Gedragsanalyses en anomaliedetectie opsporing

Het beleid voor anomaliedetectie van Microsoft Defender for Cloud Apps biedt kant-en-klaar user and entity behavioral analytics (UEBA) en machine learning (ML), zodat u vanaf het begin klaar bent om geavanceerde detectie van bedreigingen uit te voeren in uw cloudomgeving. Omdat ze automatisch worden ingeschakeld, start het nieuwe beleid voor anomaliedetectie onmiddellijk het proces van het detecteren en sorteren van resultaten, gericht op talloze gedragsafwijkingen voor uw gebruikers en de computers en apparaten die zijn verbonden met uw netwerk. Daarnaast worden met het beleid meer gegevens van de Defender for Cloud Apps-detectie-engine beschikbaar, om u te helpen het onderzoeksproces te versnellen en doorlopende bedreigingen te voorkomen.

Het beleid voor anomaliedetectie wordt automatisch ingeschakeld, maar Defender for Cloud Apps heeft een initiële leerperiode van zeven dagen waarin niet alle waarschuwingen voor anomaliedetectie worden verhoogd. Daarna wordt, wanneer gegevens worden verzameld uit de geconfigureerde API-connectors, elke sessie vergeleken met de activiteit, wanneer gebruikers actief waren, IP-adressen, apparaten, en meer, gedetecteerd in de afgelopen maand en de risicoscore van deze activiteiten. Het kan enkele uren duren voordat gegevens beschikbaar zijn via API-connectors. Deze detecties maken deel uit van de heuristische anomaliedetectie-engine die uw omgeving profileert en waarschuwingen activeert met betrekking tot een basislijn die is geleerd over de activiteiten van uw organisatie. Deze detecties maken ook gebruik machine learning algoritmen die zijn ontworpen om de gebruikers te profileren en aan te melden om fout-positieven te verminderen.

Als u de gebruikersactiviteit scant, worden afwijkingen gedetecteerd. Het risico wordt geëvalueerd door als volgt te kijken naar meer dan 30 verschillende risico-indicatoren, gegroepeerd in risicofactoren:

• Riskant IP-adres
• Aanmeldingsfouten
• Beheerdersactiviteit
• Inactieve accounts
• Locatie
• Onmogelijk traject
• Apparaat- en gebruikersagent
• Activiteitsfrequentie

Beveiligingswaarschuwingen worden op basis van de beleidsresultaten geactiveerd. Defender for Cloud Apps kijkt naar elke gebruikerssessie in uw cloud en waarschuwt u wanneer er iets gebeurt dat verschilt van de basislijn van uw organisatie of van de normale activiteit van de gebruiker.

Naast native Waarschuwingen voor Defender for Cloud Apps krijgt u ook de volgende detectiewaarschuwingen op basis van informatie die is ontvangen van Azure Active Directory (AD) Identity Protection:

• Gelekte referenties: wordt geactiveerd wanneer de geldige referenties van een gebruiker zijn gelekt. Zie Azure AD-detectie voor Gelekte referenties informatie.
• Riskante aanmelding: Combineert een aantal Azure AD Identity Protection aanmeldingsdetecties in één detectie. Zie Aanmeldingsrisicodetecties van Azure AD voor meer informatie.

Deze beleidsregels worden weergegeven op de pagina Beleidsregels voor Defender for Cloud Apps en kunnen worden ingeschakeld of uitgeschakeld.

Beleid voor anomaliedetectie

U kunt het beleid voor anomaliedetectie in de portal bekijken door te klikken op Controle en vervolgens op Beleidsregels. Selecteer Beleid voor anomaliedetectie voor het beleidstype.

