Abrufen von Verhaltensanalysen und Anomalieerkennung

Hinweis

• Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

• Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung der Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Die Microsoft Defender for Cloud Apps Anomalieerkennungsrichtlinien bieten out-of-the-box Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning (ML), damit Sie von Anfang an bereit sind, erweiterte Bedrohungserkennung in Ihrer Cloudumgebung auszuführen. Da sie automatisch aktiviert sind, beginnen die neuen Anomalieerkennungsrichtlinien sofort mit dem Erkennungsprozess, um Ergebnisse zu erkennen und zu erfassen, auf zahlreiche Verhaltensanomalien für Ihre Benutzer und die Computer und Geräte ausgerichtet, die mit Ihrem Netzwerk verbunden sind. Darüber hinaus stellen die Richtlinien mehr Daten aus dem Defender for Cloud Apps-Erkennungsmodul bereit, um Den Untersuchungsprozess zu beschleunigen und laufende Bedrohungen zu enthalten.

Die Anomalieerkennungsrichtlinien werden automatisch aktiviert, aber Defender für Cloud-Apps verfügt über einen ersten Lernzeitraum von sieben Tagen, in denen nicht alle Anomalieerkennungswarnungen ausgelöst werden. Nachdem daten aus Ihren konfigurierten API-Connectors gesammelt werden, wird jede Sitzung mit der Aktivität verglichen, wenn Benutzer aktiv waren, IP-Adressen, Geräte usw., erkannt im vergangenen Monat und die Risikobewertung dieser Aktivitäten. Beachten Sie, dass es mehrere Stunden dauern kann, bis Daten über API-Connectors verfügbar sind. Diese Erkennungen sind Teil des heuristischen Anomalieerkennungsmoduls, das Ihre Umgebung profiliert und Warnungen in Bezug auf einen Basisplan auslöst, der auf der Aktivität Ihrer Organisation gelernt wurde. Diese Erkennungen verwenden auch maschinelle Lernalgorithmen, die für das Profil der Benutzer und das Anmeldemuster entwickelt wurden, um falsch positive Ergebnisse zu reduzieren.

Anomalien werden durch Überprüfen von Benutzeraktivität erkannt. Das Risiko wird anhand von mehr als 30 verschiedenen Risikoindikatoren bewertet, die in Risikofaktoren gruppiert sind:

• Riskante IP-Adressen
• Anmeldefehler
• Administratoraktivität
• Inaktive Konten
• Standort
• Unmöglicher Ortswechsel
• Geräte- und Benutzer-Agent
• Aktivitätsrate

Auf Basis der Richtlinienergebnisse werden Sicherheitswarnungen ausgelöst. Defender für Cloud Apps betrachtet jede Benutzersitzung in Ihrer Cloud und benachrichtigt Sie, wenn etwas geschieht, das sich von der Basislinie Ihrer Organisation oder der regulären Aktivität des Benutzers unterscheidet.

Zusätzlich zu nativen Defender for Cloud Apps-Warnungen erhalten Sie auch die folgenden Erkennungswarnungen basierend auf Informationen, die von Azure Active Directory (AD) Identity Protection empfangen werden:

• Durchleckte Anmeldeinformationen: Ausgelöst, wenn die gültigen Anmeldeinformationen eines Benutzers geleeckt wurden. Weitere Informationen finden Sie in der Erkennung von Durchleckten Anmeldeinformationen von Azure AD.
• Riskante Anmeldung: Kombiniert eine Reihe von Azure AD Identity Protection-Anmeldeerkennungen in eine einzelne Erkennung. Weitere Informationen finden Sie unter Azure AD-Anmelderisikoerkennungen.

Diese Richtlinien werden auf der Seite "Defender for Cloud Apps-Richtlinien" angezeigt und können aktiviert oder deaktiviert werden.

Richtlinie zur Anomalieerkennung

Sie können die Richtlinien zur Anomalieerkennung im Portal anzeigen, indem Sie auf Steuern und dann auf Richtlinien klicken. Wählen Sie Richtlinie zur Anomalieerkennung für den Richtlinientyp aus.

