Zelfstudie: Verdachte gebruikersactiviteit detecteren met UEBA

Notitie

We hebben de naam van Microsoft Cloud App Security. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermopnamen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie de Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Microsoft Defender for Cloud Apps biedt eersteklas detecties in de kill chain voor aanvallen voor gecompromitteerde gebruikers, bedreigingen van binnenaf, exfiltratie, ransomware en meer. Onze uitgebreide oplossing wordt bereikt door meerdere detectiemethoden te combineren, waaronder anomalie, gedragsanalyse (UEBA) en op regels gebaseerde activiteitsdetecties, om een breed beeld te geven van hoe uw gebruikers apps in uw omgeving gebruiken.

Waarom is het belangrijk om verdacht gedrag te detecteren? De impact van een gebruiker die uw cloudomgeving kan wijzigen, kan aanzienlijk zijn en rechtstreeks van invloed zijn op uw vermogen om uw bedrijf te runnen. Belangrijke bedrijfsresources, zoals de servers waarop uw openbare website of service wordt uitgevoerd, kunnen bijvoorbeeld worden aangetast.

Met behulp van gegevens die zijn vastgelegd uit verschillende bronnen, analyseert Defender voor Cloud Apps de gegevens om app- en gebruikersactiviteiten in uw organisatie te extraheren, zodat uw beveiligingsanalisten inzicht krijgen in het cloudgebruik. De verzamelde gegevens zijn gecorreleerd, gestandaardiseerd en verrijkt met bedreigingsinformatie, locatie en vele andere gegevens om een nauwkeurige, consistente weergave van verdachte activiteiten te bieden.

Om de voordelen van deze detecties volledig te realiseren, moet u eerst de volgende bronnen configureren:

Vervolgens moet u uw beleid afstemmen. De volgende beleidsregels kunnen worden afgestemd door filters, dynamische drempelwaarden (UEBA) in te stellen om hun detectiemodellen te trainen en onderdrukkingen om veelvoorkomende fout-positieve detecties te verminderen:

  • Afwijkingsdetectie
  • Afwijkingsdetectie voor Cloud Discovery
  • Activiteitsdetectie op basis van regels

In deze zelfstudie leert u hoe u detecties van gebruikersactiviteiten kunt afstemmen om echte compromissen te identificeren en waarschuwingsmoeheid te verminderen die het gevolg zijn van het verwerken van grote hoeveelheden fout-positieve detecties:

Fase 1: IP-adresbereiken configureren

Voordat u afzonderlijke beleidsregels configureert, is het raadzaam om IP-adresbereiken te configureren zodat ze beschikbaar zijn voor het afstemmen van elk type beleid voor detectie van verdachte gebruikersactiviteiten.

Omdat INFORMATIE over IP-adressen van cruciaal belang is voor bijna alle onderzoeken, helpt het configureren van bekende IP-adressen onze machine learning-algoritmen bij het identificeren van bekende locaties en beschouwen ze als onderdeel van de machine learning-modellen. Als u bijvoorbeeld het IP-adresbereik van uw VPN toevoegt, kan het model dit IP-bereik correct classificeren en automatisch uitsluiten van onmogelijke reisdetecties, omdat de VPN-locatie niet de werkelijke locatie van die gebruiker vertegenwoordigt.

Opmerking: Geconfigureerde IP-bereiken zijn niet beperkt tot detecties en worden gebruikt in Defender voor Cloud Apps op gebieden zoals activiteiten in het activiteitenlogboek, voorwaardelijke toegang, enzovoort. Houd hier rekening mee bij het configureren van de reeksen. Als u bijvoorbeeld uw fysieke IP-adressen voor kantoor identificeert, kunt u de manier aanpassen waarop logboeken en waarschuwingen worden weergegeven en onderzocht.

Bekijk out-of-the-box waarschuwingen voor anomaliedetectie

Defender voor Cloud Apps bevat een set waarschuwingen voor anomaliedetectie om verschillende beveiligingsscenario's te identificeren. Deze detecties worden automatisch automatisch ingeschakeld en beginnen gebruikersactiviteit te profileren en waarschuwingen te genereren zodra de relevante app-connectors zijn verbonden.

