Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Uzyskiwanie natychmiastowych zachowań analizy i wykrywanie anomaliiGet instantaneous behavioral analytics and anomaly detection

Zasady wykrywania anomalii w usłudze Microsoft Cloud App Security zapewnia użytkownika poza pole i analizie zachowań jednostek (UEBA) i usługi machine learning (ML), dzięki czemu można natychmiast uruchomić wykrywanie zaawansowanych zagrożeń w środowisku chmury.Microsoft Cloud App Security's anomaly detection policies provide out-of-the-box user and entity behavioral analytics (UEBA) and machine learning (ML) so that you can immediately run advanced threat detection across your cloud environment. Ponieważ są one automatycznie włączone, nowych zasad wykrywania anomalii zapewnia natychmiastowe wyniki, zapewniając natychmiastowy wykrywania zagrożeń, przeznaczonych dla wielu anomalii zachowań użytkowników i komputerów i urządzeń podłączonych do sieci.Because they are automatically enabled, the new anomaly detection policies provide immediate results by providing immediate detections, targeting numerous behavioral anomalies across your users and the machines and devices connected to your network. Ponadto nowe zasady udostępnienia większej ilości danych z aparatu wykrywania Cloud App Security, ułatwiające przyspieszenia procesu badania i zawierają bieżących zagrożeń.In addition, the new policies expose more data from the Cloud App Security detection engine, to help you speed up the investigation process and contain ongoing threats.

Zasady wykrywania anomalii są włączane automatycznie, ale usługa Cloud App Security ma wstępny okres uczenia wynoszący 7 dni, podczas których anomalii nie wszystkie alerty związane z wykrywaniem są wywoływane.The anomaly detection policies are automatically enabled, but Cloud App Security has an initial learning period of seven days during which not all anomaly detection alerts are raised. Po zakończeniu szkolenia każda sesja jest porównywana z działaniami z ostatniego miesiąca (pod kątem m.in. okresu aktywności użytkowników oraz wykrytych adresów IP i urządzeń) z uwzględnieniem oceny ryzyka tych działań.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Wykrywane odmiany należą do aparatu wykrywania anomalii heurystyczne środowiska i wyzwalania alertów w odniesieniu do linii bazowej, która jest uzyskiwana w działaniu w organizacji.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity. Wykrywane odmiany także korzystać z algorytmów uczenia maszynowego umożliwiający profile użytkowników i wzorzec logowania, aby zmniejszyć liczbę fałszywych alarmów.These detections also leverage machine learning algorithms designed to profile the users and log-on pattern to reduce false positives.

Anomalie są wykrywane przez skanowanie aktywności użytkowników.Anomalies are detected by scanning user activity. Ryzyko jest oceniane w oparciu o ponad 30 różnych wskaźników ryzyka, pogrupowane według wielu czynników ryzyka, w następujący sposób:The risk is evaluated by looking at over 30 different risk indicators, grouped into multiple risk factors, as follows:

  • Ryzykowny adres IPRisky IP address
  • Niepowodzenia logowaniaLogin failures
  • Aktywność administratoraAdmin activity
  • Nieaktywne kontaInactive accounts
  • LokalizacjaLocation
  • Niemożliwa podróżImpossible travel
  • Agent urządzenia i użytkownikaDevice and user agent
  • Szybkość działaniaActivity rate

W oparciu o wyniki zasad wyzwalane są alerty bezpieczeństwa.Based on the policy results, security alerts are triggered. Usługa cloud App Security analizuje każdą sesję użytkownika na alerty w chmurze możesz gdy coś, co się stanie, która różni się od punktu odniesienia organizacji lub zwykłej aktywności użytkownika.Cloud App Security looks at every user session on your cloud alerts you when something happens that is different from the baseline of your organization or from the user's regular activity.