De volgende beleidsregels voor anomaliedetectie zijn beschikbaar:

Onmogelijk traject

• Deze detectie identificeert twee gebruikersactiviteiten (in één of meerdere sessies) die afkomstig zijn van geografisch verafgelegen locaties binnen een periode die korter is dan de tijd die de gebruiker nodig zou hebben gehad om van de eerste locatie naar de tweede locatie te gaan, wat aangeeft dat een andere gebruiker dezelfde referenties gebruikt. Deze detectie maakt gebruik van een machine learning-algoritme dat duidelijke 'fout-positieven' negeert die bijdragen aan de onmogelijke reisvoorwaarde, zoals VPN's en locaties die regelmatig worden gebruikt door andere gebruikers in de organisatie. De detectie heeft een initiële leerperiode van zeven dagen waarin het activiteitenpatroon van een nieuwe gebruiker wordt geleerd. De detectie van onmogelijke reizen identificeert ongebruikelijke en onmogelijke gebruikersactiviteit tussen twee locaties. De activiteit moet ongebruikelijk genoeg zijn om te worden beschouwd als een indicator van een compromis en de waarschuwing waard. Om dit te laten werken, bevat de detectielogica verschillende onderdrukkingsniveaus om scenario's aan te pakken die fout-positief kunnen activeren, zoals VPN-activiteiten. Met de schuifregelaar gevoeligheid kunt u het algoritme beïnvloeden en definiëren hoe strikt de detectielogica is. Hoe hoger het gevoeligheidsniveau, hoe minder activiteiten worden onderdrukt als onderdeel van de detectielogica. Op deze manier kunt u de detectie aanpassen op basis van uw dekkingsbehoeften en uw SNR-doelen.

  Notitie

  • Wanneer de IP-adressen aan beide zijden van de reis als veilig worden beschouwd, wordt de reis vertrouwd en uitgesloten van het activeren van Onmogelijk traject detectie. Beide zijden worden bijvoorbeeld als veilig beschouwd als ze zijn gelabeld als bedrijfs-. Als het IP-adres van slechts één kant van de reis echter als veilig wordt beschouwd, wordt de detectie op de normale manier geactiveerd.
  • De locaties worden berekend op landniveau. Dit betekent dat er geen waarschuwingen worden ontvangen voor twee acties die afkomstig zijn uit hetzelfde land of in de landen aan de rand.

Activiteit van niet vaak gebruikt land

• Deze detectie bekijkt eerdere activiteitlocaties om nieuwe en niet-frequente locaties vast te stellen. De engine voor de detectie van afwijkingen slaat informatie op over eerdere locaties die worden gebruikt door gebruikers in de organisatie. Er wordt een waarschuwing geactiveerd wanneer een activiteit plaatsvindt vanaf een locatie die niet recent of nooit is bezocht door een gebruiker in de organisatie.

Detectie van malware

• Met deze detectie worden schadelijke bestanden in uw cloudopslag geïdentificeerd, ongeacht of deze afkomstig zijn van uw Microsoft-apps of apps van derden. Microsoft Defender voor Cloud Apps maakt gebruik van de bedreigingsinformatie van Microsoft om te herkennen of bepaalde bestanden zijn gekoppeld aan bekende malware-aanvallen en mogelijk schadelijk zijn. Dit ingebouwde beleid is standaard uitgeschakeld. Niet elk bestand wordt gescand, maar er worden heuristieken gebruikt om te zoeken naar bestanden die potentieel riskant zijn. Nadat bestanden zijn gedetecteerd, ziet u een lijst met geïnfecteerde bestanden. Klik op de naam van het malwarebestand in de bestandslade om een malwarerapport te openen met informatie over het type malware waar het bestand mee is geïnfecteerd.

  U kunt deze detectie in realtime gebruiken met sessiebeleid om het uploaden en downloaden van bestanden te controleren.

  Notitie

  Defender for Cloud Apps ondersteunt detectie van malware voor de volgende apps:

  • Box
  • Dropbox
  • Google-werkruimte
  • Office 365 (vereist een geldige licentie voor Microsoft Defender voor Office 365 P1)

Activiteit van anonieme IP-adressen

• Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres. Deze -proxies worden gebruikt door mensen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadwillende bedoelingen. Deze detectie maakt gebruik van een machine learning algoritme dat 'fout-positieven' vermindert, zoals verkeerd getagde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.

