Rendellenesség-észlelési riasztások vizsgálata

  • Cikk
  • 32 perc alatt elolvasható

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

  • Microsoft Defender for Cloud Apps Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen hajthatják végre biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a microsoftos identitások, adatok, eszközök, alkalmazások és infrastruktúra biztonságának monitorozása és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

Microsoft Defender for Cloud Apps biztonsági észleléseket és riasztásokat biztosít a rosszindulatú tevékenységekhez. Ennek az útmutatónak az a célja, hogy általános és gyakorlati információkat nyújtson az egyes riasztásokról, hogy segítsen a vizsgálati és szervizelési feladatok elvégzésében. Ez az útmutató általános információkat tartalmaz a riasztások aktiválásának feltételeiről. Fontos azonban megjegyezni, hogy mivel az anomáliadetektálások természetüknél fogva nem determinisztikusak, csak akkor aktiválódnak, ha a viselkedés eltér a normától. Végül előfordulhat, hogy egyes riasztások előzetes verzióban jelennek meg, ezért rendszeresen tekintse át a hivatalos dokumentációt a frissített riasztási állapotról.

MITRE ATT&CK

A Felhőhöz készült Defender Apps-riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat magyarázata és egyszerűbb leképezése érdekében kategorizáltuk a riasztásokat a megfelelő MITRE ATT CK-taktikával&. Ez a további hivatkozás megkönnyíti a Felhőhöz készült Defender Apps-riasztások aktiválásakor esetlegesen használt gyanús támadási technikák megértését.

Ez az útmutató az Felhőhöz készült Defender Apps-riasztások vizsgálatával és szervizelésével kapcsolatos információkat nyújt az alábbi kategóriákban.

Biztonsági riasztások besorolása

A megfelelő vizsgálatot követően minden Felhőhöz készült Defender Apps-riasztás a következő tevékenységtípusok egyikének minősíthető:

  • Valódi pozitív (TP): Egy megerősített rosszindulatú tevékenységre vonatkozó riasztás.
  • Jóindulatú valódi pozitív (B-TP): Riasztás gyanús, de nem rosszindulatú tevékenységekről, például behatolási tesztről vagy más engedélyezett gyanús műveletről.
  • Hamis pozitív (FP): Nem rosszindulatú tevékenységre vonatkozó riasztás.

Általános vizsgálati lépések

Az alábbi általános irányelveket kell használnia bármilyen típusú riasztás vizsgálatához, hogy jobban megértse a potenciális fenyegetést, mielőtt alkalmazza az ajánlott műveletet.

  • Tekintse át a felhasználó vizsgálati prioritási pontszámát , és hasonlítsa össze a szervezet többi tagjával. Ez segít azonosítani, hogy a szervezet mely felhasználói jelentenek a legnagyobb kockázatot.
  • Ha azonosít egy TP-t, tekintse át a felhasználó összes tevékenységét, hogy megértse a hatást.
  • Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás forrását és hatókörét. Tekintse át például a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkat:
    • Operációs rendszer és verzió
    • Böngésző és verzió
    • IP-cím és hely

Kezdeti hozzáférési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhat kezdeti betekintést nyerni a szervezetébe.

Tevékenység névtelen IP-címről

Leírás

A Microsoft Threat Intelligence vagy a szervezete által névtelen proxy IP-címként azonosított IP-címből származó tevékenység. Ezek a proxyk az eszköz IP-címének elrejtésére használhatók, és rosszindulatú tevékenységekhez használhatók.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a B-TP-incidenseket , például a rosszul címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet névtelen vagy TOR IP-címről hajtották végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. B-TP: Ha egy felhasználó ismert, hogy névtelen IP-címeket használ feladatai körében. Például amikor egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  • Tekintse át az összes felhasználói tevékenységet és riasztást a biztonsági rés további jelzéseiért. Ha például a riasztást egy másik gyanús riasztás követte, például egy Szokatlan fájlletöltés (felhasználó) vagy egy Gyanús levelek továbbítása riasztás, amely gyakran azt jelzi, hogy egy támadó adatokat próbál kiszűrni.

Ritka országból származó tevékenység

Olyan országból/régióból származó tevékenység, amely rosszindulatú tevékenységre utalhat. Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, ha olyan helyről észlelnek tevékenységet, amelyet a szervezet egyik felhasználója sem keresett fel nemrég, vagy soha nem látogatott meg.

Alapértelmezés szerint a szabályzat úgy van konfigurálva, hogy csak a sikeres bejelentkezési tevékenységeket tartalmazza, de konfigurálható úgy, hogy minden bejelentkezési tevékenységet tartalmazzon. A szabályzat hatóköre tovább terjedhet a felhasználók egy részhalmazára, vagy kizárhatja a távoli helyekre való utazásról ismert felhasználókat.

Tanulás időszak

A rendellenes helyek észleléséhez hét napos kezdeti tanulási időszak szükséges, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy törvényes felhasználó hajtotta végre.

    Javasolt művelet:

    1. Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és azonosítsa a megfelelő időpontot a fiók biztonságos újbóli engedélyezéséhez.
    2. Nem kötelező: Hozzon létre egy forgatókönyvet Power Automate használatával, hogy kapcsolatba lépjen a ritkán használt helyekről csatlakozó felhasználókkal és a felettesekkel a tevékenységük ellenőrzéséhez.

