Hämta beteendeanalys och avvikelseidentifiering

Anteckning

  • Vi har bytt namn på Microsoft Cloud App Security. Den heter nu Microsoft Defender for Cloud Apps. Under de kommande veckorna uppdaterar vi skärmbilderna och instruktionerna här och på relaterade sidor. Mer information om ändringen finns i det här meddelandet. Mer information om den senaste namnbytet av Microsofts säkerhetstjänster finns i Microsoft Ignite-säkerhetsbloggen.

  • Microsoft Defender for Cloud Apps ingår nu i Microsoft 365 Defender. Med Microsoft 365 Defender portalen kan säkerhetsadministratörer utföra sina säkerhetsuppgifter på en plats. Detta förenklar arbetsflöden och lägger till funktionerna i de andra Microsoft 365 Defender tjänsterna. Microsoft 365 Defender är ett hem för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

Principerna för Microsoft Defender for Cloud Apps avvikelseidentifiering tillhandahåller färdiga användar- och entitetsbeteendeanalyser (UEBA) och maskininlärning (ML) så att du redan från början är redo att köra avancerad hotidentifiering i molnmiljön. Eftersom de aktiveras automatiskt startar de nya avvikelseidentifieringsprinciperna omedelbart processen för att identifiera och sortera resultat och riktar in sig på flera beteendeavvikelser för dina användare och de datorer och enheter som är anslutna till nätverket. Dessutom exponerar principerna mer data från Defender för Cloud Apps-identifieringsmotorn för att hjälpa dig att påskynda undersökningsprocessen och begränsa pågående hot.

Principerna för avvikelseidentifiering aktiveras automatiskt, men Defender för Cloud Apps har en inledande inlärningsperiod på sju dagar då inte alla aviseringar om avvikelseidentifiering aktiveras. När data samlas in från dina konfigurerade API-anslutningsappar jämförs varje session med aktiviteten, när användare var aktiva, IP-adresser, enheter och så vidare, identifierade under den senaste månaden och riskpoängen för dessa aktiviteter. Tänk på att det kan ta flera timmar innan data är tillgängliga från API-anslutningsappar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet. Dessa identifieringar använder också maskininlärningsalgoritmer som utformats för att profilera användarna och logga in för att minska falska positiva identifieringar.

Avvikelserna identifieras genom att användaraktiviteter genomsöks. Risken utvärderas genom att titta på över 30 olika riskindikatorer, grupperade i riskfaktorer, enligt följande:

  • Riskfylld IP-adress
  • Inloggningsfel
  • Admin aktivitet
  • Inaktiva konton
  • Location
  • Omöjlig resa
  • Enhets- och användaragent
  • Aktivitetsfrekvens

Säkerhetsvarningar utlöses baserat på principresultatet. Defender för Cloud Apps tittar på varje användarsession i molnet och varnar dig när något händer som skiljer sig från baslinjen för din organisation eller användarens vanliga aktivitet.

Förutom interna Defender för Cloud Apps-aviseringar får du även följande identifieringsaviseringar baserat på information som tas emot från Azure Active Directory (AD) Identity Protection:

Dessa principer visas på sidan Defender för Cloud Apps-principer och kan aktiveras eller inaktiveras.

Principer för avvikelseidentifiering

Du kan se avvikelseidentifieringsprinciperna i portalen genom att välja Kontroll och sedan Principer. Välj sedan Princip för avvikelseidentifiering för principtypen.

nya principer för avvikelseidentifiering.

Följande principer för avvikelseidentifiering är tillgängliga:

Omöjlig resa

  • Den här identifieringen identifierar två användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det skulle ha tagit användaren att resa från den första platsen till den andra, vilket indikerar att en annan användare använder samma autentiseringsuppgifter. Den här identifieringen använder en maskininlärningsalgoritm som ignorerar uppenbara "falska positiva" som bidrar till det omöjliga resetillståndet, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Identifieringen har en inledande inlärningsperiod på sju dagar då den lär sig en ny användares aktivitetsmönster. Den omöjliga reseidentifieringen identifierar ovanlig och omöjlig användaraktivitet mellan två platser. Aktiviteten bör vara ovanlig nog att betraktas som en indikator på kompromisser och värd en avisering. För att det här ska fungera innehåller identifieringslogik olika nivåer av undertryckning för att hantera scenarier som kan utlösa falsk positiv identifiering, till exempel VPN-aktiviteter eller aktivitet från molnleverantörer som inte anger en fysisk plats. Med skjutreglaget för känslighet kan du påverka algoritmen och definiera hur strikt identifieringslogik är. Ju högre känslighetsnivå, desto färre aktiviteter ignoreras som en del av identifieringslogik. På så sätt kan du anpassa identifieringen efter dina täckningsbehov och dina SNR-mål.

