Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Pobierz natychmiastowe wykrywanie behawioralnej analizy i anomaliiGet instantaneous behavioral analytics and anomaly detection

Zasady wykrywania anomalii w usłudze Microsoft Cloud App Security dla Podaj poza pole użytkownika i analizy behawioralnej jednostek (UEBA), a machine learning (ML), dzięki czemu można natychmiast uruchomić wykrywanie zagrożeń Zaawansowane w środowisku chmury.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Ponieważ są one automatycznie włączone, nowe zasady wykrywania anomalii w usłudze udostępniania wyników natychmiastowego zapewniając natychmiastowego wykryć, przeznaczonych dla wielu anomalii zachowań użytkownicy i komputery i urządzenia podłączone do sieci.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Ponadto nowe zasady udostępnianie większej ilości danych z Cloud App Security aparat wykrywania, aby przyspieszyć procesie dochodzenia i zawierać bieżących zagrożeń.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Zasady wykrywania anomalii są włączane automatycznie, ale Cloud App Security ma okres początkowej learning siedmiu dni, w którym nie wszystkie anomalii pojawienia się alertów wykrywania.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. Po zakończeniu szkolenia każda sesja jest porównywana z działaniami z ostatniego miesiąca (pod kątem m.in. okresu aktywności użytkowników oraz wykrytych adresów IP i urządzeń) z uwzględnieniem oceny ryzyka tych działań.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Wykrywane odmiany są częścią aparat wykrywania anomalii heurystyczne profile środowiska i wyzwala alerty względem linii bazowej, która jest uzyskiwana w działaniu w organizacji.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Wykrywane odmiany również korzystaj z algorytmów uczenia maszynowego przeznaczone do profilowania użytkownikom i logowania wzorzec redukować liczbę fałszywych alarmów.These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Anomalie są wykrywane przez skanowanie aktywności użytkowników.Anomalies are detected by scanning user activity. Ryzyko jest oceniane w oparciu o ponad 30 różnych wskaźników ryzyka, podzielić na wiele czynników ryzyka, w następujący sposób:The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Ryzykownych adresów IPRisky IP address
  • Niepowodzenia logowaniaLogin failures
  • Aktywność administratoraAdmin activity
  • Nieaktywne kontaInactive accounts
  • LokalizacjaLocation
  • Niemożliwa podróżImpossible travel
  • Agent urządzenia i użytkownikaDevice and user agent
  • Szybkość działaniaActivity rate

W oparciu o wyniki zasad wyzwalane są alerty bezpieczeństwa.Based on the policy results, security alerts are triggered. Usługa cloud App Security wygląda w każdą sesję użytkownika na alerty chmury możesz najważniejsza, która różni się od linii bazowej organizacji lub zwykłej aktywności użytkownika.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Zasady wykrywania anomalii w portalu można wyświetlić, klikając na kontroli , a następnie zasad.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

nowe zasady wykrywania anomalii

Dostępne są następujące zasady wykrywania anomalii:The following anomaly detection policies are available:

Niemożliwa podróżImpossible travel

  • Wykrywanie identyfikuje dwóch działań użytkownika (to jeden lub wiele sesji) pochodzącego z odległymi geograficznie lokalizacje w okresie krótszy niż czas jego wszystkich operacji zajęłoby użytkownikowi przesyłane z lokalizacji pierwszy na sekundę, wskazując czy inny użytkownik używa tych samych poświadczeń.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Wykrywanie używa algorytmu, który ignoruje oczywiste "fałszywych alarmów" przyczyniające się do warunku niemożliwa podróż, takie jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji uczenia maszynowego.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. Wykrywanie ma okres początkowej learning siedmiu dni, w których uczy się wzorzec działania nowego użytkownika.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Działanie z rzadkim krajuActivity from infrequent country

  • Wykrywanie uwzględnia poza lokalizacje działań do określenia lokalizacji nowych i rzadko.This detection considers past activity locations to determine new and infrequent locations. Aparat wykrywania anomalii są przechowywane informacje o poprzednich lokalizacji używane przez użytkowników w organizacji.The anomaly detection engine stores information about previous locations used by users in the organization. Alert zostanie wywołany, gdy wystąpi działania z lokalizacji, który został nie nigdy lub ostatnio odwiedzona przez użytkownika lub przez innych użytkowników w organizacji.An alert is triggered when an activity occurs from a location that was not recently or never visited by the user or by any user in the organization.