Zasady wykrywania anomalii w portalu można wyświetlić, klikając na kontroli i następnie zasady.You can see the anomaly detection policies in the portal by clicking on Control and then Policies.

nowe zasady wykrywania anomalii

Dostępne są następujące zasady wykrywania anomalii:The following anomaly detection policies are available:

Niemożliwa podróżImpossible travel

  • Wykrywanie identyfikuje dwa działania użytkownika (jest jedną lub wiele sesji) pochodzące z komputera odległym geograficznie lokalizacji w przedziale czasu krótszy niż czas jego będą miały użytkownikowi przesyłane z pierwszej lokalizacji do drugiego, wskazując czy inny użytkownik korzysta z tych samych poświadczeń.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials. Wykrywanie korzysta z usługi machine learning algorytmu, który ignoruje oczywiste "wyniki fałszywie dodatnie" Współtworzenie warunek niemożliwych podróży, takich jak sieci VPN i lokalizacje, które regularnie używane przez innych użytkowników w organizacji.This detection leverages a machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. Wykrywanie ma wstępny okres uczenia wynoszący 7 dni, podczas których uczy się wzorca działania nowego użytkownika.The detection has an initial learning period of seven days during which it learns a new user’s activity pattern.

Aktywność z rzadko występującego krajuActivity from infrequent country

  • Wykrywanie uwzględnia ostatnie lokalizacje działań do określenia lokalizacji nowych i rzadkie.This detection considers past activity locations to determine new and infrequent locations. Aparatu wykrywania anomalii są przechowywane informacje o powyższych lokalizacjach, które posługują się użytkownicy w organizacji.The anomaly detection engine stores information about previous locations used by users in the organization. Alert jest wyzwalany, gdy działanie odbywa się z lokalizacji, która nie był nigdy lub ostatnio odwiedzany przez dowolnego użytkownika w organizacji.An alert is triggered when an activity occurs from a location that was not recently or never visited by any user in the organization.

Wykrycie złośliwego oprogramowaniaMalware detection

  • Wykrywanie identyfikuje złośliwych plików w Twoim magazynie w chmurze, czy pochodzą one z Twojej aplikacji firmy Microsoft lub aplikacje innych firm.This detection identifies malicious files in your cloud storage, whether they're from your Microsoft apps or third-party apps. Microsoft Cloud App Security używa analizy zagrożeń firmy Microsoft rozpoznać, czy niektóre pliki są skojarzone z atakami znanego złośliwego oprogramowania i są potencjalnie złośliwy.Microsoft Cloud App Security uses Microsoft's threat intelligence to recognize whether certain files are associated with known malware attacks and are potentially malicious. Te wbudowane zasady jest domyślnie wyłączona.This built-in policy is disabled by default. Nie każdy skanowania pliku, ale są używane algorytmy heurystyczne będzie szukał plików, które są potencjalnie ryzykownymi.Not every file is scanned, but heuristics are used to look for files that are potentially risky. Po wykryciu pliki można następnie wyświetlić listę zainfekowane pliki.After files are detected, you can then see a list of Infected files. Kliknij nazwę pliku przed złośliwym oprogramowaniem w szufladzie pliku, aby otworzyć raport złośliwego oprogramowania, która dostarcza informacji na temat tego rodzaju złośliwe oprogramowanie, które jest zainfekowany plik.Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

Aktywność z anonimowych adresów IPActivity from anonymous IP addresses

  • Wykrywanie Określa, że użytkownicy był aktywny z adresu IP, który został zidentyfikowany jako adres IP anonimowego serwera proxy.This detection identifies that users were active from an IP address that has been identified as an anonymous proxy IP address. Te serwery proxy są wykorzystywane przez osoby, które chcą ukryć adres IP swojego urządzenia i mogą być używane do złośliwego działania.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent. Wykrywanie korzysta z usługi machine learning algorytmu, który ogranicza "wyniki fałszywie dodatnie", takie jak źle oznakowane adresy IP są powszechnie używane przez użytkowników w organizacji.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Działanie oprogramowania wymuszającego OkupRansomware activity

