Anomaliedetectiewaarschuwingen onderzoeken

Notitie

We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Microsoft Defender for Cloud Apps biedt beveiligingsdetecties en waarschuwingen voor schadelijke activiteiten. Het doel van deze handleiding is om u algemene en praktische informatie te geven over elke waarschuwing, om u te helpen bij uw onderzoek en hersteltaken. Deze handleiding bevat algemene informatie over de voorwaarden voor het activeren van waarschuwingen. Het is echter belangrijk te weten dat omdat anomaliedetecties niet-deterministisch van aard zijn, ze alleen worden geactiveerd wanneer er gedrag is dat afwijkt van de norm. Ten slotte zijn sommige waarschuwingen mogelijk in preview, dus raadpleeg regelmatig de officiële documentatie voor de bijgewerkte waarschuwingsstatus.

MITRE ATTCK&

Om de relatie tussen Defender voor Cloud Apps-waarschuwingen en de vertrouwde MITRE ATTCK-matrix& gemakkelijker toe te wijzen en toe te wijzen, hebben we de waarschuwingen gecategoriseerd op basis van de bijbehorende MITRE ATTCK-tactiek&. Deze aanvullende verwijzing maakt het gemakkelijker om inzicht te hebben in de technieken voor verdachte aanvallen die mogelijk in gebruik zijn wanneer een Defender voor Cloud Apps-waarschuwing wordt geactiveerd.

Deze handleiding bevat informatie over het onderzoeken en herstellen van Defender voor Cloud Apps-waarschuwingen in de volgende categorieën.

Classificaties van beveiligingswaarschuwingen

Na een goed onderzoek kunnen alle Defender voor Cloud Apps-waarschuwingen worden geclassificeerd als een van de volgende activiteitstypen:

  • Terecht-positief (TP):een waarschuwing over een bevestigde schadelijke activiteit.
  • Goedaardig waar-positief (B-TP): een waarschuwing over verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
  • Fout-positief (FP):Een waarschuwing over een niet-schadelijke activiteit.

Algemene onderzoeksstappen

Gebruik de volgende algemene richtlijnen bij het onderzoeken van elk type waarschuwing om een duidelijker inzicht te krijgen in de mogelijke bedreiging voordat u de aanbevolen actie toepast.

  • Controleer de prioriteitsscore van de gebruiker en vergelijk met de rest van de organisatie. Hiermee kunt u bepalen welke gebruikers in uw organisatie het grootste risico vormen.
  • Als u een TP identificeert, controleert u alle activiteiten van de gebruiker om inzicht te krijgen in de impact.
  • Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken de bron en het bereik van de impact. Bekijk bijvoorbeeld de volgende apparaatgegevens van de gebruiker en vergelijk deze met bekende apparaatgegevens:
    • Besturingssysteem en versie
    • Browser en versie
    • IP-adres en -locatie

Eerste toegangswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert een eerste voet in uw organisatie te krijgen.

Activiteit vanaf anoniem IP-adres

Beschrijving

Activiteit van een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres door Microsoft Threat Intelligence of door uw organisatie. Deze proxy's kunnen worden gebruikt om het IP-adres van een apparaat te verbergen en kunnen worden gebruikt voor schadelijke activiteiten.

TP, B-TP of FP?

Deze detectie maakt gebruik van een machine learning-algoritme dat B-TP-incidenten vermindert, zoals verkeerd getagde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.

  1. TP: Als u kunt bevestigen dat de activiteit is uitgevoerd vanaf een anoniem of TOR-IP-adres.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. B-TP: Als een gebruiker anonieme IP-adressen gebruikt binnen het bereik van hun taken. Wanneer een beveiligingsanalist bijvoorbeeld beveiligings- of penetratietests uitvoert namens de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

Activiteit van niet-frequent land

Activiteit vanuit een land/regio die kan duiden op schadelijke activiteiten. Met dit beleid wordt uw omgeving geprofielen en waarschuwingen geactiveerd wanneer activiteit wordt gedetecteerd vanaf een locatie die niet onlangs is bezocht of nooit is bezocht door een gebruiker in de organisatie.

Standaard is het beleid geconfigureerd om alleen geslaagde aanmeldingsactiviteiten op te nemen, maar kan worden geconfigureerd om aanmeldingsactiviteiten op te nemen. Het beleid kan verder worden beperkt tot een subset van gebruikers of kan gebruikers uitsluiten die bekend zijn om naar externe locaties te reizen.

