Viselkedéselemzés és anomáliadetektálás lekérése

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

  • Microsoft Defender for Cloud Apps most már a Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen végezhetik el a biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a Microsoft-identitások, -adatok, -eszközök, -alkalmazások és -infrastruktúra biztonságának figyelése és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

A Microsoft Defender for Cloud Apps anomáliadetektálási szabályzatok használatra kész felhasználói és entitásviselkedési elemzéseket (UEBA) és gépi tanulást (ML) biztosítanak, így már a kezdettől fogva készen áll a fejlett fenyegetésészlelés futtatására a felhőkörnyezetben. Mivel ezek automatikusan engedélyezve vannak, az új anomáliadetektálási szabályzatok azonnal megkezdik az eredmények észlelésének és szétválogatásának folyamatát, és számos viselkedési rendellenességet céloznak meg a felhasználók és a hálózathoz csatlakoztatott gépek és eszközök között. Emellett a szabályzatok további adatokat is elérhetővé tehetnek a Defender for Cloud Apps észlelési motorjából, így felgyorsíthatja a vizsgálati folyamatot, és el tudja rejteni a folyamatos fenyegetéseket.

Az anomáliadetektálási szabályzatok automatikusan engedélyezve vannak, de a Defender for Cloud Apps kezdeti tanulási időszaka hét nap, amely alatt nem minden anomáliadetektálási riasztás keletkezik. Ezt követően, a konfigurált API-összekötőkről gyűjtött adatok alapján a rendszer minden munkamenetet összehasonlít a tevékenységgel, amikor a felhasználók aktívak voltak, IP-címeket, eszközöket stb. észleltek az elmúlt hónapban, valamint ezen tevékenységek kockázati pontszámát. Vegye figyelembe, hogy az ADATOK API-összekötőkből való elérhetővé válnak több órát is igénybe vehet. Ezek az észlelések a heurisztikus anomáliadetektálási motor részei, amelyek profilt adnak a környezetről, és riasztásokat aktiválnak a szervezet tevékenységéről tanult alapkonfigurációhoz képest. Ezek az észlelések gépi tanulási algoritmusokat is használnak, amelyek célja a felhasználók profilkészítése és a bejelentkezési minta használata a vakriasztások csökkentése érdekében.

Az anomáliák kiszűrése a felhasználói tevékenység vizsgálatával történik. A kockázat értékelése több mint 30 különböző kockázati mutató alapján történik, kockázati tényezőkbe csoportosítva, az alábbiak szerint:

  • Kockázatos IP-cím
  • Bejelentkezési hibák
  • Rendszergazda tevékenység
  • Inaktív fiókok
  • Hely
  • Lehetetlen utazás
  • Eszköz- és felhasználói ügynök
  • Tevékenységi arány

A szabályzat eredményei alapján biztonsági riasztások aktiválódnak. A Defender for Cloud Apps a felhő minden felhasználói munkamenetét megvizsgálja, és riasztást küld, ha valami olyan történik, amely eltér a szervezet alapkonfigurációjától vagy a felhasználó szokásos tevékenységétől.

A natív Defender for Cloud Apps-riasztások mellett a következő észlelési riasztásokat is megkapja az Azure Active Directory (AD) Identity Protectiontől kapott információk alapján:

Ezek a szabályzatok a Defender for Cloud Apps szabályzatainak lapján jelennek meg, és engedélyezhetők vagy letilthatók.

Anomáliadetektálási szabályzatok

Az anomáliadetektálási szabályzatok a portálon a Vezérlés , majd a Szabályzatok elemre kattintva láthatók. A szabályzattípushoz válassza az Anomáliadetektálási szabályzatot .

új anomáliadetektálási szabályzatok.

A következő anomáliadetektálási szabályzatok érhetők el:

