Získání analýzy chování a detekce anomálií

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě. To zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Zásady detekce anomálií Microsoft Defender for Cloud Apps poskytují předem připravené analýzy chování uživatelů a entit (UEBA) a strojové učení (ML), abyste byli připraveni od počátku spustit pokročilou detekci hrozeb v cloudovém prostředí. Vzhledem k tomu, že jsou automaticky povolené, nové zásady detekce anomálií okamžitě spustí proces zjišťování a kolace výsledků, které cílí na řadu behaviorálních anomálií napříč vašimi uživateli a počítači a zařízeními připojenými k vaší síti. Zásady navíc zpřístupňují další data z modulu detekce Defender for Cloud Apps, který vám pomůže urychlit proces šetření a obsahovat probíhající hrozby.

Zásady detekce anomálií jsou automaticky povoleny, ale Defender for Cloud Aplikace mají počáteční dobu učení sedmi dnů, během kterých se nevyvolají všechny výstrahy detekce anomálií. Jakmile se pak data shromažďují z nakonfigurovaných konektorů rozhraní API, porovnává se každá relace s aktivitou, kdy byli aktivní uživatelé, IP adresy, zařízení atd., zjistili za poslední měsíc a skóre rizika těchto aktivit. Mějte na paměti, že dostupnost dat z konektorů rozhraní API může trvat několik hodin. Tyto detekce jsou součástí heuristického modulu detekce anomálií, který profiluje vaše prostředí a aktivuje výstrahy s ohledem na základní hodnoty, které se naučily o aktivitách vaší organizace. Tyto detekce také používají algoritmy strojového učení navržené k profilování uživatelů a přihlašování k omezení falešně pozitivních výsledků.

Anomálie se zjišťují procházením aktivity uživatelů. Toto riziko se vyhodnocuje pohledem na více než 30 různých ukazatelů rizik seskupených do rizikových faktorů následujícím způsobem:

  • Riziková IP adresa
  • Selhání přihlášení
  • aktivita Správa
  • Neaktivní účty
  • Umístění
  • Neuskutečnitelná cesta
  • Zařízení a uživatelský agent
  • Míra aktivity

Na základě výsledků pro zásady se aktivují upozornění zabezpečení. Defender for Cloud Aplikace se podívá na každou uživatelskou relaci v cloudu a upozorní vás, když se něco stane, které se liší od směrného plánu vaší organizace nebo běžné aktivity uživatele.

Kromě nativních upozornění Defender for Cloud Apps získáte také následující upozornění detekce na základě informací přijatých ze služby Azure Active Directory (AD) Identity Protection:

Tyto zásady se zobrazí na stránce zásad Defender for Cloud Aplikace a dají se povolit nebo zakázat.

Zásady detekce anomálií

Zásady detekce anomálií se zobrazí na portálu kliknutím na ovládací prvek a potom na Zásady. Vyberte zásadu detekce anomálií pro typ zásady.

new anomaly detection policies.

K dispozici jsou následující zásady detekce anomálií:

Neuskutečnitelná cesta

  • Tato detekce identifikuje dvě aktivity uživatelů (v jedné nebo více relacích) pocházející z geograficky vzdálených míst v časovém období kratším než doba, po kterou by uživatel mohl cestovat z prvního umístění do druhého, což znamená, že jiný uživatel používá stejné přihlašovací údaje. Tato detekce používá algoritmus strojového učení, který ignoruje zřejmé "falešně pozitivní výsledky" přispívající k nemožnému cestovnímu stavu, jako jsou sítě VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Detekce má počáteční dobu učení sedm dnů, během kterých se učí vzor aktivity nového uživatele. Detekce nemožné cesty identifikuje neobvyklé a nemožné aktivity uživatelů mezi dvěma umístěními. Aktivita by měla být dostatečně neobvyklá, aby byla považována za indikátor ohrožení zabezpečení a hodná výstraha. Aby to fungovalo, logika detekce zahrnuje různé úrovně potlačení, které řeší scénáře, které můžou aktivovat falešně pozitivní události, jako jsou aktivity VPN nebo aktivity od poskytovatelů cloudu, které neoznačují fyzické umístění. Posuvník citlivosti umožňuje ovlivnit algoritmus a definovat, jak je logika detekce striktní. Čím vyšší je úroveň citlivosti, bude v rámci logiky detekce potlačeno méně aktivit. Tímto způsobem můžete detekci přizpůsobit podle potřeb pokrytí a cílů SNR.

