Como investigar alertas de deteção de anomalias
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Microsoft Cloud App Security fornece deteções de segurança e alertas para atividades maliciosas. O objetivo deste guia é fornecer-lhe informações gerais e práticas sobre cada alerta, para ajudar nas suas tarefas de investigação e reparação. Incluído neste guia estão informações gerais sobre as condições para desencadear alertas. No entanto, é importante notar que, uma vez que as deteções de anomalias não são deterministas por natureza, só são desencadeadas quando há comportamentos que se desviam da norma. Finalmente, alguns alertas podem estar em pré-visualização, por isso reveja regularmente a documentação oficial para o estado de alerta atualizado.
MITRE ATT & CK
Para explicar e facilitar o mapa da relação entre Cloud App Security alertas e a familiar MITRE ATT & CK Matrix, categorizamos os alertas pela sua correspondente tática MITRE ATT & CK. Esta referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando um alerta de Cloud App Security é desencadeado.
Este guia fornece informações sobre a investigação e remediação de alertas de Cloud App Security nas seguintes categorias.
Classificações de alerta de segurança
Após uma investigação adequada, todos os alertas Cloud App Security podem ser classificados como um dos seguintes tipos de atividade:
- Verdadeiro positivo (TP): Um alerta sobre uma atividade maliciosa confirmada.
- Benigno verdadeiro positivo (B-TP): Um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
- Falso positivo (FP): Um alerta sobre uma atividade não maliciosa.
Etapas gerais de investigação
Deve utilizar as seguintes diretrizes gerais quando investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.
- Reveja a pontuação prioritária da investigação do utilizador e compare com o resto da organização. Isto irá ajudá-lo a identificar quais os utilizadores da sua organização que representam maior risco.
- Se identificar um TP, reveja todas as atividades do utilizador para obter uma compreensão do impacto.
- Reveja toda a atividade do utilizador para outros indicadores de compromisso e explore a origem e o alcance do impacto. Por exemplo, reveja as seguintes informações do dispositivo do utilizador e compare com informações conhecidas do dispositivo:
- Sistema operativo e versão
- Navegador e versão
- Endereço IP e localização
Alertas de acesso iniciais
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar ganhar uma posição inicial na sua organização.
Atividade a partir de endereço IP anónimo
Descrição
Atividade a partir de um endereço IP que foi identificado como um endereço IP de procuração anónimo pela Microsoft Threat Intelligence ou pela sua organização. Estes proxies podem ser usados para ocultar o endereço IP de um dispositivo e podem ser usados para atividades maliciosas.
TP, B-TP, ou FP?
Esta deteção utiliza um algoritmo de aprendizagem automática que reduz incidentes B-TP, tais como endereços IP com etiquetas erradas que são amplamente utilizados pelos utilizadores da organização.
TP: Se conseguir confirmar que a atividade foi realizada a partir de um endereço IP anónimo ou TOR.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
B-TP: Se um utilizador for conhecido por utilizar endereços IP anónimos no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador e alertas para obter indicadores adicionais de compromisso. Por exemplo, se o alerta foi seguido por outro alerta suspeito, como um download de ficheiros Incomum (por utilizador) ou um alerta de reencaminhamento de caixa de entrada suspeito, que muitas vezes indica que um intruso está a tentar exfiltrar dados.
Atividade de país pouco frequente
Atividade de um país/região que pode indicar atividade maliciosa. Esta política traça o perfil do seu ambiente e desencadeia alertas quando a atividade é detetada a partir de um local que não foi recentemente ou nunca foi visitado por nenhum utilizador da organização.
Por padrão, a política está configurada para incluir apenas atividades de entrada bem sucedidas, mas pode ser configurada para incluir quaisquer atividades de entrada. A política pode ser mais aprofundada para um subconjunto de utilizadores ou pode excluir utilizadores conhecidos por viajarem para locais remotos.
período Aprendizagem
A deteção de locais anómalos requer um período inicial de aprendizagem de sete dias durante o qual os alertas não são acionados para novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada:
- Suspender o utilizador, redefinir a sua palavra-passe e identificar o momento certo para voltar a ativar a conta com segurança.
- Opcional: Criar um livro de jogadas utilizando Power Automate para contactar os utilizadores detetados como ligação a partir de locais pouco frequentes, e seus gestores, para verificar a sua atividade.
B-TP: Se se sabe que um utilizador está neste local. Por exemplo, quando um utilizador viaja com frequência e está atualmente no local especificado.
Ação recomendada:
- Dispense o alerta e modifique a política para excluir o utilizador.
