Microsoft Defender for Cloud Apps异常情况检测策略提供现成的用户和实体行为分析 (UEBA) 和机器学习 (ML) ,以便从一开始就准备好跨云环境运行高级威胁检测。 由于它们会自动启用,因此新的异常情况检测策略会立即启动检测和整理结果的过程,针对用户以及连接到网络的计算机和设备中的大量行为异常。 此外,策略会公开来自Defender for Cloud Apps检测引擎的更多数据,以帮助你加快调查过程并遏制持续的威胁。
异常情况检测策略会自动启用,但Defender for Cloud Apps的初始学习期为 7 天,在此期间不会引发所有异常情况检测警报。 之后,从配置的 API 连接器收集数据时,会将每个会话与活动、用户活动时间、IP 地址、设备等、过去一个月检测到的活动以及这些活动的风险分数进行比较。 请注意,可能需要几个小时才能从 API 连接器获取数据。 这些检测是启发式异常情况检测引擎的一部分,该引擎对环境进行分析,并触发有关在组织活动中学到的基线的警报。 这些检测还使用机器学习算法来分析用户和登录模式以减少误报。
通过扫描用户活动来检测异常。 通过查看 30 多种不同风险指标来评估风险,这些指标分为风险因素,如下所示:
- 有风险的 IP 地址
- 登录失败
- 管理员活动
- 非活动帐户
- 位置
- 不可能旅行
- 设备和用户代理
- 活动频率
根据策略结果,会触发安全警报。 Defender for Cloud Apps查看云上的每个用户会话,并在发生与组织的基线或用户常规活动不同的情况时发出警报。
重要
从 2025 年 6 月开始,Microsoft Defender for Cloud Apps开始将异常情况检测策略转换为动态威胁检测模型。 此模型会自动根据不断变化的威胁环境调整检测逻辑,使检测保持最新状态,而无需手动配置或策略更新。 作为整体安全性改进的一部分,为了提供更准确、更及时的警报,已禁用几个旧策略:
将继续获得相同标准的保护,而不会中断现有安全覆盖范围。 不需要你采取任何作。
异常检测策略
可以通过转到 Cloud Apps -Policies ->>Policy management,在 Microsoft Defender 门户中查看异常情况检测策略。 然后,为策略类型选择 “异常情况检测 策略”。
以下异常情况检测策略可用:
不可能旅行
此检测可识别一个或多个会话中 (的两个用户活动,) 在短于用户从第一个位置前往第二个位置的时间段内从地理上较远的位置发起的两个用户活动,指示其他用户使用相同的凭据。 此检测使用机器学习算法,该算法忽略导致不可能旅行条件的明显“误报”,例如组织中的其他用户经常使用的 VPN 和位置。 检测的初始学习期为 7 天,在此期间,它会了解新用户的活动模式。 不可能的旅行检测可识别两个位置之间的异常和不可能的用户活动。 该活动应足够不同寻常,被视为泄露的指标,值得发出警报。 为此,检测逻辑包括不同级别的抑制,以解决可能触发误报的方案,例如 VPN 活动,或来自云提供商的活动,这些活动不指示物理位置。 敏感 度滑块 允许你影响算法并定义检测逻辑的严格程度。 敏感度级别越高,作为检测逻辑的一部分将抑制的活动就更少。 通过这种方式,可以根据覆盖范围需求和 SNR 目标调整检测。
注意
- 当行程两侧的 IP 地址被视为安全且敏感度滑块未设置为 “高”时,将信任行程并将其排除在触发不可能旅行检测之外。 例如,如果双方 被标记为公司,则它们都被视为安全。 但是,如果只认为旅行的一端的 IP 地址是安全的,则检测将按正常方式触发。
- 位置按国家/地区级别计算。 这意味着,对于源自同一国家/地区或边界国家/地区的两个作,将不会有警报。
来自不常见国家/地区的活动
