如何调查异常情况检测警报

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps为恶意活动提供安全检测和警报。 本指南的目的是为你提供有关每个警报的常规和实用信息,以帮助调查和修正任务。 本指南中包括有关触发警报的条件的一般信息。 但是,请务必注意,由于异常情况检测本质上是不确定的,因此只有在存在偏离规范的行为时才会触发它们。 最后,某些警报可能处于预览状态,因此请定期查看官方文档,了解更新的警报状态。

MITRE ATT&CK

为了解释和简化Defender for Cloud应用警报与熟悉的 MITRE ATT&CK 矩阵之间的关系,我们已按相应的 MITRE ATT&CK 策略对警报进行分类。 通过此附加参考,可以更轻松地了解触发Defender for Cloud应用警报时可能使用的可疑攻击技术。

本指南提供有关在以下类别中调查和修正Defender for Cloud应用警报的信息。

安全警报分类

经过适当的调查,所有Defender for Cloud应用警报都可以归类为下列活动类型之一:

  • 真正的正 (TP) :针对确认的恶意活动发出警报。
  • 良性真正 (B-TP) :针对可疑但不是恶意活动的警报,例如渗透测试或其他授权的可疑操作。
  • 误报 (FP) :针对非恶意活动的警报。

常规调查步骤

在调查任何类型的警报时,应使用以下一般准则,以在应用建议的操作之前更清楚地了解潜在威胁。

  • 查看用户的 调查优先级分数 ,并与组织的其余部分进行比较。 这将帮助你确定组织中的哪些用户构成最大的风险。
  • 如果确定 TP,请查看所有用户的活动,以了解影响。
  • 查看所有用户活动,了解其他泄露指标,并探索影响的来源和范围。 例如,查看以下用户设备信息并与已知设备信息进行比较:
    • 操作系统和版本
    • 浏览器和版本
    • IP 地址和位置

初始访问警报

本部分介绍警报,指示恶意参与者可能试图获取组织的初始立足点。

来自匿名 IP 地址的活动

说明

来自已由 Microsoft 威胁情报或组织标识为匿名代理 IP 地址的 IP 地址的活动。 这些代理可用于隐藏设备的 IP 地址,并可用于恶意活动。

TPB-TP 还是 FP

此检测使用机器学习算法来减少 B-TP 事件,例如组织中用户广泛使用的错误标记 IP 地址。

  1. TP:如果能够确认活动是从匿名地址或 TOR IP 地址执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. B-TP:如果用户已知在职责范围内使用匿名 IP 地址。 例如,当安全分析师代表组织进行安全或渗透测试时。

    建议的操作:消除警报。

了解违规行为范围

来自不常用国家/地区的活动

可能表示恶意活动的国家/地区的活动。 此策略将分析你的环境,并在从组织中的任何用户未访问或从未访问过的位置检测到活动时触发警报。

默认情况下,策略配置为仅包含成功的登录活动,但可以配置为包含任何登录活动。 该策略可以进一步限定为一部分用户,也可以排除已知前往远程位置的用户。

学习期

检测异常位置需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作

    1. 暂停用户,重置其密码,并确定安全重新启用帐户的正确时间。
    2. 可选:使用Power Automate创建 playbook,以联系检测到从不频繁的位置及其经理进行连接的用户,以验证其活动。

  2. B-TP:如果已知用户位于此位置。 例如,当经常旅行且当前位于指定位置的用户时。

    建议的操作

    1. 关闭警报并修改策略以排除用户。
    2. 为频繁访问者创建用户组,将组导入Defender for Cloud应用,并从此警报中排除用户
    3. 可选:使用Power Automate创建 playbook,以联系检测到从不频繁的位置及其经理进行连接的用户,以验证其活动。

了解违规行为范围

  • 查看可能已泄露的资源,例如潜在的数据下载。

来自可疑 IP 地址的活动

来自已由 Microsoft 威胁情报或组织标识为有风险的 IP 地址的活动。 这些 IP 地址被识别为参与恶意活动,例如执行密码喷射、僵尸网络命令和控制 (C&C) ,并可能指示帐户已泄露。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. B-TP:如果用户知道在职责范围内使用 IP 地址。 例如,当安全分析师代表组织进行安全或渗透测试时。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看活动日志并搜索同一 IP 地址中的活动。
  2. 查看可能已泄露的资源,例如潜在的数据下载或管理修改。
  3. 为安全分析师创建一个组,自愿触发这些警报,并将其从策略中排除。

