Microsoft Defender for Cloud Apps 包含偵測被入侵用戶、內部威脅、資料外洩及勒索軟體活動。 該服務利用異常偵測、UEBA) (使用者與實體行為分析,以及基於規則的活動偵測,分析連接應用程式間的用戶活動。
雲端環境中未經授權或意外的變更,可能會帶來安全與營運風險。 例如,像是運行你公開網站的伺服器或你提供給客戶的服務等關鍵企業資源的變更,可能會被入侵。
Defender for Cloud Apps 從多個來源擷取並分析資料,以識別組織內的應用程式與使用者活動。 此分析讓您的資安分析師能掌握雲端使用情況。 收集到的數據經過相關性、標準化,並加入威脅情報與位置細節,提供對可疑活動的準確且一致的視角。
在調校偵測前,請先配置以下資料來源:
| 來源 | 描述 |
|---|---|
| 活動日誌 | 來自你 API 連結應用程式的活動。 |
| 發現日誌 | 從防火牆和代理伺服器流量記錄中擷取的活動,然後轉發給 Defender for Cloud Apps。 這些日誌會與 雲端應用程式目錄進行分析,並根據超過 90 個風險因素進行排名與評分。 |
| 代理日誌 | 來自 條件存取應用程式控制應用程式的活動。 |
透過設定過濾器和動態閾值,微調以下政策, (UEBA) 訓練偵測模型。 您也可以設定抑制以減少常見的假陽性偵測:
- 異常偵測
- 雲發現異常偵測
- 基於規則的活動偵測
了解如何調整使用者活動偵測,以識別真正的入侵,並減少因大量誤報而產生的不必要警示:
第一階段:設定 IP 位址範圍
- 設定 IP 範圍,以微調任何可疑的使用者活動偵測政策。
建立已知 IP 位址 有助於機器學習演算法識別已知位置,並將其視為機器學習模型的一部分。 例如,加入 VPN 的 IP 位址範圍,有助於模型正確分類該 IP 範圍,並自動排除其於不可能旅行偵測之外,因為 VPN 位置並不代表該使用者的真實位置。
注意事項
Defender for Cloud Apps 在整個服務中使用 IP 範圍,不只是用於偵測。 IP 範圍會被用於活動日誌、條件存取等資料中。 例如,辨識你的實體辦公室 IP 位址,讓你能自訂查看和調查日誌與警示的方式。
檢視異常偵測警報
Defender for Cloud Apps 包含一組異常偵測警示,用以識別不同的安全情境。 只要你連接相關 應用程式連接器,他們就會開始分析使用者活動並產生警示。
首先熟悉 不同的偵測策略。 優先排序你認為對組織最相關的首選情境,並相應調整政策。
第二階段:調整異常偵測政策
Defender for Cloud Apps 內建多項異常偵測政策,這些政策已預先設定以符合常見安全使用情境。 常見的偵測包括:
| 偵測 | 描述 |
|---|---|
| 不可能的旅行 | 相同使用者在不同位置的活動,其期間短於兩個位置之間的預期旅行時間。 |
| 來自稀有國家的活動 | 來自使用者最近未曾造訪或未曾造訪的地點的活動。 |
| 惡意程式碼偵測 | 掃描雲端應用程式中的檔案,並透過 Microsoft 的威脅情報引擎執行可疑檔案,檢查是否與已知惡意軟體有關。 |
| 勒索軟體活動 | 檔案上傳到可能感染勒索軟體的雲端。 |
| 來自可疑 IP 位址的活動 | 來自 Microsoft 威脅情報識別為風險的 IP 位址的活動。 |
| 可疑的收件匣轉寄 | 偵測使用者收件匣上設定的可疑收件匣轉寄規則。 |
| 不尋常的多重檔案下載活動 | 依照學習的基準偵測單一工作階段中的多個檔案下載活動,這可能表示已嘗試的入侵。 |
| 特殊行政活動 | 依照學習的基準偵測單一工作階段中的多個系統管理活動,這可能表示已嘗試的入侵。 |
注意事項
有些異常偵測著重於偵測有問題的安全情境,而另一些則協助識別並調查可能不一定代表入侵的異常使用者行為。 針對這類偵測,你可以使用Microsoft Defender 全面偵測回應進階狩獵體驗中的行為功能。
針對特定使用者或群組的範圍政策
將政策範圍限定給特定使用者,有助於減少與組織無關的警示雜訊。 你可以 設定每個政策以包含或排除特定的使用者和群組,例如以下範例:
-
攻擊模擬
許多組織會使用使用者或群組來持續模擬攻擊。 不斷收到這些使用者活動的警示,會產生不必要的噪音。 請設定政策排除這些使用者或群組。 此舉有助於機器學習模型識別這些使用者,並微調其動態閾值。 -
