Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender for Cloud Apps innehåller identifieringar för komprometterade användare, insiderhot, dataexfiltrering och utpressningstrojaner. Tjänsten använder avvikelseidentifiering, användar- och entitetsbeteendeanalys (UEBA) och regelbaserade aktivitetsidentifieringar för att analysera användaraktivitet i anslutna appar.
Obehöriga eller oväntade ändringar i en molnmiljö kan medföra säkerhets- och driftsrisker. Ändringar av viktiga företagsresurser som servrar som kör din offentliga webbplats eller tjänst som du tillhandahåller till kunder kan till exempel komprometteras.
Defender for Cloud Apps samlar in och analyserar data från flera källor för att identifiera app- och användaraktiviteter i din organisation. Den här analysen ger dina säkerhetsanalytiker insyn i molnanvändningen. Insamlade data korreleras, standardiseras och berikas med information om hotinformation och plats för att ge en korrekt och konsekvent vy över misstänkta aktiviteter.
Konfigurera följande datakällor innan du justerar identifieringar:
| Source | Beskrivning |
|---|---|
| Aktivitetslogg | Aktiviteter från dina API-anslutna appar. |
| Identifieringslogg | Aktiviteter som extraheras från en brandväggs- och proxytrafiklogg som du vidarebefordrar till Defender for Cloud Apps. Loggarna analyseras mot molnappkatalogen, rangordnas och poängsätts baserat på mer än 90 riskfaktorer. |
| Proxylogg | Aktiviteter från dina appar för appkontroll för villkorsstyrd åtkomst. |
Finjustera följande principer genom att ange filter och dynamiska tröskelvärden (UEBA) för att träna deras identifieringsmodeller. Du kan också ange undertryckningar för att minska vanliga falska positiva identifieringar:
- Avvikelseidentifiering
- Avvikelseidentifiering för molnidentifiering
- Regelbaserad aktivitetsidentifiering
Lär dig hur du finjusterar identifieringar av användaraktivitet för att identifiera verkliga kompromisser och minska onödiga aviseringar som beror på stora mängder falska positiva identifieringar:
Fas 1: Konfigurera IP-adressintervall
- Konfigurera IP-intervall för att finjustera alla typer av principer för identifiering av misstänkt användaraktivitet.
Genom att konfigurera kända IP-adresser kan maskininlärningsalgoritmer identifiera kända platser och betrakta dem som en del av maskininlärningsmodellerna. Om du till exempel lägger till IP-adressintervallet för ditt VPN hjälper det modellen att korrekt klassificera det här IP-intervallet och automatiskt undanta det från omöjliga reseidentifieringar eftersom VPN-platsen inte representerar användarens verkliga plats.
Obs!
Defender for Cloud Apps använder IP-intervall i tjänsten, inte bara för identifieringar. IP-intervall används i aktivitetsloggen, villkorsstyrd åtkomst med mera. Om du till exempel identifierar dina fysiska office-IP-adresser kan du anpassa hur du visar och undersöker loggar och aviseringar.
Granska aviseringar för avvikelseidentifiering
Defender for Cloud Apps innehåller en uppsättning aviseringar för avvikelseidentifiering för att identifiera olika säkerhetsscenarier. De börjar profilera användaraktiviteten och genererar aviseringar så snart du ansluter relevanta appanslutningsprogram.
Börja med att bekanta dig med de olika identifieringsprinciperna. Prioritera de vanligaste scenarierna som du tror är mest relevanta för din organisation och justera principerna i enlighet med detta.