  2. B-TP: Ha egy felhasználóról ismert, hogy ezen a helyen tartózkodik. Például ha egy felhasználó gyakran utazik, és jelenleg a megadott helyen tartózkodik.

    Javasolt művelet:

    1. Zárja be a riasztást, és módosítsa a szabályzatot a felhasználó kizárásához.
    2. Hozzon létre egy felhasználói csoportot a gyakori utazók számára, importálja a csoportot Felhőhöz készült Defender Apps alkalmazásba, és zárja ki a felhasználókat ebből a riasztásból
    3. Nem kötelező: Hozzon létre egy forgatókönyvet Power Automate használatával, hogy kapcsolatba lépjen a ritkán használt helyekről csatlakozó felhasználókkal és a felettesekkel a tevékenységük ellenőrzéséhez.

A szabálysértés hatókörének megismerése

  • Ellenőrizze, hogy melyik erőforrás sérült, például a lehetséges adatletöltések.

Gyanús IP-címekről származó tevékenység

Olyan IP-címről származó tevékenység, amelyet a Microsoft Threat Intelligence vagy a szervezete kockázatosként azonosított. Ezeket az IP-címeket rosszindulatú tevékenységekben érintettként azonosították, például jelszóspray-műveletekben, botnet-parancsok és vezérlés (C&C) végrehajtásában, és feltört fiókra utalhatnak.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy törvényes felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. B-TP: Ha egy felhasználó ismert, hogy az IP-címet a feladatai körében használja. Például amikor egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Tekintse át a tevékenységnaplót, és keressen ugyanabból az IP-címről származó tevékenységeket.
  2. Ellenőrizze, hogy melyik erőforrás sérült, például az adatletöltések vagy a rendszergazdai módosítások.
  3. Hozzon létre egy csoportot a biztonsági elemzők számára, akik önként aktiválják ezeket a riasztásokat, és kizárják őket a szabályzatból.

Lehetetlen utazás

Ugyanazon felhasználótól különböző helyeken végzett tevékenység egy olyan időtartamon belül, amely rövidebb, mint a két hely közötti várható utazási idő. Ez jelentheti a hitelesítő adatok megsértését, de az is lehetséges, hogy a felhasználó tényleges helye maszkolt, például VPN használatával.

Annak érdekében, hogy a pontosság és a riasztás csak akkor legyen jobb, ha a rendszer súlyosan észleli a szabálysértést, Felhőhöz készült Defender Apps alapkonfigurációt hoz létre a szervezet minden felhasználóján, és csak akkor küld riasztást, ha a rendszer szokatlan viselkedést észlel. A lehetetlen utazási szabályzat finomhangolható az Ön igényeinek megfelelően.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló B-TP-feltételeket , például ha az utazás mindkét oldalán található IP-címek biztonságosnak minősülnek, az utazás megbízható, és nem aktiválódik a Lehetetlen utazás észlelése. A rendszer például mindkét oldalt biztonságosnak tekinti, ha vállalatiként van megjelölve. Ha azonban az utazásnak csak az egyik oldala IP-címe tekinthető biztonságosnak, az észlelés a szokásos módon aktiválódik.

  1. TP: Ha meg tudja erősíteni, hogy a lehetetlen utazási riasztásban szereplő hely nem valószínű a felhasználó számára.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. FP (Nem észlelt felhasználói utazás): Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott. Ha például egy felhasználó repülési módban lévő telefonja továbbra is csatlakozik olyan szolgáltatásokhoz, mint például a vállalati hálózaton Exchange Online, miközben egy másik helyre utazik. Amikor a felhasználó megérkezik az új helyre, a telefon csatlakozik Exchange Online elindítja a lehetetlen utazási riasztást.

    Javasolt művelet: A riasztás elvetése.

  3. FP (Címkézés nélküli VPN): Ha meg tudja erősíteni, hogy az IP-címtartomány engedélyezett VPN-ből származik.

    Javasolt művelet: Zárja be a riasztást, adja hozzá a VPN IP-címtartományát az Felhőhöz készült Defender Apps alkalmazáshoz, majd használja a VPN IP-címtartományának címkézéséhez.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a tevékenységnaplót, és ismerje meg az azonos helyen és IP-címen található hasonló tevékenységeket.
  2. Ha azt látja, hogy a felhasználó más kockázatos tevékenységeket is végzett, például nagy mennyiségű fájlt tölt le egy új helyről, az erős biztonsági rést jelez.
  3. Vállalati VPN- és IP-címtartományok hozzáadása.
  4. Hozzon létre egy forgatókönyvet Power Automate használatával, és lépjen kapcsolatba a felhasználó felettesével, és ellenőrizze, hogy a felhasználó valóban utazik-e.
  5. Érdemes lehet létrehozni egy ismert utazási adatbázist akár percekig a szervezeti utazások jelentéséhez, és a segítségével kereszthivatkozást készíthet az utazási tevékenységekről.

Félrevezető OAuth-alkalmazásnév

Ez az észlelés latin betűkre hasonlító karaktereket (például idegen betűket) tartalmazó alkalmazásokat azonosít. Ez arra utalhat, hogy egy rosszindulatú alkalmazást egy ismert és megbízható alkalmazásként próbál álcázni, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy az alkalmazás neve félrevezető.

