A következőkre vonatkozik: Microsoft Cloud App Security szolgáltatáshozApplies to: Microsoft Cloud App Security

Azonnali viselkedési analytics és a rendellenességek észlelése beolvasásaGet instantaneous behavioral analytics and anomaly detection

Anomáliadetektálási szabályzatok a Microsoft Cloud App Security-a-beépített felhasználói és elemzését (UEBA) és a machine learning (gépi tanulás), így azonnal futtathatja a fejlett fenyegetésészlelés révén a teljes felhőalapú környezetben biztosít.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Automatikusan engedélyezettek, mert az új anomáliadetektálási szabályzat azonnali eredményeket azáltal, hogy azonnali észlelések, a felhasználók és a gépek, illetve hogy a hálózati eszközök számos tevékenységbeli anomáliákat célzó adja meg.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Az új szabályzatok emellett további adatokat a Cloud App Security motorban segítségével felgyorsíthatja a vizsgálat során, és tartalmazhat elleni folyamatos fenyegetések elérhetővé tehet.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Az anomáliadetektálási szabályzatok automatikusan engedélyezve vannak, de a Cloud App Security egy során melyik nem minden anomáliadetektálási fenyegetésészlelési riasztások aktiválódnak hét napos betanulási időszakra van.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. A későbbiekben minden munkamenetet összevet az elmúlt egy hónapban észlelt tevékenységekkel, az aktivitás idejével, IP-címével, az eszközökkel, illetve ezeknek a tevékenységeknek a kockázati pontszámával.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Ezek az észlelések az heurisztikus anomáliadetektálási motor, amely profilt készít a környezetről, és értesítést küld, amely a szervezet tevékenység ismert egy megtanult részét képezik.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Ezek az észlelések is használhatja a machine learning-algoritmusok készült profil, a felhasználók és a bejelentkezés a minta vakriasztások csökkentésének érdekében.These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Az anomáliák kiszűrése a felhasználói tevékenység vizsgálatával történik.Anomalies are detected by scanning user activity. A kockázatok kiértékelése megnézzük a több mint 30 különböző kockázati mutató módon több kockázati tényezők alapján csoportosítva:The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Kockázatos IP-címRisky IP address
  • Sikertelen bejelentkezésekLogin failures
  • Rendszergazdai tevékenységAdmin activity
  • Inaktív fiókokInactive accounts
  • Tartózkodási helyLocation
  • Lehetetlen utazásImpossible travel
  • Eszköz- és felhasználói ügynökDevice and user agent
  • Tevékenység gyakoriságaActivity rate

A szabályzat eredményei alapján biztonsági riasztások aktiválódnak.Based on the policy results, security alerts are triggered. A cloud App Security minden felhasználói munkamenetet megvizsgál a felhő riasztásokat, ha olyan esemény történik, amely eltér a szervezet az alaptervből vagy a felhasználó szokásos tevékenységétől.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

A portálon az anomáliadetektálási szabályzatok megtekintéséhez kattintson a vezérlő , majd házirendek.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

új anomáliadetektálási szabályzat

A következő anomáliadetektálási szabályzatok állnak rendelkezésre:The following anomaly detection policies are available:

Lehetetlen utazásImpossible travel

  • Az észlelés azonosítja a két felhasználói tevékenység (az egy vagy több munkamenet) származó földrajzilag távoli helyekről időnél rövidebb idő alatt, vett volna a felhasználót, hogy az első helyen a másodpercet jelző utazik hogy egy másik felhasználó használja ugyanazokat a hitelesítő adatokat.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Az észlelés a gépi tanulási algoritmus, amely figyelmen kívül hagyja a nyilvánvaló "vakriasztásokat" a lehetetlen utazás feltételt, például a VPN-EK és a szervezet más felhasználói által rendszeresen használt helyek hozzájáruló használja.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. Az észlelés egy hét nap, mely során egy új felhasználók tevékenységi mintáit megtanulja betanulási időszakra van.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Ritkán használt országból indított tevékenységActivity from infrequent country

  • Az észlelés múltbeli tevékenységet helyek meghatározásához az új és a ritka figyelembe veszi.This detection considers past activity locations to determine new and infrequent locations. Az anomáliadetektálási motor a fenti helyeken, a szervezet felhasználói által használt információkat tárol.The anomaly detection engine stores information about previous locations used by users in the organization. Riasztást vált ki, hogy a rendszer nem nemrég vagy soha nem látogatta meg a szervezet bármely felhasználója helyről egy tevékenység esetén.An alert is triggered when an activity occurs from a location that was not recently or never visited by any user in the organization.

