如何調查異常偵測警示

適用於雲端的 Microsoft Defender Apps 提供惡意活動的安全性偵測和警示。 本指南的目的是要為您提供每個警示的一般和實用資訊，以協助調查和補救工作。 本指南包含觸發警示條件的一般資訊。 不過，請務必注意，由於異常偵測本質上不具決定性，因此只有在有偏離常態的行為時，才會觸發這些偵測。 最後，某些警示可能處於預覽狀態，因此請定期檢閱官方檔，以取得更新的警示狀態。

MITRE ATT&CK

為了說明並更輕鬆地對應 適用於雲端的 Defender Apps 警示與熟悉的 MITRE ATT&CK 矩陣之間的關聯性，我們已依其對應的 MITRE ATT&CK 策略來分類警示。 此額外參考可讓您更輕鬆地瞭解在觸發 適用於雲端的 Defender Apps 警示時，可能正在使用的可疑攻擊技術。

本指南提供下列類別中調查和補救 適用於雲端的 Defender Apps 警示的相關信息。

• 初始存取
• 執行
• 持續性
• 權限提升
• 認證存取
• 集合
• 外洩
• 影響

安全性警示分類

經過適當的調查，所有 適用於雲端的 Defender Apps 警示都可以分類為下列其中一種活動類型：

• 真肯定 （TP）：已確認惡意活動的警示。
• 良性真陽性 （B-TP）：可疑但非惡意活動的警示，例如滲透測試或其他授權的可疑動作。
• 誤判 （FP）：非惡意活動的警示。

一般調查步驟

在調查任何類型的警示時，您應該使用下列一般指導方針，在套用建議的動作之前，先更清楚瞭解潛在威脅。

• 檢閱使用者的 調查優先順序分數 ，並與組織的其餘部分進行比較。 這可協助您識別組織中哪些用戶構成最大的風險。
• 如果您識別 TP，請檢閱所有用戶的活動，以了解影響。
• 檢閱所有用戶活動以取得其他入侵指標，並探索影響的來源和範圍。 例如，檢閱下列使用者裝置資訊，並與已知的裝置資訊進行比較：
  • 作業系統和版本
  • 瀏覽器和版本
  • IP 位址和位置

初始存取警示

本節描述警示，指出惡意執行者可能嘗試取得組織的初始立足點。

來自匿名 IP 位址的活動

說明

來自已由 Microsoft 威脅情報或貴組織識別為匿名 Proxy IP 位址的 IP 位址的活動。 這些 Proxy 可用來隱藏裝置的 IP 位址，並可用於惡意活動。

TP、 B-TP 或 FP？

此偵測會使用可減少 B-TP 事件的機器學習演算法，例如組織中使用者廣泛使用的錯誤標記 IP 位址。

1. TP：如果您能夠確認活動是從匿名或 TOR IP 位址執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. B-TP：如果使用者已知在職責範圍內使用匿名 IP 位址。 例如，當安全性分析師代表組織進行安全性或滲透測試時。

   建議的動作：關閉警示。

瞭解缺口的範圍

• 檢閱所有用戶活動和警示，以取得其他入侵指標。 例如，如果警示後面接著另一個可疑的警示，例如異常檔案下載（使用者）或可疑的收件匣轉寄警示，這通常表示攻擊者嘗試外泄數據。

非經常性國家/地區的活動

來自可能表示惡意活動的國家/地區的活動。 此原則會分析您的環境，並在從組織內任何使用者從未造訪的位置偵測到活動時觸發警示。

此原則可以進一步限定為使用者子集，也可以排除已知前往遠端位置的使用者。

學習期間

偵測異常位置需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議動作：

   1. 暫停使用者、重設其密碼，並識別正確時間安全地重新啟用帳戶。
   2. 選擇性：使用 Power Automate 建立劇本，以連絡從不常的位置及其經理偵測到的使用者，以驗證其活動。

2. B-TP：如果已知用戶位於此位置。 例如，當經常旅行且目前位於指定位置的使用者時。

   建議動作：

   1. 關閉警示並修改原則以排除使用者。
   2. 建立常客的使用者群組、將群組匯入 適用於雲端的 Defender Apps，並將使用者從此警示中排除
   3. 選擇性：使用 Power Automate 建立劇本，以連絡從不常的位置及其經理偵測到的使用者，以驗證其活動。

