Руководство по обнаружению подозрительных действий пользователей с помощью аналитики поведения (UEBA)

Microsoft Defender для облака Приложения предоставляют лучшие из классов обнаружения в цепочке убийств атак для скомпрометированных пользователей, внутренних угроз, кражи, программ-шантажистов и т. д. Наше комплексное решение достигается путем объединения нескольких методов обнаружения, включая аномалии, аналитику поведения (UEBA) и обнаружение действий на основе правил, чтобы обеспечить широкое представление о том, как пользователи используют приложения в вашей среде.

Поэтому почему важно обнаружить подозрительное поведение? Влияние пользователя, способного изменить облачную среду, может быть значительным и напрямую повлиять на вашу способность работать с бизнесом. Например, ключевые корпоративные ресурсы, такие как серверы, на которых работает общедоступный веб-сайт или служба, которые вы предоставляете клиентам, могут быть скомпрометированы.

Используя данные, полученные из нескольких источников, Defender для облака Apps анализирует данные для извлечения действий приложений и пользователей в вашей организации, предоставляя аналитикам безопасности представление об использовании облака. Собранные данные коррелируются, стандартизированы и обогащены аналитикой угроз, расположением и множеством других сведений, чтобы обеспечить точное, согласованное представление подозрительных действий.

Таким образом, чтобы полностью реализовать преимущества этих обнаружения, сначала убедитесь, что вы настроите следующие источники:

• Журнал действий
  Действия из подключенных приложений API.
• Журнал обнаружения
  Действия, извлеченные из журналов трафика брандмауэра и прокси-сервера, которые перенаправляются в Defender для облака приложения. Журналы анализируются по каталогу облачных приложений, ранжируются и оцениваются на основе более чем 90 факторов риска.
• Журнал прокси-сервера
  Действия из приложений управления условным доступом.

Затем вы хотите настроить политики. Следующие политики можно точно настроить с помощью фильтров, динамических пороговых значений (UEBA) для обучения моделей обнаружения и подавления для снижения распространенных ложных срабатываний.

• Обнаружение аномалий
• Обнаружение аномалий Cloud Discovery
• Обнаружение действий на основе правил

В этом руководстве вы узнаете, как настроить обнаружения действий пользователей для выявления истинных компромиссов и уменьшения усталости оповещений, вызванных обработкой больших объемов ложных положительных обнаружений:

• Настройка диапазонов IP-адресов
• Настройка политик обнаружения аномалий
• Настройка политик обнаружения аномалий в облаке
• Настройка политик обнаружения на основе правил
• Настройка оповещений
• Изучение и исправление

Этап 1. Настройка диапазонов IP-адресов

Перед настройкой отдельных политик рекомендуется настроить диапазоны IP-адресов, чтобы они были доступны для точной настройки любых типов политик обнаружения подозрительных действий пользователей.

Так как сведения ОБ IP-адресах важны для практически всех исследований, настройка известных IP-адресов помогает нашим алгоритмам машинного обучения определять известные расположения и рассматривать их как часть моделей машинного обучения. Например, добавление диапазона IP-адресов VPN поможет модели правильно классифицировать этот диапазон IP-адресов и автоматически исключить его из невозможного обнаружения путешествий, так как расположение VPN не представляет истинное расположение этого пользователя.

Примечание. Настроенные диапазоны IP-адресов не ограничиваются обнаружением и используются во всех приложениях Defender для облака в таких областях, как действия в журнале действий, условном доступе и т. д. Помните об этом при настройке диапазонов. Например, определение IP-адресов физического офиса позволяет настроить способ отображения и изучения журналов и оповещений.

Просмотр оповещений об обнаружении аномалий вне коробки

Defender для облака Приложения включают набор оповещений обнаружения аномалий для выявления различных сценариев безопасности. Эти обнаружения автоматически включены из поля и начнут профилировать действия пользователей и создавать оповещения сразу после подключения соответствующих соединителей приложений .

Начните с ознакомления с различными политиками обнаружения, определите приоритеты основных сценариев, которые вы считаете наиболее релевантными для вашей организации, и настройте политики соответствующим образом.

Этап 2. Настройка политик обнаружения аномалий

В Defender для облака Приложения, предварительно настроенные для распространенных вариантов использования безопасности, доступны несколько встроенных политик обнаружения аномалий. Вы должны занять некоторое время, чтобы ознакомиться с более популярными обнаружениями, такими как:

• Неосуществимое перемещение
  Действия одного пользователя в разных расположениях в течение периода, который короче ожидаемого времени перемещения между двумя расположениями.
• Действие из редко упоминаемой страны
  Действие из расположения, которое не было недавно или никогда не посетило пользователя.
• Обнаружение вредоносных программ
  Сканирует файлы в облачных приложениях и запускает подозрительные файлы с помощью подсистемы аналитики угроз Майкрософт, чтобы определить, связаны ли они с известными вредоносными программами.
• Активность программы-шантажиста
  Файл отправляется в облако, которое может быть заражено программ-шантажистов.
• Действия с подозрительных IP-адресов
  Действие с IP-адреса, который был определен как рискованные в Microsoft Threat Intelligence.
• Подозрительная пересылка входящих писем
  Обнаруживает подозрительные правила пересылки папки "Входящие" в папке "Входящие".
• Необычные действия загрузки файлов
  Обнаруживает несколько действий загрузки файлов в одном сеансе относительно базового обучения, что может указывать на попытку нарушения.
• Необычные административные действия
  Обнаруживает несколько административных действий в одном сеансе в отношении базовых знаний, что может указывать на попытку нарушения.

