Ottenere analisi del comportamento e rilevamento anomalie

Nota

Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

I criteri di rilevamento anomalie Microsoft Defender for Cloud Apps forniscono analisi utente ed entità predefinite e analisi del comportamento delle entità (UEBA) e Machine Learning (ML) in modo da poter eseguire il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché sono abilitati automaticamente, i nuovi criteri di rilevamento anomalie avviano immediatamente il processo di rilevamento e confronto dei risultati, destinati a numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i criteri espongono più dati dal motore di rilevamento delle app di Defender per il cloud, per velocizzare il processo di analisi e contenere minacce in corso.

I criteri di rilevamento anomalie vengono abilitati automaticamente, ma Defender per il cloud Apps ha un periodo di apprendimento iniziale di sette giorni durante il quale non vengono generati avvisi di rilevamento anomalie. In seguito, poiché i dati vengono raccolti dai connettori API configurati, ogni sessione viene confrontata con l'attività, quando gli utenti erano attivi, indirizzi IP, dispositivi e così via, rilevati negli ultimi mesi e il punteggio di rischio di queste attività. Tenere presente che potrebbero essere necessarie diverse ore per consentire la disponibilità dei dati dai connettori API. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristica che profila l'ambiente e attiva gli avvisi rispetto a una linea di base appresa sull'attività dell'organizzazione. Questi rilevamenti usano anche algoritmi di Machine Learning progettati per profilare gli utenti e il modello di accesso per ridurre i falsi positivi.

Le anomalie vengono rilevate mediante l'analisi delle attività degli utenti. Il rischio viene valutato sulla base di oltre 30 diversi indicatori, raggruppati in fattori di rischio, come segue:

  • Indirizzo IP rischioso
  • Errori di accesso
  • Attività amministrative
  • Account inattivi
  • Location
  • Comunicazione impossibile
  • Agente utente e dispositivo
  • Frequenza dell'attività

In base ai risultati dei criteri, vengono generati avvisi di sicurezza. Defender per il cloud App esamina ogni sessione utente nel cloud e avvisa quando si verifica qualcosa che è diverso dalla linea di base dell'organizzazione o dall'attività regolare dell'utente.

Oltre agli avvisi di Defender per il cloud app nativi, si otterranno anche gli avvisi di rilevamento seguenti in base alle informazioni ricevute da Azure Active Directory (AD) Identity Protection:

Questi criteri verranno visualizzati nella pagina Defender per il cloud Criteri app e possono essere abilitati o disabilitati.

Criteri di rilevamento anomalie

È possibile visualizzare i criteri di rilevamento anomalie nel portale facendo clic su Controllo e quindi su Criteri. Selezionare Criteri di rilevamento anomalie per il tipo di criteri.

new anomaly detection policies.

Sono disponibili i criteri di rilevamento anomalie seguenti:

Comunicazione impossibile

  • Questo rilevamento identifica due attività utente (in una singola o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al momento in cui l'utente avrebbe dovuto viaggiare dalla prima posizione al secondo, indicando che un utente diverso usa le stesse credenziali. Questo rilevamento usa un algoritmo di Machine Learning che ignora gli evidenti "falsi positivi" che contribuiscono alla condizione di viaggio impossibile, ad esempio VPN e posizioni regolarmente usate da altri utenti dell'organizzazione. Il rilevamento ha un periodo di apprendimento iniziale di sette giorni durante il quale apprende un nuovo modello di attività dell'utente. Il rilevamento di tipo comunicazione impossibile identifica attività insolite e impossibili tra utenti in due località diverse. L'attività deve essere sufficientemente insolita da essere considerata indicativa di compromissione e adatta a generare un avviso. Per rendere questo lavoro, la logica di rilevamento include diversi livelli di eliminazione per affrontare scenari che possono attivare falsi positivi, ad esempio attività VPN o attività da provider di servizi cloud che non indicano una posizione fisica. Il dispositivo di scorrimento di riservatezza consente di influire sull'algoritmo e definire il modo in cui è rigorosa la logica di rilevamento. Maggiore è il livello di riservatezza, meno attività verranno eliminate come parte della logica di rilevamento. In questo modo, è possibile adattare il rilevamento alle esigenze di copertura e alle destinazioni SNR.

