Undersöka avvikelse identifierings aviseringarHow to investigate anomaly detection alerts

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security tillhandahåller säkerhets identifiering och aviseringar för skadliga aktiviteter.Microsoft Cloud App Security provides security detections and alerts for malicious activities. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering, för att hjälpa dig med dina undersökningar och åtgärder.The purpose of this guide is to provide you with general and practical information on each alert, to help with your investigation and remediation tasks. I den här hand boken ingår allmän information om villkoren för att utlösa aviseringar.Included in this guide is general information about the conditions for triggering alerts. Det är dock viktigt att Observera att eftersom avvikelse identifieringar är icke-deterministiska efter beskaffenhet utlöses de bara när det finns beteenden som avviker från normen.However, it is important to note that since anomaly detections are non-deterministic by nature, they are only triggered when there's behavior that deviates from the norm. Slutligen kan vissa aviseringar vara i för hands version, så Läs regelbundet igenom den officiella dokumentationen för uppdaterad aviserings status.Finally, some alerts may be in preview, so regularly review the official documentation for updated alert status.

MITRE to & CKMITRE ATT&CK

För att förklara och göra det enklare att mappa relationen mellan Cloud App Security aviseringar och den välkända MITRE to & CK-matrisen, har vi kategoriserat aviseringarna genom sina motsvarande Mitre to & CK taktik.To explain and make it easier to map the relationship between Cloud App Security alerts and the familiar MITRE ATT&CK Matrix, we've categorized the alerts by their corresponding MITRE ATT&CK tactic. Den här ytterligare referensen gör det lättare att förstå den misstänkt angrepp teknik som kan användas när en Cloud App Security-avisering utlöses.This additional reference makes it easier to understand the suspected attacks technique potentially in use when a Cloud App Security alert is triggered.

Den här guiden innehåller information om hur du undersöker och åtgärdar Cloud App Security aviseringar i följande kategorier.This guide provides information about investigating and remediating Cloud App Security alerts in the following categories.

Klassificeringar av säkerhets aviseringarSecurity alert classifications

Efter en korrekt undersökning kan alla Cloud App Security aviseringar klassificeras som en av följande aktivitets typer:Following proper investigation, all Cloud App Security alerts can be classified as one of the following activity types:

  • Sant positivt (TP): en avisering för en bekräftad skadlig aktivitet.True positive (TP): An alert on a confirmed malicious activity.
  • Ofarligt positivt positivt (B-TP): en avisering om misstänkt men inte skadlig aktivitet, till exempel ett inträngande test eller andra auktoriserade misstänkta åtgärder.Benign true positive (B-TP): An alert on suspicious but not malicious activity, such as a penetration test or other authorized suspicious action.
  • Falsk positiv (RP): en avisering om en icke-skadlig aktivitet.False positive (FP): An alert on a non-malicious activity.

Allmänna undersöknings stegGeneral investigation steps

Du bör använda följande allmänna rikt linjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse av det potentiella hotet innan du tillämpar den rekommenderade åtgärden.You should use the following general guidelines when investigating any type of alert to gain a clearer understanding of the potential threat before applying the recommended action.

  • Granska användarens bedömnings prioritets Poäng och jämför med resten av organisationen.Review the user's investigation priority score and compare with the rest of the organization. Detta hjälper dig att identifiera vilka användare i organisationen som utgör störst risk.This will help you identify which users in your organization pose the greatest risk.
  • Om du identifierar ett TP granskar du alla användares aktiviteter för att få en förståelse för påverkan.If you identify a TP, review all the user's activities to gain an understanding of the impact.
  • Granska all användar aktivitet för andra indikatorer på kompromissen och utforska källan och omfattningen av konsekvenserna.Review all user activity for other indicators of compromise and explore the source and scope of impact. Läs till exempel följande enhets information och jämför med den kända enhets informationen:For example, review the following user device information and compare with known device information:
    • Operativ system och versionOperating system and version
    • Webbläsare och versionBrowser and version
    • IP-adress och platsIP address and location

Inledande åtkomst aviseringarInitial access alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka få en inledande fäste i din organisation.This section describes alerts indicating that a malicious actor may be attempting to gain an initial foothold into your organization.

Aktivitet från anonym IP-adressActivity from anonymous IP address

BeskrivningDescription

Aktivitet från en IP-adress som har identifierats som en anonym proxy-IP-adress av Microsoft Threat Intelligence eller av din organisation.Activity from an IP address that has been identified as an anonymous proxy IP address by Microsoft Threat Intelligence or by your organization. Dessa proxyservrar kan användas för att dölja en enhets IP-adress och kan användas för skadliga aktiviteter.These proxies can be used to hide a device's IP address and may be used for malicious activities.

TP, B-TP eller RP?TP, B-TP, or FP?

I den här identifieringen används en algoritm för maskin inlärning som minskar B-TP -incidenter, till exempel mis-märkta IP-adresser som används ofta av användare i organisationen.This detection uses a machine learning algorithm that reduces B-TP incidents, such as mis-tagged IP addresses that are widely used by users in the organization.

  1. TP: om du kan bekräfta att aktiviteten har utförts från en anonym eller Tor IP-adress.TP: If you're able to confirm that the activity was performed from an anonymous or TOR IP address.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. B-TP: om en användare är känd att använda anonyma IP-adresser inom ramen för deras uppgifter.B-TP: If a user is known to use anonymous IP addresses in the scope of their duties. Till exempel när en säkerhetsanalytiker genomför säkerhets-eller inträngande tester på uppdrag av organisationen.For example, when a security analyst conducts security or penetration tests on behalf of the organization.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  • Granska alla användar aktiviteter och aviseringar för ytterligare kompromisser.Review all user activity and alerts for additional indicators of compromise. Till exempel, om aviseringen följdes av en annan misstänkt avisering, till exempel en ovanlig fil hämtning (av användare) eller en aviserad avisering om vidarebefordran av Inkorgen , som ofta indikerar att en angripare försöker stjäla data.For example, if the alert was followed by another suspicious alert, such as a Unusual file download (by user) or a Suspicious inbox forwarding alert, that often indicates that an attacker is attempting to exfiltrate data.

Aktivitet från ovanligt landActivity from infrequent country

Aktivitet från ett land/en region som kan indikera skadlig aktivitet.Activity from a country/region that could indicate malicious activity. Den här principen profilerar din miljö och utlöser aviseringar när aktiviteten upptäcks från en plats som inte nyligen har bearbetats eller aldrig har besökts av någon användare i organisationen.This policy profiles your environment and triggers alerts when activity is detected from a location that was not recently or was never visited by any user in the organization.

Som standard är principen konfigurerad för att inkludera endast lyckade inloggnings aktiviteter men kan konfigureras för att inkludera alla inloggnings aktiviteter.By default, the policy is configured to include only successful sign-in activities but can be configured to include any sign-in activities. Principen kan begränsas till en delmängd användare eller kan utesluta användare som är kända för att resa till fjärrplatser.The policy can be further scoped to a subset of users or can exclude users known to travel to remote locations.

Inlärnings periodLearning period

Identifiering av avvikande platser kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Detecting anomalous locations requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd:Recommended action:

    1. Pausa användaren, Återställ lösen ordet och identifiera rätt tid för att på ett säkert sätt återaktivera kontot.Suspend the user, reset their password, and identify the right time to safely re-enable the account.
    2. Valfritt: skapa en Spelbok med hjälp av energispar funktioner för att kontakta användare som har identifierats som anslutning från ovanliga platser och deras chefer för att verifiera deras aktivitet.Optional: Create a playbook using Power Automate to contact users detected as connecting from infrequent locations, and their managers, to verify their activity.
  2. B-TP: om en användare är känd på den här platsen.B-TP: If a user is known to be at this location. Till exempel när en användare som reser ofta och för närvarande finns på den angivna platsen.For example, when a user who travels frequently and is currently in the specified location.