Die folgenden Richtlinien zur Anomalieerkennung sind verfügbar:

Unmöglicher Ortswechsel

• Diese Erkennung identifiziert zwei Benutzeraktivitäten (in einer einzelnen oder mehreren Sitzungen), die aus geografisch entfernten Standorten stammen, innerhalb eines Zeitraums kürzer als die Zeit, zu der der Benutzer von der ersten Position zum zweiten reisen würde, was angibt, dass ein anderer Benutzer dieselben Anmeldeinformationen verwendet. Diese Erkennung verwendet einen Maschinellen Lernalgorithmus, der offensichtliche "falsch positive Ergebnisse" ignoriert, die zur unmöglichen Reisebedingung beitragen, z. B. VPNs und Standorte, die regelmäßig von anderen Benutzern in der Organisation verwendet werden. Die Erkennung verfügt über einen anfänglichen Lernzeitraum von sieben Tagen, in dem sie das Aktivitätsmuster eines neuen Benutzers lernt. Die Erkennung bei unmöglichen Ortswechsel erkennt ungewöhnliche und unmögliche Benutzeraktivitäten zwischen zwei Orten. Diese Aktivität sollte ungewöhnlich genug sein, um als Indikator für eine Kompromittierung angesehen zu werden und eine Warnung zu rechtfertigen. Um diese Arbeit zu ermöglichen, enthält die Erkennungslogik verschiedene Unterdrückungsebenen, um Szenarien zu beheben, die falsch positiv auslösen können, z. B. VPN-Aktivitäten oder Aktivitäten von Cloudanbietern, die keinen physischen Standort angeben. Mit dem Vertraulichkeitsschieberegler können Sie den Algorithmus beeinflussen und definieren, wie streng die Erkennungslogik ist. Je höher die Vertraulichkeitsstufe ist, werden weniger Aktivitäten als Teil der Erkennungslogik unterdrückt. So können Sie die Erkennung entsprechend Ihren Abdeckungsanforderungen und SNR-Zielen anpassen.

  Hinweis

  • Wenn die IP-Adressen auf beiden Seiten der Reise als sicher betrachtet werden, wird die Reise vertrauenswürdig und von der Auslösung der Unmöglichen Reiseerkennung ausgeschlossen. Beispielsweise werden beide Seiten als sicher betrachtet, wenn sie als Unternehmen gekennzeichnet sind. Wenn jedoch die IP-Adresse nur einer Seite der Reise als sicher betrachtet wird, wird die Erkennung als normal ausgelöst.
  • Die Standorte werden auf Länderebene berechnet. Dies bedeutet, dass es keine Warnungen für zwei Aktionen gibt, die in demselben Land oder in den angrenzenden Ländern stammen.

Aktivität aus selten verwendetem Land

• Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben. Wenn eine Aktivität von einem Standort aus durchgeführt wird, an dem sich der Benutzer noch nie aufgehalten hat (und auch kein anderer Benutzer innerhalb der Organisation), wird eine Warnung ausgelöst.

Schadsoftware-Erkennung

• Diese Erkennungsmethode identifiziert schädliche Dateien in Ihrem Cloudspeicher, egal ob sie von Ihren Microsoft-Apps oder Drittanbieter-Apps stammen. Microsoft Defender for Cloud Apps verwendet die Bedrohungsintelligenz von Microsoft, um zu erkennen, ob bestimmte Dateien bekannten Schadsoftwareangriffen zugeordnet sind und potenziell böswillig sind. Diese integrierte Richtlinie ist standardmäßig deaktiviert. Dateien, die nach unseren Heuristiken potenziell riskant gefunden werden, werden auch Sandkasten gescannt. Nachdem böswillige Dateien erkannt wurden, können Sie dann eine Liste der infizierten Dateien anzeigen. Wählen Sie den Namen der Schadsoftwaredatei in der Dateischublade aus, um einen Schadsoftwarebericht zu öffnen, mit dem Sie Informationen über den Typ der Schadsoftware erhalten, mit der die Datei infiziert ist.

  Sie können diese Erkennung in Echtzeit mithilfe von Sitzungsrichtlinien verwenden, um Dateiuploads und Downloads zu steuern.

  Defender für Cloud Apps unterstützt die Schadsoftwareerkennung für die folgenden Apps:

  • Feld
  • Dropbox
  • Google Workspace
  • Office 365 (erfordert eine gültige Lizenz für Microsoft Defender for Office 365 P1)

  Hinweis

  Schadsoftware, die in Office 365 Apps erkannt wurde, wird automatisch von der App blockiert, und der Benutzer kann die Datei nicht erreichen. Nur der Administrator der App hat Zugriff.

