Руководство. Обнаружение подозрительных действий пользователей с помощью аналитики поведения (UEBA)

Microsoft Defender for Cloud Apps включает в себя обнаружение скомпрометированных пользователей, внутренние угрозы, кражу данных и действия программ-шантажистов. Служба использует обнаружение аномалий, аналитику поведения пользователей и сущностей (UEBA) и обнаружение действий на основе правил для анализа активности пользователей в подключенных приложениях.

Несанкционированные или непредвиденные изменения в облачной среде могут привести к риску безопасности и эксплуатации. Например, изменения в ключевых корпоративных ресурсах, таких как серверы, на которых работает общедоступный веб-сайт или служба, которые вы предоставляете клиентам, могут быть скомпрометированы.

Defender for Cloud Apps собирает и анализирует данные из нескольких источников для выявления действий приложений и пользователей в организации. Этот анализ дает аналитикам безопасности представление об использовании облака. Собранные данные коррелируются, стандартизированы и обогащены сведениями об угрозах и местоположении, чтобы обеспечить точное и согласованное представление о подозрительных действиях.

Перед настройкой обнаружения настройте следующие источники данных:

Source	Описание
Журнал действий	Действия из приложений, подключенных к API.
Журнал обнаружения	Действия, извлеченные из журнала трафика брандмауэра и прокси-сервера, пересылаемые в Defender for Cloud Apps. Журналы анализируются по каталогу облачных приложений, ранжируются и оцениваются на основе более чем 90 факторов риска.
Журнал прокси-сервера	Действия из приложений условного доступа управляют приложениями.

Настройте следующие политики, задав фильтры и динамические пороговые значения (UEBA) для обучения моделей обнаружения. Кроме того, можно настроить подавления, чтобы уменьшить количество распространенных ложноположительных обнаружений:

• Обнаружение аномалий
• Обнаружение аномалий обнаружения в облаке
• Обнаружение действий на основе правил

Узнайте, как настроить обнаружение действий пользователей для выявления истинных компрометации и уменьшения ненужных оповещений, которые возникают в результате большого объема ложноположительных обнаружений.

• настраивать диапазоны IP-адресов;
• Настройка политик обнаружения аномалий
• Настройка политик обнаружения аномалий в облаке
• Настройка политик обнаружения на основе правил
• Настройка оповещений
• Исследование и исправление

Этап 1. Настройка диапазонов IP-адресов

• Настройте диапазоны IP-адресов для точной настройки политик обнаружения подозрительных действий пользователей.

Настройка известных IP-адресов помогает алгоритмам машинного обучения определять известные расположения и рассматривать их как часть моделей машинного обучения. Например, добавление диапазона IP-адресов VPN помогает модели правильно классифицировать этот диапазон IP-адресов и автоматически исключить его из обнаружения невозможных поездок, так как расположение VPN не представляет истинное расположение этого пользователя.

Примечание.

Defender for Cloud Apps использует диапазоны IP-адресов в службе, а не только для обнаружения. Диапазоны IP-адресов используются в журнале действий, условном доступе и многом другом. Например, определение IP-адресов физических офисов позволяет настроить способ просмотра и изучения журналов и оповещений.

Просмотр оповещений об обнаружении аномалий

Defender for Cloud Apps включает набор оповещений об обнаружении аномалий для выявления различных сценариев безопасности. Они начинают профилировать действия пользователей и создавать оповещения сразу после подключения соответствующих соединителей приложений.

Начните с ознакомления с различными политиками обнаружения. Определите приоритеты основных сценариев, которые, по вашему мнению, наиболее актуальны для вашей организации, и настройте политики соответствующим образом.