    Javasolt művelet: Tekintse át az alkalmazás által kért engedélyszintet, és hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

Az alkalmazáshoz való hozzáférés letiltásához az OAuth-alkalmazások oldalán kattintson a tiltani kívánt alkalmazás ikonra. – Megadhatja, hogy szeretné-e értesíteni a felhasználókat arról, hogy az általuk telepített és engedélyezett alkalmazás le lett tiltva. Az értesítés tájékoztatja a felhasználókat arról, hogy az alkalmazás le lesz tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, törölje a jelölést a párbeszédpanelen a letiltott alkalmazáshoz hozzáférést biztosító felhasználók értesítése jelölőnégyzetből. – Ajánlott tudatni az alkalmazás felhasználóival, hogy az alkalmazásuk hamarosan ki lesz tiltva.

  1. FP: Ha ellenőrizni szeretné, hogy az alkalmazás félrevezető névvel rendelkezik-e, de jogszerű üzleti felhasználással rendelkezik a szervezetben.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

OAuth-alkalmazás félrevezető közzétevői neve

Ez az észlelés latin betűkre hasonlító karaktereket (például idegen betűket) tartalmazó alkalmazásokat azonosít. Ez arra utalhat, hogy egy rosszindulatú alkalmazást egy ismert és megbízható alkalmazásként próbál álcázni, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik.

    Javasolt művelet: Tekintse át az alkalmazás által kért engedélyszintet, és hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

  2. FP: Ha meg szeretné erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik, de megbízható közzétevő.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Az OAuth-alkalmazások lapon válassza ki az alkalmazást az alkalmazásfiók megnyitásához, majd válassza a Kapcsolódó tevékenység lehetőséget. Ez megnyitja az alkalmazás által végrehajtott tevékenységekre szűrt Tevékenységnapló lapot. Ne feledje, hogy egyes alkalmazások olyan tevékenységeket végeznek, amelyeket egy felhasználó végzettként regisztrált. Ezek a tevékenységek automatikusan ki lesznek szűrve a tevékenységnapló eredményeiből. További vizsgálat a tevékenységnapló használatával: Tevékenységnapló.
  2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és közzétevőjét különböző alkalmazás-áruházakban. Az alkalmazás-áruházak ellenőrzésekor az alábbi típusú alkalmazásokra összpontosítson:
    • Kevés letöltéssel rendelkező alkalmazások.
    • Alacsony értékelést, pontszámot vagy rossz megjegyzéseket tartalmazó alkalmazások.
    • Gyanús közzétevővel vagy webhelypel rendelkező alkalmazások.
    • A közelmúltban nem frissített alkalmazások. Ez olyan alkalmazást jelezhet, amely már nem támogatott.
    • Irreleváns engedélyekkel rendelkező alkalmazások. Ez azt jelezheti, hogy egy alkalmazás kockázatos.
  3. Ha továbbra is gyanús alkalmazásra gyanakszik, online ellenőrizheti az alkalmazás nevét, közzétevője és URL-címét.

Végrehajtási riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő rosszindulatú kódot próbál futtatni a szervezetben.

Több tárterület-törlési tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú felhőbeli tárolót vagy adatbázis-törlést hajtott végre az erőforrásokból, például az Azure-blobokból, az AWS S3-gyűjtőkből vagy a Cosmos DB-ből az alapkonfigurációhoz képest. Ez arra utalhat, hogy megkísérelték megsérteni a szervezetét.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha ellenőrizni szeretné, hogy a törlések jogosulatlanok voltak-e.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása, valamint az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági sérülés egyéb mutatóiért, és vizsgálja meg a hatás hatókörét.

  2. FP: Ha a vizsgálat után ellenőrizni tudja, hogy a rendszergazda jogosult-e a törlési tevékenységek végrehajtására.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
  2. Tekintse át a tevékenységnaplóban a biztonsági sérülés egyéb mutatóit, és ellenőrizze, hogy ki hajtotta végre a módosítást.
  3. Tekintse át a felhasználó tevékenységeit a többi szolgáltatás változásaiért.

Több virtuálisgép-létrehozási tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-létrehozási műveletet hajtott végre az alapkonfigurációhoz képest. A feltört felhőinfrastruktúrán több virtuálisgép-létrehozás is jelezheti a kriptobányászati műveletek futtatására tett kísérletet a szervezeten belül.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

A pontosság és a riasztás javítása érdekében az észlelés csak akkor növeli a pontosságot és a riasztást, ha a biztonsági incidensekre utaló jelek erősek, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében, például egy rendszergazda jogszerűen több virtuális gépet hozott létre, mint a megállapított alapkonfiguráció, és csak akkor riasztást, ha a rendszer szokatlan viselkedést észlel.

  • TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása, valamint az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági sérülés egyéb mutatóiért, és vizsgálja meg a hatás hatókörét. Ezenkívül lépjen kapcsolatba a felhasználóval, erősítse meg a jogos műveleteit, majd győződjön meg arról, hogy letiltja vagy törli a feltört virtuális gépeket.