瞭解缺口的範圍

• 檢閱哪些資源可能遭到入侵，例如潛在的數據下載。

可疑 IP 位址的活動

已由 Microsoft 威脅情報或貴組織識別為具風險的 IP 位址活動。 這些IP位址被識別為參與惡意活動，例如執行密碼噴灑、歹屍網路命令和控制 （C&C），並可能表示帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. B-TP：如果使用者已知在職責範圍內使用IP位址。 例如，當安全性分析師代表組織進行安全性或滲透測試時。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱活動記錄，並搜尋來自相同IP位址的活動。
2. 檢閱哪些資源可能遭到入侵，例如潛在的數據下載或系統管理修改。
3. 為安全性分析師建立群組，以自願觸發這些警示，並將其從原則中排除。

不可能的旅行

在時間週期內，來自不同位置的相同用戶的活動，比兩個位置之間的預期移動時間短。 這表示認證外泄，不過，也可以使用 VPN 來遮罩用戶的實際位置。

若要只在有強式缺口指示時改善精確度和警示，適用於雲端的 Defender Apps 會在組織中每個使用者建立基準，而且只有在偵測到異常行為時才會發出警示。 不可能的旅行原則可以微調到您的需求。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

此偵測會使用機器學習演算法來忽略明顯的 B-TP 條件，例如，當旅行雙方的 IP 位址被視為安全時，會信任旅行，並排除在觸發不可能的移動偵測之外。 例如，如果 雙方標記為公司，則視為安全。 不過，如果移動中只有一端的IP位址被視為安全，就會正常觸發偵測。

1. TP：如果您能夠確認使用者不太可能在不可能的旅行警示中的位置。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （未偵測到的使用者旅行）：如果您能夠確認使用者最近前往警示中詳述的目的地。 例如，如果處於飛機模式的用戶手機在前往不同位置時，仍會連線到公司網路上的 Exchange Online 等服務。 當使用者到達新位置時，手機會連線到 Exchange Online 觸發不可能的旅行警示。

   建議的動作：關閉警示。

3. FP （未標記的 VPN）：如果您能夠確認 IP 位址範圍來自獲批准的 VPN。

   建議的動作：關閉警示，並將 VPN 的 IP 位址範圍新增至 適用於雲端的 Defender Apps，然後使用它標記 VPN 的 IP 位址範圍。

瞭解缺口的範圍

1. 檢閱活動記錄，以瞭解相同位置和IP位址中的類似活動。
2. 如果您看到使用者執行了其他有風險的活動，例如從新位置下載大量檔案，這表示可能遭到入侵。
3. 新增公司 VPN 和 IP 位址範圍。
4. 使用 Power Automate 建立劇本，並連絡使用者的管理員，以查看使用者是否合法旅行。
5. 請考慮建立已知的旅行者資料庫，以取得最多一分鐘的組織旅行報告，並用它來交叉參考旅遊活動。

誤導 OAuth 應用程式名稱

此偵測會識別具有類似拉丁字母之字元的應用程式，例如外文字母。 這表示嘗試將惡意應用程式偽裝成已知且受信任的應用程式，讓攻擊者可以欺騙使用者下載其惡意應用程式。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認應用程式具有誤導性的名稱。

   建議的動作：檢閱此應用程式所要求的許可權層級，以及哪些使用者已授與存取權。 根據您的調查，您可以選擇禁止存取此應用程式。

若要禁止存取應用程式，請在 [應用程式控管] 頁面上的 [Google] 或 [Salesforce] 索引標籤上，選取您要禁止的應用程式出現在其中的數據列上，選取禁止圖示。 - 您可以選擇是否要告訴使用者他們已安裝和授權的應用程式已被禁止。 通知可讓使用者知道應用程式已停用，而且他們無法存取已連線的應用程式。 如果您不想要告知使用者，可在此對話方塊中取消選取 [通知先前授與此遭禁應用程式存取權的使用者]。 - 建議您讓應用程式使用者知道其應用程式即將禁止使用。