Learning periode

Het detecteren van afwijkende locaties vereist een eerste leerperiode van zeven dagen waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie:

    1. De gebruiker onderbreken, het wachtwoord opnieuw instellen en het juiste tijdstip identificeren om het account veilig opnieuw in te schakelen.
    2. Optioneel: Maak een playbook met behulp van Power Automate om contact op te maken met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties en hun managers om hun activiteit te verifiëren.
  2. B-TP: Als een gebruiker bekend is dat deze zich op deze locatie bevindt. Bijvoorbeeld wanneer een gebruiker die vaak reist en zich momenteel op de opgegeven locatie bevindt.

    Aanbevolen actie:

    1. Sluit de waarschuwing en wijzig het beleid om de gebruiker uit te sluiten.
    2. Maak een gebruikersgroep voor frequente reizigers, importeer de groep in Defender voor Cloud Apps en sluit de gebruikers uit van deze waarschuwing
    3. Optioneel: Maak een playbook met behulp van Power Automate om contact op te maken met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties en hun managers om hun activiteit te verifiëren.

Inzicht in het bereik van de inbreuk

  • Controleer welke resource mogelijk is aangetast, zoals mogelijke gegevensdownloads.

Activiteit van verdachte IP-adressen

Activiteit van een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence of door uw organisatie. Deze IP-adressen zijn geïdentificeerd als betrokken bij schadelijke activiteiten, zoals het uitvoeren van wachtwoordspray, botnetopdracht en beheer (CC&) en kunnen duiden op een gecompromitteerd account.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. B-TP: Als een gebruiker bekend is het IP-adres te gebruiken binnen het bereik van hun taken. Wanneer een beveiligingsanalist bijvoorbeeld beveiligings- of penetratietests uitvoert namens de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Controleer het activiteitenlogboek en zoek naar activiteiten van hetzelfde IP-adres.
  2. Controleer welke resource mogelijk is aangetast, zoals mogelijke gegevensdownloads of beheerwijzigingen.
  3. Maak een groep voor beveiligingsanalisten die deze waarschuwingen vrijwillig activeren en uitsluiten van het beleid.

Onmogelijke reis

Activiteit van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties. Dit kan duiden op een schending van referenties, maar het is ook mogelijk dat de werkelijke locatie van de gebruiker wordt gemaskeerd, bijvoorbeeld met behulp van een VPN.

Als u de nauwkeurigheid en waarschuwing alleen wilt verbeteren wanneer er een sterke indicatie is van een schending, stelt Defender voor Cloud Apps een basislijn vast voor elke gebruiker in de organisatie en waarschuwt u alleen wanneer het ongebruikelijke gedrag wordt gedetecteerd. Het onmogelijke reisbeleid kan worden afgestemd op uw vereisten.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Deze detectie maakt gebruik van een machine learning-algoritme dat duidelijke B-TP-voorwaarden negeert, zoals wanneer de IP-adressen aan beide zijden van de reis als veilig worden beschouwd, wordt de reis vertrouwd en uitgesloten van het activeren van de detectie van onmogelijke reizen. Beide zijden worden bijvoorbeeld als veilig beschouwd als ze zijn gelabeld als zakelijk. Als het IP-adres van slechts één kant van de reis echter als veilig wordt beschouwd, wordt de detectie geactiveerd als normaal.

  1. TP: Als u kunt bevestigen dat de locatie in de onmogelijke reiswaarschuwing onwaarschijnlijk is voor de gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (Niet-gedetecteerde gebruikersreizen): als u kunt bevestigen dat de gebruiker onlangs naar de bestemming is gereisd die is vermeld in de waarschuwing. Als de telefoon van een gebruiker die zich in de vliegtuigmodus bevindt, bijvoorbeeld verbonden blijft met services zoals Exchange Online op uw bedrijfsnetwerk terwijl u naar een andere locatie reist. Wanneer de gebruiker op de nieuwe locatie aankomt, maakt de telefoon verbinding met Exchange Online het activeren van de onmogelijke reiswaarschuwing.

    Aanbevolen actie: De waarschuwing sluiten.

  3. FP (NIET-gemarkeerd VPN): als u kunt bevestigen dat het IP-adresbereik afkomstig is van een goedgekeurd VPN.

    Aanbevolen actie: Sluit de waarschuwing en voeg het IP-adresbereik van het VPN toe aan Defender voor Cloud Apps en gebruik deze vervolgens om het IP-adresbereik van het VPN te taggen.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek om inzicht te krijgen in vergelijkbare activiteiten op dezelfde locatie en hetzelfde IP-adres.
  2. Als u ziet dat de gebruiker andere riskante activiteiten heeft uitgevoerd, zoals het downloaden van een groot aantal bestanden vanaf een nieuwe locatie, zou dit een sterke indicatie zijn van een mogelijke inbreuk.
  3. Voeg bedrijfs-VPN's en IP-adresbereiken toe.
  4. Maak een playbook met Power Automate en neem contact op met de manager van de gebruiker om te zien of de gebruiker legitiem onderweg is.
  5. Overweeg om een bekende reizigerdatabase te maken voor maximaal de minuut rapportage van organisatiereizen en deze te gebruiken om reisactiviteiten kruislings te raadplegen.