Działania z anonimowych adresów IPActivity from anonymous IP addresses

  • Wykrywanie Określa, że użytkownicy były aktywne z adresu IP, który został zidentyfikowany jako adres IP anonimowy serwer proxy.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Te serwery proxy są używane przez różne osoby, aby ukryć adres IP urządzenia, które mogą być używane do złośliwymi działaniami.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Wykrywanie używa algorytmu, który ogranicza "fałszywych alarmów", takich jak nieprawidłowo oznakowanych adresy IP, które są powszechnie używane przez użytkowników w organizacji uczenia maszynowego.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Działanie RansomwareRansomware activity

  • Usługa cloud App Security rozszerzony ransomware jego możliwości wykrywania z wykrywaniem anomalii do zapewnienia bardziej kompleksowym przed zaawansowanymi atakami Ransomware.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. Aby zidentyfikować wzorce zachowania, które odzwierciedla aktywność ransomware przy użyciu naszych doświadczenia research zabezpieczeń, Cloud App Security zapewnia kompleksowe i niezawodną ochronę.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Jeśli na przykład Cloud App Security identyfikuje wysoki współczynnik przekazywania plików lub może reprezentować proces szyfrowania niekorzystny działania usuwania pliku.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Te dane są zbierane w dziennikach otrzymanego z podłączonych interfejsów API i jest następnie łączyć z zapamiętanych wzorce behawioralnej i analizy zagrożeń, na przykład znane ransomware rozszerzenia.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Aby uzyskać więcej informacji na temat wykrywania ransomware Cloud App Security, zobacz ochronę organizacji przed ransomware.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Aktywność użytkownika zakończoneTerminated user activity

  • Wykrywanie umożliwia mógł zidentyfikować, gdy zakończone pracownika kontynuuje wykonywanie czynności w aplikacji SaaS.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Ponieważ dane pokazują, że największe ryzyko zagrożenia wewnętrznego pochodzi z pracowników, którzy po lewej na warunkach zły, należy śledzić na aktywności na kontach od pracowników zakończone.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it is important to keep an eye on the activity on accounts from terminated employees. Czasami gdy pracownicy pozostaw firmy, ich kont są cofnąć elastycznie z aplikacji firmowych, ale w wielu przypadkach zachowują nadal dostęp do niektórych zasobów firmy.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Jest to szczególnie ważne, rozważając kont uprzywilejowanych, potencjalne szkody, które może wykonywać administrator wcześniejsze jest z założenia większa.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Wykrywanie wykorzystuje Cloud App Security możliwość monitorowania zachowania użytkowników w aplikacjach, umożliwiające identyfikację zwykłej aktywności użytkownika, fakt, że konto zostało zakończone i rzeczywistego działania na inne aplikacje.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Na przykład pracownika, który ma konto usługi Azure AD zostało zakończone, ale nadal ma dostęp do firmowej infrastruktury usług AWS, może potencjalnie uszkodzić na dużą skalę.For example, an employee who’s Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

Działanie z podejrzanych adresów IPActivity from suspicious IP addresses

  • Wykrywanie identyfikuje, że użytkownicy były aktywne z adresu IP, który został zidentyfikowany jako ryzykowne przez Microsoft analizy zagrożeń.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Te adresy IP są zaangażowane w złośliwych działań, takich jak Botnet C & C i może wskazywać zagrożone konto.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Wykrywanie używa algorytmu, który ogranicza "fałszywych alarmów", takich jak nieprawidłowo oznakowanych adresy IP, które są powszechnie używane przez użytkowników w organizacji uczenia maszynowego.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Nietypowych działań (przez użytkownika)Unusual activities (by user)

Wykrywane odmiany zidentyfikować użytkowników, którzy wykonują:These detections identify users who perform:

  • Wiele nietypowych działań pobierania plikuUnusual multiple file download activities
  • Działania udziału plików nietypoweUnusual file share activities
  • Plik nietypowe zachowanie podczas usuwania działańUnusual file deletion activities
  • Nietypowych działań personifikowanejUnusual impersonated activities
  • Nietypowych działań administracyjnychUnusual administrative activities

