Обнаружение угроз

  • 21 мин

Если вы понимаете, как защитить данные от случайного раскрытия, следующее, что следует учесть и что предоставляется одним из элементов платформы Defender for Cloud Apps, — это защита от киберугроз и аномалий.

Microsoft Defender for Cloud Apps включает готовые политики обнаружения аномалий, которые используют аналитику поведения пользователей и сущностей (UEBA) и машинное обучение для обеспечения расширенного обнаружения угроз в облачной среде. Важно отметить, что обнаружение аномалий по своей природе недетерминировано. Эти обнаружения происходят только в том случае, если поведение отклоняется от нормы.

Хотя политики обнаружения аномалий включены автоматически, Microsoft Defender for Cloud Apps использует первые семь дней для изучения вашей среды. Он проверяет IP-адреса, устройства и расположения, к которым имеют доступ ваши пользователи, определяет, какие приложения и службы они используют, и рассчитывает оценку риска для всех этих действий. Этот процесс является вкладом в базовый план, с которым сравнивается ваша среда и любые оповещения. Политики обнаружения также используют машинное обучение для профилей пользователей. Если Microsoft Defender for Cloud Apps распознает ваших пользователей и их обычные шаблоны входа, это помогает уменьшить количество оповещений при ложном срабатывании.

Аномалии обнаруживаются путем сканирования действий пользователей и оценки их риска. Риск оценивается по более чем 30 различным показателям, сгруппированным по следующим факторам риска:

  • Рискованный IP-адрес
  • Ошибки входа
  • Действия администратора
  • Неактивные учетные записи
  • Расположение
  • Неосуществимое перемещение
  • Устройство и агент пользователя
  • Оценка действий

Microsoft Defender for Cloud Apps проверяет каждый сеанс пользователя в облаке и оповещает вас в случае каких-либо отклонений от базового плана вашей организации или от обычных действий пользователя.

Обзор политики обнаружения аномалий

Политики обнаружения аномалий Microsoft Defender for Cloud Apps настроены для обнаружения различных проблем безопасности. Наиболее популярные из них:

  • Неосуществимое перемещение. Действия одного и того же пользователя в разных местах в течение периода, который короче ожидаемого времени перемещения между этими двумя расположениями.
  • Активность из нетипичных стран. Действия из расположения, которое не было недавно или никогда не посещал пользователь или любой пользователь в организации.
  • Обнаружение вредоносных программ. Сканирует файлы в облачных приложениях и запускает подозрительные файлы через подсистему аналитики угроз Майкрософт, чтобы определить, связаны ли они с известными вредоносными программами.
  • Действия программы-шантажиста. Загрузка в облако файлов, которые могут быть заражены программой-шантажистом.
  • Действия с подозрительных IP-адресов. Действия с IP-адреса, которые были определены службой Microsoft Threat Intelligence как опасные.
  • Подозрительная пересылка входящих сообщений. Обнаруживает подозрительные правила пересылки входящих сообщений, установленные для почтового ящика пользователя.
  • Необычные действия по скачиванию нескольких файлов. Обнаруживает несколько действий по скачиванию файлов в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.
  • Необычные административные действия. Обнаруживает несколько административных действий в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.

Настройка политики обнаружения аномалий

Теперь, когда вы узнали о политиках обнаружения аномалий, давайте настроим такую политику, чтобы вы могли познакомиться с действиями по настройке политики и настроить ее для вашей среды. Политика обнаружения аномалий направлена на обнаружение необычного увеличения использования облачных приложений. Она отслеживает увеличение скаченных данных, отправленных данных, транзакций и пользователей для каждого облачного приложения. Затем каждое увеличение сравнивается с базовым планом для приложения. Самые экстремальные увеличения вызывают оповещения системы безопасности.

Вы можете настроить фильтры для настройки отслеживания использования приложений. Фильтры включают фильтр приложений, выбранные представления данных и выбранную дату начала. Вы также можете настроить уровень конфиденциальности, что позволяет настроить количество оповещений, которые должна запускать политика.

Настройка политик обнаружения аномалий для подавления или предоставления оповещений

Хотя обнаружения аномалий происходят только в том случае, когда что-то происходит за пределами нормы, они по-прежнему подвержены ложным срабатываниям. Слишком много ложных срабатывай может привести к надоеданию оповещений, и вы рискуете пропустить важные оповещения в шуме. Чтобы предотвратить шум оповещений, можно точно настроить логику обнаружения в каждой политике, чтобы включить различные уровни подавления для сценариев, которые могут вызвать ложноположительные действия, например действия VPN.

При создании или изменении политики обнаружения аномалий вы определяете ее уровень конфиденциальности в соответствии с нужным типом покрытия. Более высокий уровень конфиденциальности использует более строгие алгоритмы логики обнаружения. Это позволяет адаптировать стратегии обнаружения для каждой политики.

Перед настройкой политики, полезно будет обсудить варианты подавления оповещений. Существует три типа подавления:

Тип подавления Описание
Система Встроенные обнаружения, которые всегда подавляются.
Клиент Распространенные действия на основе предыдущих действий в клиенте. Например, подавление действий поставщика услуг Интернета, о ранее оповещенном в вашей организации.
Пользователь Распространенные действия на основе предыдущих действий конкретного пользователя. Например, подавление действий из расположения, которое обычно используется пользователем.

Уровни конфиденциальности по-разному влияют на типы подавления:

Уровень конфиденциальности Затронутые типы подавления
Низкий Система, Клиент и Пользователь
Средний Система и Пользователь
Высокий Только Система

Вы также можете настроить, следует ли оповещениям об активности из нетипичных стран или регионов, анонимных IP-адресах, подозрительных IP-адресах и неосуществимом перемещении анализировать неудачные и успешные входы или только успешные входы.

Настройка политики области обнаружения аномалий для пользователей и групп

Каждая политика обнаружения аномалий может иметь независимую область действия, чтобы она применялась только к пользователям и группам, которых вы хотите включить или исключить из политики. Например, можно задать для параметра Activity from infreququentent country/region detection (Действие из редких стран или регионов), чтобы игнорировать конкретного пользователя, который часто путешествует.

Чтобы определить область действия политики обнаружения аномалий:

  1. Войдите на портал Microsoft Defender for Cloud Apps через браузер.

  2. Выберите Управление>Политики и установите для фильтра Тип значение Политика обнаружения аномалий.

  3. Выберите политику, для которой хотите определить область действия.

  4. В разделе Область действия измените значение раскрывающегося списка со значения по умолчанию Все пользователи и группы на Определенные пользователи и группы.

  5. Выберите Включить , чтобы указать пользователей и группы, к которым применяется эта политика. Любой пользователь или группа, не выбранные здесь, не будут считаться угрозой или не будут создавать оповещение.

  6. Выберите Исключить, чтобы указать пользователей, к которым эта политика не будет применяться. Любой выбранный здесь пользователь не будет считаться угрозой или создавать оповещение, даже если он входит в группы, выбранные в разделе Включить.

    Снимок экрана: изменение политики обнаружения аномалий.

  7. После внесения изменений в область действия выберите Обновить, чтобы зафиксировать изменение.