此检测将考虑过去的活动位置,以确定新的和不经常发生的位置。 异常情况检测引擎存储有关用户以前使用的位置的信息。 当活动从用户最近未访问或从未访问过的位置发生时,将触发警报。 为了减少误报警报,检测会取消以用户常见首选项为特征的连接。
恶意软件检测
此检测可识别云存储中的恶意文件,无论是来自Microsoft应用还是第三方应用。 Microsoft Defender for Cloud Apps使用Microsoft的威胁情报来识别与文件类型和共享级别等风险试探法匹配的某些文件是否与已知的恶意软件攻击相关联,并且是否具有潜在的恶意。 默认情况下,禁用此设置。 检测到恶意文件后,可以看到 受感染文件的列表。 在文件抽屉中选择恶意软件文件名以打开恶意软件报告,该报告提供有关该文件所感染的恶意软件类型的信息。
使用此检测通过会话策略实时控制文件上传和下载。
文件沙盒
通过启用文件沙盒,根据元数据和基于专有试探法进行潜在风险的文件也将在安全环境中进行沙盒扫描。 沙盒扫描可能会根据威胁情报源检测未检测到的文件。
Defender for Cloud Apps支持以下应用的“文件沙盒”恶意软件检测:
- Box
- Dropbox
- Google Workspace
注意
- 将在第三方应用程序中主动进行沙盒处理, (Box、 Dropbox 等 ) 。 在 OneDrive 和 SharePoint 中 ,将扫描和沙盒文件作为服务本身的一部分。
- 在 Box、Dropbox 和 Google Workspace 中,Defender for Cloud Apps不会自动阻止文件,但可以根据应用的功能和客户设置的应用配置执行阻止。
- 如果不确定检测到的文件是真正的恶意软件还是误报,请转到 的“Microsoft 安全智能”页面https://www.microsoft.com/wdsi/filesubmission并提交该文件以进行进一步分析。
来自匿名 IP 地址的活动
注意
作为持续改进Defender for Cloud Apps警报威胁防护功能的一部分,此策略已禁用、迁移到新的动态模型,并从 TOR IP 地址和匿名代理活动重命名为“活动”。 如果以前为此策略配置了治理作或电子邮件通知,可以随时在Microsoft Defender门户>云应用>策略管理页中重新启用它。
此检测可识别用户是否通过已标识为匿名代理 IP 地址的 IP 地址处于活动状态。 这些代理由想要隐藏其设备的 IP 地址的用户使用,并可能用于恶意目的。 此检测使用可减少“误报”的机器学习算法,例如组织中用户广泛使用的错误标记 IP 地址。
勒索软件活动
Defender for Cloud Apps扩展了其具有异常情况检测的勒索软件检测功能,以确保更全面地覆盖复杂的勒索软件攻击。 利用我们的安全研究专业知识来识别反映勒索软件活动的行为模式,Defender for Cloud Apps确保提供全面可靠的保护。 例如,如果Defender for Cloud Apps识别出高速率的文件上传或文件删除活动,则可能表示不利的加密过程。 这些数据在从连接的 API 接收的日志中收集,然后与学习的行为模式和威胁情报(例如已知的勒索软件扩展)相结合。 有关Defender for Cloud Apps如何检测勒索软件的详细信息,请参阅保护组织免受勒索软件的侵害。
终止用户执行的活动
此检测使你能够识别被解雇的员工何时继续对 SaaS 应用执行作。 由于数据显示,内部威胁的最大风险来自条件不佳的员工,因此请务必关注被解雇员工帐户的活动。 有时,当员工离开公司时,他们的帐户将从公司应用取消预配,但在许多情况下,他们仍保留对某些公司资源的访问权限。 在考虑特权帐户时,这一点更为重要,因为前管理员可能造成的潜在损害本质上会更大。 此检测利用监视跨应用的用户行为的Defender for Cloud Apps功能,允许识别用户的常规活动、帐户已删除的事实以及其他应用上的实际活动。 例如,删除了Microsoft Entra帐户,但仍有权访问公司 AWS 基础结构的员工可能会造成大规模损害。