Misleidende naam van OAuth-app

Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te vermommen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de app een misleidende naam heeft.

    Aanbevolen actie: controleer het machtigingsniveau dat is aangevraagd door deze app en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden.

Als u de toegang tot de app wilt verbieden, selecteert u op de pagina OAuth-apps in de rij waarin de app die u wilt verbieden, het pictogram Voor verbod. - U kunt kiezen of u gebruikers wilt laten weten dat de app die ze hebben geïnstalleerd en geautoriseerd, is verboden. Met de melding kunnen gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u de selectie Op de hoogte stellen van gebruikers die toegang hebben verleend tot deze verboden app in het dialoogvenster. - Het wordt aanbevolen om de app-gebruikers te laten weten dat hun app op het punt staat te worden verboden voor gebruik.

  1. FP: Als u wilt bevestigen dat de app een misleidende naam heeft, maar een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

Misleidende uitgevernaam voor een OAuth-app

Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te vermommen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de app een misleidende uitgevernaam heeft.

    Aanbevolen actie: controleer het machtigingsniveau dat is aangevraagd door deze app en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden.

  2. FP: Als u wilt bevestigen dat de app een misleidende uitgevernaam heeft, maar een legitieme uitgever is.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Selecteer op de pagina OAuth-apps de app om de app-lade te openen en selecteer vervolgens Gerelateerde activiteit. Hiermee wordt de pagina Activiteitenlogboek geopend die is gefilterd op activiteiten die door de app worden uitgevoerd. Houd er rekening mee dat sommige apps activiteiten uitvoeren die zijn geregistreerd als door een gebruiker zijn uitgevoerd. Deze activiteiten worden automatisch gefilterd op de resultaten in het activiteitenlogboek. Zie Activiteitenlogboek voor verder onderzoek met behulp van het activiteitenlogboek.
  2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en uitgever van de app in verschillende app stores te onderzoeken. Bij het controleren van app-stores richt u zich op de volgende typen apps:
    • Apps met een laag aantal downloads.
    • Apps met een lage waardering of score of slechte opmerkingen.
    • Apps met een verdachte uitgever of website.
    • Apps die niet onlangs zijn bijgewerkt. Dit kan duiden op een app die niet meer wordt ondersteund.
    • Apps met irrelevante machtigingen. Dit kan erop wijzen dat een app riskant is.
  3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de app-naam, uitgever en URL online onderzoeken.

Uitvoeringswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk schadelijke code probeert uit te voeren in uw organisatie.

Meerdere activiteiten voor opslagverwijdering

Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal cloudopslag- of databaseverwijderingen heeft uitgevoerd uit resources zoals Azure-blobs, AWS S3-buckets of Cosmos DB in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot inbreuk op uw organisatie.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u wilt bevestigen dat de verwijderingen niet zijn geautoriseerd.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk en verken het bereik van de impact.

  2. FP: Als u na uw onderzoek kunt bevestigen dat de beheerder is gemachtigd om deze verwijderingsactiviteiten uit te voeren.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Neem contact op met de gebruiker en bevestig de activiteit.
  2. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en kijk wie de wijziging heeft aangebracht.
  3. Controleer de activiteiten van de gebruiker op wijzigingen in andere services.

Activiteiten voor het maken van meerdere VM's

Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal vm-aanmaakacties heeft uitgevoerd in vergelijking met de geleerde basislijn. Meerdere VM-creaties op een geschonden cloudinfrastructuur kunnen duiden op een poging om crypto mining-bewerkingen uit te voeren vanuit uw organisatie.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie is van een schending, wordt met deze detectie een basislijn voor elke omgeving in de organisatie vastgesteld om B-TP-incidenten te verminderen, zoals een beheerder die meer VM's heeft gemaakt dan de vastgestelde basislijn, en alleen een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

  • TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk en verken het bereik van de impact. Neem ook contact op met de gebruiker, bevestig hun legitieme acties en zorg ervoor dat u eventuele aangetaste VM's uitschakelt of verwijdert.

  • B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder is gemachtigd om deze aanmaakactiviteiten uit te voeren.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk.
  2. Controleer de resources die door de gebruiker zijn gemaakt of gewijzigd en controleer of ze voldoen aan het beleid van uw organisatie.

Verdachte activiteit voor het maken van een cloudregio (preview)

Activiteiten die aangeven dat een gebruiker een ongebruikelijke actie voor het maken van resources heeft uitgevoerd in een ongebruikelijke AWS-regio in vergelijking met de geleerde basislijn. Het maken van resources in ongebruikelijke cloudregio's kan duiden op een poging om een schadelijke activiteit uit te voeren, zoals cryptoanalysebewerkingen vanuit uw organisatie.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, wordt met deze detectie een basislijn vastgesteld voor elke omgeving in de organisatie om B-TP-incidenten te verminderen.

  • TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk en verken het bereik van de impact. Neem ook contact op met de gebruiker, bevestig hun legitieme acties en zorg ervoor dat u eventuele aangetaste cloudresources uitschakelt of verwijdert.

  • B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd is om deze aanmaakactiviteiten uit te voeren.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteit voor andere indicatoren van inbreuk.
  2. Controleer de gemaakte resources en controleer of deze voldoen aan het beleid van uw organisatie.

Persistentiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert de voet in uw organisatie te behouden.

Activiteit uitgevoerd door beëindigde gebruiker

Activiteit die wordt uitgevoerd door een beëindigde gebruiker kan aangeven dat een beëindigde werknemer die nog steeds toegang heeft tot bedrijfsbronnen, probeert een schadelijke activiteit uit te voeren. Defender voor Cloud Apps-profielen gebruikers in de organisatie en activeert een waarschuwing wanneer een beëindigde gebruiker een activiteit uitvoert.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de beëindigde gebruiker nog steeds toegang heeft tot bepaalde bedrijfsresources en activiteiten uitvoert.

    Aanbevolen actie: de gebruiker uitschakelen.

  2. B-TP: Als u kunt bepalen of de gebruiker tijdelijk is uitgeschakeld of is verwijderd en opnieuw is geregistreerd.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Hr-records kruisverwijzing om te bevestigen dat de gebruiker is beëindigd.
  2. Valideer het bestaan van het Azure Active Directory (Azure AD) gebruikersaccount.

    Notitie

    Als u Azure AD Verbinding maken gebruikt, valideert u het on-premises Active Directory-object en bevestigt u een geslaagde synchronisatiecyclus.

  3. Identificeer alle apps waartoe de beëindigde gebruiker toegang had en stel de accounts buiten gebruik.
  4. Procedures voor buiten gebruik stellen bijwerken.

Suspicious change of CloudTrail logging service (Verdachte wijziging van cloudTrail-logboek

Activiteiten in één sessie die aangeeft dat een gebruiker verdachte wijzigingen heeft uitgevoerd in de AWS CloudTrail-logboekregistratieservice. Dit kan duiden op een poging tot schending van uw organisatie. Bij het uitschakelen van CloudTrail worden operationele wijzigingen niet meer vastgelegd. Een aanvaller kan schadelijke activiteiten uitvoeren terwijl een CloudTrail-auditgebeurtenis wordt vermeden, zoals het wijzigen van een S3-bucket van privé naar openbaar.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de CloudTrail-activiteit omkeren.

  2. FP: Als u kunt bevestigen dat de gebruiker de CloudTrail-service legitiem heeft uitgeschakeld.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en bekijk wie de wijziging heeft aangebracht in de CloudTrail-service.
  2. Optioneel: Maak een playbook met behulp van Power Automate om contact op te leggen met gebruikers en hun managers om hun activiteit te verifiëren.

Verdachte activiteit voor het verwijderen van e-mail (per gebruiker)

Activiteiten in één sessie die aangeeft dat een gebruiker verdachte e-mailverwijderingen heeft uitgevoerd. Dit kan duiden op een poging tot inbreuk op uw organisatie, zoals aanvallers die bewerkingen proberen te maskeren door e-mailberichten met betrekking tot spamactiviteiten te verwijderen.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP: Als u kunt bevestigen dat de gebruiker legitiem een regel heeft gemaakt om berichten te verwijderen.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  • Controleer alle gebruikersactiviteit op aanvullende indicatoren van inbreuk, zoals de waarschuwing voor het doorsturen van verdachte postvakken , gevolgd door een Impossible Travel-waarschuwing . Zoek naar:

    1. Nieuwe REGELS voor SMTP-doorsturen, als volgt:
      • Controleer op namen van schadelijke doorstuurregels. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbaar ''. Namen van doorstuurregels kunnen zelfs leeg zijn en de doorstuuradressen kunnen één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit nuttige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
      • Als u een niet-herkende doorstuurregel detecteert naar een onbekend intern of extern e-mailadres, kunt u ervan uitgaan dat het Postvak IN-account is aangetast.
    2. Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of berichten met verborgen naamconventies, bijvoorbeeld '...'.
    3. Een toename van verzonden e-mailberichten.

Verdachte regel voor manipulatie van Postvak IN

Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het verwijderen of verplaatsen van berichten of mappen, vanuit het Postvak IN van een gebruiker, kunnen een poging zijn om gegevens uit uw organisatie te exfiltreren. Op dezelfde manier kunnen ze wijzen op een poging om informatie te manipuleren die een gebruiker ziet of om zijn Postvak IN te gebruiken om spam, phishing-e-mailberichten of malware te distribueren. Defender voor Cloud Apps profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is aangetast.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat er een schadelijke regel voor Postvak IN is gemaakt en het account is gecompromitteerd.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de doorstuurregel verwijderen.

