获取行为分析和异常情况检测

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps异常情况检测策略提供现成的用户和实体行为分析 (UEBA) 和机器学习 (ML) ,以便从一开始就准备好在云环境中运行高级威胁检测。 由于它们会自动启用,因此新的异常情况检测策略会立即启动检测和排序结果的过程,并针对用户和连接到网络的计算机和设备的许多行为异常。 此外,策略还会从 Defender for Cloud Apps 检测引擎公开更多数据,以帮助加快调查过程并包含持续的威胁。

异常情况检测策略会自动启用,但 Defender for Cloud Apps 的初始学习期为 7 天,在此期间不会引发所有异常情况检测警报。 之后,随着从配置的 API 连接器收集数据,每个会话都会与活动进行比较,当用户处于活动状态、IP 地址、设备等时,在过去一个月检测到这些数据以及这些活动的风险评分。 请注意,可能需要几个小时才能从 API 连接器获取数据。 这些检测是启发式异常检测引擎的一部分,用于分析环境,并触发与组织活动上学到的基线相关的警报。 这些检测还使用机器学习算法来分析用户并登录模式以减少误报。

通过扫描用户活动来检测异常情况。 通过查看 30 多个不同的风险指标(分组为风险因素)来评估风险,如下所示:

  • 有风险的 IP 地址
  • 登录失败
  • 管理员活动
  • 非活动帐户
  • 位置
  • Impossible travel
  • 设备和用户代理
  • 活动率

基于策略结果触发安全警报。 Defender for Cloud Apps 查看云上的每个用户会话,并在发生与组织基线或用户常规活动不同的情况时发出警报。

除了本机 Defender for Cloud Apps 警报,还可以根据从 Azure Active Directory (AD) Identity Protection 接收的信息获取以下检测警报:

这些策略将显示在 Defender for Cloud Apps 策略页上,并且可以启用或禁用。

异常情况检测策略

可以通过依次单击“控制”和“策略”来查看门户中的异常情况检测策略。 为策略类型选择“异常检测策略”

新的异常情况检测策略。

可用的异常情况检测策略如下:

Impossible travel

  • 此检测可识别单个或多个会话中的两个用户活动 (,) 从一个时间段内从地理位置遥远的位置开始的时间短于用户从第一个位置到第二个位置的时间,这表示不同的用户使用的是同一凭据。 此检测使用机器学习算法,该算法忽略明显的“误报”,从而导致不可能的旅行条件,例如 VPN 和组织中的其他用户经常使用的位置。 检测的初始学习期为 7 天,在此期间会学习新用户的活动模式。 无法前往的位置检测可以识别两个位置之间不正常和无法进行的用户活动。 这种活动应是不正常的,足以被认为是泄露标志,值得警惕。 为了执行此操作,检测逻辑包括不同的抑制级别,用于解决可能触发误报的方案,例如 VPN 活动,或来自未指示物理位置的云提供商的活动。 敏感度滑块允许你影响算法并定义检测逻辑的严格程度。 敏感度级别越高,检测逻辑中的活动将减少。 这样,你就可以根据覆盖需求和 SNR 目标来调整检测。

    注意

    • 当旅行双方的 IP 地址被视为安全时,该旅行是受信任的,并且被排除在触发不可能旅行检测之外。 例如,如果双方 标记为公司,则被视为安全。 但是,如果旅行中只有一侧的 IP 地址被视为安全,则会按正常方式触发检测。
    • 位置按国家/地区级别计算。 这意味着,不会针对源自同一国家/地区或边界国家/地区的两项操作发出警报。

来自不常用国家/地区的活动

  • 此项检测考虑过去的活动位置,以确定新的和不常见的位置。 异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。 如果活动发生在组织中的任何用户最近未曾访问或从未访问过的位置,则触发警报。

恶意软件检测

  • 此检测可识别云存储中的恶意文件,无论这些文件来自 Microsoft 应用还是第三方应用。 Microsoft Defender for Cloud Apps使用 Microsoft 的威胁情报来识别某些文件是否与已知恶意软件攻击相关联,并且可能是恶意的。 默认情况下,禁用内置策略。 根据启发式分析发现潜在风险的文件也将进行沙盒扫描。 检测到恶意文件后,可以看到 受感染文件的列表。 选择文件抽屉中的恶意软件文件名以打开恶意软件报告,该报告提供有关文件感染的恶意软件类型的信息。

    可以使用会话策略实时使用此检测来控制文件上传和下载。

    Defender for Cloud Apps 支持针对以下应用的恶意软件检测:

    • Box
    • Dropbox
    • Google Workspace
    • Office 365 (需要Microsoft Defender for Office 365 P1) 的有效许可证