    Poznámka

    • Pokud jsou IP adresy na obou stranách cesty považovány za bezpečné, je cesta důvěryhodná a vyloučená z aktivace detekce nemožné cesty. Obě strany se například považují za bezpečné, pokud jsou označené jako firemní. Pokud je však IP adresa pouze jedné strany cesty považována za bezpečnou, aktivuje se detekce jako normální.
    • Umístění se počítají na úrovni země. To znamená, že nebudou existovat žádná upozornění na dvě akce pocházející ze stejné země nebo v hraničních zemích.

Aktivita z občasné země

  • Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci. Upozornění se aktivuje, když dojde k aktivitě z umístění, které v poslední době nebo nikdy nevštěvoval žádný uživatel v organizaci.

Detekce malwaru

  • Tato detekce identifikuje škodlivé soubory ve vašem cloudovém úložišti bez ohledu na to, jestli pocházejí z vašich aplikací Microsoftu nebo aplikací třetích stran. Microsoft Defender for Cloud Apps používá analýzu hrozeb od Microsoftu k rozpoznání, jestli jsou určité soubory asociované se známými útoky na malware a potenciálně škodlivé. Tato předdefinovaná zásada je ve výchozím nastavení zakázaná. Soubory, které jsou nalezeny potenciálně rizikové podle našich heuristiků, budou také prohledány sandboxem. Po zjištění škodlivých souborů můžete zobrazit seznam napadených souborů. Výběrem názvu souboru malwaru v zásuvce souboru otevřete zprávu o malwaru, která poskytuje informace o typu malwaru, na který je soubor napadený.

    Tuto detekci můžete použít v reálném čase pomocí zásad relace k řízení nahrávání a stahování souborů.

    Defender for Cloud Aplikace podporují detekci malwaru pro následující aplikace:

    • Box
    • Dropbox
    • Google Workspace
    • Office 365 (vyžaduje platnou licenci pro Microsoft Defender pro Office 365 P1)

    Poznámka

    Malware zjištěný v aplikacích Office 365 je automaticky blokován aplikací a uživatel se nemůže k souboru dostat. Přístup má jenom správce aplikace.

    V Boxu Dropbox a Google Workspace Defender for Cloud Apps soubor neblokuje, ale blokování se může provádět podle možností aplikace a konfigurace aplikace nastavené zákazníkem.

Aktivita z anonymních IP adres

  • Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy, která byla identifikována jako anonymní IP adresa proxy. Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení a můžou je použít ke škodlivému záměru. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci běžně používají.

Aktivita ransomwaru

  • Defender for Cloud Apps rozšířily své možnosti detekce ransomwaru s detekcí anomálií, aby zajistily komplexnější pokrytí před sofistikovanými útoky Ransomware. Používání našich odborných znalostí v oblasti zabezpečení k identifikaci vzorů chování, které odrážejí aktivitu ransomwaru, Defender for Cloud Apps zajišťuje ucelenou a robustní ochranu. Pokud aplikace Defender for Cloud například identifikuje vysokou míru aktivit nahrávání souborů nebo odstranění souborů, může představovat nepříznivý proces šifrování. Tato data se shromažďují v protokolech přijatých z připojených rozhraní API a pak se kombinují s naučenými vzory chování a analýzou hrozeb, například známými rozšířeními ransomwaru. Další informace o tom, jak aplikace Defender for Cloud detekuje ransomware, najdete v tématu Ochrana vaší organizace proti ransomwaru.