Te zasady poszukaj działań w ramach jednej sesji względem linii bazowej, wiesz, które mogą wskazywać na próby naruszenia.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Wykrywane odmiany wykorzystać algorytmu, który profile użytkowników logowania wzorzec uczenia maszynowego i zmniejsza liczbę fałszywych alarmów.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Wykrywane odmiany są częścią aparat wykrywania anomalii heurystyczne profile środowiska i wyzwala alerty względem linii bazowej, która jest uzyskiwana w działaniu w organizacji.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Wiele nieudanych prób logowaniaMultiple failed login attempts

  • Wykrywanie identyfikuje użytkowników, których nie powiodła się wiele prób zalogowania w jednej sesji względem linii bazowej pokazaliśmy, który może wskazywać na próby naruszenia.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Zasady wykrywania anomalii zakresuScope anomaly detection policies

Wszystkie zasady wykrywania anomalii można niezależnie zakresu, że jest ona stosowana tylko do użytkowników i grup, które chcesz uwzględniać i wykluczać w zasadach.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Na przykład można ustawić działania z rzadkim województwa wykrywania, aby zignorować określonego użytkownika, który porusza się często.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Aby ustawić zakres zasady wykrywania anomalii:To scope an anomaly detection policy:

  1. Kliknij przycisk kontroli > zasadyi ustaw typu filtrowane w celu zasady wykrywania anomalii.Click Control > Policies, and set the Type filter to Anomaly detection policy.
  2. Kliknij zasady, które mają być zakres.Click on the policy you want to scope.
  3. W obszarze zakres, zmień listę rozwijaną z ustawieniem domyślnym wszyscy użytkownicy i grupy, do konkretnych użytkowników i grup.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.
  4. Wybierz Include do określenia użytkowników i grup, do których te zasady będą stosowane.Select Include to specify the users and groups for whom this policy will apply. Użytkownicy lub grupy nie wybrano tutaj nie zostanie uwzględniony zagrożenia i nie zostanie wygenerowany alert.Any user or group not selected here will not be considered a threat and will not generate an alert.
  5. Wybierz wykluczyć do określania użytkowników, dla których te zasady nie będą stosowane.Select Exclude to specify users for whom this policy will not apply. Każdy użytkownik, wybrani tutaj nie zostanie uwzględniony zagrożenia i nie będzie już generował alert, nawet jeśli są oni członkami grupy wybrany w obszarze Include.Any user selected here will not be considered a threat and will not generate an alert, even if they are members of groups selected under Include.

Określanie zakresu wykrywania anomalii

Alertów wykrywania anomalii klasyfikacjiTriage anomaly detection alerts

Możesz klasyfikowanie różne alerty wyzwalane przez nowe zasady wykrywania anomalii szybko i zdecydować, które trzeba można wybrać ofertę pierwszej.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Aby to zrobić, należy kontekstu alertu, tak, aby mogła mieć pełny obraz i zrozumieć, czy coś złośliwego rzeczywiście wykonywane.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. W dziennik aktywności, możesz otworzyć działanie, aby wyświetlić szuflady działania.In the Activity log, you can open an activity to display the Activity drawer. Polecenie użytkownika do wyświetlania na karcie szczegółowych informacji użytkownika. Obejmuje to informacje, takie jak liczba alertów, działania, a w przypadku, gdy mają one połączone z, która jest ważna w postępowaniu.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    alert1 wykrywania anomalii alert1 wykrywania anomaliianomaly detection alert1 anomaly detection alert1

  2. Dzięki temu można zrozumieć, co podejrzanych działań są wykonanie użytkownik i uzyskania bardziej zaufania określające, czy konto zostało naruszone.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Na przykład alert w wielu nieudanych logowań w rzeczywistości może być podejrzane i może oznaczać potencjalnych ataków siłowych, ale można też błąd konfiguracji aplikacji, powodując alert, aby być niegroźne dodatnią wartość true.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Jeśli widzisz wielu alert nieudanych logowań z dodatkowych podejrzane działania, następnie istnieje jednak większe prawdopodobieństwo, że konto jest zagrożone.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. W poniższym przykładzie można stwierdzić, że wielu nieudanych prób logowania alert został następuje działania z adresu IP w sieci TOR i działania niemożliwa podróż, oba silne wskaźniki naruszenia zabezpieczeń (IOCs) samodzielnie.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Jeśli to nie wystarczająco podejrzane, a następnie widać, że wykonywane tego samego użytkownika grupowego Pobierz działanie, która jest często wskaźnik osoba atakująca wykonywania exfiltration danych.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    alert1 wykrywania anomalii alert1 wykrywania anomaliianomaly detection alert1 anomaly detection alert1

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.