Fas 2: Justera principer för avvikelseidentifiering
Defender for Cloud Apps innehåller flera inbyggda principer för avvikelseidentifiering som är förkonfigurerade för vanliga säkerhetsfall. Populära identifieringar är:
| Upptäckt | Beskrivning |
|---|---|
| Omöjlig resa | Aktiviteter från samma användare på olika platser inom en period som är kortare än den förväntade restiden mellan de två platserna. |
| Aktivitet från sällan förekommande land | Aktivitet från en plats som inte har besökts nyligen eller aldrig har besökts av användaren. |
| Identifiering av skadlig kod | Söker igenom filer i dina molnappar och kör misstänkta filer via Microsofts hotinformationsmotor för att kontrollera om de är associerade med känd skadlig kod. |
| Utpressningstrojanaktivitet | Filuppladdningar till molnet som kan vara infekterade med utpressningstrojaner. |
| Aktivitet från misstänkta IP-adresser | Aktivitet från en IP-adress som Microsoft Threat Intelligence har identifierat som riskabel. |
| Misstänkt vidarebefordran av inkorgen | Identifierar misstänkta regler för vidarebefordran av inkorgar som angetts i en användares inkorg. |
| Ovanliga nedladdningsaktiviteter för flera filer | Identifierar flera filnedladdningsaktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök. |
| Ovanlig administrativ verksamhet | Identifierar flera administrativa aktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök. |
Obs!
Vissa avvikelseidentifieringar fokuserar på att identifiera problematiska säkerhetsscenarier, medan andra hjälper till att identifiera och undersöka avvikande användarbeteenden som kanske inte nödvändigtvis tyder på en kompromiss. För sådana identifieringar kan du använda beteenden som är tillgängliga i Microsoft Defender XDR avancerad jaktupplevelse.
Omfångsprinciper för specifika användare eller grupper
Omfångsprinciper för specifika användare kan minska bruset från aviseringar som inte är relevanta för din organisation. Du kan konfigurera varje princip så att den inkluderar eller exkluderar specifika användare och grupper, till exempel i följande exempel:
-
Attacksimuleringar
Många organisationer använder en användare eller grupp för att ständigt simulera attacker. Att ständigt ta emot aviseringar från dessa användares aktiviteter skapar onödigt brus. Konfigurera dina principer för att exkludera dessa användare eller grupper. Den här åtgärden hjälper maskininlärningsmodeller att identifiera dessa användare och finjustera deras dynamiska tröskelvärden. -
Riktade identifieringar
Du kanske vill undersöka en specifik grupp MED VIP-användare som medlemmar i en administratör eller CXO-grupp (Chief Experience Officer). I det här fallet skapar du en princip för de aktiviteter som du vill identifiera och väljer att endast inkludera den uppsättning användare eller grupper som du är intresserad av.
-
Attacksimuleringar
Justera avvikande inloggningsidentifieringar
Aviseringar till följd av misslyckade inloggningsaktiviteter kan tyda på att någon försöker rikta in sig på ett eller flera användarkonton.
Komprometterade autentiseringsuppgifter är en vanlig orsak till kontoövertagande och obehörig aktivitet. Aviseringar om omöjlig resa, aktivitet från misstänkta IP-adresser och aviseringar om ovanliga identifieringar av land eller regioner hjälper dig att identifiera aktiviteter som tyder på att ett konto kan komma att komprometteras.
Justera känsligheten för omöjliga resorKonfigurera det känslighetsreglage som bestämmer nivån av undertryckningar som tillämpas på avvikande beteende innan du utlöser en omöjlig resevarning. Organisationer som är intresserade av hög återgivning bör överväga att öka känslighetsnivån. Om din organisation har många användare som reser bör du överväga att sänka känslighetsnivån för att förhindra aktiviteter från en användares vanliga platser som lärts från tidigare aktiviteter. Du kan välja mellan följande känslighetsnivåer:
- Låg: System-, klient- och användarundertryckningar
- Medel: System- och användarundertryckningar
- Hög: Endast systemundertryckningar
Var:
Undertryckningstyp Beskrivning System Inbyggda identifieringar som alltid ignoreras. Klientorganisation Vanliga aktiviteter baserat på tidigare aktivitet i klientorganisationen. Du kan till exempel förhindra aktiviteter från en ISP som tidigare aviseras i din organisation. Användare Vanliga aktiviteter baserat på den specifika användarens tidigare aktivitet. Du kan till exempel förhindra aktiviteter från en plats som ofta används av användaren.
Fas 3: Justera avvikelseidentifieringsprinciper för molnidentifiering
Du kan finjustera flera inbyggda principer för identifiering av avvikelseidentifiering i molnet eller skapa egna principer för att identifiera andra scenarier som är värda att undersöka. Dessa principer använder molnidentifieringsloggar med justeringsfunktioner som fokuserar på avvikande appbeteende och dataexfiltrering.