检测将查找在 Microsoft Entra ID 中删除了帐户,但仍在 AWS 或 Salesforce 等其他平台中执行活动的用户。 这对于使用其他帐户 (而不是主要单一登录帐户) 管理资源的用户尤其相关,因为在用户离开公司时,这些帐户通常不会被删除。
来自可疑 IP 地址的活动
注意
作为持续改进Defender for Cloud Apps警报威胁防护功能的一部分,此策略已被禁用,迁移到新的动态模型,并重命名为从可疑 IP 地址成功登录。
如果以前为此策略配置了治理作或电子邮件通知,可以随时在Microsoft Defender门户>云应用>策略管理页中重新启用它。
此检测可识别用户是否从被Microsoft威胁情报识别为有风险的 IP 地址中处于活动状态。 这些 IP 地址涉及恶意活动,例如执行密码喷射、僵尸网络 C&C,并可能指示帐户已遭入侵。 此检测使用可减少“误报”的机器学习算法,例如组织中用户广泛使用的错误标记 IP 地址。
可疑的收件箱转发
注意
作为持续改进Defender for Cloud Apps警报威胁防护功能的一部分,此策略已禁用,迁移到新的动态模型,并重命名为由第三方应用创建的可疑电子邮件转发规则。
如果以前为此策略配置了治理作或电子邮件通知,可以随时在Microsoft Defender门户>云应用>策略管理页中重新启用它。
此检测会查找可疑的电子邮件转发规则,例如,如果用户创建了将所有电子邮件的副本转发到外部地址的收件箱规则。
注意
Defender for Cloud Apps仅针对标识为可疑的每个转发规则发出警报,具体取决于用户的典型行为。
可疑的收件箱操作规则
注意
作为持续改进Defender for Cloud Apps警报威胁防护功能的一部分,此策略已被禁用,已迁移到新的动态模型。 如果以前为此策略配置了治理作或电子邮件通知,可以随时在Microsoft Defender门户>云应用>策略管理页中重新启用它。
此检测将分析你的环境,并在用户收件箱上设置删除或移动邮件或文件夹的可疑规则时触发警报。 这可能表示用户帐户已泄露、邮件被有意隐藏,以及邮箱正用于在你的组织中分发垃圾邮件或恶意软件。
预览版) (可疑电子邮件删除活动
注意
作为持续改进Defender for Cloud Apps警报威胁防护功能的一部分,此策略已被禁用、迁移到新的动态模型并重命名为可疑电子邮件删除活动。
如果以前为此策略配置了治理作或电子邮件通知,可以随时在Microsoft Defender门户>云应用>策略管理页中重新启用它。
此策略会分析你的环境,并在用户在单个会话中执行可疑的电子邮件删除活动时触发警报。 此策略可能指示用户邮箱可能受到潜在攻击途径(例如命令和控制通信 (C&C/C2) 通过电子邮件)的攻击。
注意
Defender for Cloud Apps与 Microsoft Defender XDR 集成,为 Exchange Online 提供保护,包括 URL 引爆、恶意软件保护等。 启用 Defender for Microsoft 365 后,你将开始在Defender for Cloud Apps活动日志中看到警报。
可疑的 OAuth 应用文件下载活动
扫描连接到环境的 OAuth 应用,并在应用以用户不寻常的方式从 Microsoft SharePoint 或 Microsoft OneDrive 下载多个文件时触发警报。 这可能表示用户帐户已泄露。
OAuth 应用的异常 ISP
此策略会分析环境,并在 OAuth 应用从不常见的 ISP 连接到云应用程序时触发警报。 此策略可能表明攻击者试图使用合法的受攻击应用对云应用程序执行恶意活动。