不可能旅行

与两个位置之间预期行程时间短的时间段内同一用户的活动。 这可以指示凭据泄露,但是,也可以使用 VPN 屏蔽用户的实际位置。

为了提高准确性和警报,仅当有强烈的违规迹象时,Defender for Cloud Apps 会在组织中每个用户建立基线,并且仅在检测到异常行为时发出警报。 不可能的旅行策略可以微调到你的要求。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

此检测使用一种机器学习算法来忽略明显的 B-TP 条件,例如,当旅行双方的 IP 地址被视为安全时,旅行是受信任的,并且被排除在触发不可能旅行检测之外。 例如,如果双方 标记为公司,则被视为安全。 但是,如果旅行中只有一侧的 IP 地址被视为安全,则会按正常方式触发检测。

  1. TP:如果能够确认用户不太可能在不可能的旅行警报中的位置。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (未检测到的用户旅行) :如果能够确认用户最近已前往警报中详述的目标。 例如,如果处于飞行模式的用户手机在前往其他位置时仍连接到公司网络上Exchange Online等服务。 当用户到达新位置时,手机将连接到Exchange Online触发不可能的旅行警报。

    建议的操作:消除警报。

  3. FP (未标记 VPN) :如果能够确认 IP 地址范围来自已批准的 VPN。

    建议的操作:关闭警报,并将 VPN 的 IP 地址范围添加到Defender for Cloud应用,然后使用它标记 VPN 的 IP 地址范围。

了解违规行为范围

  1. 查看活动日志,了解同一位置和 IP 地址中的类似活动。
  2. 如果你看到用户执行了其他有风险的活动,例如从新位置下载大量文件,这表示可能遭到入侵。
  3. 添加公司 VPN 和 IP 地址范围。
  4. 使用Power Automate创建 playbook,并联系用户的经理查看用户是否合法旅行。
  5. 请考虑创建一个已知的旅行者数据库,以便长达一分钟的组织旅行报告,并将其用于交叉引用旅行活动。

误导性 OAuth 应用名称

此检测标识具有类似于拉丁文字母的字符(如外文字母)的应用。 这可以指示试图伪装恶意应用作为已知和受信任的应用,以便攻击者可以欺骗用户下载其恶意应用。

TPB-TP 还是 FP

  1. TP:如果能够确认应用具有误导性名称。

    建议的操作:查看此应用请求的权限级别以及哪些用户授予访问权限。 根据调查,可以选择禁止访问此应用。

若要禁止访问应用,请在 OAuth 应用 页上,在要禁止的应用所在的行上,选择“禁止”图标。 - 可以选择是否希望告知用户他们已安装和授权的应用已被禁止。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 - 建议让用户知道其应用即将被禁止使用。

  1. FP:如果要确认应用具有误导性名称,但在组织中具有合法的业务用途。

    建议的操作:消除警报。

了解违规行为范围

OAuth 应用的误导性发布者名称

此检测标识具有类似于拉丁文字母的字符(如外文字母)的应用。 这可以指示试图伪装恶意应用作为已知和受信任的应用,以便攻击者可以欺骗用户下载其恶意应用。

TPB-TP 还是 FP

  1. TP:如果能够确认应用具有误导性的发布者名称。

    建议的操作:查看此应用请求的权限级别以及哪些用户授予访问权限。 根据调查,可以选择禁止访问此应用。

  2. FP:如果要确认应用具有误导性的发布者名称,但是合法的发布者。

    建议的操作:消除警报。

了解违规行为范围

  1. OAuth 应用 页上,选择要打开 应用抽屉的应用,然后选择 “相关”活动。 这会打开为应用执行的活动筛选的活动 日志 页。 请注意,某些应用执行的活动被注册为用户执行的活动。 这些活动会自动从活动日志中的结果中筛选出来。 有关使用活动日志的进一步调查,请参阅活动日志
  2. 如果怀疑某个应用可疑,建议调查不同应用商店中的应用名称和发布者。 检查应用商店时,请关注以下类型的应用:
    • 下载次数较少的应用。
    • 评分或分数较低或评论较差的应用。
    • 具有可疑发布者或网站的应用。
    • 最近未更新的应用。 这可能表示不再支持某个应用。
    • 具有无关权限的应用。 这可能表示应用存在风险。
  3. 如果仍然怀疑某个应用可疑,则可以在线研究应用名称、发布者和 URL。

