Undersöka aviseringar om identifierade avvikelser
Microsoft Defender för molnet Apps tillhandahåller säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering för att hjälpa dig med dina undersöknings- och reparationsuppgifter. Den här guiden innehåller allmän information om villkoren för utlösande av aviseringar. Det är dock viktigt att observera att eftersom avvikelseidentifieringar inte är icke-terministiska av naturen utlöses de bara när det finns beteende som avviker från normen. Slutligen kan vissa aviseringar vara i förhandsversion, så granska regelbundet den officiella dokumentationen för uppdaterad aviseringsstatus.
MITRE ATT&CK
För att förklara och göra det enklare att mappa relationen mellan Defender för molnet Apps-aviseringar och den välbekanta MITRE ATT&CK-matrisen har vi kategoriserat aviseringarna enligt motsvarande MITRE ATT&CK-taktik. Den här extra referensen gör det lättare att förstå vilken teknik för misstänkta attacker som kan användas när en Defender för molnet Apps-avisering utlöses.
Den här guiden innehåller information om hur du undersöker och åtgärdar Defender för molnet Apps-aviseringar i följande kategorier.
Klassificeringar av säkerhetsaviseringar
Efter en korrekt undersökning kan alla Defender för molnet Apps-aviseringar klassificeras som någon av följande aktivitetstyper:
- Sant positivt (TP): En avisering om en bekräftad skadlig aktivitet.
- Godartad sann positiv (B-TP): En avisering om misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller annan auktoriserad misstänkt åtgärd.
- Falskt positivt (FP): En avisering om en icke-skadlig aktivitet.
Allmänna undersökningssteg
Du bör använda följande allmänna riktlinjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse för det potentiella hotet innan du tillämpar den rekommenderade åtgärden.
- Granska användarens prioritetspoäng för undersökning och jämför med resten av organisationen. Detta hjälper dig att identifiera vilka användare i din organisation som utgör den största risken.
- Om du identifierar en TP granskar du alla användarens aktiviteter för att få en förståelse för effekten.
- Granska all användaraktivitet för andra indikatorer på kompromisser och utforska källan och omfattningen av påverkan. Granska till exempel följande information om användarenheter och jämför med känd enhetsinformation:
- Operativsystem och version
- Webbläsare och version
- IP-adress och plats
Inledande åtkomstaviseringar
I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker få ett första fotfäste i din organisation.
Aktivitet från anonym IP-adress
Beskrivning
Aktivitet från en IP-adress som har identifierats som en anonym proxy-IP-adress av Microsoft Threat Intelligence eller av din organisation. Dessa proxyservrar kan användas för att dölja en enhets IP-adress och kan användas för skadliga aktiviteter.
TP, B-TP eller FP?
Den här identifieringen använder en maskininlärningsalgoritm som minskar B-TP-incidenter , till exempel felmärkta IP-adresser som ofta används av användare i organisationen.
TP: Om du kan bekräfta att aktiviteten utfördes från en anonym ELLER TOR IP-adress.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
B-TP: Om en användare är känd för att använda anonyma IP-adresser inom ramen för sina uppgifter. Till exempel när en säkerhetsanalytiker utför säkerhets- eller intrångstester för organisationens räkning.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska alla användaraktiviteter och aviseringar för andra indikatorer på kompromisser. Om aviseringen till exempel följdes av en annan misstänkt avisering, till exempel en ovanlig filnedladdning (efter användare) eller en avisering om misstänkt vidarebefordran av inkorgen, indikerar det ofta att en angripare försöker exfiltera data.
Aktivitet från sällan förekommande land
Aktivitet från ett land/en region som kan tyda på skadlig aktivitet. Den här principen profilerar din miljö och utlöser aviseringar när aktiviteten identifieras från en plats som inte nyligen eller aldrig besöktes av någon användare i organisationen.
Principen kan begränsas ytterligare till en delmängd användare eller utesluta användare som är kända för att resa till fjärranslutna platser.
Utbildningsperiod
Identifiering av avvikande platser kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd:
- Pausa användaren, återställ lösenordet och identifiera rätt tid för att på ett säkert sätt återaktivera kontot.
- Valfritt: Skapa en spelbok med Hjälp av Power Automate för att kontakta användare som identifieras som anslutna från ovanliga platser och deras chefer för att verifiera deras aktivitet.
B-TP: Om en användare är känd för att vara på den här platsen. Till exempel när en användare som reser ofta och för närvarande befinner sig på den angivna platsen.
Rekommenderad åtgärd:
- Stäng aviseringen och ändra principen för att exkludera användaren.