Aktivita provedená ukončeným uživatelem

  • Díky tomuto zjišťování můžete zjistit, kdy ukončený zaměstnanec pokračuje v provádění akcí s vašimi aplikacemi SaaS. Vzhledem k tomu, že data ukazují, že největší riziko vnitřní hrozby pochází od zaměstnanců, kteří odešli z špatných podmínek, je důležité sledovat aktivitu na účtech od ukončených zaměstnanců. Když zaměstnanci opustí společnost, jejich účty se z podnikových aplikací zřazují, ale v mnoha případech si stále zachovávají přístup k určitým firemním prostředkům. To je ještě důležitější při zvažování privilegovaných účtů, protože potenciální škody, které může bývalý správce udělat, je ze své podstaty větší. Tato detekce využívá možnost Defender for Cloud Aplikace monitorovat chování uživatelů napříč aplikacemi, což umožňuje identifikaci pravidelné aktivity uživatele, skutečnost, že byl účet odstraněný, a skutečnou aktivitu v jiných aplikacích. Například zaměstnanec, jehož Azure AD účet byl odstraněn, ale stále má přístup k podnikové infrastruktuře AWS, má potenciál způsobit rozsáhlé škody.

Detekce hledá uživatele, jejichž účty byly odstraněny v Azure AD, ale stále provádějí aktivity v jiných platformách, jako je AWS nebo Salesforce. To je obzvláště důležité pro uživatele, kteří používají jiný účet (nikoli primární účet jednotného přihlašování) ke správě prostředků, protože tyto účty se často neodstraní, když uživatel opustí společnost.

Aktivita z podezřelých IP adres

  • Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy identifikované jako rizikové službou Microsoft Threat Intelligence. Tyto IP adresy se podílejí na škodlivých aktivitách, jako je například provedení spreje hesel, Botnet C C&a může naznačovat ohrožený účet. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci běžně používají.

Podezřelé přeposílání doručené pošty

  • Tato detekce hledá podezřelá pravidla předávání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které přeposílá kopii všech e-mailů na externí adresu.

Poznámka

Defender for Cloud Aplikace vás upozorní pouze na každé pravidlo předávání, které je identifikované jako podezřelé, na základě typického chování uživatele.

Podezřelá pravidla manipulace s doručenou poštou

  • Tato detekce profiluje vaše prostředí a aktivuje výstrahy, když jsou v doručené poště uživatele nastavená podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. To může znamenat, že je účet uživatele ohrožen, že zprávy jsou záměrně skryté a že poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.

Podezřelá aktivita odstranění e-mailu (Preview)

  • Tato zásada profiluje vaše prostředí a aktivuje výstrahy, když uživatel provádí podezřelé aktivity odstranění e-mailu v jedné relaci. Tato zásada může znamenat, že poštovní schránky uživatele můžou být ohroženy potenciálními vektory útoku, jako je komunikace typu command-and-control (C&/C2) přes e-mail.

Poznámka

Defender for Cloud Aplikace se integrují s Microsoft Defender pro Office 365, aby poskytovaly ochranu Exchange online, včetně detonace adres URL, ochrany proti malwaru a dalších. Po povolení Defender pro Office 365 se v protokolu aktivit Defender for Cloud Apps začnou zobrazovat upozornění.

Podezřelé aktivity stahování souborů aplikace OAuth

  • Zkontroluje aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění, když aplikace stáhne více souborů z Microsoft SharePoint nebo Microsoft OneDrive způsobem, který je pro uživatele neobvyklý. To může znamenat, že je uživatelský účet ohrožen.

