Oktatóanyag: Gyanús felhasználói tevékenység észlelése viselkedéselemzéssel (UEBA)
Felhőhöz készült Microsoft Defender Az alkalmazások a támadási gyilkossági lánc legjobb észleléseit biztosítják a feltört felhasználók, a belső fenyegetések, a kiszivárgás, a zsarolóprogramok és egyebek számára. Átfogó megoldásunk több észlelési módszer, köztük az anomália, a viselkedéselemzés (UEBA) és a szabályalapú tevékenységészlelések kombinálásával érhető el, hogy átfogó képet nyújtsunk arról, hogyan használják a felhasználók az alkalmazásokat a környezetben.
Miért fontos észlelni a gyanús viselkedést? A felhőkörnyezet módosítására képes felhasználó hatása jelentős lehet, és közvetlenül befolyásolhatja a vállalkozása működtetésének képességét. Például a kulcsfontosságú vállalati erőforrások, például a nyilvános webhelyet vagy szolgáltatást futtató kiszolgálók, amelyek az ügyfeleknek nyújtanak, veszélybe kerülhetnek.
A több forrásból rögzített adatok használatával a Felhőhöz készült Defender-alkalmazások elemzik az adatokat a szervezet alkalmazás- és felhasználói tevékenységeinek kinyeréséhez, így a biztonsági elemzők betekintést nyerhetnek a felhő használatába. Az összegyűjtött adatok összefüggésben vannak, szabványosítva és kiegészítve a fenyegetésfelderítéssel, a tartózkodási hellyel és sok más részlettel, hogy pontos és következetes képet nyújtsanak a gyanús tevékenységekről.
Ezért az észlelések előnyeinek teljes kihasználásához először konfigurálja a következő forrásokat:
- Tevékenységnapló
Az API-hoz csatlakoztatott alkalmazások tevékenységei. - Felderítési napló
A tűzfal- és proxyforgalmi naplókból kinyert tevékenységek, amelyeket a rendszer továbbít a Felhőhöz készült Defender-alkalmazásoknak. A naplókat a rendszer több mint 90 kockázati tényező alapján elemzi a felhőalkalmazás-katalógusban, rangsorolja és pontozza. - Proxynapló
A feltételes hozzáférésű alkalmazásvezérlő alkalmazások tevékenységei.
Ezután érdemes finomhangolni a szabályzatokat. A következő szabályzatok finomhangolhatók szűrők, dinamikus küszöbértékek (UEBA) beállításával az észlelési modellek betanításához, valamint a gyakori hamis pozitív észlelések csökkentéséhez szükséges elnyomásokkal:
- Annak észlelődése, hogy a rendszer nem észlelt
- A Cloud Discovery anomáliadetektálási funkciója
- Szabályalapú tevékenységészlelés
Ebben az oktatóanyagban megtudhatja, hogyan hangolhatja a felhasználói tevékenységészleléseket a valódi biztonsági rések azonosításához és a nagy mennyiségű hamis pozitív észlelésből eredő riasztási fáradtság csökkentéséhez:
1. fázis: IP-címtartományok konfigurálása
Az egyes szabályzatok konfigurálása előtt célszerű úgy konfigurálni az IP-tartományokat, hogy azok bármilyen gyanús felhasználói tevékenységészlelési szabályzat finomhangolásához használhatók legyenek.
Mivel az IP-címadatok szinte minden vizsgálathoz elengedhetetlenek, az ismert IP-címek konfigurálása segít a gépi tanulási algoritmusoknak azonosítani az ismert helyeket, és a gépi tanulási modellek részeként figyelembe venni őket. Ha például hozzáadja a VPN IP-címtartományát, a modell megfelelően osztályozza ezt az IP-tartományt, és automatikusan kizárja azt a lehetetlen utazási észlelésekből, mert a VPN-hely nem a felhasználó valódi helyét jelöli.
Megjegyzés: A konfigurált IP-tartományok nem korlátozódnak az észlelésekre, és Felhőhöz készült Defender alkalmazásokban olyan területeken használják őket, mint például a tevékenységnapló tevékenységei, a feltételes hozzáférés stb. Ezt tartsa szem előtt a tartományok konfigurálásakor. Így például a fizikai irodai IP-címek azonosítása lehetővé teszi a naplók és riasztások megjelenítésének és vizsgálatának testreszabását.