- Skapa en användargrupp för frekventa resenärer, importera gruppen till Defender för molnet-appar och exkludera användarna från den här aviseringen
- Valfritt: Skapa en spelbok med Hjälp av Power Automate för att kontakta användare som identifieras som anslutna från ovanliga platser och deras chefer för att verifiera deras aktivitet.
Förstå omfattningen av överträdelsen
- Granska vilken resurs som kan ha komprometterats, till exempel potentiella datanedladdningar.
Aktivitet från misstänkta IP-adresser
Aktivitet från en IP-adress som har identifierats som riskabel av Microsoft Threat Intelligence eller av din organisation. Dessa IP-adresser identifierades som inblandade i skadliga aktiviteter, till exempel att utföra lösenordsspray, botnet-kommando och kontroll (C&C) och kan tyda på ett komprometterat konto.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
B-TP: Om en användare är känd för att använda IP-adressen inom ramen för sina uppgifter. Till exempel när en säkerhetsanalytiker utför säkerhets- eller intrångstester för organisationens räkning.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen och sök efter aktiviteter från samma IP-adress.
- Granska vilken resurs som kan ha komprometterats, till exempel potentiella datanedladdningar eller administrativa ändringar.
- Skapa en grupp för säkerhetsanalytiker som frivilligt utlöser dessa aviseringar och undanta dem från principen.
Omöjlig resa
Aktivitet från samma användare på olika platser inom en tidsperiod som är kortare än den förväntade restiden mellan de två platserna. Detta kan tyda på ett intrång i autentiseringsuppgifterna, men det är också möjligt att användarens faktiska plats maskeras, till exempel med hjälp av ett VPN.
För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar Defender för molnet Apps en baslinje för varje användare i organisationen och aviserar endast när det ovanliga beteendet identifieras. Den omöjliga resepolicyn kan finjusteras efter dina krav.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
Den här identifieringen använder en maskininlärningsalgoritm som ignorerar uppenbara B-TP-villkor , till exempel när IP-adresserna på båda sidor av resan anses vara säkra, resan är betrodd och utesluts från att utlösa omöjlig reseidentifiering. Båda sidor anses till exempel vara säkra om de är taggade som företag. Men om IP-adressen för endast en sida av resan anses vara säker utlöses identifieringen som vanligt.
TP: Om du kan bekräfta att platsen i den omöjliga reseaviseringen är osannolik för användaren.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Undetected user travel): Om du kan bekräfta att användaren nyligen reste till målet som beskrivs i aviseringen. Om till exempel en användares telefon som är i flygplansläge förblir ansluten till tjänster som Exchange Online i företagets nätverk när du reser till en annan plats. När användaren kommer till den nya platsen ansluter telefonen till Exchange Online och utlöser den omöjliga reseaviseringen.
Rekommenderad åtgärd: Stäng aviseringen.
FP (Untagged VPN): Om du kan bekräfta att IP-adressintervallet kommer från ett sanktionerat VPN.
Rekommenderad åtgärd: Stäng aviseringen och lägg till VPN:s IP-adressintervall i Defender för molnet Appar och använd den sedan för att tagga VPN:s IP-adressintervall.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen för att få en förståelse för liknande aktiviteter på samma plats och IP-adress.
- Om du ser att användaren utförde andra riskfyllda aktiviteter, till exempel att ladda ned en stor mängd filer från en ny plats, skulle detta vara en stark indikation på en möjlig kompromiss.
- Lägg till företagets VPN- och IP-adressintervall.
- Skapa en spelbok med Hjälp av Power Automate och kontakta användarens chef för att se om användaren är på laglig resa.
- Överväg att skapa en känd resenärsdatabas för upp till den minut då organisationens reserapportering rapporteras och använda den för att korsreferensa reseaktivitet.
Vilseledande OAuth-appnamn
Den här identifieringen identifierar appar med tecken, till exempel främmande bokstäver, som liknar latinska bokstäver. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan lura användare att ladda ned sin skadliga app.
TP, B-TP eller FP?
TP: Om du kan bekräfta att appen har ett missvisande namn.
Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.
Om du vill förbjuda åtkomst till appen väljer du förbudsikonen på fliken Google eller Salesforce på sidan Appstyrning på raden där appen du vill förbjuda visas. – Du kan välja om du vill berätta för användarna att appen som de har installerat och auktoriserat har förbjudits. Meddelandet låter användarna veta att appen är inaktiverad och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. – Vi rekommenderar att du låter appanvändare veta att deras app är på väg att förbjudas att användas.
FP: Om du vill bekräfta att appen har ett missvisande namn men har en legitim affärsanvändning i organisationen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Följ självstudien om hur du undersöker riskfyllda OAuth-appar.