1. FP：如果您要確認應用程式具有誤導性的名稱，但在組織中有合法的商務用途。

   建議的動作：關閉警示。

瞭解缺口的範圍

• 請遵循如何 調查具風險的 OAuth 應用程式的教學課程。

OAuth 應用程式的誤導發行者名稱

此偵測會識別具有類似拉丁字母之字元的應用程式，例如外文字母。 這表示嘗試將惡意應用程式偽裝成已知且受信任的應用程式，讓攻擊者可以欺騙使用者下載其惡意應用程式。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認應用程式具有誤導性的發行者名稱。

   建議的動作：檢閱此應用程式所要求的許可權層級，以及哪些使用者已授與存取權。 根據您的調查，您可以選擇禁止存取此應用程式。

2. FP：如果您要確認應用程式具有誤導性的發行者名稱，但為合法的發行者。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 在 [應用程式控管] 頁面上的 [Google] 或 [Salesforce] 索引卷標上，選取應用程式以開啟應用程式選單，然後選取 [相關活動]。 這會開啟 針對應用程式所執行活動篩選的活動記錄 頁面。 請注意，某些應用程式所執行的活動會被系統記錄為由某個使用者所執行。 這些活動會自動篩選出活動記錄中的結果。 若要使用 [活動記錄] 進行進一步的調查，請參閱活動記錄。
2. 如果您懷疑應用程式可疑，建議您在不同的應用程式市集中調查應用程式的名稱和發行者。 檢查應用程式市集時，請專注於下列類型的應用程式：
   • 具有低下載次數的應用程式。
   • 具有低評分或分數，或是負面評論的應用程式。
   • 具有可疑發行者或網站的應用程式。
   • 尚未更新的應用程式。 這可能表示該應用程式已經不再被支援。
   • 具有不相關權限的應用程式。 這可能表示該應用程式是具有風險的。
3. 如果您仍然懷疑應用程式可疑，您可以在線研究應用程式名稱、發行者和URL。

執行警示

本節描述警示，指出惡意執行者可能嘗試在您的組織中執行惡意代碼。

多個記憶體刪除活動

單一會話中的活動，指出使用者與學習的基準相比，從 Azure Blob、AWS S3 貯體或 Cosmos DB 等資源執行了不尋常的雲端記憶體或資料庫刪除。 這表示貴組織嘗試遭到入侵。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您要確認刪除是未經授權的。

   建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。

2. FP：如果您的調查之後，您可以確認系統管理員已獲授權執行這些刪除活動。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 請連絡用戶並確認活動。
2. 檢閱活動記錄中是否有其他入侵指標，並查看誰進行了變更。
3. 檢閱該用戶的活動，以取得其他服務的變更。

多個 VM 建立活動

單一會話中的活動，指出使用者相較於所學到的基準，執行了不尋常的 VM 建立動作數目。 在遭入侵的雲端基礎結構上建立多個 VM 可能表示嘗試從您的組織內執行密碼編譯採礦作業。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

為了改善精確度和警示，只有在有強式缺口跡象時，此偵測才會在組織中每個環境建立基準，以減少 B-TP 事件，例如系統管理員合法建立比已建立的基準更多的 VM，而且只有在偵測到異常行為時才會發出警示。

• TP：如果您能夠確認建立活動不是由合法用戶執行。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。 此外，請連絡使用者、確認其合法動作，然後確定您停用或刪除任何遭入侵的 VM。

• B-TP：如果在調查之後，您可以確認系統管理員已獲授權執行這些建立活動。

  建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動以取得其他入侵指標。
2. 檢閱使用者所建立或修改的資源，並確認它們符合貴組織的原則。

雲端區域的可疑建立活動 （預覽）

活動，指出使用者相較於所學到的基準，在不尋常的AWS區域中執行了不尋常的資源建立動作。 在不常見的雲端區域中建立資源可能表示嘗試執行惡意活動，例如來自組織內的加密採礦作業。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

為了在有強式缺口跡象時改善精確度和警示，此偵測會針對組織中的每個環境建立基準，以減少 B-TP 事件。

• TP：如果您能夠確認建立活動不是由合法用戶執行。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。 此外，請連絡使用者、確認其合法動作，然後確定您停用或刪除任何遭入侵的雲端資源。

