Как изучать оповещения об обнаружении аномалий

  • Статья

Microsoft Defender для облака Приложения предоставляют обнаружения безопасности и оповещения для вредоносных действий. Цель этого руководства — предоставить вам общую и практическую информацию о каждом оповещении, чтобы помочь в выполнении задач исследования и исправления. В этом руководстве приведены общие сведения об условиях активации оповещений. Однако важно отметить, что так как обнаружения аномалий являются недетерминированными по природе, они активируются только в тех случаях, когда есть поведение, которое отклоняется от нормы. Наконец, некоторые оповещения могут находиться в предварительной версии, поэтому регулярно просматривайте официальную документацию по обновленному состоянию оповещения.

MITRE ATT&CK

Чтобы объяснить и упростить сопоставление связей между оповещениями Defender для облака Apps и знакомой матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода подозрительных атак, потенциально используемых при активации оповещения Defender для облака Приложений.

В этом руководстве содержатся сведения об изучении и исправлении оповещений приложений Defender для облака в следующих категориях.

Классификации оповещений системы безопасности

После правильного исследования все оповещения Defender для облака Apps можно классифицировать как один из следующих типов действий:

  • Истинно положительный (TP): оповещение о подтвержденной вредоносной активности.
  • Доброкачественные истинные положительные (B-TP): оповещение о подозрительной, но не вредоносной деятельности, например тест на проникновение или другие авторизованные подозрительные действия.
  • Ложноположительное срабатывание (FP): оповещение о невредоносной активности.

Общие действия по расследованию

Перед применением рекомендуемого действия следует использовать следующие общие рекомендации при изучении любого типа оповещений.

  • Просмотрите оценку приоритета исследования пользователя и сравните с остальной частью организации. Это поможет определить, какие пользователи в вашей организации представляют наибольший риск.
  • Если вы определяете TP, просмотрите все действия пользователя, чтобы получить представление о влиянии.
  • Просмотрите все действия пользователей для других индикаторов компрометации и изучите источник и область влияния. Например, просмотрите следующие сведения об устройстве пользователя и сравните с известными сведениями об устройстве:
    • Название и версия операционной системы
    • Браузер и версия
    • IP-адрес и расположение

Оповещения о начальном доступе

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может попытаться закрепиться в вашей организации.

Действия, выполняемые с анонимных IP-адресов

Description

Действие с IP-адреса, который был определен как анонимный IP-адрес прокси-сервера microsoft Threat Intelligence или вашей организацией. Эти прокси-серверы можно использовать для скрытия IP-адреса устройства и может использоваться для вредоносных действий.

TP, B-TP или FP?

Это обнаружение использует алгоритм машинного обучения, который уменьшает инциденты B-TP , такие как неправильно помеченные IP-адреса, которые широко используются пользователями в организации.

  1. TP: Если вы можете подтвердить, что действие было выполнено с анонимного или IP-адреса TOR.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. B-TP: если пользователь, как известно, использует анонимные IP-адреса в область своих обязанностей. Например, когда аналитик безопасности проводит тесты безопасности или проникновения от имени организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

Действие из редко упоминаемой страны

Действие из страны или региона, которое может указывать на вредоносное действие. Эта политика профилирует среду и активирует оповещения, когда действие обнаруживается из расположения, которое не было недавно или никогда не посетило любого пользователя в организации.

Политика может быть дополнительно область в подмножество пользователей или может исключить пользователей, которые могут перемещаться в удаленные расположения.

период Обучение

Для обнаружения аномальных расположений требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие.

    1. Приостанавливайте пользователя, сбрасывайте пароль и определите подходящее время для безопасного повторного включения учетной записи.
    2. Необязательно. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями, обнаруженными как подключение из редких расположений, и их менеджеров, чтобы проверить их активность.

  2. B-TP: если пользователь, как известно, находится в этом расположении. Например, когда пользователь, который часто перемещается и находится в указанном расположении.

    Рекомендуемое действие.

    1. Закройте оповещение и измените политику, чтобы исключить пользователя.
    2. Создайте группу пользователей для частых путешественников, импортируйте группу в приложения Defender для облака и исключите пользователей из этого оповещения.
    3. Необязательно. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями, обнаруженными как подключение из редких расположений, и их менеджеров, чтобы проверить их активность.

Общие сведения о область нарушения

  • Проверьте, какой ресурс может быть скомпрометирован, например потенциальные скачивание данных.

