Självstudie: Identifiera misstänkt användaraktivitet med beteendeanalys (UEBA)

Microsoft Defender för molnet Apps tillhandahåller förstklassiga identifieringar i attackkedjan för komprometterade användare, insiderhot, exfiltrering, utpressningstrojaner med mera. Vår omfattande lösning uppnås genom att kombinera flera identifieringsmetoder, inklusive avvikelse, beteendeanalys (UEBA) och regelbaserade aktivitetsidentifieringar, för att ge en bred bild av hur användarna använder appar i din miljö.

Så varför är det viktigt att identifiera misstänkt beteende? Effekten av att en användare kan ändra din molnmiljö kan vara betydande och direkt påverka din förmåga att driva ditt företag. Till exempel kan viktiga företagsresurser som servrar som kör din offentliga webbplats eller tjänst som du tillhandahåller till kunder komprometteras.

Med hjälp av data som samlats in från flera källor analyserar Defender för molnet Apps data för att extrahera app- och användaraktiviteter i din organisation som ger dina säkerhetsanalytiker insyn i molnanvändningen. De insamlade data är korrelerade, standardiserade och berikade med hotinformation, plats och mycket annan information för att ge en korrekt och konsekvent vy över misstänkta aktiviteter.

För att fullt ut utnyttja fördelarna med dessa identifieringar måste du därför först konfigurera följande källor:

• Aktivitetslogg
  Aktiviteter från dina API-anslutna appar.
• Identifieringslogg
  Aktiviteter som extraheras från brandväggs- och proxytrafikloggar som vidarebefordras till Defender för molnet Apps. Loggarna analyseras mot molnappkatalogen, rangordnas och poängsätts baserat på mer än 90 riskfaktorer.
• Proxylogg
  Aktiviteter från dina appar för appkontroll för villkorsstyrd åtkomst.

Nu ska du justera dina principer. Följande principer kan finjusteras genom att ange filter, dynamiska tröskelvärden (UEBA) för att träna deras identifieringsmodeller och undertryckningar för att minska vanliga falska positiva identifieringar:

• Avvikelseidentifiering
• Cloud Discovery-avvikelseidentifiering
• Regelbaserad aktivitetsidentifiering

I den här självstudien får du lära dig hur du justerar identifieringar av användaraktivitet för att identifiera sanna kompromisser och minska aviseringströtthet till följd av hantering av stora mängder falska positiva identifieringar:

• Konfigurera IP-adressintervall
• Justera principer för avvikelseidentifiering
• Justera principer för avvikelseidentifiering för molnidentifiering
• Justera regelbaserade identifieringsprinciper
• Konfigurera varningar
• Undersöka och åtgärda

Fas 1: Konfigurera IP-adressintervall

Innan du konfigurerar enskilda principer rekommenderar vi att du konfigurerar IP-intervall så att de är tillgängliga för att finjustera alla typer av principer för misstänkt användaraktivitetsidentifiering.

Eftersom IP-adressinformation är avgörande för nästan alla undersökningar hjälper konfiguration av kända IP-adresser våra maskininlärningsalgoritmer att identifiera kända platser och betrakta dem som en del av maskininlärningsmodellerna. Om du till exempel lägger till IP-adressintervallet för ditt VPN hjälper det modellen att korrekt klassificera det här IP-intervallet och automatiskt undanta det från omöjliga reseidentifieringar eftersom VPN-platsen inte representerar användarens verkliga plats.

Obs! Konfigurerade IP-intervall är inte begränsade till identifieringar och används i Defender för molnet appar inom områden som aktiviteter i aktivitetsloggen, villkorlig åtkomst osv. Tänk på detta när du konfigurerar intervallen. Om du till exempel identifierar dina fysiska office-IP-adresser kan du anpassa hur loggar och aviseringar visas och undersöks.