  2. FP: Als u kunt bevestigen dat een gebruiker de regel legitiem heeft gemaakt.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Controleer alle gebruikersactiviteit op aanvullende indicatoren van inbreuk, zoals de waarschuwing voor het doorsturen van verdachte postvakken , gevolgd door een Impossible Travel-waarschuwing . Zoek naar:
    • Nieuwe REGELS voor SMTP-doorsturen.
    • Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of berichten met verborgen naamconventies, bijvoorbeeld '...'.
  2. Verzamel IP-adres- en locatiegegevens voor de actie.
  3. Bekijk activiteiten die worden uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.

Waarschuwingen voor escalatie van bevoegdheden

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert om machtigingen op een hoger niveau in uw organisatie te verkrijgen.

Ongebruikelijke beheeractiviteit (per gebruiker)

Activiteiten die aangeven dat een aanvaller een gebruikersaccount heeft aangetast en beheeracties heeft uitgevoerd die niet gebruikelijk zijn voor die gebruiker. Een aanvaller kan bijvoorbeeld proberen een beveiligingsinstelling voor een gebruiker te wijzigen, een bewerking die relatief zeldzaam is voor een gemeenschappelijke gebruiker. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme beheerder.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP: Als u kunt bevestigen dat een beheerder het ongebruikelijke aantal beheeractiviteiten legitiem heeft uitgevoerd.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteiten voor aanvullende indicatoren van inbreuk, zoals Verdacht doorsturen van Postvak IN of Onmogelijk reizen.
  2. Bekijk andere configuratiewijzigingen, zoals het maken van een gebruikersaccount dat kan worden gebruikt voor persistentie.

Waarschuwingen voor toegang tot referenties

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert accountnamen en wachtwoorden van uw organisatie te stelen.

Meerdere mislukte aanmeldingspogingen

Mislukte aanmeldingspogingen kunnen duiden op een poging om een account te schenden. Mislukte aanmeldingen kunnen echter ook normaal gedrag zijn. Bijvoorbeeld wanneer een gebruiker per ongeluk een verkeerd wachtwoord invoert. Om alleen nauwkeurigheid en waarschuwing te bereiken wanneer er een sterke indicatie is van een inbreuk, Defender voor Cloud Apps een basislijn van aanmeldingsgewoonten voor elke gebruiker in de organisatie vastlegt en alleen waarschuwt wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Dit beleid is gebaseerd op het leren van het normale aanmeldingsgedrag van een gebruiker. Wanneer een afwijking van de norm wordt gedetecteerd, wordt er een waarschuwing geactiveerd. Als de detectie begint te zien dat hetzelfde gedrag zich blijft voordoen, wordt de waarschuwing slechts eenmaal gegenereerd.

  1. TP (MFA mislukt): Als u kunt bevestigen dat MFA correct werkt, kan dit een teken zijn van een poging tot beveiligingsaanval.

    Aanbevolen acties:

    1. De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
    2. Zoek de app die de mislukte verificaties heeft uitgevoerd en configureer deze opnieuw.
    3. Zoek naar andere gebruikers die zich rond het tijdstip van de activiteit hebben aangemeld, omdat ze mogelijk ook worden aangetast. De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.
  2. B-TP (MFA mislukt): als u kunt bevestigen dat de waarschuwing wordt veroorzaakt door een probleem met MFA.

    Aanbevolen actie: maak een playbook met behulp van Power Automate om contact op te nemen met de gebruiker en te controleren of er problemen zijn met MFA.

  3. B-TP (onjuist geconfigureerde app): als u kunt bevestigen dat een onjuist geconfigureerde app meerdere keren verbinding probeert te maken met een service met verlopen referenties.

    Aanbevolen actie: De waarschuwing sluiten.

  4. B-TP (wachtwoord gewijzigd): als u kunt bevestigen dat een gebruiker onlangs zijn wachtwoord heeft gewijzigd, maar dit geen invloed heeft op referenties in netwerkshares.

    Aanbevolen actie: De waarschuwing sluiten.

  5. B-TP (Beveiligingstest): Als u kunt bevestigen dat een beveiligings- of penetratietest wordt uitgevoerd door beveiligingsanalisten namens de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteiten voor aanvullende indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een van de volgende waarschuwingen: Onmogelijk reizen, activiteit van anoniem IP-adres of activiteit uit niet-frequent land.
  2. Controleer de volgende apparaatgegevens van de gebruiker en vergelijk deze met bekende apparaatgegevens:
    • Besturingssysteem en versie
    • Browser en versie
    • IP-adres en -locatie
  3. Identificeer het BRON-IP-adres of de locatie waar de verificatiepoging heeft plaatsgevonden.
  4. Bepaal of de gebruiker onlangs het wachtwoord heeft gewijzigd en controleer of alle apps en apparaten het bijgewerkte wachtwoord hebben.