Begin door uzelf vertrouwd te maken met de verschillende detectiebeleidsregels , prioriteit te geven aan de belangrijkste scenario's die u het meest relevant vindt voor uw organisatie en het beleid dienovereenkomstig af te stemmen.

Fase 2: Beleid voor anomaliedetectie afstemmen

Er zijn verschillende ingebouwde beleidsregels voor anomaliedetectie beschikbaar in Defender voor Cloud Apps die vooraf zijn geconfigureerd voor algemene beveiligingsgebruiksgevallen. Neem de tijd om vertrouwd te raken met de populairste detecties, zoals:

  • Onmogelijk traject
    Activiteiten van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties.
  • Activiteit van niet-vaak gebruikt land
    Activiteit vanaf een locatie die niet recent of nooit is bezocht door de gebruiker of door een gebruiker in de organisatie.
  • Malwaredetectie
    Scant bestanden in uw cloud-apps en voert verdachte bestanden uit via de engine voor bedreigingsinformatie van Microsoft om te bepalen of deze zijn gekoppeld aan bekende malware.
  • Ransomware-activiteit
    Bestandsuploads naar de cloud die mogelijk zijn geïnfecteerd met ransomware.
  • Activiteit van verdachte IP-adressen
    Activiteit vanaf een IP-adres dat door Microsoft Threat Intelligence als riskant is geïdentificeerd.
  • Verdachte doorstuuractiviteit voor Postvak IN
    Detecteert verdachte regels voor postvak in doorsturen die zijn ingesteld voor het postvak IN van een gebruiker.
  • Unusual multiple file download activities (Ongebruikelijke downloadactiviteiten voor meerdere bestanden)
    Detecteert meerdere activiteiten voor het downloaden van bestanden in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.
  • Ongebruikelijke beheeractiviteiten
    Detecteert meerdere beheeractiviteiten in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

Zie Beleidsregels voor anomaliedetectie voor een volledige lijst met detecties en wat ze doen.

Zodra u bekend bent met het beleid, moet u overwegen hoe u deze wilt afstemmen op de specifieke vereisten van uw organisatie voor betere doelactiviteiten die u mogelijk verder wilt onderzoeken.

  1. Bereikbeleid voor specifieke gebruikers of groepen

    Bereikbeleidsregels voor specifieke gebruikers kunnen helpen om ruis van waarschuwingen die niet relevant zijn voor uw organisatie te verminderen. Elk beleid kan worden geconfigureerd om specifieke gebruikers en groepen op te nemen of uit te sluiten, zoals in de volgende voorbeelden:

    • Aanvalssimulaties
      Veel organisaties gebruiken een gebruiker of groep om voortdurend aanvallen te simuleren. Het is natuurlijk niet logisch om voortdurend waarschuwingen te ontvangen van de activiteiten van deze gebruikers. Daarom kunt u uw beleid zo configureren dat deze gebruikers of groepen worden uitgesloten. Dit helpt de machine learning deze gebruikers te identificeren en hun dynamische drempelwaarden dienovereenkomstig af te stemmen.
    • Gerichte detecties
      Uw organisatie is mogelijk geïnteresseerd in het onderzoeken van een specifieke groep VIP-gebruikers, zoals leden van een beheerder- of CXO-groep. In dit scenario kunt u een beleid maken voor de activiteiten die u wilt detecteren en ervoor kiezen om alleen de set gebruikers of groepen op te nemen die u wilt gebruiken.
  2. Afwijkende aanmeldingsdetecties afstemmen

    Sommige organisaties willen waarschuwingen zien die het gevolg zijn van mislukte aanmeldingsactiviteiten, omdat deze erop kunnen wijzen dat iemand een of meer gebruikersaccounts probeert te targeten. Aan de andere kant worden er in de cloud steeds brute-force-aanvallen uitgevoerd op gebruikersaccounts en kunnen organisaties deze niet voorkomen. Daarom besluiten grotere organisaties meestal alleen waarschuwingen te ontvangen voor verdachte aanmeldingsactiviteiten die resulteren in geslaagde aanmeldingsactiviteiten, omdat ze echte compromissen kunnen vertegenwoordigen.