    Anteckning

    • När IP-adresserna på båda sidor av resan anses vara säkra är resan betrodd och utesluts från att utlösa identifieringen av omöjlig resa. Båda sidor anses till exempel vara säkra om de är taggade som företag. Men om IP-adressen för endast en sida av resan anses vara säker utlöses identifieringen som vanligt.
    • Platserna beräknas på landsnivå. Det innebär att det inte kommer att finnas några aviseringar för två åtgärder med ursprung i samma land eller i gränsländer.

Aktivitet från sällan förekommande land

  • Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen. En avisering utlöses när en aktivitet inträffar från en plats som inte har besökts nyligen eller aldrig besökts av någon användare i organisationen.

Identifiering av skadlig kod

  • Den här identifieringen identifierar skadliga filer i molnlagringen, oavsett om de kommer från dina Microsoft-appar eller appar från tredje part. Microsoft Defender for Cloud Apps använder Microsofts hotinformation för att identifiera om vissa filer är associerade med kända attacker mot skadlig kod och potentiellt skadliga. Den här inbyggda principen är inaktiverad som standard. Filer som kan vara riskfyllda enligt vår heuristik kommer också att genomsökas i sandbox-miljön. När skadliga filer har identifierats kan du se en lista över infekterade filer. Välj filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som ger dig information om vilken typ av skadlig kod filen är infekterad med.

    Du kan använda den här identifieringen i realtid med hjälp av sessionsprinciper för att styra filuppladdningar och nedladdningar.

    Defender för Cloud Apps stöder identifiering av skadlig kod för följande appar:

    • Box
    • Dropbox
    • Google Workspace
    • Office 365 (kräver en giltig licens för Microsoft Defender för Office 365 P1)

    Anteckning

    Skadlig kod som identifieras i Office 365 appar blockeras automatiskt av appen och användaren kan inte nå filen. Endast appens administratör har åtkomst.

    I Box, Dropbox och Google Workspace blockerar Defender för Cloud Apps inte filen, men blockering kan utföras enligt appens funktioner och appens konfiguration som kunden har angett.

Aktivitet från anonyma IP-adresser

  • Den här identifieringen identifierar att användare var aktiva från en IP-adress som har identifierats som en anonym proxy-IP-adress. Dessa proxyservrar används av personer som vill dölja sin enhets IP-adress och kan användas för skadliga avsikter. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel felmärkta IP-adresser som ofta används av användare i organisationen.

Utpressningstrojanaktivitet

  • Defender for Cloud Apps utökade sina funktioner för identifiering av utpressningstrojaner med avvikelseidentifiering för att säkerställa en mer omfattande täckning mot sofistikerade utpressningstrojanattacker. Med hjälp av vår expertis inom säkerhetsforskning för att identifiera beteendemönster som återspeglar utpressningstrojanaktivitet säkerställer Defender for Cloud Apps ett holistiskt och robust skydd. Om Defender för Cloud Apps till exempel identifierar en hög frekvens av filuppladdningar eller filborttagningsaktiviteter kan det representera en negativ krypteringsprocess. Dessa data samlas in i loggarna som tas emot från anslutna API:er och kombineras sedan med inlärda beteendemönster och hotinformation, till exempel kända tillägg för utpressningstrojaner. Mer information om hur Defender för Cloud Apps identifierar utpressningstrojaner finns i Skydda din organisation mot utpressningstrojaner.

Aktivitet som utförs av avslutad användare

  • Med den här identifieringen kan du identifiera när en avslutad medarbetare fortsätter att utföra åtgärder på dina SaaS-appar. Eftersom data visar att den största risken för insiderhot kommer från anställda som lämnat på dåliga villkor, är det viktigt att hålla ett öga på aktiviteten på konton från avslutade anställda. Ibland, när anställda lämnar ett företag, avetablerad deras konton från företagsappar, men i många fall behåller de fortfarande åtkomst till vissa företagsresurser. Detta är ännu viktigare när du överväger privilegierade konton, eftersom den potentiella skada som en tidigare administratör kan göra i sig är större. Den här identifieringen drar nytta av Defender för Cloud Apps-möjligheten att övervaka användarbeteendet mellan appar, vilket gör det möjligt att identifiera användarens regelbundna aktivitet, det faktum att kontot har tagits bort och den faktiska aktiviteten i andra appar. En anställd vars Azure AD konto har tagits bort, men fortfarande har åtkomst till företagets AWS-infrastruktur, kan till exempel orsaka storskaliga skador.