Ongebruikelijke toevoeging van referenties aan een OAuth-app

Deze detectie identificeert de verdachte toevoeging van bevoegde referenties aan een OAuth-app. Dit kan erop wijzen dat een aanvaller de app heeft aangetast en deze gebruikt voor schadelijke activiteiten.

Learning periode

Learning de omgeving van uw organisatie vereist een periode van zeven dagen waarin u een groot aantal waarschuwingen kunt verwachten.

Ongebruikelijke internetprovider voor een OAuth-app

De detectie identificeert een OAuth-app die verbinding maakt met uw cloudtoepassing vanuit een internetprovider die ongebruikelijk is voor de app. Dit kan erop wijzen dat een aanvaller probeert een legitieme gecompromitteerde app te gebruiken om schadelijke activiteiten uit te voeren op uw cloudtoepassingen.

Learning periode

De leerperiode voor deze detectie is 30 dagen.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit geen legitieme activiteit van de OAuth-app was of dat deze internetprovider niet wordt gebruikt door de legitieme OAuth-app.

    Aanbevolen actie: Alle toegangstokens van de OAuth-app intrekken en onderzoeken of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.

  2. FP: Als u kunt bevestigen dat de activiteit legitiem is gemaakt door de legitieme OAuth-app.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk de activiteiten die worden uitgevoerd door de OAuth-app.

  2. Onderzoek of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.

Verzamelingswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te verzamelen die van belang zijn voor hun doel van uw organisatie.

Meerdere Power BI activiteiten voor het delen van rapporten

Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal rapportactiviteiten in Power BI heeft uitgevoerd in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot inbreuk op uw organisatie.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gecompromitteerd, onderbreekt u de gebruiker, markeert u de gebruiker als gecompromitteerd en stelt u het wachtwoord opnieuw in.

  2. FP: Als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek om meer inzicht te krijgen in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van waaruit ze zijn aangemeld en de apparaatgegevens.
  2. Neem contact op met uw Power BI team of Information Protection team om inzicht te hebben in de richtlijnen voor het intern en extern delen van rapporten.

Verdacht: delen van Power BI-rapport

Activiteiten die aangeven dat een gebruiker een Power BI rapport heeft gedeeld dat gevoelige informatie kan bevatten die is geïdentificeerd met NLP om de metagegevens van het rapport te analyseren. Het rapport is gedeeld met een extern e-mailadres, gepubliceerd op internet of een momentopname is bezorgd bij een extern geabonneerd e-mailadres. Dit kan duiden op een poging tot inbreuk op uw organisatie.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gecompromitteerd, onderbreekt u de gebruiker, markeert u de gebruiker als gecompromitteerd en stelt u het wachtwoord opnieuw in.

  2. FP: Als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek om meer inzicht te krijgen in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van waaruit ze zijn aangemeld en de apparaatgegevens.
  2. Neem contact op met uw Power BI team of Information Protection team om inzicht te hebben in de richtlijnen voor het intern en extern delen van rapporten.

Ongebruikelijke geïmiteerde activiteit (per gebruiker)

In sommige software zijn er opties waarmee andere gebruikers andere gebruikers kunnen imiteren. Met e-mailservices kunnen gebruikers bijvoorbeeld andere gebruikers toestemming geven om namens hen e-mail te verzenden. Deze activiteit wordt vaak gebruikt door aanvallers om phishing-e-mailberichten te maken in een poging om informatie over uw organisatie te extraheren. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en maakt een activiteit wanneer een ongebruikelijke imitatieactiviteit wordt gedetecteerd.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: De waarschuwing sluiten.

  3. FP: Als u kunt bevestigen dat apps, zoals Teams, de gebruiker legitiem hebben geïmiteerd.

    Aanbevolen actie: controleer de acties en sluit de waarschuwing indien nodig.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteit en waarschuwingen voor aanvullende indicatoren van inbreuk.
  2. Bekijk de imitatieactiviteiten om mogelijke schadelijke activiteiten te identificeren.
  3. Controleer de configuratie van gedelegeerde toegang.

Waarschuwingen voor gegevensoverdracht

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens van uw organisatie te stelen.

Verdachte doorstuuractiviteit voor Postvak IN

Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount, kan een poging zijn om gegevens van uw organisatie te exfiltreren. Defender voor Cloud Apps profielen uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is aangetast.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat er een kwaadwillende regel voor het doorsturen van Postvak IN is gemaakt en het account is aangetast.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de doorstuurregel verwijderen.

