Menyelidiki peringatan deteksi anomali

Microsoft Defender untuk Cloud Apps menyediakan deteksi dan pemberitahuan keamanan untuk aktivitas berbahaya. Tujuan dari panduan ini adalah untuk memberi Anda informasi umum dan praktis tentang setiap pemberitahuan, untuk membantu tugas investigasi dan remediasi Anda. Disertakan dalam panduan ini adalah informasi umum tentang kondisi untuk memicu pemberitahuan. Namun, penting untuk dicatat bahwa karena deteksi anomali bersifat non-deterministik, mereka hanya dipicu ketika ada perilaku yang menyimpang dari norma. Terakhir, beberapa pemberitahuan mungkin dalam pratinjau, jadi tinjau dokumentasi resmi secara teratur untuk status pemberitahuan yang diperbarui.

MITRE ATT&CK

Untuk menjelaskan dan mempermudah pemetaan hubungan antara pemberitahuan Defender untuk Cloud Apps dan MITRE ATT&CK Matrix yang sudah dikenal, kami telah mengategorikan pemberitahuan dengan taktik MITRE ATT&CK yang sesuai. Referensi tambahan ini memudahkan untuk memahami teknik serangan yang dicurigai berpotensi digunakan saat pemberitahuan Defender untuk Cloud Apps dipicu.

Panduan ini menyediakan informasi tentang menyelidiki dan memulihkan pemberitahuan Defender untuk Cloud Apps dalam kategori berikut.

• Akses Awal
• Eksekusi
• Persistensi
• Eskalasi Hak Istimewa
• Akses Kredensial
• Koleksi
• Penyelundupan
• Dampak

Klasifikasi pemberitahuan keamanan

Setelah penyelidikan yang tepat, semua pemberitahuan Defender untuk Cloud Apps dapat diklasifikasikan sebagai salah satu jenis aktivitas berikut:

• True positive (TP): Pemberitahuan tentang aktivitas berbahaya yang dikonfirmasi.
• Positif sejati jinak (B-TP): Pemberitahuan tentang aktivitas mencurigakan tetapi tidak berbahaya, seperti tes penetrasi atau tindakan mencurigakan resmi lainnya.
• Positif palsu (FP): Pemberitahuan tentang aktivitas yang tidak berbahaya.

Langkah-langkah investigasi umum

Anda harus menggunakan panduan umum berikut saat menyelidiki semua jenis pemberitahuan untuk mendapatkan pemahaman yang lebih jelas tentang potensi ancaman sebelum menerapkan tindakan yang direkomendasikan.

• Tinjau skor prioritas investigasi pengguna dan bandingkan dengan organisasi lainnya. Ini akan membantu Anda mengidentifikasi pengguna mana di organisasi Anda yang menimbulkan risiko terbesar.
• Jika Anda mengidentifikasi TP, tinjau semua aktivitas pengguna untuk mendapatkan pemahaman tentang dampaknya.
• Tinjau semua aktivitas pengguna untuk indikator penyusupan lainnya dan jelajahi sumber dan cakupan dampak. Misalnya, tinjau informasi perangkat pengguna berikut dan bandingkan dengan informasi perangkat yang diketahui:
  • Sistem operasi dan versi
  • Browser dan versi
  • Alamat IP dan lokasi

Pemberitahuan akses awal

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mendapatkan pijakan awal ke organisasi Anda.

Aktivitas dari alamat IP anonim

Keterangan

Aktivitas dari alamat IP yang telah diidentifikasi sebagai alamat IP proksi anonim oleh Inteligensi Ancaman Microsoft atau oleh organisasi Anda. Proksi ini dapat digunakan untuk menyembunyikan alamat IP perangkat dan dapat digunakan untuk aktivitas berbahaya.

TP, B-TP, atau FP?

Deteksi ini menggunakan algoritma pembelajaran mesin yang mengurangi insiden B-TP , seperti alamat IP salah tag yang banyak digunakan oleh pengguna di organisasi.

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas dilakukan dari alamat IP anonim atau TOR.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. B-TP: Jika pengguna diketahui menggunakan alamat IP anonim dalam cakupan tugas mereka. Misalnya, ketika analis keamanan melakukan tes keamanan atau penetrasi atas nama organisasi.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

• Tinjau semua aktivitas dan pemberitahuan pengguna untuk indikator kompromi tambahan. Misalnya, jika pemberitahuan diikuti oleh pemberitahuan mencurigakan lain, seperti unduhan file yang tidak biasa (oleh pengguna) atau pemberitahuan penerusan kotak masuk yang mencurigakan, yang sering menunjukkan bahwa penyerang mencoba menyelundupkan data.

Aktivitas dari negara yang jarang

Aktivitas dari negara/wilayah yang dapat menunjukkan aktivitas berbahaya. Kebijakan ini memprofilkan lingkungan Anda dan memicu pemberitahuan saat aktivitas terdeteksi dari lokasi yang baru-baru ini atau tidak pernah dikunjungi oleh pengguna mana pun di organisasi.

Kebijakan ini dapat dilingkup lebih lanjut ke subset pengguna atau dapat mengecualikan pengguna yang diketahui melakukan perjalanan ke lokasi jarak jauh.

periode Pembelajaran

Mendeteksi lokasi anomali memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan:

   1. Tangguhkan pengguna, atur ulang kata sandi mereka, dan identifikasi waktu yang tepat untuk mengaktifkan kembali akun dengan aman.
   2. Opsional: Buat playbook menggunakan Power Automate untuk menghubungi pengguna yang terdeteksi terhubung dari lokasi yang jarang, dan manajernya, untuk memverifikasi aktivitas mereka.

