Anomali algılama ilkeleri Defender for Cloud Apps oluşturma
Microsoft Defender for Cloud Apps anomali algılama ilkeleri kullanıma hazır kullanıcı ve varlık davranış analizi (UEBA) ve makine öğrenmesi (ML) sağlar, böylece bulut ortamınızda gelişmiş tehdit algılamayı çalıştırmaya en baştan hazır olursunuz. Bunlar otomatik olarak etkinleştirildiğinden, yeni anomali algılama ilkeleri sonuçları algılama ve harmanlama işlemine hemen başlar ve kullanıcılarınız ile ağınıza bağlı makineler ve cihazlar arasında çok sayıda davranış anomalisini hedefler. Ayrıca ilkeler, araştırma sürecini hızlandırmanıza ve devam eden tehditler içermenize yardımcı olmak için Defender for Cloud Apps algılama altyapısından daha fazla veri sunar.
Anomali algılama ilkeleri otomatik olarak etkinleştirilir ancak Defender for Cloud Apps, tüm anomali algılama uyarılarının tetiklenmediği yedi günlük ilk öğrenme süresine sahiptir. Bundan sonra, yapılandırılan API bağlayıcılarınızdan veriler toplandığında her oturum, kullanıcıların etkin olduğu, IP adresleri, cihazlar vb. etkinlikle karşılaştırılır ve son ay içinde algılanır ve bu etkinliklerin risk puanı elde edilir. Verilerin API bağlayıcılarından kullanılabilir hale getirmek birkaç saat sürebilir. Bu algılamalar, ortamınızın profilini oluşturan ve kuruluşunuzun etkinliğinde öğrenilen temele göre uyarıları tetikleyen buluşsal anomali algılama altyapısının bir parçasıdır. Bu algılamalar, hatalı pozitif sonuçları azaltmak için kullanıcıların profilini ve oturum açma desenini kullanmak için tasarlanmış makine öğrenmesi algoritmalarını da kullanır.
Anomaliler, kullanıcı etkinliği taranarak algılanıyor. Risk, aşağıdaki gibi risk faktörlerine göre gruplandırılmış 30'un üzerinde farklı risk göstergesine bakılarak değerlendirilir:
- Riskli IP adresi
- Oturum açma hataları
- Yönetici etkinliği
- Etkin olmayan hesaplar
- Konum
- İmkansız seyahat
- Cihaz ve kullanıcı aracısı
- Etkinlik oranı
İlke sonuçlarına bağlı olarak güvenlik uyarıları tetiklenir. Defender for Cloud Apps bulutunuzda her kullanıcı oturumuna bakar ve kuruluşunuzun temelinden veya kullanıcının normal etkinliğinden farklı bir şey olduğunda sizi uyarır.
Yerel Defender for Cloud Apps uyarılarına ek olarak, Microsoft Entra ID Koruması alınan bilgilere göre aşağıdaki algılama uyarılarını da alırsınız:
- Sızan kimlik bilgileri: Kullanıcının geçerli kimlik bilgileri sızdırıldığında tetiklendi. Daha fazla bilgi için bkz. Microsoft Entra ID sızdırılan kimlik bilgileri algılama.
- Riskli oturum açma: Bir dizi Microsoft Entra ID Koruması oturum açma algılamasını tek bir algılamada birleştirir. Daha fazla bilgi için bkz. Microsoft Entra ID Oturum açma riski algılamaları.
Bu ilkeler Defender for Cloud Apps ilkeleri sayfasında görünür ve etkinleştirilebilir veya devre dışı bırakılabilir.
Anomali algılama ilkeleri
Anomali algılama ilkelerini Microsoft Defender Portalı'nda Cloud Apps -policies ->>Policy management'a giderek görebilirsiniz. Ardından, ilke türü için Anomali algılama ilkesi'ni seçin.
