Hämta beteendeanalys och avvikelseidentifiering

Microsoft Defender for Cloud Apps-principer för avvikelseidentifiering tillhandahåller färdiga UEBA-analyser (användar- och entitetsbeteendeanalys) och maskininlärning (ML) så att du redan från början är redo att köra avancerad hotidentifiering i molnmiljön. Eftersom de aktiveras automatiskt startar de nya principerna för avvikelseidentifiering omedelbart processen med att identifiera och sortera resultat, och riktar in sig på flera beteendeavvikelser för användarna och de datorer och enheter som är anslutna till nätverket. Dessutom exponerar principerna mer data från Defender for Cloud Apps-identifieringsmotorn för att hjälpa dig att påskynda undersökningsprocessen och innehålla pågående hot.

Principerna för avvikelseidentifiering aktiveras automatiskt, men Defender for Cloud Apps har en inledande inlärningsperiod på sju dagar då inte alla aviseringar om avvikelseidentifiering aktiveras. Efter det, när data samlas in från dina konfigurerade API-anslutningsappar, jämförs varje session med aktiviteten, när användarna var aktiva, IP-adresser, enheter och så vidare, identifierades under den senaste månaden och riskpoängen för dessa aktiviteter. Tänk på att det kan ta flera timmar för data att vara tillgängliga från API-anslutningsappar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet. Dessa identifieringar använder också maskininlärningsalgoritmer som utformats för att profilera användare och inloggningsmönster för att minska falska positiva identifieringar.

Avvikelserna identifieras genom att användaraktiviteter genomsöks. Risken utvärderas genom att titta på över 30 olika riskindikatorer, grupperade i riskfaktorer, enligt följande:

• Riskfyllda IP-adresser
• Inloggningsfel
• Administratörsaktivitet
• Inaktiva konton
• Location
• Omöjlig resa
• Enhets- och användaragent
• Aktivitetsfrekvens

Säkerhetsvarningar utlöses baserat på principresultatet. Defender for Cloud Apps tittar på varje användarsession i molnet och varnar dig när något händer som skiljer sig från baslinjen för din organisation eller användarens normala aktivitet.

Förutom interna Defender for Cloud Apps-aviseringar får du även följande identifieringsaviseringar baserat på information som tas emot från Azure Active Directory Identity Protection (AD):

• Läckta autentiseringsuppgifter: Utlöses när en användares giltiga autentiseringsuppgifter har läckts. Mer information finns i Azure AD:s Läckta autentiseringsuppgifter identifiering.
• Riskabel inloggning: Kombinerar ett antal Azure AD Identity Protection inloggningsidentifiering till en enda identifiering. Mer information finns i Azure AD:s riskidentifiering för inloggning.

Dessa principer visas på sidan Principer för Defender för Cloud Apps och kan aktiveras eller inaktiveras.

Principer för avvikelseidentifiering

Du kan se principerna för avvikelseidentifiering i portalen genom att klicka på Kontrollera och sedan på Principer. Välj Princip för avvikelseidentifiering som principtyp.

Följande principer för avvikelseidentifiering är tillgängliga:

Omöjlig resa

• Den här identifieringen identifierar två användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en kortare tidsperiod än den tid det skulle ha tagit för användaren att resa från den första platsen till den andra, vilket indikerar att en annan användare använder samma autentiseringsuppgifter. Den här identifieringen använder en maskininlärningsalgoritm som ignorerar uppenbara "falska positiva identifieringar" som bidrar till det omöjliga resevillkoret, till exempel VPN:er och platser som regelbundet används av andra användare i organisationen. Identifieringen har en inledande inlärningsperiod på sju dagar då den lär sig en ny användares aktivitetsmönster. Identifieringen av omöjliga resor identifierar ovanlig och omöjlig användaraktivitet mellan två platser. Aktiviteten bör vara så ovanlig att den anses vara en indikator för kompromettering och som är värd för en avisering. För att detta ska fungera innehåller identifieringslogiken olika nivåer av undertryckning för att hantera scenarier som kan utlösa falska positiva identifieringar, till exempel VPN-aktiviteter. Med skjutreglaget för känslighet kan du påverka algoritmen och definiera hur strikt identifieringslogiken är. Ju högre känslighetsnivå, kommer färre aktiviteter att ignoreras som en del av identifieringslogiken. På så sätt kan du anpassa identifieringen efter dina täckningsbehov och dina SNR-mål.