- Crie um grupo de utilizadores para viajantes frequentes, importe o grupo em Cloud App Security e exclua os utilizadores deste alerta
- Opcional: Criar um livro de jogadas utilizando Power Automate para contactar os utilizadores detetados como ligação a partir de locais pouco frequentes, e seus gestores, para verificar a sua atividade.
Compreenda o âmbito da violação
- Reveja quais os recursos que podem ter sido comprometidos, como potenciais transferências de dados.
Atividade a partir de endereços IP suspeitos
Atividade a partir de um endereço IP que foi identificado como arriscado pela Microsoft Threat Intelligence ou pela sua organização. Estes endereços IP foram identificados como estando envolvidos em atividades maliciosas, tais como comando e controlo botnet (C&C), e podem indicar uma conta comprometida.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
B-TP: Se um utilizador for conhecido por utilizar o endereço IP no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividades e procure atividades a partir do mesmo endereço IP.
- Reveja quais os recursos que podem ter sido comprometidos, tais como potenciais transferências de dados ou modificações administrativas.
- Crie um grupo para analistas de segurança que desencadeie voluntariamente estes alertas e os exclua da política.
Viagem Impossível
Atividade do mesmo utilizador em diferentes locais dentro de um período de tempo mais curto do que o tempo de viagem esperado entre os dois locais. Isto pode indicar uma falha de credencial, no entanto, também é possível que a localização real do utilizador seja mascarada, por exemplo, usando uma VPN.
Para melhorar a precisão e o alerta apenas quando houver uma forte indicação de uma violação, Cloud App Security estabelece uma linha de base em cada utilizador da organização e só alertará quando o comportamento incomum for detetado. A política de viagem impossível pode ser afinada às suas necessidades.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
Esta deteção utiliza um algoritmo de aprendizagem automática que ignora as condições óbvias de B-TP, como quando os endereços IP de ambos os lados da viagem são considerados seguros, a viagem é confiável e excluída de desencadear a deteção impossível de viagens. Por exemplo, ambos os lados são considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a deteção é ativada normalmente.
TP: Se conseguir confirmar que a localização no alerta de viagem impossível é improvável para o utilizador.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Viagem de utilizador não detetada): Se conseguir confirmar que o utilizador viajou recentemente para o destino mencionado detalhado no alerta. Por exemplo, se o telefone de um utilizador que está em modo avião permanecer ligado a serviços como Exchange Online na sua rede corporativa enquanto viaja para um local diferente. Quando o utilizador chega ao novo local, o telefone conecta-se a Exchange Online desencadeando o alerta de viagem impossível.
Ação recomendada: Dispensar o alerta.
FP (VPN não composição) Se conseguir confirmar que o intervalo de endereço IP é de uma VPN sancionada.
Ação recomendada: Dispense o alerta e adicione o intervalo de endereços IP da VPN para Cloud App Security e, em seguida, use-o para marcar o intervalo de endereços IP da VPN.
Compreenda o âmbito da violação
- Reveja o registo de atividades para obter uma compreensão de atividades semelhantes no mesmo local e endereço IP.
- Se vir que o utilizador realizou outras atividades de risco, como o descarregamento de um grande volume de ficheiros a partir de um novo local, isso seria uma forte indicação de um possível compromisso.
- Adicione gamas de VPN e IP corporativos.
- Crie um livro de jogadas utilizando Power Automate e contacte o gestor do utilizador para ver se o utilizador está legitimamente a viajar.
- Considere criar uma base de dados de viajantes conhecida para até ao minuto relatório de viagens organizacionais e usá-lo para cruzar a atividade de viagem.
Nome de aplicação enganosa OAuth
Esta deteção identifica apps com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isto pode indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os atacantes possam enganar os utilizadores a descarregar a sua app maliciosa.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a aplicação tem um nome enganador.
Ação recomendada: Reveja o nível de permissão solicitado por esta aplicação e qual os utilizadores que tenham acesso. Com base na sua investigação pode optar por proibir o acesso a esta aplicação.
Para proibir o acesso à aplicação, na página de aplicações da OAuth, na linha em que a app que pretende proibir aparece, clique no ícone de proibição. - Pode escolher se pretende dizer aos utilizadores que a aplicação que instalaram e autorizaram foi proibida. A notificação permite aos utilizadores saberem que a aplicação será desativada e que não terá acesso à aplicação conectada. Se não quiser que saibam, desescolh os utilizadores que tenham acesso a esta aplicação proibida no diálogo. - Recomenda-se que informe os utilizadores da aplicação que a sua aplicação está prestes a ser proibida de ser utilizada.
