如何调查异常情况检测警报

Microsoft Defender for Cloud Apps 提供针对恶意活动的安全检测和警报。 本指南旨在为你提供有关每个警报的一般实用信息，帮助执行调查和修复任务。 本指南中包括有关触发警报条件的一般信息。 但是，需要注意的是，由于异常情况检测本质上是不确定的，只有当行为偏离规范时才会触发。 最后，某些警报可能处于预览状态，因此请定期查看官方文档，了解最新的警报状态。

MITRE ATT&CK

为了解释并更轻松地映射 Defender for Cloud Apps 警报与熟悉的 MITRE ATT&CK 矩阵之间的关系，我们已按相应的 MITRE ATT&CK 策略对警报进行分类。 使用此附加参考，可以轻松了解触发 Defender for Cloud Apps 警报时可能使用的可疑攻击技术。

本指南提供了有关调查和修复以下类别 Defender for Cloud Apps 警报的信息。

• 初始访问
• 执行
• 持久性
• 特权提升
• 凭据访问
• 集合
• 外泄
• 影响

安全警报分类

经过适当的调查后，所有 Defender for Cloud Apps 警报均可归类为以下活动类型之一：

• 真正 (TP)：针对已确认的恶意活动的警报。
• 良性 (B-TP)：针对可疑但不是恶意的活动的警报，例如渗透测试或其他授权的可疑操作。
• 误报 (FP)：针对非恶意活动的警报。

常规调查步骤

在调查任何类型的警报时，应使用以下一般准则，以便在采取建议操作之前更清楚地了解潜在威胁。

• 查看用户的调查优先级分数，并与组织内的其他用户进行比较。 这将帮助你确定组织中的哪些用户的风险最大。
• 如果确定了 TP，请查看所有用户活动，了解其影响。
• 查看所有用户活动，了解其他入侵指标，并探索影响的来源和范围。 例如，查看以下用户设备信息，并与已知设备信息进行比较：
  • 操作系统和版本
  • 浏览器和版本
  • IP 地址和位置

初始访问警报

本节介绍了指示恶意行为者可能试图在组织中获得初始立足点的警报。

来自匿名 IP 地址的活动

说明

由 Microsoft 威胁情报或组织标识为匿名代理 IP 地址的 IP 地址活动。 这些代理可用于隐藏设备的 IP 地址，也可用于恶意活动。

TP、B-TP 还是 FP？

此检测使用机器学习算法来减少 B-TP 事件，例如，组织中用户广泛使用的错误标记的 IP 地址。

1. TP：如果能够确认活动是通过匿名或 TOR IP 地址进行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果已知用户在其职责范围内使用匿名 IP 地址。 例如，当安全分析员代表组织进行安全或渗透测试时。

   建议的操作：关闭警报。

了解泄露的范围

• 查看所有用户活动和警报，了解其他入侵指标。 例如，如果警报之后出现另一个可疑警报，比如异常文件下载（用户）或可疑收件箱转发警报，这通常表明攻击者正试图窃取数据。

来自不常见国家/地区的活动

来自某个国家/地区的活动可能表明存在恶意活动。 该策略将分析你的环境，并在检测到来自组织中任何用户最近未访问过或从未访问过的位置的活动时触发警报。

该策略可以进一步限定用户子集的范围，也可以排除已知前往远程位置的用户。

学习期

检测异常位置需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：

   1. 暂停用户，重置密码，确定安全地重新启用帐户的正确时间。
   2. 可选：使用 Power Automate 创建 Playbook，联系检测到从不常用位置连接的用户及其经理，以验证其活动。

2. B-TP：如果已知用户在此位置。 例如，用户经常出差且目前在指定位置时。

   建议的操作：

   1. 关闭警报并修改策略以排除该用户。
   2. 为经常出差的用户创建一个用户组，将该组导入 Defender for Cloud Apps，然后将用户排除在此警报之外
   3. 可选：使用 Power Automate 创建 Playbook，联系检测到从不常用位置连接的用户及其经理，以验证其活动。

