教程:通过行为分析(UEBA)检测可疑的用户活动
Microsoft Defender for Cloud Apps 为受攻击的用户、内部威胁、外泄、勒索软件等提供了跨攻击杀伤链的最佳检测。 我们的综合解决方案结合了异常、行为分析(UEBA)和基于规则的活动检测等多种检测方法,以便全面了解用户在你的环境中使用应用的情况。
为什么检测可疑行为很重要? 用户拥有更改云环境的能力会产生重大影响,甚至能直接影响到运行业务的能力。 例如,主要公司资源如运行公共网站或为客户提供服务的服务器可能会受到威胁。
通过分析从多个源捕获的数据,Defender for Cloud Apps 能够提取组织的应用和用户活动,以便安全分析师能够了解云使用情况。 收集到的数据经过对应、标准化和添加威胁情报、位置等其他详细信息互相关联,能够持续准确展现可疑活动。
因此,要充分实现这些检测的好处,请先确保配置以下源:
- 活动日志
来自 已连接 API 的应用的活动。 - 发现日志
从防火墙和代理流量日志中提取的活动会转发至 Defender for Cloud Apps。 日志会根据 云应用目录进行分析,按照 90 多个风险因素进行排名和评分。 - 代理日志
来自条件访问应用控制应用的活动。
接下来,需要优化策略。 可以设置筛选器、动态阈值(UEBA)来训练检测模型,使用抑制以减少常见的误报检测,从而优化以下策略:
- 异常检测
- Cloud Discovery 异常情况检测
- 基于规则的活动检测
本教程介绍了如何优化用户活动检测,以识别真正的危害,并减少由于处理大量误报检测而导致的警报疲劳:
第 1 阶段:配置公共 IP 地址范围
在配置单个策略之前,建议配置 IP 范围,可用于所有类型的可疑用户活动检测策略。
由于 IP 地址信息对于几乎所有调查都至关重要,因此配置已知 IP 地址有助于机器学习算法识别已知位置,并将它们视为机器学习模型的一部分。 例如,添加 VPN 的 IP 地址范围将有助于模型正确分类此 IP 范围,并自动将其从不可能的旅行检测中排除,因为 VPN 位置不表示该用户的真实位置。
注意:配置的 IP 范围不仅会被用于检测,还会用于Defender for Cloud Apps 中活动日志中的活动、条件访问等区域。配置范围时需要注意这一点。 例如,标识物理办公室 IP 地址后可以自定义日志和警报的显示和调查方式。
检查开箱可用的异常情况检测警报
Defender for Cloud Apps 包括一组异常情况检测警报,用于识别不同的安全场景。 这些检测已预先设置并自动启用,会在连接相关应用连接器后立即开始分析用户活动并生成警报。
请先熟悉不同的检测策略,选出与你的组织最相关的场景,并相应地调整策略。
第 2 阶段:优化异常情况检测策略
Defender for Cloud Apps 预配置了常见的安全用例,能提供多个内置异常情况检测策略。 请花些时间熟悉一些较常用的检测,例如:
- 不可能旅行
来自不同位置的同一用户的活动时间比两个位置之间的预期旅行时间短的活动。 - 来自不常见国家/地区的活动
来自用户最近或从未访问过的位置的活动。 - 恶意软件检测
扫描云应用中的文件,并通过 Microsoft 的威胁智能引擎运行可疑文件,以确定它们是否与已知恶意软件相关联。 - 勒索软件活动
将文件上传到可能感染了勒索软件的云。 - 来自可疑 IP 地址的活动
来自已被 Microsoft 威胁情报标识为有风险的 IP 地址的活动。 - 可疑收件箱转发
检测用户收件箱中的可疑收件箱转发规则组。 - 异常的多文件下载活动
对比学习到的基线,如果检测到单轮会话中有多个文件下载活动,说明可能存在违规尝试。 - 异常管理活动
对比学习到的基线,如果检测到单个会话中有多个管理活动下载,说明可能存在违反尝试。
有关完整的检测列表及其用途,请参阅异常情况检测策略。
注意
虽然某些异常情况检测主要用于检测存在问题的安全场景,但其他的异常情况检测可用于帮助识别和调查那些不一定表示泄露的异常用户行为。 对于此类检测,我们创建了另一种名为“行为”的数据类型,可在 Microsoft Defender XDR 高级搜寻体验中使用。 有关详细信息,请参阅行为。
熟悉这些策略后,应考虑如何根据组织的特定要求优化这些策略,以便更好地定位可能想要进一步调查的活动。
将策略范围限定为特定用户或组
将策略范围限定为特定用户有助于减少与组织无关的警报发出的干扰。 可将每个策略配置为包括或排除特定用户和组,如以下示例所示:
- 攻击模拟器
许多组织使用用户或组持续模拟攻击。 显然,不断接收这些用户活动的警报并无意义。 因此,可以将策略配置为排除这些用户或组。 这也有助于机器学习模型识别这些用户,并相应地优化其动态阈值。 - 目标检测
组织可能想要调查特定组 VIP 用户,例如管理员成员或 CXO 组。 在此场景中,可以为要检测的活动创建策略,并选择仅包含感兴趣的用户或组集。
- 攻击模拟器
优化异常登录检测