    Identiteitsdiefstal is een belangrijke bron van compromissen en vormt een belangrijke bedreigingsvector voor uw organisatie. Onze onmogelijke reis, activiteit van verdachte IP-adressen en waarschuwingen voor niet-regelmatig gedetecteerde landen helpen u activiteiten te detecteren die erop wijzen dat een account mogelijk is aangetast.

  3. Gevoeligheid van onmogelijke reisafstemmenDe schuifregelaar voor gevoeligheid configureren die het niveau van onderdrukkingen bepaalt dat wordt toegepast op afwijkende gedragingen voordat een onmogelijke reiswaarschuwing wordt activeren. Organisaties die geïnteresseerd zijn in hoge betrouwbaarheid, moeten bijvoorbeeld overwegen het gevoeligheidsniveau te verhogen. Als uw organisatie daarentegen veel gebruikers heeft die reizen, kunt u overwegen om het gevoeligheidsniveau te verlagen om activiteiten te onderdrukken van de algemene locaties van een gebruiker die zijn geleerd van eerdere activiteiten. U kunt kiezen uit de volgende gevoeligheidsniveaus:

    • Laag: Systeem-, tenant- en gebruikersonderdrukkingen
    • Gemiddeld: Systeem- en gebruikersonderdrukkingen
    • Hoog: Alleen systeemonderdrukkingen

    Waar:

    Onderdrukkingstype Description
    Systeem Ingebouwde detecties die altijd worden onderdrukt.
    Huurder Algemene activiteiten op basis van eerdere activiteiten in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een ISP die eerder zijn gewaarschuwd in uw organisatie.
    Gebruiker Algemene activiteiten op basis van vorige activiteit van de specifieke gebruiker. Bijvoorbeeld activiteiten onderdrukken vanaf een locatie die vaak wordt gebruikt door de gebruiker.

Fase 3: Beleid voor anomaliedetectie voor clouddetectie afstemmen

Net als het beleid voor anomaliedetectie zijn er verschillende ingebouwde beleidsregels voor anomaliedetectie in de cloud die u kunt afstemmen. Het beleid Gegevens exfiltratie naar niet-geanctioneerde apps waarschuwt u bijvoorbeeld wanneer gegevens worden ge exfiltreerd naar een niet-geanctioneerde app en worden vooraf geconfigureerd met instellingen op basis van de Microsoft-ervaring in het beveiligingsveld.

U kunt echter de ingebouwde beleidsregels afstemmen of uw eigen beleid maken om u te helpen bij het identificeren van andere scenario's die u mogelijk wilt onderzoeken. Omdat deze beleidsregels zijn gebaseerd op logboeken voor clouddetectie, hebben ze verschillende afstemmingsmogelijkheden die meer zijn gericht op afwijkende app-gedrag en gegevens exfiltratie.

  1. Bewaking van gebruik afstemmen
    Stel de gebruiksfilters in om de basislijn, het bereik en de activiteitsperiode voor het detecteren van afwijkende gedragingen te bepalen. U wilt bijvoorbeeld waarschuwingen ontvangen voor afwijkende activiteiten met betrekking tot leidinggevenden.

  2. Gevoeligheid van waarschuwingen afstemmen
    Configureer de gevoeligheid van waarschuwingen om waarschuwingsmoeheid te voorkomen. U kunt de schuifregelaar Gevoeligheid gebruiken om het aantal waarschuwingen met een hoog risico te bepalen dat per 1000 gebruikers per week wordt verzonden. Hogere gevoeligheden vereisen minder afwijking om als een anomalie te worden beschouwd en meer waarschuwingen te genereren. Stel over het algemeen lage gevoeligheid in voor gebruikers die geen toegang hebben tot vertrouwelijke gegevens.