了解泄露的范围

• 检查哪些资源可能已被盗用，比如潜在的数据下载。

来自可疑 IP 地址的活动

来自已被 Microsoft 威胁情报或组织标识为有风险的 IP 地址活动。 这些 IP 地址被识别为参与恶意活动，例如执行密码喷射、僵尸网络命令和控制（C&C），并可能表示帐户遭到入侵。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果已知用户在其职责范围内使用该 IP 地址。 例如，当安全分析员代表组织进行安全或渗透测试时。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，搜索来自同一 IP 地址的活动。
2. 检查哪些资源可能已遭到盗用，如潜在的数据下载或管理修改。
3. 为自愿触发这些警报的安全分析员创建一个组，并将其从策略中排除。

不可能旅行

来自不同位置的同一用户的活动时间比两个位置之间的预期旅行时间短。 这可能表明凭据泄露，也有可能用户的实际位置被屏蔽，比如使用 VPN。

为了提高准确性，仅在有明显泄露迹象时发出警报，Defender for Cloud Apps 为组织中的每个用户建立了基线，并且仅在检测到异常行为时才会发出警报。 可根据你的要求微调不可能旅行策略。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

此检测使用机器学习算法来忽略明显的 B-TP 条件，例如，当旅行双方的 IP 地址被视为安全时，旅行将受信任，并被排除在触发不可能旅行检测之外。 例如，如果双方都被标记为公司，则视为安全。 但是，如果只有旅行一方的 IP 地址被视为安全，则会正常触发检测。

1. TP：如果能够确认不可能旅行警报中的位置对用户来说不太可能。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（未检测到的用户旅行）：如果能够确认用户最近去过警报中详细提到的目的地。 例如，如果用户的手机处于飞行模式，在前往其他位置时仍连接到公司网络上的 Exchange Online 等服务。 当用户到达新位置时，手机会连接到 Exchange Online，从而触发不可能旅行警报。

   建议的操作：关闭警报。

3. FP（未标记的 VPN）：如果能够确认 IP 地址范围来自批准的 VPN。

   建议的操作：关闭警报，并将 VPN 的 IP 地址范围添加到 Defender for Cloud Apps，然后使用它标记 VPN 的 IP 地址范围。

了解泄露的范围

1. 查看活动日志，了解同一位置和 IP 地址中的类似活动。
2. 如果发现用户执行了其他风险活动，例如从新位置下载大量文件，则表明很可能存在盗用。
3. 添加公司 VPN 和 IP 地址范围。
4. 使用 Power Automate 创建 Playbook，并联系用户的经理，查看用户是否合法旅行。
5. 考虑创建一个已知旅行人员数据库，提供最新的组织旅行报告，并利用它来交叉比对旅行活动。

误导性 OAuth 应用名称

此检测可识别带有类似拉丁字母字符（如外文字母）的应用。 这可能表明攻击者试图将恶意应用伪装成已知的可信应用，从而欺骗用户下载其恶意应用。

TP、B-TP 还是 FP？

1. TP：如果能够确认应用的名称具有误导性。

   建议的操作：查看此应用请求的权限级别以及授予哪些用户访问权限。 根据调查，可以选择禁止访问此应用。

要禁止访问应用，请在“应用治理”页上的“Google”或“Salesforce”选项卡上，在要禁止的应用出现的行上，选择“禁止”图标。 - 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道，请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 - 建议告知应用用户，使其知晓应用即将被禁止使用。