  In Box, Dropbox und Google Workspace blockiert Defender für Cloud-Apps die Datei nicht, aber das Blockieren kann gemäß den Funktionen der App und der vom Kunden festgelegten Konfiguration der App durchgeführt werden.

Aktivität über anonyme IP-Adressen

• Diese Erkennung stellt fest, ob Benutzer eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys werden von Personen verwendet, die die IP-Adresse ihres Geräts ausblenden möchten und möglicherweise für böswillige Absichten verwendet werden. Diese Erkennung verwendet einen Maschinellen Lernalgorithmus, der "falsch positive Ergebnisse" reduziert, z. B. falsch markierte IP-Adressen, die von Benutzern in der Organisation häufig verwendet werden.

Ransomware-Aktivität

• Defender für Cloud Apps erweiterte seine Ransomware-Erkennungsfunktionen mit Anomalieerkennung, um eine umfassendere Abdeckung gegen anspruchsvolle Ransomware-Angriffe sicherzustellen. Mithilfe unserer Sicherheitsforschungskompetenzen können Verhaltensmuster identifiziert werden, die Ransomware-Aktivitäten widerspiegeln, stellt Defender für Cloud Apps einen ganzheitlichen und robusten Schutz sicher. Wenn Defender für Cloud-Apps beispielsweise eine hohe Anzahl von Dateiuploads oder Dateilöschaktivitäten identifiziert, kann es einen nachteiligen Verschlüsselungsprozess darstellen. Diese Daten werden in den Protokollen von verbundenen APIs erfasst und werden dann mit erlernten Verhaltensmustern und Informationen zu Bedrohungen, z.B. bekannten Ransomware-Erweiterungen, kombiniert. Weitere Informationen dazu, wie Defender für Cloud Apps Ransomware erkennt, finden Sie unter Schutz Ihrer Organisation vor Ransomware.

Von gekündigtem Benutzer durchgeführte Aktivität

• Durch diese Erkennungsmethode können Sie herausfinden, ob ein gekündigter Mitarbeiter weiterhin Aktionen mit Ihren SaaS-Apps ausführt. Da Daten zeigen, dass das größte Risiko einer Bedrohung von innen von Mitarbeitern ausgeht, die das Unternehmen nicht im Guten verlassen haben, ist es wichtig, die Aktivität von Konten ausgeschiedener Mitarbeiter zu beobachten. Wenn Mitarbeiter ein Unternehmen verlassen, wird die Bereitstellung ihrer Konten in Unternehmens-Apps manchmal aufgehoben, aber in vielen Fällen behalten sie weiterhin Zugriff auf bestimmte Unternehmensressourcen. Dies ist bei privilegierten Konten sogar noch wichtiger, da der potenzielle Schaden, den ein ehemaliger Administrator verursachen kann, grundsätzlich größer ist. Diese Erkennung nutzt die Defender for Cloud Apps-Möglichkeit, das Benutzerverhalten über Apps hinweg zu überwachen, sodass die regelmäßige Aktivität des Benutzers identifiziert wird, die Tatsache, dass das Konto gelöscht wurde, und die tatsächliche Aktivität auf anderen Apps. Beispielsweise hat ein Mitarbeiter, dessen Azure AD-Konto gelöscht wurde, aber weiterhin Zugriff auf die AWS-Infrastruktur des Unternehmens hat, das Potenzial, große Schäden zu verursachen.

Die Erkennung sucht nach Benutzern, deren Konten in Azure AD gelöscht wurden, aber weiterhin Aktivitäten auf anderen Plattformen wie AWS oder Salesforce ausführen. Dies ist insbesondere für Benutzer relevant, die ein anderes Konto verwenden (nicht ihr primäres einmaliges Anmeldenkonto), um Ressourcen zu verwalten, da diese Konten häufig nicht gelöscht werden, wenn ein Benutzer das Unternehmen verlässt.