Этап 2. Настройка политик обнаружения аномалий

Defender for Cloud Apps включает несколько встроенных политик обнаружения аномалий, которые предварительно настроены для распространенных вариантов использования безопасности. К популярным обнаружениям относятся:

Обнаружение	Описание
Невозможное путешествие	Действия одного и того же пользователя в разных местах в течение периода, который короче ожидаемого времени перемещения между этими двумя расположениями.
Действия из редкой страны	Действия из расположения, которое пользователь недавно или никогда не посещал.
Обнаружение вредоносных программ	Сканирует файлы в облачных приложениях и запускает подозрительные файлы с помощью подсистемы аналитики угроз Майкрософт, чтобы проверка, связаны ли они с известными вредоносными программами.
Действие программ-шантажистов	Загрузка в облако файлов, которые могут быть заражены программой-шантажистом.
Действия с подозрительных IP-адресов	Действия с IP-адреса, который Майкрософт Threat Intelligence определил как рискованные.
Подозрительная пересылка папки "Входящие"	Обнаруживает подозрительные правила пересылки входящих сообщений, установленные для почтового ящика пользователя.
Необычные действия по скачиванию нескольких файлов	Обнаруживает несколько действий по скачиванию файлов в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.
Необычные административные действия	Обнаруживает несколько административных действий в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.

Примечание.

Некоторые обнаружения аномалий сосредоточены на обнаружении проблемных сценариев безопасности, в то время как другие помогают выявлять и исследовать аномальное поведение пользователей, которое не обязательно может указывать на компрометацию. Для таких обнаружений можно использовать варианты поведения, доступные в Microsoft Defender XDR расширенной охоты.

1. Область применения политик для определенных пользователей или групп

   Определение политик для конкретных пользователей помогает снизить уровень шума от оповещений, которые не относятся к вашей организации. Каждую политику можно настроить для включения или исключения определенных пользователей и групп, например в следующих примерах:

   • Имитация атак
     Многие организации используют пользователя или группу для постоянного моделирования атак. Постоянное получение оповещений от действий этих пользователей создает ненужный шум. Настройте политики, чтобы исключить этих пользователей или группы. Это действие помогает моделям машинного обучения идентифицировать этих пользователей и точно настраивать их динамические пороговые значения.
   • Целевые обнаружения
     Может потребоваться изучить определенную группу виртуальных ip-пользователей, таких как члены группы администраторов или менеджеров по опыту (CXO). В этом случае создайте политику для действий, которые вы хотите обнаружить, и включите в нее только интересующий вас набор пользователей или групп.

2. Настройка обнаружения аномальных входов

   Оповещения, возникающие в результате неудачных действий входа, могут указывать на то, что кто-то пытается нацелиться на одну или несколько учетных записей пользователей.

   Скомпрометированные учетные данные являются распространенной причиной перехода на учетную запись и несанкционированных действий. Невозможные поездки, действия с подозрительных IP-адресов и редкие оповещения об обнаружении страны или региона помогают обнаруживать действия, предполагающие, что учетная запись потенциально скомпрометирована.

3. Настройка чувствительности невозможного перемещенияНастройте ползунок чувствительности , который определяет уровень подавления, применяемый к аномальному поведению, перед запуском предупреждения о невозможности перемещения. Организациям, заинтересованным в высокой точности, следует рассмотреть вопрос о повышении уровня конфиденциальности. Если в вашей организации много путешествующих пользователей, рекомендуется снизить уровень конфиденциальности, чтобы запретить действия из общих расположений пользователя, полученные из предыдущих действий. Вы можете выбрать один из следующих уровней конфиденциальности:

   • Низкий уровень: подавление системы, клиента и пользователей
   • Средний уровень: подавление системы и пользователей
   • Высокий: только подавление системы

   Где:

   Тип подавления	Описание
   Система	Встроенные обнаружения, которые всегда подавляются.
   Клиент	Распространенные действия на основе предыдущих действий в клиенте. Например, подавление действий поставщика услуг Интернета, о ранее оповещенном в вашей организации.
   Пользователь	Распространенные действия на основе предыдущих действий конкретного пользователя. Например, подавление действий из расположения, которое обычно используется пользователем.

Этап 3. Настройка политик обнаружения аномалий в облаке

Вы можете настроить несколько встроенных политик обнаружения аномалий в облаке или создать собственные политики, чтобы определить другие сценарии, которые стоит изучить. Эти политики используют журналы обнаружения облака с возможностями настройки , ориентированными на аномальное поведение приложения и кражу данных.