Justera användningsövervakning
Ange användningsfilter för att styra omfånget och aktivitetsperioden för identifiering av avvikande beteende. Ta till exempel emot aviseringar för avvikande aktiviteter från anställda på chefsnivå.
Justera aviseringskänslighet
För att minska onödiga aviseringar konfigurerar du känsligheten för aviseringar. Använd skjutreglaget för känslighet för att styra antalet högriskaviseringar som skickas per 1 000 användare per vecka. Högre känslighet kräver mindre varians för att betraktas som en avvikelse och generera fler aviseringar. I allmänhet anger du låg känslighet för användare som inte har åtkomst till konfidentiella data.
Fas 4: Justera principer för regelbaserad identifiering (aktivitet)
Regelbaserade identifieringsprinciper kompletterar principer för avvikelseidentifiering med organisationsspecifika krav. Skapa regelbaserade principer med någon av aktivitetsprincipmallarna.
Om din organisation inte har någon närvaro i ett visst land eller en viss region skapar du en princip som identifierar avvikande aktiviteter från den platsen. För organisationer med stora filialer i det landet eller regionen är sådana aktiviteter normala och det är inte meningsfullt att identifiera sådana aktiviteter.
- Gå tillPrincipprincipmallar> och ställ in typfiltret på Aktivitetsprincip. Konfigurera aktivitetsfilter för att identifiera beteenden som inte är normala för din miljö.
-
Justera aktivitetsvolym
Välj den aktivitetsvolym som krävs innan identifieringen genererar en avisering. Om din organisation inte har någon närvaro i ett land eller en region är även en enskild aktivitet betydande och motiverar en avisering. Ett enskilt inloggningsfel kan vara en mänsklig fel och endast av intresse om det uppstår många fel på kort tid. -
Justera aktivitetsfilter
Ange de filter som du behöver för att identifiera vilken typ av aktivitet som du vill avisera om. Om du till exempel vill identifiera aktivitet från ett land eller en region använder du parametern Plats . -
Justera aviseringar
Om du vill minska onödiga aviseringar anger du den dagliga aviseringsgränsen.
Fas 5: Konfigurera aviseringar
Obs!
Microsoft inaktuelle funktionen Aviseringar/SMS (sms) den 15 december 2022. Om du vill ta emot textaviseringar använder du Microsoft Power Automate för anpassad aviseringsautomatisering. Mer information finns i Integrera med Microsoft Power Automate för anpassad aviseringsautomatisering.
Om du vill få omedelbara aviseringar när som helst på dagen väljer du att ta emot dem via e-post.
Du kanske också vill kunna analysera aviseringar i kontexten för andra aviseringar som utlöses av andra produkter i din organisation. Den här analysen ger dig en helhetsbild av ett potentiellt hot. Du kanske till exempel vill korrelera mellan molnbaserade och lokala händelser för att se om det finns några andra förmildrande bevis som bekräftar en attack.
Du kan använda Microsoft Power Automate för att utlösa anpassad aviseringsautomatisering. När en avisering utlöses kan du:
- Konfigurera en spelbok
- Skapa ett problem i ServiceNow
- Skicka ett e-postmeddelande om godkännande för att köra en anpassad styrningsåtgärd när en avisering utlöses
Använd följande riktlinjer för att konfigurera dina aviseringar:
-
E-post
Välj det här alternativet för att ta emot aviseringar via e-post. -
SIEM
Det finns flera SIEM-integreringsalternativ, bland annat Microsoft Sentinel, Microsoft Graph API för säkerhet och andra allmänna SIEM:er. Välj den integrering som bäst uppfyller dina krav. -
Power Automate-automatisering
Skapa de automationsspelböcker som du behöver och ange den som principens avisering till Power Automate-åtgärden.
Fas 6: Undersöka och åtgärda
För att optimera ditt skydd konfigurerar du automatiska reparationsåtgärder för att minimera risken för din organisation. Med principerna kan du tillämpa styrningsåtgärder med aviseringarna så att risken för din organisation minskas redan innan du börjar undersöka. Principtypen avgör vilka åtgärder som är tillgängliga, inklusive åtgärder som att pausa en användare eller blockera åtkomst till den begärda resursen.