Ransomware-activiteit

• Defender for Cloud Apps heeft de mogelijkheden voor ransomwaredetectie uitgebreid met anomaliedetectie om te zorgen voor een uitgebreidere dekking tegen geavanceerde ransomware-aanvallen. Door gebruik te maken van onze expertise op het gebied van beveiligingsonderzoek om gedragspatronen te identificeren die ransomwareactiviteiten weerspiegelen, zorgt Defender for Cloud Apps voor holistische en robuuste beveiliging. Als Defender for Cloud Apps bijvoorbeeld een groot aantal bestandsuploads of activiteiten voor het verwijderen van bestanden identificeert, kan dit een nadelig versleutelingsproces vertegenwoordigen. Deze gegevens worden verzameld in de logboeken die worden ontvangen van verbonden API's en worden vervolgens gecombineerd met geleerde gedragspatronen en bedreigingsinformatie, bijvoorbeeld bekende ransomware-extensies. Zie Protecting your organization against ransomware (Uw organisatie beveiligen tegen ransomware) voor meer informatie over hoe Defender for Cloud Apps ransomware detecteert.

Activiteit uitgevoerd door beëindigde gebruiker

• Met deze detectie kunt u bepalen wanneer een beëindigde werknemer acties blijft uitvoeren op uw SaaS-apps. Omdat uit gegevens blijkt dat het grootste risico op bedreigingen van binnenuit afkomstig is van werknemers die op slechte voorwaarden zijn vertrokken, is het belangrijk om de activiteit van accounts van beëindigde werknemers in de gaten te houden. Wanneer werknemers een bedrijf verlaten, worden hun accounts soms verwijderd uit zakelijke apps, maar in veel gevallen behouden ze nog steeds toegang tot bepaalde bedrijfsresources. Dit is nog belangrijker bij het overwegen van bevoegde accounts, omdat de potentiële schade die een voormalige beheerder kan aanrichten inherent groter is. Deze detectie maakt gebruik van de Defender for Cloud Apps-mogelijkheid om het gedrag van gebruikers in apps te bewaken, zodat de normale activiteit van de gebruiker kan worden geïdentificeerd, het feit dat het account is beëindigd en de werkelijke activiteit in andere apps. Een werknemer met een Azure AD-account is bijvoorbeeld beëindigd, maar nog steeds toegang heeft tot de bedrijfsinfrastructuur van AWS, kan grootschalige schade veroorzaken.

De detectie zoekt naar gebruikers van wie het account is beëindigd in Azure AD, maar nog steeds activiteiten uitvoeren op andere platforms, zoals AWS of Salesforce. Dit is vooral relevant voor gebruikers die een ander account gebruiken (niet hun primaire account voor een aanmelding) om resources te beheren, omdat deze accounts vaak niet worden beëindigd wanneer een gebruiker het bedrijf verlaat.

Activiteit van verdachte IP-adressen

• Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat door Bedreigingsinformatie van Microsoft is geïdentificeerd als riskant. Deze IP-adressen zijn betrokken bij schadelijke activiteiten, zoals het uitvoeren van wachtwoordspray, Botnet C C, en kunnen & duiden op een aangetast account. Deze detectie maakt gebruik van een machine learning algoritme dat 'fout-positieven' vermindert, zoals verkeerd getagde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.

Verdachte doorstuuractiviteit voor Postvak IN

• Deze detectie zoekt naar verdachte regels voor het doorsturen van e-mail, bijvoorbeeld als een gebruiker een regel voor postvak IN heeft gemaakt die een kopie van alle e-mailberichten doorst sturen naar een extern adres.

Verdachte bewerkingsregels voor Postvak IN

• Deze detectie profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor het verwijderen of verplaatsen van berichten of mappen zijn ingesteld in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is aangetast, dat berichten opzettelijk worden verborgen en dat het postvak wordt gebruikt om spam of malware in uw organisatie te distribueren.

Suspicious email deletion activity (Preview) (Verdachte activiteit voor het verwijderen van e-mail (preview)

• Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer een gebruiker verdachte activiteiten voor het verwijderen van e-mail in één sessie uitvoert. Dit beleid kan erop wijzen dat de postvakken van een gebruiker mogelijk worden aangetast door mogelijke aanvalsvectoren, zoals command-and-control communication (C & C/C2) via e-mail.

Suspicious OAuth app download activities (Verdachte activiteiten bij het downloaden van OAuth-app-bestanden)

• Scant de OAuth-apps die zijn verbonden met uw omgeving en activeert een waarschuwing wanneer een app meerdere bestanden van Microsoft SharePoint of Microsoft OneDrive downloadt op een manier die ongebruikelijk is voor de gebruiker. Dit kan erop wijzen dat het gebruikersaccount is aangetast.

