Oktatóanyag: Gyanús felhasználói tevékenység észlelése viselkedéselemzéssel (UEBA)

  • Cikk

Felhőhöz készült Microsoft Defender Az alkalmazások a támadási gyilkossági lánc legjobb észleléseit biztosítják a feltört felhasználók, a belső fenyegetések, a kiszivárgás, a zsarolóprogramok és egyebek számára. Átfogó megoldásunk több észlelési módszer, köztük az anomália, a viselkedéselemzés (UEBA) és a szabályalapú tevékenységészlelések kombinálásával érhető el, hogy átfogó képet nyújtsunk arról, hogyan használják a felhasználók az alkalmazásokat a környezetben.

Miért fontos észlelni a gyanús viselkedést? A felhőkörnyezet módosítására képes felhasználó hatása jelentős lehet, és közvetlenül befolyásolhatja a vállalkozása működtetésének képességét. Például a kulcsfontosságú vállalati erőforrások, például a nyilvános webhelyet vagy szolgáltatást futtató kiszolgálók, amelyek az ügyfeleknek nyújtanak, veszélybe kerülhetnek.

A több forrásból rögzített adatok használatával a Felhőhöz készült Defender-alkalmazások elemzik az adatokat a szervezet alkalmazás- és felhasználói tevékenységeinek kinyeréséhez, így a biztonsági elemzők betekintést nyerhetnek a felhő használatába. Az összegyűjtött adatok összefüggésben vannak, szabványosítva és kiegészítve a fenyegetésfelderítéssel, a tartózkodási hellyel és sok más részlettel, hogy pontos és következetes képet nyújtsanak a gyanús tevékenységekről.

Ezért az észlelések előnyeinek teljes kihasználásához először konfigurálja a következő forrásokat:

Ezután érdemes finomhangolni a szabályzatokat. A következő szabályzatok finomhangolhatók szűrők, dinamikus küszöbértékek (UEBA) beállításával az észlelési modellek betanításához, valamint a gyakori hamis pozitív észlelések csökkentéséhez szükséges elnyomásokkal:

  • Annak észlelődése, hogy a rendszer nem észlelt
  • A Cloud Discovery anomáliadetektálási funkciója
  • Szabályalapú tevékenységészlelés

Ebben az oktatóanyagban megtudhatja, hogyan hangolhatja a felhasználói tevékenységészleléseket a valódi biztonsági rések azonosításához és a nagy mennyiségű hamis pozitív észlelésből eredő riasztási fáradtság csökkentéséhez:

1. fázis: IP-címtartományok konfigurálása

Az egyes szabályzatok konfigurálása előtt célszerű úgy konfigurálni az IP-tartományokat, hogy azok bármilyen gyanús felhasználói tevékenységészlelési szabályzat finomhangolásához használhatók legyenek.

Mivel az IP-címadatok szinte minden vizsgálathoz elengedhetetlenek, az ismert IP-címek konfigurálása segít a gépi tanulási algoritmusoknak azonosítani az ismert helyeket, és a gépi tanulási modellek részeként figyelembe venni őket. Ha például hozzáadja a VPN IP-címtartományát, a modell megfelelően osztályozza ezt az IP-tartományt, és automatikusan kizárja azt a lehetetlen utazási észlelésekből, mert a VPN-hely nem a felhasználó valódi helyét jelöli.

Megjegyzés: A konfigurált IP-tartományok nem korlátozódnak az észlelésekre, és Felhőhöz készült Defender alkalmazásokban olyan területeken használják őket, mint például a tevékenységnapló tevékenységei, a feltételes hozzáférés stb. Ezt tartsa szem előtt a tartományok konfigurálásakor. Így például a fizikai irodai IP-címek azonosítása lehetővé teszi a naplók és riasztások megjelenítésének és vizsgálatának testreszabását.

A beépített anomáliadetektálási riasztások áttekintése

Felhőhöz készült Defender Alkalmazások anomáliadetektálási riasztások készletét tartalmazzák a különböző biztonsági forgatókönyvek azonosításához. Ezek az észlelések automatikusan engedélyezve vannak a dobozon kívül, és a megfelelő alkalmazás-összekötők csatlakoztatása után megkezdik a felhasználói tevékenységek profilkészítését és riasztások generálását.

Első lépésként ismerkedjen meg a különböző észlelési szabályzatokkal, rangsorolja a szervezet szempontjából leginkább releváns forgatókönyveket, és ennek megfelelően finomhangolja a szabályzatokat.