Neobvyklý poskytovatele internetových služeb pro aplikaci OAuth

  • Tato zásada profiluje vaše prostředí a aktivuje výstrahy, když se aplikace OAuth připojí k vašim cloudovým aplikacím z neobvyklého poskytovatele internetových služeb. Tato zásada může znamenat, že se útočník pokusil použít legitimní ohroženou aplikaci k provádění škodlivých aktivit v cloudových aplikacích.

Neobvyklé aktivity (podle uživatele)

Tyto detekce identifikují uživatele, kteří provádějí:

  • Neobvyklé více aktivit stahování souborů
  • Neobvyklé aktivity sdílené složky
  • Neobvyklé aktivity odstranění souborů
  • Neobvyklé zosobněné aktivity
  • Neobvyklé administrativní aktivity
  • Neobvyklé aktivity sdílení sestav Power BI (Preview)
  • Neobvyklé aktivity vytváření několika virtuálních počítačů (Preview)
  • Neobvyklé aktivity odstranění úložiště (Preview)
  • Neobvyklá oblast pro cloudový prostředek (Preview)
  • Neobvyklý přístup k souborům

Tyto zásady hledají aktivity v rámci jedné relace s ohledem na směrný plán, který by mohl znamenat pokus o porušení zabezpečení. Tyto detekce využívají algoritmus strojového učení, který profiluje vzor přihlašování uživatelů a snižuje falešně pozitivní výsledky. Tyto detekce jsou součástí heuristického modulu detekce anomálií, který profiluje vaše prostředí a aktivuje výstrahy s ohledem na základní hodnoty, které se naučily o aktivitách vaší organizace.

Několik neúspěšných pokusů o přihlášení

  • Tato detekce identifikuje uživatele, kteří v jedné relaci selhali při pokusu o přihlášení s ohledem na zjištěný směrný plán, což může znamenat pokus o porušení zabezpečení.

Exfiltrace dat do neschválené aplikace

  • Tato zásada vás automaticky upozorní, když uživatel nebo IP adresa používá aplikaci, která není schválená k provedení aktivity, která se podobá pokusu o exfiltraci informací z vaší organizace.

Více aktivit odstranění virtuálních počítačů

  • Tato zásada profiluje vaše prostředí a aktivuje výstrahy, když uživatelé odstraní několik virtuálních počítačů v jedné relaci vzhledem ke směrnému plánu ve vaší organizaci. To může znamenat pokus o porušení zabezpečení.

Povolení automatizovaných zásad správného řízení

U výstrah generovaných zásadami detekce anomálií můžete povolit automatizované akce nápravy.

  1. Na stránce Zásady vyberte název zásady detekce.
  2. V okně Upravit zásady detekce anomálií , které se otevře, nastavte v části Zásady správného řízení akce nápravy, které chcete pro každou připojenou aplikaci nebo pro všechny aplikace.
  3. Vyberte Aktualizovat.

Ladění zásad detekce anomálií

Pokud chcete mít vliv na modul detekce anomálií, aby se potlačí nebo zobrazovala upozornění podle vašich předvoleb:

  • V zásadách Impossible Travel můžete nastavit posuvník citlivosti a určit úroveň neobvyklého chování potřebného před aktivací výstrahy. Pokud je třeba nastavíte na nízkou hodnotu, potlačí upozornění na neuskutečenou cestu z běžných míst uživatele a pokud je nastavíte na vysokou, zobrazí se tato upozornění. Můžete si vybrat z následujících úrovní citlivosti:

    • Nízká: Potlačení systému, tenanta a uživatele

    • Střední: Potlačení systému a uživatelů

    • Vysoká: Pouze potlačení systému

      Kde:

      Typ potlačení Popis
      Systém Integrované detekce, které jsou vždy potlačeny.
      Nájemce Běžné aktivity založené na předchozí aktivitě v tenantovi Například potlačení aktivit z zprostředkovatele internetových služeb, na které jste v organizaci dříve upozorňovali.
      Uživatel Běžné aktivity založené na předchozí aktivitě konkrétního uživatele Například potlačení aktivit z umístění, které uživatel běžně používá.