Aktivität von verdächtigen IP-Adressen

• Sie erkennt, wenn Benutzer Aktivitäten von einer IP-Adresse aus durchführen, die von Microsoft Threat Intelligence als riskant eingestuft wurde. Diese IP-Adressen sind an böswilligen Aktivitäten beteiligt, z. B. das Ausführen von Kennwortsprühen, Botnet C C&und können ein kompromittiertes Konto angeben. Diese Erkennung verwendet einen Maschinellen Lernalgorithmus, der "falsch positive Ergebnisse" reduziert, z. B. falsch markierte IP-Adressen, die von Benutzern in der Organisation häufig verwendet werden.

Verdächtige Weiterleitung des Posteingangs

• Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.

Hinweis

Defender für Cloud Apps benachrichtigt Sie nur für jede Weiterleitungsregel, die als verdächtig identifiziert wird, basierend auf dem typischen Verhalten für den Benutzer.

Verdächtige Regeln zur Posteingangsänderung

• Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Dies kann darauf hindeuten, dass das Konto des Benutzers gefährdet ist, dass Nachrichten absichtlich verborgen werden und dass das Postfach verwendet wird, um Spam oder Schadsoftware in Ihrer Organisation zu verteilen.

Verdächtige E-Mail-Löschungsaktivität (Vorschau)

• Diese Richtlinie profiliert Ihre Umgebung und löst Warnungen aus, wenn ein Benutzer verdächtige E-Mail-Löschaktivitäten in einer einzigen Sitzung ausführt. Diese Richtlinie kann darauf hinweisen, dass die Postfächer eines Benutzers durch potenzielle Angriffsvektoren wie befehls- und steuerungsbasierte Kommunikation (C&/C2) über E-Mails kompromittiert werden können.

Hinweis

Defender für Cloud Apps ist in Microsoft Defender for Office 365 integriert, um Schutz für Exchange Online bereitzustellen, einschließlich URL-Detonation, Schadsoftwareschutz und vieles mehr. Sobald Defender for Office 365 aktiviert ist, werden Warnungen im Defender for Cloud Apps-Aktivitätsprotokoll angezeigt.

Verdächtige OAuth-App-Dateidownloadaktivitäten

• Überprüft die OAuth-Apps, die mit Ihrer Umgebung verbunden sind, und löst eine Warnung aus, wenn eine App mehrere Dateien von Microsoft SharePoint oder Microsoft OneDrive auf eine Weise herunterlädt, die für den Benutzer ungewöhnlich ist. Dies kann darauf hinweisen, dass das Benutzerkonto kompromittiert ist.

Ungewöhnliches ISP für eine OAuth-App

• Diese Richtlinie profiliert Ihre Umgebung und löst Warnungen aus, wenn eine OAuth-App eine Verbindung mit Ihren Cloudanwendungen von einem ungewöhnlichen ISP herstellt. Diese Richtlinie kann darauf hinweisen, dass ein Angreifer versucht hat, eine legitime kompromittierte App zum Ausführen bösartiger Aktivitäten auf Ihren Cloudanwendungen zu verwenden.

Ungewöhnliche Aktivitäten (von Benutzern)

Diese Erkennungen identifizieren Benutzer, die folgende Aktivitäten ausführen:

• Ungewöhnlich viele Dateidownloads
• Ungewöhnliche Dateifreigaben
• Ungewöhnliche Dateilöschungen
• Ungewöhnliche Identitätswechsel
• Ungewöhnliche Administratoraktivitäten
• Ungewöhnliche Power BI-Berichtsfreigabeaktivitäten (Vorschau)
• Ungewöhnliche Mehrere VM-Erstellungsaktivitäten (Vorschau)
• Ungewöhnliche Mehrere Speicherlöschaktivitäten (Vorschau)
• Ungewöhnliche Region für Cloudressource (Vorschau)
• Ungewöhnlicher Dateizugriff

Diese Richtlinien suchen in einer einzelnen Sitzung nach Aktivitäten in Bezug auf die gelernte Baseline, die auf eine versuchte Sicherheitsverletzung hinweisen können. Diese Erkennungen nutzen einen maschinellen Lernalgorithmus, der die Benutzer beim Muster anmelden und falsch positive Ergebnisse reduziert. Diese Erkennungen sind Teil des heuristischen Anomalieerkennungsmoduls, das Ihre Umgebung profiliert und Warnungen in Bezug auf einen Basisplan auslöst, der auf der Aktivität Ihrer Organisation gelernt wurde.