Действия с подозрительных IP-адресов

Действия с IP-адреса, который был определен как рискованные microsoft Threat Intelligence или вашей организацией. Эти IP-адреса были определены как участвующие в вредоносных действиях, таких как выполнение распыления паролей, команды ботнета и управления (C&C) и может указывать на скомпрометированную учетную запись.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. B-TP: если пользователь, как известно, использует IP-адрес в область своих обязанностей. Например, когда аналитик безопасности проводит тесты безопасности или проникновения от имени организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите журнал действий и найдите действия из одного IP-адреса.
  2. Проверьте, какой ресурс может быть скомпрометирован, например потенциальные скачивание данных или административные изменения.
  3. Создайте группу для аналитиков безопасности добровольно, активируя эти оповещения, и исключите их из политики.

Невозможное путешествие

Действие от одного пользователя в разных расположениях в течение периода времени, который короче ожидаемого времени перемещения между двумя расположениями. Это может указывать на нарушение учетных данных, однако также возможно, что фактическое расположение пользователя маскируется, например с помощью VPN.

Чтобы повысить точность и оповещение только при наличии сильного признака нарушения, Defender для облака Приложения устанавливают базовые показатели для каждого пользователя в организации и будут оповещать только при обнаружении необычного поведения. Невозможной политики путешествий можно точно настроить в соответствии с вашими требованиями.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

Это обнаружение использует алгоритм машинного обучения, который игнорирует очевидные условия B-TP , например, когда IP-адреса на обеих сторонах путешествия считаются безопасными, поездки являются доверенными и исключены из запуска обнаружения невозможных путешествий. Например, обе стороны считаются безопасными, если они помечены как корпоративные. Однако если IP-адрес только одной стороны путешествия считается безопасным, обнаружение активируется как обычное.

  1. TP: Если вы можете подтвердить, что расположение в невозможном оповещении о поездке вряд ли для пользователя.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (Undetected user travel): Если вы можете подтвердить, что пользователь недавно путешествовал в место назначения, упоминание подробно описано в оповещении. Например, если телефон пользователя, который находится в режиме самолета, остается подключенным к службам, таким как Exchange Online в корпоративной сети во время поездки в другое расположение. Когда пользователь прибывает в новое расположение, телефон подключается к Exchange Online, активируя невозможное оповещение о поездке.

    Рекомендуемое действие: закройте оповещение.

  3. FP (untagged VPN): если вы можете подтвердить, что диапазон IP-адресов находится от санкционированного VPN.

    Рекомендуемое действие. Закройте оповещение и добавьте диапазон IP-адресов VPN в Defender для облака Приложения, а затем используйте его для тега диапазона IP-адресов VPN.

Общие сведения о область нарушения

  1. Просмотрите журнал действий, чтобы получить представление о аналогичных действиях в одном расположении и IP-адресе.
  2. Если вы видите, что пользователь выполнил другие рискованные действия, например скачивание большого объема файлов из нового расположения, это будет сильным признаком возможного компрометации.
  3. Добавьте диапазоны КОРПОРАТИВНЫх VPN-адресов и IP-адресов.
  4. Создайте сборник схем с помощью Power Automate и обратитесь к менеджеру пользователя, чтобы узнать, является ли пользователь законным путешествием.
  5. Рассмотрите возможность создания известной базы данных путешественников до минуты отчетности по организации и использования ее для перекрестной ссылки на поездки.

Название приложения OAuth, вводящее в заблуждение

Это обнаружение определяет приложения с символами, такими как внешние буквы, которые похожи на латинские буквы. Это может указывать на попытку маскировать вредоносное приложение как известное и доверенное приложение, чтобы злоумышленники могли обмануть пользователей в скачивании своего вредоносного приложения.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что приложение имеет вводящее в заблуждение имя.

    Рекомендуемое действие. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ. На основе расследования вы можете запретить доступ к этому приложению.

Чтобы запретить доступ к приложению, на вкладках Google или Salesforce на странице управления приложениями в строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. — Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. — Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.

  1. FP: Если вы хотите подтвердить, что приложение имеет вводящее в заблуждение имя, но имеет законное использование бизнеса в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

Название издателя, для приложения OAuth, вводящее в заблуждение

Это обнаружение определяет приложения с символами, такими как внешние буквы, которые похожи на латинские буквы. Это может указывать на попытку маскировать вредоносное приложение как известное и доверенное приложение, чтобы злоумышленники могли обмануть пользователей в скачивании своего вредоносного приложения.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что приложение имеет вводящее в заблуждение имя издателя.