1. FP：如果确认应用的名称具有误导性，但在组织中具有合法的业务用途。

   建议的操作：关闭警报。

了解泄露的范围

• 按照有关如何调查有风险的 OAuth 应用的教程操作。

OAuth 应用的误导性发布者名称

此检测可识别带有类似拉丁字母字符（如外文字母）的应用。 这可能表明攻击者试图将恶意应用伪装成已知的可信应用，从而欺骗用户下载其恶意应用。

TP、B-TP 还是 FP？

1. TP：如果能够确认应用的发布者名称具有误导性。

   建议的操作：查看此应用请求的权限级别以及授予哪些用户访问权限。 根据调查，可以选择禁止访问此应用。

2. TP：如果能够确认应用的发布者名称具有误导性，但其是合法发布者。

   建议的操作：关闭警报。

了解泄露的范围

1. 在“应用治理”页上的“Google”或“Salesforce”选项卡上，选择应用以打开“应用抽屉”，然后选择“相关活动”。 这会打开活动日志页，其中筛选出了应用执行的活动。 请注意，一些应用执行的活动注册为已由用户执行。 这些活动自动从活动日志的结果中筛选出来。 若要使用“活动日志”进一步调查，请参阅活动日志。
2. 如果怀疑某个应用可疑，我们建议在不同的应用商店中调查该应用的名称和发布者。 检查应用商店时，重点关注以下类型的应用：
   • 下载次数少的应用。
   • 评级/评分低或评价差的应用。
   • 具有可疑发布者或网站的应用。
   • 最近未更新的应用。 这可能表示应用不再受支持。
   • 所含权限不相关的应用。 这可能表示应用有风险。
3. 如果仍然怀疑应用可疑，可以联机搜索应用名称、发布者和 URL。

执行警报

本节介绍了表明恶意行为者可能试图在组织中运行恶意代码的警报。

多个存储删除活动

单个会话中的活动表明，与学习的基线相比，用户在 Azure blob、AWS S3 存储桶或 Cosmos DB 等资源中执行了异常数量的云存储或数据库删除。 这可能表明有人企图入侵你的组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果要确认删除未经授权。

   建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。

2. FP：如果在调查后，能够确认管理员有权执行这些删除活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 联系用户并确认活动。
2. 查看活动日志，了解其他入侵指标，查看谁进行了更改。
3. 查看用户活动以了解对其他服务的更改。

多个虚拟机创建活动

单个会话中的活动表明，与学习的基线相比，用户执行了异常数量的虚拟机创建操作。 在遭到入侵的云基础设施上创建多个虚拟机可能表明有人试图从你的组织内部运行加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

为了提高准确性，仅在有明显泄露迹象时发出警报，此检测为组织中的每个环境建立了基线，以减少 B-TP 事件，例如管理员合法地创建了比已有基线更多的虚拟机，并且仅在检测到异常行为时才会发出警报。

• TP：如果能够确认该创建活动不是由合法用户执行的。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。 此外，请联系用户，确认其合法操作，然后确保禁用或删除任何已遭盗用的虚拟机。

• B-TP：如果在调查后，能够确认管理员有权执行这些创建活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标。
2. 查看用户创建或修改的资源，并验证这些资源是否符合组织的策略。

云区域的可疑创建活动（预览）

活动表明，与学习的基线相比，用户在不常用的 AWS 区域中执行了异常的资源创建操作。 在不常用云区域创建资源可能表明有人试图在组织中执行恶意活动，比如加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

为了提高准确性，仅在有明显泄露迹象时发出警报，此检测为组织中的每个环境建立了基线，以减少 B-TP 事件。

• TP：如果能够确认该创建活动不是由合法用户执行的。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。 此外，请联系用户，确认其合法操作，然后确保禁用或删除任何已遭盗用的云资源。

• B-TP：如果在调查后，能够确认管理员有权执行这些创建活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标。
2. 查看创建的资源，并验证这些资源是否符合组织的策略。

暂留警报

本节介绍了指示恶意行为者可能试图在组织中保持立足点的警报。

已终止用户执行的活动

已离职用户执行的活动可能表明，仍有权访问公司资源的已离职员工正尝试执行恶意活动。 Defender for Cloud Apps 将分析组织中的用户，并在已离职用户执行活动时触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认已离职用户仍有权访问某些公司资源并正在执行活动。