Lehetetlen utazás

  • Ez az észlelés két olyan felhasználói tevékenységet azonosít (egyetlen vagy több munkamenetben), amelyek földrajzilag távoli helyekről származnak, rövidebb időn belül, mint amikor a felhasználónak az első helyről a másodikra kellett volna utaznia, jelezve, hogy egy másik felhasználó ugyanazokat a hitelesítő adatokat használja. Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló "téves pozitívokat", ami hozzájárul a lehetetlen utazáshoz, például VPN-eket és a szervezet más felhasználói által rendszeresen használt helyeket. Az észlelés egy hétnapos kezdeti tanulási időszak, amely során egy új felhasználó tevékenységmintáját tanulja meg. A lehetetlen utazás észlelése szokatlan és lehetetlen felhasználói tevékenységet azonosít két hely között. A tevékenységnek elég szokatlannak kell lennie ahhoz, hogy kompromisszumra és riasztásra érdemesnek minősüljön. Ennek érdekében az észlelési logika különböző szintű letiltási szinteket tartalmaz olyan forgatókönyvek kezeléséhez, amelyek hamis pozitív eredményt válthatnak ki, például VPN-tevékenységeket vagy olyan felhőszolgáltatók tevékenységeit, amelyek nem jeleznek fizikai helyet. A bizalmassági csúszka lehetővé teszi, hogy hatással legyen az algoritmusra, és meghatározza, milyen szigorú az észlelési logika. Minél magasabb a bizalmassági szint, annál kevesebb tevékenység lesz letiltva az észlelési logika részeként. Ily módon a lefedettségi igények és az SNR-célok alapján módosíthatja az észlelést.

    Megjegyzés

    • Ha az utazás mindkét oldalán található IP-címek biztonságosnak minősülnek, az utazás megbízhatónak minősül, és nem aktiválódik a Lehetetlen utazás észlelése. A rendszer például mindkét oldalt biztonságosnak tekinti, ha vállalatiként van megjelölve. Ha azonban az utazásnak csak az egyik oldala IP-címe tekinthető biztonságosnak, az észlelés a szokásos módon aktiválódik.
    • A helyek kiszámítása országszinten történik. Ez azt jelenti, hogy két, ugyanabból az országból vagy a szomszédos országokból származó intézkedésre vonatkozóan nem lesznek riasztások.

Ritka országból származó tevékenység

  • Ez az észlelés a korábbi tevékenységi helyeket veszi figyelembe az új és ritka helyek meghatározásához. Az anomáliadetektálási motor a szervezet felhasználói által használt korábbi helyek adatait tárolja. Riasztás akkor aktiválódik, ha egy tevékenység olyan helyről történik, amelyet a szervezet egyik felhasználója sem keresett fel nemrég vagy soha nem látogatott meg.

Kártevőészlelés

  • Ez az észlelés azonosítja a kártékony fájlokat a felhőtárhelyen, függetlenül attól, hogy a Microsoft-alkalmazásokból vagy külső alkalmazásokból származnak-e. Microsoft Defender for Cloud Apps a Microsoft fenyegetésfelderítését használja annak felismerésére, hogy bizonyos fájlok társítva vannak-e az ismert kártevő támadásokhoz, és potenciálisan rosszindulatúak-e. Ez a beépített szabályzat alapértelmezés szerint le van tiltva. A heurisztika alapján potenciálisan kockázatosnak talált fájlokat is megvizsgáljuk. A kártevő fájlok észlelése után megjelenik a fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy olyan kártevőjelentés megnyitásához, amely információt nyújt arról, hogy milyen típusú kártevővel fertőzött a fájl.

    Ezt az észlelést valós időben használhatja munkamenet-szabályzatokkal a fájlfeltöltések és -letöltések szabályozására.

    A Defender for Cloud Apps a következő alkalmazások kártevő-észlelését támogatja:

    • Box
    • Dropbox
    • Google Workspace
    • Office 365 (érvényes licenc szükséges Office 365-höz készült Microsoft Defender P1-hez)

    Megjegyzés

    A Office 365 alkalmazásokban észlelt kártevőket az alkalmazás automatikusan letiltja, és a felhasználó nem éri el a fájlt. Csak az alkalmazás rendszergazdája rendelkezik hozzáféréssel.

    A Boxban, a Dropboxban és a Google Workspace-ben a Defender for Cloud Apps nem blokkolja a fájlt, de a blokkolás az alkalmazás képességeinek és az ügyfél által beállított konfigurációnak megfelelően történhet.

Tevékenység névtelen IP-címekről

  • Ez az észlelés azonosítja, hogy a felhasználók egy névtelen proxy IP-címként azonosított IP-címről voltak aktívak. Ezeket a proxykat azok használják, akik el szeretnék rejteni az eszköz IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

Zsarolóprogram-tevékenység

  • A Defender for Cloud Apps kiterjesztette zsarolóprogram-észlelési képességeit az anomáliadetektálással, hogy átfogóbb lefedettséget biztosítson a kifinomult Ransomware-támadások ellen. A biztonsági kutatással kapcsolatos szakértelmünk segítségével azonosíthatja a zsarolóprogramok tevékenységét tükröző viselkedési mintákat, így a Defender for Cloud Apps holisztikus és robusztus védelmet biztosít. Ha a Defender for Cloud Apps például nagy mennyiségű fájlfeltöltést vagy fájltörlési tevékenységet azonosít, az kedvezőtlen titkosítási folyamatot jelenthet. Ezeket az adatokat a csatlakoztatott API-któl kapott naplókban gyűjtjük össze, majd a megtanult viselkedési mintákkal és fenyegetésfelderítéssel, például ismert zsarolóprogram-bővítményekkel kombináljuk. További információ arról, hogy a Defender for Cloud Apps hogyan észleli a zsarolóprogramokat: A szervezet zsarolóprogramokkal szembeni védelme.