  • Usługa cloud App Security rozszerzyć jej przed oprogramowaniem wymuszającym okup funkcje wykrywania przy użyciu wykrywania anomalii w celu zapewnienia bardziej kompleksowe pokrycie przed zaawansowanymi atakami oprogramowania wymuszającego Okup.Cloud App Security extended its ransomware detection capabilities with anomaly detection to ensure a more comprehensive coverage against sophisticated Ransomware attacks. Korzystanie z naszym doświadczeniu badań w zakresie zabezpieczeń, do identyfikowania wzorcami zachowania, które odzwierciedlają działanie oprogramowania wymuszającego okup, usługa Cloud App Security zapewnia kompleksowe i niezawodne działanie ochrony.Using our security research expertise to identify behavioral patterns that reflect ransomware activity, Cloud App Security ensures holistic and robust protection. Jeśli na przykład Cloud App Security zidentyfikuje wysoki stopień wysyłania plików lub działań usuwania plików może reprezentować, proces szyfrowania negatywnych.If Cloud App Security identifies, for example, a high rate of file uploads or file deletion activities it may represent an adverse encryption process. Te dane są zbierane w dziennikach otrzymane od podłączonych interfejsów API i jest następnie łączyć z nauczony wzorcami zachowania i analizy zagrożeń, na przykład rozszerzenia znanych przed oprogramowaniem wymuszającym okup.This data is collected in the logs received from connected APIs and is then combined with learned behavioral patterns and threat intelligence, for example, known ransomware extensions. Aby uzyskać więcej informacji na temat wykrywania przed oprogramowaniem wymuszającym okup w usłudze Cloud App Security, zobacz ochrony organizacji przed oprogramowaniem wymuszającym okup.For more information about how Cloud App Security detects ransomware, see Protecting your organization against ransomware.

Działanie zwolnionego użytkownikaTerminated user activity

  • Wykrywanie umożliwia mógł zidentyfikować zwolnionego pracownika w dalszym ciągu wykonywać akcje na aplikacjach SaaS.This detection enables you to able to identify when a terminated employee continues to perform actions on your SaaS apps. Ponieważ dane pokazują, że największe ryzyko zagrożenia pochodzi z pracowników, którzy pozostanie na zły warunkach, jest ważne, aby nadzorować aktywności na kontach od pracowników zakończone.Because data shows that the greatest risk of insider threat comes from employees who left on bad terms, it is important to keep an eye on the activity on accounts from terminated employees. Czasami gdy pracownik odejdzie firmy, ich konta są rozliczeniu z aplikacji firmowych, ale w wielu przypadkach zachowują nadal dostęp do niektórych zasobów firmy.Sometimes, when employees leave a company, their accounts are de-provisioned from corporate apps, but in many cases they still retain access to certain corporate resources. Jest to szczególnie ważne podczas wybierania konta uprzywilejowane potencjalne szkody, zrobić w poprzedniej wersji portalu administratora jest natury większa.This is even more important when considering privileged accounts, as the potential damage a former admin can do is inherently greater. Wykrywanie wykorzystuje możliwość monitorowanie zachowania użytkowników w aplikacjach, umożliwiające identyfikację zwykłej aktywności użytkownika, fakt, że konto zostało zakończone i rzeczywiste działanie innych aplikacji usługa Cloud App Security.This detection takes advantage of Cloud App Security's ability to monitor user behavior across apps, allowing identification of the regular activity of the user, the fact that the account was terminated, and actual activity on other apps. Na przykład pracownika, który ma konto usługi Azure AD zostało zakończone, ale nadal ma dostęp do firmowej infrastruktury usług AWS, może potencjalnie uszkodzić na dużą skalę.For example, an employee who’s Azure AD account was terminated, but still has access to the corporate AWS infrastructure, has the potential to cause large-scale damage.

Aktywność z podejrzanych adresów IPActivity from suspicious IP addresses

  • Wykrywanie Określa, że użytkownicy był aktywny z adresu IP, który został zidentyfikowany jako ryzykowny przez analizy zagrożeń firmy Microsoft.This detection identifies that users were active from an IP address that has been identified as risky by Microsoft Threat Intelligence. Te adresy IP są zaangażowane w szkodliwe działania, takie jak Botnet C & C i może wskazywać naruszeniu bezpieczeństwa konta.These IP addresses are involved in malicious activities, such as Botnet C&C, and may indicate compromised account. Wykrywanie korzysta z usługi machine learning algorytmu, który ogranicza "wyniki fałszywie dodatnie", takie jak źle oznakowane adresy IP są powszechnie używane przez użytkowników w organizacji.This detection leverages a machine learning algorithm that reduces "false positives", such as mis-tagged IP addresses that are widely used by users in the organization.