Vilseledande utgivarnamn för en OAuth-app
Den här identifieringen identifierar appar med tecken, till exempel främmande bokstäver, som liknar latinska bokstäver. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan lura användare att ladda ned sin skadliga app.
TP, B-TP eller FP?
TP: Om du kan bekräfta att appen har ett vilseledande utgivarnamn.
Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.
FP: Om du ska bekräfta att appen har ett vilseledande utgivarens namn men är en legitim utgivare.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- På flikarna Google eller Salesforce på sidan Appstyrning väljer du appen för att öppna applådan och väljer sedan Relaterad aktivitet. Då öppnas sidan Aktivitetslogg filtrerad för aktiviteter som utförs av appen. Tänk på att vissa appar utför aktiviteter som har registrerats som utförda av en användare. Dessa aktiviteter filtreras automatiskt bort från resultaten i aktivitetsloggen. Mer information om hur du använder aktivitetsloggen finns i Aktivitetslogg.
- Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och utgivare i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
- Appar med ett lågt antal nedladdningar.
- Appar med lågt omdöme eller poäng eller dåliga kommentarer.
- Appar med en misstänkt utgivare eller webbplats.
- Appar som inte har uppdaterats nyligen. Detta kan tyda på en app som inte längre stöds.
- Appar som har irrelevanta behörigheter. Detta kan tyda på att en app är riskfylld.
- Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens namn, utgivare och URL online.
Körningsaviseringar
I det här avsnittet beskrivs aviseringar som anger att en illasinnad aktör försöker köra skadlig kod i din organisation.
Flera borttagningsaktiviteter för lagring
Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal molnlagrings- eller databasborttagningar från resurser som Azure-blobar, AWS S3-bucketar eller Cosmos DB jämfört med den inlärda baslinjen. Detta kan tyda på ett försök till intrång i din organisation.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du vill bekräfta att borttagningarna inte har godkänts.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer på kompromisser och utforska effektens omfattning.
FP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa borttagningsaktiviteter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Kontakta användaren och bekräfta aktiviteten.
- Granska aktivitetsloggen för andra indikatorer på kompromisser och se vem som gjorde ändringen.
- Granska användarens aktiviteter för ändringar i andra tjänster.
Flera aktiviteter för att skapa virtuella datorer
Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal åtgärder för att skapa virtuella datorer jämfört med den inlärda baslinjen. Flera vm-skapanden på en infrastruktur som har brutits mot molnet kan tyda på ett försök att köra kryptoutvinningsåtgärder inifrån din organisation.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter , till exempel en administratör som har skapat fler virtuella datorer än den etablerade baslinjen, och aviserar bara när det ovanliga beteendet identifieras.
TP: Om du kan bekräfta att skapandeaktiviteterna inte har utförts av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer på kompromisser och utforska effektens omfattning. Kontakta dessutom användaren, bekräfta deras legitima åtgärder och se sedan till att du inaktiverar eller tar bort eventuella komprometterade virtuella datorer.
B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa skapandeaktiviteter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska all användaraktivitet för andra indikatorer på komprog.
- Granska de resurser som skapats eller ändrats av användaren och kontrollera att de överensstämmer med organisationens principer.
Misstänkt skapandeaktivitet för molnregion (förhandsversion)
Aktiviteter som anger att en användare utförde en ovanlig åtgärd för att skapa resurser i en ovanlig AWS-region jämfört med den inlärda baslinjen. Resursskapande i ovanliga molnregioner kan tyda på ett försök att utföra en skadlig aktivitet, till exempel kryptoutvinningsåtgärder inifrån din organisation.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter .
TP: Om du kan bekräfta att skapandeaktiviteterna inte har utförts av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer på kompromisser och utforska effektens omfattning. Kontakta dessutom användaren, bekräfta deras legitima åtgärder och se sedan till att du inaktiverar eller tar bort eventuella komprometterade molnresurser.
B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa skapandeaktiviteter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska all användaraktivitet för andra indikatorer på komprog.
- Granska de resurser som skapats och kontrollera att de överensstämmer med organisationens principer.
Beständighetsaviseringar
I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör försöker behålla sitt fotfäste i din organisation.
Aktivitet som utförs av avslutad användare
Aktivitet som utförs av en avslutad användare kan indikera att en avslutad anställd som fortfarande har åtkomst till företagets resurser försöker utföra en skadlig aktivitet. Defender för molnet Appar profilerar användare i organisationen och utlöser en avisering när en avslutad användare utför en aktivitet.
TP, B-TP eller FP?
TP: Om du kan bekräfta att den avslutade användaren fortfarande har åtkomst till vissa företagsresurser och utför aktiviteter.
Rekommenderad åtgärd: Inaktivera användaren.
