Tutorial: Detetar atividade suspeita dos utilizadores com a UEBA
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
O Microsoft Cloud App Security fornece deteções de melhor classe em toda a cadeia de mortes de ataques para utilizadores comprometidos, ameaças internas, exfiltração, ransomware e muito mais. A nossa solução abrangente é conseguida combinando múltiplos métodos de deteção, incluindo anomalias, análises comportamentais (UEBA) e deteções de atividade baseadas em regras, para fornecer uma visão ampla de como os seus utilizadores usam aplicações no seu ambiente.
Então por que é importante detetar comportamentos suspeitos? O impacto de um utilizador capaz de alterar o seu ambiente em nuvem pode ser significativo e afetar diretamente a sua capacidade de gerir o seu negócio. Por exemplo, os principais recursos corporativos, como os servidores que executam o seu website público ou o serviço que está a fornecer aos clientes, podem ser comprometidos.
Utilizando dados capturados de várias fontes, o Cloud App Security analisa os dados para extrair atividades de apps e utilizadores na sua organização, dando visibilidade aos seus analistas de segurança no uso da nuvem. Os dados recolhidos são correlacionados, padronizados e enriquecidos com inteligência de ameaça, localização e muitos outros detalhes para fornecer uma visão precisa e consistente de atividades suspeitas.
Assim, para perceber plenamente os benefícios destas deteções, certifique-se primeiro de que configura as seguintes fontes:
- Registo de atividades
Atividades a partir das suas aplicações ligadas à API. - Registo de descoberta
Atividades extraídas de registos de tráfego de firewall e proxy que são reencaminhados para a Cloud App Security. Os registos são analisados em comparação com o catálogo de aplicações cloud, classificados e pontuados com base em mais de 80 fatores de risco. - Registo de procuração
Atividades a partir das suas aplicações de Controlo de Aplicações de Acesso Condicional.
A seguir, vai querer afinar as suas políticas. As seguintes políticas podem ser afinadas através da definição de filtros, limiares dinâmicos (UEBA) para ajudar a formar os seus modelos de deteção e supressões para reduzir as deteções positivas falsas comuns:
- Deteção de anomalias
- Deteção de anomalias da Cloud Discovery
- Deteção de atividade baseada em regras
Neste tutorial, você aprenderá a sintonizar as deteções de atividade do utilizador para identificar verdadeiros compromissos e reduzir a fadiga de alerta resultante do manuseamento de grandes volumes de deteções falsas positivas:
Fase 1: Intervalos de endereços IP configurar
Antes de configurar as políticas individuais, é aconselhável configurar gamas de IP para que estejam disponíveis para serem utilizadas na afinação de qualquer tipo de políticas suspeitas de deteção de atividade do utilizador.
Como a informação do endereço IP é crucial para quase todas as investigações, configurar endereços IP conhecidos ajuda os nossos algoritmos de aprendizagem automática a identificar locais conhecidos e considerá-los como parte dos modelos de machine learning. Por exemplo, adicionar a gama de endereços IP da sua VPN ajudará o modelo a classificar corretamente esta gama IP e excluí-la automaticamente de deteções impossíveis de viagem porque a localização VPN não representa a verdadeira localização desse utilizador.
Nota: As gamas IP configuradas não se limitam a deteções e são utilizadas em toda a Cloud App Security em áreas como atividades no registo de atividades, acesso condicional, etc. Tenha isto em mente ao configurar os intervalos. Assim, por exemplo, identificar os seus endereços IP de escritório físico permite-lhe personalizar a forma como os registos e alertas são exibidos e investigados.
Rever alertas de deteção de anomalias fora da caixa
Cloud App Security inclui um conjunto de alertas de deteção de anomalias para identificar diferentes cenários de segurança. Estas deteções são automaticamente ativadas fora da caixa e começarão a perfilar a atividade do utilizador e gerar alertas assim que os conectores de aplicação relevantes estiverem ligados.
Comece por se familiarizar com as diferentes políticas de deteção,priorize os cenários mais importantes que considera mais relevantes para a sua organização e ajuste as políticas em conformidade.
Fase 2: Afinar políticas de deteção de anomalias
Várias políticas de deteção de anomalias incorporadas estão disponíveis na Cloud App Security que estão pré-configuradas para casos comuns de uso de segurança. Deve ter algum tempo para se familiarizar com as deteções mais populares, tais como:
- Deslocação impossível
Atividades do mesmo utilizador em diferentes locais num período mais curto do que o tempo de viagem esperado entre os dois locais. - Atividade de país pouco frequente
Atividade a partir de um local que não foi recentemente ou nunca visitado pelo utilizador ou por qualquer utilizador da organização. - Deteção de malware
Verifica ficheiros nas suas aplicações na nuvem e executa ficheiros suspeitos através do motor de inteligência de ameaça da Microsoft para determinar se estão associados a malwares conhecidos. - Atividade ransomware
O ficheiro envia para a nuvem que pode estar infetada com ransomware. - Atividade a partir de endereços IP suspeitos
Atividade a partir de um endereço IP que foi identificado como arriscado pela Microsoft Threat Intelligence. - Reencaminhamento de caixa de entrada suspeito
Deteta regras suspeitas de reencaminhamento de caixa de entrada definidas na caixa de entrada de um utilizador. - Atividades incomuns de descarregamento de ficheiros
Deteta múltiplas atividades de descarregamento de ficheiros numa única sessão no que diz respeito à linha de base aprendida, o que pode indicar uma tentativa de violação. - Atividades administrativas incomuns
Deteta múltiplas atividades administrativas numa única sessão no que diz respeito à linha de base aprendida, o que pode indicar uma tentativa de violação.