    Nota

    • Quando gli indirizzi IP su entrambi i lati del viaggio sono considerati sicuri, il viaggio è attendibile ed escluso dall'attivazione del rilevamento di viaggi impossibili. Ad esempio, entrambi i lati sono considerati sicuri se sono contrassegnati come aziendali. Tuttavia, se l'indirizzo IP di un solo lato del viaggio è considerato sicuro, il rilevamento viene attivato come normale.
    • Le posizioni vengono calcolate a livello di paese. Ciò significa che non ci saranno avvisi per due azioni che provengono dallo stesso paese o nei paesi di confine.

Attività da un paese non frequente

  • Questo rilevamento prende in considerazione le località di attività passate per determinare località nuove e non frequenti. Il motore di rilevamento delle anomalie archivia le informazioni sulle località precedenti usate dagli utenti dell'organizzazione. Quando un'attività viene eseguita da una località da cui gli utenti dell'organizzazione non hanno mai eseguito l'accesso o non lo hanno eseguito di recente, viene generato un avviso.

Rilevamento di malware

  • Questo rilevamento identifica i file dannosi presenti nell'archiviazione cloud, sia nelle app Microsoft che nelle app di terze parti. Microsoft Defender for Cloud Apps usa l'intelligence sulle minacce di Microsoft per riconoscere se determinati file sono associati a attacchi malware noti e sono potenzialmente dannosi. Per impostazione predefinita, questo criterio predefinito è disattivato. Anche i file che si trovano potenzialmente rischiosi in base all'euristica verranno analizzati in sandbox. Dopo aver rilevato file dannosi, è quindi possibile visualizzare un elenco di file infetti. Selezionare il nome del file malware nel cassetto file per aprire un report malware che fornisce informazioni sul tipo di malware con cui il file è infettato.

    È possibile usare questo rilevamento in tempo reale usando i criteri di sessione per controllare i caricamenti e i download dei file.

    Defender per il cloud Apps supporta il rilevamento malware per le app seguenti:

    • Box
    • Dropbox
    • Area di lavoro Google
    • Office 365 (richiede una licenza valida per Microsoft Defender per Office 365 P1)

    Nota

    Il malware rilevato nelle app Office 365 viene bloccato automaticamente dall'app e l'utente non riesce a raggiungere il file. Solo l'amministratore dell'app ha accesso.

    In Box, Dropbox e Google Workspace, Defender per il cloud Apps non blocca il file, ma il blocco può essere eseguito in base alle funzionalità dell'app e alla configurazione dell'app impostata dal cliente.

Attività da indirizzi IP anonimi

  • Questo rilevamento indica che erano presenti utenti attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per finalità dannose. Questo rilevamento usa un algoritmo di Machine Learning che riduce "falsi positivi", ad esempio gli indirizzi IP con tag non consentiti ampiamente usati dagli utenti dell'organizzazione.

Attività ransomware

  • Defender per il cloud App ha esteso le funzionalità di rilevamento ransomware con rilevamento anomalie per garantire una copertura più completa contro attacchi ransomware sofisticati. Usando la nostra esperienza di ricerca sulla sicurezza per identificare i modelli comportamentali che riflettono l'attività ransomware, Defender per il cloud App garantisce una protezione olistica e affidabile. Se Defender per il cloud Apps identifica, ad esempio, un tasso elevato di caricamenti o attività di eliminazione dei file può rappresentare un processo di crittografia negativo. Questi dati vengono raccolti nei log ricevuti dalle API connesse e vengono quindi combinati con i modelli comportamentali acquisiti e le informazioni sulle minacce, ad esempio, le estensioni ransomware note. Per altre informazioni sul modo in cui le app Defender per il cloud rilevano ransomware, vedere Protezione dell'organizzazione da ransomware.

