Azonnali viselkedési elemzés és anomáliadetektálási észlelési beolvasásaGet instantaneous behavioral analytics and anomaly detection

A cloud App Security anomáliadetektálási szabályzatokhoz out-of-az-box felhasználói és a viselkedés elemzését (UEBA) és a gépi tanulási (ML), így a teljes felhőkörnyezetben azonnal futtathatja az advanced threat detection biztosítanak.Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Automatikusan engedélyezve vannak, mert az új anomáliadetektálási szabályzatokhoz találatokat adjon vissza azonnali azonnali észlelések, a felhasználók és a gép, és hogy a hálózati eszközök között számos tevékenységbeli anomáliákat célzó révén.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Emellett az új házirendek teszi közzé a Cloud App Security észlelési motor felgyorsíthatja a vizsgálat során, és tartalmazza a folyamatos fenyegetéseket további adatai.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Az anomáliadetektálási szabályzatokhoz automatikusan engedélyezve van, de a Cloud App Security időszaka kezdeti tanulási során melyik nem minden anomáliadetektálási észlelési riasztásokról értesítő hét nap.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. A későbbiekben minden munkamenetet összevet az elmúlt egy hónapban észlelt tevékenységekkel, az aktivitás idejével, IP-címével, az eszközökkel, illetve ezeknek a tevékenységeknek a kockázati pontszámával.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Ezek az észlelések a heurisztikus anomáliadetektálási észlelési motor, amely a környezet profilok, és elindítja a riasztások tekintetében, amelyek a szervezet tevékenység ismert alapterv részét képezik.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Ezek az észlelések is kihasználhatja a gépi tanulási algoritmusok úgy tervezték, hogy a profilhoz, a felhasználók és a bejelentkezés a minta vakriasztások számának csökkentése érdekében.These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Az anomáliák kiszűrése a felhasználói tevékenység vizsgálatával történik.Anomalies are detected by scanning user activity. Több mint 30 különböző kockázati mutató, több kockázati tényezők az alábbiak szerint csoportosítva megnézi a kockázatok kiértékelése:The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Kockázatos IP-címRisky IP address
  • Sikertelen bejelentkezésekLogin failures
  • Rendszergazdai tevékenységAdmin activity
  • Inaktív fiókokInactive accounts
  • Tartózkodási helyLocation
  • Lehetetlen utazásImpossible travel
  • Eszköz- és felhasználói ügynökDevice and user agent
  • Tevékenység arányActivity rate

A szabályzat eredményei alapján biztonsági riasztások aktiválódnak.Based on the policy results, security alerts are triggered. A cloud App Security néz ki, minden felhasználói munkamenetet a felhő riasztásokat, ha olyan esemény történik, amely eltér a szervezetnél megszokottól vagy a felhasználó szokásos tevékenységétől.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Megjelenik a portálon az anomáliadetektálási szabályzatokhoz kattintva vezérlő , majd házirendek.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

új anomáliadetektálási szabályzatokhoz

A következő anomáliadetektálási szabályzatokhoz érhetők el:The following anomaly detection policies are available:

Lehetetlen odautazásImpossible travel

  • Az észlelés azonosítja két felhasználói tevékenység (az egy vagy több) származó földrajzilag távoli helyekről egy rövidebb, mint amennyi idő időtartamon belül, akkor készített továbbítani az első helyen, a második, amely jelzi, hogy a felhasználó hogy egy másik felhasználó használja ugyanazokat a hitelesítő adatokat.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Az észlelés a gépi tanulási algoritmus, amely figyelmen kívül hagyja a nyilvánvaló "vakriasztásokat" lehetetlen odautazás feltételt, például a virtuális magánhálózatok és rendszeresen a szervezeten belüli más felhasználók által használt helyek hozzájáruló kihasználja.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. Az észlelési kezdeti tanulási időszaka hét napos, amely során egy új felhasználói tevékenység mintát Tanulja meg.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Ritka országból tevékenységActivity from infrequent country

  • Az észlelés úgy ítéli meg túli tevékenység helyek új és a ritka meghatározásához.This detection considers past activity locations to determine new and infrequent locations. Az anomáliadetektálási észlelési motor a fent említett helyeken, a szervezethez tartozó felhasználók által használt kapcsolatos információkat tárolja.The anomaly detection engine stores information about previous locations used by users in the organization. Riasztást vált ki, egy helyről meglátogatott lett nem nemrég vagy soha nem a felhasználó vagy a szervezet bármely felhasználója egy tevékenység esetén.An alert is triggered when an activity occurs from a location that was not recently or never visited by the user or by any user in the organization.