  Anteckning

  • När IP-adresserna på båda sidor av resan anses vara säkra, är resan betrodd och undantas från att utlösa Omöjlig resa identifiering. Båda sidorna anses till exempel vara säkra om de är taggade som företagets. Men om IP-adressen för endast en sida av resan anses vara säker utlöses identifieringen som normal.
  • Platserna beräknas på landsnivå. Det innebär att det inte finns några aviseringar för två åtgärder som har sitt ursprung i samma land eller i gränsregioner.

Aktivitet från sällan förekommande land

• Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen. En avisering utlöses när en aktivitet inträffar från en plats som inte nyligen har besökts eller aldrig besökts av någon användare i organisationen.

Identifiering av skadlig kod

• Den här identifieringen identifierar skadliga filer i molnlagringen, oavsett om de kommer från dina Microsoft-appar eller appar från tredje part. Microsoft Defender för Cloud Apps använder Microsofts hotinformation för att identifiera om vissa filer är associerade med kända attacker mot skadlig kod och är potentiellt skadliga. Den här inbyggda principen är inaktiverad som standard. Alla filer genomsöks inte, men heuristik används för att söka efter filer som kan vara riskfyllda. När filer har identifierats kan du se en lista över infekterade filer. Klicka på filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som innehåller information om vilken typ av skadlig kod filen är infekterad av.

  Du kan använda den här identifieringen i realtid med hjälp av sessionsprinciper för att styra filuppladdningar och nedladdningar.

  Anteckning

  Defender for Cloud Apps stöder identifiering av skadlig kod för följande appar:

  • Box
  • Dropbox
  • Google-arbetsyta
  • Office 365 (kräver en giltig licens för Microsoft Defender för Office 365 P1)

Aktivitet från anonyma IP-adresser

• Den här identifieringen identifierar att användare var aktiva från en IP-adress som har identifierats som en anonym proxy-IP-adress. Dessa proxys används av personer som vill dölja enhetens IP-adress och kan användas för skadlig avsikt. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel feltaggade IP-adresser som används ofta av användare i organisationen.

Aktivitet för utpressningstrojaner

• Defender for Cloud Apps utökade sina funktioner för identifiering av utpressningstrojaner med avvikelseidentifiering för att säkerställa en mer omfattande täckning mot sofistikerade utpressningstrojanattacker. Med vår expertis inom säkerhetsforskning för att identifiera beteendemönster som återspeglar utpressningstrojanaktivitet säkerställer Defender for Cloud Apps holistiskt och robust skydd. Om Defender för Cloud Apps till exempel identifierar en hög frekvens av filuppladdningar eller filborttagningsaktiviteter kan det innebära en negativ krypteringsprocess. Dessa data samlas in i loggarna som tas emot från anslutna API:er och kombineras sedan med inlärda beteendemönster och hotinformation, till exempel kända tillägg för utpressningstrojaner. Mer information om hur Defender för Cloud Apps identifierar utpressningstrojaner finns i Skydda din organisation mot utpressningstrojaner.

Aktivitet som utförts av avslutad användare

• Med den här identifieringen kan du identifiera när en avslutad medarbetare fortsätter att utföra åtgärder på dina SaaS-appar. Eftersom data visar att den största risken för insiderhot kommer från anställda som lämnar på dåliga villkor är det viktigt att hålla ett öga på aktiviteten på konton från uppsagda anställda. När anställda lämnar ett företag avetableeras ibland deras konton från företagsappar, men i många fall behåller de fortfarande åtkomst till vissa företagsresurser. Detta är ännu viktigare när du överväger privilegierade konton, eftersom den potentiella skada som en tidigare administratör kan göra är större. Den här identifieringen drar nytta av Defender for Cloud Apps-möjligheten att övervaka användarbeteende i olika appar, vilket gör det möjligt att identifiera användarens normala aktivitet, det faktum att kontot har avslutats och den faktiska aktiviteten i andra appar. Till exempel kan en anställd som har ett Azure AD-konto avslutas, men fortfarande har åtkomst till företagets AWS-infrastruktur, orsaka storskalig skada.