Attività eseguita da un utente terminato

  • Questo rilevamento consente di identificare quando un dipendente terminato continua a eseguire azioni sulle app SaaS. Poiché i dati dimostrano che il rischio più grave di minaccia interna proviene dai dipendenti che hanno lasciato l'azienda in cattivi rapporti, è importante monitorare l'attività degli account dei dipendenti terminati. In alcuni casi, quando un dipendente lascia una società, viene effettuato il deprovisioning dell'account dalle app aziendali, ma in molti casi i dipendenti hanno ancora accesso a determinate risorse aziendali. Questo è ancora più importante quando si tratta di account con privilegi, perché il danno potenziale che può arrecare un ex amministratore è intrinsecamente maggiore. Questo rilevamento sfrutta la possibilità di Defender per il cloud App per monitorare il comportamento utente tra le app, consentendo l'identificazione dell'attività regolare dell'utente, il fatto che l'account è stato eliminato e l'attività effettiva in altre app. Ad esempio, un dipendente il cui account Azure AD è stato eliminato, ma ha ancora accesso all'infrastruttura AWS aziendale, ha il potenziale di causare danni su larga scala.

Il rilevamento cerca gli utenti i cui account sono stati eliminati in Azure AD, ma ancora eseguono attività in altre piattaforme, ad esempio AWS o Salesforce. Ciò è particolarmente rilevante per gli utenti che usano un altro account (non il proprio account Single Sign-On primario) per gestire le risorse, poiché questi account spesso non vengono eliminati quando un utente lascia l'azienda.

Attività da indirizzi IP sospetti

  • Questo rilevamento individua gli utenti attivi da un indirizzo IP che è stato identificato come rischioso dall'intelligence per le minacce di Microsoft. Questi indirizzi IP sono coinvolti in attività dannose, ad esempio l'esecuzione di spray password, Botnet CC& e possono indicare l'account compromesso. Questo rilevamento usa un algoritmo di Machine Learning che riduce "falsi positivi", ad esempio gli indirizzi IP con tag non consentiti ampiamente usati dagli utenti dell'organizzazione.

Inoltro sospetto della Posta in arrivo

  • Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.

Nota

Defender per il cloud App avvisa solo l'utente per ogni regola di inoltro identificata come sospetta, in base al comportamento tipico per l'utente.

Regole di manipolazione della posta in arrivo sospette

  • Questo criterio di rilevamento profila l'ambiente e genera avvisi quando nella Posta in arrivo di un utente vengono configurate regole sospette per eliminare o spostare messaggi o cartelle. Ciò potrebbe indicare che l'account utente è danneggiato, che i messaggi vengono nascosti intenzionalmente e che la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.

Attività di eliminazione di posta elettronica sospetta (anteprima)

  • Questo criterio profila l'ambiente e attiva gli avvisi quando un utente esegue attività di eliminazione di posta elettronica sospette in una singola sessione. Questo criterio può indicare che le cassette postali di un utente possono essere compromesse da potenziali vettori di attacco, ad esempio la comunicazione da comando e controllo (CC&/C2) tramite posta elettronica.

Nota

Defender per il cloud App si integra con Microsoft Defender per Office 365 per fornire protezione per Exchange online, tra cui detonazione URL, protezione malware e altro ancora. Dopo aver abilitato Defender per Office 365, si inizieranno a visualizzare gli avvisi nel log attività delle app Defender per il cloud.

Attività di download di file di app OAuth sospette

  • Analizza le app OAuth connesse all'ambiente e attiva un avviso quando un'app scarica più file da Microsoft SharePoint o Microsoft OneDrive in modo insolito per l'utente. Ciò può indicare che l'account utente è compromesso.