    Рекомендуемое действие. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ. На основе расследования вы можете запретить доступ к этому приложению.

  2. FP: Если вы хотите подтвердить, что приложение имеет вводящее в заблуждение имя издателя, но является законным издателем.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. На вкладках Google или Salesforce на странице управления приложениями выберите приложение, чтобы открыть ящик приложений, а затем выберите связанное действие. Откроется страница журнала действий, отфильтрованной для действий, выполняемых приложением. Имейте в виду, что некоторые действия приложений регистрируются как выполняемые пользователем действия. Эти действия автоматически отфильтровываются из результатов в журнале действий. Сведения о дальнейшем исследовании с использованием журнала действий см. в статье о журнале действий.
  2. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и издателя в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:
    • Приложения с небольшим количеством скачиваний.
    • Приложения с низкой оценкой или негативными отзывами.
    • Приложения с подозрительным издателем или веб-сайтом.
    • Приложения, которые недавно не были обновлены. Это может означать, что приложение больше не поддерживается.
    • Приложения с несоответствующими разрешениями. Это может означать, что приложение является опасным.
  3. Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить имя приложения, издатель и URL-адрес в Интернете.

Оповещения о выполнении

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться запустить вредоносный код в вашей организации.

Несколько действий по удалению хранилища

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество облачных хранилищ или удалений баз данных из таких ресурсов, как большие двоичные объекты Azure, контейнеры AWS S3 или Cosmos DB по сравнению с базовым уровнем обучения. Это может указывать на попытку нарушения вашей организации.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP: Если вы хотите подтвердить, что удаления были несанкционированными.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей для других индикаторов компрометации и изучите область влияния.

  2. FP: Если после расследования вы можете подтвердить, что администратор был авторизован для выполнения этих действий по удалению.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Обратитесь к пользователю и подтвердите действие.
  2. Просмотрите журнал действий для других индикаторов компрометации и посмотрите, кто сделал это изменение.
  3. Просмотрите действия пользователя для изменений в других службах.

Несколько действий по созданию виртуальной машины

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество действий по созданию виртуальной машины по сравнению с базовым уровнем обучения. Несколько создания виртуальных машин в защищенной облачной инфраструктуре могут указывать на попытку выполнять операции интеллектуального анализа криптографии из вашей организации.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии сильного признака нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации для уменьшения инцидентов B-TP , таких как администратор законно создал больше виртуальных машин, чем установленный базовый план, и только оповещение при обнаружении необычного поведения.

  • TP. Если вы можете подтвердить, что действия по созданию не были выполнены законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей для других индикаторов компрометации и изучите область влияния. Кроме того, обратитесь к пользователю, подтвердите свои законные действия, а затем отключите или удалите все скомпрометированные виртуальные машины.

  • B-TP: Если после исследования вы можете подтвердить, что администратор был авторизован для выполнения этих действий по созданию.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователя для других индикаторов компрометации.
  2. Просмотрите ресурсы, созданные или измененные пользователем, и убедитесь, что они соответствуют политикам вашей организации.

Подозрительное действие создания для облачного региона (предварительная версия)

Действия, указывающие, что пользователь выполнил необычное действие по созданию ресурсов в редком регионе AWS по сравнению с базовым уровнем обучения. Создание ресурсов в редких облачных регионах может указывать на попытку выполнения вредоносных действий, таких как операции интеллектуального анализа криптографии из вашей организации.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии сильного признака нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации для уменьшения инцидентов B-TP .

  • TP. Если вы можете подтвердить, что действия по созданию не были выполнены законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей для других индикаторов компрометации и изучите область влияния. Кроме того, обратитесь к пользователю, подтвердите свои законные действия, а затем отключите или удалите все скомпрометированные облачные ресурсы.

  • B-TP: Если после исследования вы можете подтвердить, что администратор был авторизован для выполнения этих действий по созданию.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователя для других индикаторов компрометации.
  2. Просмотрите созданные ресурсы и убедитесь, что они соответствуют политикам вашей организации.

Оповещения сохраняемости

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться сохранить свой колонтитул в вашей организации.

Действие, выполненное уволенным пользователем

Действие, выполняемое завершенным пользователем, может указать, что завершенный сотрудник, который по-прежнему имеет доступ к корпоративным ресурсам, пытается выполнить вредоносное действие. Defender для облака Приложения профили пользователей в организации и активируют оповещение при выполнении действия, завершаемого пользователем.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что завершенный пользователь по-прежнему имеет доступ к определенным корпоративным ресурсам и выполняет действия.