  • B-TP: Ha a vizsgálat után ellenőrizni tudja, hogy a rendszergazda jogosult-e a létrehozási tevékenységek végrehajtására.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet a biztonsági sérülés egyéb mutatóinak megtekintéséhez.
  2. Tekintse át a felhasználó által létrehozott vagy módosított erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Gyanús létrehozási tevékenység a felhőrégióhoz (előzetes verzió)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan erőforrás-létrehozási műveletet hajtott végre egy nem gyakori AWS-régióban az alapkonfigurációhoz képest. Az erőforrások nem gyakori felhőrégiókban való létrehozása rosszindulatú tevékenység, például kriptobányászati műveletek elvégzésére tett kísérletet jelezhet a szervezeten belül.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

Annak érdekében, hogy a pontosság és a riasztások csak akkor javuljanak, ha a biztonsági incidensek erős jelzést kapnak, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében.

  • TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása, valamint az összes eszköz rosszindulatú fenyegetések keresése. Tekintse át az összes felhasználói tevékenységet a biztonsági sérülés egyéb mutatóiért, és vizsgálja meg a hatás hatókörét. Ezenkívül lépjen kapcsolatba a felhasználóval, erősítse meg a jogos műveleteit, majd győződjön meg arról, hogy letiltja vagy törli a feltört felhőbeli erőforrásokat.

  • B-TP: Ha a vizsgálat után ellenőrizni tudja, hogy a rendszergazda jogosult-e a létrehozási tevékenységek végrehajtására.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet a biztonsági sérülés egyéb mutatóinak megtekintéséhez.
  2. Tekintse át a létrehozott erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Adatmegőrzési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja fenntartani a láblécét a szervezetben.

A megszüntetett felhasználó által végzett tevékenység

A megszüntetett felhasználó által végzett tevékenység azt jelezheti, hogy egy leállított alkalmazott, aki továbbra is hozzáféréssel rendelkezik a vállalati erőforrásokhoz, rosszindulatú tevékenységet kísérel meg végrehajtani. Felhőhöz készült Defender Alkalmazások profilt ad a szervezet felhasználóinak, és riasztást aktivál, ha egy leállított felhasználó tevékenységet végez.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a megszüntetett felhasználó továbbra is hozzáfér bizonyos vállalati erőforrásokhoz, és tevékenységeket végez.

    Javasolt művelet: Tiltsa le a felhasználót.

  2. B-TP: Ha meg tudja állapítani, hogy a felhasználót ideiglenesen letiltották, vagy törölték és újra regisztrálták.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Kereszthivatkozás a HR-rekordokra annak ellenőrzéséhez, hogy a felhasználó leállt-e.
  2. Ellenőrizze a Azure Active Directory (Azure AD) felhasználói fiók meglétét.

    Megjegyzés

    Ha Azure AD Csatlakozás használ, ellenőrizze a helyi Active Directory objektumot, és erősítse meg a sikeres szinkronizálási ciklust.

  3. Azonosítsa az összes olyan alkalmazást, amelyhez a megszüntetett felhasználó hozzáfért, és leszerelte a fiókokat.
  4. A leszerelési eljárások frissítése.

A CloudTrail naplózási szolgáltatás gyanús változása

Egyetlen munkamenet tevékenységei, amelyek azt jelzik, hogy egy felhasználó gyanús módosításokat hajtott végre az AWS CloudTrail naplózási szolgáltatásán. Ez arra utalhat, hogy megkísérelték megsérteni a szervezetét. A CloudTrail letiltásakor a rendszer nem naplózza a működési módosításokat. A támadók rosszindulatú tevékenységeket végezhetnek, miközben elkerülhetik a CloudTrail naplózási eseményeit, például módosíthatják az S3-gyűjtőt privátról nyilvánosra.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a CloudTrail-tevékenység megfordítása.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen letiltotta a CloudTrail szolgáltatást.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a tevékenységnaplóban a biztonsági sérülés egyéb mutatóit, és ellenőrizze, hogy ki módosította a CloudTrail szolgáltatást.
  2. Nem kötelező: Forgatókönyvet hozhat létre Power Automate használatával, hogy kapcsolatba léphessenek a felhasználókkal és a felettesekkel a tevékenységük ellenőrzéséhez.

Gyanús e-mail-törlési tevékenység (felhasználó szerint)

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy egy felhasználó gyanús e-mail-törléseket hajtott végre. Ez a szervezet megsértésének kísérletére utalhat, például a levélszemét-tevékenységekhez kapcsolódó e-mailek törlésével elfedni próbáló támadók.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hozott létre egy szabályt az üzenetek törléséhez.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  • Tekintse át az összes felhasználói tevékenységet, és keressen további biztonsági réseket, például a Gyanús beérkezett üzenetek továbbítása riasztást, majd a Lehetetlen utazás riasztást. Keresse a következőt:

    1. Új SMTP-továbbítási szabályok az alábbiak szerint:
      • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például az "Összes e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például a alig látható "." névtől. A továbbítási szabály neve akár üres is lehet, és a továbbító címzett lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Az észlelés után ezt a hasznos blogbejegyzést használhatja a rejtett szabályok postaládákból való törléséről.
      • Ha ismeretlen belső vagy külső e-mail-címre ismeretlen továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókját feltörték.
    2. Új levelezési szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók ,,például "...".
    3. Az elküldött e-mailek számának növekedése.