    Rekommenderad åtgärd:Recommended action:

    1. Stäng aviseringen och ändra principen för att utesluta användaren.Dismiss the alert and modify the policy to exclude the user.
    2. Skapa en användar grupp för frekventa resenärer, importera gruppen till Cloud App Security och exkludera användare från den här aviseringenCreate a user group for frequent travelers, import the group into Cloud App Security, and exclude the users from this alert
    3. Valfritt: skapa en Spelbok med hjälp av energispar funktioner för att kontakta användare som har identifierats som anslutning från ovanliga platser och deras chefer för att verifiera deras aktivitet.Optional: Create a playbook using Power Automate to contact users detected as connecting from infrequent locations, and their managers, to verify their activity.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  • Granska vilken resurs som kan ha komprometterats, t. ex. potentiella data hämtningar.Review which resource may have been compromised, such as potential data downloads.

Aktivitet från misstänkta IP-adresserActivity from suspicious IP addresses

Aktivitet från en IP-adress som har identifierats som riskfylld av Microsoft Threat Intelligence eller av din organisation.Activity from an IP address that has been identified as risky by Microsoft Threat Intelligence or by your organization. Dessa IP-adresser identifierades som inblandade i skadliga aktiviteter, t. ex. botnät-kommando och kontroll (C&C) och kan tyda på ett komprometterat konto.These IP addresses were identified as being involved in malicious activities, such as botnet command and control (C&C), and may indicate a compromised account.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. B-TP: om en användare vet att de ska använda IP-adressen inom ramen för deras uppgifter.B-TP: If a user is known to use the IP address in the scope of their duties. Till exempel när en säkerhetsanalytiker genomför säkerhets-eller inträngande tester på uppdrag av organisationen.For example, when a security analyst conducts security or penetration tests on behalf of the organization.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen och Sök efter aktiviteter från samma IP-adress.Review the activity log and search for activities from the same IP address.
  2. Granska vilken resurs som kan ha komprometterats, till exempel potentiella data hämtningar eller administrativa ändringar.Review which resource may have been compromised, such as potential data downloads or administrative modifications.
  3. Skapa en grupp för säkerhetsanalytiker som frivilligt utlöser dessa aviseringar och exkluderar dem från principen.Create a group for security analysts voluntarily triggering these alerts and exclude them from the policy.

Omöjlig resaImpossible Travel

Aktivitet från samma användare på olika platser inom en tids period som är kortare än den förväntade res tiden mellan de två platserna.Activity from the same user in different locations within a time period that is shorter than the expected travel time between the two locations. Detta kan tyda på en överträdelse av autentiseringsuppgifter, men det är också möjligt att användarens faktiska plats maskeras, till exempel med hjälp av en VPN-anslutning.This can indicate a credential breach, however, it's also possible that the user's actual location is masked, for example, by using a VPN.

För att förbättra precisionen och aviseringen endast när det finns en stark indikation på en överträdelse, skapar Cloud App Security en bas linje för varje användare i organisationen och kommer endast att varnas när det ovanliga beteendet upptäcks.To improve accuracy and alert only when there is a strong indication of a breach, Cloud App Security establishes a baseline on each user in the organization and will alert only when the unusual behavior is detected. Principen för omöjlig resa kan finjusteras efter dina behov.The impossible travel policy can be fine-tuned to your requirements.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

Den här identifieringen använder en Machine Learning-algoritm som ignorerar uppenbara B-TP- villkor, t. ex. När IP-adresserna på båda sidor om resan betraktas som säkra, är resan betrott och exkluderas från att utlösa omöjlig rese identifiering.This detection uses a machine learning algorithm that ignores obvious B-TP conditions, such as when the IP addresses on both sides of the travel are considered safe, the travel is trusted and excluded from triggering the Impossible travel detection. Båda sidorna betraktas till exempel som säkra om de är Taggade som företags.For example, both sides are considered safe if they are tagged as corporate. Om IP-adressen för bara en sida om resan betraktas som säker, utlöses identifieringen som normalt.However, if the IP address of only one side of the travel is considered safe, the detection is triggered as normal.

  1. TP: om du har möjlighet att bekräfta att platsen i aviseringen om omöjlig resa inte är troligt för användaren.TP: If you're able to confirm that the location in the impossible travel alert is unlikely for the user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP (oidentifierad användar resa): om du kan bekräfta att användaren nyligen har passerat till den angivna destinationen i aviseringen.FP (Undetected user travel): If you're able to confirm that the user recently traveled to the destination mentioned detailed in the alert. Till exempel om en användares telefon är i flyg Plans läge fortfarande är ansluten till tjänster som Exchange Online i företags nätverket samtidigt som du reser till en annan plats.For example, if a user's phone that is in airplane mode remains connected to services such as Exchange Online on your corporate network while traveling to a different location. När användaren kommer till den nya platsen ansluter telefonen till Exchange Online som utlöser aviseringen om omöjlig resa.When the user arrives at the new location, the phone connects to Exchange Online triggering the impossible travel alert.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

  3. RP (omärkt VPN): om du kan bekräfta att IP-adressintervallet är från en sanktionerad VPN.FP (Untagged VPN): If you're able to confirm that the IP address range is from a sanctioned VPN.

    Rekommenderad åtgärd: Ignorera aviseringen och Lägg till VPN: s IP-adressintervall till Cloud App Security och Använd sedan den för att TAGGA VPN: s IP-adressintervall.Recommended action: Dismiss the alert and add the VPN's IP address range to Cloud App Security and then use it to tag the VPN's IP address range.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen för att få en förståelse för liknande aktiviteter på samma plats och IP-adress.Review the activity log to gain an understanding of similar activities in the same location and IP address.
  2. Om du ser att användaren utför andra riskfyllda aktiviteter, t. ex. att hämta en stor mängd filer från en ny plats, skulle detta vara en stark indikation på eventuell kompromiss.If you see that the user performed other risky activities, such as downloading a large volume of files from a new location, this would be a strong indication of a possible compromise.
  3. Lägg till företagets VPN-och IP-adressintervall.Add corporate VPN's and IP Address ranges.
  4. Skapa en Spelbok med hjälp av energispar funktioner och kontakta användarens chef för att se om användaren är laglig att resa.Create a playbook using Power Automate and contact the user's manager to see if the user is legitimately traveling.
  5. Överväg att skapa en känd rese databas för upp till minuterna för organisationens rese rapportering och Använd den för att korsa referenser till rese aktiviteter.Consider creating a known traveler database for up to the minute organizational travel reporting and use it to cross-reference travel activity.

Missvisande OAuth-appens namnMisleading OAuth app name

Den här identifieringen identifierar appar med tecken, t. ex. främmande bokstäver, som liknar latinska bokstäver.This detection identifies apps with characters, such as foreign letters, that resemble Latin letters. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan vilseleda användare att ladda ned sina skadliga appar.This can indicate an attempt to disguise a malicious app as a known and trusted app so that attackers can deceive users into downloading their malicious app.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att appen har ett missvisande namn.TP: If you're able to confirm that the app has a misleading name.

    Rekommenderad åtgärd: granska den behörighets nivå som begärs av den här appen och vilka användare som beviljats åtkomst.Recommended action: Review the level of permission requested by this app and which users granted access. Utifrån din undersökning kan du välja att förbjuda åtkomst till den här appen.Based on your investigation you can choose to ban access to this app.