    Рекомендуемое действие. Отключите пользователя.

  2. B-TP: если вы можете определить, что пользователь временно отключен или удален и повторно зарегистрирован.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Перекрестные справочные записи кадров, чтобы убедиться, что пользователь завершает работу.
  2. Проверьте наличие учетной записи пользователя Microsoft Entra.

    Примечание.

    При использовании Подключение Microsoft Entra проверьте объект локальная служба Active Directory и подтвердите успешный цикл синхронизации.

  3. Определите все приложения, к которым пользователь завершил работу, имел доступ к учетным записям и вывести их из эксплуатации.
  4. Обновление процедур вывода из эксплуатации.

Подозрительное изменение службы ведения журнала CloudTrail

Действия в одном сеансе, указывающие, что пользователь выполнил подозрительные изменения в службе ведения журнала AWS CloudTrail. Это может указывать на попытку нарушения вашей организации. При отключении CloudTrail операционные изменения больше не регистрируются. Злоумышленник может выполнять вредоносные действия, избегая события аудита CloudTrail, например изменение контейнера S3 с частного на общедоступный.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие: приостановить пользователя, сбросить пароль и отменить действие CloudTrail.

  2. FP: если вы можете подтвердить, что пользователь законно отключил службу CloudTrail.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите журнал действий для других индикаторов компрометации и узнайте, кто внес изменения в службу CloudTrail.
  2. Необязательно. Создайте сборник схем с помощью Power Automate для связи с пользователями и их менеджерами, чтобы проверить их активность.

Подозрительное действие удаления электронной почты (по пользователю)

Действия в одном сеансе, указывающие на то, что пользователь выполнил подозрительные удаления электронной почты. Тип удаления был типом "жесткого удаления", который делает элемент электронной почты удаленным и недоступным в почтовом ящике пользователя. Удаление было сделано из подключения, включающее необычные предпочтения, такие как ISP, страна или регион и агент пользователя. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся маскировать операции, удалив сообщения электронной почты, связанные с действиями нежелательной почты.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP: Если вы можете подтвердить, что пользователь законно создал правило для удаления сообщений.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  • Просмотрите все действия пользователей для получения дополнительных индикаторов компрометации, таких как оповещение о подозрительной пересылке в папке "Входящие", а затем оповещение " Невозможное путешествие ". Искать:

    1. Новые правила пересылки SMTP, как показано ниже.
      • Проверьте наличие вредоносных имен правил пересылки. Имена правил могут отличаться от простых имен, таких как "Пересылать все сообщения электронной почты" и "Автоматическая пересылка", или обманчивые имена, например едва видимые ". Имена правил пересылки могут быть пустыми, и получатель пересылки может быть одной учетной записью электронной почты или целым списком. Вредоносные правила также могут быть скрыты из пользовательского интерфейса. После обнаружения вы можете использовать эту полезную запись блога о том, как удалить скрытые правила из почтовых ящиков.
      • Если вы обнаружите нераспознанное правило пересылки на неизвестный внутренний или внешний адрес электронной почты, можно предположить, что учетная запись папки "Входящие" была скомпрометирована.
    2. Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или те, у которых есть неясные соглашения об именовании, например "...".
    3. Увеличение числа отправленных сообщений электронной почты.

Подозрительное правило манипуляции с папкой "Входящие"

Действия, указывающие, что злоумышленник получил доступ к папке "Входящие" пользователя и создал подозрительное правило. Правила манипуляции, такие как удаление или перемещение сообщений или папок, из папки "Входящие" пользователя могут быть попыткой получить информацию из вашей организации. Аналогичным образом они могут указывать на попытку манипулировать информацией, которую пользователь видит или использовать свою папку "Входящие" для распространения нежелательной почты, фишинговых сообщений или вредоносных программ. Defender для облака Приложения профилируют среду и активируют оповещения при обнаружении подозрительных правил манипуляции с папкой "Входящие" в папке "Входящие". Это может указывать на то, что учетная запись пользователя скомпрометирована.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что было создано вредоносное правило папки "Входящие", и учетная запись была скомпрометирована.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и удаление правила пересылки.

  2. FP: Если вы можете подтвердить, что пользователь законно создал правило.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователей для получения дополнительных индикаторов компрометации, таких как оповещение о подозрительной пересылке в папке "Входящие", а затем оповещение " Невозможное путешествие ". Ищите:
    • Новые правила пересылки SMTP.
    • Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или те, у которых есть неясные соглашения об именовании, например "...".
  2. Соберите IP-адрес и сведения о расположении для действия.
  3. Проверьте действия, выполняемые с IP-адреса, используемого для создания правила для обнаружения других скомпрометированных пользователей.

