от вредоносных программ и многое другое. После включения Defender для Microsoft 365 вы начнете видеть оповещения в журнале действий Defender для облака Apps.

Подозрительные действия скачивания файла приложения OAuth

  • Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при скачивании нескольких файлов из Microsoft SharePoint или Microsoft OneDrive таким образом, что это необычно для пользователя. Это может указывать на то, что учетная запись пользователя скомпрометирована.

Необычный ISP для Приложение OAuth

  • Эта политика профилирует среду и активирует оповещения, когда приложение OAuth подключается к облачным приложениям из редкого поставщика услуг. Эта политика может указывать на то, что злоумышленник пытался использовать законное скомпрометированное приложение для выполнения вредоносных действий в облачных приложениях.

Необычные действия (пользователя)

Эти операции предназначены для определения пользователей, которые выполняют следующие действия:

  • необычные действия множественной загрузки файлов;
  • необычные действия предоставления общего доступа к файлам;
  • необычные действия удаления файлов;
  • необычные действия с олицетворением;
  • необычные действия администрирования.
  • Необычные действия по совместному использованию отчетов Power BI (предварительная версия)
  • Необычные действия по созданию виртуальных машин (предварительная версия)
  • Необычные действия по удалению хранилища (предварительная версия)
  • Необычный регион для облачного ресурса (предварительная версия)
  • Необычный доступ к файлам

Эти политики определяют действия, количество которых превышает базовый показатель, в рамках одного сеанса, что может свидетельствовать о попытке нарушения безопасности. Эти обнаружения используют алгоритм машинного обучения, который профилирует вход пользователей в шаблон и уменьшает ложные срабатывания. Эти обнаружения являются частью эвристического обработчика обнаружения аномалий, который профилирует среду и активирует оповещения относительно базовых показателей деятельности вашей организации.

Множество неудачных попыток входа

  • Эта функция обнаруживает пользователей, которые слишком много раз за сеанс (больше, чем определено согласно базовым показателям) безуспешно пытались войти в систему, что может свидетельствовать о попытке нарушения безопасности.

Извлечение данных в несанкционированные приложения

  • Эта политика автоматически включается, чтобы вы получали оповещения, если пользователь или IP-адрес используют приложение, не имея прав на выполнение действий, с признаками попытки извлечения информации вашей организации.

Удаление нескольких виртуальных машин

  • Эта политика отслеживает среду и создает оповещения, если в одном сеансе удаляется несколько виртуальных машин, точное количество которых зависит от базовых показателей для вашей организации. Это может указывать на попытку несанкционированного доступа.

Включение автоматического управления

Вы можете включить автоматические действия по исправлению для оповещений, создаваемых политиками обнаружения аномалий.

  1. Выберите имя политики обнаружения на странице "Политики ".
  2. В открываемом окне политики обнаружения аномалий в разделе "Действия управления" задайте действия по исправлению для каждого подключенного приложения или для всех приложений.
  3. Выберите Обновить.

Настройка политик обнаружения аномалий

Чтобы настроить механизм обнаружения аномалий на отключение и включение оповещений по своему усмотрению, сделайте следующее:

  • С помощью ползунка можно регулировать чувствительность политики неосуществимого перемещения, задавая уровень аномального поведения, при котором активируется оповещение. Например, если оно установлено на низкий или средний, это приведет к подавлению оповещений "Невозможное путешествие" из общих расположений пользователя, и если оно установлено на высокий уровень, оно будет отображать такие оповещения. Вы можете выбрать один из следующих уровней конфиденциальности:

    • Низкая: системные, клиент и подавление пользователей

    • Средний: подавление системы и пользователей

    • Высокий: только подавление системы

      Где:

      Тип подавления Description
      Системные Встроенные обнаружения, которые всегда подавляются.
      Клиент Распространенные действия на основе предыдущих действий в клиенте. Например, отключение действий из поставщика услуг интернета в сети, ранее оповещенного в организации.
      Пользователь Распространенные действия, основанные на предыдущем действии конкретного пользователя. Например, отключение действий из расположения, которое обычно используется пользователем.

Примечание.

Невозможное путешествие, активность из редких стран или регионов, действия с анонимных IP-адресов и действия из подозрительных IP-адресов оповещений не применяются к неудачным именам входа и неинтерактивным входам.

Определение области применения политик обнаружения аномалий

Область применения каждой политики обнаружения аномалий можно определять отдельно. Так нужная политика будет применяться только в отношении пользователей и групп, которые необходимо включить в политику или исключить из нее. Например, можно задать для функции "Действие из редко используемой страны" игнорировать определенного пользователя, который часто путешествует.

Чтобы определить область применения политики обнаружения аномалий, сделайте следующее:

  1. На портале Microsoft Defender перейдите к cloud Apps ->Policies ->Policy Management. Затем выберите политику обнаружения аномалий для типа политики.

  2. Выберите политику, которую вы хотите область.

  3. В разделе Область применения в раскрывающемся списке замените заданное по умолчанию значение Все пользователи и группы значением Конкретные пользователи или группы.

  4. Выберите "Включить" , чтобы указать пользователей и группы, для которых будет применяться эта политика. Пользователи и группы, не указанные здесь, не будут считаться угрозой, следовательно, предупреждения создаваться не будут.

  5. Выберите " Исключить ", чтобы указать пользователей, для которых эта политика не будет применяться. Указанные здесь пользователи не будут считаться угрозой, следовательно, предупреждения не будут создаваться, даже если такие пользователи являются участниками групп, указанных в разделе Включить.

    Области обнаружения аномалий.

Рассмотрение оповещений об обнаружении аномалий

Вы можете быстро рассмотреть различные оповещения, активируемые новыми политиками обнаружения аномалий, и решить, каким из них нужно уделить внимание в первую очередь. Для этого вам нужен контекст для оповещения, чтобы увидеть большую картину и понять, происходит ли что-то вредоносное.

  1. В журнале действий можно открыть каждое действие и просмотреть его контейнер. Выберите "Пользователь", чтобы просмотреть вкладку "Аналитика пользователей". На этой вкладке содержатся такие сведения, как количество оповещений, действий и их подключение, что важно для исследования.

    Оповещение об обнаружении аномалий.

  2. После обнаружения файлов, зараженных вредоносными программами, выводится список зараженных файлов. Выберите имя файла вредоносных программ в ящике файлов, чтобы открыть отчет о вредоносных программах, который предоставляет сведения об этом типе вредоносных программ, с которыми заражен файл.

Вебинар защиты от угроз

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.