FP: Se você estiver para confirmar que a app tem um nome enganoso, mas tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Siga o tutorial sobre como investigar aplicações arriscadas da OAuth.
Nome de editor enganoso para uma aplicação OAuth
Esta deteção identifica apps com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isto pode indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os atacantes possam enganar os utilizadores a descarregar a sua app maliciosa.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a aplicação tem um nome de editor enganoso.
Ação recomendada: Reveja o nível de permissão solicitado por esta aplicação e qual os utilizadores que tenham acesso. Com base na sua investigação pode optar por proibir o acesso a esta aplicação.
FP: Se tiver de confirmar que a aplicação tem um nome de editor enganador, mas é uma editora legítima.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Na página de aplicações OAuth, clique na aplicação para abrir a gaveta da aplicação e, em seguida, clique em Atividade Relacionada. Isto abre a página de registo de Atividade filtrada para atividades realizadas pela aplicação. Tenha em mente que algumas aplicações realizam atividades que estão registadas como tendo sido realizadas por um utilizador. Estas atividades são automaticamente filtradas dos resultados no registo de atividade. Para mais investigação utilizando o registo de atividades, consulte o registo de atividades.
- Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da app e o editor em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
- Aplicativos com um número reduzido de downloads.
- Aplicativos com uma classificação baixa ou pontuação ou maus comentários.
- Aplicativos com um editor ou site suspeito.
- Aplicações que não foram atualizadas recentemente. Isto pode indicar uma aplicação que já não é suportada.
- Aplicativos que têm permissões irrelevantes. Isto pode indicar que uma aplicação é arriscada.
- Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome da aplicação, editor e URL online.
Alertas de execução
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar executar código malicioso na sua organização.
Múltiplas atividades de eliminação de armazenamento
Atividades numa única sessão indicando que um utilizador realizou um número incomum de armazenamento em nuvem ou eliminações de bases de dados de recursos como blobs Azure, baldes AWS S3 ou Cosmos DB quando comparado com a linha de base aprendida. Isto pode indicar uma tentativa de violação da sua organização.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se tiver de confirmar que as supressões não foram autorizadas.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e verificar todos os dispositivos para ameaças maliciosas. Reveja toda a atividade do utilizador para outros indicadores de compromisso e explore o âmbito de impacto.
FP: Se após a sua investigação, puder confirmar que o administrador foi autorizado a realizar estas atividades de supressão.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Contacte o utilizador e confirme a atividade.
- Reveja o registo de atividade para outros indicadores de compromisso e veja quem fez a alteração.
- Reveja as atividades desse utilizador para alterações a outros serviços.
Múltiplas atividades de criação de VM
Atividades numa única sessão indicando que um utilizador realizou um número incomum de ações de criação de VM quando comparado com a linha de base aprendida. Múltiplas criações de VM numa infraestrutura cloud violada podem indicar uma tentativa de executar operações de mineração de cripto dentro da sua organização.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
Para melhorar a precisão e o alerta apenas quando há uma forte indicação de uma violação, esta deteção estabelece uma linha de base em cada ambiente da organização para reduzir incidentes B-TP, como um administrador legitimamente criado mais VMs do que a linha de base estabelecida, e apenas alerta quando o comportamento incomum é detetado.
TP: Se puder confirmar que as atividades de criação não foram realizadas por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e verificar todos os dispositivos para ameaças maliciosas. Reveja toda a atividade do utilizador para outros indicadores de compromisso e explore o âmbito de impacto. Além disso, contacte o utilizador, confirme as suas ações legítimas e, em seguida, certifique-se de desativar ou eliminar quaisquer VMs comprometidos.
B-TP: Se após a sua investigação, puder confirmar que o administrador estava autorizado a realizar estas atividades de criação.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador para outros indicadores de compromisso.
- Reveja os recursos criados ou modificados pelo utilizador e verifique se estão em conformidade com as políticas da sua organização.
Atividade de criação suspeita para região de nuvens (pré-visualização)
Atividades que indicam que um utilizador realizou uma ação invulgar de criação de recursos numa região AWS incomum quando comparado com a linha de base aprendida. A criação de recursos em regiões de nuvens incomuns pode indicar uma tentativa de realizar uma atividade maliciosa, como operações de mineração de criptomoedas dentro da sua organização.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
Para melhorar a precisão e o alerta apenas quando há uma forte indicação de uma violação, esta deteção estabelece uma linha de base em cada ambiente da organização para reduzir incidentes B-TP.