   建议的操作：禁用用户。

2. B-TP：如果能够确定用户被暂时禁用，或被删除后又重新注册。

   建议的操作：关闭警报。

了解泄露的范围

1. 交叉比对 HR 记录以确认用户已离职。
2. 验证 Microsoft Entra 用户帐户是否存在。

   注意

   如果使用 Microsoft Entra Connect，请验证本地 Active Directory 对象并确认同步周期成功。

3. 确定已离职用户有权访问所有应用，并停用帐户。
4. 更新停用过程。

CloudTrail 日志记录服务的可疑更改

单个会话中的活动表明，用户对 AWS CloudTrail 日志记录服务执行了可疑更改。 这可能表明有人企图入侵你的组织。 禁用 CloudTrail 后，不再记录操作更改。 攻击者可以在避免 CloudTrail 审核事件的同时执行恶意活动，例如将 S3 存储桶从专用改为公开。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，重置密码，反转 CloudTrail 活动。

2. FP：如果能够确认用户合法禁用了 CloudTrail 服务。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，了解其他入侵迹象，查看谁对 CloudTrail 服务进行了更改。
2. 可选：使用 Power Automate 创建 Playbook，联系用户及其经理以验证他们的活动。

可疑的电子邮件删除活动（用户）

单个会话中的活动表明，用户执行了可疑的电子邮件删除。 删除类型是“硬删除”，这会使电子邮件项目被删除，并且在用户的邮箱中不可用。 删除是从包括 ISP、国家/地区和用户代理等不常用首选项的连接中进行的。 这可能表明有人试图入侵你的组织，例如，攻击者试图通过删除与垃圾邮件活动有关的电子邮件来掩盖其行动。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认用户合法创建了删除消息的规则。

   建议的操作：关闭警报。

了解泄露的范围

• 查看所有用户活动，了解其他入侵指标，例如可疑收件箱转发警报后跟不可能旅行警报。 查找:

  1. 新的 SMTP 转发规则，如下所示：
     • 检查是否存在恶意转发规则名称。 规则名称可能是简单的名称，例如 "Forward All Emails" 和 "Auto forward"，也可能是欺骗性名称，例如几乎看不见的 "."。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 恶意规则也可以隐藏在用户界面中。 一旦检测到，你可以使用这篇有用的博客文章，了解如何删除邮箱中的隐藏规则。
     • 如果检测到未识别的转发规则指向未知的内部或外部电子邮件地址，则可以认为收件箱帐户已被盗用。
  2. 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。
  3. 发送的电子邮件数量增加。

可疑收件箱操作规则

活动表明攻击者访问了用户收件箱并创建了可疑规则。 从用户收件箱中删除或移动邮件或文件夹等操纵规则可能企图从组织中窃取信息。 同样，这些也可能表明有人试图操纵用户看到的信息，或利用用户的收件箱分发垃圾邮件、网络钓鱼邮件或恶意软件。 Defender for Cloud Apps 将分析环境，并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 这可能表明用户帐户已被盗用。

TP、B-TP 还是 FP？

1. TP：如果能够确认创建了恶意收件箱规则，并且帐户已被盗用。

   建议的操作：暂停用户，重置密码，移除转发规则。

2. FP：如果能够确认用户合法创建了规则。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标，例如可疑收件箱转发警报后跟不可能旅行警报。 查找:
   • 新的 SMTP 转发规则。
   • 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。
2. 收集操作的 IP 地址和位置信息。
3. 查看从创建规则的 IP 地址执行的活动，以检测其他被盗用的用户。

特权提升警报

本节介绍了表明恶意行为者可能试图获取组织中更高级别权限的警报。

异常管理活动（用户）

活动表明攻击者已盗用用户帐户并执行该用户不常用的管理操作。 例如，攻击者可以尝试更改用户的安全设置，这种操作对于普通用户来说相对罕见。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法管理员执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认管理员合法执行了异常数量的管理活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标，例如可疑收件箱转发或不可能旅行。
2. 查看其他配置更改，例如创建可能用于暂留的用户帐户。