Identifieringen söker efter användare vars konto avslutades i Azure AD, men fortfarande utför aktiviteter på andra plattformar, till exempel AWS eller Salesforce. Detta är särskilt relevant för användare som använder ett annat konto (inte deras primära konto för enkel inloggning) för att hantera resurser, eftersom dessa konton ofta inte avslutas när en användare lämnar företaget.

Aktivitet från misstänkta IP-adresser

• Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som riskabel av Microsoft Threat Intelligence. Dessa IP-adresser är inblandade i skadliga aktiviteter, till exempel att utföra lösenordssprut, Botnet C & C, och kan tyda på komprometterat konto. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel feltaggade IP-adresser som används ofta av användare i organisationen.

Misstänkt vidarebefordring i inkorgen

• Den här identifieringen söker efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.

Misstänkta regler för inkorgsmanipulering

• Den här identifieringen profilerar din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar har angetts på en användares inkorg. Detta kan indikera att användarens konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i din organisation.

Misstänkt e-postborttagningsaktivitet (förhandsversion)

• Den här principen profilerar din miljö och utlöser aviseringar när en användare utför misstänkta e-postborttagningsaktiviteter i en enda session. Den här principen kan indikera att en användares postlådor kan komprometteras av potentiella angreppsvektorer, till exempel kommando- och kontrollkommunikation (C & C/C2) via e-post.

Misstänkta nedladdningsaktiviteter för OAuth-appfiler

• Söker igenom OAuth-appar som är anslutna till din miljö och utlöser en avisering när en app laddar ned flera filer från Microsoft SharePoint eller Microsoft OneDrive på ett sätt som är ovanligt för användaren. Detta kan indikera att användarkontot har komprometterats.

Ovanlig Internetleverantör för en OAuth-app

• Den här principen profilerar din miljö och utlöser aviseringar när en OAuth-app ansluter till dina molnprogram från en ovanlig Internetleverantör. Den här principen kan indikera att en angripare försökte använda en legitim komprometterad app för att utföra skadliga aktiviteter i dina molnprogram.

Ovanliga aktiviteter (per användare)

Dessa identifieringar identifierar användare som utför:

• Ovanliga nedladdningsaktiviteter för flera filer
• Ovanliga filresursaktiviteter
• Ovanliga filborttagningsaktiviteter
• Ovanliga personifierade aktiviteter
• Ovanliga administrativa aktiviteter
• Ovanliga Power BI rapportdelningsaktiviteter (förhandsversion)
• Ovanliga aktiviteter för att skapa virtuella datorer (förhandsversion)
• Ovanliga aktiviteter för borttagning av lagring (förhandsversion)
• Ovanlig region för molnresurs (förhandsversion)
• Onormal filåtkomst

Dessa principer söker efter aktiviteter inom en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök. Dessa identifieringar använder en maskininlärningsalgoritm som profilerar användarnas inloggningsmönster och minskar falska positiva identifieringar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet.

Flera misslyckade inloggningsförsök

• Den här identifieringen identifierar användare som misslyckades flera inloggningsförsök i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

Data exfiltrering till ej sanktionerade appar

• Den här principen aktiveras automatiskt för att varna dig när en användare eller IP-adress använder en app som inte är sanktionerad för att utföra en aktivitet som liknar ett försök att exfiltrera information från din organisation.

Flera aktiviteter för att ta bort virtuella datorer

• Den här principen profilerar din miljö och utlöser aviseringar när användare tar bort flera virtuella datorer i en enda session, i förhållande till baslinjen i din organisation. Detta kan tyda på ett försök till intrång.

Aktivera automatiserad styrning

Du kan aktivera automatiska reparationsåtgärder för aviseringar som genereras av principer för avvikelseidentifiering.

1. Klicka på namnet på identifieringsprincipen på sidan Princip.
2. I fönstret Redigera princip för avvikelseidentifiering som öppnas under Styrning anger du de reparationsåtgärder som du vill använda för varje ansluten app eller för alla appar.
3. Klicka på Uppdatera.