TP: Se puder confirmar que as atividades de criação não foram realizadas por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e verificar todos os dispositivos para ameaças maliciosas. Reveja toda a atividade do utilizador para outros indicadores de compromisso e explore o âmbito de impacto. Além disso, contacte o utilizador, confirme as suas ações legítimas e, em seguida, certifique-se de desativar ou eliminar quaisquer recursos de nuvem comprometidos.
B-TP: Se após a sua investigação, puder confirmar que o administrador estava autorizado a realizar estas atividades de criação.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador para outros indicadores de compromisso.
- Reveja os recursos criados e verifique se estão em conformidade com as políticas da sua organização.
Alertas de persistência
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manter a sua posição na sua organização.
Atividade realizada por utilizador encerrado
A atividade realizada por um utilizador encerrado pode indicar que um funcionário despedido que ainda tem acesso a recursos corporativos está a tentar realizar uma atividade maliciosa. Cloud App Security perfis de utilizadores na organização e desencadeia um alerta quando um utilizador exterminado realiza uma atividade.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que o utilizador encerrado ainda tem acesso a determinados recursos corporativos e está a realizar atividades.
Ação recomendada: Desative o utilizador.
B-TP: Se conseguir determinar que o utilizador foi temporariamente desativado ou eliminado e re-registado.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Registos rh de referência cruzada para confirmar que o utilizador está terminado.
- Validar a existência da conta de utilizador Azure Ative Directory (Azure AD).
Nota
Se utilizar o Azure AD Ligação, valide o objeto Ative Directory no local e confirme um ciclo de sincronização bem sucedido.
- Identifique todas as aplicações a que o utilizador terminado teve acesso e desative as contas.
- Atualize os procedimentos de desmantelamento.
Mudança suspeita do serviço de registo cloudTrail
Atividades numa única sessão indicando que, um utilizador realizou alterações suspeitas no serviço de registo AWS CloudTrail. Isto pode indicar uma tentativa de violação da sua organização. Ao desativar o CloudTrail, as alterações operacionais deixaram de ser registadas. Um intruso pode realizar atividades maliciosas enquanto evita um evento de auditoria cloudTrail, como modificar um balde S3 de privado para público.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e inverter a atividade cloudTrail.
FP: Se conseguir confirmar que o utilizador desativou legitimamente o serviço CloudTrail.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividade para outros indicadores de compromisso e veja quem fez a alteração para o serviço CloudTrail.
- Opcional: Criar um livro de jogadas utilizando Power Automate para contactar os utilizadores e os seus gestores para verificar a sua atividade.
Atividade suspeita de eliminação de e-mails (por utilizador)
Atividades numa única sessão indicando que, um utilizador realizou eliminações suspeitas de e-mail. Isto pode indicar uma tentativa de violação da sua organização, como atacantes que tentam mascarar operações, eliminando e-mails relacionados com atividades de spam.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP: Se conseguir confirmar que o utilizador criou legitimamente uma regra para apagar mensagens.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
Reveja toda a atividade do utilizador para obter indicadores adicionais de compromisso, como o alerta de reencaminhamento de caixas de entrada suspeitas, seguido de um alerta de Viagem Impossível. Procurar:
- Novas regras de encaminhamento SMTP, da seguinte forma:
- Verifique se há nomes de regras de encaminhamento maliciosos. Os nomes das regras podem variar de nomes simples, tais como "Forward All Emails" e "Auto forward", ou nomes enganadores, como um "pouco visível". Reencamis de regras podem até estar vazios, e o destinatário do encaminhamento pode ser uma única conta de e-mail ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface do utilizador. Uma vez detetado, pode utilizar esta publicação de blog útil sobre como eliminar as regras ocultas das caixas de correio.
- Se detetar uma regra de encaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, pode assumir que a conta de entrada foi comprometida.
- Novas regras de caixa de entrada, como "apagar todas", "mover mensagens para outra pasta", ou aquelas com convenções obscuras de nomeação, por exemplo "...".
- Um aumento nos e-mails enviados.
- Novas regras de encaminhamento SMTP, da seguinte forma:
Regra de manipulação de caixa de entrada suspeita
Atividades que indicam que um intruso teve acesso à caixa de entrada de um utilizador e criou uma regra suspeita. As regras de manipulação, como a eliminação ou mudança de mensagens, ou pastas, da caixa de entrada de um utilizador podem ser uma tentativa de exfiltrar informações da sua organização. Da mesma forma, podem indicar uma tentativa de manipular informações que um utilizador vê ou usar a sua caixa de entrada para distribuir spam, e-mails de phishing ou malware. Cloud App Security perfis do seu ambiente e desencadeia alertas quando são detetadas regras suspeitas de manipulação de caixas de entrada na caixa de entrada. Isto pode indicar que a conta do utilizador está comprometida.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que foi criada uma regra de caixa de entrada maliciosa e que a conta foi comprometida.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e remover a regra de encaminhamento.