Полный список обнаружений и их действий см. в политиках обнаружения аномалий.

Примечание.

Хотя некоторые из обнаружений аномалий в основном сосредоточены на обнаружении проблемных сценариев безопасности, другие могут помочь в выявлении и расследовании аномального поведения пользователей, которые могут не обязательно указывать на компромисс. Для таких обнаружений мы создали другой тип данных с именем "поведение", который доступен в расширенном поиске в Microsoft Defender XDR. Дополнительные сведения см. в разделе "Поведение".

Как только вы знакомы с политиками, следует рассмотреть, как настроить их для конкретных требований вашей организации к более эффективной целевой деятельности, которую может потребоваться изучить дальше.

1. Политики области для определенных пользователей или групп

   Политики области для конкретных пользователей могут помочь уменьшить шум от оповещений, которые не относятся к вашей организации. Каждая политика может быть настроена для включения или исключения определенных пользователей и групп, например в следующих примерах:

   • Имитации атак
     Многие организации используют пользователя или группу для постоянного имитации атак. Очевидно, что это не имеет смысла постоянно получать оповещения от действий этих пользователей. Поэтому политики можно настроить для исключения этих пользователей или групп. Это также помогает моделям машинного обучения определять этих пользователей и настраивать их динамические пороговые значения соответствующим образом.
   • Целевые обнаружения
     Ваша организация может быть заинтересована в изучении определенной группы пользователей ВИРТУАЛЬНЫх IP-адресов, таких как члены группы администратора или группы CXO. В этом сценарии можно создать политику для действий, которые вы хотите обнаружить, и выбрать только нужный набор пользователей или групп.

2. Настройка обнаружения аномальных входов

   Некоторые организации хотят видеть оповещения, возникающие из-за неудачных действий входа, так как они могут указывать на то, что кто-то пытается нацелиться на одну или несколько учетных записей пользователей. С другой стороны, атаки подбора на учетные записи пользователей происходят все время в облаке и организациях, чтобы предотвратить их. Поэтому крупные организации обычно решают получать оповещения только для подозрительных действий входа, которые приводят к успешному входу, так как они могут представлять истинные компрометации.

   Кража удостоверений является ключевым источником компрометации и представляет собой основной вектор угроз для вашей организации. Наши невозможные поездки, действия с подозрительных IP-адресов и нечастое обнаружение стран или регионов помогают обнаруживать действия, которые предполагают, что учетная запись потенциально скомпрометирована.

3. Настройка конфиденциальности невозможного путешествияНастройте ползунок конфиденциальности, который определяет уровень подавления, примененного к аномальному поведению, прежде чем активировать невозможное оповещение о путешествиях. Например, организации, заинтересованные в высокой точности, должны рассмотреть вопрос о повышении уровня конфиденциальности. С другой стороны, если у вашей организации есть много пользователей, которые путешествуют, рассмотрите возможность снижения уровня конфиденциальности для подавления действий из общих расположений пользователя, полученных из предыдущих действий. Вы можете выбрать один из следующих уровней конфиденциальности:

   • Низкая: системные, клиент и подавление пользователей
   • Средний: подавление системы и пользователей
   • Высокий: только подавление системы

   Где:

   Тип подавления	Description
   Системные	Встроенные обнаружения, которые всегда подавляются.
   Клиент	Распространенные действия на основе предыдущих действий в клиенте. Например, отключение действий из поставщика услуг интернета в сети, ранее оповещенного в организации.
   Пользователь	Распространенные действия, основанные на предыдущем действии конкретного пользователя. Например, отключение действий из расположения, которое обычно используется пользователем.

Этап 3. Настройка политик обнаружения аномалий в облаке

Как и политики обнаружения аномалий, существует несколько встроенных политик обнаружения аномалий облачного обнаружения, которые можно точно настроить. Например, политика неуправляемых приложений о краже данных оповещает вас о том, что данные будут отфильтрованы в неуправляемое приложение и предварительно настроены с параметрами на основе возможностей Майкрософт в области безопасности.

Однако вы можете точно настроить встроенные политики или создать собственные политики, чтобы помочь вам определить другие сценарии, которые могут быть заинтересованы в изучении. Так как эти политики основаны на журналах облачного обнаружения, они имеют различные возможности настройки, более ориентированные на аномальное поведение приложения и кражу данных.

