偵測威脅

  • 21 分鐘

當您了解如何保護資料避免意外暴露時,下一個要考量的事項以及適用於雲端的 Defender 應用程式架構的其中一個元素,就是防範網路威脅和異常狀況。

Microsoft 雲端 App 安全性包含現成的異常偵測原則,利用使用者和實體行為分析 (UEBA) 和機器學習,跨雲端環境提供使用者與實體行為分析 (UEBA) 和進階威脅偵測功能。 請務必注意,異常偵測本質上是不具決定性的。 只有在行為偏離規範時,才會觸發這些偵測。

雖然異常偵測原則會自動啟用,但是 Microsoft 雲端 App 安全性會先花費七天的時間來了解您的環境。 它會查看使用者存取的 IP 位址、裝置和位置、識別他們使用的應用程式和服務,並計算這些活動的風險分數。 此程序可以作為您進行比較的環境和任何警示的基準。 偵測原則也會使用機器學習來為您的使用者製作設定檔。 如果 Microsoft 雲端 App 安全性能識別您的使用者及其一般登入模式,就可以協助減少誤判警示。

藉由掃描使用者活動並評估其風險來偵測異常。 風險的評估方式是查看 30 種以上不同的指標,分成下列風險因素:

  • 有風險的 IP 位址
  • 登入失敗
  • 系統管理員活動
  • 非使用中的帳戶
  • 位置
  • 不可能的移動
  • 裝置和使用者代理程式
  • 活動率

Microsoft 雲端 App 安全性會查看您雲端上的每個使用者工作階段,並且在發生與組織基準不同或與使用者一般活動不同的情況時向您發出警示。

異常偵測原則概觀

Microsoft 雲端 App 安全性的異常偵測原則已設定為偵測各種安全性問題。 最熱門的是:

  • 不可能的旅行。 相同使用者在不同位置的活動,其期間短於兩個位置之間的預期旅行時間。
  • 來自不常使用國家/地區的活動。 來自最近或從未被使用者或組織中任何用戶造訪之位置的活動。
  • 惡意程式碼偵測。 掃描雲端應用程式中的檔案,並透過 Microsoft 的威脅情報引擎執行可疑的檔案,以判斷它們是否與已知的惡意程式碼相關聯。
  • 勒索軟體活動。 檔案上傳到可能感染勒索軟體的雲端。
  • 來自可疑 IP 位址的活動。 來自已由 Microsoft 威脅情報識別為有風險的 IP 位址的活動。
  • 可疑收件匣轉寄。 偵測使用者收件匣上設定的可疑收件匣轉寄規則。
  • 異常多個檔案下載活動。 依照學習的基準偵測單一工作階段中的多個檔案下載活動,這可能表示已嘗試的入侵。
  • 異常系統管理活動。 依照學習的基準偵測單一工作階段中的多個系統管理活動,這可能表示已嘗試的入侵。

設定異常偵測原則

既然您已經了解異常偵測原則,讓我們來設定探索異常原則,以便查看設定的步驟及針對環境設定。 探索異常偵測原則會尋找雲端應用程式使用量的異常增加。 它會查看每個雲端應用程式的下載資料、上傳資料、交易和使用者數量增加。 然後,每個增加都會與應用程式的基準進行比較。 最極端的增加會觸發安全性警示。

您可以設定篩選以自訂監視應用程式使用量的方式。 篩選包括應用程式篩選、選取的資料檢視,以及選取的開始日期。 您也可以設定敏感度,這可讓您設定原則應該觸發多少警示。

調整抑制或呈現警示的異常偵測原則

雖然異常偵測只會在發生超出規範的情況時觸發,但是仍然容易發生誤判。 太多誤判會導致警示疲勞,而且您會有在雜訊中遺失重要警示的風險。 若要協助防止警示雜訊,您可以微調每個原則中的偵測邏輯,以包含不同層級的隱藏,以解決可能會觸發誤判的案例,例如 VPN 活動。

建立或編輯異常偵測原則時,您可以根據所需的涵蓋範圍類型來決定其敏感度。 較高敏感度會使用更嚴格的偵測邏輯演算法。 這可讓您調整每個原則的偵測策略。

在您微調您的原則之前,可協助了解抑制警示的選項。 有三種抑制類型:

抑制類型 描述
系統 一律抑制的內建偵測。
租用戶 根據租用戶中先前活動的一般活動。 例如,隱藏來自先前在組織中發出警示之 ISP 的活動。
使用者 根據特定使用者先前活動的一般活動。 例如,從使用者常用的位置隱藏活動。

敏感度層級對抑制類型的影響不同:

敏感度標籤 受影響的抑制類型
系統、租用戶和使用者
系統和使用者
僅限系統

您也可以設定是否針對來自不常使用國家/地區、匿名 IP 位址、可疑 IP 位址的活動發出警示,以及不可能的旅行應該分析失敗和成功登入,或只有成功登入。

調整使用者和群組的異常偵測範圍原則

每個異常偵測原則都可以有獨立範圍,因此只會套用到您想要在原則中納入和排除的使用者和群組。 例如,您可以從不常使用的國家/地區偵測設定活動,以忽略經常旅行的特定使用者。

若要設定異常偵測原則的範圍:

  1. 透過瀏覽器登入 Microsoft 雲端 App 安全性入口網站。

  2. 選取 [控制項]>[原則],然後將 [類型] 篩選設定為 [異常偵測原則]

  3. 選取想要設定範圍的原則。

  4. [範圍] 底下,從下拉式清單的預設設定 [所有使用者和群組] 變更為 [特定使用者和群組]

  5. 選取 [包含 ] 以指定套用此原則的使用者和群組。 這裡未選取的任何使用者或群組不會被視為威脅或產生警示。

  6. 選取 [排除],以指定不套用此原則的使用者。 這裡選取的任何使用者不會被視為威脅或產生警示,即使他們是在 [包含] 底下所選取群組的成員。

    顯示如何編輯異常偵測原則的螢幕擷取畫面。

  7. 當您完成範圍的變更時,請選取 [更新] 以認可變更。