Reguły podejrzaną wiadomość e-mailSuspicious email rules

  • Wykrywanie szuka podejrzaną wiadomość e-mail, reguły, na przykład przekazywania, jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.This detection looks for suspicious email forwarding rules, for example, if a user created an inbox rule that forwards a copy of all emails to an external address.

Nietypowe działania (przez użytkownika)Unusual activities (by user)
Wykrywane odmiany zidentyfikować użytkowników, którzy wykonują:These detections identify users who perform:

  • Nietypowe wiele działań pobierania plikówUnusual multiple file download activities
  • Działania udziału pliku nietypowegoUnusual file share activities
  • Działania usuwania pliku nietypowegoUnusual file deletion activities
  • Nietypowe działania spersonifikowaneUnusual impersonated activities
  • Nietypowe działania administracyjneUnusual administrative activities

Te zasady wyszukać działania w ramach jednej sesji w odniesieniu do linii bazowej, co może wskazywać na próbę naruszenia.These policies look for activities within a single session with respect to the baseline learned, which could indicate on a breach attempt. Wykrywane odmiany wykorzystuj algorytmu, który profilów użytkowników Zaloguj się na wzorzec uczenia maszynowego i zmniejszenie liczby fałszywych alarmów.These detections leverage a machine learning algorithm that profiles the users log on pattern and reduces false positives. Wykrywane odmiany należą do aparatu wykrywania anomalii heurystyczne środowiska i wyzwalania alertów w odniesieniu do linii bazowej, która jest uzyskiwana w działaniu w organizacji.These detections are part of the heuristic anomaly detection engine that profiles your environment and triggers alerts with respect to a baseline that was learned on your organization’s activity.

Wiele nieudanych prób zalogowaniaMultiple failed login attempts

  • Wykrywanie identyfikuje użytkowników, które nie powiodły się wiele prób zalogowania podczas jednej sesji w odniesieniu do linii bazowej, co może oznaczać na próby naruszenia.This detection identifies users that failed multiple login attempts in a single session with respect to the baseline learned, which could indicate on a breach attempt.

Włącz automatyczne nadzoruEnable automated governance

Można włączyć automatyczne korygowanie działań na alerty generowane przez zasady wykrywania anomalii.You can enable automated remediation actions on alerts generated by anomaly detection policies.

  1. Kliknij nazwę zasady wykrywania w zasad strony.Click on the name of the detection policy in the Policy page.
  2. W Edytuj zasady wykrywania anomalii okno, które otwiera w obszarze nadzoru zestawu akcji korygowania, chcesz, aby dla każdego z połączonych aplikacji lub dla wszystkich aplikacji.In the Edit anomaly detection policy window that opens, under Governance set the remediation actions you want for each connected app or for all apps.
  3. Kliknij przycisk Aktualizuj.Click Update.

Zasady wykrywania anomalii zakresuScope anomaly detection policies

Każdej zasady wykrywania anomalii można niezależnie zakresu, tak aby dotyczyła tylko do użytkowników i grup, które chcesz dołączać i wykluczać w zasadach.Each anomaly detection policy can be independently scoped so that it applies only to the users and groups you want to include and exclude in the policy. Na przykład można ustawić działania z rzadkie Powiat wykrywania, aby zignorować określonego użytkownika, który często podróżuje.For example, you can set the Activity from infrequent county detection to ignore a specific user who travels frequently.

Aby określić zakres zasady wykrywania anomalii:To scope an anomaly detection policy:

  1. Kliknij przycisk kontroli > zasadyi ustaw typu filtr, aby zasady wykrywania anomalii.Click Control > Policies, and set the Type filter to Anomaly detection policy.
  2. Kliknij zasady, który chcesz zakresu.Click on the policy you want to scope.
  3. W obszarze zakres, zmienić domyślne ustawienie z listy rozwijanej wszystkich użytkowników i grup, konkretni użytkownicy i grupy.Under Scope, change the drop-down from the default setting of All users and groups, to Specific users and groups.
  4. Wybierz Include do określenia użytkowników i grup, dla których zostaną zastosowane te zasady.Select Include to specify the users and groups for whom this policy will apply. Dowolny użytkownik lub grupa nie jest wybrane w tym miejscu nie uznaje za zagrożenie i nie zostanie wygenerowany alert.Any user or group not selected here will not be considered a threat and will not generate an alert.
  5. Wybierz wykluczyć do określania użytkowników, dla których nie zostaną zastosowane te zasady.Select Exclude to specify users for whom this policy will not apply. Każdy użytkownik, wybrany tutaj nie uznaje za zagrożenie, a nie wygeneruje alert, nawet jeśli są członkami grup wybrane w obszarze Include.Any user selected here will not be considered a threat and will not generate an alert, even if they are members of groups selected under Include.

