在 Defender for Cloud Apps 中的异常情况检测策略

Microsoft Defender for Cloud Apps 异常情况检测策略提供现成的用户和实体行为分析 (UEBA) 和机器学习 (ML)，以便你可以从一开始就准备好跨云环境运行高级威胁检测。 因为策略是自动启用的，所以会针对用户以及连接到网络的计算机和设备中的大量行为异常立即启动检测和整理结果的流程。 此外，策略还发布来自 Defender for Cloud Apps 检测引擎的更多数据，以帮助你加快调查进程并控制持续威胁。

异常情况检测策略会自动启用，但 Defender for Cloud Apps 的初始学习时间为七天，在此期间并非所有异常情况检测警报都会进行报告。 此期限过后，由于数据是通过配置的 API 连接器收集的，每个会话将与过去一个月检测到的活动、用户活跃时间、IP 地址、设备等以及这些活动的风险评分进行比较。 请注意，从 API 连接器获取到数据可能需要几个小时。 这些检测是启发式异常情况检测引擎的一部分。该引擎会对环境进行分析，并触发与就组织活动学习到的基线相关的警报。 这些检测还利用旨在分析用户和登录模式的机器学习算法来减少误报。

通过扫描用户活动来检测异常情况。 通过查看 30 多个不同的风险指标（分组为风险因素）来评估风险，如下所示：

• 有风险的 IP 地址
• 登录失败
• 管理员活动
• 非活动帐户
• 位置
• 不可能旅行
• 设备和用户代理
• 活动率

基于策略结果触发安全警报。 Defender for Cloud Apps 查看云上的每个用户会话，以便在出现不同于组织基线或不同于用户常规活动的异常活动时向你发出警报。

除了本机 Defender for Cloud Apps 警报之外，你还将根据从 Microsoft Entra ID 保护接收的信息获取以下检测警报：

• 凭据泄露：在用户的有效凭据已泄露时触发。 有关详细信息，请参阅 Microsoft Entra ID 的凭据泄露检测。
• 有风险的登录：将许多 Microsoft Entra ID 保护登录检测合并为单个检测。 有关详细信息，请参阅 Microsoft Entra ID 的登录风险检测。

这些策略将显示在 Defender for Cloud Apps 策略页面上，并可以启用或禁用。

异常情况检测策略

可以通过转到“云应用” ->“策略” ->“策略管理”，在 Microsoft Defender 门户中查看异常情况检测策略。 然后为策略类型选择“异常情况检测策略”。

可用的异常情况检测策略如下：

不可能旅行

• • 此项检测可识别来自地理距离较远的不同地点的两个用户活动（一个或多个会话），而这两个活动的时间间隔短于该用户从第一个位置旅行到第二个位置所需的时间，这表示有另一个用户在使用相同的凭据。 此项检测使用机器学习算法，会忽略导致不可能旅行条件的明显“误报”，例如组织中的其他用户定期使用的 VPN 和位置。 此项检测的初始学习期限为 7 天，在此期间，它会学习新用户的活动模式。 无法前往的位置检测可以识别两个位置之间不正常和无法进行的用户活动。 这种活动应是不正常的，足以被认为是泄露标志，值得警惕。 为实现此目的，检测逻辑包括了不同级别的抑制，以处理可能触发误报的应用场景，例如 VPN 活动，或是来自不指示物理位置的云提供商的活动。 敏感度滑块会影响算法并定义检测逻辑的严格程度。 敏感度级别越高，检测逻辑中被抑制的活动就越少。 这样，你就可以根据覆盖需求和 SNR 目标来调整检测。

    注意

    • 当旅行双方的 IP 地址被视为安全且敏感度滑块未设置为“高”时，旅行将受信任，并被排除在触发不可能旅行检测之外。 例如，如果双方都被标记为公司，则视为安全。 但是，如果只有旅行一方的 IP 地址被视为安全，则会正常触发检测。
    • 位置是按国家/地区级别计算的。 这意味着，不会针对源自同一国家/地区或毗邻国家/地区的两项操作发出警报。

来自不常见国家/地区的活动

• 此项检测考虑过去的活动位置，以确定新的和不常见的位置。 异常情况检测引擎将存储用户以往用过的位置的相关信息。 如果活动发生在用户最近未曾访问或从未访问过的位置，则触发警报。 为减少误报警报，检测将抑制以用户常见偏好设置为特征的连接。

恶意软件检测

此检测可识别云存储中的恶意文件，无论这些文件来自 Microsoft 应用还是第三方应用。 Microsoft Defender for Cloud Apps 使用 Microsoft 威胁情报，来识别与风险启发法（例如文件类型和共享级别等）相匹配的某些文件是否与已知的恶意软件攻击相关联以及是否是恶意的。 默认情况下，禁用内置策略。 检测到恶意文件后，可查看受感染文件列表。 选择文件抽屉中的恶意软件文件名以打开恶意软件报表，该报表提供有关文件感染的恶意软件类型的信息。