B-TP: Om du kan fastställa att användaren tillfälligt har inaktiverats eller tagits bort och registrerats på nytt.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Korsreferens till HR-poster för att bekräfta att användaren har avslutats.
- Verifiera förekomsten av Microsoft Entra-användarkontot.
Kommentar
Om du använder Microsoft Entra Anslut verifierar du lokal Active Directory-objektet och bekräftar en lyckad synkroniseringscykel.
- Identifiera alla appar som den avslutade användaren hade åtkomst till och inaktivera kontona.
- Uppdatera inaktiveringsprocedurer.
Misstänkt ändring av CloudTrail-loggningstjänsten
Aktiviteter i en enda session som anger att en användare utförde misstänkta ändringar i AWS CloudTrail-loggningstjänsten. Detta kan tyda på ett försök till intrång i din organisation. Vid inaktivering av CloudTrail loggas inte längre driftsändringar. En angripare kan utföra skadliga aktiviteter samtidigt som en CloudTrail-granskningshändelse undviks, till exempel genom att ändra en S3-bucket från privat till offentlig.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ångra CloudTrail-aktiviteten.
FP: Om du kan bekräfta att användaren har inaktiverat CloudTrail-tjänsten på ett legitimt sätt.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen för andra indikatorer på kompromisser och se vem som gjorde ändringen av CloudTrail-tjänsten.
- Valfritt: Skapa en spelbok med Hjälp av Power Automate för att kontakta användare och deras chefer för att verifiera deras aktivitet.
Misstänkt e-postborttagningsaktivitet (per användare)
Aktiviteter i en enda session som anger att en användare utförde misstänkta e-postborttagningar. Borttagningstypen var typen "hård borttagning", vilket gör e-postobjektet borttaget och inte tillgängligt i användarens postlåda. Borttagningen gjordes från en anslutning som innehåller ovanliga inställningar som Internetleverantör, land/region och användaragent. Detta kan tyda på ett intrångsförsök i organisationen, till exempel att angripare försöker maskera åtgärder genom att ta bort e-postmeddelanden som är relaterade till skräppostaktiviteter.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP: Om du kan bekräfta att användaren har skapat en regel för att ta bort meddelanden.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
Granska all användaraktivitet för andra indikatorer på kompromisser, till exempel vidarebefordran av misstänkt inkorg följt av en avisering om omöjlig resa. Sök efter:
- Nya SMTP-regler för vidarebefordran enligt följande:
- Sök efter namn på regelnamn för skadlig vidarebefordran. Regelnamn kan variera från enkla namn, till exempel "Vidarebefordra alla e-postmeddelanden" och "Vidarebefordra automatiskt" eller bedrägliga namn, till exempel ett knappt synligt "". Vidarebefordringsregelnamn kan till och med vara tomma, och vidarebefordringsmottagaren kan vara ett enda e-postkonto eller en hel lista. Skadliga regler kan också döljas från användargränssnittet. När det har identifierats kan du använda det här användbara blogginlägget om hur du tar bort dolda regler från postlådor.
- Om du upptäcker en okänd vidarebefordransregel till en okänd intern eller extern e-postadress kan du anta att inkorgskontot har komprometterats.
- Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med obskyra namngivningskonventioner, till exempel "...".
- En ökning av skickade e-postmeddelanden.
- Nya SMTP-regler för vidarebefordran enligt följande:
Misstänkt regel för inkorgsmanipulering
Aktiviteter som anger att en angripare fick åtkomst till en användares inkorg och skapade en misstänkt regel. Manipulationsregler, till exempel att ta bort eller flytta meddelanden eller mappar från en användares inkorg, kan vara ett försök att exfiltera information från din organisation. På samma sätt kan de ange ett försök att manipulera information som en användare ser eller använda sin inkorg för att distribuera skräppost, nätfiskemeddelanden eller skadlig kod. Defender för molnet Appar profilerar din miljö och utlöser aviseringar när misstänkta regler för inkorgsmanipulering identifieras i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats.
TP, B-TP eller FP?
TP: Om du kan bekräfta att en skadlig inkorgsregel har skapats och kontot har komprometterats.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ta bort vidarebefordringsregeln.
FP: Om du kan bekräfta att en användare har skapat regeln på ett legitimt sätt.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska all användaraktivitet för andra indikatorer på kompromisser, till exempel vidarebefordran av misstänkt inkorg följt av en avisering om omöjlig resa. Titta efter:
- Nya SMTP-vidarebefordransregler.
- Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med obskyra namngivningskonventioner, till exempel "...".
- Samla in IP-adress och platsinformation för åtgärden.