2. B-TP: Jika pengguna diketahui berada di lokasi ini. Misalnya, ketika pengguna yang sering bepergian dan saat ini berada di lokasi yang ditentukan.

   Tindakan yang direkomendasikan:

   1. Menutup pemberitahuan dan mengubah kebijakan untuk mengecualikan pengguna.
   2. Buat grup pengguna untuk pelancong yang sering, impor grup ke Defender untuk Cloud Apps, dan kecualikan pengguna dari pemberitahuan ini
   3. Opsional: Buat playbook menggunakan Power Automate untuk menghubungi pengguna yang terdeteksi terhubung dari lokasi yang jarang, dan manajernya, untuk memverifikasi aktivitas mereka.

Memahami cakupan pelanggaran

• Tinjau sumber daya mana yang mungkin telah disusupi, seperti potensi unduhan data.

Aktivitas dari alamat IP yang mencurigakan

Aktivitas dari alamat IP yang telah diidentifikasi berisiko oleh Inteligensi Ancaman Microsoft atau oleh organisasi Anda. Alamat IP ini diidentifikasi terlibat dalam aktivitas berbahaya, seperti melakukan semprotan kata sandi, perintah dan kontrol botnet (C&C), dan dapat menunjukkan akun yang disusupi.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. B-TP: Jika pengguna diketahui menggunakan alamat IP dalam cakupan tugas mereka. Misalnya, ketika analis keamanan melakukan tes keamanan atau penetrasi atas nama organisasi.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas dan cari aktivitas dari alamat IP yang sama.
2. Tinjau sumber daya mana yang mungkin telah disusupi, seperti potensi unduhan data atau modifikasi administratif.
3. Buat grup untuk analis keamanan secara sukarela memicu pemberitahuan ini dan mengecualikannya dari kebijakan.

Perjalanan Mustahil

Aktivitas dari pengguna yang sama di lokasi yang berbeda dalam periode waktu yang lebih pendek dari waktu perjalanan yang diharapkan antara dua lokasi. Ini dapat menunjukkan pelanggaran kredensial, namun, ada kemungkinan juga bahwa lokasi aktual pengguna ditutupi, misalnya, dengan menggunakan VPN.

Untuk meningkatkan akurasi dan pemberitahuan hanya ketika ada indikasi pelanggaran yang kuat, Defender untuk Cloud Apps menetapkan garis besar pada setiap pengguna di organisasi dan hanya akan memberi tahu ketika perilaku yang tidak biasa terdeteksi. Kebijakan perjalanan yang mustahil dapat disempurnakan dengan kebutuhan Anda.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

Deteksi ini menggunakan algoritma pembelajaran mesin yang mengabaikan kondisi B-TP yang jelas, seperti ketika alamat IP di kedua sisi perjalanan dianggap aman, perjalanan dipercaya dan dikecualikan dari pemicu deteksi perjalanan Mustahil. Misalnya, kedua belah pihak dianggap aman jika ditandai sebagai perusahaan. Namun, jika alamat IP hanya satu sisi perjalanan dianggap aman, deteksi dipicu seperti biasa.

1. TP: Jika Anda dapat mengonfirmasi bahwa lokasi dalam pemberitahuan perjalanan yang tidak mungkin tidak mungkin bagi pengguna.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perjalanan pengguna yang tidak terdeteksi): Jika Anda dapat mengonfirmasi bahwa pengguna baru-baru ini melakukan perjalanan ke tujuan yang disebutkan secara terperinci dalam pemberitahuan. Misalnya, jika ponsel pengguna yang berada dalam mode pesawat tetap terhubung ke layanan seperti Exchange Online di jaringan perusahaan Anda saat bepergian ke lokasi yang berbeda. Ketika pengguna tiba di lokasi baru, telepon tersambung ke Exchange Online yang memicu pemberitahuan perjalanan yang tidak mungkin.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

3. FP (VPN Tidak Diberi Tag): Jika Anda dapat mengonfirmasi bahwa rentang alamat IP berasal dari VPN yang diberi sanksi.

   Tindakan yang direkomendasikan: Matikan pemberitahuan dan tambahkan rentang alamat IP VPN ke Defender untuk Cloud Apps lalu gunakan untuk menandai rentang alamat IP VPN.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk mendapatkan pemahaman tentang aktivitas serupa di lokasi dan alamat IP yang sama.
2. Jika Anda melihat bahwa pengguna melakukan aktivitas berisiko lainnya, seperti mengunduh file dalam volume besar dari lokasi baru, ini akan menjadi indikasi yang kuat dari kemungkinan kompromi.
3. Tambahkan rentang VPN dan Alamat IP perusahaan.
4. Buat playbook menggunakan Power Automate dan hubungi manajer pengguna untuk melihat apakah pengguna bepergian secara sah.
5. Pertimbangkan untuk membuat database pelancong yang diketahui hingga menit pelaporan perjalanan organisasi dan menggunakannya untuk aktivitas perjalanan lintas referensi.

Nama aplikasi OAuth menyesatkan

Deteksi ini mengidentifikasi aplikasi dengan karakter, seperti huruf asing, yang menyerupai huruf Latin. Ini dapat menunjukkan upaya untuk menyamarkan aplikasi berbahaya sebagai aplikasi yang dikenal dan tepercaya sehingga penyerang dapat menipu pengguna untuk mengunduh aplikasi berbahaya mereka.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aplikasi memiliki nama yang menyesatkan.

   Tindakan yang direkomendasikan: Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang memberikan akses. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini.