使用此检测，通过会话策略实时控制文件上传和下载。

文件沙盒处理

通过启用文件沙盒处理，根据文件的元数据和基于专有启发式技术检测出存在潜在风险的文件也将在安全环境中进行沙盒扫描。 沙盒扫描可能会检测到基于威胁情报来源未检测到的文件。

Defender for Cloud Apps 支持针对以下应用的恶意软件检测：

• Box
• Dropbox
• Google Workspace
• Microsoft 365（需要 Microsoft Defender for Microsoft 365 P1 的有效许可证）

注意

• 用户会自动阻止 Microsoft 365 应用版中检测到的恶意软件。 用户无法访问阻止的文件，只有应用的管理员才有权访问。

• 在 Box、 Dropbox 和 Google Workspace 中，Defender for Cloud Apps 不会自动阻止文件，但可能会根据应用的功能和客户设置的应用程序配置执行阻止。

• 如果不确定检测到的文件是否确实是恶意软件还是误报，请转到 Microsoft 安全智能页面 (https://www.microsoft.com/wdsi/filesubmission)，并提交文件以供进一步分析。

来自匿名 IP 地址的活动

• 此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。 这些代理由想要隐藏其设备 IP 地址的人员使用，并且可能用于恶意意图。 此检测利用机器学习算法，可减少“误报”，例如错误标记出组织中的用户广泛使用的 IP 地址。

勒索软件活动

• Defender for Cloud Apps 扩展了其勒索软件检测功能，其异常情况检测能够确保更全面地覆盖复杂的勒索软件的攻击。 Defender for Cloud Apps 通过使用我们的安全研究专业知识来识别影响勒索软件活动的行为模式，确保提供全面的强有力保护。 例如，如果 Defender for Cloud Apps 识别到高速率的文件上传或文件删除活动，则它可能代表不利的加密过程。 这些数据收集在从连接的 API 收到的日志中，然后与已学习的行为模式和威胁智能相结合，例如已知的勒索软件扩展。 有关 Defender for Cloud Apps 如何检测勒索软件的详细信息，请参阅保护组织免受勒索软件威胁。

已终止用户执行的活动

• 通过此检测操作，可以识别已离职员工何时继续对 SaaS 应用执行操作。 因为数据显示，内部人员威胁的最大风险源自因关系不和而离开公司的员工，因此，必须密切关注已离职员工的帐户活动。 有时候，当员工离开公司时，其帐户将从公司应用中取消设置，但在很多情况下，他们仍然保留了某些公司资源的访问权限。 在考虑特权帐户时，这一点更为重要，因为从根本上看，前管理员可能造成的潜在损害更大。 此检测操作利用 Defender for Cloud Apps 监视各应用的用户行为的功能，从而可以识别用户的常规活动、帐户已删除的事实以及其他应用的实际活动。 例如，员工的 Microsoft Entra 帐户已被删除，但仍可访问企业 AWS 基础结构，这有可能导致大规模损害。

此检测操作查找其帐户在 Microsoft Entra ID 中已删除但仍在其他平台（例如 AWS 或 Salesforce）执行活动的用户。 对于使用其他帐户（并非其单一登录主帐户）管理资源的用户来说，这一点尤为重要，因为通常情况下，这些帐户在用户离职时并不会删除。

来自可疑 IP 地址的活动

• 此检测标识用户在已被 Microsoft 威胁情报标识为有风险的 IP 地址进行活动。 这些 IP 地址涉及恶意活动，例如执行密码喷射、僵尸网络 C&C，并可能表示帐户被入侵。 此检测利用机器学习算法，可减少“误报”，例如错误标记出组织中的用户广泛使用的 IP 地址。

可疑收件箱转发

• 此检测查找可疑的电子邮件转发规则，例如，如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。

注意

基于用户的典型行为，Defender for Cloud Apps 仅针对标识为可疑的每个转发规则发出警报。

可疑的收件箱操作规则

• 这项检测会对环境进行分析，并在用户收件箱中设置删除或移动邮件或文件夹的可疑规则时触发警报。 这可能表明：用户帐户已遭入侵、消息被故意隐藏、邮箱被人用来在组织中分发垃圾邮件或恶意软件。

可疑的电子邮件删除活动（预览版）

• 当用户在单个会话中执行可疑的电子邮件删除活动时，此策略将分析你的环境并触发警报。 此策略可能表明用户邮箱可能受到电子邮件中潜在攻击途径的入侵，例如命令和控制通信 (C&C/C2)。

注意

Defender for Cloud Apps 与 Microsoft Defender XDR 集成，为 Exchange Online 提供保护，包括 URL 引爆、恶意软件防护等。 启用 Defender for Microsoft 365 后，你会在 Defender for Cloud Apps 活动日志中看到警报。