- Granska aktiviteter som utförs från DEN IP-adress som används för att skapa regeln för att identifiera andra komprometterade användare.
Eskaleringsaviseringar för privilegier
I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker få behörigheter på högre nivå i din organisation.
Ovanlig administrativ aktivitet (per användare)
Aktiviteter som anger att en angripare har komprometterat ett användarkonto och utfört administrativa åtgärder som inte är vanliga för användaren. En angripare kan till exempel försöka ändra en säkerhetsinställning för en användare, en åtgärd som är relativt sällsynt för en vanlig användare. Defender för molnet Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim administratör.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP: Om du kan bekräfta att en administratör har utfört den ovanliga mängden administrativa aktiviteter på ett legitimt sätt.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska all användaraktivitet för andra indikatorer på kompromisser, till exempel misstänkt vidarebefordran av inkorgar eller Omöjlig resa.
- Granska andra konfigurationsändringar, till exempel att skapa ett användarkonto som kan användas för beständighet.
Åtkomstaviseringar för autentiseringsuppgifter
I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör försöker stjäla kontonamn och lösenord från din organisation.
Flera misslyckade inloggningsförsök
Misslyckade inloggningsförsök kan tyda på ett försök att bryta mot ett konto. Misslyckade inloggningar kan dock också vara normalt. Till exempel när en användare angav ett felaktigt lösenord av misstag. För att uppnå noggrannhet och avisering endast när det finns en stark indikation på ett intrångsförsök upprättar Defender för molnet Apps en baslinje för inloggningsvanor för varje användare i organisationen och aviserar bara när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
Den här principen baseras på att lära sig en användares normala inloggningsbeteende. När en avvikelse från normen identifieras utlöses en avisering. Om identifieringen börjar se att samma beteende fortsätter aktiveras aviseringen bara en gång.
TP (MFA misslyckas): Om du kan bekräfta att MFA fungerar korrekt kan detta vara ett tecken på ett försök till råstyrkeattack.
Rekommenderade åtgärder:
- Pausa användaren, markera användaren som komprometterad och återställ lösenordet.
- Leta reda på appen som utförde de misslyckade autentiseringarna och konfigurera om den.
- Leta efter andra användare som är inloggade vid tidpunkten för aktiviteten eftersom de också kan ha komprometterats. Pausa användaren, markera användaren som komprometterad och återställ lösenordet.
B-TP (MFA misslyckas): Om du kan bekräfta att aviseringen orsakas av ett problem med MFA.
Rekommenderad åtgärd: Skapa en spelbok med Hjälp av Power Automate för att kontakta användaren och kontrollera om de har problem med MFA.
B-TP (felaktigt konfigurerad app): Om du kan bekräfta att en felkonfigurerad app försöker ansluta till en tjänst flera gånger med utgångna autentiseringsuppgifter.
Rekommenderad åtgärd: Stäng aviseringen.
B-TP (lösenordet har ändrats): Om du kan bekräfta att en användare nyligen har ändrat sitt lösenord, men det inte har påverkat autentiseringsuppgifterna för nätverksresurser.
Rekommenderad åtgärd: Stäng aviseringen.
B-TP (säkerhetstest): Om du kan bekräfta att ett säkerhets- eller intrångstest utförs av säkerhetsanalytiker på uppdrag av organisationen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska all användaraktivitet för andra indikatorer på kompromisser, till exempel aviseringen, följt av någon av följande aviseringar: Omöjlig resa, Aktivitet från anonym IP-adress eller Aktivitet från ett ovanligt land.
- Granska följande information om användarenheter och jämför med känd enhetsinformation:
- Operativsystem och version
- Webbläsare och version
- IP-adress och plats
- Identifiera källans IP-adress eller plats där autentiseringsförsöket inträffade.
- Identifiera om användaren nyligen har ändrat sitt lösenord och se till att alla appar och enheter har det uppdaterade lösenordet.
Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app
Den här identifieringen identifierar misstänkt tillägg av privilegierade autentiseringsuppgifter i en OAuth-app. Detta kan tyda på att en angripare har komprometterat appen och använder den för skadlig aktivitet.
Utbildningsperiod
Att lära sig organisationens miljö kräver en period på sju dagar under vilken du kan förvänta dig en stor mängd aviseringar.
Ovanlig ISP för en OAuth-app
Identifieringen identifierar en OAuth-app som ansluter till ditt molnprogram från en ISP som är ovanlig för appen. Detta kan tyda på att en angripare försökte använda en legitim komprometterad app för att utföra skadliga aktiviteter i dina molnprogram.
Utbildningsperiod
Inlärningsperioden för den här identifieringen är 30 dagar.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte var en legitim aktivitet i OAuth-appen eller att denna ISP inte används av den legitima OAuth-appen.