Wyznaczanie zakresu wykrywania anomalii

Klasyfikacja alerty związane z wykrywaniem anomaliiTriage anomaly detection alerts

Można oceniać ich istotność różne alerty wyzwalane przez nowe zasady wykrywania anomalii szybko i zdecydować, które trzeba uwzględnić pierwszy.You can triage the various alerts triggered by the new anomaly detection policies quickly and decide which ones need to be taken care of first. Aby to zrobić, należy kontekst alertu, dzięki czemu można zobaczyć pełny obraz i zrozumieć, czy coś złośliwego rzeczywiście dzieje się.To do this, you need the context for the alert, so you are able to see the bigger picture and understand whether something malicious is indeed happening.

  1. W dziennika aktywności, możesz otworzyć działanie, aby wyświetlić szuflady działań.In the Activity log, you can open an activity to display the Activity drawer. Kliknij pozycję użytkownika Aby wyświetlić kartę szczegółowych informacji użytkownika. Obejmuje to informacje, takie jak liczba alertów i działań, a w przypadku, gdy mają one połączone z, który jest ważny w celu badania.Click on User to view the user insights tab. This includes information like number of alerts, activities, and where they have connected from, which is important in an investigation.

    alert1 wykrywania anomalii alert1 wykrywania anomaliianomaly detection alert1 anomaly detection alert1

  2. Dzięki temu można łatwiej zrozumieć, jakie podejrzanych działań są wykonanych przez użytkownika i bardziej pewności co do tego, czy konto zostało naruszone.This enables you to understand what the suspicious activities are that the user performed and gain deeper confidence as to whether the account was compromised. Na przykład alert w wielu nieudanych prób logowania rzeczywiście być podejrzanych i może wskazywać na potencjalny atak siłowy atak, ale można też błąd konfiguracji aplikacji, powodując alert jako wynik niegroźny prawdziwie dodatni.For example, an alert on multiple failed logins may indeed be suspicious and can indicate potential brute force attack, but it can also be an application misconfiguration, causing the alert to be a benign true positive. Jednakże jeśli zostanie wyświetlony alert dotyczący wielu nieudanych prób logowania za pomocą dodatkowych podejrzanych działań, to ma większe prawdopodobieństwo, że konto zostanie naruszony.However, if you see a multiple failed logins alert with additional suspicious activities, then there is a higher probability that the account is compromised. W poniższym przykładzie widać wielu nieudanych prób logowania alert został następuje działania z adresu IP sieci TOR i niemożliwa zmiana lokalizacji, zarówno silne wskaźniki naruszenia (IOCs) samodzielnie.In the example below, you can see that the Multiple failed login attempts alert was followed by Activity from a TOR IP address and Impossible travel activity, both strong indicators of compromise (IOCs) by themselves. Jeśli to nie był wystarczająco podejrzane, a następnie widać, że ten sam użytkownik wykonał dotyczący masowego pobierania działania, co ma często miejsce wskaźnik osoba atakująca wykonywanie exfiltration danych.If this wasn’t suspicious enough, then you can see that the same user performed a Mass download activity, which is often an indicator of the attacker performing exfiltration of data.

    alert1 wykrywania anomalii alert1 wykrywania anomaliianomaly detection alert1 anomaly detection alert1

  3. Dla plików zainfekowanych złośliwym oprogramowaniem po pliki są wykrywane, można następnie zobaczysz listę zainfekowane pliki.For malware infected files, After files are detected, you can then see a list of Infected files. Kliknij nazwę pliku przed złośliwym oprogramowaniem w szufladzie pliku, aby otworzyć raport złośliwego oprogramowania, która dostarcza informacji na temat tego rodzaju złośliwe oprogramowanie, które jest zainfekowany plik.Click on the malware file name in the file drawer to open a malware report that provides you with information about that type of malware the file is infected with.

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.