Névtelen IP-címekről érkező tevékenységekActivity from anonymous IP addresses

  • Az észlelés azonosítja, hogy a felhasználók volt aktív a névtelen proxy IP-címként azonosított IP-címet.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Ezek a proxyk szeretné az eszköz IP-címet, és a rosszindulatú behatolással szemben használható személyek által használt.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Az észlelés kihasználja a gépi tanulási algoritmus, amely csökkenti a "vakriasztásokat", például téves címkézett IP-címek a szervezethez tartozó felhasználók által széles körben használt.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Gyanús IP-címekről érkező tevékenységekActivity from suspicious IP addresses

  • Az észlelés azonosítja, hogy a felhasználók által a Microsoft Fenyegetésfelderítési adataival kockázatos néven azonosított IP-címről aktív volt.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Az IP-címeket rosszindulatú tevékenységek, például a Botnet C & C, részt, és sérült biztonságú fiók utalhat.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Az észlelés kihasználja a gépi tanulási algoritmus, amely csökkenti a "vakriasztásokat", például téves címkézett IP-címek a szervezethez tartozó felhasználók által széles körben használt.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Szokatlan tevékenységeket (felhasználó)Unusual activities (by user)

Ezek az észlelések felhasználónak határozza meg:These detections identify users who perform:

  • Szokatlan több fájl letöltése tevékenységekUnusual multiple file download activities
  • Szokatlan megosztás tevékenységekUnusual file share activities
  • Szokatlan fájl törlése tevékenységUnusual file deletion activities
  • Szokatlan megszemélyesített tevékenységUnusual impersonated activities
  • Szokatlan felügyeleti tevékenységekUnusual administrative activities

Ezek a házirendek keresse meg tevékenységek tekintetében az alapkonfiguráció megtanulta, egy munkameneten belül, amely a biztonsági szabályok megsértésére próbálkozás utalhat.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Ezek az észlelések a gépi tanulási algoritmus, amely a felhasználói profilok jelentkezzen be a mintát használja, és csökkenti a vakriasztások.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Ezek az észlelések a heurisztikus anomáliadetektálási észlelési motor, amely a környezet profilok, és elindítja a riasztások tekintetében, amelyek a szervezet tevékenység ismert alapterv részét képezik.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Több sikertelen bejelentkezési kísérletMultiple failed login attempts

  • Az észlelés azonosítja a felhasználót, hogy több bejelentkezési kísérletek munkamenetben nem tekintetében az alapkonfiguráció megtanulta, amelyek oka lehet egy megsértése történt tett kísérlet közben.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Triaging anomáliadetektálási-észlelési riasztásTriaging anomaly detection alerts

A különféle riasztások is megjelenhetnek váltja ki az új anomáliadetektálási szabályzatokhoz gyorsan osztályozhatja, és döntse el, melyik riasztást kell venni fontos első kell.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Ehhez szükség van a környezetben a riasztás úgy tudja áttekintő képet, és hogy valamilyen kártevő valóban történik.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. Az a tevékenységnapló, megnyithatja a tevékenység fiók megjelenítendő egy tevékenységet.In the Activity log, you can open an activity to display the Activity drawer. Kattintson a felhasználói a felhasználói insights lap megjelenítéséhez. Ez magában foglalja az információkat, például a riasztások, tevékenységek száma, és ha azok a csatlakozott, amely fontos a vizsgálat során.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    az anomáliadetektálási észlelési alert1 anomáliadetektálási észlelési alert1anomaly detection alert1 anomaly detection alert1

  2. Ez lehetővé teszi, hogy mi a gyanús tevékenységeket, hogy a felhasználó által végrehajtott, és mélyebb magabiztosságot, hogy a fiók biztonsági szempontból sérült.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Például több sikertelen bejelentkezés a riasztás valóban lehet, hogy gyanús, és azt jelzi, hogy a lehetséges találgatásos támadás, de az alkalmazás hibás konfigurációja, a jóindulatú valódi pozitív riasztást okozó is lehet.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Azonban ha egy további gyanús tevékenységek több sikertelen bejelentkezés riasztás jelenik meg, majd akkor nagyobb a valószínűsége annak, hogy a fiók biztonsága sérül.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. Az alábbi példában is látható, amely a többszöri sikertelen bejelentkezési kísérletek riasztás kiegészítve lett tevékenység egy TOR IP-címről és lehetetlen odautazás tevékenység, mindkét az illetéktelen behatolásoknak (IOCs) önmagában erős mutatók.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Ha nem volt elég gyanús, akkor megtekintheti, hogy ugyanaz a felhasználó elvégzett egy tömeges töltse le a tevékenység, ez gyakran azt jelzi, hogy a támadó exfiltration adatok.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    az anomáliadetektálási észlelési alert1 anomáliadetektálási észlelési alert1anomaly detection alert1 anomaly detection alert1

Lásd még:See Also

A felhőkörnyezet védelmét célzó mindennapi tevékenységekDaily activities to protect your cloud environment

A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.