Mehrere fehlerhafte Anmeldeversuche

• Diese Erkennungsmethode ermittelt Benutzer, bei denen mehrere Anmeldeversuche in einer einzelnen Sitzung fehlgeschlagenen sind. Dabei wird die berechnete Baseline in Betracht gezogen, die auf einen versuchten Verstoß hindeuten kann.

Datenexfiltration in nicht sanktionierte Apps

• Diese Richtlinie wird automatisch aktiviert, um Sie zu warnen, wenn ein Benutzer oder eine IP-Adresse eine nicht sanktionierte App zum Ausführen einer Aktivität verwendet. Dies deutet darauf hin, dass dieser versucht, Informationen Ihres Unternehmens zu exfiltrieren.

Mehrere Aktivitäten zum Löschen von VMs

• Diese Richtlinie überwacht Ihre Umgebung und löst Warnungen aus, wenn Benutzer mehrere VMs (je nach Baseline Ihrer Organisation) löschen. Dies kann auf eine Sicherheitsverletzung hinweisen.

Aktivieren von automatisierten Governanceaktionen

Sie können automatisierte Wartungsaktionen für Warnungen aktivieren, die von den Anomalieerkennungsrichtlinien generiert wurden.

1. Wählen Sie den Namen der Erkennungsrichtlinie auf der Richtlinienseite aus.
2. Legen Sie im Fenster Anomalieerkennungsrichtlinie bearbeiten, das geöffnet wird, unter Governance die Wartungsaktion fest, die Sie für jede verbundene App oder für alle Apps durchführen möchten.
3. Wählen Sie Aktualisieren aus.

Optimieren der Richtlinien zur Anomalieerkennung

So können Sie die Anomalieerkennungs-Engine Ihren Bedürfnissen anpassen, damit Warnungen unterdrückt oder besonders berücksichtigt werden können:

• In der Richtlinie „Unmöglicher Ortswechsel“ können Sie über den Schieberegler für die Sensitivität den erforderlichen Grad des anomalen Verhaltens festlegen, bevor eine Warnung ausgelöst wird. Wenn Sie sie z. B. auf "Niedrig" oder "Mittel" festlegen, werden unmögliche Reisewarnungen von den allgemeinen Speicherorten eines Benutzers unterdrückt, und wenn Sie sie auf "Hoch" festlegen, wird diese Warnungen angezeigt. Folgende Empfindlichkeitsstufen stehen Ihnen zur Auswahl:

  • Niedrig: System-, Mandanten- und Benutzerunterdrückungen

  • Mittel: System- und Benutzerunterdrückungen

  • Hoch: Nur Systemunterdrückungen

    Hierbei gilt Folgendes:

    Typ der Unterdrückung	Beschreibung
    System	Integrierte Erkennungen, die immer unterdrückt werden
    Mandant	Allgemeine Aktivitäten, die auf vorherigen Aktivitäten im Mandanten basieren. Es wird beispielsweise die Erkennung von Aktivitäten eines ISP unterdrückt, zu dem Ihre Organisation bereits zuvor eine Warnung erhalten hat.
    Benutzer	Allgemeine Aktivitäten, die auf vorherigen Aktivitäten eines bestimmten Benutzers basieren. Es wird beispielsweise die Erkennung von Aktivitäten unterdrückt, die ein Benutzer an einem häufig verwendeten Standort ausführt.

Hinweis

Standardmäßig werden ältere Anmeldeprotokolle, z. B. solche, die keine mehrstufige Authentifizierung (z. B. WS-Trust) verwenden, nicht von der unmöglichen Reiserichtlinie überwacht. Wenn Ihre Organisation ältere Protokolle verwendet, um fehlende relevante Aktivitäten zu vermeiden, bearbeiten Sie die Richtlinie und legen Sie unter "Erweiterte Konfiguration" die Anmeldeaktivitäten auf "Alle Anmeldungen" fest.

Festlegen des Bereichs von Richtlinien zur Anomalieerkennung

Der Bereich jeder Richtlinie zur Anomalieerkennung kann individuell festgelegt werden, sodass sie sich nur auf die Benutzer und Gruppen bezieht, die Sie in der Richtlinie ein- und ausschließen möchten. Beispielsweise können Sie festlegen, dass die Erkennung „Aktivität aus selten verwendetem Land/selten verwendeter Region“ einen bestimmten Benutzer ignoriert, der häufig reist.