可疑的 OAuth 应用文件下载活动

• 扫描连接到环境的 OAuth 应用，并在应用以用户不常用的方式从 Microsoft SharePoint 或 Microsoft OneDrive 下载多个文件时触发警报。 这可能表示用户帐户已遭入侵。

OAuth 应用的异常 ISP

• 当 OAuth 应用从不常用的 ISP 连接到云应用程序时，此策略将分析环境并触发警报。 此策略可能表明攻击者尝试使用合法泄露的应用对云应用程序执行恶意活动。

异常活动（来自用户）

这些检测标识执行下列操作的用户：

• 异常的多个文件下载活动
• 异常文件共享活动
• 异常文件检测活动
• 异常模拟活动
• 异常管理活动
• 异常的 Power BI 报表共享活动（预览版）
• 异常的多个虚拟机创建活动（预览版）
• 异常的多个存储删除活动（预览版）
• 异常的云资源区域（预览版）
• 异常的文件访问

此策略查找针对了解到的基线在单个会话中的活动，这可能表示存在违反尝试。 这些检测利用机器学习算法，可对用户的登录模式进行分析并减少误报。 这些检测是启发式异常情况检测引擎的一部分。该引擎会对环境进行分析，并触发与就组织活动学习到的基线相关的警报。

多次失败的登录尝试

• 此检测标识针对了解到的基线在单个会话中多次登录尝试失败的用户，这可能表示存在违反尝试。

向未批准的应用泄露数据

• 当用户或 IP 地址使用未经批准的应用执行可能会泄露组织信息的活动时，此策略将自动启用以发出警报。

多个删除虚拟机活动

• 该策略会对环境进行概况监视，并在用户删除单个会话（相对于组织中的基线）中的多个 VM 时触发警报。 这可能表示存在违规企图。

启用自动治理

可以对异常情况检测策略生成的警报启用自动修正操作。

1. 在“策略”页面中，选择检测策略的名称。
2. 在打开的“编辑异常情况检测策略”窗口的“治理操作”下，为每个已连接的应用或所有应用设置所需的修正操作。
3. 选择更新。

优化异常情况检测策略

若要让异常情况检测引擎根据你的首选项来隐藏或显示警报，请执行以下操作：

• 在“无法前往的位置”策略中，可以通过设置敏感度滑块来确定触发警报所需的异常行为级别。 例如，如果将其设置为低或中，则会隐藏来自用户常见位置的“无法前往的位置”警报，如果将其设置为高，则会显示此类警报。 可以从以下敏感度级别中进行选择：

  • 低：系统、租户和用户禁止显示

  • 中：系统和用户禁止显示

  • 高：仅系统禁止显示

    其中：

    禁止显示类型	说明
    系统	始终被抑制的内置检测。
    租户	基于租户以前活动的常见活动。 例如，抑制组织中曾经开启警告的来自 ISP 的活动。
    用户	基于特定用户以前活动的常见活动。 例如，抑制来自用户常用的位置的活动。

注意

不可能旅行、来自不常用国家/地区的活动、来自匿名 IP 地址的活动，以及来自可疑 IP 地址警报的活动将不适用于失败的登录和非交互式登录。

限定异常情况检测策略范围

可以对每一个异常情况检测策略独立限定范围，以便它只适用于你想要在策略中包含和排除的用户和组。 例如，可以将不常用国家/地区检测中的活动设置为忽略经常旅行的特定用户。

若要限定异常情况检测策略范围，请执行以下操作：

1. 在 Microsoft Defender 门户中，转到“云应用” ->“策略” ->“策略管理”。 然后为策略类型选择“异常情况检测策略”。

2. 选择要确定范围的策略。

3. 在“范围”下，将下拉列表从默认的“所有用户和组”设置更改为“特定用户和组”。

4. 选择“包括”指定将对其应用此策略的用户和组。 未在此处选择的任何用户或组都不会被视为威胁，而且不会生成警报。

5. 选择“排除”可以指定不向其应用此策略的用户。 在此处选择的任何用户都不会被视为威胁，也不会生成警报，即使他们是“包括”下选择的组的成员。

   

会审异常情况检测警报

你可以快速会审由新异常情况检测策略引发的各种警报，并确定哪些警报需要首先进行处理。 为此，你需要警报的上下文，以便能够查看更大的图像，并了解是否确实执行了恶意操作。

1. 在“活动日志”中，你可以打开一个活动以显示“活动”抽屉。 选择“用户”，以查看用户见解选项卡。该选项卡包括诸如警报数量、活动数量、它们所连接的位置以及哪些在调查中非常重要之类的信息。

   

2. 对于已感染恶意软件病毒的文件，检测到文件后，可看到已感染病毒的文件列表。 选择文件抽屉中的恶意软件文件名称以打开恶意软件报表，该报表提供有关文件感染的恶意软件类型的信息。

相关视频

威胁防护网络研讨会

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。