某些组织希望看到失败登录活动导致的警报,因为这可能说明有人正在尝试针对一个或多个用户帐户。 另一方面,如果云上的用户帐户遭受持续的暴力攻击,组织无法阻止。 因此,大型组织通常决定只接收能导致成功登录活动的可疑登录活动警报,因为这些可能表示真正的泄露。
身份盗窃是泄露的主要来源,会对组织构成重大威胁。 不可能旅行、来自可疑 IP 地址的活动以及 不常见国家/地区 检测警报有助于发现可能泄露帐户的活动。
优化不可能旅行的敏感度:配置敏感度滑块,以决定触发不可能的旅行警报前要应用于异常行为的抑制级别。 例如,对高保真度感兴趣的组织应考虑提高敏感度级别。 另一方面,如果组织拥有许多旅行用户,请考虑降低敏感度级别,以抑制以前活动中学习的来自用户常见位置的活动。 可以从以下级别中进行选择:
- 低:系统、租户和用户禁止显示
- 中:系统和用户禁止显示
- 高:仅系统禁止显示
其中:
禁止显示类型 说明 系统 始终被抑制的内置检测。 租户 基于租户以前活动的常见活动。 例如,抑制组织中曾经开启警告的来自 ISP 的活动。 用户 基于特定用户以前活动的常见活动。 例如,抑制来自用户常用的位置的活动。
第 3 阶段:优化 Cloud Discovery 异常情况检测策略
与异常情况检测策略一样,可以优化几个内置的Cloud Discovery异常情况检测策略。 例如,数据外泄到未经批准的应用策略会在数据外泄到未经批准的应用时发出警报,并根据安全字段中的 Microsoft 体验预配置设置。
但是,可以优化内置策略或创建自己的策略,以帮助你识别可能有兴趣调查的其他方案。 由于这些策略是基于 Cloud Discovery 日志,因此它们具有不同的 优化功能,更专注于异常应用行为和数据外泄。
优化使用情况监视
设置使用情况筛选器以控制用于检测异常行为的基线、范围和活动周期。 例如,你可能想要接收与执行级别员工相关的异常活动警报。优化警报敏感度
要防止警报疲劳,请配置警报的敏感度。 可以使用敏感度滑块控制每周向 1,000 个用户发送的高风险警报数。 较高的敏感度将较小的差异视为异常并生成更多警报。 通常会为无权访问机密数据的用户设置低敏感度。
第 4 阶段:优化基于规则的检测(活动)策略
基于规则的检测策略支持按照组织特定的要求补充异常情况检测策略。 建议使用活动策略模板创建基于规则的策略(转到“控制”>“模板”,将“类型筛选器设置为“活动策略”),然后配置为检测环境中不正常的行为。 例如,对于某些不在特定国家/地区的组织,创建检测来自该国家/地区的异常活动并警报策略是合理的。 对于在该国家/地区拥有大型分支机构的组织,来自该国家/地区的活动是正常的,因此检测此类活动是没有意义的。
- 优化活动量
选择检测引发警报之前所需的活动量。 以国家/地区为例,如果你不在该国家/地区,即使活动只发生一次也值得关注,需要发出警报。 但是,单次登录失败可能是人为错误,仅在短时间内出现多个故障时才会引发关注。 - 优化 活动筛选器
设置所需的筛选器以检测需要警报的活动类型。 例如,要检测来自某个国家/地区的活动,请使用 Location 参数。 - 优化警报
要防止警报疲劳,请设置 每日警报限制。
第 5 阶段:配置警报
注意
警报/短信自 2022 年 12 月 15 日起已弃用。 如果要接收文本警报,则应使用 Microsoft Power Automate实现自定义警报自动化。 有关详细信息,请参阅 与 Microsoft Power Automate 集成以实现自定义警报自动化。
可以选择以最符合需求的格式和介质接收警报。 要全天接收即时警报,建议通过电子邮件。
你可能还希望能够在组织中其他产品触发的警报上下文中对警报进行分析,以便全面了解潜在威胁。 例如,你可能想要关联基于云的事件和本地事件,以查看是否有任何其他可能削弱确认为攻击的证据。
此外,还可以使用与 Microsoft Power Automate 集成触发自定义警报自动化。 例如,可以设置 playbook ,自动在 ServiceNow中创建问题,或者发送审批电子邮件,以便在触发警报时执行自定义治理操作。
请使用下面的指南来安装和配置部署:
- 电子邮件
选择此选项可通过电子邮件接收警报。 - SIEM
SIEM 有 Microsoft Sentinel、Microsoft Graph 安全性 API 和其他通用 SIEM等多个集成选项。 选择最能满足您的需求的集成机制。 - Power Automate 自动化
创建所需的自动化 playbook,并将其设置为 Power Automate 操作的策略警报。
第 6 阶段:调查和修正
太好了,你已设置策略并开始接收可疑活动警报。 然后怎么做? 首先,应采取措施调查活动。 例如,你可能想要查看能说明用户已遭入侵的活动。
要优化保护,应考虑设置自动修正操作,以最大程度地降低组织的风险。 我们的策略允许你结合使用治理操作应用警报,以便在开始调查之前就降低组织面临的风险。 可用操作由策略类型确定,比如暂停用户或阻止访问呢请求的资源等操作。
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。