So legen Sie den Bereich einer Richtlinie zur Anomalieerkennung fest:

1. Wählen Sie "Steuerelementrichtlinien>" aus, und legen Sie den Typfilter auf "Anomalieerkennungsrichtlinie" fest.

2. Wählen Sie die Richtlinie aus, die Sie verwenden möchten.

3. Wählen Sie unter Bereich in der Dropdownliste statt der Standardeinstellung Alle Benutzer und Gruppen die Option Bestimmte Benutzer und Gruppen aus.

4. Wählen Sie "Einschließen" aus, um die Benutzer und Gruppen anzugeben, für die diese Richtlinie gelten soll. Alle Benutzer oder Gruppen, die hier nicht ausgewählt werden, gelten nicht als Bedrohung und generieren keine Warnung.

5. Wählen Sie "Ausschließen" aus, um Benutzer anzugeben, für die diese Richtlinie nicht gilt. Jeder hier ausgewählte Benutzer wird nicht als Bedrohung angesehen und generiert auch dann keine Warnung, wenn er Mitglied von Gruppen ist, die unter Einschließen ausgewählt sind.

   

Selektieren von Anomalieerkennungswarnungen

Sie können die verschiedenen Warnungen, die von den neuen Richtlinien zur Anomalieerkennung ausgelöst werden, schnell selektieren und entscheiden, für welche zuerst Maßnahmen ergriffen werden müssen. Dazu benötigen Sie den Kontext für die Warnung, sodass Sie das größere Bild sehen und verstehen können, ob etwas böswillig ist.

1. Im Aktivitätsprotokoll können Sie eine Aktivität öffnen, um den Aktivitätsdrawer anzuzeigen. Wählen Sie "Benutzer " aus, um die Registerkarte "Benutzereinblicke" anzuzeigen. Diese Registerkarte enthält Informationen wie die Anzahl der Warnungen, Aktivitäten und deren Verbindung, von denen sie verbunden sind, was in einer Untersuchung wichtig ist.

   

2. So können Sie ermitteln, worum es bei den verdächtigen Aktivitäten geht, die vom Benutzer ausgeführt wurden, und entscheiden, ob das Konto gefährdet ist oder nicht. Ein Beispiel: Eine Warnung zu mehreren fehlerhaften Anmeldungen kann tatsächlich verdächtig sein und auf einen potenziellen Brute-Force-Angriff hinweisen. Diese Anmeldungen können aber auch auf eine fehlerhafte Anwendungskonfiguration zurückzuführen sein, sodass die Warnung sich auf ein unschädliches richtig positives Ereignis bezieht. Wenn jedoch eine Warnung mit mehreren fehlgeschlagenen Anmeldungen mit zusätzlichen verdächtigen Aktivitäten angezeigt wird, gibt es eine höhere Wahrscheinlichkeit, dass das Konto kompromittiert wird. Im unten gezeigten Beispiel sehen Sie, dass zusätzlich zur Warnung Mehrere fehlerhafte Anmeldeversuche auch Warnungen zu einer Aktivität von einer Tor-IP-Adresse und zu einem unmöglichen Ortswechsel ausgelöst wurden. Beides sind deutliche Hinweise auf Gefährdung. Wenn dies nicht verdächtig genug war, können Sie sehen, dass derselbe Benutzer eine Massendownloadaktivität ausgeführt hat, was oft ein Indikator für den Angreifer ist, der Exfiltration von Daten ausführt.

   

3. Nachdem die Dateien gefunden wurden, werden die mit Schadsoftware infizierten Dateien in einer Liste von infizierten Dateien angezeigt. Wählen Sie den Namen der Schadsoftwaredatei in der Dateischublade aus, um einen Schadsoftwarebericht zu öffnen, mit dem Sie Informationen zu diesem Typ von Schadsoftware erhalten, mit der die Datei infiziert ist.

Verwandte Videos

Webinar zum Bedrohungsschutz

Nächste Schritte

Tägliche Aktivitäten zum Schutz Ihrer Cloudumgebung

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.