Unusual ISP for an OAuth App

• Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer een OAuth-app verbinding maakt met uw cloudtoepassingen van een ongebruikelijke ISP. Dit beleid kan erop wijzen dat een aanvaller probeert een legitieme gecompromitteerde app te gebruiken om schadelijke activiteiten uit te voeren op uw cloudtoepassingen.

Ongebruikelijke activiteiten (per gebruiker)

Deze detecties identificeren gebruikers die het volgende uitvoeren:

• Unusual multiple file download activities (Ongebruikelijke downloadactiviteiten voor meerdere bestanden)
• Unusual file share activities (Ongebruikelijke activiteiten voor bestands delen)
• Unusual file deletion activities (Ongebruikelijke activiteiten bij het verwijderen van bestanden)
• Ongebruikelijke, imiteerde activiteiten
• Ongebruikelijke beheeractiviteiten
• Unusual Power BI report sharing activities (preview) (Ongebruikelijke activiteiten voor het delen van rapport (preview)
• Unusual multiple VM creation activities (preview) (Ongebruikelijke activiteiten voor het maken van VM's (preview)
• Unusual multiple storage deletion activities (preview) (Ongebruikelijke activiteiten voor het verwijderen van opslag (preview)
• Ongebruikelijke regio voor cloudresource (preview)
• Ongebruikelijke bestandstoegang

Deze beleidsregels zoeken naar activiteiten binnen één sessie met betrekking tot de geleerde basislijn, wat kan wijzen op een poging tot inbreuk. Deze detecties maken gebruik van machine learning algoritme waarmee het gebruikerslogboekpatroon wordt geprofielen en fout-positieven worden verkleind. Deze detecties maken deel uit van de heuristische anomaliedetectie-engine die uw omgeving profileert en waarschuwingen activeert met betrekking tot een basislijn die is geleerd over de activiteiten van uw organisatie.

Meerdere mislukte aanmeldingspogingen

• Deze detectie identificeert gebruikers die meerdere aanmeldingspogingen in één sessie hebben mislukt met betrekking tot de geleerde basislijn, wat kan wijzen op een poging tot inbreuk.

Gegevens exfiltratie naar niet-geanctioneerde apps

• Dit beleid wordt automatisch ingeschakeld om u te waarschuwen wanneer een gebruiker of IP-adres een app gebruikt die niet is goedgekeurd voor het uitvoeren van een activiteit die lijkt op een poging om gegevens uit uw organisatie te exfiltreren.

Meerdere VM-activiteiten verwijderen

• Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer gebruikers meerdere VM's in één sessie verwijderen ten opzichte van de basislijn in uw organisatie. Dit kan wijzen op een poging tot inbreuk.

Geautomatiseerde governance inschakelen

U kunt geautomatiseerde herstelacties inschakelen voor waarschuwingen die worden gegenereerd door beleidsregels voor anomaliedetectie.

1. Klik op de naam van het detectiebeleid op de pagina Beleid.
2. Stel in het venster Beleid voor anomaliedetectie bewerken dat wordt geopend onder Governance de herstelacties in die u wilt gebruiken voor elke verbonden app of voor alle apps.
3. Klik op Update.

Beleidsregels voor anomaliedetectie afstemmen

Als u van invloed wilt zijn op de anomaliedetectie-engine om waarschuwingen te onderdrukken of weer te geven op basis van uw voorkeuren:

• In het beleid Onmogelijke reis kunt u de schuifregelaar voor gevoeligheid instellen om het niveau van afwijkende gedrag te bepalen dat nodig is voordat een waarschuwing wordt geactiveerd. Als u deze bijvoorbeeld in stelt op laag, worden meldingen over onmogelijke reizen onderdrukt vanaf de algemene locaties van een gebruiker. Als u deze in stelt op Hoog, worden dergelijke waarschuwingen weergeven. U kunt kiezen uit de volgende gevoeligheidsniveaus:

  • Laag:Systeem-, tenant- en gebruikersonderdrukkingen

  • Gemiddeld:Systeem- en gebruikersonderdrukkingen

  • Hoog:alleen systeemonderdrukkingen

    Waar:

    Onderdrukkingstype	Description
    Systeem	Ingebouwde detecties die altijd worden onderdrukt.
    Tenant	Algemene activiteiten op basis van vorige activiteit in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een isp die eerder is gewaarschuwd in uw organisatie.
    Gebruiker	Algemene activiteiten op basis van vorige activiteit van de specifieke gebruiker. Bijvoorbeeld activiteiten onderdrukken vanaf een locatie die vaak wordt gebruikt door de gebruiker.