Granska färdiga aviseringar för avvikelseidentifiering

Defender för molnet Apps innehåller en uppsättning aviseringar för avvikelseidentifiering för att identifiera olika säkerhetsscenarier. Dessa identifieringar aktiveras automatiskt direkt och börjar profilera användaraktiviteten och generera aviseringar så snart de relevanta appanslutningarna är anslutna .

Börja med att bekanta dig med de olika identifieringsprinciperna, prioritera de vanligaste scenarierna som du tror är mest relevanta för din organisation och justera principerna i enlighet med detta.

Fas 2: Justera principer för avvikelseidentifiering

Flera inbyggda principer för avvikelseidentifiering är tillgängliga i Defender för molnet Appar som är förkonfigurerade för vanliga säkerhetsanvändningsfall. Du bör ta dig tid att bekanta dig med de mer populära identifieringarna, till exempel:

• Omöjlig resa
  Aktiviteter från samma användare på olika platser inom en period som är kortare än den förväntade restiden mellan de två platserna.
• Aktivitet från sällan förekommande land
  Aktivitet från en plats som inte nyligen besökts eller aldrig besökts av användaren.
• Identifiering av skadlig kod
  Söker igenom filer i dina molnappar och kör misstänkta filer via Microsofts hotinformationsmotor för att avgöra om de är associerade med känd skadlig kod.
• Utpressningstrojanaktivitet
  Filuppladdningar till molnet som kan vara infekterade med utpressningstrojaner.
• Aktivitet från misstänkta IP-adresser
  Aktivitet från en IP-adress som har identifierats som riskabel av Microsoft Threat Intelligence.
• Misstänkt vidarebefordran av inkorgar
  Identifierar misstänkta regler för vidarebefordran av inkorgar som angetts i en användares inkorg.
• Ovanliga aktiviteter för nedladdning av flera filer
  Identifierar flera filnedladdningsaktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.
• Ovanliga administrativa aktiviteter
  Identifierar flera administrativa aktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

En fullständig lista över identifieringar och vad de gör finns i Principer för avvikelseidentifiering.

Kommentar

Vissa av avvikelseidentifieringarna fokuserar främst på att identifiera problematiska säkerhetsscenarier, men andra kan hjälpa till att identifiera och undersöka avvikande användarbeteenden som kanske inte nödvändigtvis tyder på en kompromiss. För sådana identifieringar skapade vi en annan datatyp som kallas "beteenden" som är tillgänglig i microsoft Defender XDR-avancerad jaktupplevelse. Mer information finns i Beteenden.

När du är bekant med principerna bör du överväga hur du vill finjustera dem för organisationens specifika krav för att förbättra målaktiviteter som du kanske vill undersöka ytterligare.

1. Omfångsprinciper för specifika användare eller grupper

   Omfångsprinciper för specifika användare kan bidra till att minska bruset från aviseringar som inte är relevanta för din organisation. Varje princip kan konfigureras för att inkludera eller exkludera specifika användare och grupper, till exempel i följande exempel:

   • Attacksimuleringar
     Många organisationer använder en användare eller en grupp för att ständigt simulera attacker. Det är uppenbart att det inte är meningsfullt att ständigt ta emot aviseringar från dessa användares aktiviteter. Därför kan du konfigurera dina principer för att exkludera dessa användare eller grupper. Detta hjälper även maskininlärningsmodellerna att identifiera dessa användare och finjustera deras dynamiska tröskelvärden i enlighet med detta.
   • Riktade identifieringar
     Din organisation kan vara intresserad av att undersöka en specifik grupp VIP-användare, till exempel medlemmar i en administratörs- eller CXO-grupp. I det här scenariot kan du skapa en princip för de aktiviteter som du vill identifiera och välja att endast inkludera den uppsättning användare eller grupper som du är intresserad av.