Gyanús postaláda-kezelési szabály

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó hozzáférést szerzett egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. Az olyan manipulációs szabályok, mint például az üzenetek vagy mappák törlése vagy áthelyezése egy felhasználó postaládájából, megpróbálhatják kiszűrni az információkat a szervezetből. Hasonlóképpen arra is utalhatnak, hogy megkísérelnek manipulálni a felhasználó által látott információkat, vagy a beérkezett üzeneteket használják levélszemét, adathalász e-mailek vagy kártevők terjesztésére. Felhőhöz készült Defender alkalmazások profilt adnak a környezetről, és riasztásokat aktiválnak, ha gyanús postaláda-kezelési szabályokat észlelnek a felhasználó postaládájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy rosszindulatú levelezési szabály jött létre, és a fiók biztonsága sérült.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a továbbítási szabály eltávolítása.

  2. FP: Ha meg tudja erősíteni, hogy egy felhasználó jogszerűen hozta létre a szabályt.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet, és keressen további biztonsági réseket, például a Gyanús beérkezett üzenetek továbbítása riasztást, majd a Lehetetlen utazás riasztást. Keresse a következőt:
    • Új SMTP-továbbítási szabályok.
    • Új levelezési szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók ,,például "...".
  2. Gyűjtse össze a művelet IP-címét és helyadatait.
  3. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

Jogosultságeszkalációs riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál magasabb szintű engedélyeket szerezni a szervezetben.

Szokatlan felügyeleti tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó feltört egy felhasználói fiókot, és olyan rendszergazdai műveleteket hajtott végre, amelyek nem gyakoriak az adott felhasználónál. A támadók például megpróbálhatnak módosítani egy felhasználó biztonsági beállítását, amely egy gyakori felhasználó számára viszonylag ritka művelet. Felhőhöz készült Defender-alkalmazások létrehoznak egy alapkonfigurációt a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható rendszergazda hajtotta végre.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. FP: Ha meg tudja erősíteni, hogy egy rendszergazda jogszerűen hajtotta végre a szokatlan mennyiségű rendszergazdai tevékenységet.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet a biztonsági rések további jelzéseiért, például a gyanús beérkezett üzenetek továbbításáért vagy a Lehetetlen utazásért.
  2. Tekintse át az egyéb konfigurációs módosításokat, például az adatmegőrzéshez használható felhasználói fiók létrehozását.

Hitelesítőadat-hozzáférési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja ellopni a fiókneveket és a jelszavakat a szervezettől.

Több sikertelen bejelentkezési kísérlet

A sikertelen bejelentkezési kísérletek egy fiók feltörésére tett kísérletre utalhatnak. A sikertelen bejelentkezések azonban normális viselkedést is okozhatnak. Például ha egy felhasználó tévedésből helytelen jelszót adott meg. A pontosság és a riasztás csak akkor érhető el, ha erős jelzést ad a behatolási kísérletről, Felhőhöz készült Defender Apps a szervezet minden felhasználója számára meghatározza a bejelentkezési szokások alapkonfigurációját, és csak akkor küld riasztást, ha a rendszer szokatlan viselkedést észlel.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

Ez a szabályzat a felhasználó normál bejelentkezési viselkedésének megismerésén alapul. Ha a rendszer eltérést észlel a normától, riasztás aktiválódik. Ha az észlelés azt látja, hogy ugyanaz a viselkedés folytatódik, a riasztás csak egyszer lesz elindítva.

  1. TP (az MFA sikertelen): Ha meg tudja erősíteni, hogy az MFA megfelelően működik, ez egy találgatásos támadásra tett kísérlet jele lehet.

    Javasolt műveletek:

    1. Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.
    2. Keresse meg a sikertelen hitelesítést végrehajtó alkalmazást, és konfigurálja újra.
    3. Keresse meg a tevékenység ideje körül bejelentkezett többi felhasználót, mert azokat is veszélyeztethetik. Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. B-TP (az MFA sikertelen): Ha meg tudja erősíteni, hogy a riasztást az MFA-val kapcsolatos probléma okozta.

    Javasolt művelet: Hozzon létre egy forgatókönyvet Power Automate használatával, hogy kapcsolatba lépjen a felhasználóval, és ellenőrizze, hogy problémái vannak-e az MFA-val.

  3. B-TP (helytelenül konfigurált alkalmazás): Ha meg tudja erősíteni, hogy egy helytelenül konfigurált alkalmazás többször próbál csatlakozni egy szolgáltatáshoz lejárt hitelesítő adatokkal.

    Javasolt művelet: A riasztás elvetése.

  4. B-TP (Jelszó módosítva): Ha meg tudja erősíteni, hogy egy felhasználó nemrég módosította a jelszavát, de az nem befolyásolta a hálózati megosztások hitelesítő adatait.

    Javasolt művelet: A riasztás elvetése.