Untuk melarang akses ke aplikasi, pada tab Google atau Salesforce di halaman Tata kelola aplikasi, pada baris tempat aplikasi yang ingin Anda larang muncul, pilih ikon larangan. - Anda dapat memilih apakah Anda ingin memberi tahu pengguna bahwa aplikasi yang diinstal dan diotorisasi telah dilarang. Pemberitahuan ini memberi tahu pengguna bahwa aplikasi akan dinonaktifkan dan mereka tidak akan memiliki akses ke aplikasi yang terhubung. Jika Anda tidak ingin mereka mengetahuinya, batal pilih Beri tahu pengguna yang memberikan akses ke aplikasi terlarang ini dalam dialog. - Disarankan agar Anda memberi tahu pengguna aplikasi bahwa aplikasi mereka akan dilarang digunakan.

1. FP: Jika Anda mengonfirmasi bahwa aplikasi memiliki nama yang menyesatkan tetapi memiliki penggunaan bisnis yang sah di organisasi.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

• Ikuti tutorial tentang cara menyelidiki aplikasi OAuth berisiko.

Nama penerbit untuk aplikasi OAuth menyesatkan

Deteksi ini mengidentifikasi aplikasi dengan karakter, seperti huruf asing, yang menyerupai huruf Latin. Ini dapat menunjukkan upaya untuk menyamarkan aplikasi berbahaya sebagai aplikasi yang dikenal dan tepercaya sehingga penyerang dapat menipu pengguna untuk mengunduh aplikasi berbahaya mereka.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aplikasi memiliki nama penerbit yang menyesatkan.

   Tindakan yang direkomendasikan: Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang memberikan akses. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini.

2. FP: Jika Anda mengonfirmasi bahwa aplikasi memiliki nama penerbit yang menyesatkan tetapi merupakan penerbit yang sah.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Pada tab Google atau Salesforce di halaman Tata kelola aplikasi, pilih aplikasi untuk membuka laci Aplikasi, lalu pilih Aktivitas terkait. Ini membuka halaman Log aktivitas yang difilter untuk aktivitas yang dilakukan oleh aplikasi. Perlu diingat bahwa beberapa aplikasi melakukan aktivitas yang terdaftar sebagai telah dilakukan oleh pengguna. Aktivitas ini secara otomatis difilter dari hasil dalam log aktivitas. Untuk penyelidikan lebih lanjut menggunakan log aktivitas, lihat Log aktivitas.
2. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama aplikasi dan penerbit di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:
   • Aplikasi dengan jumlah unduhan yang rendah.
   • Aplikasi dengan peringkat atau skor rendah atau komentar buruk.
   • Aplikasi dengan penerbit atau situs web yang mencurigakan.
   • Aplikasi yang belum diperbarui baru-baru ini. Ini mungkin menunjukkan aplikasi yang tidak lagi didukung.
   • Aplikasi yang memiliki izin yang tidak relevan. Ini mungkin menunjukkan bahwa aplikasi berisiko.
3. Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama aplikasi, penerbit, dan URL secara online.

Pemberitahuan eksekusi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba menjalankan kode berbahaya di organisasi Anda.

Beberapa aktivitas penghapusan penyimpanan

Aktivitas dalam satu sesi yang menunjukkan bahwa pengguna melakukan sejumlah penyimpanan cloud atau penghapusan database yang tidak biasa dari sumber daya seperti blob Azure, wadah AWS S3, atau Cosmos DB jika dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan upaya pelanggaran organisasi Anda.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda mengonfirmasi bahwa penghapusan tidak sah.

   Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan memindai semua perangkat untuk ancaman berbahaya. Tinjau semua aktivitas pengguna untuk indikator kompromi lainnya dan jelajahi cakupan dampak.

2. FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa administrator berwenang untuk melakukan aktivitas penghapusan ini.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Hubungi pengguna dan konfirmasi aktivitas.
2. Tinjau log aktivitas untuk indikator kompromi lainnya dan lihat siapa yang membuat perubahan.
3. Tinjau aktivitas pengguna tersebut untuk perubahan pada layanan lain.

Beberapa aktivitas pembuatan VM

Aktivitas dalam satu sesi yang menunjukkan bahwa pengguna melakukan sejumlah tindakan pembuatan VM yang tidak biasa jika dibandingkan dengan garis besar yang dipelajari. Beberapa pembuatan VM pada infrastruktur Cloud yang dilanggar dapat menunjukkan upaya untuk menjalankan operasi penambangan kripto dari dalam organisasi Anda.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

Untuk meningkatkan akurasi dan peringatan hanya ketika ada indikasi pelanggaran yang kuat, deteksi ini menetapkan garis besar pada setiap lingkungan dalam organisasi untuk mengurangi insiden B-TP , seperti administrator yang secara sah membuat lebih banyak VM daripada garis besar yang ditetapkan, dan hanya memperingatkan ketika perilaku yang tidak biasa terdeteksi.

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas pembuatan tidak dilakukan oleh pengguna yang sah.

  Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan memindai semua perangkat untuk ancaman berbahaya. Tinjau semua aktivitas pengguna untuk indikator kompromi lainnya dan jelajahi cakupan dampak. Selain itu, hubungi pengguna, konfirmasikan tindakan sah mereka, lalu pastikan Anda menonaktifkan atau menghapus VM yang disusupi.

• B-TP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa administrator berwenang untuk melakukan aktivitas pembuatan ini.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan lainnya.
2. Tinjau sumber daya yang dibuat atau dimodifikasi oleh pengguna dan verifikasi bahwa sumber daya tersebut sesuai dengan kebijakan organisasi Anda.