Justera principer för avvikelseidentifiering

Så här påverkar du avvikelseidentifieringsmotorn för att förhindra eller visa aviseringar enligt dina önskemål:

• I principen Impossible Travel (Omöjlig resa) kan du ange skjutreglaget för känslighet för att fastställa vilken nivå av avvikande beteende som krävs innan en avisering utlöses. Om du till exempel ställer in den på låg ignorerar den aviseringar om omöjlig resa från en användares gemensamma platser, och om du ställer in den på hög visas sådana aviseringar. Du kan välja mellan följande känslighetsnivåer:

  • Låg:System-, klient- och användarundertryckningar

  • Medel:System- och användarundertryckningar

  • Hög:Endast systemundertryckningar

    Plats:

    Undertryckningstyp	Description
    System	Inbyggda identifieringar som alltid ignoreras.
    Klientorganisation	Vanliga aktiviteter baserat på tidigare aktivitet i klientorganisationen. Till exempel förhindra aktiviteter från en Internetleverantör som tidigare har avisering om i din organisation.
    Användare	Vanliga aktiviteter baserat på föregående aktivitet för den specifika användaren. Du kan till exempel förhindra aktiviteter från en plats som ofta används av användaren.

• Du kan också konfigurera om aviseringarna för aktivitet från ovanliga länder/regioner, anonyma IP-adresser, misstänkta IP-adresser och omöjlig resa ska analysera både misslyckade och lyckade inloggningar eller bara lyckade inloggningar.

Omfångsprinciper för avvikelseidentifiering

Varje princip för avvikelseidentifiering kan vara oberoende begränsad så att den endast gäller för de användare och grupper som du vill inkludera och exkludera i principen. Du kan till exempel ange aktiviteten från den sporade countyidentifiering för att ignorera en specifik användare som reser ofta.

Så här omfattar du en princip för avvikelseidentifiering:

1. Klicka påKontrollprinciperoch ange filtret Typ till Avvikelseidentifieringsprincip.

2. Klicka på den princip som du vill begränsa.

3. Under Omfångändrar du listrutan från standardinställningen Alla användare och gruppertill Specifika användare och grupper.

4. Välj Inkludera för att ange de användare och grupper som principen ska gälla för. Användare eller grupper som inte har valts här betraktas inte som ett hot och genererar ingen avisering.

5. Välj Exkludera för att ange användare som den här principen inte ska gälla för. Alla användare som väljs här betraktas inte som ett hot och genererar ingen avisering, även om de är medlemmar i grupper som valts under Inkludera.

   

Betridera aviseringar om avvikelseidentifiering

Du kan snabbt bedöma de olika aviseringar som utlöses av de nya principerna för avvikelseidentifiering och bestämma vilka som måste tas hand om först. För att göra detta behöver du kontexten för aviseringen, så att du kan se en helhetsbild och förstå om något skadligt verkligen händer.

1. I aktivitetsloggenkan du öppna en aktivitet för att visa aktivitetslådan. Klicka på Användare för att visa fliken användarinsikter. Den här fliken innehåller information som antal aviseringar, aktiviteter och var de har anslutit från, vilket är viktigt i en undersökning.

   

2. På så sätt kan du förstå vilka misstänkta aktiviteter som användaren har utfört och få djupare förtroende för om kontot har komprometterats. En avisering om flera misslyckade inloggningar kan till exempel vara misstänkt och kan tyda på en potentiell brute force-attack, men det kan också vara en felaktig konfiguration av programmet, vilket gör att aviseringen är en oskadlig sann positiv attack. Men om du ser en avisering om flera misslyckade inloggningar med ytterligare misstänkta aktiviteter är det högre sannolikhet att kontot komprometteras. I exemplet nedan kan du se att aviseringen Flera misslyckade inloggningsförsök har följts av Aktivitet från en TOR IP-adress och Omöjlig resa-aktivitet, båda starka indikatorer på att de har komprometterats (I/O) på egen hand. Om detta inte var misstänkt nog kan du se att samma användare utförde en massnedladdningsaktivitet , vilket ofta är en indikator på angriparen som utför exfiltrering av data.

   

3. För filer som har infekterats av skadlig kod kan du se en lista över infekterade filer efter att filer har identifierats. Klicka på filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som innehåller information om den typen av skadlig kod som filen är infekterad av.

Relaterade videor

Nästa steg

Om du får problem finns vi här för att hjälpa dig. Om du vill få hjälp eller support för ditt produktproblem öppnar du en supportbiljett.