2. fázis: Anomáliadetektálási szabályzatok hangolása

Számos beépített anomáliadetektálási szabályzat érhető el Felhőhöz készült Defender alkalmazásokban, amelyek előre konfigurálva vannak a gyakori biztonsági használati esetekhez. Szánjon egy kis időt, hogy megismerkedjen a népszerűbb észlelésekkel, például:

  • Lehetetlen utazás
    Ugyanazon felhasználó tevékenységei különböző helyeken, a két hely közötti várható utazási időnél rövidebb időtartamon belül.
  • Ritka országból származó tevékenység
    Olyan helyről származó tevékenység, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg.
  • Kártevők észlelése
    Megvizsgálja a felhőalkalmazásokban lévő fájlokat, és gyanús fájlokat futtat a Microsoft fenyegetésintelligencia-motorján keresztül annak megállapításához, hogy azok ismert kártevőkkel vannak-e társítva.
  • Zsarolóprogram-tevékenység
    Fájlfeltöltések a felhőbe, amelyek zsarolóprogrammal fertőzöttek lehetnek.
  • Gyanús IP-címekről származó tevékenység
    Olyan IP-címről származó tevékenység, amelyet a Microsoft Threat Intelligence kockázatosnak talált.
  • Gyanús beérkezett üzenetek továbbítása
    Észleli a felhasználó beérkezett üzenetek mappájában beállított gyanús levelezési szabályokat.
  • Szokatlan, több fájlletöltési tevékenység
    Több fájlletöltési tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációval kapcsolatban, ami behatolási kísérletre utalhat.
  • Szokatlan adminisztratív tevékenységek
    Több felügyeleti tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációval kapcsolatban, ami a feltörési kísérletre utalhat.

Az észlelések és a műveletek teljes listájáért tekintse meg az anomáliadetektálási szabályzatokat.

Feljegyzés

Míg az anomáliadetektálások némelyike elsősorban a problémás biztonsági forgatókönyvek észlelésére összpontosít, mások segíthetnek azonosítani és kivizsgálni a rendellenes felhasználói viselkedést, amely nem feltétlenül jelent kompromisszumot. Az ilyen észlelésekhez létrehoztunk egy másik, "viselkedésnek" nevezett adattípust, amely a Microsoft Defender XDR speciális vadászati felületén érhető el. További információ: Viselkedések.

Miután megismerte a szabályzatokat, érdemes megfontolnia, hogyan szeretné finomhangolni őket a szervezet konkrét követelményeihez, hogy jobban megcélozza a további vizsgálandó tevékenységeket.

  1. Hatókörszabályzatok adott felhasználókra vagy csoportokra

    Az adott felhasználókra vonatkozó hatókörkezelési szabályzatok segíthetnek csökkenteni a szervezet szempontjából nem releváns riasztások zaját. Minden szabályzat konfigurálható úgy, hogy bizonyos felhasználókat és csoportokat is belefoglaljon vagy kizárjon, például az alábbi példákban:

    • Támadásszimulációk
      Számos szervezet használ felhasználót vagy csoportot a támadások folyamatos szimulálásához. Nyilvánvaló, hogy nincs értelme folyamatosan riasztásokat kapni ezeknek a felhasználóknak a tevékenységeiről. Ezért konfigurálhatja a szabályzatokat úgy, hogy kizárják ezeket a felhasználókat vagy csoportokat. Ez segít a gépi tanulási modelleknek azonosítani ezeket a felhasználókat, és ennek megfelelően finomhangolni a dinamikus küszöbértékeket.
    • Célzott észlelések
      Előfordulhat, hogy a szervezet érdeklődik a VIP-felhasználók egy adott csoportjának vizsgálatában, például egy rendszergazda vagy egy CXO-csoport tagjainál. Ebben a forgatókönyvben létrehozhat egy szabályzatot az észlelni kívánt tevékenységekhez, és dönthet úgy, hogy csak az önt érdeklő felhasználókat vagy csoportokat tartalmazza.