Om du vill förbjuda åtkomst till appen går du till sidan OAuth-appar , på den rad där appen som du vill förbjuda visas, klickar på ikonen för förbud.To ban access to the app, on the OAuth apps page, on the row in which the app you want to ban appears, click on the ban icon. - Du kan välja om du vill tala om för användarna att appen de har installerat och behörigheten har blockerats.You can choose if you want to tell users the app they installed and authorized has been banned. Meddelandet gör att användare vet att appen kommer att inaktive ras och att de inte har åtkomst till den anslutna appen.The notification lets users know the app will be disabled and they won't have access to the connected app. Om du inte vill att de ska känna till kan du avmarkera meddela användare som har beviljat åtkomst till den här förbjudna appen i dialog rutan.If you don't want them to know, unselect Notify users who granted access to this banned app in the dialog. - Vi rekommenderar att du låter appen användare veta att deras appar kommer att blockeras från att användas.It's recommended that you let the app users know their app is about to be banned from use.

  1. RP: om du är att bekräfta att appen har ett missvisande namn men har en legitim företags användning i organisationen.FP: If you're to confirm that the app has a misleading name but has a legitimate business use in the organization.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

Vilseledande utgivar namn för en OAuth-appMisleading publisher name for an OAuth app

Den här identifieringen identifierar appar med tecken, t. ex. främmande bokstäver, som liknar latinska bokstäver.This detection identifies apps with characters, such as foreign letters, that resemble Latin letters. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan vilseleda användare att ladda ned sina skadliga appar.This can indicate an attempt to disguise a malicious app as a known and trusted app so that attackers can deceive users into downloading their malicious app.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att appen har ett vilseledande utgivar namn.TP: If you're able to confirm that the app has a misleading publisher name.

    Rekommenderad åtgärd: granska den behörighets nivå som begärs av den här appen och vilka användare som beviljats åtkomst.Recommended action: Review the level of permission requested by this app and which users granted access. Utifrån din undersökning kan du välja att förbjuda åtkomst till den här appen.Based on your investigation you can choose to ban access to this app.

  2. RP: om du är att bekräfta att appen har ett vilseledande utgivar namn, men är en legitim utgivare.FP: If you're to confirm that the app has a misleading publisher name but is a legitimate publisher.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. På sidan OAuth-appar klickar du på appen för att öppna appens låda och klickar sedan på relaterad aktivitet.On the OAuth apps page, click on the app to open the App drawer, and then click Related activity. Då öppnas aktivitets logg sidan filtrerad för aktiviteter som utförs av appen.This opens the Activity log page filtered for activities performed by the app. Tänk på att vissa appar utför aktiviteter som har registrerats som har utförts av en användare.Keep in mind that some apps perform activities that are registered as having been performed by a user. Dessa aktiviteter filtreras automatiskt bort från resultatet i aktivitets loggen.These activities are automatically filtered out of the results in the activity log. Ytterligare undersökningar som använder aktivitets loggen finns i aktivitets loggen.For further investigation using the activity log, see Activity log.
  2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och utgivare i olika app-butiker.If you suspect that an app is suspicious, we recommended that you investigate the app's name and publisher in different app stores. När du kontrollerar app-Arkiv, fokuserar du på följande typer av appar:When checking app stores, focus on the following types of apps:
    • Appar med ett lågt antal hämtningar.Apps with a low number of downloads.
    • Appar med låg klassificering eller poäng eller dåliga kommentarer.Apps with a low rating or score or bad comments.
    • Appar med en misstänkt utgivare eller webbplats.Apps with a suspicious publisher or website.
    • Appar som inte har uppdaterats nyligen.Apps that have not been recently updated. Detta kan tyda på att en app som inte längre stöds.This might indicate an app that is no longer supported.
    • Appar som har irrelevanta behörigheter.Apps that have irrelevant permissions. Detta kan tyda på att en app är riskfylld.This might indicate that an app is risky.
  3. Om du fortfarande misstänker att en app är misstänkt kan du undersöka appens namn, utgivare och URL online.If you still suspect that an app is suspicious, you can research the app name, publisher, and URL online.

Körnings aviseringarExecution alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka köra skadlig kod i din organisation.This section describes alerts indicating that a malicious actor may be attempting to run malicious code in your organization.

Flera lagrings borttagnings aktiviteterMultiple storage deletion activities

Aktiviteter i en enda session som visar att en användare utförde ett ovanligt antal moln lagrings-eller databas borttagningar från resurser som Azure-blobbar, AWS S3-buckets eller Cosmos DB jämfört med den grundläggande som har lärts.Activities in a single session indicating that a user performed an unusual number of cloud storage or database deletions from resources such as Azure blobs, AWS S3 buckets, or Cosmos DB when compared to the baseline learned. Detta kan tyda på ett försök till överträdelse av din organisation.This can indicate an attempted breach of your organization.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du är att bekräfta att borttagningarna har varit obehöriga.TP: If you're to confirm that the deletions were unauthorized.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och Genomsök alla enheter efter skadliga hot.Recommended action: Suspend the user, reset their password, and scan all devices for malicious threats. Granska all användar aktivitet för andra indikatorer på kompromissen och utforska omfattningen av påverkan.Review all user activity for other indicators of compromise and explore the scope of impact.

  2. RP: om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa borttagnings aktiviteter.FP: If after your investigation, you're able to confirm that the administrator was authorized to perform these deletion activities.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Kontakta användaren och bekräfta aktiviteten.Contact the user and confirm the activity.
  2. Granska aktivitets loggen för att se om det finns andra indikatorer på kompromissen och se vem som gjorde ändringen.Review the activity log for other indicators of compromise and see who made the change.
  3. Granska användarens aktiviteter för ändringar av andra tjänster.Review that user's activities for changes to other services.

Flera aktiviteter för att skapa virtuella datorerMultiple VM creation activities

Aktiviteter i en enda session som visar att en användare utförde ett ovanligt antal åtgärder för att skapa virtuella datorer jämfört med den grundläggande som har lärts.Activities in a single session indicating that a user performed an unusual number of VM creation actions when compared to the baseline learned. Flera virtuella datorer i en komprometterad moln infrastruktur kan tyda på ett försök att köra kryptografiska utvinnings åtgärder från din organisation.Multiple VM creations on a breached Cloud infrastructure could indicate an attempt to run crypto mining operations from within your organization.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

För att förbättra precisionen och aviseringen endast när det är en stark indikation på en överträdelse, upprättar den här identifieringen en bas linje för varje miljö i organisationen för att minska B-TP- incidenter, till exempel en administratör som på ett legitimt sätt skapat fler virtuella datorer än den fastställda bas linjen, och endast avisering när onormalt beteende identifierasTo improve accuracy and alert only when there is a strong indication of a breach, this detection establishes a baseline on each environment in the organization to reduce B-TP incidents, such as an administrator legitimately created more VMs than the established baseline, and only alert when the unusual behavior is detected.

  • TP: om du kan bekräfta att skapande aktiviteter inte har utförts av en legitim användare.TP: If you're able to confirm that the creation activities were not performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och Genomsök alla enheter efter skadliga hot.Recommended action: Suspend the user, reset their password, and scan all devices for malicious threats. Granska all användar aktivitet för andra indikatorer på kompromissen och utforska omfattningen av påverkan.Review all user activity for other indicators of compromise and explore the scope of impact. Kontakta dessutom användaren, bekräfta sina legitima åtgärder och se till att inaktivera eller ta bort eventuella komprometterade virtuella datorer.In addition, contact the user, confirm their legitimate actions, and then make sure you disable or delete any compromised VMs.