• B-TP：如果在調查之後，您可以確認系統管理員已獲授權執行這些建立活動。

  建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動以取得其他入侵指標。
2. 檢閱已建立的資源，並確認它們符合貴組織的原則。

持續性警示

本節描述警示，指出惡意動作專案可能嘗試在您的組織中維護其立足點。

離職使用者執行的活動

被終止使用者所執行的活動，可以指出仍有公司資源存取權的已終止員工正嘗試執行惡意活動。 適用於雲端的 Defender 應用程式會分析組織中的使用者，並在終止的使用者執行活動時觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已終止的使用者仍可存取特定公司資源並正在執行活動。

   建議的動作：停用使用者。

2. B-TP：如果您能夠判斷使用者已暫時停用或刪除並重新註冊。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 交叉參考 HR 記錄，以確認使用者已終止。
2. 驗證 Microsoft Entra 用戶帳戶是否存在。

   注意

   如果使用 Microsoft Entra 連線，請驗證 內部部署的 Active Directory 物件，並確認同步處理週期成功。

3. 識別終止用戶有權存取和解除委任帳戶的所有應用程式。
4. 更新解除委任程式。

CloudTrail 記錄服務的可疑變更

單一會話中的活動，指出使用者對 AWS CloudTrail 記錄服務執行可疑的變更。 這表示貴組織嘗試遭到入侵。 停用 CloudTrail 時，不會再記錄作業變更。 攻擊者可以執行惡意活動，同時避免 CloudTrail 稽核事件，例如將 S3 貯體從私人修改為公用。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、重設其密碼，並反轉 CloudTrail 活動。

2. FP：如果您能夠確認使用者已合法停用 CloudTrail 服務。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱活動記錄中是否有其他入侵指標，並查看誰變更 CloudTrail 服務。
2. 選擇性：使用 Power Automate 建立劇本，以連絡使用者及其經理以驗證其活動。

可疑的電子郵件刪除活動（使用者）

單一會話中的活動，指出使用者執行可疑的電子郵件刪除。 刪除類型是「硬式刪除」類型，可刪除電子郵件專案，且無法在使用者的信箱中使用。 從連線進行刪除，其中包含不常見的喜好設定，例如 ISP、國家/地區和使用者代理程式。 這表示貴組織嘗試遭到入侵，例如攻擊者嘗試藉由刪除與垃圾郵件活動相關的電子郵件來遮罩作業。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP：如果您能夠確認使用者已合法建立規則來刪除郵件。

   建議的動作：關閉警示。

瞭解缺口的範圍

• 檢閱所有用戶活動是否有其他入侵指標，例如 可疑的收件匣轉寄 警示，後面接著 「不可能旅行 」警示。 尋找：

  1. 新的 SMTP 轉送規則，如下所示：
     • 檢查是否有惡意轉送規則名稱。 規則名稱可能會因簡單名稱而有所不同，例如「轉寄所有電子郵件」和「自動轉寄」，或欺騙性名稱，例如幾乎看不見的 “.”。 轉寄規則名稱甚至可以是空的，轉寄收件者可以是單一電子郵件帳戶或整個清單。 惡意規則也可以隱藏在使用者介面中。 偵測到之後，您可以使用此實用的 部落格文章 ，瞭解如何從信箱刪除隱藏的規則。
     • 如果您偵測到無法辨識的轉寄規則至未知的內部或外部電子郵件位址，您可以假設收件匣帳戶遭到入侵。
  2. 新的收件匣規則，例如「全部刪除」、「將郵件移至另一個資料夾」，或具有模糊命名慣例的新收件匣規則，例如 “...”。
  3. 已傳送電子郵件的增加。

可疑的收件匣操作規則

活動，指出攻擊者已取得使用者收件匣的存取權，並建立可疑規則。 從使用者收件匣中刪除或移動郵件或資料夾等操作規則可能會嘗試從組織外洩資訊。 同樣地，他們可以指出嘗試操作使用者看到的資訊，或使用其收件匣來散佈垃圾郵件、網路釣魚電子郵件或惡意代碼。 適用於雲端的 Defender 應用程式會分析您的環境，並在使用者收件匣上偵測到可疑的收件匣操作規則時觸發警示。 這可能表示用戶帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已建立惡意收件匣規則，且帳戶遭到入侵。