2. Justera avvikande inloggningsidentifieringar

   Vissa organisationer vill se aviseringar till följd av misslyckade inloggningsaktiviteter eftersom de kan tyda på att någon försöker rikta in sig på ett eller flera användarkonton. Å andra sidan sker råstyrkeattacker på användarkonton hela tiden i molnet och organisationer har inget sätt att förhindra dem. Därför bestämmer sig större organisationer vanligtvis för att endast ta emot aviseringar för misstänkta inloggningsaktiviteter som resulterar i lyckade inloggningsaktiviteter, eftersom de kan utgöra verkliga kompromisser.

   Identitetsstöld är en viktig källa till kompromisser och utgör en viktig hotvektor för din organisation. Vår omöjliga resa, aktivitet från misstänkta IP-adresser och aviseringar om ovanliga identifieringar av land/region hjälper dig att identifiera aktiviteter som tyder på att ett konto kan komma att komprometteras.

3. Justera känsligheten för omöjlig resaKonfigurera skjutreglaget för känslighet som avgör vilken nivå av undertryckningar som tillämpas på avvikande beteende innan du utlöser en omöjlig reseavisering. Organisationer som är intresserade av hög återgivning bör till exempel överväga att öka känslighetsnivån. Å andra sidan, om din organisation har många användare som reser, bör du överväga att sänka känslighetsnivån för att förhindra aktiviteter från en användares vanliga platser som lärts från tidigare aktiviteter. Du kan välja mellan följande känslighetsnivåer:

   • Låg: System-, klient- och användarundertryckningar
   • Medel: System- och användarundertryckningar
   • Hög: Endast systemundertryckningar

   Där:

   Undertryckningstyp	beskrivning
   System	Inbyggda identifieringar som alltid undertrycks.
   Klientorganisation	Vanliga aktiviteter baserat på tidigare aktivitet i klientorganisationen. Du kan till exempel förhindra aktiviteter från en ISP som tidigare aviseras i din organisation.
   Användare	Vanliga aktiviteter baserat på den specifika användarens tidigare aktivitet. Du kan till exempel utelämna aktiviteter från en plats som ofta används av användaren.

Fas 3: Justera principer för avvikelseidentifiering för molnidentifiering

Precis som principerna för avvikelseidentifiering finns det flera inbyggda principer för identifiering av avvikelseidentifiering i molnet som du kan finjustera. Principen Dataexfiltrering till icke-sanktionerade appar varnar dig till exempel när data exfiltrateras till en icke-sanktionerad app och förkonfigureras med inställningar baserat på Microsofts upplevelse i säkerhetsfältet.

Du kan dock finjustera de inbyggda principerna eller skapa egna principer som hjälper dig att identifiera andra scenarier som du kanske är intresserad av att undersöka. Eftersom dessa principer baseras på molnidentifieringsloggar har de olika justeringsfunktioner som är mer fokuserade på avvikande appbeteende och dataexfiltrering.

1. Justera användningsövervakning
   Ange användningsfilter för att styra baslinjen, omfånget och aktivitetsperioden för att identifiera avvikande beteende. Du kanske till exempel vill få aviseringar för avvikande aktiviteter som rör anställda på chefsnivå.

2. Justera aviseringskänslighet
   För att förhindra aviseringströtthet konfigurerar du känsligheten för aviseringar. Du kan använda skjutreglaget för känslighet för att styra antalet högriskaviseringar som skickas per 1 000 användare per vecka. Högre känslighet kräver mindre varians för att betraktas som en avvikelse och generera fler aviseringar. I allmänhet anger du låg känslighet för användare som inte har åtkomst till konfidentiella data.