Poznámka

Ve výchozím nastavení se starší protokoly přihlašování, jako jsou například protokoly, které nepoužívají vícefaktorové ověřování (například WS-Trust), nemonitorují zásady nemožné cesty. Pokud vaše organizace používá starší protokoly, abyste se vyhnuli chybějícím relevantním aktivitám, upravte zásadu a v části Pokročilá konfigurace, nastavte možnost Analyzovat aktivity přihlášení na Všechna přihlášení.

Určení rozsahu zásad detekce anomálií

Každá zásada detekce anomálií může být nezávisle vymezena tak, aby platila jenom pro uživatele a skupiny, které chcete zahrnout a vyloučit do zásad. Můžete například nastavit aktivitu z občasné detekce okresu tak, aby ignorovala konkrétního uživatele, který často cestuje.

Určení rozsahu zásad detekce anomálií:

  1. Vyberte zásady řízení> a nastavte filtr Typ na zásady detekce anomálií.

  2. Vyberte zásadu, kterou chcete nastavit na rozsah.

  3. V části Obor změňte rozevírací seznam z výchozího nastavení Všichni uživatelé a skupiny na Konkrétní uživatele a skupiny.

  4. Výběrem možnosti Zahrnout určete uživatele a skupiny, pro které budou tyto zásady platit. Žádný uživatel nebo skupina, které zde nejsou vybrány, se nepovažují za hrozbu a nevygeneruje výstrahu.

  5. Vyberte Možnost Vyloučit , pokud chcete určit uživatele, pro které se tato zásada nepoužije. Každý uživatel vybraný tady nebude považován za hrozbu a nevygeneruje výstrahu, i když jsou členy skupin vybraných v části Zahrnout.

    anomaly detection scoping.

Upozornění detekce anomálií pro třídění

Různé výstrahy aktivované novými zásadami detekce anomálií můžete rychle určit a rozhodnout se, které z nich je potřeba nejprve řešit. K tomu potřebujete kontext výstrahy, abyste viděli větší obrázek a pochopili, jestli se skutečně děje něco škodlivého.

  1. V protokolu aktivit můžete otevřít aktivitu a zobrazit tak zásuvku aktivity. Výběrem možnosti Uživatel zobrazíte kartu Přehledy uživatelů. Tato karta obsahuje informace, jako je počet výstrah, aktivit a místa, odkud jsou propojeny, což je důležité při vyšetřování.

    anomaly detection alert1.anomaly detection alert2.

  2. To vám umožní pochopit, jaké podezřelé aktivity uživatel provedl, a získat hlubší důvěru ohledně toho, jestli byl účet ohrožen. Výstraha na několik neúspěšných přihlášení může být například podezřelá a může značit potenciální útok hrubou silou, ale může to být také chybná konfigurace aplikace, což způsobí, že výstraha bude neškodným pravdivě pozitivním. Pokud se ale zobrazí upozornění na několik neúspěšných přihlášení s dalšími podezřelými aktivitami, je vyšší pravděpodobnost, že dojde k ohrožení účtu. V následujícím příkladu vidíte, že za upozorněním na několik neúspěšných pokusů o přihlášení následuje aktivita z IP adresy TOR a aktivity nemožné cesty, a to jak silnými indikátory ohrožení zabezpečení (IOC), tak i samotnými. Pokud to nebylo dostatečně podezřelé, uvidíte, že stejný uživatel provedl aktivitu hromadného stahování, což je často indikátorem útočníka, který provádí exfiltraci dat.

    anomaly detection alert3.

  3. V případě napadených souborů malwaru můžete po zjištění souborů zobrazit seznam napadených souborů. Výběrem názvu souboru malwaru v zásuvce souboru otevřete zprávu o malwaru, která poskytuje informace o tomto typu malwaru, na který je soubor napadený.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.