FP: Se conseguir confirmar que um utilizador criou legitimamente a regra.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador para obter indicadores adicionais de compromisso, como o alerta de reencaminhamento de caixas de entrada suspeitas, seguido de um alerta de Viagem Impossível. Procurar:
- Novas regras de encaminhamento SMTP.
- Novas regras de caixa de entrada, como "apagar todas", "mover mensagens para outra pasta", ou aquelas com convenções obscuras de nomeação, por exemplo "...".
- Recolher informações sobre o endereço IP e a localização para a ação.
- Rever as atividades realizadas a partir do endereço IP utilizado para criar a regra para detetar outros utilizadores comprometidos.
Alertas de escalada de privilégios
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar obter permissões de alto nível na sua organização.
Atividade administrativa incomum (por utilizador)
Atividades que indicam que um intruso comprometeu uma conta de utilizador e executou ações administrativas que não são comuns para esse utilizador. Por exemplo, um intruso pode tentar alterar uma definição de segurança para um utilizador, uma operação que é relativamente rara para um utilizador comum. Cloud App Security cria uma linha de base baseada no comportamento do utilizador e desencadeia um alerta quando o comportamento incomum é detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se puder confirmar que a atividade não foi realizada por um administrador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP: Se puder confirmar que um administrador realizou legitimamente o volume invulgar de atividades administrativas.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador para obter indicadores adicionais de compromisso, tais como reencaminhamento de caixas de entrada suspeitas ou Viagens Impossíveis.
- Reveja outras alterações de configuração, como a criação de uma conta de utilizador que possa ser usada para persistência.
Alertas de acesso credencial
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar nomes de conta e palavras-passe da sua organização.
Múltiplas tentativas falhadas de login
Tentativas falhadas de login podem indicar uma tentativa de violação de uma conta. No entanto, os logins falhados também podem ser um comportamento normal. Por exemplo, quando um utilizador introduziu uma palavra-passe errada por engano. Para obter precisão e alerta apenas quando houver uma forte indicação de uma tentativa de violação, Cloud App Security estabelece uma linha de base de hábitos de login para cada utilizador na organização e só alertará quando o comportamento incomum for detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
Esta política baseia-se na aprendizagem do comportamento normal de login de um utilizador. Quando é detetado um desvio da norma, é acionado um alerta. Se a deteção começar a ver que o mesmo comportamento continua, o alerta só é levantado uma vez.
TP (MFA falha): Se conseguir confirmar que a MFA está a funcionar corretamente, isto pode ser um sinal de uma tentativa de ataque à força bruta.
Ações recomendadas:
- Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
- Encontre a aplicação que executou as autenticações falhadas e reconfigure-a.
- Procure outros utilizadores que tenham iniciado sessão por volta do momento da atividade, pois também podem estar comprometidos. Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
B-TP (MFA falha): Se conseguir confirmar que o alerta é causado por um problema com o MFA.
Ação recomendada: Crie um livro de jogadas utilizando Power Automate para contactar o utilizador e verificar se estão com problemas com o MFA.
B-TP (app configurada indevidamente): Se conseguir confirmar que uma aplicação mal configurada está a tentar ligar-se a um serviço várias vezes com credenciais caducadas.
Ação recomendada: Dispensar o alerta.
B-TP (Palavra-passe alterada): Se conseguir confirmar que um utilizador alterou recentemente a sua palavra-passe, mas não teve impacto nas credenciais através das ações da rede.
Ação recomendada: Dispensar o alerta.
B-TP (Teste de Segurança): Se conseguir confirmar que um teste de segurança ou penetração está a ser realizado por analistas de segurança em nome da organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Rever toda a atividade do utilizador para obter indicadores adicionais de compromisso, como o alerta, é seguido por um dos seguintes alertas: Impossible Travel, Activity from anonymous IP address, ou Activity from infrequent country.
- Reveja as seguintes informações do dispositivo de utilizador e compare com informações conhecidas do dispositivo:
- Sistema operativo e versão
- Navegador e versão
- Endereço IP e localização
- Identifique o endereço IP de origem ou local onde ocorreu a tentativa de autenticação.
- Identifique se o utilizador alterou recentemente a sua palavra-passe e certifique-se de que todas as aplicações e dispositivos têm a senha atualizada.