  2. Rendellenes bejelentkezési észlelések hangolása

    Egyes szervezetek meg szeretnék tekinteni a sikertelen bejelentkezési tevékenységekből származó riasztásokat, mivel azt jelezhetik, hogy valaki egy vagy több felhasználói fiókot próbál meg megcélzni. Másrészt a felhasználói fiókokra irányuló találgatásos támadások mindig előfordulnak a felhőben, és a szervezetek nem tudják megakadályozni őket. Ezért a nagyobb szervezetek általában úgy döntenek, hogy csak olyan gyanús bejelentkezési tevékenységekről kapnak riasztásokat, amelyek sikeres bejelentkezési tevékenységeket eredményeznek, mivel ezek valódi kompromisszumokat jelenthetnek.

    Az identitáslopás a biztonság kulcsfontosságú forrása, és jelentős fenyegetési vektort jelent a szervezet számára. A lehetetlen utazás, a gyanús IP-címekről származó tevékenységek és a ritkán előforduló ország-/régióészlelési riasztások segítenek felderíteni azokat a tevékenységeket, amelyek arra utalnak, hogy egy fiók potenciálisan sérült.

  3. A lehetetlen utazásérzékenységének finomhangolása Konfigurálja a bizalmassági csúszkát, amely meghatározza a rendellenes viselkedésre alkalmazott elnyomások szintjét a lehetetlen utazási riasztás aktiválása előtt. A magas megbízhatóság iránt érdeklődő szervezeteknek például érdemes megfontolni a bizalmassági szint növelését. Másrészről, ha a szervezet sok olyan felhasználóval rendelkezik, aki utazik, érdemes csökkenteni a bizalmassági szintet, hogy elnyomja a korábbi tevékenységekből tanult tevékenységeket a felhasználók gyakori helyéről. A következő bizalmassági szintek közül választhat:

    • Alacsony: Rendszer-, bérlő- és felhasználói letiltások
    • Közepes: Rendszer- és felhasználói letiltások
    • Magas: Csak rendszerelnyomások

    Ahol:

    Letiltás típusa Leírás
    Rendszer Beépített észlelések, amelyek mindig el vannak tiltva.
    Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezetében korábban riasztást kapott internetszolgáltató tevékenységeit.
    Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.

3. fázis: A felhőfelderítési anomáliadetektálási szabályzatok finomhangolása

Az anomáliadetektálási szabályzatokhoz hasonlóan számos beépített felhőfelderítési anomáliadetektálási szabályzat létezik, amelyeket finomhangolhat. A nem felügyelt alkalmazásokra vonatkozó adatkiszivárgási szabályzat például riasztást küld, ha az adatok kiszivárgása nem felügyelt alkalmazásba történik, és előre konfigurálva van a biztonsági területen a Microsoft felhasználói élménye alapján.

Finomhangolhatja azonban a beépített szabályzatokat, vagy létrehozhat saját szabályzatokat, hogy segítsen azonosítani azokat a forgatókönyveket, amelyek vizsgálatára lehet szüksége. Mivel ezek a szabályzatok a felhőfelderítési naplókon alapulnak, különböző hangolási képességekkel rendelkeznek, amelyek jobban összpontosítanak az alkalmazások rendellenes viselkedésére és adatkiszivárgására.

  1. A használat figyelésének finomhangolása
    Állítsa be a használati szűrőket az alapkonfiguráció, a hatókör és a tevékenységidőszak szabályozásához a rendellenes viselkedés észleléséhez. Előfordulhat például, hogy a vezetői szintű alkalmazottakkal kapcsolatos rendellenes tevékenységekről szeretne riasztásokat kapni.

  2. Riasztás érzékenységének finomhangolása
    A riasztások kifáradásának elkerülése érdekében konfigurálja a riasztások érzékenységét. A bizalmassági csúszkával szabályozhatja a hetente 1000 felhasználónként küldött magas kockázatú riasztások számát. A nagyobb érzékenységhez kevesebb varianciára van szükség ahhoz, hogy anomáliának tekintsük, és több riasztást generáljon. Általánosságban elmondható, hogy a bizalmas adatokhoz nem hozzáférő felhasználók számára alacsony érzékenységet kell beállítani.