  • B-TP: om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa aktiviteter.B-TP: If after your investigation, you're able to confirm that the administrator was authorized to perform these creation activities.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för andra risk indikatorer.Review all user activity for other indicators of compromise.
  2. Granska resurserna som har skapats eller ändrats av användaren och kontrol lera att de överensstämmer med organisationens principer.Review the resources created or modified by the user and verify that they conform with your organization's policies.

Misstänkt skapande aktivitet för moln region (förhands granskning)Suspicious creation activity for cloud region (preview)

Aktiviteter som anger att en användare utförde en ovanlig åtgärd för att skapa en resurs i en ovanlig AWS-region jämfört med den grundläggande som har lärts.Activities indicating that a user performed an unusual resource creation action in an uncommon AWS region when compared to the baseline learned. Att skapa resurser i ovanliga moln regioner kan tyda på ett försök att utföra en skadlig aktivitet, till exempel åtgärder för kryptografisk utvinning från din organisation.Resource creation in uncommon cloud regions could indicate an attempt to perform a malicious activity such as crypto mining operations from within your organization.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

För att förbättra precisionen och aviseringen endast när det finns en stark indikation på en överträdelse, upprättar denna identifiering en bas linje för varje miljö i organisationen för att minska B-TP- incidenter.To improve accuracy and alert only when there is a strong indication of a breach, this detection establishes a baseline on each environment in the organization to reduce B-TP incidents.

  • TP: om du kan bekräfta att skapande aktiviteter inte har utförts av en legitim användare.TP: If you're able to confirm that the creation activities were not performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och Genomsök alla enheter efter skadliga hot.Recommended action: Suspend the user, reset their password, and scan all devices for malicious threats. Granska all användar aktivitet för andra indikatorer på kompromissen och utforska omfattningen av påverkan.Review all user activity for other indicators of compromise and explore the scope of impact. Kontakta dessutom användaren, bekräfta sina legitima åtgärder och se till att inaktivera eller ta bort eventuella komprometterade moln resurser.In addition, contact the user, confirm their legitimate actions, and then make sure you disable or delete any compromised cloud resources.

  • B-TP: om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa aktiviteter.B-TP: If after your investigation, you're able to confirm that the administrator was authorized to perform these creation activities.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för andra risk indikatorer.Review all user activity for other indicators of compromise.
  2. Granska de resurser som har skapats och kontrol lera att de överensstämmer med organisationens principer.Review the resources created and verify that they conform with your organization's policies.

Beständiga aviseringarPersistence alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka upprätthålla sin fäste i din organisation.This section describes alerts indicating that a malicious actor may be attempting to maintain their foothold in your organization.

Aktivitet utförd av avslutad användareActivity performed by terminated user

Aktiviteter som utförs av en avslutad användare kan indikera att en avslutad medarbetare som fortfarande har åtkomst till företagets resurser försöker utföra en skadlig aktivitet.Activity performed by a terminated user can indicate that a terminated employee who still has access to corporate resources is trying to perform a malicious activity. Cloud App Security profiler användare i organisationen och utlöser en avisering när en avbruten användare utför en aktivitet.Cloud App Security profiles users in the organization and triggers an alert when a terminated user performs an activity.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du har möjlighet att bekräfta att den avslutade användaren fortfarande har åtkomst till vissa företags resurser och utför aktiviteter.TP: If you're able to confirm that the terminated user still has access to certain corporate resources and is performing activities.

    Rekommenderad åtgärd: inaktivera användaren.Recommended action: Disable the user.

  2. B-TP: om du kan fastställa att användaren är tillfälligt inaktive rad eller har tagits bort och registrerats igen.B-TP: If you're able to determine that the user was temporarily disabled or was deleted and re-registered.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Tvär referens för HR-poster för att bekräfta att användaren har avbrutits.Cross-reference HR records to confirm that user is terminated.
  2. Verifiera att användar kontot för Azure Active Directory (Azure AD) finns.Validate the existence of the Azure Active Directory (Azure AD) user account.

    Anteckning

    Om du använder Azure AD Connect verifierar du objektet lokalt Active Directory och bekräftar en lyckad synkronisering.If using Azure AD Connect, validate the on-premises Active Directory object and confirm a successful sync cycle.

  3. Identifiera alla appar som den avslutade användaren hade till gång till och inaktive ring av kontona.Identify all apps that the terminated user had access to and decommission the accounts.
  4. Uppdatera inaktive ring av procedurer.Update decommissioning procedures.

Misstänkt ändring av loggnings tjänsten för CloudTrailSuspicious change of CloudTrail logging service

Aktiviteter i en enda session som anger att en användare utförde misstänkta ändringar av AWS CloudTrail Logging service.Activities in a single session indicating that, a user performed suspicious changes to the AWS CloudTrail logging service. Detta kan tyda på ett försök till överträdelse av din organisation.This can indicate an attempted breach of your organization. När du inaktiverar CloudTrail loggas inte längre drifts ändringar.When disabling CloudTrail, operational changes are no longer be logged. En angripare kan utföra skadliga aktiviteter och undvika en CloudTrail gransknings händelse, till exempel ändra en S3-Bucket från privat till offentligt.An attacker can perform malicious activities while avoiding a CloudTrail audit event, such as modifying an S3 bucket from private to public.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och omvända CloudTrail-aktiviteten.Recommended action: Suspend the user, reset their password, and reverse the CloudTrail activity.

  2. RP: om du kan bekräfta att användaren är legitimt inaktive rad CloudTrail-tjänsten.FP: If you're able to confirm that the user legitimately disabled the CloudTrail service.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen för att se om det finns andra indikatorer för kompromisser och se vem som gjorde ändringen i CloudTrail-tjänsten.Review the activity log for other indicators of compromise and see who made the change to the CloudTrail service.
  2. Valfritt: skapa en Spelbok med hjälp av energi alternativ för att kontakta användare och deras chefer för att verifiera deras aktivitet.Optional: Create a playbook using Power Automate to contact users and their managers to verify their activity.

Misstänkt e-postborttagning, aktivitet (av användare)Suspicious email deletion activity (by user)

Aktiviteter i en enda session som anger att en användare utförde misstänkt borttagning av e-post.Activities in a single session indicating that, a user performed suspicious email deletions. Detta kan tyda på ett försök till överträdelse av din organisation, t. ex. angripare som försöker maskera åtgärder genom att ta bort e-postmeddelanden relaterade till skräp post aktiviteter.This can indicate an attempted breach of your organization, such as attackers attempting to mask operations by deleting emails related to spam activities.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP: om du kan bekräfta att användaren har skapat en regel för att ta bort meddelanden.FP: If you're able to confirm that the user legitimately created a rule to delete messages.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  • Granska all användar aktivitet för ytterligare indikatorer på kompromisser, till exempel vidarebefordran av misstänkt inkorg , följt av en omöjlig rese avisering.Review all user activity for additional indicators of compromise such as the Suspicious inbox forwarding alert followed by an Impossible Travel alert. Titta efter:Look for:

    1. Nya regler för vidarebefordring av SMTP, enligt följande:New SMTP forwarding rules, as follows:
      • Sök efter namn på regler för skadlig vidarebefordran.Check for malicious forwarding rule names. Regel namn kan variera från enkla namn, till exempel "vidarebefordra alla e-postmeddelanden" och "Auto Forward", eller falska namn, till exempel ett knappt synligt ".".Rule names can vary from simple names, such as "Forward All Emails" and "Auto forward", or deceptive names, such as a barely visible ".". Vidarebefordrings regel namn kan även vara tomma och vidarebefordrande mottagare kan vara ett enda e-postkonto eller en hel lista.Forwarding rule names can even be empty, and the forwarding recipient can be a single email account or an entire list. Skadliga regler kan också vara dolda i användar gränssnittet.Malicious rules can also be hidden from the user interface. När du har identifierat kan du använda det här hjälp blogg inlägget för att ta bort dolda regler från post lådor.Once detected, you can use this helpful blog post on how to delete hidden rules from mailboxes.
      • Om du identifierar en okänd vidarebefordrings regel till en okänd intern eller extern e-postadress, kan du anta att kontot för Inkorgen har komprometterats.If you detect an unrecognized forwarding rule to an unknown internal or external email address, you can assume that the inbox account was compromised.
    2. Nya regler för Inkorgen, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de som har dolda namn konventioner, till exempel "...".New inbox rules, such as "delete all", "move messages to another folder", or those with obscure naming conventions, for example "…".
    3. En ökning av skickade e-postmeddelanden.An increase in sent emails.