Adição incomum de credenciais a uma aplicação OAuth
Esta deteção identifica a adição suspeita de credenciais privilegiadas a uma aplicação da OAuth. Isto pode indicar que um intruso comprometeu a aplicação, e está a usá-la para atividades maliciosas.
período Aprendizagem
Aprendizagem ambiente da sua organização requer um período de sete dias durante o qual pode esperar um grande volume de alertas.
Alertas de recolha
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher dados de interesse para o seu objetivo da sua organização.
Múltiplas atividades de partilha de relatórios de Power BI
Atividades numa única sessão indicando que um utilizador realizou um número incomum de atividades de relatório de ações em Power BI quando comparado com a linha de base aprendida. Isto pode indicar uma tentativa de violação da sua organização.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Remova o acesso à partilha de Power BI. Se conseguir confirmar que a conta está comprometida, suspenda o utilizador, marque o utilizador como comprometido e reponha a sua palavra-passe.
FP: Se puder confirmar que o utilizador tinha uma justificação comercial para partilhar estes relatórios.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividades para obter uma melhor compreensão de outras atividades realizadas pelo utilizador. Veja o endereço IP de onde estão iniciados e os detalhes do dispositivo.
- Contacte a sua equipa de Power BI ou equipa de Proteção de Informação para entender as diretrizes para a partilha de relatórios interna e externamente.
Partilha de relatório suspeito do Power BI
Atividades que indicam que um utilizador partilhou um relatório Power BI que pode conter informações sensíveis identificadas utilizando OLP para analisar os metadados do relatório. O relatório foi partilhado com um endereço de e-mail externo, publicado na web, ou um instantâneo foi entregue num endereço de e-mail subscrito externamente. Isto pode indicar uma tentativa de violação da sua organização.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Remova o acesso à partilha de Power BI. Se conseguir confirmar que a conta está comprometida, suspenda o utilizador, marque o utilizador como comprometido e reponha a sua palavra-passe.
FP: Se puder confirmar que o utilizador tinha uma justificação comercial para partilhar estes relatórios.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividades para obter uma melhor compreensão de outras atividades realizadas pelo utilizador. Veja o endereço IP de onde estão iniciados e os detalhes do dispositivo.
- Contacte a sua equipa de Power BI ou equipa de Proteção de Informação para entender as diretrizes para a partilha de relatórios interna e externamente.
Atividade personificada incomum (por utilizador)
Em alguns softwares, existem opções para permitir que outros utilizadores se personiem por outros utilizadores. Por exemplo, os serviços de e-mail permitem que os utilizadores autorizem outros utilizadores a enviar e-mails em seu nome. Esta atividade é comumente usada pelos atacantes para criar e-mails de phishing numa tentativa de extrair informações sobre a sua organização. Cloud App Security cria uma linha de base baseada no comportamento do utilizador e cria uma atividade quando é detetada uma atividade de imitação incomum.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi desempenhada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Comportamento incomum): Se conseguir confirmar que o utilizador realizou legitimamente as atividades incomuns, ou mais atividades do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
FP: Se conseguir confirmar que as aplicações, como Teams, se personificam legitimamente pelo utilizador.
Ação recomendada: Reveja as ações e rejeite o alerta se necessário.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador e alertas para obter indicadores adicionais de compromisso.
- Reveja as atividades de personificação para identificar potenciais atividades maliciosas.
- Reveja a configuração de acesso delegada.
Alertas de exfiltração
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar dados da sua organização.
Reencaminhamento de caixa de entrada suspeito
Atividades que indicam que um intruso teve acesso à caixa de entrada de um utilizador e criou uma regra suspeita. As regras de manipulação, tais como enviar todos ou e-mails específicos para outra conta de e-mail pode ser uma tentativa de exfiltrar informações da sua organização. Cloud App Security perfis do seu ambiente e desencadeia alertas quando são detetadas regras suspeitas de manipulação de caixas de entrada na caixa de entrada. Isto pode indicar que a conta do utilizador está comprometida.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que foi criada uma regra de reencaminhamento de caixas de entrada maliciosas e que a conta foi comprometida.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e remover a regra de encaminhamento.
FP: Se conseguir confirmar que o utilizador criou uma regra de encaminhamento para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
Reveja toda a atividade do utilizador para obter indicadores adicionais de compromisso, como o alerta, é seguido por um alerta de Viagem Impossível. Procurar:
- Novas regras de encaminhamento SMTP, da seguinte forma:
- Verifique se há nomes de regras de encaminhamento maliciosos. Os nomes das regras podem variar de nomes simples, tais como "Forward All Emails" e "Auto forward", ou nomes enganadores, como um "pouco visível". Reencamis de regras podem até estar vazios, e o destinatário do encaminhamento pode ser uma única conta de e-mail ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface do utilizador. Uma vez detetado, pode utilizar esta publicação de blog útil sobre como eliminar as regras ocultas das caixas de correio.