A megszüntetett felhasználó által végzett tevékenység

  • Ez az észlelés lehetővé teszi annak azonosítását, hogy egy megszüntetett alkalmazott mikor hajt végre műveleteket az SaaS-alkalmazásokon. Mivel az adatok azt mutatják, hogy a bennfentes fenyegetés legnagyobb kockázata a rossz feltételekkel távozó alkalmazottaktól származik, fontos szem előtt tartani a megszüntetett alkalmazottak fiókjainak tevékenységét. Néha, amikor az alkalmazottak elhagyják a vállalatot, a fiókjaik törlődnek a vállalati alkalmazásokból, de sok esetben továbbra is hozzáférhetnek bizonyos vállalati erőforrásokhoz. Ez még fontosabb az emelt szintű fiókok mérlegelésekor, mivel a korábbi rendszergazdák potenciális kárai eredendően nagyobbak. Ez az észlelés kihasználja a Defender for Cloud Apps azon képességét, hogy monitorozza a felhasználók viselkedését az alkalmazásokban, így azonosíthatja a felhasználó rendszeres tevékenységét, a fiók törlésének tényét, valamint a más alkalmazásokon végzett tényleges tevékenységeket. Például egy olyan alkalmazottnak, akinek Azure AD fiókját törölték, de továbbra is hozzáfér a vállalati AWS-infrastruktúrához, nagy mértékű károkat okozhat.

Az észlelés olyan felhasználókat keres, akiknek a fiókjait törölték Azure AD, de továbbra is más platformokon, például az AWS-ben vagy a Salesforce-ban végeznek tevékenységeket. Ez különösen fontos azon felhasználók számára, akik egy másik fiókot használnak (nem az elsődleges egyszeri bejelentkezési fiókjukat) az erőforrások kezeléséhez, mivel ezek a fiókok gyakran nem törlődnek, amikor egy felhasználó elhagyja a vállalatot.

Gyanús IP-címekről származó tevékenység

  • Ez az észlelés azt azonosítja, hogy a felhasználók aktívak voltak a Microsoft Fenyegetésfelderítés által kockázatosként azonosított IP-címről. Ezek az IP-címek kártékony tevékenységekben vesznek részt, például jelszóspray-műveletekben, Botnet C C-ben&, és feltört fiókra utalhatnak. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

Gyanús beérkezett üzenetek továbbítása

  • Ez az észlelés gyanús e-mail-továbbítási szabályokat keres, például ha egy felhasználó létrehozott egy levelezési szabályt, amely az összes e-mail másolatát továbbítja egy külső címre.

Megjegyzés

A Defender for Cloud Apps csak minden gyanúsként azonosított továbbítási szabályról riasztást küld a felhasználó tipikus viselkedése alapján.

Gyanús postaláda-kezelési szabályok

  • Ez az észlelés profilt ad a környezetnek, és riasztásokat vált ki, ha gyanús szabályokat állít be, amelyek üzeneteket vagy mappákat törölnek vagy helyeznek át a felhasználó postaládájába. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült, az üzenetek szándékosan rejtve vannak, és hogy a postaládát levélszemét vagy kártevők terjesztésére használják a szervezetben.

Gyanús e-mail-törlési tevékenység (előzetes verzió)

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, ha egy felhasználó gyanús e-mail-törlési tevékenységeket hajt végre egyetlen munkamenetben. Ez a szabályzat azt jelezheti, hogy a felhasználók postaládáit veszélyeztethetik az olyan lehetséges támadási vektorok, mint a parancs- és vezérlési kommunikáció (C&/C2) e-mailben.

Megjegyzés

A Defender for Cloud Apps integrálható Office 365-höz készült Microsoft Defender az Exchange Online védelmének biztosításához, beleértve az URL-detonációt, a kártevők elleni védelmet és egyebeket. Ha Office 365-höz készült Defender engedélyezve van, riasztásokat fog látni a Defender for Cloud Apps tevékenységnaplójában.

Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek

  • Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást vált ki, ha egy alkalmazás a felhasználó számára szokatlan módon tölt le több fájlt a Microsoft SharePointból vagy a Microsoft OneDrive-ról. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült.

Szokatlan isP egy OAuth-alkalmazáshoz

  • Ez a szabályzat profilt hoz létre a környezetről, és riasztásokat aktivál, amikor egy OAuth-alkalmazás nem gyakori szolgáltatótól csatlakozik a felhőalkalmazásaihoz. Ez a szabályzat azt jelezheti, hogy egy támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtására a felhőalkalmazásokon.

Szokatlan tevékenységek (felhasználó szerint)

Ezek az észlelések a következő műveleteket végző felhasználókat azonosítják:

  • Szokatlan több fájlletöltési tevékenység
  • Szokatlan fájlmegosztási tevékenységek
  • Szokatlan fájltörlési tevékenységek
  • Szokatlan megszemélyesített tevékenységek
  • Szokatlan adminisztratív tevékenységek
  • Szokatlan Power BI-jelentésmegosztási tevékenységek (előzetes verzió)
  • Szokatlan több virtuálisgép-létrehozási tevékenység (előzetes verzió)
  • Szokatlan, több tárterület-törlési tevékenység (előzetes verzió)
  • Szokatlan régió a felhőerőforráshoz (előzetes verzió)
  • Szokatlan fájlhozzáférés

Ezek a szabályzatok egyetlen munkameneten belüli tevékenységeket keresnek a megismert alapkonfigurációhoz képest, ami biztonsági incidensi kísérletre utalhat. Ezek az észlelések egy gépi tanulási algoritmust használnak, amely profilt ad a felhasználók bejelentkezési mintájáról, és csökkenti a vakriasztásokat. Ezek az észlelések a heurisztikus anomáliadetektálási motor részei, amelyek profilt adnak a környezetről, és riasztásokat aktiválnak a szervezet tevékenységéről tanult alapkonfigurációhoz képest.

Több sikertelen bejelentkezési kísérlet

  • Ez az észlelés azonosítja azokat a felhasználókat, amelyek több bejelentkezési kísérletet sem sikerült végrehajtani egy munkamenetben a megismert alapkonfigurációhoz képest, ami biztonsági incidensi kísérletre utalhat.

Adatkiszivárgás nem felügyelt alkalmazásokba

  • Ez a szabályzat automatikusan engedélyezi a riasztást, ha egy felhasználó vagy IP-cím olyan alkalmazást használ, amely nem engedélyezett olyan tevékenység végrehajtására, amely hasonlít a szervezet adatainak kiszivárgására tett kísérlethez.

Több virtuálisgép-törlési tevékenység

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor a felhasználók több virtuális gépet törölnek egyetlen munkamenetben a szervezet alapkonfigurációjához képest. Ez biztonsági incidensre utalhat.

Automatizált szabályozás engedélyezése

Engedélyezheti az automatikus szervizelési műveleteket az anomáliadetektálási szabályzatok által generált riasztásokon.

  1. Válassza ki az észlelési szabályzat nevét a Szabályzat lapon.
  2. A megnyíló Anomáliadetektálási szabályzat szerkesztése ablakban, az Irányítás területen állítsa be az egyes csatlakoztatott alkalmazásokhoz vagy az összes alkalmazáshoz használni kívánt szervizelési műveleteket.
  3. Válassza a Frissítés lehetőséget.

Anomáliadetektálási szabályzatok hangolása

Az anomáliadetektálási motort a beállításoknak megfelelően letiltó vagy felszínre hozó riasztások befolyásolása:

  • A Lehetetlen utazás házirendben beállíthatja a bizalmassági csúszkát, hogy meghatározza a rendellenes viselkedés szintjét, amely a riasztás aktiválása előtt szükséges. Ha például alacsony vagy közepes értékre állítja, az letiltja a lehetetlen utazással kapcsolatos riasztásokat a felhasználó gyakori helyéről, és ha magasra állítja, akkor az ilyen riasztásokat fogja felszínre tenni. A következő bizalmassági szintek közül választhat:

    • Alacsony: Rendszer-, bérlő- és felhasználóelnyomások

    • Közepes: Rendszer- és felhasználóelnyomások

    • Magas: Csak rendszerelnyomások

      Ahol:

      Mellőzés típusa Leírás
      Rendszer Beépített észlelések, amelyek mindig le vannak tiltva.
      Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezeten belül korábban riasztást kapó ispéldák tevékenységeit.
      Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.