4. fázis: Szabályalapú észlelési (tevékenységi) szabályzatok hangolása

A szabályalapú észlelési szabályzatok lehetővé teszik az anomáliadetektálási szabályzatok szervezetspecifikus követelményekkel való kiegészítését. Azt javasoljuk, hogy hozzon létre szabályokon alapuló szabályzatokat az egyik tevékenységszabályzat-sablonunkkal (lépjen a Vezérlősablonok> elemre, és állítsa be a Típusszűrőt tevékenységszabályzatra), majd konfigurálja őket a környezet számára nem szokásos viselkedések észlelésére. Például olyan szervezetek esetében, amelyek nem rendelkeznek jelenléttel egy adott országban/régióban, érdemes lehet olyan szabályzatot létrehozni, amely észleli az adott országból/régióból származó rendellenes tevékenységeket, és riasztást küld róluk. Azok számára, akik nagy ágakkal rendelkeznek az adott országban/régióban, az adott országból/régióból származó tevékenységek normálisak lennének, és nem lenne értelme észlelni az ilyen tevékenységeket.

  1. Tevékenységkötet hangolása
    Válassza ki a szükséges tevékenységmennyiséget, mielőtt az észlelés riasztást ad. Az ország/régió példáját használva, ha nincs jelen egy országban/régióban, még egyetlen tevékenység is jelentős, és riasztást igényel. Az egyszeri bejelentkezési hiba azonban emberi hiba lehet, és csak akkor lehet érdekes, ha rövid időn belül sok hiba történik.
  2. Tevékenységszűrők finomhangolása
    Állítsa be a szükséges szűrőket a riasztáshoz használni kívánt tevékenység típusának észleléséhez. Ha például egy országból/régióból származó tevékenységet szeretne észlelni, használja a Location paramétert.
  3. Riasztások hangolása
    A riasztások kifáradásának elkerülése érdekében állítsa be a napi riasztási korlátot.

5. fázis: Riasztások konfigurálása

Feljegyzés

2022. december 15-e óta a riasztások/SMS-ek (szöveges üzenetek) elavultak. Ha szöveges riasztásokat szeretne kapni, a Microsoft Power Automate-et kell használnia az egyéni riasztások automatizálásához. További információ: Integrálás a Microsoft Power Automate-rel egyéni riasztás-automatizáláshoz.

Dönthet úgy, hogy az igényeinek leginkább megfelelő formátumban és adathordozón kapja meg a riasztásokat. Ha a nap bármely időszakában szeretne azonnali riasztásokat kapni, érdemes lehet e-mailben megkapni őket.

Emellett érdemes lehet elemezni a riasztásokat a szervezet más termékei által aktivált egyéb riasztások kontextusában, így holisztikus képet kaphat egy lehetséges fenyegetésről. Érdemes lehet például korrelálni a felhőalapú és a helyszíni események között, hogy kiderüljön, van-e más enyhítő bizonyíték, amely megerősítheti a támadást.

Emellett egyéni riasztás-automatizálást is aktiválhat a Microsoft Power Automate-integrációnk segítségével. Beállíthatja például, hogy egy forgatókönyv automatikusan hozzon létre egy hibát a ServiceNow-ban, vagy küldjön egy jóváhagyási e-mailt egy egyéni szabályozási művelet végrehajtásához riasztás aktiválásakor.

A riasztások konfigurálásához kövesse az alábbi irányelveket:

  1. E-mail
    Válassza ezt a lehetőséget a riasztások e-mailben való fogadásához.
  2. SIEM
    Számos SIEM-integrációs lehetőség létezik, például a Microsoft Sentinel, a Microsoft Graph Biztonsági API és más általános SIEM-ek. Válassza ki a követelményeknek leginkább megfelelő integrációt.
  3. A Power Automate automatizálása
    Hozza létre a szükséges automatizálási forgatókönyveket, és állítsa be a szabályzat Power Automate-műveletre vonatkozó riasztásaként.

6. fázis: Vizsgálat és szervizelés

Nagyszerű, beállította a szabályzatokat, és gyanús tevékenységriasztásokat kap. Mit kell tenni velük? Első lépésként lépéseket kell tennie a tevékenység vizsgálatához. Érdemes lehet például olyan tevékenységeket megvizsgálni, amelyek azt jelzik, hogy egy felhasználó sérült.

A védelem optimalizálása érdekében érdemes lehet automatikus szervizelési műveleteket beállítani a szervezetre vonatkozó kockázat minimalizálása érdekében. Szabályzataink lehetővé teszik az irányítási műveletek együttes alkalmazását a riasztásokra, hogy a szervezetre jelentett kockázat még a vizsgálat megkezdése előtt csökkenjen. Az elérhető műveleteket a szabályzat típusa határozza meg, beleértve az olyan műveleteket is, mint a felhasználó felfüggesztése vagy a kért erőforráshoz való hozzáférés letiltása.

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.

További információ