- Se detetar uma regra de encaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, pode assumir que a conta de entrada foi comprometida.
- Novas regras de caixa de entrada, como "apagar todas", "mover mensagens para outra pasta", ou aquelas com convenções obscuras de nomeação, por exemplo "...".
- Novas regras de encaminhamento SMTP, da seguinte forma:
Rever as atividades realizadas a partir do endereço IP utilizado para criar a regra para detetar outros utilizadores comprometidos.
Reveja a lista de mensagens reencaminhadas utilizando Exchange Online rastreio de mensagens.
Descarregamento de ficheiros incomum (por utilizador)
Atividades que indicam que um utilizador realizou um número incomum de downloads de ficheiros a partir de uma plataforma de armazenamento em nuvem quando comparado com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização. Cloud App Security cria uma linha de base baseada no comportamento do utilizador e desencadeia um alerta quando o comportamento incomum é detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Comportamento incomum): Se puder confirmar que o utilizador realizou legitimamente mais atividades de descarregamento de ficheiros do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
FP (Sincronização de software): Se conseguir confirmar que o software, como OneDrive, foi sincronizado com uma cópia de segurança externa que causou o alerta.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja as atividades de descarregamento e crie uma lista de ficheiros descarregados.
- Reveja a sensibilidade dos ficheiros descarregados com o titular do recurso e valide o nível de acesso.
Acesso invulgar a ficheiros (por utilizador)
Atividades que indicam que um utilizador realizou um número incomum de acessos de ficheiros no SharePoint ou OneDrive a ficheiros que contenham dados financeiros ou dados de rede em comparação com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização, seja para fins financeiros ou para acesso credencial e movimento lateral. Cloud App Security cria uma linha de base baseada no comportamento do utilizador e desencadeia um alerta quando o comportamento incomum é detetado.
período Aprendizagem
O período de aprendizagem depende da atividade do utilizador. Geralmente, o período de aprendizagem é entre 21 e 45 dias para a maioria dos utilizadores.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Comportamento incomum): Se puder confirmar que o utilizador realizou legitimamente mais atividades de acesso a ficheiros do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja as atividades de acesso e crie uma lista de ficheiros acedidos.
- Reveja a sensibilidade dos ficheiros acedidos com o titular do recurso e valide o nível de acesso.
Atividade incomum de partilha de ficheiros (por utilizador)
Atividades que indicam que um utilizador realizou um número incomum de ações de partilha de ficheiros a partir de uma plataforma de armazenamento em nuvem quando comparado com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização. Cloud App Security cria uma linha de base baseada no comportamento do utilizador e desencadeia um alerta quando o comportamento incomum é detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Comportamento incomum): Se conseguir confirmar que o utilizador realizou legitimamente mais atividades de partilha de ficheiros do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja as atividades de partilha e crie uma lista de ficheiros partilhados.
- Reveja a sensibilidade dos ficheiros partilhados com o titular do recurso e valide o nível de acesso.
- Crie uma política de ficheiros para documentos semelhantes para detetar a partilha futura de ficheiros sensíveis.
Alertas de impacto
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manipular, interromper ou destruir os seus sistemas e dados na sua organização.
Múltiplas atividades de eliminação de VM
Atividades numa única sessão indicando que um utilizador realizou um número incomum de supressões VM quando comparado com a linha de base aprendida. Várias supressões VM podem indicar uma tentativa de perturbar ou destruir um ambiente. No entanto, existem muitos cenários normais em que os VMs são eliminados.
TP, B-TP, ou FP?
Para melhorar a precisão e o alerta apenas quando há uma forte indicação de uma violação, esta deteção estabelece uma linha de base em cada ambiente da organização para reduzir incidentes B-TP e apenas alerta quando o comportamento incomum é detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP: Se puder confirmar que as supressões não foram autorizadas.
Ação recomendada: Suspender o utilizador, redefinir a sua palavra-passe e verificar todos os dispositivos para ameaças maliciosas. Reveja toda a atividade do utilizador para outros indicadores de compromisso e explore o âmbito de impacto.
B-TP: Se após a sua investigação, puder confirmar que o administrador foi autorizado a realizar estas atividades de supressão.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Contacte o utilizador e confirme a atividade.
- Rever toda a atividade do utilizador para obter indicadores adicionais de compromisso, como o alerta, é seguido por um dos seguintes alertas: Impossible Travel, Activity from anonymous IP address, ou Activity from infrequent country.
