教學課程:使用行為分析偵測可疑的用戶活動(UEBA)

適用於雲端的 Microsoft Defender Apps 針對遭入侵的使用者、內部威脅、外洩、勒索軟體等,提供跨攻擊殺傷鏈的最佳偵測。 我們的全面解決方案是結合多個偵測方法,包括異常、行為分析(UEBA)和以規則為基礎的活動偵測,以提供使用者如何在環境中使用應用程式的廣泛檢視。

那麼,為什麼偵測可疑行為很重要? 用戶能夠改變雲端環境的影響可能相當重要,而且直接影響到您執行業務的能力。 例如,執行您提供給客戶的公用網站或服務的伺服器等重要公司資源可能會遭到入侵。

使用從數個來源擷取的數據,適用於雲端的 Defender Apps 會分析數據,以擷取組織中的應用程式和用戶活動,讓您的安全性分析師能夠了解雲端使用。 收集的數據會與威脅情報、位置和其他許多詳細數據相互關聯、標準化和豐富,以提供可疑活動的準確、一致檢視。

因此,若要充分了解這些偵測的優點,請先確定您設定下列來源:

接下來,您將想要調整您的原則。 您可以藉由設定篩選、動態閾值 (UEBA) 來協助定型其偵測模型,並抑制以降低常見的誤判偵測,以微調下列原則:

  • 異常偵測
  • Cloud Discovery 異常偵測
  • 以規則為基礎的活動偵測

在本教學課程中,您將瞭解如何調整用戶活動偵測,以識別真正的危害,並減少處理大量誤判偵測所造成的警示疲勞:

階段 1:設定 IP 位址範圍

設定個別原則之前,建議您先設定IP範圍,使其可用於微調任何類型的可疑用戶活動偵測原則。

由於IP位址資訊對於幾乎所有調查而言都很重要, 因此設定已知的IP位址 有助於我們的機器學習演算法識別已知位置,並將其視為機器學習模型的一部分。 例如,新增 VPN 的 IP 位址範圍可協助模型正確分類此 IP 範圍,並自動將其排除在不可能的移動偵測中,因為 VPN 位置不代表該用戶的真實位置。

注意:已設定的IP範圍不限於偵測,而且會在活動記錄中的活動、條件式存取等區域中的應用程式中,在整個 適用於雲端的 Defender 應用程式中使用。設定範圍時請記住這一點。 因此,例如,識別實體辦公室 IP 位址可讓您自定義記錄和警示的顯示和調查方式。

檢閱現用異常偵測警示

適用於雲端的 Defender Apps 包含一組異常偵測警示,以識別不同的安全性案例。 這些偵測會自動啟用現成,而且會在相關 應用程式連接器 連線後立即開始分析使用者活動併產生警示。

一開始先熟悉 不同的偵測原則,優先處理您認為最相關的組織案例,並據以調整原則。

階段 2:調整異常偵測原則

適用於雲端的 Defender 已針對常見安全性使用案例預先設定的應用程式,提供數個內建的異常偵測原則。 您應該花一些時間熟悉較熱門的偵測,例如:

  • 不可能的移動
    在比兩個位置之間預期移動時間短的期間內,來自相同用戶的活動。
  • 非經常性國家/地區的活動
    來自使用者最近或從未流覽過之位置的活動。
  • 惡意程式碼偵測
    掃描雲端應用程式中的檔案,並透過 Microsoft 的威脅情報引擎執行可疑檔案,以判斷它們是否與已知的惡意代碼相關聯。
  • 勒索軟體活動
    檔案上傳至可能感染勒索軟體的雲端。
  • 可疑 IP 位址的活動
    已由 Microsoft 威脅情報識別為具風險的 IP 位址活動。
  • 可疑的收件匣轉寄
    偵測使用者收件匣上設定的可疑收件匣轉寄規則。
  • 不尋常的多個檔案下載活動
    偵測單一會話中與所學習基準相關的多個檔案下載活動,這可能表示嘗試入侵。
  • 不尋常的系統管理活動
    在單一會話中偵測到與所學習基準相關的多個系統管理活動,這可能表示嘗試入侵。

如需偵測的完整清單及其用途,請參閱 異常偵測原則

注意

雖然某些異常偵測主要著重於偵測有問題的安全性案例,但有些則有助於識別和調查可能不一定表示危害的異常用戶行為。 針對這類偵測,我們建立了另一種稱為「行為」的數據類型,可在 Microsoft Defender 全面偵測回應 進階搜捕體驗中使用。 如需詳細資訊,請參閱 行為

一旦您熟悉這些原則,您應該考慮如何針對組織的特定需求微調原則,以進一步調查目標活動。

  1. 將原則範圍設定為特定使用者或群組

    將原則範圍界定為特定使用者,有助於減少與貴組織無關之警示的雜訊。 每個原則都可以 設定為包含或排除特定使用者和群組,例如下列範例:

    • 攻擊模擬
      許多組織都會使用使用者或群組來持續模擬攻擊。 顯然,經常接收來自這些用戶活動的警示並無意義。 因此,您可以設定原則來排除這些使用者或群組。 這也有助於機器學習模型識別這些使用者,並據此微調其動態閾值。
    • 目標偵測
      貴組織可能有興趣調查特定VIP使用者群組,例如系統管理員或 CXO 群組的成員。 在此案例中,您可以為想要偵測的活動建立原則,並選擇只包含您感興趣的一組使用者或群組。
  2. 微調異常登入偵測