ISP insolito per un'app OAuth

  • Questo criterio profila l'ambiente e attiva gli avvisi quando un'app OAuth si connette alle applicazioni cloud da un ISP non comune. Questo criterio può indicare che un utente malintenzionato ha tentato di usare un'app compromessa legittima per eseguire attività dannose nelle applicazioni cloud.

Attività insolita (per utente)

Questi rilevamenti identificano gli utenti che eseguono:

  • Più attività insolite di download di file
  • Attività insolite di condivisione file
  • Attività insolite di eliminazione file
  • Attività insolite di rappresentazione
  • Attività amministrative insolite
  • Attività di condivisione report insolite Power BI (anteprima)
  • Attività di creazione di più macchine virtuali insolite (anteprima)
  • Attività di eliminazione di archiviazione insolite (anteprima)
  • Area insolita per la risorsa cloud (anteprima)
  • Accesso insolito ai file

Questi criteri cercano attività in una singola sessione, rispetto alla linea di base appresa, che potrebbero indicare un tentativo di violazione. Questi rilevamenti sfruttano un algoritmo di Machine Learning che profila il modello di accesso degli utenti e riduce i falsi positivi. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristica che profila l'ambiente e attiva gli avvisi rispetto a una linea di base appresa sull'attività dell'organizzazione.

Più tentativi di accesso non riusciti

  • Questo rilevamento identifica gli utenti che hanno effettuato più tentativi di accesso non riusciti in una singola sessione, rispetto alla linea di base appresa, che potrebbero indicare un tentativo di violazione.

Estrazione di dati verso app non approvate

  • Questo criterio viene abilitato automaticamente per l'invio di avvisi quando un utente o indirizzo IP usa un'app non approvata per l'esecuzione di un'attività che costituisce un tentativo di estrarre informazioni dall'organizzazione.

Più attività di eliminazione di VM

  • Questo criterio delinea il profilo dell'ambiente e attiva gli avvisi quando gli utenti eliminano più macchine virtuali in una singola sessione rispetto alla baseline dell'organizzazione. Ciò potrebbe indicare un tentativo di violazione.

Abilitare la governance automatizzata

Negli avvisi generati da criteri di rilevamento anomalie, è possibile abilitare azioni di correzione automatizzate.

  1. Selezionare il nome dei criteri di rilevamento nella pagina Criteri .
  2. Nella finestra Modifica criteri di rilevamento anomalie che viene aperta impostare le azioni di correzione desiderate per ogni app connessa o per tutte le app in corrispondenza di Governance.
  3. Selezionare Aggiorna.

Ottimizzare i criteri di rilevamento anomalie

Per modificare il funzionamento del motore di rilevamento delle anomalie per impedire o consentire la visualizzazione di avvisi in base alle proprie preferenze:

  • Nel criterio relativo alIo spostamento fisico impossibile si può impostare il dispositivo di scorrimento della sensibilità in modo da determinare il livello di comportamento anomalo che deve essere raggiunto prima che venga attivato un avviso. Ad esempio, se lo si imposta su basso, gli avvisi di viaggio impossibili verranno eliminati dalle posizioni comuni di un utente e, se è impostato su alto, verranno visualizzati tali avvisi. È possibile scegliere tra i livelli di sensibilità seguenti:

    • Bassa: richieste di eliminazione a livello di sistema, tenant e utente

    • Media: richieste di eliminazione a livello di sistema e utente

    • Alta: solo richieste di eliminazione a livello di sistema

      Dove:

      Tipo di eliminazione Descrizione
      Sistema Rilevamenti predefiniti che vengono sempre eliminati.
      Tenant Attività comuni basate sull'attività precedente nel tenant. Un esempio è l'eliminazione di attività derivanti da un provider di servizi Internet già segnalato nell'organizzazione.
      Utente Attività comuni basate sull'attività precedente dell'utente specifico. Un esempio è l'eliminazione di attività svolte in una località in cui l'utente soggiorna spesso.