执行警报

本部分介绍指示恶意参与者可能尝试在组织中运行恶意代码的警报。

多个存储删除活动

单个会话中的活动,指示用户与学习的基线相比,从 Azure Blob、AWS S3 存储桶或Cosmos DB 等资源执行了异常数量的云存储或数据库删除。 这可以指示你组织的尝试违反。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果要确认删除未授权。

    建议的操作:暂停用户、重置其密码,并扫描所有设备是否存在恶意威胁。 查看所有用户活动,了解其他泄露指标,并探索影响范围。

  2. FP:如果调查后,可以确认管理员有权执行这些删除活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 请与用户联系并确认活动。
  2. 查看活动日志以了解其他泄露指标,并查看谁进行了更改。
  3. 查看用户的活动以更改其他服务。

多个 VM 创建活动

单个会话中的活动,指示用户与所学基线相比执行了异常数量的 VM 创建操作。 在违反的云基础结构上创建多个 VM 可能表示尝试从组织内部运行加密挖掘操作。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

为了提高准确性和警报,仅当存在严重违规迹象时,此检测才会针对组织中的每个环境建立基线,以减少 B-TP 事件,例如管理员合法创建比已建立的基线更多的 VM,并且仅在检测到异常行为时发出警报。

  • TP:如果能够确认创建活动不是由合法用户执行的。

    建议的操作:暂停用户、重置其密码,并扫描所有设备是否存在恶意威胁。 查看所有用户活动,了解其他泄露指标,并探索影响范围。 此外,请与用户联系,确认其合法操作,并确保禁用或删除任何已泄露的 VM。

  • B-TP:如果在调查后,你能够确认管理员有权执行这些创建活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标。
  2. 查看用户创建或修改的资源,并验证它们是否符合组织的策略。

云区域的可疑创建活动 (预览版)

与所学基线相比,指示用户在一个不常见的 AWS 区域中执行异常资源创建操作的活动。 在罕见的云区域中创建资源可能表示尝试从组织内部执行加密挖掘操作等恶意活动。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

为了提高准确性和警报,仅当有强烈的违规迹象时,此检测才会在组织中每个环境建立基线,以减少 B-TP 事件。

  • TP:如果能够确认创建活动不是由合法用户执行的。

    建议的操作:暂停用户、重置其密码,并扫描所有设备是否存在恶意威胁。 查看所有用户活动,了解其他泄露指标,并探索影响范围。 此外,请与用户联系,确认其合法操作,并确保禁用或删除任何已泄露的云资源。

  • B-TP:如果在调查后,你可以确认管理员有权执行这些创建活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标。
  2. 查看创建的资源,并验证它们是否符合组织的策略。

持久性警报

本部分介绍指示恶意参与者可能试图在组织中保持其立足点的警报。

已终止用户执行的活动

被终止用户执行的活动可以指示仍有权访问公司资源的已终止员工正在尝试执行恶意活动。 Defender for Cloud应用会分析组织中的用户,并在被终止的用户执行活动时触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认已终止的用户仍有权访问某些公司资源并正在执行活动。

    建议的操作:禁用用户。

  2. B-TP:如果能够确定用户被暂时禁用或删除并重新注册。

    建议的操作:消除警报。

了解违规行为范围

  1. 交叉引用 HR 记录以确认用户已终止。
  2. 验证 azure AD) 用户帐户是否存在Azure Active Directory (。

    注意

    如果使用 Azure AD 连接,请验证本地 Active Directory对象并确认同步周期是否成功。

  3. 标识被终止用户有权访问和解除帐户授权的所有应用。
  4. 更新停用过程。

CloudTrail 日志记录服务的可疑更改

单个会话中的活动,指示用户对 AWS CloudTrail 日志记录服务进行了可疑更改。 这可以指示你组织的尝试泄露。 禁用 CloudTrail 时,不再记录操作更改。 攻击者可以执行恶意活动,同时避免 CloudTrail 审核事件,例如将 S3 存储桶从专用存储桶修改为公共存储桶。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户、重置其密码,并反向执行 CloudTrail 活动。