   建議的動作：暫停使用者、重設其密碼，以及移除轉送規則。

2. FP：如果您能夠確認使用者已合法建立規則。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動是否有其他入侵指標，例如 可疑的收件匣轉寄 警示，後面接著 「不可能旅行 」警示。 尋找：
   • 新的 SMTP 轉送規則。
   • 新的收件匣規則，例如「全部刪除」、「將郵件移至另一個資料夾」，或具有模糊命名慣例的新收件匣規則，例如 “...”。
2. 收集動作的IP位址和位置資訊。
3. 檢閱從用來建立規則的IP位址執行的活動，以偵測其他遭入侵的使用者。

許可權提升警示

本節描述警示，指出惡意動作專案可能嘗試取得貴組織中的較高層級許可權。

不尋常的系統管理活動（由使用者）

活動指出攻擊者已入侵用戶帳戶，並執行該使用者不常見的系統管理動作。 例如，攻擊者可以嘗試變更使用者的安全性設定，這是一般用戶相對罕見的作業。 適用於雲端的 Defender Apps 會根據使用者的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法的系統管理員所執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP：如果您能夠確認系統管理員已合法地執行異常的系統管理活動數量。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如 可疑的收件匣轉寄 或 不可能旅行。
2. 檢閱其他組態變更，例如建立可能用於持續性的用戶帳戶。

認證存取警示

本節說明警示，指出惡意執行者可能嘗試從您的組織竊取帳戶名稱和密碼。

多次失敗的登入嘗試

失敗的登入嘗試可能會指出嘗試入侵帳戶。 不過，失敗的登入也可能是一般行為。 例如，當使用者錯誤輸入錯誤密碼時。 為了達到精確度和警示，只有在有強烈跡象表明發生入侵時，適用於雲端的 Defender Apps 會為組織中的每個使用者建立登入習慣的基準，而且只有在偵測到異常行為時才會發出警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

此原則是以學習使用者的一般登入行為為基礎。 偵測到與常態的偏差時，就會觸發警示。 如果偵測開始看到相同的行為繼續，則只會引發警示一次。

1. TP （MFA 失敗）：如果您能夠確認 MFA 正常運作，這可能是嘗試暴力密碼破解攻擊的標誌。

   建議的動作：

   1. 暫停使用者、將用戶標示為遭入侵，並重設其密碼。
   2. 尋找執行失敗驗證的應用程式，然後重新設定。
   3. 尋找活動前後登入的其他使用者，因為它們也可能遭到入侵。 暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. B-TP （MFA 失敗）：如果您能夠確認警示是由 MFA 問題所造成。

   建議的動作：使用 Power Automate 建立劇本以連絡使用者，並檢查他們是否有 MFA 的問題。

3. B-TP （設定不當的應用程式）：如果您能夠確認設定錯誤的應用程式嘗試使用過期認證多次連線到服務。

   建議的動作：關閉警示。

4. B-TP （密碼已變更）：如果您能夠確認使用者最近已變更其密碼，但不會影響跨網路共享的認證。

   建議的動作：關閉警示。

5. B-TP （安全性測試）：如果您能夠確認安全性或滲透測試是由安全性分析師代表組織進行。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動是否有其他入侵指標，例如警示後面接著下列其中一個警示： 不可能的移動、 來自匿名IP位址的活動，或 來自不常國家/地區的活動。
2. 檢閱下列使用者裝置資訊，並與已知的裝置資訊進行比較：
   • 作業系統和版本
   • 瀏覽器和版本
   • IP 位址和位置
3. 識別發生驗證嘗試的來源IP位址或位置。
4. 識別使用者最近是否已變更其密碼，並確保所有應用程式和裝置都有更新的密碼。