Ändrings regel för misstänkt inkorgSuspicious inbox manipulation rule

Aktiviteter som anger att en angripare får åtkomst till en användares inkorg och skapat en misstänkt regel.Activities indicating that an attacker gained access to a user's inbox and created a suspicious rule. Att ändra regler, t. ex. att ta bort eller flytta meddelanden eller mappar från en användares inkorg, kan vara ett försök att stjäla information från din organisation.Manipulation rules, such as deleting or moving messages, or folders, from a user's inbox may be an attempt to exfiltrate information from your organization. På samma sätt kan de ange ett försök att manipulera information som en användare ser eller för att använda sin inkorg för att distribuera skräp post, phishing-e-post eller skadlig kod.Similarly, they can indicate an attempt to manipulate information that a user sees or to use their inbox to distribute spam, phishing emails, or malware. Cloud App Security profiler din miljö och utlöser aviseringar när misstänkta regler för att ändra Inkorgen identifieras i en användares inkorg.Cloud App Security profiles your environment and triggers alerts when suspicious inbox manipulation rules are detected on a user's inbox. Detta kan tyda på att användarens konto har komprometterats.This may indicate that the user's account is compromised.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att en regel för skadlig kod har skapats och kontot har komprometterats.TP: If you're able to confirm that a malicious inbox rule was created and the account was compromised.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och ta bort regeln för vidarebefordran.Recommended action: Suspend the user, reset their password, and remove the forwarding rule.

  2. RP: om du kan bekräfta att en användare har skapat en giltig regel.FP: If you're able to confirm that a user legitimately created the rule.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för ytterligare indikatorer på kompromisser, till exempel vidarebefordran av misstänkt inkorg , följt av en omöjlig rese avisering.Review all user activity for additional indicators of compromise such as the Suspicious inbox forwarding alert followed by an Impossible Travel alert. Titta efter:Look for:
    • Nya regler för vidarebefordring av SMTP.New SMTP forwarding rules.
    • Nya regler för Inkorgen, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de som har dolda namn konventioner, till exempel "...".New inbox rules, such as "delete all", "move messages to another folder", or those with obscure naming conventions, for example "…".
  2. Samla in information om IP-adress och plats för åtgärden.Collect IP address and location information for the action.
  3. Granska aktiviteter som utförts från IP-adressen som används för att skapa regeln för att identifiera andra komprometterade användare.Review activities performed from the IP address used to create the rule to detect other compromised users.

Aviseringar om behörighets eskaleringPrivilege escalation alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka få behörighet på högre nivå i din organisation.This section describes alerts indicating that a malicious actor may be attempting to gain higher-level permissions in your organization.

Ovanlig administrativ aktivitet (av användare)Unusual administrative activity (by user)

Aktiviteter som anger att en angripare har komprometterat ett användar konto och utfört administrativa åtgärder som inte är vanliga för den användaren.Activities indicating that an attacker has compromised a user account and performed administrative actions that are not common for that user. En angripare kan till exempel försöka ändra en säkerhets inställning för en användare, en åtgärd som är relativt sällsynt för en vanlig användare.For example, an attacker can try to change a security setting for a user, an operation that is relatively rare for a common user. Cloud App Security skapar en bas linje baserat på användarens beteende och utlöser en avisering när onormalt beteende har identifierats.Cloud App Security creates a baseline based on the user's behavior and triggers an alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim administratör.TP: If you're able to confirm that the activity wasn't performed by a legitimate administrator.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP: om du har möjlighet att bekräfta att en administratör har utfört en ovanlig volym av administrativa aktiviteter.FP: If you're able to confirm that an administrator legitimately performed the unusual volume of administrative activities.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för ytterligare indikatorer på kompromisser som misstänkt inkorg vidarebefordran eller omöjlig resa.Review all user activity for additional indicators of compromise such as Suspicious inbox forwarding or Impossible Travel.
  2. Granska andra konfigurations ändringar, till exempel skapa ett användar konto som kan användas för persistence.Review other configuration changes, such as creating a user account that might be used for persistence.

Aviseringar om autentiseringsuppgifterCredential access alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör försöker stjäla konto namn och lösen ord från din organisation.This section describes alerts indicating that a malicious actor may be attempting to steal account names and passwords from your organization.

Flera misslyckade inloggnings försökMultiple failed login attempts

Misslyckade inloggnings försök kan tyda på ett försök att bryta mot ett konto.Failed login attempts could indicate on an attempt to breach an account. Misslyckade inloggningar kan dock också vara normala.However, failed logins can also be normal behavior. Till exempel när en användare har angett fel lösen ord av misstag.For example, when a user entered a wrong password by mistake. För att uppnå precision och endast aviseringar när det är en stark indikation på ett försök till överträdelse, upprättar Cloud App Security en bas linje för inloggnings vanor för varje användare i organisationen och kommer bara att varnas när det ovanliga beteendet upptäcks.To achieve accuracy and alert only when there is a strong indication of an attempted breach, Cloud App Security establishes a baseline of login habits for each user in the organization and will only alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

Den här principen är baserad på inlärning av en användares normala inloggnings beteende.This policy is based on learning the normal login behavior of a user. När en avvikelse från normen upptäcks utlöses en avisering.When a deviation from the norm is detected, an alert is triggered. Om identifieringen börjar se att samma beteende fortsätter, aktive ras aviseringen bara en gång.If the detection begins to see that the same behavior continues, the alert is only raised once.

  1. TP (MFA Miss lyckas): om du kan bekräfta att MFA fungerar som det ska kan det vara ett tecken på ett försök till angrepp med brute force.TP (MFA fails): If you're able to confirm that MFA is working correctly, this could be a sign of an attempted brute force attack.

    Rekommenderade åtgärder:Recommended actions:

    1. Inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Suspend the user, mark the user as compromised, and reset their password.
    2. Hitta appen som utförde de misslyckade autentiseringarna och konfigurera om den.Find the app that performed the failed authentications and reconfigure it.
    3. Leta efter andra användare som är inloggade runt aktivitetens tid, eftersom de också kan komprometteras.Look for other users logged in around the time of the activity because they may also be compromised. Inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Suspend the user, mark the user as compromised, and reset their password.
  2. B-TP (MFA Miss lyckas): om du har möjlighet att bekräfta att aviseringen orsakas av ett problem med MFA.B-TP (MFA fails): If you're able to confirm that the alert is caused by a problem with MFA.

    Rekommenderad åtgärd: skapa en Spelbok med hjälp av energi automatisering för att kontakta användaren och kontrol lera om de har problem med MFA.Recommended action: Create a playbook using Power Automate to contact the user and check if they are having issues with MFA.