• U kunt ook configureren of de waarschuwingen voor Activiteit van niet-vaak gebruikt land/regio, anonieme IP-adressen, verdachte IP-adressen en onmogelijke reizen zowel mislukte als geslaagde aanmeldingen of alleen geslaagde aanmeldingen moeten analyseren.

Beleid voor anomaliedetectiebereik

Elk beleid voor anomaliedetectie kan onafhankelijk van elkaar worden toegepast, zodat het alleen van toepassing is op de gebruikers en groepen die u wilt opnemen en uitsluiten in het beleid. U kunt bijvoorbeeld de activiteit van de niet-frequente countydetectie instellen om een specifieke gebruiker te negeren die regelmatig wordt verplaatst.

Het bereik van een beleid voor anomaliedetectie:

1. Klik opBeleidsregelsvoor beheer en stel het filter Type in op Beleid voor anomaliedetectie.

2. Klik op het beleid dat u wilt bereik.

3. Wijzig onderBereik de vervolgkeuzeop van de standaardinstelling van Alle gebruikers engroepen in Specifieke gebruikers en groepen.

4. Selecteer Opnemen om de gebruikers en groepen op te geven voor wie dit beleid van toepassing is. Elke gebruiker of groep die hier niet is geselecteerd, wordt niet beschouwd als een bedreiging en genereert geen waarschuwing.

5. Selecteer Uitsluiten om gebruikers op te geven voor wie dit beleid niet van toepassing is. Elke gebruiker die hier is geselecteerd, wordt niet beschouwd als een bedreiging en genereert geen waarschuwing, zelfs niet als ze lid zijn van groepen die zijn geselecteerd onder Opnemen.

   

Waarschuwingen voor anomaliedetectie triageer

U kunt de verschillende waarschuwingen die door het nieuwe beleid voor anomaliedetectie worden geactiveerd, snel opsporen en bepalen welke het eerst moeten worden afgenomen. Hiervoor hebt u de context voor de waarschuwing nodig, zodat u het grotere geheel kunt zien en kunt zien of er inderdaad iets schadelijks gebeurt.

1. In het activiteitenlogboek kuntu een activiteit openen om de activiteitslade weer te geven. Klik op Gebruiker om het tabblad Gebruikersinzichten weer te geven. Dit tabblad bevat informatie zoals het aantal waarschuwingen, activiteiten en waarvandaan ze verbinding hebben, wat belangrijk is in een onderzoek.

   

2. Hierdoor kunt u begrijpen wat de verdachte activiteiten zijn die de gebruiker heeft uitgevoerd en krijgt u meer vertrouwen in of het account is aangetast. Een waarschuwing bij meerdere mislukte aanmeldingen kan bijvoorbeeld verdacht zijn en kan duiden op een mogelijke brute force-aanval, maar het kan ook een onjuiste configuratie van de toepassing zijn, waardoor de waarschuwing een goedaardig echt positief is. Als u echter een waarschuwing voor meerdere mislukte aanmeldingen met aanvullende verdachte activiteiten ziet, is de kans groter dat het account is aangetast. In het onderstaande voorbeeldziet u dat de waarschuwing Meerdere mislukte aanmeldingspogingen is gevolgd door Activiteit van een TOR-IP-adres en Onmogelijk traject-activiteit , beide sterke indicatoren van een compromis (IOC's) zelf. Als dit niet verdacht genoeg was, kunt u zien dat dezelfde gebruiker een activiteit massaal downloaden heeft uitgevoerd.Dit is vaak een indicator van de aanvaller die exfiltratie van gegevens heeft uitgevoerd.

   

3. Voor met malware geïnfecteerde bestanden ziet u, nadat bestanden zijn gedetecteerd, een lijst met geïnfecteerde bestanden. Klik op de naam van het malwarebestand in de bestandslade om een malwarerapport te openen met informatie over dat type malware waar het bestand mee is geïnfecteerd.

Gerelateerde video's

Volgende stappen

Als u problemen hebt, kunnen we u helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.