OAuth 應用程式的異常認證新增

此偵測會識別將特殊權限認證新增至 OAuth 應用程式的可疑項目。 這可能表示攻擊者盜用了應用程式，並將其用於惡意活動。

學習期間

瞭解貴組織的環境需要七天的時間，而在此期間，您可能會預期會有大量警示。

OAuth 應用程式的異常 ISP

偵測會識別從應用程式罕見的 ISP 連線到雲端應用程式的 OAuth 應用程式。 這可能表示攻擊者嘗試使用合法的遭入侵應用程式，在您的雲端應用程式上執行惡意活動。

學習期間

此偵測的學習期間為30天。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是 OAuth 應用程式的合法活動，或合法 OAuth 應用程式未使用此 ISP。

   建議的動作：撤銷 OAuth 應用程式的所有存取令牌，並調查攻擊者是否有權產生 OAuth 存取令牌。

2. FP：如果您可以確認活動是由正版 OAuth 應用程式合法地進行。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱 OAuth 應用程式所執行的活動。

2. 調查攻擊者是否有產生 OAuth 存取令牌的存取權。

收集警示

本節說明警示，指出惡意執行者可能嘗試從您的組織收集感興趣的數據。

多個 Power BI 報表共用活動

單一會話中的活動，指出使用者與學習的基準相比，在Power BI中執行了不尋常的共享報表活動數目。 這表示貴組織嘗試遭到入侵。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：從 Power BI 移除共用存取權。 如果您能夠確認帳戶遭到入侵，請暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP：如果您能夠確認使用者有共用這些報表的商業理由。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱活動記錄，以進一步瞭解使用者所執行的其他活動。 查看他們從 登入的IP位址，以及裝置詳細數據。
2. 請連絡 Power BI 小組或 資訊保護 小組，以了解在內部和外部共用報表的指導方針。

可疑的Power BI報表共用

活動，指出用戶共用的Power BI報表可能包含使用NLP識別的敏感性資訊，以分析報表的元數據。 報表會與外部電子郵件地址共享、發佈至 Web，或將快照集傳遞至外部訂閱的電子郵件位址。 這表示貴組織嘗試遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：從 Power BI 移除共用存取權。 如果您能夠確認帳戶遭到入侵，請暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP：如果您能夠確認使用者有共用這些報表的商業理由。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱活動記錄，以進一步瞭解使用者所執行的其他活動。 查看他們從 登入的IP位址，以及裝置詳細數據。
2. 請連絡 Power BI 小組或 資訊保護 小組，以了解在內部和外部共用報表的指導方針。

不尋常的模擬活動（由使用者）

在某些軟體中，有選項可讓其他用戶模擬其他使用者。 例如，電子郵件服務可讓使用者授權其他使用者代表他們傳送電子郵件。 攻擊者通常會使用此活動來建立網路釣魚電子郵件，以嘗試擷取貴組織的相關信息。 適用於雲端的 Defender Apps 會根據使用者的行為建立基準，並在偵測到異常模擬活動時建立活動。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （異常行為）：如果您能夠確認使用者已合法地執行異常活動，或比已建立的基準還多的活動。

   建議的動作：關閉警示。

3. FP：如果您能夠確認應用程式，例如 Teams，合法模擬使用者。

   建議的動作：檢閱動作，並視需要關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動和警示，以取得其他入侵指標。
2. 檢閱模擬活動，以識別潛在的惡意活動。
3. 檢閱委派的存取設定。

外洩警示

本節說明警示，指出惡意執行者可能嘗試從您的組織竊取數據。

可疑的收件匣轉寄

活動，指出攻擊者已取得使用者收件匣的存取權，並建立可疑規則。 操作規則，例如將所有或特定電子郵件轉寄至另一個電子郵件帳戶，可能是嘗試從您的組織外泄資訊。 適用於雲端的 Defender 應用程式會分析您的環境，並在使用者收件匣上偵測到可疑的收件匣操作規則時觸發警示。 這可能表示用戶帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已建立惡意收件匣轉寄規則，且帳戶遭到入侵。

   建議的動作：暫停使用者、重設其密碼，以及移除轉送規則。

2. FP：如果您能夠確認使用者基於合法理由，已建立新的或個人外部電子郵件帳戶的轉寄規則。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如警示後面接著 「不可能旅行 」警示。 尋找：