Оповещения о эскалации привилегий

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться получить разрешения на более высокий уровень в вашей организации.

Необычное административное действие (по пользователю)

Действия, указывающие, что злоумышленник скомпрометировал учетную запись пользователя и выполнил административные действия, которые не являются общими для этого пользователя. Например, злоумышленник может попытаться изменить параметр безопасности для пользователя, операцию, которая является относительно редкой для обычного пользователя. Defender для облака Приложения создают базовые показатели на основе поведения пользователя и активируют оповещение при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что действие не было выполнено законным администратором.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP: Если вы можете подтвердить, что администратор законно выполнил необычный объем административных действий.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователей для получения дополнительных индикаторов компрометации, таких как подозрительное перенаправление папки "Входящие" или "Невозможное путешествие".
  2. Просмотрите другие изменения конфигурации, например создание учетной записи пользователя, которая может использоваться для сохраняемости.

Оповещения о доступе к учетным данным

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться украсть имена учетных записей и пароли из вашей организации.

Множество неудачных попыток входа

Неудачные попытки входа могут указывать на попытку взлома учетной записи. Однако неудачные имена входа также могут быть нормальными. Например, когда пользователь ввел неправильный пароль по ошибке. Чтобы обеспечить точность и оповещение только в том случае, если имеется строгое указание на попытку нарушения, Defender для облака Приложения устанавливают базовые показатели поведения входа для каждого пользователя в организации и будут оповещать только при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

Эта политика основана на обучении обычному поведению входа пользователя. При обнаружении отклонения от нормы активируется оповещение. Если обнаружение начинает видеть, что такое же поведение продолжается, оповещение вызывается только один раз.

  1. TP (MFA завершается ошибкой): если вы можете подтвердить правильность работы MFA, это может быть признаком попытки атаки методом подбора.

    Рекомендованные действия

    1. Приостанавливает пользователя, помечает пользователя как скомпрометированный и сбросьте пароль.
    2. Найдите приложение, которое выполнило неудачную проверку подлинности и перенастроите его.
    3. Найдите других пользователей, вошедшего во время действия, так как они также могут быть скомпрометированы. Приостанавливает пользователя, помечает пользователя как скомпрометированный и сбросьте пароль.

  2. B-TP (MFA завершается ошибкой): если вы можете подтвердить, что оповещение вызвано проблемой с MFA.

    Рекомендуемое действие. Создание сборника схем с помощью Power Automate для связи с пользователем и проверка, если у них возникли проблемы с MFA.

  3. B-TP (неправильно настроенное приложение): если вы можете подтвердить, что неправильно настроенное приложение пытается подключиться к службе несколько раз с истекшим сроком действия учетных данных.

    Рекомендуемое действие: закройте оповещение.

  4. B-TP (изменение пароля): если вы можете подтвердить, что пользователь недавно изменил свой пароль, но не повлиял на учетные данные в сетевых ресурсах.

    Рекомендуемое действие: закройте оповещение.

  5. B-TP (тест безопасности): если вы можете подтвердить, что тест безопасности или проникновения проводится аналитиками безопасности от имени организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователей для получения дополнительных индикаторов компрометации, таких как оповещение, за одним из следующих оповещений: "Невозможное путешествие", "Действия с анонимного IP-адреса" или "Действия" из редкой страны.
  2. Просмотрите следующие сведения об устройстве пользователя и сравните с известными сведениями об устройстве:
    • Название и версия операционной системы
    • Браузер и версия
    • IP-адрес и расположение
  3. Определите исходный IP-адрес или расположение, в котором произошла попытка проверки подлинности.
  4. Определите, изменил ли пользователь пароль недавно и убедитесь, что все приложения и устройства имеют обновленный пароль.

Нетипичное добавление учетных данных для приложения OAuth

Это обнаружение определяет подозрительные добавления в привилегированных учетных данных в приложение OAuth. Это может означать, что злоумышленник скомпрометировал приложение и использует его для вредоносных действий.

период Обучение

Обучение среде вашей организации требуется семь дней, в течение которых может потребоваться большое количество оповещений.

Необычный ISP для приложения OAuth

Обнаружение идентифицирует приложение OAuth, подключающееся к облачному приложению из поставщика услуг интернета в сети, которая является редкой для приложения. Это может указывать на то, что злоумышленник пытался использовать законное скомпрометированное приложение для выполнения вредоносных действий в облачных приложениях.