  3. B-TP (felaktigt konfigurerad app): om du kan bekräfta att en felkonfigurerad app försöker ansluta till en tjänst flera gånger med förfallna autentiseringsuppgifter.B-TP (Improperly configured app): If you're able to confirm that a misconfigured app is attempting to connect to a service multiple times with expired credentials.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

  4. B-TP (lösen ord ändrat): om du kan bekräfta att en användare nyligen ändrat sitt lösen ord, men inte har påverkat autentiseringsuppgifter för flera nätverks resurser.B-TP (Password changed): If you're able to confirm that a user recently changed their password, but it has not impacted credentials across network shares.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

  5. B-TP (säkerhets test): om du kan bekräfta att ett säkerhets-eller inträngande test utförs av säkerhetsanalytiker på uppdrag av organisationen.B-TP (Security test): If you're able to confirm that a security or penetration test is being conducted by security analysts on behalf of the organization.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för ytterligare indikatorer på kompromisser som aviseringen följs av någon av följande aviseringar: omöjlig resa, aktivitet från anonym IP-adresseller aktivitet från ovanliga länder.Review all user activity for additional indicators of compromise such as the alert is followed by one of the following alerts: Impossible Travel, Activity from anonymous IP address, or Activity from infrequent country.
  2. Granska följande användar enhets information och jämför med den kända enhets informationen:Review the following user device information and compare with known device information:
    • Operativ system och versionOperating system and version
    • Webbläsare och versionBrowser and version
    • IP-adress och platsIP address and location
  3. Identifiera käll-IP-adressen eller platsen där autentiseringsförsök gjordes.Identify the source IP address or location where the authentication attempt occurred.
  4. Identifiera om användaren nyligen ändrade sitt lösen ord och se till att alla appar och enheter har det uppdaterade lösen ordet.Identify if the user recently changed their password and ensure all apps and devices have the updated password.

Ovanligt tillägg av autentiseringsuppgifter för en OAuth-appUnusual addition of credentials to an OAuth app

Den här identifieringen identifierar det misstänkta tillägget av privilegierade autentiseringsuppgifter för en OAuth-app.This detection identifies the suspicious addition of privileged credentials to an OAuth app. Detta kan tyda på att en angripare har komprometterat appen och använder den för skadlig aktivitet.This can indicate that an attacker has compromised the app, and is using it for malicious activity.

Anteckning

Eftersom risken för en lyckad attack är hög, meddelas Cloud App Security även om identifierings dating tillbaka till mitten – september 2020.Since the risk posed by a successful attack is high, Cloud App Security also notifies you of detections dating back to mid-September 2020. Aviseringar för tidigare händelser har rubriken "system varning: ovanligt tillägg av autentiseringsuppgifter till en OAuth-app" och varnings typen kommer att MCAS_ALERT_MANAGEMENT_GENERIC.Alerts for past events have the title "System alert: Unusual addition of credentials to an OAuth app" and the alert type will be MCAS_ALERT_MANAGEMENT_GENERIC.

Inlärnings periodLearning period

Inlärning av organisationens miljö kräver en period på sju dagar då du kan förväntar dig en stor mängd aviseringar.Learning your organization's environment requires a period of seven days during which you may expect a high volume of alerts.

Samlings aviseringarCollection alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka samla in data av intresse för deras mål från din organisation.This section describes alerts indicating that a malicious actor may be attempting to gather data of interest to their goal from your organization.

Flera Power BI rapport delnings aktiviteterMultiple Power BI report sharing activities

Aktiviteter i en enda session som visar att en användare utförde ett ovanligt antal delar rapport aktiviteter i Power BI jämfört med den grundläggande som du har lärt dig.Activities in a single session indicating that a user performed an unusual number of share report activities in Power BI when compared to the baseline learned. Detta kan tyda på ett försök till överträdelse av din organisation.This can indicate an attempted breach of your organization.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: ta bort delnings åtkomst från Power BI.Recommended action: Remove sharing access from Power BI. Om du har möjlighet att bekräfta att kontot har komprometterats kan du inaktivera användaren, markera användaren som komprometterad och återställa lösen ordet.If you're able to confirm that the account is compromised, then Suspend the user, mark the user as compromised, and reset their password.

  2. RP: om du kan bekräfta att användaren hade en affärs motivering för att dela dessa rapporter.FP: If you're able confirm that the user had a business justification to share these reports.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren.Review the activity log to gain a better understanding of other activities performed by the user. Titta på IP-adressen som de är inloggade från och enhets informationen.Look at the IP address they are logged in from and the device details.
  2. Kontakta Power BI-teamet eller Information Protections teamet för att förstå rikt linjerna för att dela rapporter internt och externt.Contact your Power BI team or Information Protection team to understand the guidelines for sharing reports internally and externally.

Misstänkt Power BI-rapportdelningSuspicious Power BI report sharing

Aktiviteter som indikerar att en användare har delat en Power BI rapport som kan innehålla känslig information som identifieras med hjälp av NLP för att analysera rapportens metadata.Activities indicating that a user shared a Power BI report that may contain sensitive information identified using NLP to analyze the metadata of the report. Rapporten har antingen delats med en extern e-postadress, publicerats på webben, eller så har en ögonblicks bild levererats till en externt prenumererande e-postadress.The report was either shared with an external email address, published to the web, or a snapshot was delivered to an externally subscribed email address. Detta kan tyda på ett försök till överträdelse av din organisation.This can indicate an attempted breach of your organization.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: ta bort delnings åtkomst från Power BI.Recommended action: Remove sharing access from Power BI. Om du har möjlighet att bekräfta att kontot har komprometterats kan du inaktivera användaren, markera användaren som komprometterad och återställa lösen ordet.If you're able to confirm that the account is compromised, then Suspend the user, mark the user as compromised, and reset their password.

  2. RP: om du har möjlighet att bekräfta att användaren har en affärs motivering för att dela dessa rapporter.FP: If you're able to confirm that the user had a business justification to share these reports.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren.Review the activity log to gain a better understanding of other activities performed by the user. Titta på IP-adressen som de är inloggade från och enhets informationen.Look at the IP address they are logged in from and the device details.
  2. Kontakta Power BI-teamet eller Information Protections teamet för att förstå rikt linjerna för att dela rapporter internt och externt.Contact your Power BI team or Information Protection team to understand the guidelines for sharing reports internally and externally.

Ovanlig personifierad aktivitet (av användare)Unusual impersonated activity (by user)

I vissa program finns det alternativ som gör att andra användare kan personifiera andra användare.In some software, there are options to allow other users to impersonate other users. E-posttjänster gör det till exempel möjligt för användarna att tillåta att andra användare skickar e-post för deras räkning.For example, email services allow users to authorize other users to send email on their behalf. Den här aktiviteten används ofta av angripare för att skapa phishing-e-postmeddelanden i ett försök att extrahera information om din organisation.This activity is commonly used by attackers to create phishing emails in an attempt to extract information about your organization. Cloud App Security skapar en bas linje baserat på användarens beteende och skapar en aktivitet när en ovanlig personifiering upptäcks.Cloud App Security creates a baseline based on the user's behavior and creates an activity when an unusual impersonation activity is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte utförs av en legitim användare.TP: If you're able to confirm that the activity wasn't perform by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. FP (onormalt beteende): om du kan bekräfta att användaren har utfört ovanliga aktiviteter eller fler aktiviteter än den fastställda bas linjen.FP (Unusual behavior): If you're able to confirm that the user legitimately performed the unusual activities, or more activities than the established baseline.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

  3. RP: om du kan bekräfta att appar, t. ex. team, har lagligt personifierat användaren.FP: If you're able to confirm that apps, like Teams, legitimately impersonated the user.