Aşağıdaki anomali algılama ilkeleri kullanılabilir:
İmkansız seyahat
-
Bu algılama, coğrafi olarak uzak konumlardan kaynaklanan iki kullanıcı etkinliğini (tek veya birden çok oturumda) kullanıcının ilk konumdan ikinciye seyahat etmesinden daha kısa bir süre içinde tanımlar ve farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterir. Bu algılama, vpn'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi imkansız seyahat koşullarına katkıda bulunan bariz "hatalı pozitifleri" yoksayan bir makine öğrenmesi algoritması kullanır. Algılama, yeni bir kullanıcının etkinlik desenini öğrendiği yedi günlük ilk öğrenme süresine sahiptir. İmkansız seyahat algılama, iki konum arasındaki olağan dışı ve imkansız kullanıcı etkinliğini tanımlar. Etkinlik, güvenliğin aşılmasına ilişkin bir gösterge olarak kabul edilecek ve bir uyarıya değer olacak kadar olağandışı olmalıdır. Bu işe yaraması için algılama mantığı, VPN etkinlikleri veya fiziksel bir konumu belirtmeyen bulut sağlayıcılarının etkinliği gibi hatalı pozitif sonuçları tetikleyebilen senaryoları ele almak için farklı gizleme düzeyleri içerir. Duyarlılık kaydırıcısı algoritmayı etkilemenizi ve algılama mantığının ne kadar katı olduğunu tanımlamanızı sağlar. Duyarlılık düzeyi ne kadar yüksek olursa algılama mantığının bir parçası olarak daha az etkinlik gizlenir. Bu şekilde algılamayı kapsama gereksinimlerinize ve SNR hedeflerinize göre uyarlayabilirsiniz.
Not
- Seyahatin her iki tarafındaki IP adresleri güvenli olarak kabul edildiğinde ve duyarlılık kaydırıcısı Yüksek olarak ayarlanmadığında, seyahate güvenilir ve İmkansız seyahat algılamasını tetiklemeden dışlanır. Örneğin, her iki taraf da şirket olarak etiketlenirse güvenli kabul edilir. Ancak, seyahatin yalnızca bir tarafının IP adresi güvenli olarak kabul edilirse, algılama normal şekilde tetiklanır.
- Konumlar bir ülke/bölge düzeyinde hesaplanır. Bu, aynı ülkeden/bölgeden veya sınırdaki ülkelerden/bölgelerden kaynaklanan iki eylem için uyarı olmayacağı anlamına gelir.
Seyrek görülen ülkeden etkinlik
- Bu algılama, yeni ve seyrek görülen konumları belirlemek için geçmiş etkinlik konumlarını dikkate alır. Anomali algılama altyapısı, kullanıcı tarafından kullanılan önceki konumlarla ilgili bilgileri depolar. Kullanıcı yakın zamanda ziyaret etmemiş veya hiç ziyaret etmemiş bir konumdan bir etkinlik gerçekleştiğinde bir uyarı tetikleniyor. Hatalı pozitif uyarıları azaltmak için algılama, kullanıcıya yönelik yaygın tercihlerle karakterize edilen bağlantıları bastırır.
Kötü amaçlı yazılım algılama
Bu algılama, ister Microsoft uygulamalarınızdan ister üçüncü taraf uygulamalarınızdan olsun, bulut depolama alanınızdaki kötü amaçlı dosyaları tanımlar. Microsoft Defender for Cloud Apps, dosya türü ve paylaşım düzeyi gibi risk buluşsal yöntemleriyle eşleşen bazı dosyaların bilinen kötü amaçlı yazılım saldırılarıyla ilişkili olup olmadığını ve potansiyel olarak kötü amaçlı olup olmadığını tanımak için Microsoft'un tehdit zekasını kullanır. Bu yerleşik ilke varsayılan olarak devre dışıdır. Kötü amaçlı dosyalar algılandıktan sonra Virüslü dosyaların listesini görebilirsiniz. Dosya çekmecesindeki kötü amaçlı yazılım dosya adını seçerek dosyanın bulaştığı kötü amaçlı yazılım türü hakkında bilgi sağlayan bir kötü amaçlı yazılım raporu açın.
Oturum ilkeleriyle dosya karşıya yüklemelerini ve indirmelerini gerçek zamanlı olarak denetlemek için bu algılamayı kullanın.
Dosya Korumalı Alanı
Dosya korumalı alanını etkinleştirerek, meta verilerine göre ve özel buluşsal yöntemlere dayalı olarak riskli olabilecek dosyalar da güvenli bir ortamda korumalı alan taranır. Korumalı alan taraması, tehdit bilgileri kaynaklarına göre algılanmayan dosyaları algılayabilir.
Defender for Cloud Apps aşağıdaki uygulamalar için kötü amaçlı yazılım algılamayı destekler:
- Kutu
- Dropbox
- Google Çalışma Alanı
Not
- Proaktif korumalı alan oluşturma işlemi üçüncü taraf uygulamalarda (Box, Dropbox vb.) yapılacaktır. OneDrive'da ve SharePoint dosyaları hizmetin bir parçası olarak taranıyor ve korumalı alanlara alınıyor.
- Box, Dropbox ve Google Workspace'te Defender for Cloud Apps dosyayı otomatik olarak engellemez, ancak engelleme uygulamanın özelliklerine ve müşterinin belirlediği uygulama yapılandırmasına göre gerçekleştirilebilir.