период Обучение

Период обучения для этого обнаружения составляет 30 дней.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что действие не было законным действием приложения OAuth или что этот ISP не используется законным приложением OAuth.

    Рекомендуемое действие. Отмените все маркеры доступа приложения OAuth и проверьте, имеет ли злоумышленник доступ к созданию маркеров доступа OAuth.

  2. FP: Если вы можете подтвердить, что действие было сделано законным приложением OAuth.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите действия, выполняемые приложением OAuth.

  2. Проверьте, имеет ли злоумышленник доступ к созданию маркеров доступа OAuth.

Оповещения о коллекции

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться собрать интересующие их данные из вашей организации.

Несколько действий по совместному использованию отчетов Power BI

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество действий отчета общего доступа в Power BI по сравнению с базовыми данными. Это может указывать на попытку нарушения вашей организации.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Удаление доступа к совместному доступу из Power BI. Если вы можете подтвердить, что учетная запись скомпрометирована, приостанавливайте пользователя, пометите пользователя как скомпрометированный и сбросите пароль.

  2. FP: Если вы можете подтвердить, что у пользователя есть бизнес-обоснование для совместного использования этих отчетов.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите журнал действий, чтобы лучше понять другие действия, выполняемые пользователем. Просмотрите IP-адрес, из которых они вошли, и сведения об устройстве.
  2. Обратитесь к группе Power BI или группе Information Protection, чтобы понять рекомендации по совместному использованию отчетов на внутреннем и внешнем уровнях.

Подозрительный общий доступ к отчету Power BI

Действия, указывающие, что пользователь предоставил общий доступ к отчету Power BI, который может содержать конфиденциальную информацию, определяемую с помощью NLP, для анализа метаданных отчета. Отчет был предоставлен либо с внешним адресом электронной почты, опубликованным в Интернете, либо моментальный снимок был доставлен во внешний подписанный адрес электронной почты. Это может указывать на попытку нарушения вашей организации.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Удаление доступа к совместному доступу из Power BI. Если вы можете подтвердить, что учетная запись скомпрометирована, приостанавливайте пользователя, пометите пользователя как скомпрометированный и сбросите пароль.

  2. FP: Если вы можете подтвердить, что у пользователя есть бизнес-обоснование для совместного использования этих отчетов.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите журнал действий, чтобы лучше понять другие действия, выполняемые пользователем. Просмотрите IP-адрес, из которых они вошли, и сведения об устройстве.
  2. Обратитесь к группе Power BI или группе Information Protection, чтобы понять рекомендации по совместному использованию отчетов на внутреннем и внешнем уровнях.

Необычные олицетворенные действия (по пользователю)

В некоторых программах есть варианты, позволяющие другим пользователям олицетворить других пользователей. Например, службы электронной почты позволяют пользователям предоставлять другим пользователям права на отправку электронной почты от своего имени. Это действие часто используется злоумышленниками для создания фишинговых сообщений электронной почты в попытке извлечь сведения о вашей организации. Defender для облака Приложения создают базовые показатели на основе поведения пользователя и создают действие при обнаружении необычного действия олицетворения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что действие не выполнялось законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (необычное поведение): если вы можете подтвердить, что пользователь законно выполнил необычные действия или больше действий, чем установленные базовые показатели.

    Рекомендуемое действие: закройте оповещение.

  3. FP: Если вы можете подтвердить, что приложения, такие как Teams, законно олицетворили пользователя.

    Рекомендуемое действие: просмотрите действия и опустите оповещение при необходимости.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователей и оповещения для получения дополнительных индикаторов компрометации.
  2. Просмотрите действия олицетворения, чтобы определить потенциальные вредоносные действия.
  3. Просмотрите конфигурацию делегированного доступа.

Оповещения о краже

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться украсть данные из вашей организации.

Подозрительная пересылка входящих писем

Действия, указывающие, что злоумышленник получил доступ к папке "Входящие" пользователя и создал подозрительное правило. Правила манипуляции, такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, может оказаться попыткой получить информацию из вашей организации. Defender для облака Приложения профилируют среду и активируют оповещения при обнаружении подозрительных правил манипуляции с папкой "Входящие" в папке "Входящие". Это может указывать на то, что учетная запись пользователя скомпрометирована.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что было создано правило перенаправления вредоносной папки "Входящие", и учетная запись была скомпрометирована.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и удаление правила пересылки.