  5. B-TP (Biztonsági teszt): Ha meg tudja erősíteni, hogy biztonsági vagy behatolási tesztet végeznek a biztonsági elemzők a szervezet nevében.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet, ha további biztonsági réseket keres, például a riasztást a következő riasztások egyike követi: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy ritkábban használt országból származó tevékenység.
  2. Tekintse át a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkkal:
    • Operációs rendszer és verzió
    • Böngésző és verzió
    • IP-cím és hely
  3. Azonosítsa a forrás IP-címét vagy helyét, ahol a hitelesítési kísérlet történt.
  4. Állapítsa meg, hogy a felhasználó nemrég módosította-e a jelszavát, és győződjön meg arról, hogy minden alkalmazás és eszköz rendelkezik a frissített jelszóval.

Hitelesítő adatok szokatlan hozzáadása egy OAuth-alkalmazáshoz

Ez az észlelés azonosítja a rendszerjogosított hitelesítő adatok gyanús hozzáadását egy OAuth-alkalmazáshoz. Ez azt jelezheti, hogy egy támadó feltörte az alkalmazást, és rosszindulatú tevékenységhez használja.

Tanulás időszak

Tanulás a szervezet környezetéhez hét nap szükséges, amely alatt nagy mennyiségű riasztásra számíthat.

Szokatlan isP egy OAuth-alkalmazáshoz

Az észlelés azonosítja a felhőalkalmazáshoz csatlakozó OAuth-alkalmazást egy olyan szolgáltatótól, amely nem gyakori az alkalmazás esetében. Ez azt jelezheti, hogy egy támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtására a felhőalkalmazásokon.

Tanulás időszak

Az észlelés tanulási időtartama 30 nap.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenység nem az OAuth-alkalmazás jogszerű tevékenysége volt, vagy hogy ezt az isp-t nem használja a jogszerű OAuth-alkalmazás.

    Javasolt művelet: Vonja vissza az OAuth-alkalmazás összes hozzáférési jogkivonatát, és vizsgálja meg, hogy egy támadó hozzáfér-e OAuth hozzáférési jogkivonatok létrehozásához.

  2. FP: Ha meg tudja erősíteni, hogy a tevékenységet jogszerűen hajtotta végre az eredeti OAuth-alkalmazás.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az OAuth-alkalmazás által végrehajtott tevékenységeket.

  2. Vizsgálja meg, hogy a támadónak van-e hozzáférése OAuth hozzáférési jogkivonatok létrehozásához.

Gyűjtési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja összegyűjteni az érdeklődésre számot tartó adatokat a szervezetétől.

Több Power BI jelentésmegosztási tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú megosztási jelentési tevékenységet végzett Power BI az alapkonfigurációhoz képest. Ez arra utalhat, hogy megkísérelték megsérteni a szervezetét.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: Megosztási hozzáférés eltávolítása Power BI. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor felfüggesztheti a felhasználót, megjelölheti a felhasználót sérültként, és alaphelyzetbe állíthatja a jelszavát.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a tevékenységnaplót, hogy jobban megismerhesse a felhasználó által végrehajtott egyéb tevékenységeket. Tekintse meg azt az IP-címet, amelyről bejelentkezett, és az eszköz adatait.
  2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba Power BI csapatával vagy Information Protection csapatával.

Gyanús Power BI-jelentésmegosztás

Olyan tevékenységek, amelyek azt jelzik, hogy egy felhasználó megosztott egy Power BI jelentést, amely az NLP használatával azonosított bizalmas adatokat tartalmazhat a jelentés metaadatainak elemzéséhez. A jelentést megosztották egy külső e-mail-címmel, közzétették a weben, vagy egy pillanatképet egy külsőleg előfizetett e-mail-címre kézbesítettek. Ez arra utalhat, hogy megkísérelték megsérteni a szervezetét.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: Megosztási hozzáférés eltávolítása Power BI. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor felfüggesztheti a felhasználót, megjelölheti a felhasználót sérültként, és alaphelyzetbe állíthatja a jelszavát.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a tevékenységnaplót, hogy jobban megismerhesse a felhasználó által végrehajtott egyéb tevékenységeket. Tekintse meg azt az IP-címet, amelyről bejelentkezett, és az eszköz adatait.
  2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba Power BI csapatával vagy Information Protection csapatával.

Szokatlan megszemélyesített tevékenység (felhasználó szerint)

Egyes szoftverekben lehetőség van arra, hogy más felhasználók megszemélyesíthessenek más felhasználókat. Az e-mail-szolgáltatások például lehetővé teszik, hogy más felhasználók e-maileket küldjenek a nevükben. Ezt a tevékenységet gyakran használják a támadók adathalász e-mailek létrehozására a szervezettel kapcsolatos információk kinyerésére tett kísérlet során. Felhőhöz készült Defender Alkalmazások létrehoznak egy alapkonfigurációt a felhasználó viselkedése alapján, és egy tevékenységet hoznak létre, amikor szokatlan megszemélyesítési tevékenységet észlelnek.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtotta végre a szokatlan tevékenységeket, vagy több tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: A riasztás elvetése.

  3. FP: Ha meg tudja erősíteni, hogy az alkalmazások( például Teams) jogszerűen megszemélyesítették a felhasználót.

    Javasolt művelet: Tekintse át a műveleteket, és szükség esetén zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet és riasztást, hogy további biztonsági réseket jelez-e.
  2. Tekintse át a megszemélyesítési tevékenységeket a potenciális rosszindulatú tevékenységek azonosítása érdekében.
  3. Tekintse át a delegált hozzáférés konfigurációját.