Aktivitas pembuatan yang mencurigakan untuk wilayah cloud (pratinjau)

Aktivitas yang menunjukkan bahwa pengguna melakukan tindakan pembuatan sumber daya yang tidak biasa di wilayah AWS yang tidak biasa jika dibandingkan dengan garis besar yang dipelajari. Pembuatan sumber daya di wilayah cloud yang tidak biasa dapat menunjukkan upaya untuk melakukan aktivitas berbahaya seperti operasi penambangan kripto dari dalam organisasi Anda.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

Untuk meningkatkan akurasi dan peringatan hanya ketika ada indikasi pelanggaran yang kuat, deteksi ini menetapkan garis besar pada setiap lingkungan dalam organisasi untuk mengurangi insiden B-TP .

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas pembuatan tidak dilakukan oleh pengguna yang sah.

  Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan memindai semua perangkat untuk ancaman berbahaya. Tinjau semua aktivitas pengguna untuk indikator kompromi lainnya dan jelajahi cakupan dampak. Selain itu, hubungi pengguna, konfirmasikan tindakan sah mereka, lalu pastikan Anda menonaktifkan atau menghapus sumber daya cloud yang disusupi.

• B-TP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa administrator berwenang untuk melakukan aktivitas pembuatan ini.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan lainnya.
2. Tinjau sumber daya yang dibuat dan verifikasi bahwa sumber daya tersebut sesuai dengan kebijakan organisasi Anda.

Pemberitahuan persistensi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mempertahankan pijakan mereka di organisasi Anda.

Aktivitas yang dilakukan oleh pengguna yang dihentikan

Aktivitas yang dilakukan oleh pengguna yang dihentikan dapat menunjukkan bahwa karyawan yang dihentikan yang masih memiliki akses ke sumber daya perusahaan mencoba melakukan aktivitas berbahaya. Defender untuk Cloud Apps memprofilkan pengguna di organisasi dan memicu pemberitahuan saat pengguna yang dihentikan melakukan aktivitas.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa pengguna yang dihentikan masih memiliki akses ke sumber daya perusahaan tertentu dan melakukan aktivitas.

   Tindakan yang direkomendasikan: Nonaktifkan pengguna.

2. B-TP: Jika Anda dapat menentukan bahwa pengguna untuk sementara dinonaktifkan atau dihapus dan didaftarkan kembali.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Rekaman HR referensi silang untuk mengonfirmasi bahwa pengguna dihentikan.
2. Validasi keberadaan akun pengguna Microsoft Entra.

   Catatan

   Jika menggunakan Microsoft Entra Koneksi, validasi objek Active Directory lokal dan konfirmasi siklus sinkronisasi yang berhasil.

3. Identifikasi semua aplikasi yang dapat diakses pengguna yang dihentikan dan nonaktifkan akun.
4. Perbarui prosedur penonaktifan.

Perubahan mencurigakan dari layanan pengelogan CloudTrail

Aktivitas dalam satu sesi yang menunjukkan bahwa, pengguna melakukan perubahan mencurigakan pada layanan pengelogan AWS CloudTrail. Ini dapat menunjukkan upaya pelanggaran organisasi Anda. Saat menonaktifkan CloudTrail, perubahan operasional tidak lagi dicatat. Penyerang dapat melakukan aktivitas berbahaya sambil menghindari peristiwa audit CloudTrail, seperti memodifikasi wadah S3 dari privat ke publik.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan membalikkan aktivitas CloudTrail.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna secara sah menonaktifkan layanan CloudTrail.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk indikator kompromi lainnya dan lihat siapa yang membuat perubahan pada layanan CloudTrail.
2. Opsional: Buat playbook menggunakan Power Automate untuk menghubungi pengguna dan manajer mereka untuk memverifikasi aktivitas mereka.

Aktivitas penghapusan email yang mencurigakan (oleh pengguna)

Aktivitas dalam satu sesi yang menunjukkan bahwa, pengguna melakukan penghapusan email yang mencurigakan. Jenis penghapusan adalah jenis "penghapusan keras" yang membuat item email dihapus dan tidak tersedia di kotak surat pengguna. Penghapusan dilakukan dari koneksi yang mencakup preferensi yang jarang terjadi seperti ISP, negara/wilayah, dan agen pengguna. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti penyerang yang mencoba menutupi operasi dengan menghapus email yang terkait dengan aktivitas spam.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna secara sah membuat aturan untuk menghapus pesan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

• Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti pemberitahuan penerusan kotak masuk mencurigakan diikuti oleh pemberitahuan Perjalanan Mustahil . Cari:

  1. Aturan penerusan SMTP baru, sebagai berikut:
     • Periksa nama aturan penerusan berbahaya. Nama aturan dapat bervariasi dari nama sederhana, seperti "Teruskan Semua Email" dan "Penerusan otomatis", atau nama yang menipu, seperti ".". Nama aturan penerusan bahkan bisa kosong, dan penerima penerusan bisa menjadi satu akun email atau seluruh daftar. Aturan berbahaya juga dapat disembunyikan dari antarmuka pengguna. Setelah terdeteksi, Anda dapat menggunakan posting blog bermanfaat ini tentang cara menghapus aturan tersembunyi dari kotak surat.
     • Jika Anda mendeteksi aturan penerusan yang tidak dikenal ke alamat email internal atau eksternal yang tidak dikenal, Anda dapat mengasumsikan bahwa akun kotak masuk disusupi.
  2. Aturan kotak masuk baru, seperti "hapus semua", "pindahkan pesan ke folder lain", atau aturan dengan konvensi penamaan yang tidak jelas, misalnya "...".
  3. Peningkatan email yang dikirim.