    Rekommenderad åtgärd: granska åtgärderna och Stäng aviseringen om det behövs.Recommended action: Review the actions and dismiss the alert if need.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska alla användar aktiviteter och aviseringar för ytterligare kompromisser.Review all user activity and alerts for additional indicators of compromise.
  2. Granska personifierings aktiviteterna för att identifiera potentiella skadliga aktiviteter.Review the impersonation activities to identify potential malicious activities.
  3. Granska den delegerade åtkomst konfigurationen.Review delegated access configuration.

ExfiltreringsaviseringarExfiltration alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör försöker stjäla data från din organisation.This section describes alerts indicating that a malicious actor may be attempting to steal data from your organization.

Vidarebefordran av misstänkt inkorgSuspicious inbox forwarding

Aktiviteter som anger att en angripare får åtkomst till en användares inkorg och skapat en misstänkt regel.Activities indicating that an attacker gained access to a user's inbox and created a suspicious rule. Att ändra regler, till exempel vidarebefordra alla eller vissa e-postmeddelanden till ett annat e-postkonto kan vara ett försök att stjäla information från din organisation.Manipulation rules, such as forward all or specific emails to another email account may be an attempt to exfiltrate information from your organization. Cloud App Security profiler din miljö och utlöser aviseringar när misstänkta regler för att ändra Inkorgen identifieras i en användares inkorg.Cloud App Security profiles your environment and triggers alerts when suspicious inbox manipulation rules are detected on a user's inbox. Detta kan tyda på att användarens konto har komprometterats.This may indicate that the user's account is compromised.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att en regel för vidarebefordran av skadlig inkorg har skapats och kontot har komprometterats.TP: If you're able to confirm that a malicious inbox forwarding rule was created and the account was compromised.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och ta bort regeln för vidarebefordran.Recommended action: Suspend the user, reset their password, and remove the forwarding rule.

  2. RP: om du kan bekräfta att användaren har skapat en vidarebefordrings regel för ett nytt eller personligt externt e-postkonto av legitima skäl.FP: If you're able to confirm that the user created a forwarding rule to a new or personal external email account for legitimate reasons.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska all användar aktivitet för ytterligare indikatorer på kompromisser som aviseringen följs av en omöjlig rese avisering.Review all user activity for additional indicators of compromise such as the alert is followed by an Impossible Travel alert. Titta efter:Look for:

    1. Nya regler för vidarebefordring av SMTP, enligt följande:New SMTP forwarding rules, as follows:
      • Sök efter namn på regler för skadlig vidarebefordran.Check for malicious forwarding rule names. Regel namn kan variera från enkla namn, till exempel "vidarebefordra alla e-postmeddelanden" och "Auto Forward", eller falska namn, till exempel ett knappt synligt ".".Rule names can vary from simple names, such as "Forward All Emails" and "Auto forward", or deceptive names, such as a barely visible ".". Vidarebefordrings regel namn kan även vara tomma och vidarebefordrande mottagare kan vara ett enda e-postkonto eller en hel lista.Forwarding rule names can even be empty, and the forwarding recipient can be a single email account or an entire list. Skadliga regler kan också vara dolda i användar gränssnittet.Malicious rules can also be hidden from the user interface. När du har identifierat kan du använda det här hjälp blogg inlägget för att ta bort dolda regler från post lådor.Once detected, you can use this helpful blog post on how to delete hidden rules from mailboxes.
      • Om du identifierar en okänd vidarebefordrings regel till en okänd intern eller extern e-postadress, kan du anta att kontot för Inkorgen har komprometterats.If you detect an unrecognized forwarding rule to an unknown internal or external email address, you can assume that the inbox account was compromised.
    2. Nya regler för Inkorgen, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de som har dolda namn konventioner, till exempel "...".New inbox rules, such as "delete all", "move messages to another folder", or those with obscure naming conventions, for example "…".
  2. Granska aktiviteter som utförts från IP-adressen som används för att skapa regeln för att identifiera andra komprometterade användare.Review activities performed from the IP address used to create the rule to detect other compromised users.

  3. Granska listan över vidarebefordrade meddelanden med hjälp av Exchange Online-meddelande spårning.Review the list of forwarded messages using Exchange Online message tracking.

Ovanlig fil hämtning (av användare)Unusual file download (by user)

Aktiviteter som anger att en användare utförde ett ovanligt antal fil hämtningar från en moln lagrings plattform jämfört med den grundläggande som har lärts.Activities indicating that a user performed an unusual number of file downloads from a cloud storage platform when compared to the baseline learned. Detta kan tyda på ett försök att få information om organisationen.This can indicate an attempt to gain information about the organization. Cloud App Security skapar en bas linje baserat på användarens beteende och utlöser en avisering när onormalt beteende har identifierats.Cloud App Security creates a baseline based on the user's behavior and triggers an alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP (onormalt beteende): om du kan bekräfta att användaren har utfört fler fil hämtnings aktiviteter än den etablerade bas linjen.FP (Unusual behavior): If you can confirm that the user legitimately performed more file download activities than the established baseline.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

  3. RP (programsynkronisering): om du kan bekräfta att program vara, till exempel OneDrive, har synkroniserats med en extern säkerhets kopia som orsakade aviseringen.FP (Software sync): If you're able to confirm that software, such as OneDrive, synced with an external backup that caused the alert.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska nedladdnings aktiviteterna och skapa en lista med hämtade filer.Review the download activities and create a list of downloaded files.
  2. Granska de hämtade filernas känslighet med resurs ägaren och kontrol lera åtkomst nivån.Review the sensitivity of the downloaded files with the resource owner and validate the access level.

Ovanlig fil resurs aktivitet (av användare)Unusual file share activity (by user)

Aktiviteter som anger att en användare utförde ett ovanligt antal fildelnings åtgärder från en moln lagrings plattform jämfört med den bas linje som lärts.Activities indicating that a user performed an unusual number of file sharing actions from a cloud storage platform when compared to the baseline learned. Detta kan tyda på ett försök att få information om organisationen.This can indicate an attempt to gain information about the organization. Cloud App Security skapar en bas linje baserat på användarens beteende och utlöser en avisering när onormalt beteende har identifierats.Cloud App Security creates a baseline based on the user's behavior and triggers an alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av en legitim användare.TP: If you're able to confirm that the activity wasn't performed by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. FP (onormalt beteende): om du kan bekräfta att användaren har utfört fler fildelnings aktiviteter än den etablerade bas linjen.FP (Unusual behavior): If you're able to confirm that the user legitimately performed more file sharing activities than the established baseline.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska delnings aktiviteterna och skapa en lista över delade filer.Review the sharing activities and create a list of shared files.
  2. Granska de delade filernas känslighet med resurs ägaren och kontrol lera åtkomst nivån.Review the sensitivity of the shared files with the resource owner and validate the access level.
  3. Skapa en fil princip för liknande dokument för att identifiera framtida delning av känsliga filer.Create a file policy for similar documents to detect future sharing of sensitive files.

Aviseringar om påverkanImpact alerts

I det här avsnittet beskrivs aviseringar som visar att en skadlig aktör kan försöka ändra, avbryta eller förstöra system och data i din organisation.This section describes alerts indicating that a malicious actor may be attempting to manipulate, interrupt, or destroy you systems and data in your organization.

Flera aktiviteter för att ta bort virtuella datorerMultiple delete VM activities

Aktiviteter i en enda session som visar att en användare utförde ett ovanligt antal borttagningar av virtuella datorer jämfört med den bas linje som lärts.Activities in a single session indicating that a user performed an unusual number of VM deletions when compared to the baseline learned. Flera borttagningar av virtuella datorer kan tyda på ett försök att avbryta eller förstöra en miljö.Multiple VM deletions could indicate an attempt to disrupt or destroy an environment. Det finns dock många vanliga scenarier där virtuella datorer tas bort.However, there are many normal scenarios where VMs are deleted.