A beépített anomáliadetektálási riasztások áttekintése
Felhőhöz készült Defender Alkalmazások anomáliadetektálási riasztások készletét tartalmazzák a különböző biztonsági forgatókönyvek azonosításához. Ezek az észlelések automatikusan engedélyezve vannak a dobozon kívül, és a megfelelő alkalmazás-összekötők csatlakoztatása után megkezdik a felhasználói tevékenységek profilkészítését és riasztások generálását.
Első lépésként ismerkedjen meg a különböző észlelési szabályzatokkal, rangsorolja a szervezet szempontjából leginkább releváns forgatókönyveket, és ennek megfelelően finomhangolja a szabályzatokat.
2. fázis: Anomáliadetektálási szabályzatok hangolása
Számos beépített anomáliadetektálási szabályzat érhető el Felhőhöz készült Defender alkalmazásokban, amelyek előre konfigurálva vannak a gyakori biztonsági használati esetekhez. Szánjon egy kis időt, hogy megismerkedjen a népszerűbb észlelésekkel, például:
- Lehetetlen utazás
Ugyanazon felhasználó tevékenységei különböző helyeken, a két hely közötti várható utazási időnél rövidebb időtartamon belül. - Ritka országból származó tevékenység
Olyan helyről származó tevékenység, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg. - Kártevők észlelése
Megvizsgálja a felhőalkalmazásokban lévő fájlokat, és gyanús fájlokat futtat a Microsoft fenyegetésintelligencia-motorján keresztül annak megállapításához, hogy azok ismert kártevőkkel vannak-e társítva. - Zsarolóprogram-tevékenység
Fájlfeltöltések a felhőbe, amelyek zsarolóprogrammal fertőzöttek lehetnek. - Gyanús IP-címekről származó tevékenység
Olyan IP-címről származó tevékenység, amelyet a Microsoft Threat Intelligence kockázatosnak talált. - Gyanús beérkezett üzenetek továbbítása
Észleli a felhasználó beérkezett üzenetek mappájában beállított gyanús levelezési szabályokat. - Szokatlan, több fájlletöltési tevékenység
Több fájlletöltési tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációval kapcsolatban, ami behatolási kísérletre utalhat. - Szokatlan adminisztratív tevékenységek
Több felügyeleti tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációval kapcsolatban, ami a feltörési kísérletre utalhat.
Az észlelések és a műveletek teljes listájáért tekintse meg az anomáliadetektálási szabályzatokat.
Feljegyzés
Míg az anomáliadetektálások némelyike elsősorban a problémás biztonsági forgatókönyvek észlelésére összpontosít, mások segíthetnek azonosítani és kivizsgálni a rendellenes felhasználói viselkedést, amely nem feltétlenül jelent kompromisszumot. Az ilyen észlelésekhez létrehoztunk egy másik, "viselkedésnek" nevezett adattípust, amely a Microsoft Defender XDR speciális vadászati felületén érhető el. További információ: Viselkedések.
Miután megismerte a szabályzatokat, érdemes megfontolnia, hogyan szeretné finomhangolni őket a szervezet konkrét követelményeihez, hogy jobban megcélozza a további vizsgálandó tevékenységeket.
Hatókörszabályzatok adott felhasználókra vagy csoportokra
Az adott felhasználókra vonatkozó hatókörkezelési szabályzatok segíthetnek csökkenteni a szervezet szempontjából nem releváns riasztások zaját. Minden szabályzat konfigurálható úgy, hogy bizonyos felhasználókat és csoportokat is belefoglaljon vagy kizárjon, például az alábbi példákban:
- Támadásszimulációk
Számos szervezet használ felhasználót vagy csoportot a támadások folyamatos szimulálásához. Nyilvánvaló, hogy nincs értelme folyamatosan riasztásokat kapni ezeknek a felhasználóknak a tevékenységeiről. Ezért konfigurálhatja a szabályzatokat úgy, hogy kizárják ezeket a felhasználókat vagy csoportokat. Ez segít a gépi tanulási modelleknek azonosítani ezeket a felhasználókat, és ennek megfelelően finomhangolni a dinamikus küszöbértékeket. - Célzott észlelések
Előfordulhat, hogy a szervezet érdeklődik a VIP-felhasználók egy adott csoportjának vizsgálatában, például egy rendszergazda vagy egy CXO-csoport tagjainál. Ebben a forgatókönyvben létrehozhat egy szabályzatot az észlelni kívánt tevékenységekhez, és dönthet úgy, hogy csak az önt érdeklő felhasználókat vagy csoportokat tartalmazza.