    注意

    Office 365应用中检测到的恶意软件被应用自动阻止,用户无法访问该文件。 只有应用的管理员才有权访问。

    在 Box、Dropbox 和 Google Workspace 中,Defender for Cloud Apps 不会阻止文件,但可以根据应用的功能和客户设置的应用配置执行阻止。

来自匿名 IP 地址的活动

  • 此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。 这些代理由想要隐藏其设备的 IP 地址的人员使用,并可用于恶意意图。 此检测使用机器学习算法来减少“误报”,例如组织中用户广泛使用的错误标记 IP 地址。

勒索软件活动

  • Defender for Cloud Apps 扩展了其勒索软件检测功能,并进行了异常检测,以确保对复杂的勒索软件攻击进行更全面的覆盖。 使用我们的安全研究专业知识来识别反映勒索软件活动的行为模式,Defender for Cloud Apps 可确保整体和可靠的保护。 例如,如果 Defender for Cloud Apps 标识了文件上传或文件删除活动的速率高,则可能表示不良加密过程。 这些数据收集在从连接的 API 收到的日志中,然后与已学习的行为模式和威胁智能相结合,例如已知的勒索软件扩展。 有关 Defender for Cloud Apps 如何检测勒索软件的详细信息,请参阅 保护组织免受勒索软件攻击

已终止用户执行的活动

  • 通过此检测操作,可以识别已离职员工何时继续对 SaaS 应用执行操作。 因为数据显示,内部人员威胁的最大风险源自因关系不和而离开公司的员工,因此,必须密切关注已离职员工的帐户活动。 有时候,当员工离开公司时,其帐户将从公司应用中取消设置,但在很多情况下,他们仍然保留了某些公司资源的访问权限。 在考虑特权帐户时,这一点更为重要,因为从根本上看,前管理员可能造成的潜在损害更大。 此检测利用 Defender for Cloud Apps 监视跨应用的用户行为的能力,从而能够识别用户的常规活动、删除帐户的事实和其他应用中的实际活动。 例如,删除了 Azure AD 帐户但仍有权访问公司 AWS 基础结构的员工,有可能造成大规模损坏。

检测查找在 Azure AD 中删除了帐户的用户,但仍在其他平台(如 AWS 或 Salesforce)中执行活动。 这尤其适用于使用其他帐户的用户 (不是其主要单一登录帐户) 来管理资源,因为这些帐户在用户离开公司时通常不会删除。

来自可疑 IP 地址的活动

  • 此检测标识用户在已被 Microsoft 威胁情报标识为有风险的 IP 地址进行活动。 这些 IP 地址涉及恶意活动,例如执行密码喷洒、Botnet C&C,并可能指示已泄露的帐户。 此检测使用机器学习算法来减少“误报”,例如组织中用户广泛使用的错误标记 IP 地址。

可疑收件箱转发

  • 此检测查找可疑的电子邮件转发规则,例如,如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。

注意

Defender for Cloud Apps 仅针对标识为可疑的每个转发规则发出警报,具体取决于用户的典型行为。

可疑的收件箱操作规则

  • 这项检测会对环境进行分析,并在用户收件箱中设置删除或移动邮件或文件夹的可疑规则时触发警报。 这可能表明用户帐户已遭入侵、消息被故意隐藏且邮箱被人用来在组织中分发垃圾邮件或恶意软件。

预览版 () 的可疑电子邮件删除活动

  • 当用户在单个会话中执行可疑的电子邮件删除活动时,此策略会分析你的环境并触发警报。 此策略可能表明,用户邮箱可能会受到潜在攻击途径(如通过电子邮件 (C/C) 2 (C&/C2 通信)泄露。

注意

Defender for Cloud Apps 与 Microsoft Defender for Office 365 集成,为 Exchange Online 提供保护,包括 URL 引爆、恶意软件防护等。 启用Defender for Office 365后,你将开始在 Defender for Cloud Apps 活动日志中看到警报。

可疑的 OAuth 应用文件下载活动

  • 扫描连接到环境的 OAuth 应用,并在应用从 Microsoft SharePoint 或 Microsoft OneDrive 下载多个文件时触发警报,方式对用户来说异常。 这可能表示用户帐户已泄露。

OAuth 应用的异常 ISP

  • 当 OAuth 应用从罕见的 ISP 连接到云应用程序时,此策略会分析环境并触发警报。 此策略可能表明攻击者尝试使用合法泄露的应用在云应用程序中执行恶意活动。

异常活动(来自用户)

这些检测标识执行下列操作的用户:

  • 异常的多个文件下载活动
  • 异常文件共享活动
  • 异常文件检测活动
  • 异常模拟活动
  • 异常管理活动
  • (预览版) 的异常 Power BI 报表共享活动
  • (预览版) 的异常多个 VM 创建活动
  • (预览版) 的异常多个存储删除活动
  • 云资源 (预览版) 的异常区域
  • 异常文件访问