Identifieringen söker efter användare vars konton har tagits bort i Azure AD, men fortfarande utför aktiviteter på andra plattformar, till exempel AWS eller Salesforce. Detta är särskilt relevant för användare som använder ett annat konto (inte deras primära konto för enkel inloggning) för att hantera resurser, eftersom dessa konton ofta inte tas bort när en användare lämnar företaget.

Aktivitet från misstänkta IP-adresser

  • Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som riskabel av Microsoft Threat Intelligence. Dessa IP-adresser är inblandade i skadliga aktiviteter, till exempel att utföra lösenordsspray, Botnet C C&och kan tyda på komprometterat konto. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel felmärkta IP-adresser som ofta används av användare i organisationen.

Misstänkt vidarebefordran av inkorgar

  • Den här identifieringen söker efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.

Anteckning

Defender för Cloud Apps varnar dig bara för varje vidarebefordringsregel som identifieras som misstänkt, baserat på användarens typiska beteende.

Misstänkta regler för inkorgsmanipulering

  • Den här identifieringen profilerar din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar har angetts i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i din organisation.

Misstänkt e-postborttagningsaktivitet (förhandsversion)

  • Den här principen profilerar din miljö och utlöser aviseringar när en användare utför misstänkta aktiviteter för e-postborttagning i en enda session. Den här principen kan tyda på att en användares postlådor kan komprometteras av potentiella attackvektorer som kommando- och kontrollkommunikation (C&C/C2) via e-post.

Anteckning

Defender för Cloud Apps integreras med Microsoft Defender för Office 365 för att ge skydd för Exchange Online, inklusive URL-detonation, skydd mot skadlig kod med mera. När Defender för Office 365 har aktiverats börjar du se aviseringar i aktivitetsloggen för Defender för Cloud Apps.

Misstänkta nedladdningsaktiviteter för OAuth-appfiler

  • Söker igenom OAuth-apparna som är anslutna till din miljö och utlöser en avisering när en app laddar ned flera filer från Microsoft SharePoint eller Microsoft OneDrive på ett sätt som är ovanligt för användaren. Detta kan tyda på att användarkontot har komprometterats.

Ovanlig ISP för en OAuth-app

  • Den här principen profilerar din miljö och utlöser aviseringar när en OAuth-app ansluter till dina molnprogram från en ovanlig Internetleverantör. Den här principen kan tyda på att en angripare försökte använda en legitim komprometterad app för att utföra skadliga aktiviteter i dina molnprogram.

Ovanliga aktiviteter (efter användare)

Dessa identifieringar identifierar användare som utför:

  • Ovanliga nedladdningsaktiviteter för flera filer
  • Ovanliga filresursaktiviteter
  • Ovanliga filborttagningsaktiviteter
  • Ovanliga personifierade aktiviteter
  • Ovanlig administrativ verksamhet
  • Ovanliga power BI-rapportdelningsaktiviteter (förhandsversion)
  • Ovanliga aktiviteter för att skapa flera virtuella datorer (förhandsversion)
  • Ovanliga aktiviteter för borttagning av flera lagringsenheter (förhandsversion)
  • Ovanlig region för molnresurs (förhandsversion)
  • Ovanlig filåtkomst

Dessa principer söker efter aktiviteter inom en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök. Dessa identifieringar använder en maskininlärningsalgoritm som profilerar användarnas inloggningsmönster och minskar falska positiva identifieringar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet.

Flera misslyckade inloggningsförsök

  • Den här identifieringen identifierar användare som misslyckats med flera inloggningsförsök i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

Dataexfiltrering till icke-sanktionerade appar

  • Den här principen aktiveras automatiskt för att varna dig när en användare eller IP-adress använder en app som inte är sanktionerad för att utföra en aktivitet som liknar ett försök att exfiltera information från din organisation.

Flera aktiviteter för att ta bort virtuella datorer

  • Den här principen profilerar din miljö och utlöser aviseringar när användare tar bort flera virtuella datorer i en enda session, i förhållande till baslinjen i din organisation. Detta kan tyda på ett intrångsförsök.

Aktivera automatiserad styrning

Du kan aktivera automatiska reparationsåtgärder för aviseringar som genereras av principer för avvikelseidentifiering.

  1. Välj namnet på identifieringsprincipen på sidan Princip .
  2. I fönstret Redigera princip för avvikelseidentifiering som öppnas under Styrning anger du de reparationsåtgärder du vill ha för varje ansluten app eller för alla appar.
  3. Välj Uppdatera.