- Támadásszimulációk
Rendellenes bejelentkezési észlelések hangolása
Egyes szervezetek meg szeretnék tekinteni a sikertelen bejelentkezési tevékenységekből származó riasztásokat, mivel azt jelezhetik, hogy valaki egy vagy több felhasználói fiókot próbál meg megcélzni. Másrészt a felhasználói fiókokra irányuló találgatásos támadások mindig előfordulnak a felhőben, és a szervezetek nem tudják megakadályozni őket. Ezért a nagyobb szervezetek általában úgy döntenek, hogy csak olyan gyanús bejelentkezési tevékenységekről kapnak riasztásokat, amelyek sikeres bejelentkezési tevékenységeket eredményeznek, mivel ezek valódi kompromisszumokat jelenthetnek.
Az identitáslopás a biztonság kulcsfontosságú forrása, és jelentős fenyegetési vektort jelent a szervezet számára. A lehetetlen utazás, a gyanús IP-címekről származó tevékenységek és a ritkán előforduló ország-/régióészlelési riasztások segítenek felderíteni azokat a tevékenységeket, amelyek arra utalnak, hogy egy fiók potenciálisan sérült.
A lehetetlen utazásérzékenységének finomhangolása Konfigurálja a bizalmassági csúszkát, amely meghatározza a rendellenes viselkedésre alkalmazott elnyomások szintjét a lehetetlen utazási riasztás aktiválása előtt. A magas megbízhatóság iránt érdeklődő szervezeteknek például érdemes megfontolni a bizalmassági szint növelését. Másrészről, ha a szervezet sok olyan felhasználóval rendelkezik, aki utazik, érdemes csökkenteni a bizalmassági szintet, hogy elnyomja a korábbi tevékenységekből tanult tevékenységeket a felhasználók gyakori helyéről. A következő bizalmassági szintek közül választhat:
- Alacsony: Rendszer-, bérlő- és felhasználói letiltások
- Közepes: Rendszer- és felhasználói letiltások
- Magas: Csak rendszerelnyomások
Ahol:
Letiltás típusa Leírás Rendszer Beépített észlelések, amelyek mindig el vannak tiltva. Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezetében korábban riasztást kapott internetszolgáltató tevékenységeit. Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.
3. fázis: A felhőfelderítési anomáliadetektálási szabályzatok finomhangolása
Az anomáliadetektálási szabályzatokhoz hasonlóan számos beépített felhőfelderítési anomáliadetektálási szabályzat létezik, amelyeket finomhangolhat. A nem felügyelt alkalmazásokra vonatkozó adatkiszivárgási szabályzat például riasztást küld, ha az adatok kiszivárgása nem felügyelt alkalmazásba történik, és előre konfigurálva van a biztonsági területen a Microsoft felhasználói élménye alapján.
Finomhangolhatja azonban a beépített szabályzatokat, vagy létrehozhat saját szabályzatokat, hogy segítsen azonosítani azokat a forgatókönyveket, amelyek vizsgálatára lehet szüksége. Mivel ezek a szabályzatok a felhőfelderítési naplókon alapulnak, különböző hangolási képességekkel rendelkeznek, amelyek jobban összpontosítanak az alkalmazások rendellenes viselkedésére és adatkiszivárgására.
A használat figyelésének finomhangolása
Állítsa be a használati szűrőket az alapkonfiguráció, a hatókör és a tevékenységidőszak szabályozásához a rendellenes viselkedés észleléséhez. Előfordulhat például, hogy a vezetői szintű alkalmazottakkal kapcsolatos rendellenes tevékenységekről szeretne riasztásokat kapni.Riasztás érzékenységének finomhangolása
A riasztások kifáradásának elkerülése érdekében konfigurálja a riasztások érzékenységét. A bizalmassági csúszkával szabályozhatja a hetente 1000 felhasználónként küldött magas kockázatú riasztások számát. A nagyobb érzékenységhez kevesebb varianciára van szükség ahhoz, hogy anomáliának tekintsük, és több riasztást generáljon. Általánosságban elmondható, hogy a bizalmas adatokhoz nem hozzáférő felhasználók számára alacsony érzékenységet kell beállítani.