Kártevő szoftver észleléseMalware detection

  • Az észlelés azonosítja a rosszindulatú fájlok, a felhőben, akár a Microsoft-alkalmazások vagy harmadik féltől származó alkalmazások.This detection identifies malicious files in your cloud storage, whether they're from your Microsoft apps or third-party apps. A Microsoft Cloud App Security a Microsoft fenyegetésfelderítés használatával ismeri fel, hogy az egyes fájlok társított ismert kártevő-támadásokat és potenciálisan kártékony.Microsoft Cloud App Security uses Microsoft's threat intelligence to recognize whether certain files are associated with known malware attacks and are potentially malicious. A beépített házirend alapértelmezés szerint le van tiltva.This built-in policy is disabled by default. Nem minden fájlok vizsgálata, de a heurisztika használt fájlokat, amelyek potenciálisan veszélyes.Not every file is scanned, but heuristics are used to look for files that are potentially risky. Miután fájlok észlel, majd láthatja listáját fertőzött fájlok.After files are detected, you can then see a list of Infected files. Kattintson a fájl navigációs menü megnyitásához, amely információt arról, hogy a fájl fertőzött-e kártevő szoftver típusú kártevő jelentést a kártevő fájl nevét.Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

Névtelen IP-címekről indított tevékenységActivity from anonymous IP addresses

  • Az észlelés azonosítja, hogy a felhasználó volt aktív, a névtelen proxy IP-címként azonosított IP-címet.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Ezek proxyk, akik az eszköz IP-címének elrejtésére és rosszindulatú tevékenységek végrehajtására használhatók.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Az észlelés kihasználja a gépi tanulási algoritmus, amely csökkenti a "vakriasztásokat", például a szervezet felhasználói által széles körben használt gépeltünk címkézett IP-címek.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Zsarolóprogram-tevékenységRansomware activity

  • A cloud App Security bővíteni a zsarolóprogramok egy átfogóbb lefedettség kifinomult Zsarolóprogram-támadások ellen, hogy az anomáliadetektálás észlelési funkciói.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. A biztonsági kutatási tapasztalatainak segítségével azonosíthatja a viselkedési mintákkal, amely tükrözi a zsarolóprogram-tevékenység, a Cloud App Security átfogó és hatékony védelmét biztosítja.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Ha a Cloud App Security azonosítja, például fájlok feltöltése vagy fájltörlési tevékenységet, tüntetheti egy káros titkosítási folyamat nagy száma.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Ezeket az adatokat a csatlakoztatott API-kon keresztül fogadott naplókban gyűjtött és kombinálni kell megismert viselkedési mintákat és fenyegetésre vonatkozó intelligenciát, például ismert zsarolóprogram-bővítmények.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Hogyan észleli a Cloud App Security a zsarolóprogramok kapcsolatos további információkért lásd: védelme a zsarolóprogramok ellen a szervezet.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Elbocsátott felhasználó tevékenységetTerminated user activity