Para obter uma lista completa de deteções e o que fazem, consulte as políticas de deteção de anomalias.
Uma vez que esteja familiarizado com as políticas, deve considerar como quer ajustá-las para os requisitos específicos da sua organização para melhorar as atividades de alvo que você pode querer investigar mais.
Políticas de âmbito para utilizadores ou grupos específicos
A aplicação de políticas para utilizadores específicos pode ajudar a reduzir o ruído de alertas que não são relevantes para a sua organização. Cada política pode ser configurada para incluir ou excluir utilizadores e grupos específicos,tais como nos seguintes exemplos:
- Simulações de ataque
Muitas organizações usam um utilizador ou um grupo para simular constantemente ataques. Obviamente, não faz sentido receber constantemente alertas das atividades destes utilizadores. Por isso, pode configurar as suas políticas para excluir estes utilizadores ou grupos. Isto também ajuda os modelos de machine learning a identificar estes utilizadores e a afinar os seus limiares dinâmicos em conformidade. - Deteções direcionadas
A sua organização pode estar interessada em investigar um grupo específico de utilizadores VIP, como membros de um administrador ou grupo CXO. Neste cenário, pode criar uma política para as atividades que pretende detetar e optar por incluir apenas o conjunto de utilizadores ou grupos interessados.
- Simulações de ataque
Sintonize deteções anómalas de insusição
Algumas organizações querem ver alertas resultantes de atividades de inscrição falhadas, uma vez que podem indicar que alguém está a tentar direcionar uma ou mais contas de utilizadores. Por outro lado, os ataques à força bruta nas contas dos utilizadores ocorrem a toda a hora na nuvem e as organizações não têm como impedi-las. Por isso, as organizações maiores geralmente decidem apenas receber alertas para atividades suspeitas de inscrição que resultam em atividades de entrada bem sucedidas, uma vez que podem representar verdadeiros compromissos.
O roubo de identidade é uma fonte chave de compromisso e representa um vetor de ameaça importante para a sua organização. Nossas viagens impossíveis, endereços IP anónimos,e alertas de deteção de países pouco frequentes ajudam a descobrir atividades que sugerem que uma conta está potencialmente comprometida. Você pode querer personalizar estas políticas apenas para se concentrar em insiná-los bem sucedidos que indicam uma ameaça accível e iminente e agir rapidamente sobre elas. Por exemplo, você pode personalizar a política de país pouco frequente para apenas alertar os insusões bem-sucedidos de locais que não foram visitados recentemente por qualquer utilizador na sua organização. Pode conseguir isso editando a política e em configuração Avançada, descreva as atividades de início de sessão para uma das opções de inscrição bem sucedidas.
Sintonize a sensibilidade da viagem impossível Configurar o slider de sensibilidade que determina o nível de supressões aplicadas ao comportamento anómalo antes de desencadear um alerta de viagem impossível. Por exemplo, as organizações interessadas em alta fidelidade devem considerar o aumento do nível de sensibilidade. Por outro lado, se a sua organização tem muitos utilizadores que viajam, considere baixar o nível de sensibilidade para suprimir atividades a partir de locais comuns de um utilizador aprendidos com atividades anteriores. Pode escolher entre os seguintes níveis de sensibilidade:
- Baixa: Sistema, insumpressão e supressões de utilizadores
- Meio: Supressões de sistema e de utilizador
- Alto: Apenas supressões de sistema
Em que:
Tipo de supressão Description Sistema Deteções incorporadas que são sempre suprimidas. Inquilino Atividades comuns baseadas em atividades anteriores no arrendatário. Por exemplo, suprimir atividades de um ISP previamente alertado na sua organização. Utilizador Atividades comuns baseadas em atividades anteriores do utilizador específico. Por exemplo, suprimir atividades de um local que é normalmente utilizado pelo utilizador.
Fase 3: Afinar políticas de deteção de anomalias na nuvem
Tal como as políticas de deteção de anomalias, existem várias políticas de deteção de anomalias de descoberta de nuvens incorporadas que podem afinar. Por exemplo, a exfiltração de Dados a aplicações não higiédicos alerta quando os dados estão a ser exfiltrados para uma aplicação não proibida e vem pré-configurado com configurações baseadas na experiência da Microsoft no campo de segurança.