凭据访问警报

本节介绍了表明恶意行为者可能试图从组织中窃取帐户名和密码的警报。

多次失败的登录尝试

登录尝试失败可能表明有人试图入侵帐户。 但是，登录失败也可能是正常行为。 例如，当用户输入错误的密码时。 为了提高准确性，仅在有明显泄露迹象时发出警报，Defender for Cloud Apps 为组织中的每个用户建立了登录习惯基线，并且仅在检测到异常行为时才会发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

该策略基于对用户正常登录行为的学习。 当检测到偏离规范时，将触发警报。 如果检测发现相同的行为仍在继续，则仅发出一次警报。

1. TP（MFA 失败）：如果能够确认 MFA 正常工作，这可能是有人试图进行暴力攻击的迹象。

   建议的操作：

   1. 暂停用户，将用户标记为被盗用，重置密码。
   2. 找到执行失败身份验证的应用并重新配置。
   3. 查找活动期间登录的其他用户，因为这些用户也可能遭到盗用。 暂停用户，将用户标记为被盗用，重置密码。

2. B-TP（MFA 失败）：如果能够确认警报是由 MFA 问题引起的。

   建议的操作：使用 Power Automate 创建 Playbook，联系用户，并检查他们是否遇到 MFA 问题。

3. B-TP（配置不当的应用）：如果能够确认配置错误的应用尝试使用过期的凭据多次连接到服务。

   建议的操作：关闭警报。

4. B-TP（密码更改）：如果能够确认用户最近更改了密码，但并不影响网络共享中的凭据。

   建议的操作：关闭警报。

5. B-TP（安全测试）：如果能够确认安全分析员正在代表组织进行安全或渗透测试。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标，例如警报后跟以下警报之一：不可能旅行、来自匿名 IP 地址的活动或来自不常见国家/地区的活动。
2. 查看以下用户设备信息，并与已知设备信息进行比较：
   • 操作系统和版本
   • 浏览器和版本
   • IP 地址和位置
3. 识别发生身份验证尝试的源 IP 地址或位置。
4. 确定用户最近是否更改了密码，并确保所有应用和设备都具有更新的密码。

向 OAuth 应用异常添加凭据

此检测可识别向 OAuth 应用添加特权凭据的可疑活动。 这可能表示攻击者已盗用应用，并正在将其用于恶意活动。

学习期

学习组织的环境需要 7 天时间，在此期间可能会收到大量警报。

OAuth 应用的异常 ISP

该检测识别从 ISP 连接到云应用程序的 OAuth 应用，这对于该应用来说并不常见。 这可能表明攻击者尝试使用合法被盗用的应用对云应用程序执行恶意活动。

学习期

此检测的学习期为 30 天。

TP、B-TP 还是 FP？

1. TP：如果能够确认活动不是 OAuth 应用的合法活动，或者合法的 OAuth 应用未使用此 ISP。

   建议的操作：撤销 OAuth 应用的所有访问令牌，并调查攻击者是否有权生成 OAuth 访问令牌。

2. FP：如果能够确认活动是由真正的 OAuth 应用合法进行的。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看 OAuth 应用执行的活动。

2. 调查攻击者是否有权生成 OAuth 访问令牌。

收集警报

本节介绍了表明恶意行为者可能正试图从组织收集与其目标相关的数据的警报。

多个 Power BI 报告共享活动

单个会话中的活动表明，与学习的基线相比，用户在 Power BI 中执行了异常数量的共享报告活动。 这可能表明有人企图入侵你的组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：从 Power BI 中移除共享访问权限。 如果能够确认帐户已被盗用，请暂停用户，将用户标记为已被盗用，并重置密码。

2. FP：如果能够确认用户有共享这些报告的业务理由。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，更好地了解用户执行的其他活动。 查看他们登录的 IP 地址和设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报告的准则。