  2. FP:如果能够确认用户合法禁用 CloudTrail 服务。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看活动日志以了解其他泄露指标,并查看谁对 CloudTrail 服务进行了更改。
  2. 可选:使用Power Automate创建 playbook 以联系用户及其经理以验证其活动。

用户) (可疑的电子邮件删除活动

单个会话中的活动,指示用户执行了可疑的电子邮件删除。 这可以指示尝试违反组织的行为,例如攻击者尝试通过删除与垃圾邮件活动相关的电子邮件来屏蔽操作。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP:如果能够确认用户是否合法创建了删除邮件的规则。

    建议的操作:消除警报。

了解违规行为范围

  • 查看所有用户活动,了解其他泄露指标,例如 可疑收件箱转发 警报,后跟 “不可能旅行 ”警报。 查找:

    1. 新的 SMTP 转发规则,如下所示:
      • 检查恶意转发规则名称。 规则名称可能因简单名称(如“转发所有电子邮件”和“自动转发”)或欺骗性名称(如几乎没有可见的“.”)而有所不同。 转发规则名称甚至可以为空,转发收件人可以是单个电子邮件帐户或整个列表。 还可以在用户界面中隐藏恶意规则。 检测到后,可以使用此有用的博客帖子了解如何从邮箱中删除隐藏规则。
      • 如果检测到无法识别的转发规则到未知的内部或外部电子邮件地址,则可以假定收件箱帐户已泄露。
    2. 新的收件箱规则,例如“全部删除”、“将邮件移动到另一个文件夹”或具有模糊命名约定(例如“...”)的新收件箱规则。
    3. 已发送电子邮件的增加。

可疑收件箱操作规则

指示攻击者获得了用户收件箱的访问权限并创建了可疑规则的活动。 从用户的收件箱中删除或移动邮件或文件夹等操作规则可能是尝试从组织外泄信息。 同样,他们可以指示尝试操作用户看到的信息或使用收件箱来分发垃圾邮件、网络钓鱼电子邮件或恶意软件。 Defender for Cloud应用会分析你的环境,并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 这可能表示用户帐户遭到入侵。

TPB-TP 还是 FP

  1. TP:如果能够确认已创建恶意收件箱规则,并且帐户已遭入侵。

    建议的操作:暂停用户、重置其密码并删除转发规则。

  2. FP:如果能够确认用户是否合法创建了规则。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标,例如 可疑收件箱转发 警报,后跟 “不可能旅行 ”警报。 查找:
    • 新的 SMTP 转发规则。
    • 新的收件箱规则,例如“全部删除”、“将邮件移动到另一个文件夹”或具有模糊命名约定(例如“...”)的新收件箱规则。
  2. 收集操作的 IP 地址和位置信息。
  3. 查看从用于创建规则以检测其他泄露用户的 IP 地址执行的活动。

特权升级警报

本部分介绍警报,指示恶意参与者可能尝试获取组织中的更高级别的权限。

用户) 的异常管理活动 (

指示攻击者已入侵用户帐户并执行该用户不常见的管理操作的活动。 例如,攻击者可以尝试更改用户的安全设置,这是常见用户相对罕见的操作。 Defender for Cloud应用基于用户的行为创建基线,并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法管理员执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP:如果能够确认管理员是否合法地执行了异常的管理活动量。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标,例如 可疑收件箱转发不可能旅行
  2. 查看其他配置更改,例如创建可用于持久性的用户帐户。

凭据访问警报

本部分介绍警报,指示恶意参与者可能试图从组织窃取帐户名和密码。

多次失败的登录尝试

失败的登录尝试可能会指示尝试违反帐户。 但是,失败的登录也可能是正常行为。 例如,当用户错误输入错误密码时。 为了仅当有强烈指示尝试泄露时实现准确性和警报,Defender for Cloud Apps 将为组织中的每个用户建立登录习惯基线,并且仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