Justera principer för avvikelseidentifiering

Så här påverkar du avvikelseidentifieringsmotorn för att undertrycka eller visa aviseringar enligt dina inställningar:

  • I principen Impossible Travel (Omöjlig resa) kan du ange skjutreglaget för känslighet för att fastställa vilken nivå av avvikande beteende som krävs innan en avisering utlöses. Om du till exempel ställer in den på låg eller medelhög, undertrycks Aviseringar om omöjlig resa från en användares gemensamma platser, och om du ställer in den på hög visas sådana aviseringar. Du kan välja mellan följande känslighetsnivåer:

    • Låg: System-, klient- och användarundertryckningar

    • Medel: System- och användarundertryckningar

    • Hög: Endast systemundertryckningar

      Plats:

      Undertryckningstyp Description
      System Inbyggda identifieringar som alltid ignoreras.
      Klientorganisation Vanliga aktiviteter baserat på tidigare aktivitet i klientorganisationen. Du kan till exempel förhindra aktiviteter från en ISP som tidigare aviseras i din organisation.
      Användare Vanliga aktiviteter baserat på den specifika användarens tidigare aktivitet. Du kan till exempel förhindra aktiviteter från en plats som ofta används av användaren.

Anteckning

Som standard övervakas äldre inloggningsprotokoll, till exempel de som inte använder multifaktorautentisering (till exempel WS-Trust), inte av den omöjliga reseprincipen. Om din organisation använder äldre protokoll, för att undvika att relevanta aktiviteter saknas, redigerar du principen och under Avancerad konfiguration anger du Analysera inloggningsaktiviteter till Alla inloggningar.

Omöjlig resa, aktivitet från ovanliga länder/regioner, aktivitet från anonyma IP-adresser och aktivitet från misstänkta IP-adressaviseringar gäller inte vid misslyckade inloggningar.

Omfångsprinciper för avvikelseidentifiering

Varje princip för avvikelseidentifiering kan begränsas oberoende så att den endast gäller för de användare och grupper som du vill inkludera och exkludera i principen. Du kan till exempel ange aktivitet från sällan förekommande länsidentifiering för att ignorera en specifik användare som reser ofta.

Så här omfångsbegränsar du en princip för avvikelseidentifiering:

  1. Välj Kontrollprinciper> och ange typfiltret till Princip för avvikelseidentifiering.

  2. Välj den princip som du vill omfånget.

  3. Under Omfång ändrar du listrutan från standardinställningen För Alla användare och grupper till Specifika användare och grupper.

  4. Välj Inkludera för att ange vilka användare och grupper som principen ska gälla för. Alla användare eller grupper som inte har valts här betraktas inte som ett hot och genererar ingen avisering.

  5. Välj Exkludera för att ange användare som den här principen inte ska gälla för. Alla användare som valts här betraktas inte som ett hot och genererar ingen avisering, även om de är medlemmar i grupper som valts under Inkludera.

    omfång för avvikelseidentifiering.

Sortera aviseringar om avvikelseidentifiering

Du kan snabbt sortera de olika aviseringar som utlöses av de nya avvikelseidentifieringsprinciperna och bestämma vilka som måste tas om hand först. För att göra detta behöver du kontexten för aviseringen, så att du kan se helheten och förstå om något skadligt verkligen händer.

  1. I aktivitetsloggen kan du öppna en aktivitet för att visa aktivitetslådan. Välj Användare för att visa fliken Användarinsikter. Den här fliken innehåller information som antal aviseringar, aktiviteter och var de har anslutit, vilket är viktigt i en undersökning.

    avisering om avvikelseidentifiering1.avisering om avvikelseidentifiering2.

  2. På så sätt kan du förstå vilka misstänkta aktiviteter som användaren har utfört och få större förtroende för om kontot har komprometterats. En avisering vid flera misslyckade inloggningar kan till exempel vara misstänkt och kan tyda på potentiell råstyrkeattack, men det kan också vara en felaktig konfiguration av programmet, vilket gör att aviseringen är en godartad sann positiv identifiering. Men om du ser en avisering om flera misslyckade inloggningar med ytterligare misstänkta aktiviteter finns det en högre sannolikhet att kontot komprometteras. I exemplet nedan kan du se att aviseringen Flera misslyckade inloggningsförsök följdes av aktivitet från en TOR IP-adress och omöjlig reseaktivitet, båda starka indikatorer på kompromisser (IOPS) på egen hand. Om detta inte var tillräckligt misstänkt kan du se att samma användare utförde en massnedladdningsaktivitet, vilket ofta är en indikator på att angriparen utför exfiltrering av data.

    avisering om avvikelseidentifiering3.

  3. När filer har identifierats för infekterade filer med skadlig kod kan du se en lista över infekterade filer. Välj filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som ger dig information om den typen av skadlig kod som filen är infekterad med.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du en supportbegäran.