- Algılanan bir dosyanın gerçekten kötü amaçlı yazılım mı yoksa hatalı pozitif mi olduğundan emin değilseniz konumundaki Microsoft Güvenlik Zekası sayfasına https://www.microsoft.com/wdsi/filesubmission gidin ve dosyayı daha fazla analiz için gönderin.
Anonim IP adreslerinden etkinlik
- Bu algılama, kullanıcıların anonim ara sunucu IP adresi olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar. Bu proxy'ler, cihazlarının IP adresini gizlemek isteyen kişiler tarafından kullanılır ve kötü amaçlı olarak kullanılabilir. Bu algılama, kuruluştaki kullanıcılar tarafından yaygın olarak kullanılan yanlış etiketli IP adresleri gibi "hatalı pozitifleri" azaltan bir makine öğrenmesi algoritması kullanır.
Fidye yazılımı etkinliği
- Defender for Cloud Apps gelişmiş Fidye Yazılımı saldırılarına karşı daha kapsamlı bir kapsama sağlamak için anomali algılama ile fidye yazılımı algılama özelliklerini genişletti. Fidye yazılımı etkinliğini yansıtan davranış düzenlerini belirlemek için güvenlik araştırması uzmanlığımızı kullanarak Defender for Cloud Apps bütünsel ve sağlam koruma sağlar. Defender for Cloud Apps yüksek oranda dosya karşıya yükleme veya dosya silme etkinliği tanımlarsa, olumsuz bir şifreleme işlemini temsil edebilir. Bu veriler, bağlı API'lerden alınan günlüklerde toplanır ve daha sonra öğrenilen davranış düzenleri ve bilinen fidye yazılımı uzantıları gibi tehdit bilgileriyle birleştirilir. Defender for Cloud Apps fidye yazılımlarını algılama hakkında daha fazla bilgi için bkz. Kuruluşunuzu fidye yazılımlarına karşı koruma.
Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik
- Bu algılama, sonlandırılan bir çalışanın SaaS uygulamalarınızda ne zaman eylem gerçekleştirmeye devam ettiğinde bunu belirlemenizi sağlar. Veriler, içeriden gelen tehdit riskinin en büyük kısmının kötü koşullarda ayrılan çalışanlardan geldiğini gösterdiğinden, sonlandırılan çalışanların hesaplardaki etkinliklerini takip etmek önemlidir. Bazen, çalışanlar şirketten ayrıldığında hesapları kurumsal uygulamalardan sağlanır, ancak çoğu durumda hala belirli şirket kaynaklarına erişimi korur. Eski bir yöneticinin oluşturabileceği olası zarar doğal olarak daha yüksek olduğundan, ayrıcalıklı hesaplar göz önünde bulundurulduğunda bu daha da önemlidir. Bu algılama, uygulamalar genelinde kullanıcı davranışını izlemenin Defender for Cloud Apps özelliğinden yararlanarak kullanıcının düzenli etkinliğinin, hesabın silindiği gerçeğinin ve diğer uygulamalarda gerçek etkinliğin belirlenmesine olanak tanır. Örneğin, Microsoft Entra hesabı silinmiş ancak hala kurumsal AWS altyapısına erişimi olan bir çalışan büyük ölçekli hasara neden olabilir.
Algılama, hesapları Microsoft Entra ID silinen ancak AWS veya Salesforce gibi diğer platformlarda etkinlikler gerçekleştiren kullanıcıları arar. Bu, özellikle kaynakları yönetmek için başka bir hesap (birincil çoklu oturum açma hesabı değil) kullanan kullanıcılar için geçerlidir, çünkü bu hesaplar genellikle bir kullanıcı şirketten ayrıldığında silinmez.
Şüpheli IP adreslerinden etkinlik
- Bu algılama, kullanıcıların Microsoft Tehdit Bilgileri tarafından riskli olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar. Bu IP adresleri parola spreyi, Botnet C&C gibi kötü amaçlı etkinliklere katılır ve güvenliği aşılmış hesabı gösterebilir. Bu algılama, kuruluştaki kullanıcılar tarafından yaygın olarak kullanılan yanlış etiketli IP adresleri gibi "hatalı pozitifleri" azaltan bir makine öğrenmesi algoritması kullanır.
Şüpheli gelen kutusu iletme
- Bu algılama, örneğin bir kullanıcı tüm e-postaların bir kopyasını dış adrese ileden bir gelen kutusu kuralı oluşturduysa şüpheli e-posta iletme kurallarını arar.
Not
Defender for Cloud Apps, yalnızca kullanıcının tipik davranışına bağlı olarak şüpheli olarak tanımlanan her iletme kuralı için sizi uyarır.