    某些組織想要查看失敗 登入活動 所產生的警示,因為它們可能表示有人嘗試以一或多個用戶帳戶為目標。 另一方面,在雲端中一直發生用戶帳戶的暴力密碼破解攻擊,且組織無法防止它們。 因此,較大型的組織通常會決定只接收導致成功登入活動的可疑登入活動的警示,因為它們可能代表真正的入侵。

    身分識別竊取是入侵的重要來源,併為您的組織構成重大威脅媒介。 我們 不可能的移動來自可疑IP位址的活動,以及 不常的國家/地區 偵測警示,可協助您探索可能危害帳戶的活動。

  3. 調整不可能移動敏感度 設定敏感度滑桿,判斷套用至異常行為的隱藏層級,再觸發不可能的移動警示。 例如,有興趣高精確度的組織應考慮增加敏感度層級。 另一方面,如果您的組織有許多用戶進行移動,請考慮降低敏感度層級,以隱藏使用者從先前活動學習到的常見位置的活動。 您可以從下列敏感度層級中選擇:

    • :系統、租用戶和用戶隱藏
    • :系統和用戶隱藏
    • :僅系統隱藏

    其中:

    隱藏類型 描述
    系統 一律隱藏的內建偵測。
    租用戶 根據租使用者中先前的活動,常見的活動。 例如,隱藏先前在組織中發出警示之 ISP 的活動。
    使用者 以特定使用者先前活動為基礎的常見活動。 例如,隱藏使用者常用之位置的活動。

階段 3:調整雲端探索異常偵測原則

和異常偵測原則一樣,有數個內建的 雲端探索異常偵測原則 ,您可以微調。 例如,數據外流至未批准的應用程式原則會在數據外流至未核准的應用程式時警示您,並且會根據安全性欄位中的 Microsoft 體驗預先設定設定。

不過,您可以微調內建原則,或建立您自己的原則,以協助您識別您可能有興趣調查的其他案例。 由於這些原則是以雲端探索記錄為基礎,因此其微調 功能 更著重於異常應用程式行為和數據外流。

  1. 微調使用量監視
    設定使用篩選條件來控制偵測異常行為的基準、範圍和活動期間。 例如,您可能會想要收到與主管層級員工相關的異常活動警示。

  2. 調整警示敏感度
    若要防止警示疲勞,請設定警示的敏感度。 您可以使用敏感度滑桿來控制每周每 1,000 位使用者傳送的高風險警示數目。 較高的敏感度需要較少的變異數,才能被視為異常,並產生更多警示。 一般而言,針對無法存取機密數據的用戶設定低敏感度。

階段 4:調整以規則為基礎的偵測 (活動) 原則

以規則為基礎的偵測原則 可讓您使用組織特定需求來補充異常偵測原則。 建議您使用我們的其中一個活動原則範本來建立規則型原則(移至 [控制>範本],並將 [類型篩選] 設定[活動原則],然後設定它們來偵測環境不正常的行為。 例如,對於某些在特定國家/地區中沒有任何存在狀態的組織,建立可偵測該國家/地區異常活動並對其發出警示的原則可能很合理。 對於在該國家/地區有大型分支的其他人來說,來自該國家/地區的活動是正常的,而且偵測這類活動並不合理。

  1. 微調活動磁碟區
    在偵測引發警示之前,選擇所需的活動量。 使用我們的國家/地區範例,如果您在國家/地區中沒有存在,即使是單一活動也很重要,而且需要警示。 不過,單一登錄失敗可能是人為錯誤,而且只有在短期內有許多失敗時才感興趣。
  2. 微調 活動篩選
    設定您需要的篩選,以偵測您想要警示的活動類型。 例如,若要偵測來自國家/地區的活動,請使用 Location 參數。
  3. 調整警示
    若要防止警示疲勞,請設定 每日警示限制

階段 5:設定警示

注意

自 2022 年 12 月 15 日起,警示/簡訊(簡訊)已被取代。 如果您想要接收文字警示,您應該使用 Microsoft Power Automate 進行自定義警示自動化。 如需詳細資訊,請參閱 與 Microsoft Power Automate 整合以進行自定義警示自動化

您可以選擇以最符合您需求的格式和媒體接收警示。 若要在一天中的任何時間立即接收警示,建議您透過電子郵件接收警示。

您也可以想要能夠分析組織中其他產品所觸發之其他警示內容中的警示,讓您全面檢視潛在威脅。 例如,您可能想要在雲端式和內部部署事件之間相互關聯,以查看是否有任何其他可能確認攻擊的緩和證據。

此外,您也可以使用我們的與 Microsoft Power Automate 整合來觸發自定義警示自動化。 例如,您可以在 ServiceNow設定劇本自動建立問題,或在觸發警示時傳送核准電子郵件來執行自定義治理動作。

使用下列指導方針來設定警示:

  1. Email
    選擇此選項以透過電子郵件接收警示。
  2. SIEM
    有數個 SIEM 整合選項,包括 Microsoft SentinelMicrosoft Graph 安全性 API 和其他一般 SIEM。 選擇最符合您需求的整合。
  3. Power Automate 自動化
    建立您需要的自動化劇本,並將其設定為 Power Automate 動作的原則警示。

階段 6:調查和補救

很好,您已設定原則並開始接收可疑的活動警示。 您應該怎麼做? 首先,您應該採取步驟來調查活動。 例如,您可能想要查看指出 使用者已遭入侵的活動。

若要優化您的保護,您應該考慮設定自動補救動作,以將組織的風險降到最低。 我們的原則可讓您將治理動作與警示一起套用,如此一來,即使在開始調查之前,組織的風險也會降低。 可用的動作取決於原則類型,包括暫停使用者或封鎖對所要求資源的存取等動作。

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證

深入了解