   1. 新的 SMTP 轉送規則，如下所示：
      • 檢查是否有惡意轉送規則名稱。 規則名稱可能會因簡單名稱而有所不同，例如「轉寄所有電子郵件」和「自動轉寄」，或欺騙性名稱，例如幾乎看不見的 “.”。 轉寄規則名稱甚至可以是空的，轉寄收件者可以是單一電子郵件帳戶或整個清單。 惡意規則也可以隱藏在使用者介面中。 偵測到之後，您可以使用此實用的 部落格文章 ，瞭解如何從信箱刪除隱藏的規則。
      • 如果您偵測到無法辨識的轉寄規則至未知的內部或外部電子郵件位址，您可以假設收件匣帳戶遭到入侵。
   2. 新的收件匣規則，例如「全部刪除」、「將郵件移至另一個資料夾」，或具有模糊命名慣例的新收件匣規則，例如 “...”。

2. 檢閱從用來建立規則的IP位址執行的活動，以偵測其他遭入侵的使用者。

3. 使用 Exchange Online 訊息追蹤來檢閱轉寄的郵件清單。

不尋常的檔案下載（由使用者）

活動，指出使用者從雲端儲存平臺下載的檔案數目與所學到的基準相比，會執行異常數量的檔案下載。 這表示嘗試取得組織的相關信息。 適用於雲端的 Defender Apps 會根據使用者的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （異常行為）：如果您可以確認使用者已合法地執行比已建立的基準更多的檔案下載活動。

   建議的動作：關閉警示。

3. FP （軟體同步）：如果您能夠確認軟體，例如 OneDrive，已與造成警示的外部備份同步。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱下載活動，並建立下載的檔案清單。
2. 使用資源擁有者檢閱所下載檔案的敏感度，並驗證存取層級。

不尋常的檔案存取權（由使用者）

活動，指出使用者在 SharePoint 或 OneDrive 中對包含財務數據或網路數據的檔案執行異常數目的檔案存取，與所學習的基準相較之下。 這表示嘗試取得組織的相關信息，無論是出於財務目的，還是認證存取和橫向移動。 適用於雲端的 Defender Apps 會根據使用者的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

學習期間取決於用戶的活動。 一般而言，大部分用戶的學習期間介於 21 到 45 天之間。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （異常行為）：如果您可以確認使用者已合法地執行比已建立基準更多的檔案存取活動。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱存取活動，並建立存取的檔案清單。
2. 使用資源擁有者檢閱所存取檔案的敏感度，並驗證存取層級。

不尋常的檔案共享活動（使用者）

活動，指出使用者與所學習的基準相比，從雲端儲存平臺執行異常數量的檔案共享動作。 這表示嘗試取得組織的相關信息。 適用於雲端的 Defender Apps 會根據使用者的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （異常行為）：如果您能夠確認使用者已合法地執行比已建立的基準更多的檔案共享活動。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱共用活動，並建立共用檔案清單。
2. 使用資源擁有者檢閱共用檔案的敏感度，並驗證存取層級。
3. 為類似的檔建立檔案原則，以偵測未來的敏感性檔案共用。

影響警示

本節描述警示，指出惡意執行者可能嘗試操作、中斷或終結組織中的系統和數據。

多次 VM 刪除活動

單一會話中的活動，指出使用者與學習的基準相比，執行了不尋常的 VM 刪除次數。 多個 VM 刪除可能表示嘗試中斷或終結環境。 不過，有許多一般案例會刪除 VM。

TP、 B-TP 或 FP？

為了只在有強式缺口指示時改善精確度和警示，此偵測會針對組織中的每個環境建立基準，以減少 B-TP 事件，而且只有在偵測到異常行為時才會發出警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

• TP：如果您能夠確認刪除是未經授權的。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。

• B-TP：如果您的調查之後，您可以確認系統管理員已獲授權執行這些刪除活動。

  建議的動作：關閉警示。

瞭解缺口的範圍

1. 請連絡用戶並確認活動。
2. 檢閱所有用戶活動是否有其他入侵指標，例如警示後面接著下列其中一個警示： 不可能的移動、 來自匿名IP位址的活動，或 來自不常國家/地區的活動。