Şüpheli gelen kutusu işleme kuralları
- Bu algılama ortamınızın profilini oluşturur ve bir kullanıcının gelen kutusunda iletileri veya klasörleri silip taşıyabilen şüpheli kurallar ayarlandığında uyarıları tetikler. Bu, kullanıcının hesabının gizliliğinin ihlal edildiğini, iletilerin kasıtlı olarak gizlendiğini ve posta kutusunun kuruluşunuzda istenmeyen posta veya kötü amaçlı yazılım dağıtmak için kullanıldığını gösterebilir.
Şüpheli e-posta silme etkinliği (Önizleme)
- Bu ilke ortamınızın profilini oluşturur ve kullanıcı tek bir oturumda şüpheli e-posta silme etkinlikleri gerçekleştirdiğinde uyarıları tetikler. Bu ilke, kullanıcının posta kutularının e-posta üzerinden komut ve denetim iletişimi (C&C/C2) gibi olası saldırı vektörleri tarafından ele geçirilebileceğini gösterebilir.
Not
Defender for Cloud Apps, EXCHANGE Online'da URL patlama, kötü amaçlı yazılım koruması ve daha fazlası dahil olmak üzere koruma sağlamak için Microsoft Defender XDR ile tümleştirilir. Microsoft 365 için Defender etkinleştirildikten sonra, Defender for Cloud Apps etkinlik günlüğünde uyarılar görmeye başlarsınız.
Şüpheli OAuth uygulama dosyası indirme etkinlikleri
- Ortamınıza bağlı OAuth uygulamalarını tarar ve bir uygulama Microsoft SharePoint veya Microsoft OneDrive'dan kullanıcı için olağan dışı bir şekilde birden çok dosya indirdiğinde bir uyarı tetikler. Bu, kullanıcı hesabının gizliliğinin tehlikeye girdiğini gösterebilir.
OAuth Uygulaması için olağan dışı ISS
- Bu ilke, bir OAuth uygulaması yaygın olmayan bir ISS'den bulut uygulamalarınıza bağlandığında ortamınızın profilini oluşturur ve uyarıları tetikler. Bu ilke, bir saldırganın bulut uygulamalarınızda kötü amaçlı etkinlikler gerçekleştirmek için güvenli bir güvenliği aşılmış uygulamayı kullanmaya çalıştığını gösterebilir.
Olağan dışı etkinlikler (kullanıcıya göre)
Bu algılamalar şunları gerçekleştiren kullanıcıları tanımlar:
- Olağan dışı birden çok dosya indirme etkinliği
- Olağan dışı dosya paylaşımı etkinlikleri
- Olağan dışı dosya silme etkinlikleri
- Olağan dışı kimliğine bürünülen etkinlikler
- Olağan dışı yönetim etkinlikleri
- Olağan dışı Power BI rapor paylaşım etkinlikleri (önizleme)
- Olağan dışı birden çok VM oluşturma etkinliği (önizleme)
- Olağan dışı birden çok depolama silme etkinliği (önizleme)
- Bulut kaynağı için olağan dışı bölge (önizleme)
- Olağan dışı dosya erişimi
Bu ilkeler, öğrenilen temele göre tek bir oturumdaki etkinlikleri arar ve bu da bir ihlal girişimine işaret edebilir. Bu algılamalar, kullanıcıların oturum açma deseninin profilini oluşturan ve hatalı pozitif sonuçları azaltan bir makine öğrenmesi algoritmasından yararlanır. Bu algılamalar, ortamınızın profilini oluşturan ve kuruluşunuzun etkinliğinde öğrenilen temele göre uyarıları tetikleyen buluşsal anomali algılama altyapısının bir parçasıdır.
Birden çok başarısız oturum açma girişimi
- Bu algılama, öğrenilen temele göre tek bir oturumda birden çok oturum açma girişiminde başarısız olan kullanıcıları tanımlar ve bu da bir ihlal girişimine işaret edebilir.
Birden çok SILME VM etkinliği
- Bu ilke, ortamınızın profilini oluşturur ve kullanıcılar kuruluşunuzdaki temele göre tek bir oturumda birden çok VM sildiğinde uyarıları tetikler. Bu, ihlal girişimine işaret edebilir.
Otomatik idareyi etkinleştirme
Anomali algılama ilkeleri tarafından oluşturulan uyarılarda otomatik düzeltme eylemlerini etkinleştirebilirsiniz.
- İlkeler sayfasında algılama ilkesinin adını seçin.
- Açılan Anomali algılama ilkesini düzenle penceresinde , İdare eylemleri'nin altında her bağlı uygulama veya tüm uygulamalar için istediğiniz düzeltme eylemlerini ayarlayın.