此策略基于了解用户的正常登录行为。 检测到与规范的偏差时,将触发警报。 如果检测开始看到相同的行为继续,则警报只会引发一次。

  1. TP (MFA 失败) :如果能够确认 MFA 正常工作,这可能是尝试暴力攻击的迹象。

    建议的操作

    1. 暂停用户,将用户标记为已泄露,并重置其密码。
    2. 查找执行失败身份验证并重新配置的应用。
    3. 查找在活动发生时登录的其他用户,因为它们也可能遭到入侵。 暂停用户,将用户标记为已泄露,并重置其密码。

  2. B-TP (MFA 失败) :如果能够确认警报是由 MFA 问题引起的。

    建议的操作:使用Power Automate创建 playbook 来联系用户,并检查他们是否遇到 MFA 问题。

  3. B-TP (配置不当的应用) :如果能够确认配置错误的应用尝试多次使用过期凭据连接到服务。

    建议的操作:消除警报。

  4. B-TP (密码已更改) :如果能够确认用户最近更改了其密码,但不会影响跨网络共享的凭据。

    建议的操作:消除警报。

  5. B-TP (安全测试) :如果能够确认安全或渗透测试是由安全分析师代表组织进行的。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标,例如警报后跟以下警报之一: 不可能旅行、来自 匿名 IP 地址的活动来自不经常国家/地区的活动
  2. 查看以下用户设备信息并与已知设备信息进行比较:
    • 操作系统和版本
    • 浏览器和版本
    • IP 地址和位置
  3. 标识发生身份验证尝试的源 IP 地址或位置。
  4. 确定用户最近是否更改了其密码,并确保所有应用和设备都具有更新的密码。

向 OAuth 应用异常添加凭据

此检测可识别向 OAuth 应用添加特权凭据的可疑行为。 该行为可能表明攻击者已入侵应用,并使用应用进行恶意活动。

学习期

Learning组织的环境需要 7 天的时间,在此期间可能需要大量警报。

OAuth 应用的异常 ISP

检测标识从应用不常见 ISP 连接到云应用程序的 OAuth 应用。 这可能表明攻击者尝试使用合法入侵的应用对云应用程序执行恶意活动。

学习期

此检测的学习期为 30 天。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是 OAuth 应用的合法活动,或者合法 OAuth 应用未使用此 ISP。

    建议的操作:撤销 OAuth 应用的所有访问令牌,并调查攻击者是否有权生成 OAuth 访问令牌。

  2. FP:如果可以确认活动是由真正的 OAuth 应用合法进行的。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看 OAuth 应用执行的活动。

  2. 调查攻击者是否有权生成 OAuth 访问令牌。

收集警报

本部分介绍警报,指示恶意参与者可能会尝试从组织收集感兴趣的数据。

多个Power BI报表共享活动

单个会话中的活动,指示用户与学习的基线相比,在Power BI中执行了异常数量的共享报告活动。 这可以指示你组织的尝试泄露。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:从Power BI中删除共享访问权限。 如果能够确认帐户已泄露,请暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP:如果能够确认用户有共享这些报表的业务理由。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看活动日志,更好地了解用户执行的其他活动。 查看他们从中登录的 IP 地址和设备详细信息。
  2. 请联系Power BI团队或信息保护团队,了解在内部和外部共享报表的准则。

可疑 Power BI 报表共享

指示用户共享Power BI报表的活动,该报表可能包含使用 NLP 标识的敏感信息来分析报表的元数据。 该报表与外部电子邮件地址共享,发布到 Web,或将快照传送到外部订阅的电子邮件地址。 这可以指示你组织的尝试泄露。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:从Power BI中删除共享访问权限。 如果能够确认帐户已泄露,请暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP:如果能够确认用户有共享这些报表的业务理由。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看活动日志,更好地了解用户执行的其他活动。 查看他们从中登录的 IP 地址和设备详细信息。
  2. 请联系Power BI团队或信息保护团队,了解在内部和外部共享报表的准则。

用户) 的异常模拟活动 (

在某些软件中,有一些选项允许其他用户模拟其他用户。 例如,电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 攻击者通常使用此活动来创建网络钓鱼电子邮件,以尝试提取有关组织的信息。 Defender for Cloud应用基于用户的行为创建基线,并在检测到异常模拟活动时创建活动。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动未由合法用户执行。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (异常行为) :如果能够确认用户是否合法地执行异常活动,或比已建立的基线更多的活动。