Fase 4: Beleid voor detectie op basis van regels (activiteit) afstemmen

Op regels gebaseerd detectiebeleid geeft u de mogelijkheid om beleidsregels voor anomaliedetectie aan te vullen met organisatiespecifieke vereisten. Het is raadzaam om op regels gebaseerd beleid te maken met behulp van een van onze sjablonen voor activiteitenbeleid (ga naar ControlTemplates> en stel het typefilter in op Activiteitenbeleid) en configureer deze vervolgens om gedrag te detecteren dat niet normaal is voor uw omgeving. Voor sommige organisaties die bijvoorbeeld geen aanwezigheid hebben in een bepaald land of bepaalde regio, kan het zinvol zijn om een beleid te maken dat de afwijkende activiteiten van dat land detecteert en er waarschuwingen over geeft. Voor anderen, die grote vertakkingen in dat land hebben, zouden activiteiten uit dat land normaal zijn en zou het niet zinvol zijn om dergelijke activiteiten te detecteren.

  1. Activiteitsvolume afstemmen
    Kies het volume van de activiteit dat is vereist voordat de detectie een waarschuwing doet. Als u geen aanwezigheid hebt in een land/regio, is zelfs één activiteit significant en garandeert dit een waarschuwing. Een mislukte aanmelding kan echter een menselijke fout zijn en alleen van belang zijn als er in een korte periode veel fouten optreden.
  2. Activiteitfilters afstemmen
    Stel de filters in die u nodig hebt om het type activiteit te detecteren waarvoor u een waarschuwing wilt instellen. Als u bijvoorbeeld activiteit van een land wilt detecteren, gebruikt u de parameter Location.
  3. Waarschuwingen afstemmen
    Als u waarschuwingsmoeheid wilt voorkomen, stelt u de dagelijkse waarschuwingslimiet in.

Fase 5: Waarschuwingen configureren

U kunt ervoor kiezen om waarschuwingen te ontvangen in de indeling en het medium die het meest geschikt zijn voor uw behoeften. Als u op elk moment van de dag direct waarschuwingen wilt ontvangen, kunt u deze liever via e-mail of sms ontvangen.

Mogelijk wilt u ook de mogelijkheid hebben om waarschuwingen te analyseren in de context van andere waarschuwingen die worden geactiveerd door andere producten in uw organisatie, om u een holistische weergave van een mogelijke bedreiging te geven. U kunt bijvoorbeeld correleren tussen cloudgebeurtenissen en on-premises gebeurtenissen om te zien of er ander bewijs is dat een aanval kan bevestigen.

Daarnaast kunt u ook aangepaste waarschuwingsautomatisering activeren met behulp van onze integratie met Microsoft Power Automate. U kunt bijvoorbeeld een playbook instellen om automatisch een probleem te maken in ServiceNow of een goedkeurings-e-mail verzenden om een aangepaste beheeractie uit te voeren wanneer een waarschuwing wordt geactiveerd.

Gebruik de volgende richtlijnen om uw waarschuwingen te configureren:

  1. E-mail/sms
    Kies uw bezorgingsvoorkeur voor het ontvangen van waarschuwingen. U kunt waarschuwingen per e-mail, sms-bericht of beide ontvangen.
  2. SIEM
    Er zijn verschillende SIEM-integratieopties, waaronder Microsoft Sentinel, Microsoft Graph beveiligings-API en andere algemene SIEM's. Kies de integratie die het beste voldoet aan uw vereisten.
  3. Power Automate automatisering
    Maak de automation-playbooks die u nodig hebt en stel deze in als waarschuwing van het beleid om de Power Automate voeren.

Fase 6: Onderzoeken en herstellen

Goed, u hebt uw beleid ingesteld en waarschuwingen voor verdachte activiteiten ontvangen. Wat moet u er aan doen? Om te beginnen moet u stappen ondernemen om de activiteit te onderzoeken. U kunt bijvoorbeeld activiteiten bekijken die aangeven dat een gebruiker is gecompromitteerd.

Om uw beveiliging te optimaliseren, moet u overwegen om automatische herstelacties in te stellen om het risico voor uw organisatie te minimaliseren. Met ons beleid kunt u beheeracties in combinatie met de waarschuwingen toepassen, zodat het risico voor uw organisatie wordt verminderd, zelfs voordat u begint met onderzoeken. Beschikbare acties worden bepaald door het beleidstype, waaronder acties zoals het blokkeren van een gebruiker of het blokkeren van de toegang tot de aangevraagde resource.

Als u problemen hebt, kunnen we u helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.

Lees meer