Nota

Per impostazione predefinita, i protocolli di accesso legacy, ad esempio quelli che non usano l'autenticazione a più fattori ,ad esempio WS-Trust, non vengono monitorati dai criteri di viaggio impossibili. Se l'organizzazione usa protocolli legacy, per evitare attività pertinenti mancanti, modificare i criteri e in Configurazione avanzata, impostare Analizza le attività di accesso su Tutti gli accessi.

Definire l'ambito dei criteri di rilevamento anomalie

È possibile definire un ambito in modo indipendente per tutti i criteri di rilevamento anomalie, in modo che siano applicabili solo agli utenti e ai gruppi che si vuole includere ed escludere nei criteri. Ad esempio, è possibile impostare il rilevamento delle attività da un paese non frequente in modo da ignorare un utente specifico che viaggia di frequente.

Per definire l'ambito per un criterio di rilevamento anomalie:

  1. Selezionare ControlPolicies> e impostare il filtro Type su Criteri di rilevamento anomalie.

  2. Selezionare i criteri da applicare.

  3. In Ambito modificare l'impostazione predefinita nell'elenco a discesa Tutti gli utenti e gruppi selezionando Specific users and groups (Utenti e gruppi specifici).

  4. Selezionare Includi per specificare gli utenti e i gruppi per chi verrà applicato questo criterio. Qualsiasi utente o gruppo non selezionato qui non verrà considerato una minaccia e non genererà un avviso.

  5. Selezionare Escludi per specificare gli utenti per cui questo criterio non verrà applicato. Tutti gli utenti selezionati qui non verranno considerati una minaccia e non genereranno un avviso, anche se sono membri di gruppi selezionati in Includi.

    anomaly detection scoping.

Valutazione degli avvisi di rilevamento anomalie

È possibile valutare rapidamente i vari avvisi attivati dai nuovi criteri di rilevamento anomalie e decidere per quali intervenire prima. A tale scopo, è necessario il contesto per l'avviso, quindi è possibile visualizzare l'immagine più grande e comprendere se qualcosa di dannoso sta effettivamente accadendo.

  1. Nel log attività è possibile aprire un'attività per visualizzare il pannello attività. Selezionare Utente per visualizzare la scheda Informazioni dettagliate utente. Questa scheda include informazioni come il numero di avvisi, le attività e la posizione in cui sono connessi, che è importante in un'indagine.

    anomaly detection alert1.anomaly detection alert2.

  2. Ciò consente di comprendere le attività sospette eseguite dall'utente e ottenere informazioni più approfondite per stabilire se l'account è stato compromesso. Ad esempio, un avviso per più accessi non riusciti può essere effettivamente sospetto e indicare potenziali attacchi di forza bruta, ma può anche essere dovuto a un errore di configurazione dell'applicazione, a causa del quale l'avviso è un vero positivo non dannoso. Tuttavia, se viene visualizzato un avviso con più account di accesso non riusciti con attività sospette aggiuntive, è probabile che l'account venga compromesso. Nell'esempio seguente è possibile notare che l'avviso Più tentativi di accesso non riusciti è stato seguito da Attività da un indirizzo IP Tor e Attività di tipo comunicazione impossibile, entrambi sicuri indicatori di compromissione (IOC) da soli. Se questo non era abbastanza sospetto, è possibile notare che lo stesso utente ha eseguito un'attività di download di massa, che spesso è un indicatore dell'utente malintenzionato che esegue l'esfiltrazione dei dati.

    anomaly detection alert3.

  3. I file rilevati come infetti da malware sono visualizzabili in un elenco di file infetti. Selezionare il nome del file malware nel cassetto file per aprire un report malware che fornisce informazioni sul tipo di malware con cui il file è infettato.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.