    建议的操作:消除警报。

  3. FP:如果能够确认应用(如Teams)合法模拟用户。

    建议的操作:查看操作,并根据需要关闭警报。

了解违规行为范围

  1. 查看所有用户活动和警报,了解其他泄露指标。
  2. 查看模拟活动以识别潜在的恶意活动。
  3. 查看委派的访问配置。

外泄警报

本部分介绍指示恶意参与者可能试图从组织窃取数据的警报。

可疑收件箱转发

指示攻击者获得了用户收件箱的访问权限并创建了可疑规则的活动。 操作规则(例如将所有或特定电子邮件转发到另一个电子邮件帐户)可能是试图从组织外泄信息。 Defender for Cloud应用配置文件你的环境,并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 这可能表示用户帐户已泄露。

TPB-TP 还是 FP

  1. TP:如果能够确认已创建恶意收件箱转发规则,并且帐户已泄露。

    建议的操作:暂停用户、重置其密码并删除转发规则。

  2. FP:如果能够确认用户出于合法原因创建了转发规则到新的或个人外部电子邮件帐户。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动,了解其他泄露指标,例如警报后跟 “不可能旅行 ”警报。 查找:

    1. 新的 SMTP 转发规则,如下所示:
      • 检查恶意转发规则名称。 规则名称可能因简单名称而异,例如“转发所有电子邮件”和“自动转发”或欺骗性名称,例如几乎可见的“.”。 转发规则名称甚至可以为空,转发收件人可以是单个电子邮件帐户或整个列表。 还可以在用户界面中隐藏恶意规则。 检测到后,可以使用此有用的博客帖子了解如何从邮箱中删除隐藏的规则。
      • 如果检测到无法识别的转发规则到未知的内部或外部电子邮件地址,则可以假定收件箱帐户已泄露。
    2. 新的收件箱规则,例如“删除全部”、“将邮件移动到另一个文件夹”或具有模糊命名约定(例如“...”)的收件箱规则。

  2. 查看从用于创建规则以检测其他已泄露用户的 IP 地址执行的活动。

  3. 使用Exchange Online邮件跟踪查看转发邮件的列表。

用户) 的异常文件下载 (

与所学基线相比,用户从云存储平台执行了异常数量的文件下载活动。 这可以指示尝试获取有关组织的信息。 Defender for Cloud应用会基于用户的行为创建基线,并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (异常行为) :如果可以确认用户合法执行的文件下载活动比建立的基线多。

    建议的操作:消除警报。

  3. FP (软件同步) :如果能够确认软件(如OneDrive)已与导致警报的外部备份同步。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看下载活动并创建下载的文件列表。
  2. 使用资源所有者查看下载的文件的敏感度,并验证访问级别。

用户) 的异常文件访问 (

活动表明,与所学基线相比,用户在SharePoint或OneDrive对包含财务数据或网络数据的文件执行了异常数量的文件访问。 这可以指示尝试获取有关组织的信息,无论是出于财务目的还是凭据访问和横向移动。 Defender for Cloud应用会基于用户的行为创建基线,并在检测到异常行为时触发警报。

学习期

学习期取决于用户的活动。 通常,大多数用户的学习期介于 21 到 45 天之间。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (异常行为) :如果可以确认用户合法执行的文件访问活动比建立的基线多。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看访问活动并创建已访问的文件列表。
  2. 使用资源所有者查看访问文件的敏感度,并验证访问级别。

用户) 的异常文件共享活动 (

与所学基线相比,用户从云存储平台执行异常数量的文件共享操作的活动。 这可以指示尝试获取有关组织的信息。 Defender for Cloud应用会基于用户的行为创建基线,并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动不是由合法用户执行的。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (异常行为) :如果能够确认用户合法地执行了比已建立的基线更多的文件共享活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看共享活动并创建共享文件列表。
  2. 查看与资源所有者共享文件的敏感度,并验证访问级别。
  3. 为类似文档创建文件策略,以检测敏感文件的未来共享。