用户) (异常活动
这些检测可识别执行以下作的用户:
- 异常的多个文件下载活动
- 异常文件共享活动
- 异常文件删除活动
- 异常模拟活动
- 异常管理活动
- 异常的 Power BI 报表共享活动 (预览)
- 异常的多个 VM 创建活动 (预览)
- 预览) (异常的多个存储删除活动
- 云资源 (预览版) 异常区域
- 异常的文件访问
这些策略在单个会话中查找与所学基线相关的活动,这些基线可以指示违规尝试。 这些检测利用机器学习算法来分析用户登录模式并减少误报。 这些检测是启发式异常情况检测引擎的一部分,该引擎对环境进行分析,并触发有关在组织活动中学到的基线的警报。
多个失败登录尝试
此检测可识别在单个会话中与所学基线相关的多次登录尝试失败的用户,这可能指示存在违规尝试。
多个删除虚拟机活动
此策略对环境进行分析,并在用户相对于组织中的基线删除单个会话中的多个 VM 时触发警报。 这可能表示尝试了违规行为。
启用自动化治理
可以对异常情况检测策略生成的警报启用自动修正作。
- 在“ 策略 ”页中选择检测策略的名称。
- 在打开的 “编辑异常情况检测策略 ”窗口中,在 “治理作” 下,为每个连接的应用或所有应用设置所需的修正作。
- 选择“更新”。
优化异常情况检测策略
若要根据你的偏好影响异常情况检测引擎以取消或显示警报,请执行以下作:
在“不可能旅行”策略中,可以设置敏感度滑块,以确定触发警报之前所需的异常行为级别。 例如,如果将其设置为“低”或“中”,它将禁止来自用户常见位置的“不可能旅行”警报,如果将其设置为“高”,则会显示此类警报。 可以从以下敏感度级别中进行选择:
- 低:系统、租户和用户抑制
- 中等:系统和用户抑制
- 高:仅系统抑制
其中:
| 抑制类型 | 说明 |
|---|---|
| 系统 | 始终被抑制的内置检测。 |
| 租户 | 基于租户之前活动的常见活动。 例如,禁止来自以前在组织中发出警报的 ISP 的活动。 |
| 用户 | 基于特定用户之前活动的常见活动。 例如,禁止来自用户常用位置的活动。 |
注意
不可能旅行、来自不常见国家/地区的活动、来自匿名 IP 地址的活动以及来自可疑 IP 地址的活动警报不适用于失败的登录和非交互式登录。
作用域异常情况检测策略
每个异常检测策略可以独立设置范围,所以你可以只应用到策略中你想要包含的用户和组。 例如,你可以将来自不常见国家/地区的活动检测设置为忽略经常旅行的特定用户。
设置异常检测策略范围:
在Microsoft Defender门户中,转到“云应用”“策略>”“策略>管理”。 然后,为策略类型选择 “异常情况检测 策略”。
选择你想要设置范围的策略。
在“ 作用域”下,将“ 所有用户和组”的默认设置的下拉列表更改为 “特定用户和组”。
选择“ 包括 ”以指定要应用此策略的用户和组。 此处未选择的任何用户或组都不会被视为威胁,也不会生成警报。
选择“ 排除 ”以指定不应用此策略的用户。 此处选择的任何用户都不会被视为威胁,也不会生成警报,即使他们是 “包括”下选择的组的成员也是如此。
会审异常情况检测警报
可以快速对新异常情况检测策略触发的各种警报进行会审,并确定需要首先处理哪些警报。 为此,需要警报的上下文,以便可以查看大局并了解是否确实发生了恶意事件。
在 活动日志中,可以打开活动以显示活动抽屉。 选择“ 用户 ”以查看“用户见解”选项卡。此选项卡包括警报数量、活动以及它们从何处连接的信息,这些信息在调查中非常重要。
对于受恶意软件感染的文件,检测到文件后,即可看到 受感染文件的列表。 在文件抽屉中选择恶意软件文件名以打开恶意软件报告,该报告提供有关该文件所感染的恶意软件类型的信息。
相关视频
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。