  2. FP: Если вы можете подтвердить, что пользователь создал правило пересылки в новую или личную внешнюю учетную запись электронной почты по законным причинам.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователя для получения дополнительных индикаторов компрометации, таких как оповещение "Невозможное путешествие ". Искать:

    1. Новые правила пересылки SMTP, как показано ниже.
      • Проверьте наличие вредоносных имен правил пересылки. Имена правил могут отличаться от простых имен, таких как "Пересылать все сообщения электронной почты" и "Автоматическая пересылка", или обманчивые имена, например едва видимые ". Имена правил пересылки могут быть пустыми, и получатель пересылки может быть одной учетной записью электронной почты или целым списком. Вредоносные правила также могут быть скрыты из пользовательского интерфейса. После обнаружения вы можете использовать эту полезную запись блога о том, как удалить скрытые правила из почтовых ящиков.
      • Если вы обнаружите нераспознанное правило пересылки на неизвестный внутренний или внешний адрес электронной почты, можно предположить, что учетная запись папки "Входящие" была скомпрометирована.
    2. Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или те, у которых есть неясные соглашения об именовании, например "...".

  2. Проверьте действия, выполняемые с IP-адреса, используемого для создания правила для обнаружения других скомпрометированных пользователей.

  3. Просмотрите список пересылаемых сообщений с помощью отслеживания сообщений Exchange Online.

Необычный скачивание файла (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество скачиваемых файлов с облачной платформы хранилища при сравнении с базовым уровнем обучения. Это может указывать на попытку получить сведения о организации. Defender для облака Приложения создают базовые показатели на основе поведения пользователя и активируют оповещение при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (необычное поведение): если вы можете подтвердить, что пользователь законно выполнил больше действий загрузки файлов, чем установленный базовый план.

    Рекомендуемое действие: закройте оповещение.

  3. FP (синхронизация программного обеспечения): если вы можете подтвердить, что программное обеспечение, например OneDrive, синхронизировано с внешней резервной копией, вызвавшей оповещение.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите действия скачивания и создайте список скачанных файлов.
  2. Проверьте конфиденциальность скачанных файлов с владельцем ресурса и проверьте уровень доступа.

Необычный доступ к файлам (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество доступа к файлам в SharePoint или OneDrive к файлам, содержащим финансовые данные или сетевые данные по сравнению с базовым уровнем обучения. Это может указывать на попытку получить сведения о организации, будь то для финансовых целей или для доступа к учетным данным и бокового перемещения. Defender для облака Приложения создают базовые показатели на основе поведения пользователя и активируют оповещение при обнаружении необычного поведения.

период Обучение

Период обучения зависит от действия пользователя. Как правило, период обучения составляет от 21 до 45 дней для большинства пользователей.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (необычное поведение): если вы можете подтвердить, что пользователь законно выполнил больше действий доступа к файлам, чем установленный базовый план.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите действия доступа и создайте список доступных файлов.
  2. Проверьте конфиденциальность доступных файлов с владельцем ресурса и проверьте уровень доступа.

Необычное действие общей папки (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество действий по совместному использованию файлов с облачной платформы хранилища по сравнению с базовым уровнем обучения. Это может указывать на попытку получить сведения о организации. Defender для облака Приложения создают базовые показатели на основе поведения пользователя и активируют оповещение при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не было выполнено законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (необычное поведение): если вы можете подтвердить, что пользователь законно выполнил больше действий по совместному использованию файлов, чем установленный базовый план.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите действия общего доступа и создайте список общих файлов.
  2. Проверьте конфиденциальность общих файлов с владельцем ресурса и проверьте уровень доступа.
  3. Создайте политику файлов для аналогичных документов, чтобы определить будущий общий доступ к конфиденциальным файлам.

Оповещения о влиянии

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться управлять, прерывать или уничтожать системы и данные в организации.

Удаление нескольких виртуальных машин

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество удалений виртуальных машин по сравнению с базовым уровнем обучения. Несколько удалений виртуальных машин могут указывать на попытку нарушить или уничтожить среду. Однако существует множество обычных сценариев удаления виртуальных машин.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии сильного признака нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации, чтобы уменьшить инциденты B-TP и только оповещение при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

  • TP: Если вы можете подтвердить, что удаления были несанкционированными.

    Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей для других индикаторов компрометации и изучите область влияния.