可疑的 Power BI 报表共享

表明用户共享了 Power BI 报告的活动，该报告可能包含使用 NLP 分析报告元数据识别的敏感信息。 该报告要么与外部电子邮件地址共享，发布到网页上，要么将快照发送到外部订阅的电子邮件地址。 这可能表明有人企图入侵你的组织。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：从 Power BI 中移除共享访问权限。 如果能够确认帐户已被盗用，请暂停用户，将用户标记为已被盗用，并重置密码。

2. FP：如果能够确认用户有共享这些报告的业务理由。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，更好地了解用户执行的其他活动。 查看他们登录的 IP 地址和设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报告的准则。

异常模拟活动（用户）

在某些软件中，有些选项允许其他用户模拟其他用户。 例如，电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 攻击者通常使用此活动来创建网络钓鱼电子邮件，试图提取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常模拟活动时创建活动。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法地执行了异常活动，或执行了比已有基线更多的活动。

   建议的操作：关闭警报。

3. FP：如果能够确认应用（如 Teams）合法模拟了用户。

   建议的操作：根据需要查看操作并关闭警报。

了解泄露的范围

1. 查看所有用户活动和警报，了解其他入侵指标。
2. 查看模拟活动，识别潜在的恶意活动。
3. 查看委托访问权限配置。

外泄警报

本节介绍了表明恶意行为者可能试图从组织中窃取数据的警报。

可疑收件箱转发

活动表明攻击者访问了用户收件箱并创建了可疑规则。 将所有或特定电子邮件转发到其他电子邮件帐户等操纵规则可能是试图从组织中窃取信息。 Defender for Cloud Apps 将分析环境，并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 这可能表明用户帐户已被盗用。

TP、B-TP 还是 FP？

1. TP：如果能够确认创建了恶意收件箱转发规则，并且帐户已被盗用。

   建议的操作：暂停用户，重置密码，移除转发规则。

2. FP：如果能够确认用户出于合法原因创建了指向新的或个人外部电子邮件帐户的转发规则。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标，例如警报后跟不可能旅行警报。 查找:

   1. 新的 SMTP 转发规则，如下所示：
      • 检查是否存在恶意转发规则名称。 规则名称可能是简单的名称，例如 "Forward All Emails" 和 "Auto forward"，也可能是欺骗性名称，例如几乎看不见的 "."。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 恶意规则也可以隐藏在用户界面中。 一旦检测到，你可以使用这篇有用的博客文章，了解如何删除邮箱中的隐藏规则。
      • 如果检测到未识别的转发规则指向未知的内部或外部电子邮件地址，则可以认为收件箱帐户已被盗用。
   2. 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。

2. 查看从创建规则的 IP 地址执行的活动，以检测其他被盗用的用户。

3. 使用 Exchange Online 信息跟踪查看转发信息列表。

异常文件下载（用户）

活动表明，与学习的基线相比，用户从云存储平台执行了异常数量的文件下载。 这可能表明有人试图获取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件下载活动。

   建议的操作：关闭警报。

3. FP（软件同步）：如果能够确认 OneDrive 等软件已与引起警报的外部备份同步。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看下载活动，创建下载的文件列表。
2. 与资源所有者一起检查下载文件的敏感度，并验证访问级别。

异常文件访问（用户）

活动表明，与学习的基线相比，用户在 SharePoint 或 OneDrive 中对包含财务数据或网络数据的文件执行了异常数量的文件访问。 这表明有人试图获取有关组织的信息，无论是出于财务目的，还是访问凭据和横向移动。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

学习期取决于用户活动。 通常，大多数用户的学习期为 21 到 45 天。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件访问活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看访问活动，创建访问文件的列表。
2. 与资源所有者一起检查访问文件的敏感度，并验证访问级别。