此策略查找针对了解到的基线在单个会话中的活动,这可能表示存在违反尝试。 这些检测利用机器学习算法来分析用户登录模式并减少误报。 这些检测是启发式异常检测引擎的一部分,用于分析环境,并触发与组织活动上学到的基线相关的警报。

多次失败的登录尝试

  • 此检测标识针对了解到的基线在单个会话中多次登录尝试失败的用户,这可能表示存在违反尝试。

向未批准的应用泄露数据

  • 当用户或 IP 地址使用未经批准的应用执行可能会泄露组织信息的活动时,此策略将自动启用以发出警报。

多个删除 VM 活动

  • 该策略会对环境进行概况监视,并在用户删除单个会话(相对于组织中的基线)中的多个 VM 时触发警报。 这可能表示存在违规企图。

启用自动治理

可以对异常情况检测策略生成的警报启用自动修正操作。

  1. “策略 ”页中选择检测策略的名称。
  2. 在打开的“编辑异常情况检测策略”窗口的“治理”下,为每个已连接的应用或所有应用设置所需的修正操作
  3. 选择“更新”。

调整异常情况检测策略

若要让异常情况检测引擎根据你的首选项来隐藏或显示警报,请执行以下操作:

  • 在“不可能旅行”策略中,可以设置敏感度滑块,从而确定异常行为必须达到哪个级别才能触发警报。 例如,如果将它设置为低或中等,它将禁止来自用户的常用位置的“不可能旅行”警报,如果将其设置为高,则会显示此类警报。 可以选择以下敏感度级别:

    • :系统、租户和用户抑制

    • :系统和用户抑制

    • :仅系统抑制

      其中:

      抑制类型 说明
      系统 始终被抑制的内置检测。
      租户 基于租户中先前活动的常见活动。 例如,抑制来自组织中先前警告的 ISP 的活动。
      用户 基于特定用户先前活动的常见活动。 例如,抑制用户通常使用的位置的活动。

注意

默认情况下,旧版登录协议(如不使用多重身份验证 ((例如 WS 信任) )不受不可能的旅行策略监视。 如果你的组织使用旧协议,为了避免缺少相关活动,请编辑策略,并在 “高级配置”下将 “分析登录活动 ”设置为 “所有登录”。

限定异常情况检测策略范围

可以对每一个异常情况检测策略独立限定范围,以便它只适用于你想要在策略中包含和排除的用户和组。 例如,可以将“来自不经常访问的国家/地区的活动”检测策略设置为忽略经常旅行的特定用户。

若要限定异常情况检测策略范围,请执行以下操作:

  1. 选择 “控制>策略”,并将 类型 筛选器设置为 “异常情况”检测策略

  2. 选择要作用域的策略。

  3. 在“范围”下,将下拉列表从默认的“所有用户和组”设置更改为“特定用户和组”

  4. 选择 “包括 ”以指定此策略将应用的用户和组。 未在此处选择的任何用户或组都不会被视为威胁,而且不会生成警报。

  5. 选择 “排除 ”可指定此策略不适用的用户。 在此处选择的任何用户都不会被视为威胁,也不会生成警报,即使他们是“包括”下选择的组的成员

    异常情况检测范围。

会审异常情况检测警报

你可以快速会审由新异常情况检测策略引发的各种警报,并确定哪些警报需要首先进行处理。 为此,你需要警报的上下文,以便可以看到更大的画面并了解恶意是否确实发生。

  1. 在“活动日志”中,你可以打开一个活动以显示“活动”抽屉。 选择 “用户 ”以查看“用户见解”选项卡。此选项卡包含警报数、活动数以及从中连接的位置等信息,这在调查中非常重要。

    异常情况检测警报1。异常情况检测警报 2。

  2. 这使你能够了解用户所执行的可疑活动,并进一步确定该帐户是否遭到入侵。 例如,多次登录失败警报可能的确可疑,可能表示潜在的暴力攻击,但也可能是应用程序配置错误,因此可将其视为良性真警报。 但是,如果看到具有其他可疑活动的多个失败登录警报,则帐户遭到入侵的可能性更高。 在下面的示例中,你可以看到“多次尝试登录失败”警报后跟“来自 TOR IP 地址的活动”和“不可能的差旅活动”,两者本身都是强烈的入侵指示 (IOC)。 如果这还不够可疑,则可以看到同一用户执行 了大规模下载活动,这通常是攻击者执行数据外泄的指标。

    异常情况检测警报 3。

  3. 对于已感染恶意软件病毒的文件,检测到文件后,可看到已感染病毒的文件列表。 选择文件抽屉中的恶意软件文件名以打开恶意软件报告,该报告提供该文件感染的恶意软件类型的相关信息。

威胁防护网络研讨会

后续步骤

保护云环境的日常活动

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证