  • B-TP: Если после расследования вы можете подтвердить, что администратор был авторизован для выполнения этих действий по удалению.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Обратитесь к пользователю и подтвердите действие.
  2. Просмотрите все действия пользователей для получения дополнительных индикаторов компрометации, таких как оповещение, за одним из следующих оповещений: "Невозможное путешествие", "Действия с анонимного IP-адреса" или "Действия" из редкой страны.

Активность программы-шантажиста

Программы-шантажисты — это кибератака, в которой злоумышленник блокирует жертв из своих устройств или блокирует их доступ к файлам до тех пор, пока жертва не будет платить выкуп. Программы-шантажисты могут распространяться вредоносным общим файлом или скомпрометированной сетью. Defender для облака Приложения используют опыт исследования безопасности, аналитику угроз и научились шаблоны поведения для выявления действий программ-шантажистов. Например, высокий уровень передачи файлов или удаления файлов может представлять собой процесс шифрования, распространенный среди операций программ-шантажистов.

Это обнаружение устанавливает базовый план обычных рабочих шаблонов каждого пользователя в организации, например, когда пользователь обращается к облаку и что они обычно делают в облаке.

Политики автоматического обнаружения угроз Defender для облака Apps начинают работать в фоновом режиме с момента подключения. Используя наш опыт исследования безопасности для выявления шаблонов поведения, которые отражают действия программ-шантажистов в нашей организации, Defender для облака Apps обеспечивает комплексное покрытие от сложных атак программ-шантажистов.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP. Если вы можете подтвердить, что действие не выполнялось пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP (необычное поведение): пользователь законно выполнил несколько действий по удалению и отправке аналогичных файлов в короткий период времени.

    Рекомендуемое действие. После просмотра журнала действий и подтверждения того, что расширения файлов не подозрительны, опустите оповещение.

  3. FP (расширение общего файла программы-шантажистов): если вы можете подтвердить, что расширения затронутых файлов соответствуют известному расширению программы-шантажистов.

    Рекомендуемое действие. Обратитесь к пользователю и подтвердите, что файлы безопасны, а затем закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите журнал действий для других индикаторов компрометации, таких как массовая загрузка или массовое удаление файлов.
  2. Если вы используете Microsoft Defender для конечной точки, просмотрите оповещения компьютера пользователя, чтобы узнать, обнаружены ли вредоносные файлы.
  3. Выполните поиск в журнале действий по отправке и совместному использованию вредоносных файлов.

Необычное действие удаления файлов (по пользователю)

Действия, указывающие, что пользователь выполнил необычное действие удаления файлов по сравнению с базовым уровнем обучения. Это может указывать на атаку программ-шантажистов. Например, злоумышленник может зашифровать файлы пользователя и удалить все исходные файлы, оставив только зашифрованные версии, которые можно использовать для принудительного применения жертвы для оплаты выкупа. Defender для облака Приложения создают базовые показатели на основе нормального поведения пользователя и активируют оповещение при обнаружении необычного поведения.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которых оповещения не активируются для новых расположений.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что действие не выполнялось законным пользователем.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. FP: Если вы можете подтвердить, что пользователь законно выполнил больше действий по удалению файлов, чем установленный базовый план.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите действия удаления и создайте список удаленных файлов. При необходимости восстановите удаленные файлы.
  2. При необходимости создайте сборник схем с помощью Power Automate для связи с пользователями и их руководителями для проверки действия.

Увеличение оценки приоритета исследования (предварительная версия)

Аномальные действия и действия, которые активировали оповещения, предоставляются оценки на основе серьезности, влияния пользователя и анализа поведения пользователя. Анализ выполняется на основе других пользователей в клиентах.

При значительном и аномальном увеличении оценки приоритета исследования определенного пользователя оповещение будет активировано.

Это оповещение позволяет обнаруживать потенциальные нарушения, которые характеризуются действиями, которые не обязательно запускают определенные оповещения, но накапливаются в подозрительном поведении для пользователя.

период Обучение

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для увеличения оценки.

TP, B-TP или FP?

  1. TP: Если вы можете подтвердить, что действия пользователя не являются законными.

    Рекомендуемое действие. Приостановка пользователя, пометка пользователя как скомпрометированного и сброса пароля.

  2. B-TP: Если вы можете подтвердить, что пользователь действительно значительно отклонился от обычного поведения, но нет потенциального нарушения.

  3. FP (необычное поведение): если вы можете подтвердить, что пользователь законно выполнил необычные действия или больше действий, чем установленные базовые показатели.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия пользователей и оповещения для получения дополнительных индикаторов компрометации.

См. также

Изучение поведения пользователей, совершающих рискованные действия