Aturan manipulasi kotak masuk yang mencurigakan

Aktivitas yang menunjukkan bahwa penyerang mendapatkan akses ke kotak masuk pengguna dan membuat aturan yang mencurigakan. Aturan manipulasi, seperti menghapus atau memindahkan pesan, atau folder, dari kotak masuk pengguna mungkin merupakan upaya untuk menyelundupkan informasi dari organisasi Anda. Demikian pula, mereka dapat menunjukkan upaya untuk memanipulasi informasi yang dilihat pengguna atau menggunakan kotak masuk mereka untuk mendistribusikan spam, email phishing, atau malware. Defender untuk Cloud Apps memprofilkan lingkungan Anda dan memicu pemberitahuan saat aturan manipulasi kotak masuk yang mencurigakan terdeteksi di kotak masuk pengguna. Ini mungkin menunjukkan bahwa akun pengguna disusupi.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aturan kotak masuk berbahaya dibuat dan akun disusupi.

   Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan menghapus aturan penerusan.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna secara sah membuat aturan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti pemberitahuan penerusan kotak masuk mencurigakan diikuti oleh pemberitahuan Perjalanan Mustahil . Mencari:
   • Aturan penerusan SMTP baru.
   • Aturan kotak masuk baru, seperti "hapus semua", "pindahkan pesan ke folder lain", atau aturan dengan konvensi penamaan yang tidak jelas, misalnya "...".
2. Kumpulkan alamat IP dan informasi lokasi untuk tindakan tersebut.
3. Tinjau aktivitas yang dilakukan dari alamat IP yang digunakan untuk membuat aturan untuk mendeteksi pengguna lain yang disusupi.

Pemberitahuan eskalasi hak istimewa

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mendapatkan izin tingkat yang lebih tinggi di organisasi Anda.

Aktivitas administratif yang tidak biasa (menurut pengguna)

Aktivitas yang menunjukkan bahwa penyerang telah membahayakan akun pengguna dan melakukan tindakan administratif yang tidak umum untuk pengguna tersebut. Misalnya, penyerang dapat mencoba mengubah pengaturan keamanan untuk pengguna, operasi yang relatif jarang dilakukan oleh pengguna umum. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku pengguna dan memicu pemberitahuan saat perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh administrator yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP: Jika Anda dapat mengonfirmasi bahwa administrator secara sah melakukan volume aktivitas administratif yang tidak biasa.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti Penerusan kotak masuk mencurigakan atau Perjalanan Mustahil.
2. Tinjau perubahan konfigurasi lainnya, seperti membuat akun pengguna yang mungkin digunakan untuk persistensi.

Pemberitahuan akses kredensial

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mencuri nama akun dan kata sandi dari organisasi Anda.

Beberapa upaya masuk yang gagal

Upaya masuk yang gagal dapat menunjukkan upaya untuk melanggar akun. Namun, login yang gagal juga dapat menjadi perilaku normal. Misalnya, ketika pengguna memasukkan kata sandi yang salah secara tidak sengaja. Untuk mencapai akurasi dan pemberitahuan hanya ketika ada indikasi kuat dari upaya pelanggaran, Defender untuk Cloud Apps menetapkan garis besar kebiasaan masuk untuk setiap pengguna di organisasi dan hanya akan memperingatkan ketika perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

Kebijakan ini didasarkan pada mempelajari perilaku masuk normal pengguna. Ketika penyimpangan dari norma terdeteksi, pemberitahuan dipicu. Jika deteksi mulai melihat bahwa perilaku yang sama berlanjut, pemberitahuan hanya dinaikkan sekali.

1. TP (MFA gagal): Jika Anda dapat mengonfirmasi bahwa MFA berfungsi dengan benar, ini bisa menjadi tanda upaya serangan brute force.

   Tindakan yang direkomendasikan:

   1. Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.
   2. Temukan aplikasi yang melakukan autentikasi yang gagal dan konfigurasi ulang.
   3. Cari pengguna lain yang masuk sekitar waktu aktivitas karena mereka mungkin juga disusupi. Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. B-TP (MFA gagal): Jika Anda dapat mengonfirmasi bahwa pemberitahuan disebabkan oleh masalah dengan MFA.

   Tindakan yang direkomendasikan: Buat playbook menggunakan Power Automate untuk menghubungi pengguna dan periksa apakah mereka mengalami masalah dengan MFA.

3. B-TP (Aplikasi yang dikonfigurasi dengan tidak benar): Jika Anda dapat mengonfirmasi bahwa aplikasi yang salah dikonfigurasi mencoba menyambungkan ke layanan beberapa kali dengan kredensial yang kedaluwarsa.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

4. B-TP (Kata sandi berubah): Jika Anda dapat mengonfirmasi bahwa pengguna baru-baru ini mengubah kata sandi mereka, tetapi belum memengaruhi kredensial di seluruh berbagi jaringan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

5. B-TP (Pengujian keamanan): Jika Anda dapat mengonfirmasi bahwa tes keamanan atau penetrasi sedang dilakukan oleh analis keamanan atas nama organisasi.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti pemberitahuan diikuti oleh salah satu pemberitahuan berikut: Perjalanan Tidak Memungkinkan, Aktivitas dari alamat IP anonim, atau Aktivitas dari negara yang jarang terjadi.
2. Tinjau informasi perangkat pengguna berikut dan bandingkan dengan informasi perangkat yang diketahui:
   • Sistem operasi dan versi
   • Browser dan versi
   • Alamat IP dan lokasi
3. Identifikasi alamat IP sumber atau lokasi tempat upaya autentikasi terjadi.
4. Identifikasi apakah pengguna baru-baru ini mengubah kata sandi mereka dan memastikan semua aplikasi dan perangkat memiliki kata sandi yang diperbarui.