  2. FP: Als u kunt bevestigen dat de gebruiker om legitieme redenen een doorstuurregel heeft gemaakt naar een nieuw of persoonlijk extern e-mailaccount.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Controleer alle gebruikersactiviteit op aanvullende indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een Impossible Travel-waarschuwing . Zoek naar:

    1. Nieuwe REGELS voor SMTP-doorsturen, als volgt:
      • Controleer op namen van schadelijke doorstuurregels. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbaar ''. Namen van doorstuurregels kunnen zelfs leeg zijn en de doorstuuradressen kunnen één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit nuttige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
      • Als u een niet-herkende doorstuurregel detecteert naar een onbekend intern of extern e-mailadres, kunt u ervan uitgaan dat het Postvak IN-account is aangetast.
    2. Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of berichten met verborgen naamconventies, bijvoorbeeld '...'.
  2. Bekijk activiteiten die worden uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.

  3. Bekijk de lijst met doorgestuurde berichten met behulp van Exchange Online berichten bijhouden.

Ongebruikelijke bestandsdownload (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandsdownloads heeft uitgevoerd vanuit een cloudopslagplatform in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie op te halen. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer downloadactiviteiten voor bestanden heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: Sluit de waarschuwing.

  3. FP (Softwaresynchronisatie): Als u kunt bevestigen dat software, zoals OneDrive, is gesynchroniseerd met een externe back-up die de waarschuwing heeft veroorzaakt.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk de downloadactiviteiten en maak een lijst met gedownloade bestanden.
  2. Controleer de gevoeligheid van de gedownloade bestanden met de resource-eigenaar en valideer het toegangsniveau.

Ongebruikelijke bestandstoegang (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandstoegangen heeft uitgevoerd in SharePoint of OneDrive naar bestanden die financiële gegevens of netwerkgegevens bevatten in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie te verkrijgen, zowel voor financiële doeleinden als voor toegang tot referenties en zijdelingse verplaatsing. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

De leerperiode is afhankelijk van de activiteit van de gebruiker. Over het algemeen is de leerperiode tussen 21 en 45 dagen voor de meeste gebruikers.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer activiteiten voor bestandstoegang heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk de toegangsactiviteiten en maak een lijst met geopende bestanden.
  2. Controleer de gevoeligheid van de geopende bestanden met de eigenaar van de resource en valideer het toegangsniveau.

Ongebruikelijke activiteit van bestandsshares (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal acties voor het delen van bestanden heeft uitgevoerd vanuit een cloudopslagplatform in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie op te halen. Defender voor Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (Ongebruikelijk gedrag): Als u kunt bevestigen dat de gebruiker legitiem meer activiteiten voor het delen van bestanden heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk de activiteiten voor delen en maak een lijst met gedeelde bestanden.
  2. Controleer de gevoeligheid van de gedeelde bestanden met de resource-eigenaar en valideer het toegangsniveau.
  3. Maak een bestandsbeleid voor vergelijkbare documenten om toekomstige delen van gevoelige bestanden te detecteren.

Impactwaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor u systemen en gegevens in uw organisatie kan manipuleren, onderbreken of vernietigen.

Meerdere VM-activiteiten verwijderen

Activiteiten in één sessie die aangeeft dat een gebruiker een ongebruikelijk aantal VM-verwijderingen heeft uitgevoerd in vergelijking met de geleerde basislijn. Meerdere VM-verwijderingen kunnen duiden op een poging om een omgeving te verstoren of te vernietigen. Er zijn echter veel normale scenario's waarin VM's worden verwijderd.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie is van een schending, wordt met deze detectie een basislijn voor elke omgeving in de organisatie vastgesteld om B-TP-incidenten te verminderen en alleen waarschuwingen te ontvangen wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

  • TP: Als u kunt bevestigen dat de verwijderingen niet zijn geautoriseerd.

    Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Bekijk alle gebruikersactiviteiten voor andere indicatoren van inbreuk en verken het bereik van de impact.

  • B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder is gemachtigd om deze verwijderingsactiviteiten uit te voeren.

    Aanbevolen actie: Sluit de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Neem contact op met de gebruiker en bevestig de activiteit.
  2. Controleer alle gebruikersactiviteit op aanvullende indicatoren van inbreuk, zoals de waarschuwing, wordt gevolgd door een van de volgende waarschuwingen: Onmogelijk reizen, activiteit van anoniem IP-adres of activiteit uit het niet-frequente land.