Kiszivárgási riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő adatokat próbál meg ellopni a szervezettől.

Gyanús beérkezett üzenetek továbbítása

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó hozzáférést szerzett egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. A manipulációs szabályok, például az összes vagy adott e-mail továbbítása egy másik e-mail-fiókba az információk szervezetből való kiszivárgását kísérelhetik meg. Felhőhöz készült Defender Alkalmazások profilt adnak a környezethez, és riasztásokat aktiválnak, ha gyanús postaláda-kezelési szabályokat észlelnek a felhasználó beérkezett üzenetek mappájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja győződni arról, hogy létrejött egy rosszindulatú levelezési továbbítási szabály, és a fiók biztonsága sérült.

    Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a továbbítási szabály eltávolítása.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználó létrehozott egy továbbítási szabályt egy új vagy személyes külső e-mail fiókba jogos okokból.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet a biztonsági rés további jelzéseiért, például a riasztást egy Lehetetlen utazás riasztás követi. Keresse a következőt:

    1. Új SMTP-továbbítási szabályok az alábbiak szerint:
      • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például az "Összes e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például egy alig látható "." névtől. A továbbítási szabálynevek üresek is lehetnek, és a továbbító címzett lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Az észlelés után használhatja ezt a hasznos blogbejegyzést a rejtett szabályok postaládákból való törléséről.
      • Ha ismeretlen belső vagy külső e-mail-címre ismeretlen továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókját feltörték.
    2. Új levelezési szabályok, például "az összes törlése", az "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például "...".

  2. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

  3. Tekintse át a továbbított üzenetek listáját Exchange Online üzenetkövetés használatával.

Szokatlan fájlletöltés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlletöltést hajtott végre egy felhőbeli tárolóplatformról az alapkonfigurációhoz képest. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérletről van szó. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy törvényes felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlletöltési tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: Zárja be a riasztást.

  3. FP (Szoftverszinkronizálás): Ha meg tudja erősíteni, hogy a szoftver (például a OneDrive) szinkronizálva van egy külső biztonsági másolattal, amely a riasztást okozta.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Tekintse át a letöltési tevékenységeket, és hozzon létre egy listát a letöltött fájlokról.
  2. Tekintse át a letöltött fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlhozzáférés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlhozzáférést végzett SharePoint vagy OneDrive olyan fájlokhoz, amelyek pénzügyi adatokat vagy hálózati adatokat tartalmaznak az alaptervhez képest. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérlet, akár pénzügyi célokra, akár hitelesítő adatokhoz való hozzáféréshez és oldalirányú mozgáshoz. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

A tanulási időszak a felhasználó tevékenységétől függ. A tanulási időszak általában 21 és 45 nap között van a legtöbb felhasználó számára.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy törvényes felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlhozzáférési tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Tekintse át a hozzáférési tevékenységeket, és hozzon létre egy listát a megnyitott fájlokról.
  2. Tekintse át a megnyitott fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlmegosztási tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlmegosztási műveletet hajtott végre egy felhőbeli tárolóplatformon az alapkonfigurációhoz képest. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérletről van szó. Felhőhöz készült Defender Alkalmazások alapkonfigurációt hoznak létre a felhasználó viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy törvényes felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlmegosztási tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Tekintse át a megosztási tevékenységeket, és hozzon létre egy listát a megosztott fájlokról.
  2. Tekintse át a megosztott fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.
  3. Hozzon létre egy fájlszabályzatot hasonló dokumentumokhoz a bizalmas fájlok jövőbeli megosztásának észleléséhez.

Hatásriasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja manipulálni, megszakítani vagy megsemmisíteni a szervezet rendszereit és adatait.

Több virtuálisgép-törlési tevékenység

Egyetlen munkamenetben végzett tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-törlést hajtott végre az alapkonfigurációval összehasonlítva. Több virtuális gép törlése is jelezheti a környezet megzavarására vagy megsemmisítésére tett kísérletet. A virtuális gépek törlésének számos normál forgatókönyve van.

TP, B-TP vagy FP?

Annak érdekében, hogy a pontosság és a riasztás csak akkor legyen jobb, ha erős biztonsági rést jelez, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében, és csak akkor, ha szokatlan viselkedést észlel.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a riasztások nem aktiválódnak új helyeken.

  • TP: Ha meg tudja erősíteni, hogy a törlések jogosulatlanok voltak.

    Javasolt művelet: Felfüggesztheti a felhasználót, alaphelyzetbe állíthatja a jelszavát, és rosszindulatú fenyegetéseket kereshet az összes eszközön. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás hatókörét.

  • B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult a törlési tevékenységek végrehajtására.

    Javasolt művelet: Zárja be a riasztást.

A szabálysértés hatókörének megismerése

  1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
  2. Tekintse át az összes felhasználói tevékenységet a biztonsági rés további jelzéseiért, például a riasztást a következő riasztások valamelyike követi: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy ritkán használt országból származó tevékenység.