TP, B-TP eller RP?TP, B-TP, or FP?

För att förbättra precisionen och aviseringen endast när det finns en stark indikation på en överträdelse, upprättar den här identifieringen en bas linje för varje miljö i organisationen för att minska B-TP- incidenter och endast aviseringar när onormalt beteende upptäcks.To improve accuracy and alert only when there is a strong indication of a breach, this detection establishes a baseline on each environment in the organization to reduce B-TP incidents and only alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

  • TP: om du har möjlighet att bekräfta att borttagningarna har varit obehöriga.TP: If you're able to confirm that the deletions were unauthorized.

    Rekommenderad åtgärd: inaktivera användaren, Återställ lösen ordet och Genomsök alla enheter efter skadliga hot.Recommended action: Suspend the user, reset their password, and scan all devices for malicious threats. Granska all användar aktivitet för andra indikatorer på kompromissen och utforska omfattningen av påverkan.Review all user activity for other indicators of compromise and explore the scope of impact.

  • B-TP: om du efter din undersökning har kunnat bekräfta att administratören har behörighet att utföra dessa borttagnings aktiviteter.B-TP: If after your investigation, you're able to confirm that the administrator was authorized to perform these deletion activities.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Kontakta användaren och bekräfta aktiviteten.Contact the user and confirm the activity.
  2. Granska all användar aktivitet för ytterligare indikatorer på kompromisser som aviseringen följs av någon av följande aviseringar: omöjlig resa, aktivitet från anonym IP-adresseller aktivitet från ovanliga länder.Review all user activity for additional indicators of compromise such as the alert is followed by one of the following alerts: Impossible Travel, Activity from anonymous IP address, or Activity from infrequent country.

Utpressnings tro aktivitetRansomware activity

Utpressnings tro Jan är en cyberattack där en angripare låser ut offer från sina enheter eller blockerar dem från att komma åt sina filer tills den skadelidande betalar en utpressnings tro.Ransomware is a cyberattack in which an attacker locks victims out of their devices or blocks them from accessing their files until the victim pays a ransom. Utpressnings tro Jan kan spridas av en skadlig delad fil eller komprometterat nätverk.Ransomware can be spread by a malicious shared file or compromised network. Cloud App Security använder expert kunskaper om säkerhets forskning, Hot information och inlärda beteende mönster för att identifiera utpressnings bara aktiviteter.Cloud App Security uses security research expertise, threat intelligence, and learned behavioral patterns to identify ransomware activity. Till exempel kan en hög grad av fil överföringar eller filer tas bort, representera en krypterings process som är gemensam för utpressnings bara åtgärder.For example, a high rate of file uploads, or files deletions, may represent an encryption process that is common among ransomware operations.

Den här identifieringen upprättar en bas linje för de normala arbets mönstren för varje användare i din organisation, till exempel när användaren har åtkomst till molnet och vad de brukar göra i molnet.This detection establishes a baseline of the normal working patterns of each user in your organization, such as when the user accesses the cloud and what they commonly do in the cloud.

Cloud App Securitys principer för automatisk hot identifiering börjar köras i bakgrunden från det ögonblick du ansluter.Cloud App Security's automated threat detection policies start running in the background from the moment you connect. Med våra expert kunskaper om säkerhets forskning för att identifiera beteende mönster som återspeglar utpressnings tro aktiviteter i vår organisation ger Cloud App Security omfattande täckning mot avancerade utpressnings angrepp.Using our security research expertise to identify behavioral patterns that reflect ransomware activity in our organization, Cloud App Security provides comprehensive coverage against sophisticated ransomware attacks.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte har utförts av användaren.TP: If you're able to confirm that the activity wasn't perform by the user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP (onormalt beteende): användaren utförde flera borttagnings-och överförings aktiviteter för liknande filer under en kort tids period.FP (Unusual behavior): The user legitimately performed multiple deletion and upload activities of similar files in a short period of time.

    Rekommenderad åtgärd: när du har granskat aktivitets loggen och bekräftat att fil namns tilläggen inte är misstänkta stänger du aviseringen.Recommended action: After reviewing the activity log and confirming that the file extensions are not suspicious, dismiss the alert.

  3. RP (common utpressnings fil tillägg): om du kan bekräfta att tilläggen för de berörda filerna är en matchning för ett känt utöknings punkts tillägg.FP (Common ransomware file extension): If you are able to confirm that the extensions of the affected files are a match for a known ransomware extension.

    Rekommenderad åtgärd: kontakta användaren och bekräfta att filerna är säkra och stäng sedan aviseringen.Recommended action: Contact the user and confirm the files are safe and then dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska aktivitets loggen för att se om det finns andra typer av kompromisser, till exempel Mass nedladdning eller Mass borttagning av filer.Review the activity log for other indicators of compromise such as mass download, or mass deletion, of files.
  2. Om du använder Microsoft Defender för slut punkt granskar du användarens dator aviseringar för att se om skadliga filer har identifierats.If you're using Microsoft Defender for Endpoint, review the user's computer alerts to see if malicious files were detected.
  3. Sök i aktivitets loggen efter fil överförings-och delnings aktiviteter.Search the activity log for malicious file upload and sharing activities.

Ovanlig fil borttagnings aktivitet (av användare)Unusual file deletion activity (by user)

Aktiviteter som indikerar att en användare utförde en ovanlig fil borttagnings aktivitet när den jämförs med den grundläggande erfarenheten.Activities indicating that a user performed an unusual file deletion activity when compared to the baseline learned. Detta kan tyda på utpressnings bara angrepp.This can indicate ransomware attack. En angripare kan till exempel kryptera en användares filer och ta bort alla original, och bara lämna de krypterade versioner som kan användas för att tvinga den skadelidande att betala en utpressnings tro.For example, an attacker can encrypt a user's files and delete all the originals, leaving only the encrypted versions that can be used to coerce the victim to pay a ransom. Cloud App Security skapar en bas linje baserat på användarens normala beteende och utlöser en avisering när det ovanliga beteendet upptäcks.Cloud App Security creates a baseline based on the user's normal behavior and triggers an alert when the unusual behavior is detected.

Inlärnings periodLearning period

Att upprätta en ny användares aktivitets mönster kräver en inledande inlärnings period på sju dagar under vilka aviseringar inte utlöses för nya platser.Establishing a new user's activity pattern requires an initial learning period of seven days during which alerts are not triggered for any new locations.

TP, B-TP eller RP?TP, B-TP, or FP?

  1. TP: om du kan bekräfta att aktiviteten inte utförs av en legitim användare.TP: If you're able to confirm that the activity wasn't perform by a legitimate user.

    Rekommenderad åtgärd: inaktivera användaren, markera användaren som komprometterad och Återställ lösen ordet.Recommended action: Suspend the user, mark the user as compromised, and reset their password.

  2. RP: om du kan bekräfta att användaren har utfört fler fil borttagnings aktiviteter än den fastställda bas linjen.FP: If you're able to confirm that the user legitimately performed more file deletion activities than the established baseline.

    Rekommenderad åtgärd: Stäng av aviseringen.Recommended action: Dismiss the alert.

Förstå omfattningen av överträdelsenUnderstand the scope of the breach

  1. Granska borttagnings aktiviteterna och skapa en lista över borttagna filer.Review the deletion activities and create a list of deleted files. Om det behövs återställer du de borttagna filerna.If needed, recover the deleted files.
  2. Du kan också skapa en Spelbok med hjälp av energi automatisering för att kontakta användare och deras chefer för att verifiera aktiviteten.Optionally, create a playbook using Power Automate to contact users and their managers to verify the activity.

Se ävenSee also