定向偵測
你可能想調查特定的 VIP 用戶群,例如管理員或首席體驗長 (CXO) 群組。 在這種情況下,為你想偵測的活動建立政策,並選擇只包含你感興趣的使用者或群組。
-
攻擊模擬
調整異常登入偵測
因 登入失敗 而產生的警示可能表示有人試圖針對一個或多個使用者帳號。
憑證被盜是帳號被接管和未經授權行為的常見原因。 不可能的旅行、可疑IP的活動,以及稀有的國家或地區偵測警報,幫助你發現帳號可能遭到入侵的活動。
調整不可能旅行的靈敏度設定靈敏度滑桿,決定在觸發不可能旅行警示前,對異常行為施加的抑制程度。 有興趣追求高保真度的組織應考慮提升靈敏度。 如果您的組織有許多經常出差的使用者,可以考慮降低敏感度,以抑制使用者從先前活動中學習到的共同地點的活動。 你可以從以下靈敏度等級中選擇:
- 低級:系統、租戶及使用者抑制
- 媒介:系統與使用者抑制
- 高:只有系統壓制
其中:
抑制類型 描述 系統 一律抑制的內建偵測。 租用戶 根據租用戶中先前活動的一般活動。 例如,壓制先前被組織中警示的 ISP 活動。 使用者 根據特定使用者先前活動的一般活動。 例如,從使用者常用的位置抑制活動。
第三階段:調整雲端發現異常偵測政策
你可以微調多個內建 的雲端發現異常偵測策略 ,或自行建立政策以識別其他值得調查的情境。 這些政策使用雲端發現日誌,並具備針對異常應用行為與資料外洩的 調整功能 。
調整使用監控
設定使用篩選器以控制異常行為偵測的範圍與活動期間。 例如,接收來自高階主管員工的異常活動警示。
調校警示靈敏度
為了減少不必要的警報,請設定警報的敏感度。 使用靈敏度滑桿控制每週每 1,000 名用戶發送的高風險警報數量。 較高的靈敏度需要較小的變異性,即可被視為異常並產生更多警示。 一般來說,對於無法存取機密資料的使用者,應設定低敏感度。
第四階段:調整基於規則的偵測 (活動) 政策
基於規則的偵測政策 補充了組織特定要求的異常偵測政策。 使用活動政策範本之一建立基於規則的政策。
如果您的組織在特定國家或地區沒有存在,請制定一套政策來偵測該地點的異常活動。 對於在該國或地區有大型分支的組織來說,這類活動是正常的,偵測這些行為並不合理。
- 到 政策>政策範本 ,並將 類型 過濾器設為 活動政策。 設置活動過濾器 來偵測環境中不正常的行為。
-
調校活動音量
選擇偵測觸發警報前所需的活動量。 如果您的組織在某個國家或地區沒有據點,即使是單一活動也已相當重大,值得發出警示。 單一登入失敗可能是人為錯誤,且只有在短時間內多次失敗時才會引起注意。 -
調整 活動濾波器
設定你需要的篩選條件,以偵測你想要提醒的活動類型。 例如,要偵測來自某國家或地區的活動,請使用 位置 參數。 -
調校警示
為了減少不必要的警報,請設定 每日警報上限。
第五階段:設定警報
注意事項
Microsoft於2022年12月15日停止使用) (提醒/簡訊功能。 如果你想接收文字提醒,請使用 Microsoft Power Automate 來自訂提醒自動化。 欲了解更多資訊,請參閱「整合 Microsoft Power Automate」以實現自訂警示自動化。
若要隨時收到即時通知,請選擇透過電子郵件接收。
你也可能希望能夠在組織內其他產品觸發的警報情境中分析警示。 這項分析能讓你全面了解潛在威脅。 例如,你可能想將雲端事件與本地事件做關聯,看看是否有其他緩解證據能證實攻擊。
你可以使用 Microsoft Power Automate 來觸發自訂警報自動化。 當警報被觸發時,你可以:
- 建立一套戰術手冊
- 在 ServiceNow 建立問題
- 當警報觸發時,發送批准郵件以執行自訂治理行動
請依照以下指引設定您的警示:
-
電子郵件
選擇此選項以接收電子郵件通知。 -
SIEM
存在多種 SIEM 整合選項,包括 Microsoft Sentinel、Microsoft Graph 安全性 API 及其他通用 SIEM。 選擇最適合您需求的整合方式。 -
Power Automate 自動化
建立你需要的自動化手冊,並設定為政策中對 Power Automate 行動的警示。
第六階段:調查與整治
為了優化您的保護,請設定自動修復行動,以降低組織面臨的風險。 這些政策讓你能在警示中套用 治理行動 ,讓你在開始調查前就降低組織的風險。 政策類型決定可用的動作,包括暫停使用者或阻擋存取所請求資源等動作。