- Güncelleştir'i seçin.
Anomali algılama ilkelerini ayarlama
Anomali algılama altyapısını etkileyerek uyarıların tercihlerinize göre gizlenmesini veya ortaya çıkışını sağlamak için:
İmkansız Seyahat ilkesinde duyarlılık kaydırıcısını, uyarı tetiklenmeden önce gereken anormal davranış düzeyini belirlemek için ayarlayabilirsiniz. Örneğin, düşük veya orta olarak ayarlarsanız, kullanıcının ortak konumlarından Gelen İmkansız Seyahat uyarılarını gizler ve yüksek olarak ayarlarsanız bu tür uyarılar ortaya çıkar. Aşağıdaki duyarlılık düzeyleri arasından seçim yapabilirsiniz:
Düşük: Sistem, kiracı ve kullanıcı engellemeleri
Orta: Sistem ve kullanıcı engellemeleri
Yüksek: Yalnızca sistem engellemeleri
Konum:
Gizleme türü Açıklama Sistem Her zaman gizlenen yerleşik algılamalar. Kiracı Kiracıdaki önceki etkinliği temel alan ortak etkinlikler. Örneğin, kuruluşunuzda daha önce uyarılan bir ISS'den etkinlikleri gizleme. Kullanıcı Belirli bir kullanıcının önceki etkinliğine dayalı ortak etkinlikler. Örneğin, kullanıcı tarafından yaygın olarak kullanılan bir konumdan etkinlikleri gizleme.
Not
mümkün olmayan seyahat, seyrek ülkelerden/bölgelerden gelen etkinlikler, anonim IP adreslerinden gelen etkinlikler ve şüpheli IP adresleri uyarılarından gelen etkinlikler başarısız oturum açma ve etkileşimli olmayan oturum açma işlemlerinde geçerli değildir.
Kapsam anomali algılama ilkeleri
Her anomali algılama ilkesinin kapsamı, yalnızca ilkeye dahil etmek ve dışlamak istediğiniz kullanıcılar ve gruplar için geçerli olacak şekilde bağımsız olarak kapsanabilir. Örneğin, sık seyahat eden belirli bir kullanıcıyı yoksaymak için Sık olmayan ilçe algılamasından Etkinlik'i ayarlayabilirsiniz.
Anomali algılama ilkesini kapsamak için:
Microsoft Defender Portalı'nda Cloud Apps -policies ->>Policy management'a gidin. Ardından, ilke türü için Anomali algılama ilkesi'ni seçin.
Kapsamına almak istediğiniz ilkeyi seçin.
Kapsam'ın altında, Tüm kullanıcılar ve gruplar'ın varsayılan ayarındaki açılan listeyi Belirli kullanıcılar ve gruplar olarak değiştirin.
Bu ilkenin uygulanacağı kullanıcıları ve grupları belirtmek için Ekle'yi seçin. Burada seçilmemiş herhangi bir kullanıcı veya grup tehdit olarak kabul edilmez ve uyarı oluşturmaz.
Bu ilkenin uygulanmayacağı kullanıcıları belirtmek için Dışla'yı seçin. Burada seçilen herhangi bir kullanıcı tehdit olarak kabul edilmez ve Dahil Et altında seçilen grupların üyesi olsalar bile uyarı oluşturmaz.
Anomali algılama uyarılarını önceliklendirme
Yeni anomali algılama ilkeleri tarafından tetiklenen çeşitli uyarıları hızla önceliklendirebilir ve ilk olarak hangi uyarılarla ilgilenilmesi gerektiğine karar vekleyebilirsiniz. Bunu yapmak için, daha büyük resmi görebilmek ve gerçekten kötü amaçlı bir şey olup olmadığını anlamak için uyarının bağlamı gerekir.
Etkinlik günlüğünde etkinlik çekmecesini görüntülemek için bir etkinlik açabilirsiniz. Kullanıcı içgörüleri sekmesini görüntülemek için Kullanıcı'ya tıklayın. Bu sekme uyarı sayısı, etkinlikler ve bunların nereden bağlandığı gibi bilgileri içerir ve bu bir araştırmada önemlidir.
Kötü amaçlı yazılımdan etkilenen dosyalar için dosyalar algılandıktan sonra , Virüs bulaşmış dosyaların listesini görebilirsiniz. Dosya çekmecesindeki kötü amaçlı yazılım dosya adını seçerek size dosyanın bulaştığı kötü amaçlı yazılım türü hakkında bilgi sağlayan bir kötü amaçlı yazılım raporu açın.
İlgili videolar
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.