Ransomware-activiteit

Ransomware is een cyberaanval waarbij een aanvaller slachtoffers van hun apparaten vergrendelt of blokkeert ze toegang tot hun bestanden totdat het slachtoffer een losgeld betaalt. Ransomware kan worden verspreid door een schadelijk gedeeld bestand of gecompromitteerd netwerk. Defender voor Cloud Apps maakt gebruik van expertise op het gebied van beveiligingsonderzoek, bedreigingsinformatie en geleerde gedragspatronen om ransomware-activiteit te identificeren. Een hoog aantal bestandsuploads of verwijderingen van bestanden kan bijvoorbeeld een versleutelingsproces vertegenwoordigen dat gebruikelijk is bij ransomware-bewerkingen.

Met deze detectie wordt een basislijn vastgesteld van de normale werkpatronen van elke gebruiker in uw organisatie, bijvoorbeeld wanneer de gebruiker toegang heeft tot de cloud en wat ze meestal doen in de cloud.

Vanaf het moment dat u verbinding maakt, worden de Defender voor Cloud Apps-beleidsregels voor geautomatiseerde detectie van bedreigingen op de achtergrond uitgevoerd. Met behulp van onze expertise op het gebied van beveiligingsonderzoek om gedragspatronen te identificeren die de ransomware-activiteit in onze organisatie weerspiegelen, biedt Defender voor Cloud Apps uitgebreide dekking tegen geavanceerde ransomware-aanvallen.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet door de gebruiker is uitgevoerd.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP (Ongebruikelijk gedrag): De gebruiker heeft in korte tijd meerdere verwijderings- en uploadactiviteiten van vergelijkbare bestanden uitgevoerd.

    Aanbevolen actie: Nadat u het activiteitenlogboek hebt bekeken en hebt bevestigd dat de bestandsextensies niet verdacht zijn, sluit u de waarschuwing.

  3. FP (Algemene ransomware-bestandsextensie): Als u kunt bevestigen dat de extensies van de getroffen bestanden een overeenkomst zijn voor een bekende ransomware-extensie.

    Aanbevolen actie: Neem contact op met de gebruiker en bevestig dat de bestanden veilig zijn en sluit vervolgens de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk, zoals massadownload of massaverwijdering, van bestanden.
  2. Als u Microsoft Defender voor Eindpunt gebruikt, controleert u de computerwaarschuwingen van de gebruiker om te zien of er schadelijke bestanden zijn gedetecteerd.
  3. Zoek in het activiteitenlogboek naar activiteiten voor het uploaden en delen van schadelijke bestanden.

Ongebruikelijke activiteit voor bestandsverwijdering (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijke activiteit voor bestandsverwijdering heeft uitgevoerd in vergelijking met de geleerde basislijn. Dit kan duiden op ransomware aanval. Een aanvaller kan bijvoorbeeld de bestanden van een gebruiker versleutelen en alle originelen verwijderen, waardoor alleen de versleutelde versies die kunnen worden gebruikt om het slachtoffer te coerceeren om losgeld te betalen. Defender voor Cloud Apps maakt een basislijn op basis van het normale gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Learning periode

Voor het instellen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. FP: Als u kunt bevestigen dat de gebruiker legitiem meer activiteiten voor bestandsverwijdering heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk de verwijderingsactiviteiten en maak een lijst met verwijderde bestanden. Herstel indien nodig de verwijderde bestanden.
  2. Maak desgewenst een playbook met Power Automate om contact op te leggen met gebruikers en hun managers om de activiteit te verifiëren.

Verhoging van prioriteitsscore onderzoeken (preview)

Afwijkende activiteiten en activiteiten die waarschuwingen activeren, krijgen scores op basis van ernst, gebruikersimpact en gedragsanalyse van de gebruiker. De analyse wordt uitgevoerd op basis van andere gebruikers in de tenants.

Wanneer er een significante en afwijkende toename is in de score van de onderzoeksprioriteit van een bepaalde gebruiker, wordt de waarschuwing geactiveerd.

Met deze waarschuwing kunnen potentiële schendingen worden gedetecteerd die worden gekenmerkt door activiteiten die niet noodzakelijkerwijs specifieke waarschuwingen activeren, maar zich verzamelen tot een verdacht gedrag voor de gebruiker.

Learning periode

Voor het tot stand brengen van een nieuw gebruikersactiviteitspatroon is een eerste leerperiode van zeven dagen vereist, waarbij waarschuwingen niet worden geactiveerd voor een scoreverhoging.

TP, B-TP of FP?

  1. TP: Als u kunt bevestigen dat de activiteiten van de gebruiker niet legitiem zijn.

    Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gecompromitteerd en het wachtwoord opnieuw instellen.

  2. B-TP: Als u kunt bevestigen dat de gebruiker inderdaad aanzienlijk afwijkt van normaal gedrag, maar er geen mogelijke schending is.

  3. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle gebruikersactiviteit en waarschuwingen voor aanvullende indicatoren van inbreuk.

Zie ook