Настройка мониторинга использования

Задайте фильтры использования для управления область и периодом действия для обнаружения аномального поведения. Например, получать оповещения об аномальных действиях от сотрудников исполнительного уровня.

Настройка конфиденциальности оповещений

Чтобы уменьшить количество ненужных оповещений, настройте конфиденциальность оповещений. Используйте ползунок конфиденциальности для управления количеством оповещений с высоким риском, отправляемых на 1000 пользователей в неделю. Для повышения чувствительности требуется меньше отклонений, чтобы считаться аномалией и создавать больше оповещений. Как правило, установите низкую чувствительность для пользователей, у которых нет доступа к конфиденциальным данным.

Этап 4. Настройка политик обнаружения (действий) на основе правил

Политики обнаружения на основе правил дополняют политики обнаружения аномалий требованиями организации. Создайте политики на основе правил с помощью одного из шаблонов политики действий.

Если ваша организация не имеет присутствия в определенной стране или регионе, создайте политику, которая обнаруживает аномальные действия из этого расположения. Для организаций с крупными филиалами в этой стране или регионе такие действия являются нормальными, и обнаружить такие действия не имеет смысла.

1. Перейдите в раздел Политики>Шаблоны политик и задайте для фильтра Типзначение Политика действий. Настройте фильтры действий для обнаружения поведения, которое не является нормальным для вашей среды.
2. Настройка тома действий
   Выберите объем действий, необходимых до того, как обнаружение вызовет оповещение. Если ваша организация не имеет присутствия в стране или регионе, даже одно действие имеет большое значение и требует оповещения. Сбой единого входа может быть человеческой ошибкой и может быть интересна только в том случае, если в течение короткого периода времени произошло много сбоев.
3. Настройка фильтров действий
   Задайте фильтры, необходимые для определения типа действий, о которых вы хотите оповещать. Например, чтобы обнаружить действия из страны или региона, используйте параметр Location .
4. Настройка оповещений
   Чтобы уменьшить количество ненужных оповещений, установите ограничение на ежедневное количество оповещений.

Этап 5. Настройка оповещений

Примечание.

15 декабря 2022 г. корпорация Майкрософт не рекомендует использовать функцию оповещений и SMS (текстовые сообщения). Если вы хотите получать текстовые оповещения, используйте Майкрософт Power Automate для автоматизации пользовательских оповещений. Дополнительные сведения см. в статье Интеграция с Майкрософт Power Automate для автоматизации пользовательских оповещений.

Чтобы получать немедленное оповещение в любое время суток, выберите получение их по электронной почте.

Вам также может потребоваться возможность анализа оповещений в контексте других оповещений, активированных другими продуктами в вашей организации. Этот анализ дает целостное представление о потенциальной угрозе. Например, может потребоваться сопоставить события в облаке и локальной среде, чтобы узнать, есть ли другие доказательства, подтверждающие атаку.

Вы можете использовать Майкрософт Power Automate для активации пользовательской автоматизации оповещений. При активации оповещения можно:

• Настройка сборника схем
• Создание проблемы в ServiceNow
• Отправка сообщения электронной почты об утверждении для запуска настраиваемого действия управления при активации оповещения

Для настройки оповещений используйте следующие рекомендации.

1. Электронная почта
   Выберите этот параметр для получения оповещений по электронной почте.
2. SIEM
   Существует несколько вариантов интеграции SIEM, включая Microsoft Sentinel, Microsoft Graph API безопасности и другие универсальные SIEM. Выберите интеграцию, которая лучше всего соответствует вашим требованиям.
3. Автоматизация Power Automate
   Создайте необходимые сборники схем автоматизации и задайте в качестве оповещения политики действие Power Automate.

Этап 6. Исследование и исправление

Чтобы оптимизировать защиту, настройте автоматические действия по исправлению, чтобы свести к минимуму риск для вашей организации. Политики позволяют применять действия по управлению с оповещениями, чтобы снизить риск для вашей организации еще до начала исследования. Тип политики определяет доступные действия, включая такие действия, как приостановка пользователя или блокировка доступа к запрошенным ресурсам.