No entanto, pode afinar as políticas incorporadas ou criar as suas próprias políticas para o ajudar a identificar outros cenários que possa estar interessado em investigar. Uma vez que estas políticas são baseadas em registos de descobertas na nuvem, têm diferentes capacidades de afinação mais focadas no comportamento anómalo da aplicação e na exfiltração de dados.
Sintonizar a monitorização da utilização
Desacorra os filtros de utilização para controlar a linha de base, o âmbito e o período de atividade para detetar comportamentos anómalos. Por exemplo, pode querer receber alertas para atividades anómalas relacionadas com funcionários de nível executivo.Sintonize a sensibilidade ao alerta
Para evitar a fadiga do alerta, configuure a sensibilidade dos alertas. Pode utilizar o slider de sensibilidade para controlar o número de alertas de alto risco enviados por 1.000 utilizadores por semana. Sensibilidades mais altas requerem menos variação para ser considerada uma anomalia e gerar mais alertas. Em geral, desa regulação de baixa sensibilidade para utilizadores que não tenham acesso a dados confidenciais.
Fase 4: Afinar políticas de deteção (atividade) baseadas em regras
As políticas de deteção baseadas em regras dão-lhe a capacidade de complementar políticas de deteção de anomalias com requisitos específicos da organização. Recomendamos a criação de políticas baseadas em regras usando um dos nossos modelos de política de atividade (vá para Os Modelos de Controlo > e desconte o filtro tipo para a política de atividade) e, em seguida, configurando-as para detetar comportamentos que não são normais para o seu ambiente. Por exemplo, para uma organização que não tenha qualquer presença num determinado país/região, pode fazer sentido criar uma política que detete as atividades anómalas desse país e alerte sobre elas. Para outros, que têm grandes agências naquele país, as atividades daquele país seriam normais e não faria sentido detetar tais atividades.
- Sintonize o volume de atividade
Escolha o volume de atividade necessário antes que a deteção levante um alerta. Usando o exemplo do nosso país, se não tiver presença num país/região, mesmo uma única atividade é significativa e garante um alerta. No entanto, uma única falha de entrada pode ser um erro humano e apenas de interesse se houver muitas falhas num curto espaço de tempo. - Sintonize filtros de atividade
Desagrafe os filtros necessários para detetar o tipo de atividade em que pretende alertar. Por exemplo, para detetar a atividade de um país, utilize o parâmetro Localização. - Alertas de sintonização
Para evitar a fadiga de alerta, estabeleça o limite de alerta diário.
Fase 5: Alertas de configuração
Pode optar por receber alertas no formato e meio que mais se adequam às suas necessidades. Para receber alertas imediatos a qualquer hora do dia, pode preferir recebê-los por e-mail ou mensagem de texto.
Pode também querer a capacidade de analisar alertas no contexto de outros alertas desencadeados por outros produtos da sua organização para lhe dar uma visão holística de uma potencial ameaça. Por exemplo, pode querer correlacionar entre eventos baseados em nuvem e no local para ver se há alguma outra evidência atenuante que possa confirmar um ataque.
Além disso, também pode desencadear uma automatização de alerta personalizada utilizando a nossa integração com o Microsoft Power Automamate. Por exemplo, pode configurar um livro de jogadas automaticamente criar um problema no ServiceNow ou enviar um e-mail de aprovação para executar uma ação de governação personalizada quando um alerta é desencadeado.
Utilize as seguintes diretrizes para configurar os seus alertas:
- E-mail/SMS
Escolha a sua preferência de entrega para receber alertas. Pode receber alertas por e-mail, mensagem de texto ou ambos. - SIEM
Existem várias opções de integração siem, incluindo Azure Sentinel, Microsoft Graph Security API,e outros SIEMs genéricos. Escolha a integração que melhor satisfaça os seus requisitos. - Automatização de automatização de automatização de energia
Crie os livros de automatização que necessita e desatendo-os como alerta da política para a ação Power Automamate.
Fase 6: Investigar e remediar
Ótimo, definiste as tuas políticas e começaste a receber alertas de atividades suspeitas. O que deve fazer aceríduas? Para começar, deve tomar medidas para investigar a atividade. Por exemplo, pode querer analisar atividades que indiquem que um utilizador foi comprometido.
Para otimizar a sua proteção, deve considerar a criação de ações de remediação automáticas para minimizar o risco para a sua organização. As nossas políticas permitem-lhe aplicar ações de governação em conjunto com os alertas para que o risco para a sua organização seja reduzido mesmo antes de começar a investigar. As ações disponíveis são determinadas pelo tipo de política, incluindo ações como suspender um utilizador ou bloquear o acesso ao recurso solicitado.
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.
Saber mais
- Experimente o nosso guia interativo: Detetar ameaças e gerir alertas com a Microsoft Cloud App Security