  • Az észlelés lehetővé teszi, ha egy elbocsátott alkalmazott műveleteket hajthat végre az SaaS-alkalmazások továbbra is azonosítani tudja.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Mivel adatokat jelenít meg, hogy a lehető legnagyobb belső fenyegetés kockázatát az alkalmazottak, akik hátra a hibás használati származik, fontos kísérje figyelemmel a fiókok a tevékenységeket a Elbocsátott alkalmazottak.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it is important to keep an eye on the activity on accounts from terminated employees. Előfordulhat amikor az alkalmazottak a vállalati hagyja, a fiókjaikat eltávolítjuk a vállalati alkalmazásokat, de sok esetben továbbra is megőrzését, bizonyos vállalati erőforrásokhoz való hozzáférés.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Ez fontos még több kiemelt jogosultságú fiókok kiválasztásakor, természetüknél fogva nagyobb volt rendszergazda hajthatja végre a potenciális károknak.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Az észlelés kihasználja a Cloud App Security lehetővé teszi a felhasználók viselkedésének monitorozásához alkalmazások között, az egyéb alkalmazásokban a szokásos tevékenységétől a felhasználó, az a tény, hogy a fiók le lett-e állítva és tényleges tevékenység azonosítását.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Például egy alkalmazott, aki rendelkezik az Azure AD-fiók lett elbocsátott, de továbbra is hozzáfér a vállalati AWS-infrastruktúra, potenciálisan nagy méretű kárt okoznának.For example, an employee who’s Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

Gyanús IP-címekről indított tevékenységActivity from suspicious IP addresses

  • Az észlelés azonosítja, hogy a felhasználó volt aktív, a Microsoft a fenyegetésfelderítés kockázatos néven azonosított IP-címek.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Ezen IP-címek kártékony tevékenységeket, például a Botnet C & C, részt, és feltört fiók utalhat.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Az észlelés kihasználja a gépi tanulási algoritmus, amely csökkenti a "vakriasztásokat", például a szervezet felhasználói által széles körben használt gépeltünk címkézett IP-címek.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Szokatlan tevékenység (felhasználónként)Unusual activities (by user)

Ezek az észlelések a hitelesítést végrehajtó felhasználók azonosításához:These detections identify users who perform:

  • Szokatlan több fájl letöltési tevékenységekUnusual multiple file download activities
  • Szokatlan megosztási tevékenységekUnusual file share activities
  • Szokatlan fájltörlési tevékenységetUnusual file deletion activities
  • Szokatlan megszemélyesítési tevékenységetUnusual impersonated activities
  • Szokatlan rendszergazdai tevékenységUnusual administrative activities

Ezek a szabályzatok keresse meg tevékenységek belül egyetlen munkamenetben a megtanult alapértékhez, ami egy illetéktelen behatolás próbálkozásra utalhat.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Ezek az észlelések használja ki a gépi tanulási algoritmus, amely a felhasználói profilok jelentkezzen be a mintát, és csökkenti a vakriasztások.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Ezek az észlelések az heurisztikus anomáliadetektálási motor, amely profilt készít a környezetről, és értesítést küld, amely a szervezet tevékenység ismert egy megtanult részét képezik.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Több sikertelen bejelentkezési kísérletMultiple failed login attempts

  • Az észlelés azonosítja a felhasználókat, amely egyetlen munkamenetben több bejelentkezési kísérlet sikertelen volt a megtanult alapértékhez, amely arra utalhat egy illetéktelen behatolás kísérlet alkalmával.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Automatikus cégirányítási engedélyezéseEnable automated governance

Az anomáliadetektálási szabályzatok által generált riasztások automatikus javítási műveletek is engedélyezheti.You can enable automated remediation actions on alerts generated by anomaly detection policies.

  1. Kattintson az a szabályzat nevére a házirend lapot.Click on the name of the detection policy in the Policy page.
  2. Az a anomáliadetektálási szabályzat szerkesztése ablak, amely megnyitja a Cégirányítási állítsa be minden csatlakoztatott alkalmazáshoz vagy az összes alkalmazásra vonatkozó kívánt szervizelési műveleteket.In the Edit anomaly detection policy window that opens, under Governance set the remediation actions you want for each connected app or for all apps.
  3. Kattintson az Update (Frissítés) elemre.Click Update.