Megjegyzés

Alapértelmezés szerint az örökölt bejelentkezési protokollokat, például a többtényezős hitelesítést nem használókat (például A WS-Trust) nem figyeli a lehetetlen utazási szabályzat. Ha a szervezete örökölt protokollokat használ, a hiányzó releváns tevékenységek elkerülése érdekében szerkessze a szabályzatot, és a Speciális konfiguráció területen állítsa a Bejelentkezési tevékenységek elemzése beállítást Minden bejelentkezésre.

Hatókör-anomáliadetektálási szabályzatok

Minden anomáliadetektálási szabályzat külön hatókörrel rendelkezhet, így csak a szabályzatba felvenni és kizárni kívánt felhasználókra és csoportokra vonatkozik. Beállíthatja például, hogy a ritkábban előforduló megyei észlelési tevékenység figyelmen kívül hagyjon egy gyakran utazó felhasználót.

Anomáliadetektálási szabályzat hatókörének meghatározása:

  1. Válassza aVezérlőszabályzatok> lehetőséget, és állítsa a TípusszűrőtAnomáliadetektálási szabályzatra.

  2. Válassza ki a hatókörbe felvenni kívánt szabályzatot.

  3. A Hatókör területen módosítsa a legördülő menüt a Minden felhasználó és csoport alapértelmezett beállításáról az Adott felhasználókra és csoportokra.

  4. A Belefoglalás lehetőséget választva megadhatja azokat a felhasználókat és csoportokat, akikre ez a szabályzat vonatkozni fog. Az itt nem kiválasztott felhasználók vagy csoportok nem minősülnek fenyegetésnek, és nem hoznak létre riasztást.

  5. Válassza a Kizárás lehetőséget azoknak a felhasználóknak a megadásához, akikre ez a szabályzat nem vonatkozik. Az itt kiválasztott felhasználók nem minősülnek fenyegetésnek, és nem generálnak riasztást, még akkor sem, ha tagjai a Belefoglalás csoportban kiválasztott csoportoknak.

    anomáliadetektálási hatókör meghatározása.

Anomáliadetektálási riasztások osztályozása

Gyorsan osztályba rendezheti az új anomáliadetektálási szabályzatok által kiváltott különböző riasztásokat, és eldöntheti, hogy mely riasztásokról kell először gondoskodnia. Ehhez szüksége lesz a riasztás környezetére, hogy láthassa a nagyobb képet, és meg tudja érteni, hogy valóban történik-e valami rosszindulatú.

  1. A Tevékenységnaplóban megnyithat egy tevékenységet a Tevékenység fiók megjelenítéséhez. Válassza a Felhasználó lehetőséget a Felhasználói elemzések lap megtekintéséhez. Ez a lap olyan információkat tartalmaz, mint a riasztások száma, a tevékenységek és a kapcsolatuk helye, ami fontos a vizsgálat során.

    anomáliadetektálási riasztás1.anomáliadetektálási riasztás2.

  2. Ez lehetővé teszi annak megértését, hogy a felhasználó milyen gyanús tevékenységeket végzett, és mélyebb megbízhatóságot szerezhet a fiók feltörése tekintetében. Egy több sikertelen bejelentkezésre vonatkozó riasztás például valóban gyanús lehet, és potenciális találgatásos támadásra utalhat, de lehet egy alkalmazás helytelen konfigurációja is, ami jóindulatú valódi pozitív eredményt ad. Ha azonban több sikertelen bejelentkezésre figyelmeztető riasztást lát további gyanús tevékenységekkel, akkor nagyobb a valószínűsége annak, hogy a fiók biztonsága sérül. Az alábbi példában láthatja, hogy a Többszörös sikertelen bejelentkezési kísérletek riasztást egy TOR IP-címről származó tevékenység és a Lehetetlen utazási tevékenység követte, és mindkettő erős biztonsági rést (IOK) jelez. Ha ez nem volt elég gyanús, akkor láthatja, hogy ugyanaz a felhasználó tömeges letöltési tevékenységet végzett, ami gyakran azt jelzi, hogy a támadó adatokat szivárgást hajtott végre.

    anomáliadetektálási riasztás3.

  3. Kártevő-fertőzött fájlok esetén a fájlok észlelése után megjelenik a fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy olyan kártevőjelentés megnyitásához, amely információt nyújt arról a kártevőtípusról, amellyel a fájl fertőzött.

Következő lépések

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.