Fas 4: Justera principer för regelbaserad identifiering (aktivitet)

Regelbaserade identifieringsprinciper ger dig möjlighet att komplettera principer för avvikelseidentifiering med organisationsspecifika krav. Vi rekommenderar att du skapar regelbaserade principer med någon av våra aktivitetsprincipmallar (gå till Kontrollmallar> och ange typfiltret till Aktivitetsprincip) och sedan konfigurera dem för att identifiera beteenden som inte är normala för din miljö. För vissa organisationer som till exempel inte har någon närvaro i ett visst land/en viss region kan det vara klokt att skapa en princip som identifierar avvikande aktiviteter från det landet/regionen och aviseringar om dem. För andra, som har stora filialer i det landet/regionen, skulle aktiviteter från det landet/regionen vara normala och det skulle inte vara meningsfullt att identifiera sådana aktiviteter.

1. Justera aktivitetsvolymen
   Välj den aktivitetsvolym som krävs innan identifieringen skapar en avisering. Om du inte har någon närvaro i ett land/en region med vårt exempel på land/region är även en enskild aktivitet betydande och garanterar en avisering. Ett misslyckande med enkel inloggning kan dock vara ett mänskligt fel och endast av intresse om det finns många fel på kort tid.
2. Justera aktivitetsfilter
   Ange de filter som du behöver för att identifiera vilken typ av aktivitet du vill avisera om. Om du till exempel vill identifiera aktivitet från ett land/en region använder du parametern Plats .
3. Justera aviseringar
   För att förhindra aviseringströtthet anger du den dagliga aviseringsgränsen.

Fas 5: Konfigurera aviseringar

Kommentar

Sedan den 15 december 2022 har aviseringar/SMS (textmeddelanden) blivit inaktuella. Om du vill få textaviseringar bör du använda Microsoft Power Automate för anpassad aviseringsautomatisering. Mer information finns i Integrera med Microsoft Power Automate för anpassad aviseringsautomatisering.

Du kan välja att ta emot aviseringar i det format och medium som passar bäst för dina behov. Om du vill få omedelbara aviseringar när som helst på dagen kanske du föredrar att ta emot dem via e-post.

Du kanske också vill kunna analysera aviseringar i samband med andra aviseringar som utlöses av andra produkter i din organisation för att ge dig en holistisk vy över ett potentiellt hot. Du kanske till exempel vill korrelera mellan molnbaserade och lokala händelser för att se om det finns några andra förmildrande bevis som kan bekräfta en attack.

Dessutom kan du utlösa anpassad aviseringsautomatisering med hjälp av vår integrering med Microsoft Power Automate. Du kan till exempel konfigurera en spelbok automatiskt skapa ett problem i ServiceNow eller skicka ett e-postmeddelande med godkännande för att köra en anpassad styrningsåtgärd när en avisering utlöses.

Använd följande riktlinjer för att konfigurera dina aviseringar:

1. E-post
   Välj det här alternativet för att ta emot aviseringar via e-post.
2. SIEM
   Det finns flera SIEM-integreringsalternativ, inklusive Microsoft Sentinel, Microsoft Graph API för säkerhet och andra allmänna SIEM:er. Välj den integrering som bäst uppfyller dina krav.
3. Power Automate-automatisering
   Skapa de automationsspelböcker som du behöver och ange den som principens avisering till Power Automate-åtgärden.

Fas 6: Undersöka och åtgärda

Bra, du har konfigurerat dina principer och börjar ta emot aviseringar om misstänkt aktivitet. Vad ska du göra åt dem? Börja med att vidta åtgärder för att undersöka aktiviteten. Du kanske till exempel vill titta på aktiviteter som anger att en användare har komprometterats.

För att optimera skyddet bör du överväga att konfigurera automatiska åtgärder för att minimera risken för din organisation. Med våra principer kan du tillämpa styrningsåtgärder tillsammans med aviseringarna så att risken för din organisation minskar även innan du börjar undersöka. Tillgängliga åtgärder bestäms av principtypen, inklusive åtgärder som att pausa en användare eller blockera åtkomst till den begärda resursen.

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.

Läs mer

• Prova vår interaktiva guide: Identifiera hot och hantera aviseringar med Microsoft Defender för molnet Apps