勒索軟體活動

勒索軟體是網路攻擊，攻擊者會將受害者從他們的裝置上鎖定，或阻止他們存取其檔案，直到受害者支付贖金為止。 勒索軟體可由惡意共享檔案或遭入侵的網路傳播。 適用於雲端的 Defender 應用程式會使用安全性研究專業知識、威脅情報和學習的行為模式來識別勒索軟體活動。 例如，高比率的檔案上傳或檔案刪除可能代表勒索軟體作業中常見的加密程式。

此偵測會建立組織中每個使用者正常運作模式的基準，例如使用者何時存取雲端，以及他們在雲端中通常執行的動作。

適用於雲端的 Defender Apps 自動化威脅偵測原則會從連線的那一刻開始在背景中執行。 適用於雲端的 Defender Apps 使用我們的安全性研究專長來識別反映我們組織中勒索軟體活動的行為模式，可全面涵蓋複雜的勒索軟體攻擊。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由用戶執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP （異常行為）：使用者會在短時間內合法地執行多個類似檔案的刪除和上傳活動。

   建議的動作：檢閱活動記錄並確認擴展名不可疑之後，請關閉警示。

3. FP （通用勒索軟體擴展名）：如果您能夠確認受影響檔案的擴展名與已知的勒索軟體擴展名相符。

   建議的動作：請連絡使用者並確認檔案是安全的，然後關閉警示。

瞭解缺口的範圍

1. 檢閱活動記錄，以取得其他洩露指標，例如大量下載或大量刪除檔案。
2. 如果您使用 適用於端點的 Microsoft Defender，請檢閱使用者的電腦警示，以查看是否已偵測到惡意檔案。
3. 搜尋活動記錄檔中的惡意檔案上傳和共享活動。

不要尋常的檔案移除活動（使用者）

活動，指出使用者與所學到的基準相比，執行了不尋常的檔案刪除活動。 這表示勒索軟體攻擊。 例如，攻擊者可以加密用戶的檔案並刪除所有原始檔案，只留下可用來強制受害者支付贖金的加密版本。 適用於雲端的 Defender Apps 會根據使用者的正常行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要有 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. FP：如果您能夠確認使用者已合法地執行比已建立基準更多的檔案刪除活動。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱刪除活動，並建立已刪除的檔案清單。 如有需要，請復原已刪除的檔案。
2. 或者，使用Power Automate 建立劇本，以連絡使用者及其管理員以驗證活動。

調查優先順序分數增加 （預覽）

觸發警示的異常活動和活動會根據使用者的嚴重性、使用者影響和行為分析來獲得分數。 分析是根據租使用者中的其他用戶來完成。

當特定使用者的調查優先順序分數大幅增加且異常時，將會觸發警示。

此警示可偵測可能由不一定觸發特定警示但累積至使用者可疑行為的活動所描述的潛在缺口。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何分數增加觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認用戶的活動不合法。

   建議的動作：暫停使用者、將用戶標示為遭入侵，並重設其密碼。

2. B-TP：如果您能夠確認用戶確實明顯偏離了一般行為，但沒有潛在的缺口。

3. FP （異常行為）：如果您能夠確認使用者已合法地執行異常活動，或比已建立的基準還多的活動。

   建議的動作：關閉警示。

瞭解缺口的範圍

1. 檢閱所有用戶活動和警示，以取得其他入侵指標。

淘汰時程表

我們會在 2024 年 8 月前逐漸淘汰調查優先順序分數，從 適用於雲端的 Microsoft Defender Apps 增加警示。

經過仔細分析和考慮，我們決定因為與此警示相關聯的誤判率很高而淘汰，我們發現該警示並未有效地為您的組織整體安全性做出貢獻。

我們的研究表明，這項功能沒有增加顯著價值，而且不符合我們的戰略重點，以提供高品質、可靠的安全性解決方案。

我們致力於持續改善我們的服務，並確保它們符合您的需求和期望。

對於想要繼續使用此警示的人，我們建議改用下列進階搜捕查詢作為建議的範本。 根據您的需求修改查詢。

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

另請參閱

調查有風險的使用者