影响警报

本部分介绍警报,指示恶意执行组件可能试图操作、中断或销毁组织中的系统和数据。

多个删除 VM 活动

单个会话中的活动,指示用户与所学基线相比执行了异常数量的 VM 删除。 多个 VM 删除可能表示尝试中断或销毁环境。 但是,有许多正常方案会删除 VM。

TPB-TP 还是 FP

为了提高准确性和警报,仅当存在严重违规迹象时,此检测才会针对组织中的每个环境建立基线,以减少 B-TP 事件,并且仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

  • TP:如果能够确认删除未授权。

    建议的操作:暂停用户、重置其密码,并扫描所有设备是否存在恶意威胁。 查看所有用户活动,了解其他泄露指标,并探索影响范围。

  • B-TP:如果在调查后,你能够确认管理员有权执行这些删除活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 请与用户联系并确认活动。
  2. 查看所有用户活动,了解其他泄露指标,例如警报后跟以下警报之一: 不可能旅行来自匿名 IP 地址的活动或 来自不经常国家/地区的活动

勒索软件活动

勒索软件是一种网络攻击,攻击者将受害者从其设备中锁定或阻止他们访问其文件,直到受害者支付赎金。 勒索软件可由恶意共享文件或已泄露的网络传播。 Defender for Cloud应用使用安全研究专业知识、威胁情报和学习的行为模式来识别勒索软件活动。 例如,文件上传率高或文件删除率可能表示勒索软件操作中常见的加密过程。

此检测可建立组织中每个用户正常工作模式的基线,例如用户访问云时以及他们在云中通常执行的操作。

Defender for Cloud应用自动威胁检测策略从连接开始在后台运行。 利用我们的安全研究专业知识来识别反映组织中勒索软件活动的行为模式,Defender for Cloud应用提供针对复杂勒索软件攻击的全面覆盖。

学习期

建立新用户的活动模式需要初始学习期为 7 天,在此期间不会为任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动未由用户执行。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP (异常行为) :用户在短时间内合法地执行了多个删除和上传类似文件的活动。

    建议的操作:查看活动日志并确认文件扩展名不可疑后,请关闭警报。

  3. FP (常见勒索软件文件扩展名) :如果能够确认受影响文件的扩展与已知勒索软件扩展匹配。

    建议的操作:联系用户并确认文件是安全的,然后关闭警报。

了解违规行为范围

  1. 查看活动日志,了解文件的其他泄露指标,例如批量下载或批量删除。
  2. 如果使用Microsoft Defender for Endpoint,请查看用户的计算机警报,查看是否已检测到恶意文件。
  3. 在活动日志中搜索恶意文件上传和共享活动。

用户) (异常文件删除活动

与所学基线相比,指示用户执行异常的文件删除活动的活动。 这可以指示勒索软件攻击。 例如,攻击者可以加密用户的文件并删除所有原始文件,只保留可用于强制受害者支付赎金的加密版本。 Defender for Cloud应用基于用户的正常行为创建基线,并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会针对任何新位置触发警报。

TPB-TP 还是 FP

  1. TP:如果能够确认活动未由合法用户执行。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. FP:如果能够确认用户合法地执行的文件删除活动比已建立的基线多。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看删除活动并创建已删除文件的列表。 如果需要,请恢复已删除的文件。
  2. (可选)使用Power Automate创建 playbook 来联系用户及其经理以验证活动。

调查优先级分数增加 (预览版)

根据用户的严重性、用户影响和行为分析,为触发警报的异常活动和活动提供评分。 分析基于租户中的其他用户完成。

当特定用户的调查优先级分数显著增加且异常时,将触发警报。

此警报允许检测潜在违规行为,这些违规行为不一定触发特定警报,但会累积到用户的可疑行为。

学习期

建立新用户的活动模式需要 7 天的初始学习期,在此期间不会触发任何分数增加的警报。

TPB-TP 还是 FP

  1. TP:如果能够确认用户的活动不合法。

    建议的操作:暂停用户,将用户标记为已泄露,并重置其密码。

  2. B-TP:如果能够确认用户确实明显偏离了通常的行为,但没有潜在的违规行为。

  3. FP (异常行为) :如果能够确认用户是否合法地执行异常活动,或比已建立的基线更多的活动。

    建议的操作:消除警报。

了解违规行为范围

  1. 查看所有用户活动和警报,了解其他泄露指标。

另请参阅

调查有风险的用户