Penambahan kredensial yang tidak biasa ke aplikasi OAuth

Deteksi ini mengidentifikasi penambahan kredensial istimewa yang mencurigakan ke aplikasi OAuth. Ini dapat menunjukkan bahwa penyerang telah menyusupi aplikasi, dan menggunakannya untuk aktivitas berbahaya.

periode Pembelajaran

Pembelajaran lingkungan organisasi Anda memerlukan periode tujuh hari di mana Anda mungkin mengharapkan volume pemberitahuan yang tinggi.

ISP yang tidak biasa untuk aplikasi OAuth

Deteksi mengidentifikasi aplikasi OAuth yang terhubung ke aplikasi cloud Anda dari ISP yang jarang untuk aplikasi. Ini mungkin menunjukkan bahwa penyerang mencoba menggunakan aplikasi yang disusupi yang sah untuk melakukan aktivitas berbahaya di aplikasi cloud Anda.

periode Pembelajaran

Periode pembelajaran untuk deteksi ini adalah 30 hari.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tersebut bukan aktivitas aplikasi OAuth yang sah atau BAHWA ISP ini tidak digunakan oleh aplikasi OAuth yang sah.

   Tindakan yang direkomendasikan: Cabut semua token akses aplikasi OAuth dan selidiki apakah penyerang memiliki akses untuk menghasilkan token akses OAuth.

2. FP: Jika Anda dapat mengonfirmasi bahwa aktivitas dibuat secara sah oleh aplikasi OAuth asli.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aktivitas yang dilakukan oleh aplikasi OAuth.

2. Selidiki apakah penyerang memiliki akses untuk menghasilkan token akses OAuth.

Pemberitahuan koleksi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mengumpulkan data yang menarik untuk tujuan mereka dari organisasi Anda.

Beberapa aktivitas berbagi laporan Power BI

Aktivitas dalam satu sesi yang menunjukkan bahwa pengguna melakukan sejumlah aktivitas laporan berbagi yang tidak biasa di Power BI jika dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan upaya pelanggaran organisasi Anda.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Hapus akses berbagi dari Power BI. Jika Anda dapat mengonfirmasi bahwa akun disusupi, maka Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna memiliki pembenaran bisnis untuk berbagi laporan ini.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk mendapatkan pemahaman yang lebih baik tentang aktivitas lain yang dilakukan oleh pengguna. Lihat alamat IP tempat mereka masuk dan detail perangkat.
2. Hubungi tim Power BI atau tim Perlindungan Informasi Anda untuk memahami panduan berbagi laporan secara internal dan eksternal.

Berbagi laporan Power BI yang mencurigakan

Aktivitas yang menunjukkan bahwa pengguna berbagi laporan Power BI yang mungkin berisi informasi sensitif yang diidentifikasi menggunakan NLP untuk menganalisis metadata laporan. Laporan dibagikan dengan alamat email eksternal, diterbitkan ke web, atau rekam jepret dikirimkan ke alamat email langganan eksternal. Ini dapat menunjukkan upaya pelanggaran organisasi Anda.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Hapus akses berbagi dari Power BI. Jika Anda dapat mengonfirmasi bahwa akun disusupi, maka Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna memiliki pembenaran bisnis untuk berbagi laporan ini.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk mendapatkan pemahaman yang lebih baik tentang aktivitas lain yang dilakukan oleh pengguna. Lihat alamat IP tempat mereka masuk dan detail perangkat.
2. Hubungi tim Power BI atau tim Perlindungan Informasi Anda untuk memahami panduan berbagi laporan secara internal dan eksternal.

Aktivitas yang tidak biasa ditiru (oleh pengguna)

Di beberapa perangkat lunak, ada opsi untuk memungkinkan pengguna lain meniru pengguna lain. Misalnya, layanan email memungkinkan pengguna memberi izin kepada pengguna lain untuk mengirim email atas nama mereka. Aktivitas ini biasanya digunakan oleh penyerang untuk membuat email phishing dalam upaya mengekstrak informasi tentang organisasi Anda. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku pengguna dan membuat aktivitas saat aktivitas peniruan identitas yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perilaku yang tidak biasa): Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan aktivitas yang tidak biasa, atau lebih banyak aktivitas daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

3. FP: Jika Anda dapat mengonfirmasi bahwa aplikasi, seperti Teams, secara sah meniru pengguna.

   Tindakan yang direkomendasikan: Tinjau tindakan dan tutup pemberitahuan jika perlu.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas dan pemberitahuan pengguna untuk indikator kompromi tambahan.
2. Tinjau aktivitas peniruan identitas untuk mengidentifikasi potensi aktivitas berbahaya.
3. Tinjau konfigurasi akses yang didelegasikan.

Pemberitahuan eksfiltrasi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mencuri data dari organisasi Anda.

Penerusan kotak masuk yang mencurigakan

Aktivitas yang menunjukkan bahwa penyerang mendapatkan akses ke kotak masuk pengguna dan membuat aturan yang mencurigakan. Aturan manipulasi, seperti meneruskan semua atau email tertentu ke akun email lain mungkin merupakan upaya untuk menyelundupkan informasi dari organisasi Anda. Defender untuk Cloud Apps memprofilkan lingkungan Anda dan memicu pemberitahuan saat aturan manipulasi kotak masuk yang mencurigakan terdeteksi di kotak masuk pengguna. Ini mungkin menunjukkan bahwa akun pengguna disusupi.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aturan penerusan kotak masuk berbahaya dibuat dan akun disusupi.

   Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan menghapus aturan penerusan.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna membuat aturan penerusan ke akun email eksternal baru atau pribadi karena alasan yang sah.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti pemberitahuan diikuti oleh pemberitahuan Perjalanan Mustahil . Cari:

   1. Aturan penerusan SMTP baru, sebagai berikut:
      • Periksa nama aturan penerusan berbahaya. Nama aturan dapat bervariasi dari nama sederhana, seperti "Teruskan Semua Email" dan "Penerusan otomatis", atau nama yang menipu, seperti ".". Nama aturan penerusan bahkan bisa kosong, dan penerima penerusan bisa menjadi satu akun email atau seluruh daftar. Aturan berbahaya juga dapat disembunyikan dari antarmuka pengguna. Setelah terdeteksi, Anda dapat menggunakan posting blog bermanfaat ini tentang cara menghapus aturan tersembunyi dari kotak surat.
      • Jika Anda mendeteksi aturan penerusan yang tidak dikenal ke alamat email internal atau eksternal yang tidak dikenal, Anda dapat mengasumsikan bahwa akun kotak masuk disusupi.
   2. Aturan kotak masuk baru, seperti "hapus semua", "pindahkan pesan ke folder lain", atau aturan dengan konvensi penamaan yang tidak jelas, misalnya "...".

2. Tinjau aktivitas yang dilakukan dari alamat IP yang digunakan untuk membuat aturan untuk mendeteksi pengguna lain yang disusupi.

3. Tinjau daftar pesan yang diteruskan menggunakan pelacakan pesan Exchange Online.

Unduhan file yang tidak biasa (menurut pengguna)

Aktivitas yang menunjukkan bahwa pengguna melakukan sejumlah unduhan file yang tidak biasa dari platform penyimpanan cloud jika dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan upaya untuk mendapatkan informasi tentang organisasi. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku pengguna dan memicu pemberitahuan saat perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perilaku yang tidak biasa): Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan lebih banyak aktivitas unduhan file daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

3. FP (Sinkronisasi perangkat lunak): Jika Anda dapat mengonfirmasi bahwa perangkat lunak, seperti OneDrive, disinkronkan dengan cadangan eksternal yang menyebabkan pemberitahuan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aktivitas unduhan dan buat daftar file yang diunduh.
2. Tinjau sensitivitas file yang diunduh dengan pemilik sumber daya dan validasi tingkat akses.

Akses file yang tidak biasa (menurut pengguna)

Aktivitas yang menunjukkan bahwa pengguna melakukan sejumlah akses file yang tidak biasa di SharePoint atau OneDrive ke file yang berisi data keuangan atau data jaringan dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan upaya untuk mendapatkan informasi tentang organisasi, baik untuk tujuan keuangan atau untuk akses kredensial dan gerakan lateral. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku pengguna dan memicu pemberitahuan saat perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Periode pembelajaran tergantung pada aktivitas pengguna. Umumnya, periode pembelajaran adalah antara 21 dan 45 hari untuk sebagian besar pengguna.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perilaku yang tidak biasa): Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan lebih banyak aktivitas akses file daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aktivitas akses dan buat daftar file yang diakses.
2. Tinjau sensitivitas file yang diakses dengan pemilik sumber daya dan validasi tingkat akses.

Aktivitas berbagi file yang tidak biasa (menurut pengguna)

Aktivitas yang menunjukkan bahwa pengguna melakukan sejumlah tindakan berbagi file yang tidak biasa dari platform penyimpanan cloud jika dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan upaya untuk mendapatkan informasi tentang organisasi. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku pengguna dan memicu pemberitahuan saat perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perilaku yang tidak biasa): Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan lebih banyak aktivitas berbagi file daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aktivitas berbagi dan buat daftar file bersama.
2. Tinjau sensitivitas file bersama dengan pemilik sumber daya dan validasi tingkat akses.
3. Buat kebijakan file untuk dokumen serupa untuk mendeteksi berbagi file sensitif di masa mendatang.

Pemberitahuan dampak

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba memanipulasi, mengganggu, atau menghancurkan sistem dan data Anda di organisasi Anda.

Beberapa aktivitas hapus VM

Aktivitas dalam satu sesi yang menunjukkan bahwa pengguna melakukan sejumlah penghapusan VM yang tidak biasa jika dibandingkan dengan garis besar yang dipelajari. Beberapa penghapusan VM dapat menunjukkan upaya untuk mengganggu atau menghancurkan lingkungan. Namun, ada banyak skenario normal di mana VM dihapus.

TP, B-TP, atau FP?

Untuk meningkatkan akurasi dan peringatan hanya ketika ada indikasi pelanggaran yang kuat, deteksi ini menetapkan garis besar pada setiap lingkungan dalam organisasi untuk mengurangi insiden B-TP dan hanya memberi tahu ketika perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

• TP: Jika Anda dapat mengonfirmasi bahwa penghapusan tidak sah.

  Tindakan yang direkomendasikan: Menangguhkan pengguna, mengatur ulang kata sandi mereka, dan memindai semua perangkat untuk ancaman berbahaya. Tinjau semua aktivitas pengguna untuk indikator kompromi lainnya dan jelajahi cakupan dampak.