4. fázis: Szabályalapú észlelési (tevékenységi) szabályzatok hangolása
A szabályalapú észlelési szabályzatok lehetővé teszik az anomáliadetektálási szabályzatok szervezetspecifikus követelményekkel való kiegészítését. Azt javasoljuk, hogy hozzon létre szabályokon alapuló szabályzatokat az egyik tevékenységszabályzat-sablonunkkal (lépjen a Vezérlősablonok> elemre, és állítsa be a Típusszűrőt tevékenységszabályzatra), majd konfigurálja őket a környezet számára nem szokásos viselkedések észlelésére. Például olyan szervezetek esetében, amelyek nem rendelkeznek jelenléttel egy adott országban/régióban, érdemes lehet olyan szabályzatot létrehozni, amely észleli az adott országból/régióból származó rendellenes tevékenységeket, és riasztást küld róluk. Azok számára, akik nagy ágakkal rendelkeznek az adott országban/régióban, az adott országból/régióból származó tevékenységek normálisak lennének, és nem lenne értelme észlelni az ilyen tevékenységeket.
- Tevékenységkötet hangolása
Válassza ki a szükséges tevékenységmennyiséget, mielőtt az észlelés riasztást ad. Az ország/régió példáját használva, ha nincs jelen egy országban/régióban, még egyetlen tevékenység is jelentős, és riasztást igényel. Az egyszeri bejelentkezési hiba azonban emberi hiba lehet, és csak akkor lehet érdekes, ha rövid időn belül sok hiba történik. - Tevékenységszűrők finomhangolása
Állítsa be a szükséges szűrőket a riasztáshoz használni kívánt tevékenység típusának észleléséhez. Ha például egy országból/régióból származó tevékenységet szeretne észlelni, használja a Location paramétert. - Riasztások hangolása
A riasztások kifáradásának elkerülése érdekében állítsa be a napi riasztási korlátot.
5. fázis: Riasztások konfigurálása
Feljegyzés
2022. december 15-e óta a riasztások/SMS-ek (szöveges üzenetek) elavultak. Ha szöveges riasztásokat szeretne kapni, a Microsoft Power Automate-et kell használnia az egyéni riasztások automatizálásához. További információ: Integrálás a Microsoft Power Automate-rel egyéni riasztás-automatizáláshoz.
Dönthet úgy, hogy az igényeinek leginkább megfelelő formátumban és adathordozón kapja meg a riasztásokat. Ha a nap bármely időszakában szeretne azonnali riasztásokat kapni, érdemes lehet e-mailben megkapni őket.
Emellett érdemes lehet elemezni a riasztásokat a szervezet más termékei által aktivált egyéb riasztások kontextusában, így holisztikus képet kaphat egy lehetséges fenyegetésről. Érdemes lehet például korrelálni a felhőalapú és a helyszíni események között, hogy kiderüljön, van-e más enyhítő bizonyíték, amely megerősítheti a támadást.
Emellett egyéni riasztás-automatizálást is aktiválhat a Microsoft Power Automate-integrációnk segítségével. Beállíthatja például, hogy egy forgatókönyv automatikusan hozzon létre egy hibát a ServiceNow-ban, vagy küldjön egy jóváhagyási e-mailt egy egyéni szabályozási művelet végrehajtásához riasztás aktiválásakor.
A riasztások konfigurálásához kövesse az alábbi irányelveket:
- E-mail
Válassza ezt a lehetőséget a riasztások e-mailben való fogadásához. - SIEM
Számos SIEM-integrációs lehetőség létezik, például a Microsoft Sentinel, a Microsoft Graph Biztonsági API és más általános SIEM-ek. Válassza ki a követelményeknek leginkább megfelelő integrációt. - A Power Automate automatizálása
Hozza létre a szükséges automatizálási forgatókönyveket, és állítsa be a szabályzat Power Automate-műveletre vonatkozó riasztásaként.
6. fázis: Vizsgálat és szervizelés
Nagyszerű, beállította a szabályzatokat, és gyanús tevékenységriasztásokat kap. Mit kell tenni velük? Első lépésként lépéseket kell tennie a tevékenység vizsgálatához. Érdemes lehet például olyan tevékenységeket megvizsgálni, amelyek azt jelzik, hogy egy felhasználó sérült.
A védelem optimalizálása érdekében érdemes lehet automatikus szervizelési műveleteket beállítani a szervezetre vonatkozó kockázat minimalizálása érdekében. Szabályzataink lehetővé teszik az irányítási műveletek együttes alkalmazását a riasztásokra, hogy a szervezetre jelentett kockázat még a vizsgálat megkezdése előtt csökkenjen. Az elérhető műveleteket a szabályzat típusa határozza meg, beleértve az olyan műveleteket is, mint a felhasználó felfüggesztése vagy a kért erőforráshoz való hozzáférés letiltása.
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.
További információ
- Próbálja ki interaktív útmutatónkat: Fenyegetések észlelése és riasztások kezelése Felhőhöz készült Microsoft Defender-alkalmazásokkal