1. Настройка мониторинга использования
   Задайте фильтры использования для управления базовым, область и периодом действия для обнаружения аномального поведения. Например, может потребоваться получать оповещения об аномальных действиях, связанных с сотрудниками уровня исполнительного уровня.

2. Настройка конфиденциальности оповещений
   Чтобы предотвратить усталость оповещений, настройте чувствительность оповещений. Ползунок конфиденциальности можно использовать для управления количеством оповещений с высоким риском, отправленных на 1000 пользователей в неделю. Более высокий уровень чувствительности требует меньшей дисперсии, чтобы считаться аномалией и создавать больше оповещений. Как правило, задайте низкую конфиденциальность для пользователей, у которых нет доступа к конфиденциальным данным.

Этап 4. Настройка политик обнаружения на основе правил (действия)

Политики обнаружения на основе правил предоставляют возможность дополнять политики обнаружения аномалий с требованиями конкретной организации. Мы рекомендуем создавать политики на основе правил с помощью одного из шаблонов политик действий (перейдите к шаблонам управления>и задайте фильтр "Тип" политике действий) и настройте их для обнаружения поведения, которые не являются нормальными для вашей среды. Например, для некоторых организаций, которые не имеют никакого присутствия в определенной стране или регионе, может потребоваться создать политику, которая обнаруживает аномальные действия из этой страны или региона и оповещает их. Для других лиц, имеющих крупные филиалы в этой стране или регионе, деятельность из этой страны или региона будет нормальной, и не имеет смысла обнаруживать такие действия.

1. Настройка тома действия
   Выберите объем действия, необходимый перед обнаружением, вызывает оповещение. Используя пример нашей страны или региона, если у вас нет присутствия в стране или регионе, даже одно действие является значительным и гарантирует оповещение. Однако сбой единого входа может быть человеческой ошибкой и интересом только в случае возникновения множества сбоев в течение короткого периода.
2. Настройка фильтров действий
   Задайте фильтры, необходимые для обнаружения типа действия, в который нужно включить оповещение. Например, чтобы определить действие из страны или региона, используйте параметр Location .
3. Настройка оповещений
   Чтобы предотвратить усталость оповещений, установите ежедневное ограничение генерации оповещений.

Этап 5. Настройка оповещений

Примечание.

С 15 декабря 2022 года оповещения/SMS (текстовые сообщения) устарели. Если вы хотите получать текстовые оповещения, следует использовать Microsoft Power Automate для пользовательской автоматизации оповещений. Дополнительные сведения см. в статье "Интеграция с Microsoft Power Automate" для пользовательской автоматизации оповещений.

Вы можете получать оповещения в формате и в среднем, что наиболее подходит для ваших потребностей. Чтобы получать немедленные оповещения в любое время дня, вы можете предпочесть получать их по электронной почте.

Кроме того, может потребоваться возможность анализировать оповещения в контексте других оповещений, инициируемых другими продуктами в вашей организации, чтобы дать вам целостное представление о потенциальной угрозе. Например, может потребоваться сопоставить между облачными и локальными событиями, чтобы узнать, есть ли какие-либо другие доказательства, которые могут подтвердить атаку.

Кроме того, вы также можете активировать настраиваемую автоматизацию оповещений с помощью интеграции с Microsoft Power Automate. Например, вы можете настроить сборник схем автоматически создать проблему в ServiceNow или отправить сообщение электронной почты утверждения для выполнения пользовательского действия управления при активации оповещения.

Используйте следующие рекомендации для настройки оповещений:

1. Эл. почта
   Выберите этот параметр для получения оповещений по электронной почте.
2. SIEM
   Существует несколько вариантов интеграции SIEM, включая Microsoft Sentinel, Microsoft Graph API безопасности и другие универсальные SIEM. Выберите интеграцию, которая лучше всего соответствует вашим требованиям.
3. Автоматизация Power Automate
   Создайте необходимые сборники схем автоматизации и задайте его как оповещение политики для действия Power Automate.

Этап 6. Изучение и исправление

Отлично, вы настроили политики и начали получать оповещения о подозрительных действиях. Что делать с ними? Для начала следует предпринять шаги по изучению действия. Например, может потребоваться просмотреть действия, указывающие на то, что пользователь скомпрометирован.

Чтобы оптимизировать защиту, следует настроить действия автоматического исправления, чтобы свести к минимуму риск для вашей организации. Наши политики позволяют применять действия управления в сочетании с оповещениями, чтобы риск для вашей организации снизился даже до начала исследования. Доступные действия определяются типом политики, включая действия, такие как приостановка пользователя или блокировка доступа к запрошенным ресурсам.

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.

Подробнее

• Ознакомьтесь с нашим интерактивным руководством. Обнаружение угроз и управление оповещениями с помощью приложений Microsoft Defender для облака