异常文件共享活动（用户）

活动表明，与学习的基线相比，用户从云存储平台执行了异常数量的文件共享操作。 这可能表明有人试图获取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件共享活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看共享活动，创建共享文件列表。
2. 与资源所有者一起检查共享文件的敏感度，并验证访问级别。
3. 为类似文档创建文件策略，以检测敏感文件的未来共享情况。

影响警报

本节介绍了表明恶意行为者可能试图操纵、中断或破坏组织系统和数据的警报。

多个删除虚拟机活动

单个会话中的活动表明，与学习的基线相比，用户执行了异常数量的虚拟机删除。 多个虚拟机删除操作可能表明有人试图中断或破坏环境。 但在许多正常情况下会删除虚拟机。

TP、B-TP 还是 FP？

为了提高准确性，仅在有明显泄露迹象时发出警报，此检测为组织中的每个环境建立了基线，以减少 B-TP 事件，并且仅在检测到异常行为时才会发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

• TP：如果能够确认删除未经授权。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。

• B-TP：如果在调查后，能够确认管理员有权执行这些删除活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 联系用户并确认活动。
2. 查看所有用户活动，了解其他入侵指标，例如警报后跟以下警报之一：不可能旅行、来自匿名 IP 地址的活动或来自不常见国家/地区的活动。

勒索软件活动

勒索软件是一种网络攻击，攻击者将受害者锁定在设备之外，或阻止他们访问文件，直到受害者支付赎金。 勒索软件可通过恶意共享文件或盗用的网络进行传播。 Defender for Cloud Apps 利用安全研究专业知识、威胁情报和学习的行为模式来识别勒索软件活动。 例如，文件上传或文件删除频繁可能表示勒索软件操作中常见的加密过程。

此检测为组织中每个用户的正常工作模式建立基线，例如用户何时访问云，以及他们在云中通常执行的操作。

从连接的那一刻起，Defender for Cloud Apps 的自动威胁检测策略就开始在后台运行。 Defender for Cloud Apps 利用我们的安全研究专业知识，来识别反映组织中勒索软件活动的行为模式，可全面覆盖复杂的勒索软件攻击。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：用户在短时间内合法执行了类似文件的多次删除和上传活动。

   建议的操作：查看活动日志并确认文件扩展名不可疑后，关闭警报。

3. FP（常见勒索软件文件扩展名）：如果能够确认受影响的文件的扩展与已知的勒索软件扩展名匹配。

   建议的操作：联系用户并确认文件是安全的，然后关闭警报。

了解泄露的范围

1. 查看活动日志，了解其他入侵指标，例如批量下载或批量删除文件。
2. 如果使用 Microsoft Defender for Endpoint，请查看用户的计算机警报，了解是否检测到恶意文件。
3. 在活动日志中搜索恶意文件上传和共享活动。

异常文件检测活动（用户）

活动表明，与学习的基线相比，用户执行了异常文件删除活动。 这可能表明发生勒索软件攻击。 例如，攻击者可以加密用户的文件并删除所有原始文件，只留下加密版本，用来胁迫受害者支付赎金。 Defender for Cloud Apps 根据用户的正常行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认用户合法执行了比已有基线更多的文件删除活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看删除活动，创建删除文件的列表。 如果需要，恢复删除的文件。
2. （可选）使用 Power Automate 创建 Playbook，联系用户及其经理以验证他们的活动。

调查优先级分数增加（预览）

根据严重性、用户影响和用户行为分析，对异常活动和触发警报的活动进行评分。 分析是基于租户中的其他用户完成的。

当特定用户的调查优先级分数出现显著异常增加时，将触发警报。

此警报可以检测潜在的漏洞，这些漏洞的特点是不一定会触发特定警报，但累积起来会对用户造成可疑行为。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间，任何分数的增加都不会触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认用户的活动不合法。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果能够确认用户确实严重偏离了正常行为，但不存在潜在的漏洞。

3. FP（异常行为）：如果能够确认用户合法地执行了异常活动，或执行了比已有基线更多的活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动和警报，了解其他入侵指标。

另请参阅

调查有风险的用户