Rekommenderad åtgärd: Återkalla alla åtkomsttoken för OAuth-appen och undersöka om en angripare har åtkomst till att generera OAuth-åtkomsttoken.
FP: Om du kan bekräfta att aktiviteten har gjorts legitimt av den äkta OAuth-appen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
Granska de aktiviteter som utförs av OAuth-appen.
Undersök om en angripare har åtkomst till att generera OAuth-åtkomsttoken.
Samlingsaviseringar
I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör försöker samla in data av intresse för sitt mål från din organisation.
Flera Power BI-rapportdelningsaktiviteter
Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal resursrapportaktiviteter i Power BI jämfört med den inlärda baslinjen. Detta kan tyda på ett försök till intrång i din organisation.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Ta bort delningsåtkomst från Power BI. Om du kan bekräfta att kontot har komprometterats kan du inaktivera användaren, markera användaren som komprometterad och återställa lösenordet.
FP: Om du kan bekräfta att användaren har en affärsmotiverad anledning att dela dessa rapporter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren. Titta på IP-adressen som de är inloggade från och enhetsinformationen.
- Kontakta ditt Power BI-team eller informationsskyddsteam för att förstå riktlinjerna för att dela rapporter internt och externt.
Misstänkt delning av Power BI-rapporter
Aktiviteter som anger att en användare har delat en Power BI-rapport som kan innehålla känslig information som identifieras med hjälp av NLP för att analysera rapportens metadata. Rapporten delades antingen med en extern e-postadress, publicerades på webben eller så levererades en ögonblicksbild till en externt prenumererad e-postadress. Detta kan tyda på ett försök till intrång i din organisation.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Ta bort delningsåtkomst från Power BI. Om du kan bekräfta att kontot har komprometterats kan du inaktivera användaren, markera användaren som komprometterad och återställa lösenordet.
FP: Om du kan bekräfta att användaren har en affärsmotiverad anledning att dela dessa rapporter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren. Titta på IP-adressen som de är inloggade från och enhetsinformationen.
- Kontakta ditt Power BI-team eller informationsskyddsteam för att förstå riktlinjerna för att dela rapporter internt och externt.
Ovanlig personifierad aktivitet (per användare)
I vissa program finns det alternativ för att tillåta andra användare att personifiera andra användare. Till exempel tillåter e-posttjänster användare att auktorisera andra användare att skicka e-post för deras räkning. Den här aktiviteten används ofta av angripare för att skapa nätfiskemeddelanden i ett försök att extrahera information om din organisation. Defender för molnet Apps skapar en baslinje baserat på användarens beteende och skapar en aktivitet när en ovanlig personifieringsaktivitet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Ovanligt beteende): Om du kan bekräfta att användaren har utfört de ovanliga aktiviteterna eller fler aktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
FP: Om du kan bekräfta att appar, till exempel Teams, legitimt personifierade användaren.
Rekommenderad åtgärd: Granska åtgärderna och stäng aviseringen om det behövs.
Förstå omfattningen av överträdelsen
- Granska alla användaraktiviteter och aviseringar för ytterligare indikatorer på kompromisser.
- Granska personifieringsaktiviteterna för att identifiera potentiella skadliga aktiviteter.
- Granska konfigurationen för delegerad åtkomst.
Exfiltreringsaviseringar
I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker stjäla data från din organisation.
Misstänkt vidarebefordran av inkorgar
Aktiviteter som anger att en angripare fick åtkomst till en användares inkorg och skapade en misstänkt regel. Manipulationsregler, till exempel vidarebefordra alla eller specifika e-postmeddelanden till ett annat e-postkonto, kan vara ett försök att exfiltera information från din organisation. Defender för molnet Appar profilerar din miljö och utlöser aviseringar när misstänkta regler för inkorgsmanipulering identifieras i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats.
TP, B-TP eller FP?
TP: Om du kan bekräfta att en regel för vidarebefordran av skadlig inkorg har skapats och kontot har komprometterats.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ta bort vidarebefordringsregeln.
FP: Om du kan bekräfta att användaren har skapat en vidarebefordringsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
Granska all användaraktivitet för ytterligare indikatorer på kompromisser, till exempel aviseringen, följs av en avisering om omöjlig resa . Sök efter:
- Nya SMTP-regler för vidarebefordran enligt följande:
- Sök efter namn på regelnamn för skadlig vidarebefordran. Regelnamn kan variera från enkla namn, till exempel "Vidarebefordra alla e-postmeddelanden" och "Vidarebefordra automatiskt" eller bedrägliga namn, till exempel ett knappt synligt "". Vidarebefordringsregelnamn kan till och med vara tomma, och vidarebefordringsmottagaren kan vara ett enda e-postkonto eller en hel lista. Skadliga regler kan också döljas från användargränssnittet. När det har identifierats kan du använda det här användbara blogginlägget om hur du tar bort dolda regler från postlådor.