• B-TP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa administrator berwenang untuk melakukan aktivitas penghapusan ini.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Hubungi pengguna dan konfirmasi aktivitas.
2. Tinjau semua aktivitas pengguna untuk indikator penyusupan tambahan seperti pemberitahuan diikuti oleh salah satu pemberitahuan berikut: Perjalanan Tidak Memungkinkan, Aktivitas dari alamat IP anonim, atau Aktivitas dari negara yang jarang terjadi.

Aktivitas ransomware

Ransomware adalah serangan cyber di mana penyerang mengunci korban dari perangkat mereka atau memblokir mereka untuk mengakses file mereka sampai korban membayar tebusan. Ransomware dapat disebarkan oleh file bersama berbahaya atau jaringan yang disusupi. Defender untuk Cloud Apps menggunakan keahlian penelitian keamanan, inteligensi ancaman, dan pola perilaku yang dipelajari untuk mengidentifikasi aktivitas ransomware. Misalnya, tingkat tinggi unggahan file, atau penghapusan file, dapat mewakili proses enkripsi yang umum di antara operasi ransomware.

Deteksi ini menetapkan garis besar pola kerja normal setiap pengguna di organisasi Anda, seperti ketika pengguna mengakses cloud dan apa yang biasanya mereka lakukan di cloud.

Kebijakan deteksi ancaman otomatis Defender untuk Cloud Apps mulai berjalan di latar belakang sejak Anda terhubung. Menggunakan keahlian penelitian keamanan kami untuk mengidentifikasi pola perilaku yang mencerminkan aktivitas ransomware di organisasi kami, Defender untuk Cloud Apps menyediakan cakupan komprehensif terhadap serangan ransomware canggih.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP (Perilaku yang tidak biasa): Pengguna secara sah melakukan beberapa penghapusan dan mengunggah aktivitas file serupa dalam waktu singkat.

   Tindakan yang direkomendasikan: Setelah meninjau log aktivitas dan mengonfirmasi bahwa ekstensi file tidak mencurigakan, tutup pemberitahuan.

3. FP (Ekstensi file ransomware umum): Jika Anda dapat mengonfirmasi bahwa ekstensi file yang terpengaruh cocok untuk ekstensi ransomware yang diketahui.

   Tindakan yang direkomendasikan: Hubungi pengguna dan konfirmasikan file aman lalu tutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk indikator penyusupan lain seperti unduhan massal, atau penghapusan massal, file.
2. Jika Anda menggunakan Microsoft Defender untuk Titik Akhir, tinjau pemberitahuan komputer pengguna untuk melihat apakah file berbahaya terdeteksi.
3. Cari log aktivitas untuk aktivitas pengunggahan dan berbagi file berbahaya.

Aktivitas penghapusan file yang tidak biasa (menurut pengguna)

Aktivitas yang menunjukkan bahwa pengguna melakukan aktivitas penghapusan file yang tidak biasa jika dibandingkan dengan garis besar yang dipelajari. Ini dapat menunjukkan serangan ransomware. Misalnya, penyerang dapat mengenkripsi file pengguna dan menghapus semua yang asli, hanya menyisakan versi terenkripsi yang dapat digunakan untuk memaksa korban membayar tebusan. Defender untuk Cloud Apps membuat garis besar berdasarkan perilaku normal pengguna dan memicu pemberitahuan saat perilaku yang tidak biasa terdeteksi.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari di mana pemberitahuan tidak dipicu untuk lokasi baru apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas tidak dilakukan oleh pengguna yang sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. FP: Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan lebih banyak aktivitas penghapusan file daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aktivitas penghapusan dan buat daftar file yang dihapus. Jika diperlukan, pulihkan file yang dihapus.
2. Secara opsional, buat playbook menggunakan Power Automate untuk menghubungi pengguna dan manajer mereka untuk memverifikasi aktivitas.

Peningkatan skor prioritas investigasi (pratinjau)

Aktivitas dan aktivitas anomali yang memicu pemberitahuan diberikan skor berdasarkan tingkat keparahan, dampak pengguna, dan analisis perilaku pengguna. Analisis dilakukan berdasarkan pengguna lain di penyewa.

Ketika ada peningkatan signifikan dan anomali dalam skor prioritas investigasi pengguna tertentu, pemberitahuan akan dipicu.

Pemberitahuan ini memungkinkan mendeteksi potensi pelanggaran yang ditandai oleh aktivitas yang tidak selalu memicu pemberitahuan tertentu tetapi menumpuk ke perilaku mencurigakan bagi pengguna.

periode Pembelajaran

Menetapkan pola aktivitas pengguna baru memerlukan periode pembelajaran awal selama tujuh hari, di mana pemberitahuan tidak dipicu untuk peningkatan skor apa pun.

TP, B-TP, atau FP?

1. TP: Jika Anda dapat mengonfirmasi bahwa aktivitas pengguna tidak sah.

   Tindakan yang direkomendasikan: Tangguhkan pengguna, tandai pengguna sebagai disusupi, dan atur ulang kata sandi mereka.

2. B-TP: Jika Anda dapat mengonfirmasi bahwa pengguna memang menyimpang secara signifikan dari perilaku biasa, tetapi tidak ada potensi pelanggaran.

3. FP (Perilaku yang tidak biasa): Jika Anda dapat mengonfirmasi bahwa pengguna secara sah melakukan aktivitas yang tidak biasa, atau lebih banyak aktivitas daripada garis besar yang ditetapkan.

   Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas dan pemberitahuan pengguna untuk indikator kompromi tambahan.

Baca juga

Menyelidiki pengguna yang berisiko