Zsarolóprogram-tevékenység

A zsarolóvírus egy kibertámadás, amelyben egy támadó kizárja az áldozatokat az eszközeikről, vagy blokkolja őket a fájlok elérésében, amíg az áldozat váltságdíjat nem fizet. A zsarolóprogramokat rosszindulatú megosztott fájl vagy feltört hálózat terjesztheti. Felhőhöz készült Defender Az alkalmazások biztonsági kutatási szakértelmet, fenyegetésfelderítést és tanult viselkedési mintákat használnak a zsarolóprogramok tevékenységének azonosításához. A fájlfeltöltések vagy fájltörlések magas aránya például olyan titkosítási folyamatot jelenthet, amely gyakori a zsarolóprogram-műveletekben.

Ez az észlelés alapkonfigurációt hoz létre a szervezet minden felhasználójának normál működési mintáiról, például arról, hogy a felhasználó mikor fér hozzá a felhőhöz, és hogy mit végeznek általában a felhőben.

A Felhőhöz készült Defender Apps automatikus fenyegetésészlelési szabályzatai a csatlakozás pillanatától kezdve a háttérben futnak. Biztonsági kutatási szakértelmünkkel azonosítjuk a szervezet zsarolóprogram-tevékenységét tükröző viselkedési mintákat, Felhőhöz készült Defender Apps átfogó lefedettséget nyújt a kifinomult zsarolóvírus-támadások ellen.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem a felhasználó hajtotta végre.

    Javasolt művelet: A felhasználó felfüggesztése, a felhasználó megjelölése sérültként, és jelszó kérése.

  2. FP (Szokatlan viselkedés): A felhasználó rövid időn belül jogszerűen hajtott végre több törlési és feltöltési tevékenységet hasonló fájlokhoz.

    Javasolt művelet: Miután áttekintette a tevékenységnaplót, és meggyőződött arról, hogy a fájlkiterjesztések nem gyanúsak, zárja be a riasztást.

  3. FP (Gyakori ransomware fájlkiterjesztés): Ha meg tudja erősíteni, hogy az érintett fájlok kiterjesztései megegyeznek egy ismert zsarolóprogram-kiterjesztéssel.

    Javasolt művelet: Lépjen kapcsolatba a felhasználóval, győződjön meg arról, hogy a fájlok biztonságban vannak, majd zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a tevékenységnaplóban a biztonsági rések egyéb mutatóit, például a fájlok tömeges letöltését vagy tömeges törlését.
  2. Ha Végponthoz készült Microsoft Defender használ, tekintse át a felhasználó számítógépére vonatkozó riasztásokat, és ellenőrizze, hogy észleltek-e kártékony fájlokat.
  3. Keressen kártékony fájlfeltöltési és -megosztási tevékenységeket a tevékenységnaplóban.

Szokatlan fájltörlési tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan fájltörlési tevékenységet hajtott végre az alapkonfigurációhoz képest. Ez zsarolóprogram-támadásra utalhat. A támadók például titkosíthatják a felhasználó fájljait, és törölhetik az összes eredeti fájlt, így csak azokat a titkosított verziókat hagyhatják meg, amelyekkel az áldozat váltságdíjfizetésre kényszeríthető. Felhőhöz készült Defender Alkalmazások létrehoznak egy alapkonfigurációt a felhasználó normál viselkedése alapján, és riasztást aktiválnak a szokatlan viselkedés észlelésekor.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a rendszer nem aktivál riasztásokat az új helyeken.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogosult felhasználó hajtotta végre.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájltörlési tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át a törlési tevékenységeket, és hozzon létre egy listát a törölt fájlokról. Ha szükséges, állítsa helyre a törölt fájlokat.
  2. Forgatókönyvet is létrehozhat Power Automate használatával, amellyel kapcsolatba léphet a felhasználókkal és a felettesekkel a tevékenység ellenőrzéséhez.

Vizsgálat prioritási pontszámának növelése (előzetes verzió)

A riasztásokat aktiváló rendellenes tevékenységek és tevékenységek pontszámot kapnak a felhasználó súlyossága, felhasználói hatása és viselkedéselemzése alapján. Az elemzés a bérlők többi felhasználója alapján történik.

Ha egy adott felhasználó vizsgálati prioritási pontszáma jelentősen és rendellenesen növekszik, a riasztás aktiválódik.

Ez a riasztás lehetővé teszi az olyan lehetséges incidensek észlelését, amelyeket olyan tevékenységek jellemeznek, amelyek nem feltétlenül aktiválnak konkrét riasztásokat, de gyanús viselkedést halmoznak fel a felhasználó számára.

Tanulás időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely során a riasztások nem aktiválódnak a pontszám növeléséhez.

TP, B-TP vagy FP?

  1. TP: Ha meg tudja erősíteni, hogy a felhasználó tevékenységei nem jogszerűek.

    Javasolt művelet: Függessze fel a felhasználót, jelölje meg a felhasználót sérültként, és állítsa alaphelyzetbe a jelszavát.

  2. B-TP: Ha meg tudja erősíteni, hogy a felhasználó valóban jelentősen eltért a szokásos viselkedéstől, de nincs potenciális behatolás.

  3. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtotta végre a szokatlan tevékenységeket, vagy több tevékenységet, mint a megállapított alapkonfiguráció.

    Javasolt művelet: A riasztás elvetése.

A biztonsági incidens hatókörének megismerése

  1. Tekintse át az összes felhasználói tevékenységet és riasztást, hogy további biztonsági réseket jelez-e.

Lásd még

Kockázatos felhasználók vizsgálata