Hatókör anomáliadetektálási szabályzatokScope anomaly detection policies

Minden anomáliadetektálási szabályzat egymástól függetlenül hatóköre beállítható úgy, hogy csak vonatkozik a felhasználók és csoportok belefoglalása vagy kizárása a házirendben.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Például beállíthatja a tevékenység az alkalmi megye észlelésről egy adott felhasználó számára gyakran figyelmen kívül.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Az anomáliadetektálási szabályzat hatóköre:To scope an anomaly detection policy:

  1. Kattintson a vezérlő > házirendek, és állítsa be a típus szűrni Anomáliadetektálási szabályzat.Click Control > Policies, and set the Type filter to Anomaly detection policy.
  2. Kattintson a kívánt hatókörhöz házirendet.Click on the policy you want to scope.
  3. Alatt hatókör, a beállítás alapértelmezett értékét módosítani a legördülő minden felhasználó és csoport, az meghatározott felhasználókhoz és csoportokhoz.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.
  4. Válassza ki Belefoglalás , adja meg a felhasználókat és csoportokat, akiknek a szabályzat érvényes lesz.Select Include to specify the users and groups for whom this policy will apply. Minden kiválasztott felhasználó vagy csoport nem itt nem tekinti a fenyegetés, és nem hoz létre riasztást.Any user or group not selected here will not be considered a threat and will not generate an alert.
  5. Válassza ki kizárása , adja meg a felhasználókat, akiknek ezt a házirendet nem érvényesek.Select Exclude to specify users for whom this policy will not apply. Minden olyan felhasználó által kijelölt itt nem tekinti a fenyegetés, és nem hoz létre riasztást, akkor is, ha a kijelölt csoportok tagjai Belefoglalás.Any user selected here will not be considered a threat and will not generate an alert, even if they are members of groups selected under Include.

rendellenességek észlelése hatókörének beállítása

Osztályozási anomáliadetektálási fenyegetésészlelési riasztásokTriage anomaly detection alerts

Az új anomáliadetektálási szabályzat által aktivált gyorsan különböző osztályozhassa, és eldöntheti, melyiket kell legyen az első elvégzi.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Ehhez szüksége a környezet a riasztást, így a felhasználó áttekintő képet, és megismerheti, hogy valamilyen kártevő valóban történik.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. Az a tevékenységnapló, megnyithat egy tevékenységet a tevékenység navigációs menü megjelenítéséhez.In the Activity log, you can open an activity to display the Activity drawer. Kattintson a felhasználói a felhasználói insights lap megtekintéséhez. Ide tartoznak például a riasztások, a tevékenységek száma és, ha azok még csatlakozott a, amely fontos a vizsgálat során.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    rendellenességek észlelése alert1 rendellenességek észlelése alert1anomaly detection alert1 anomaly detection alert1

  2. Ez lehetővé teszi, hogy jobban megismerhesse, mit a gyanús tevékenységeket, hogy a felhasználó hajtott végre, és mélyebb magabiztosságot parancs számára, hogy a fiókot feltörték.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Például a több sikertelen bejelentkezés riasztást valóban lehet gyanús és jelezheti a potenciális találgatásos támadás, de egyben egy alkalmazás helytelen lehet egy ártalmatlan valódi pozitív riasztást okozó.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Azonban a több sikertelen bejelentkezés a riasztás gyanús tevékenységek további jelenik meg, majd van-e nagyobb a valószínűsége annak, hogy a fiók biztonsága sérül.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. Az alábbi példában láthatja, hogy a több sikertelen bejelentkezési kísérletek riasztás kiegészítve lett tevékenység tor által használt IP-címről és lehetetlen utazási tevékenységet, mindkét a biztonsági sérülés (IOCs) önmagukban erős mutatók.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Nem volt elég gyanús, akkor láthatja, hogy ugyanaz a felhasználó elvégzett egy tömeges letöltés tevékenység, ez gyakran azt jelzi, hogy a támadó hajt végre az adatok kiszűrése.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    rendellenességek észlelése alert1 rendellenességek észlelése alert1anomaly detection alert1 anomaly detection alert1

  3. Kártevők fertőzött fájlokat, miután fájlok észlel, majd láthatja listáját fertőzött fájlok.For malware infected files, After files are detected, you can then see a list of Infected files. Kattintson a fájl navigációs menü megnyitásához, amely információt arról, hogy a fájl fertőzött-e kártevő szoftver típusú kártevő jelentést a kártevő fájl nevét.Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

Lásd még:See Also

A felhőkörnyezet védelmét célzó mindennapi tevékenységekDaily activities to protect your cloud environment

A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.