- Om du upptäcker en okänd vidarebefordransregel till en okänd intern eller extern e-postadress kan du anta att inkorgskontot har komprometterats.
- Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med obskyra namngivningskonventioner, till exempel "...".
- Nya SMTP-regler för vidarebefordran enligt följande:
Granska aktiviteter som utförs från DEN IP-adress som används för att skapa regeln för att identifiera andra komprometterade användare.
Granska listan över vidarebefordrade meddelanden med hjälp av Exchange Online-meddelandespårning.
Ovanlig filnedladdning (per användare)
Aktiviteter som anger att en användare utförde ett ovanligt antal filnedladdningar från en molnlagringsplattform jämfört med den inlärda baslinjen. Detta kan tyda på ett försök att få information om organisationen. Defender för molnet Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Ovanligt beteende): Om du kan bekräfta att användaren har utfört fler filhämtningsaktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
FP (Programvarusynkronisering): Om du kan bekräfta att programvaran, till exempel OneDrive, synkroniseras med en extern säkerhetskopia som orsakade aviseringen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska nedladdningsaktiviteterna och skapa en lista över nedladdade filer.
- Granska känsligheten för de nedladdade filerna med resursägaren och verifiera åtkomstnivån.
Ovanlig filåtkomst (per användare)
Aktiviteter som anger att en användare utförde ett ovanligt antal filåtkomster i SharePoint eller OneDrive till filer som innehåller finansiella data eller nätverksdata jämfört med den inlärda baslinjen. Detta kan indikera ett försök att få information om organisationen, oavsett om det är för ekonomiska ändamål eller för åtkomst till autentiseringsuppgifter och lateral förflyttning. Defender för molnet Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.
Utbildningsperiod
Inlärningsperioden beror på användarens aktivitet. I allmänhet är inlärningsperioden mellan 21 och 45 dagar för de flesta användare.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Ovanligt beteende): Om du kan bekräfta att användaren har utfört fler filåtkomstaktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska åtkomstaktiviteterna och skapa en lista över filer som används.
- Granska känsligheten för de filer som används med resursägaren och verifiera åtkomstnivån.
Ovanlig filresursaktivitet (per användare)
Aktiviteter som anger att en användare utförde ett ovanligt antal fildelningsåtgärder från en molnlagringsplattform jämfört med den inlärda baslinjen. Detta kan tyda på ett försök att få information om organisationen. Defender för molnet Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Ovanligt beteende): Om du kan bekräfta att användaren har utfört fler fildelningsaktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska delningsaktiviteterna och skapa en lista över delade filer.
- Granska känsligheten för de delade filerna med resursägaren och verifiera åtkomstnivån.
- Skapa en filprincip för liknande dokument för att identifiera framtida delning av känsliga filer.
Effektaviseringar
I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker manipulera, avbryta eller förstöra dina system och data i din organisation.
Flera borttagningsaktiviteter för virtuella datorer
Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal borttagningar av virtuella datorer jämfört med den inlärda baslinjen. Flera vm-borttagningar kan tyda på ett försök att störa eller förstöra en miljö. Det finns dock många normala scenarier där virtuella datorer tas bort.
TP, B-TP eller FP?
För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter och bara varna när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP: Om du kan bekräfta att borttagningarna var obehöriga.
Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer på kompromisser och utforska effektens omfattning.
B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa borttagningsaktiviteter.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Kontakta användaren och bekräfta aktiviteten.
- Granska all användaraktivitet för ytterligare indikatorer på kompromisser, till exempel aviseringen, följt av någon av följande aviseringar: Omöjlig resa, Aktivitet från anonym IP-adress eller Aktivitet från ett ovanligt land.
Utpressningstrojanaktivitet
Utpressningstrojan är en cyberattack där en angripare låser offren från sina enheter eller blockerar dem från att komma åt sina filer tills offret betalar en lösensumma. Utpressningstrojaner kan spridas av en skadlig delad fil eller ett komprometterat nätverk. Defender för molnet Apps använder säkerhetsforskningsexpertis, hotinformation och inlärda beteendemönster för att identifiera utpressningstrojanaktivitet. Till exempel kan en hög frekvens av filuppladdningar eller borttagningar av filer representera en krypteringsprocess som är vanlig bland utpressningstrojanåtgärder.
Den här identifieringen upprättar en baslinje för de normala arbetsmönstren för varje användare i din organisation, till exempel när användaren kommer åt molnet och vad de ofta gör i molnet.