Atividade ransomware
O ransomware é um ciberataque em que um atacante bloqueia as vítimas dos seus dispositivos ou impede-as de aceder aos seus ficheiros até que a vítima pague um resgate. O ransomware pode ser espalhado por um ficheiro partilhado malicioso ou por uma rede comprometida. Cloud App Security usa conhecimentos de pesquisa de segurança, inteligência de ameaças e padrões comportamentais aprendidos para identificar a atividade do ransomware. Por exemplo, uma alta taxa de uploads de ficheiros, ou eliminações de ficheiros, pode representar um processo de encriptação que é comum entre as operações de ransomware.
Esta deteção estabelece uma linha de base dos padrões normais de trabalho de cada utilizador na sua organização, como quando o utilizador acede à nuvem e o que normalmente faz na nuvem.
As políticas automatizadas de deteção de ameaças da Cloud App Security começam a funcionar em segundo plano a partir do momento em que se conecta. Usando a nossa experiência de pesquisa de segurança para identificar padrões comportamentais que refletem atividade de ransomware na nossa organização, Cloud App Security fornece uma cobertura abrangente contra ataques sofisticados de ransomware.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi desempenhada pelo utilizador.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP (Comportamento incomum): O utilizador realizou legitimamente múltiplas atividades de eliminação e upload de ficheiros semelhantes num curto espaço de tempo.
Ação recomendada: Depois de rever o registo de atividade e confirmar que as extensões do ficheiro não são suspeitas, dispense o alerta.
FP (Extensão comum do ficheiro ransomware): Se conseguir confirmar que as extensões dos ficheiros afetados correspondem a uma extensão conhecida do ransomware.
Ação recomendada: Contacte o utilizador e confirme que os ficheiros estão seguros e, em seguida, dispense o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividade para outros indicadores de compromisso, tais como o download em massa, ou a eliminação em massa, de ficheiros.
- Se estiver a utilizar o Microsoft Defender para Endpoint, reveja os alertas de computador do utilizador para ver se foram detetados ficheiros maliciosos.
- Procure no registo de atividades para fazer upload e partilha de ficheiros maliciosos.
Atividade invulgar de eliminação de ficheiros (por utilizador)
Atividades que indicam que um utilizador realizou uma atividade invulgar de eliminação de ficheiros quando comparado com a linha de base aprendida. Isto pode indicar o ataque do ransomware. Por exemplo, um intruso pode encriptar os ficheiros de um utilizador e apagar todos os originais, deixando apenas as versões encriptadas que podem ser usadas para coagir a vítima a pagar um resgate. Cloud App Security cria uma linha de base baseada no comportamento normal do utilizador e desencadeia um alerta quando o comportamento incomum é detetado.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para quaisquer novos locais.
TP, B-TP, ou FP?
TP: Se conseguir confirmar que a atividade não foi desempenhada por um utilizador legítimo.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
FP: Se conseguir confirmar que o utilizador realizou legitimamente mais atividades de eliminação de ficheiros do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja as atividades de eliminação e crie uma lista de ficheiros eliminados. Se necessário, recupere os ficheiros apagados.
- Opcionalmente, crie um livro de jogadas utilizando Power Automate para contactar os utilizadores e os seus gestores para verificar a atividade.
Aumento da pontuação prioritária da investigação (pré-visualização)
Atividades e atividades anómalas que desencadearam alertas são dadas pontuações com base na gravidade, impacto do utilizador e análise comportamental do utilizador. A análise é feita com base em outros utilizadores dos inquilinos.
Quando houver um aumento significativo e anómalo na pontuação prioritária da investigação de um determinado utilizador, o alerta será desencadeado.
Este alerta permite detetar potenciais falhas que são caracterizadas por atividades que não desencadeiam necessariamente alertas específicos, mas que se acumulam a um comportamento suspeito para o utilizador.
período Aprendizagem
O estabelecimento de um novo padrão de atividade do utilizador requer um período de aprendizagem inicial de sete dias, durante o qual os alertas não são desencadeados para qualquer aumento de pontuação.
TP, B-TP, ou FP?
TP: Se puder confirmar que as atividades do utilizador não são legítimas.
Ação recomendada: Suspender o utilizador, marcar o utilizador como comprometido e redefinir a sua palavra-passe.
B-TP: Se conseguir confirmar que o utilizador se desviou significativamente do comportamento habitual, mas não há nenhuma possível violação.
FP (Comportamento incomum): Se conseguir confirmar que o utilizador realizou legitimamente as atividades incomuns, ou mais atividades do que a linha de base estabelecida.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade do utilizador e alertas para obter indicadores adicionais de compromisso.