Principerna för automatisk hotidentifiering i Defender för molnet Apps börjar köras i bakgrunden från det ögonblick du ansluter. Med hjälp av vår expertis inom säkerhetsforskning för att identifiera beteendemönster som återspeglar utpressningstrojaner i vår organisation, ger Defender för molnet Apps omfattande täckning mot sofistikerade utpressningstrojanattacker.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av användaren.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP (Ovanligt beteende): Användaren utförde legitimt flera borttagnings- och uppladdningsaktiviteter för liknande filer på kort tid.
Rekommenderad åtgärd: Stäng aviseringen när du har granskat aktivitetsloggen och bekräftat att filnamnstilläggen inte är misstänkta.
FP (common ransomware file extension): Om du kan bekräfta att tilläggen för de berörda filerna matchar ett känt utpressningstrojantillägg.
Rekommenderad åtgärd: Kontakta användaren och bekräfta att filerna är säkra och stäng sedan aviseringen.
Förstå omfattningen av överträdelsen
- Granska aktivitetsloggen för andra indikatorer för kompromettering, till exempel massnedladdning eller massborttagning av filer.
- Om du använder Microsoft Defender för Endpoint granskar du användarens datoraviseringar för att se om skadliga filer har identifierats.
- Sök i aktivitetsloggen efter skadliga filuppladdnings- och delningsaktiviteter.
Ovanlig filborttagningsaktivitet (per användare)
Aktiviteter som anger att en användare utförde en ovanlig filborttagningsaktivitet jämfört med den inlärda baslinjen. Detta kan tyda på utpressningstrojanattack. En angripare kan till exempel kryptera en användares filer och ta bort alla original, vilket endast lämnar de krypterade versioner som kan användas för att tvinga offret att betala en lösensumma. Defender för molnet Apps skapar en baslinje baserat på användarens normala beteende och utlöser en avisering när det ovanliga beteendet identifieras.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.
TP, B-TP eller FP?
TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
FP: Om du kan bekräfta att användaren har utfört fler filborttagningsaktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska borttagningsaktiviteterna och skapa en lista över borttagna filer. Om det behövs kan du återställa de borttagna filerna.
- Du kan också skapa en spelbok med Hjälp av Power Automate för att kontakta användare och deras chefer för att verifiera aktiviteten.
Ökning av prioritetspoäng för undersökning (förhandsversion)
Avvikande aktiviteter och aktiviteter som utlöste aviseringar får poäng baserat på användarens allvarlighetsgrad, användarpåverkan och beteendeanalys. Analysen görs baserat på andra användare i klientorganisationen.
När det finns en betydande och avvikande ökning av undersökningsprioritetspoängen för en viss användare utlöses aviseringen.
Den här aviseringen gör det möjligt att identifiera potentiella överträdelser som kännetecknas av aktiviteter som inte nödvändigtvis utlöser specifika aviseringar utan ackumuleras till ett misstänkt beteende för användaren.
Utbildningsperiod
Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar, under vilken aviseringar inte utlöses för någon poängökning.
TP, B-TP eller FP?
TP: Om du kan bekräfta att användarens aktiviteter inte är legitima.
Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
B-TP: Om du kan bekräfta att användaren faktiskt avvek avsevärt från vanligt beteende, men det finns inget potentiellt intrång.
FP (Ovanligt beteende): Om du kan bekräfta att användaren har utfört de ovanliga aktiviteterna eller fler aktiviteter än den etablerade baslinjen.
Rekommenderad åtgärd: Stäng aviseringen.
Förstå omfattningen av överträdelsen
- Granska alla användaraktiviteter och aviseringar för ytterligare indikatorer på kompromisser.
Tidslinje för utfasning
Vi drar gradvis tillbaka aviseringen om ökning av undersökningsprioritetspoäng från Microsoft Defender för molnet-appar i augusti 2024.
Efter noggrann analys och övervägande bestämde vi oss för att inaktuella det på grund av den höga andelen falska positiva identifieringar som är associerade med den här aviseringen, som vi upptäckte inte bidrog effektivt till organisationens övergripande säkerhet.
Vår forskning visade att den här funktionen inte tillförde betydande värde och inte var i linje med vårt strategiska fokus på att leverera högkvalitativa och tillförlitliga säkerhetslösningar.
Vi strävar efter att kontinuerligt förbättra våra tjänster och se till att de uppfyller dina behov och förväntningar.
För dem som vill fortsätta att använda den här aviseringen föreslår vi att du använder följande avancerade jaktfråga i stället som en föreslagen mall. Ändra frågan baserat på dina behov.
let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores