適用於雲端的 Defender 應用程式中的異常偵測原則

  • 發行項

適用於雲端的 Microsoft Defender Apps 異常偵測原則提供現成的使用者和實體行為分析 (UEBA) 和機器學習 (ML),讓您從一開始就準備好在雲端環境中執行進階威脅偵測。 由於這些原則會自動啟用,因此新的異常偵測原則會立即開始偵測和定序結果的程式,並針對使用者和連線到您網路的機器和裝置進行許多行為異常。 此外,原則會公開來自 適用於雲端的 Defender Apps 偵測引擎的更多數據,以協助您加速調查程式並包含持續的威脅。

異常偵測原則會自動啟用,但 適用於雲端的 Defender 應用程式的初始學習期間為7天,在此期間不會引發所有異常偵測警示。 之後,從您設定的 API 連接器收集數據時,每個會話都會與活動進行比較,當使用者處於作用中狀態、IP 位址、裝置等時,在過去一個月中偵測到,以及這些活動的風險分數。 請注意,數據可能需要數小時的時間才能從 API 連接器取得。 這些偵測是啟發學習異常偵測引擎的一部分,可分析您的環境,並針對組織活動上學到的基準觸發警示。 這些偵測也會使用專為分析使用者和登入模式而設計的機器學習演算法,以減少誤判。

異常偵測是透過掃描使用者活動而完成。 風險評估是透過查看分為風險因素的 30 多項不同風險指標而完成,如下所示:

  • 具風險的 IP 位址
  • 登入失敗
  • 系統管理活動
  • 非使用中帳戶
  • Location
  • 不可能的移動
  • 裝置與使用者代理程式
  • 活動率

根據原則結果觸發安全性警示。 適用於雲端的 Defender Apps 會查看雲端上的每個用戶會話,並在發生與組織基準或使用者一般活動不同的情況時發出警示。

除了原生 適用於雲端的 Defender Apps 警示之外,您也會根據從 Microsoft Entra ID Protection 收到的資訊,取得下列偵測警示:

這些原則會出現在 [適用於雲端的 Defender 應用程式原則] 頁面上,並可啟用或停用。

異常偵測原則

您可以移至 Cloud Apps -Policies ->>Policy management,在 Microsoft Defender 入口網站中看到異常偵測原則。 然後選擇原則類型的異常偵測原則。

新的異常偵測原則。

可用的異常偵測原則如下:

不可能的移動

    • 此偵測會識別兩個用戶活動(在單一或多個會話中),其源自異地距離位置的時間比使用者從第一個位置移至第二個位置的時間短,表示不同的使用者使用相同的認證。 此偵測會使用機器學習演算法,忽略明顯的「誤判」,導致不可能的行進狀況,例如組織中的其他使用者定期使用的 VPN 和位置。 偵測的初始學習期間為7天,其會學習新用戶的活動模式。 不可能的距離偵測會識別兩個位置之間不尋常且不可能的使用者活動。 活動要足夠異常,才能視為受危害的指標以及值得發出警示。 為了使這項工作,偵測邏輯包含不同層級的隱藏,以解決可能觸發誤判的案例,例如 VPN 活動,或來自未指出實體位置之雲端提供者的活動。 敏感度滑桿可讓您影響演算法,並定義偵測邏輯有多嚴格。 敏感度層級越高,偵測邏輯就會隱藏較少的活動。 如此一來,您可以根據您的涵蓋範圍需求以及 SNR 目標來調整偵測。

      注意

      • 當旅行雙方的IP位址視為安全且敏感度滑桿未設定為 [高]時,會信任移動並排除在觸發不可能的移動偵測之外。 例如,如果 雙方標記為公司,則視為安全。 不過,如果移動中只有一端的IP位址被視為安全,就會正常觸發偵測。
      • 位置會以國家/地區層級計算。 這表示不會針對源自相同國家/地區或與國家/地區接壤的兩個動作產生警示。

非經常性國家/地區的活動

  • 這項偵測會考量過去的活動位置來判斷新的和非經常性的位置。 異常偵測引擎會儲存使用者先前使用位置的相關信息。 當活動從使用者最近或從未造訪的位置發生時,就會觸發警示。 為了減少誤判警示,偵測會隱藏使用者常見喜好設定所特徵的連接。

惡意程式碼偵測

這項偵測會識別您雲端儲存體中的惡意檔案,不論這些檔案的來源是您的 Microsoft 應用程式或協力廠商應用程式。 適用於雲端的 Microsoft Defender Apps 會使用 Microsoft 的威脅情報來辨識某些符合啟發學習法的檔案,例如檔類型和共用層級是否與已知的惡意代碼攻擊相關聯,而且可能是惡意的。 根據預設停用這項內建原則。 偵測到惡意檔案之後,您就可以看到受感染的 檔案清單。 選取檔案選單中的惡意代碼檔名,以開啟惡意代碼報告,讓您了解檔案感染的惡意代碼類型。

使用此偵測,使用會話原則即時控制檔案上傳和下載。

檔案沙盒

藉由啟用檔案沙盒,根據其元數據和根據專屬啟發學習法可能會有風險的檔案,也會在安全的環境中進行沙箱掃描。 沙箱掃描可能會偵測未根據威脅情報來源偵測到的檔案。

適用於雲端的 Defender Apps 支援下列應用程式的惡意代碼偵測:

  • Box
  • Dropbox
  • Google 工作區
  • Microsoft 365 (需要適用於 Microsoft 365 P1 的 Microsoft Defender 的有效授權)

注意

  • 應用程式會自動封鎖 Microsoft 365 應用程式中 偵測到的惡意代碼。 使用者無法連線到封鎖的檔案,而且只有應用程式的系統管理員才能存取。

  • BoxDropboxGoogle Workspace 中,適用於雲端的 Defender Apps 不會自動封鎖檔案,但可能會根據應用程式的功能和客戶所設定的應用程式組態來執行封鎖。

  • 如果您不確定偵測到的檔案是否確實是惡意代碼或誤判,請移至 的 https://www.microsoft.com/wdsi/filesubmission [Microsoft 安全情報] 頁面,並提交檔案以進行進一步分析。

匿名 IP 位址的活動

  • 這項偵測會識別使用者透過已識別為匿名 Proxy IP 位址的 IP 位址來活動。 這些 Proxy 可供想要隱藏其裝置 IP 位址的人員使用,並可用於惡意意圖。 此偵測會使用可減少「誤判」的機器學習演算法,例如組織中用戶廣泛使用的錯誤標記IP位址。

勒索軟體活動

  • 適用於雲端的 Defender Apps 利用異常偵測擴充其勒索軟體偵測功能,以確保更全面地涵蓋複雜的勒索軟體攻擊。 使用我們的安全性研究專長來識別反映勒索軟體活動的行為模式,適用於雲端的 Defender 應用程式可確保整體且健全的保護。 例如,如果 適用於雲端的 Defender Apps 識別出高比率的檔案上傳或檔案刪除活動,則它可能代表不良的加密程式。 這項資料會收集在從已連線應用程式 API 收到的記錄檔中,然後再和學習到的行為模式與威脅情報 (例如,已知的勒索軟體副檔名) 結合使用。 如需 適用於雲端的 Defender 應用程式如何偵測勒索軟體的詳細資訊,請參閱保護貴組織免受勒索軟體攻擊

離職使用者執行的活動

  • 這個偵測讓您能夠識別離職員工是否繼續在 SaaS 應用程式上執行動作。 因為資料顯示內部威脅的最大風險來自不歡而散的離職員工,請務必留意離職員工帳戶的活動。 有時候,當員工離開公司時,系統管理員會從公司應用程式解除佈建其帳戶,但在許多情況下,仍會留有特定公司資源的存取權。 考慮到具特殊權限帳戶時,這更為重要,因為先前的系統管理員可造成的損害原本就更大。 此偵測會利用 適用於雲端的 Defender Apps 來監視應用程式之間的使用者行為、允許識別使用者的一般活動、刪除帳戶的事實,以及其他應用程式上的實際活動。 例如,已刪除 Microsoft Entra 帳戶但仍可存取公司 AWS 基礎結構的員工,可能會造成大規模的損害。

偵測會尋找在 Microsoft Entra ID 中刪除帳戶的使用者,但仍會在 AWS 或 Salesforce 等其他平臺上執行活動。 這特別與使用另一個帳戶的使用者(不是其主要單一登錄帳戶)來管理資源相關,因為這些帳戶通常不會在使用者離開公司時刪除。

可疑 IP 位址的活動

  • 這項偵測會識別透過 Microsoft 威脅情報識別為具風險的 IP 位址來活動的使用者。 這些IP位址涉及惡意活動,例如執行密碼噴灑、Botnet C&C,而且可能表示帳戶遭到入侵。 此偵測會使用可減少「誤判」的機器學習演算法,例如組織中用戶廣泛使用的錯誤標記IP位址。

可疑的收件匣轉寄

  • 此偵測可尋找可疑電子郵件轉寄規則,例如使用者建立會將所有電子郵件複本轉寄到外部地址的收件匣規則。

注意

適用於雲端的 Defender 應用程式只會根據使用者的一般行為,針對識別為可疑的每個轉送規則發出警示。

可疑的收件匣操作規則

  • 此偵測可描述您的環境,並在使用者收件匣上設定會刪除或移動訊息或資料夾的可疑規則時觸發警示。 這可能表示用戶帳戶遭到入侵、郵件被刻意隱藏,以及信箱正用來在組織中散佈垃圾郵件或惡意代碼。

可疑的電子郵件刪除活動 (預覽)

  • 此原則會分析您的環境,並在使用者於單一會話中執行可疑的電子郵件刪除活動時觸發警示。 此原則可能表示使用者信箱可能會因為電子郵件上的命令和控制通訊(C&C/C2)等潛在攻擊媒介而遭到入侵。

注意

適用於雲端的 Defender Apps 與 Microsoft Defender 全面偵測回應 整合,為 Exchange Online 提供保護,包括 URL 引爆、惡意代碼防護等。 啟用適用於 Microsoft 365 的 Defender 之後,您就會開始在 適用於雲端的 Defender Apps 活動記錄中看到警示。

可疑的 OAuth 應用程式檔下載活動

  • 掃描連線到您環境的 OAuth 應用程式,並在應用程式以使用者不尋常的方式從 Microsoft SharePoint 或 Microsoft OneDrive 下載多個檔案時觸發警示。 這可能表示用戶帳戶遭到入侵。

OAuth 應用程式的異常 ISP

  • 此原則會分析您的環境,並在 OAuth 應用程式從不尋常的 ISP 連線到您的雲端應用程式時觸發警示。 此原則可能表示攻擊者嘗試使用合法的遭入侵應用程式,在您的雲端應用程式上執行惡意活動。

異常活動 (由使用者執行)

這些偵測會識別執行下列動作的使用者:

  • 異常多個檔案下載活動
  • 異常檔案共用活動
  • 異常檔案刪除活動
  • 異常模擬活動
  • 異常系統管理活動
  • 不尋常的 Power BI 報表共用活動 (預覽)
  • 不尋常的多個 VM 建立活動 (預覽)
  • 不尋常的多個記憶體刪除活動 (預覽)
  • 雲端資源的異常區域 (預覽)
  • 不尋常的檔案存取

這些原則會依據學習到的基準,尋找單一工作階段中可能有入侵的活動。 這些偵測會利用機器學習演算法來分析使用者登入模式,並減少誤判。 這些偵測是啟發學習異常偵測引擎的一部分,可分析您的環境,並針對組織活動上學到的基準觸發警示。

多次失敗的登入嘗試

  • 此偵測依據學習到的基準,識別在單一工作階段中多次嘗試登入失敗的使用者,這可能表示缺口嘗試。

待批准應用程式的資料洩漏

  • 此原則會自動啟用,在有使用者或 IP 位址使用未獲批准能執行類似企圖從您組織取得資訊的活動時,發出警示。

多次 VM 刪除活動

  • 此原則會分析您的環境,並在使用者從單一工作階段刪除多個 VM 時,依據您組織中的基準觸發警示。 這可能表示有人嘗試入侵。

啟用自動化的管理

您可以在異常偵測原則所產生的警示上,啟用自動化的補救動作。

  1. 在 [原則] 頁面中選取偵測原則的名稱。
  2. 在開啟的 [編輯異常偵測原則] 視窗中,在 [治理動作] 底下,設定您要針對每個連線應用程式或所有應用程式的補救動作。
  3. 選取更新

調整異常偵測原則

根據您的喜好設定調整異常偵測引擎來隱藏或顯示警示:

  • 在不可能的移動原則中,您可以設定靈敏度滑桿來決定警示觸發前所需的異常行為層級。 例如,如果您將其設定為低或中,則會隱藏使用者通用位置的不可能移動警示,而如果您將其設定為高,則會顯示這類警示。 您可以從下列敏感度層級中選擇:

    • :系統、租用戶和用戶隱藏

    • :系統和用戶隱藏

    • :僅系統隱藏

      其中:

      隱藏類型 描述
      系統 一律隱藏的內建偵測。
      租用戶 根據租使用者中先前的活動,常見的活動。 例如,隱藏先前在組織中發出警示之 ISP 的活動。
      使用者 以特定使用者先前活動為基礎的常見活動。 例如,隱藏使用者常用之位置的活動。

注意

不可能的移動、來自不常國家/地區的活動、匿名IP位址的活動,以及可疑IP位址警示的活動不適用於失敗的登入和非互動式登入。

設定異常偵測原則範圍

每個異常偵測原則都可獨立設定範圍,如此就可以只套用到您要在原則中包含與排除的使用者和群組。 例如,您可以設定來自非經常性國家/地區活動的偵測,以忽略經常出差的特定使用者。

設定異常偵測原則的範圍︰

  1. 在 Microsoft Defender 入口網站中,移至 [雲端應用程式 -> 原則 -> 原則管理]。 然後選擇原則類型的異常偵測原則。

  2. 選取您想要設定範圍的原則。

  3. 在 [範圍] 底下,將下拉式清單中的預設設定 [所有使用者與群組] 變更為 [特定使用者與群組]

  4. 選取 [包含 ] 以指定套用此原則的使用者和群組。 在此處未選取的任何使用者或群組,將不會被視為威脅,且不會產生警示。

  5. 選取 [ 排除] 以指定此原則不適用的使用者。 在此處選取的使用者將不會被視為威脅,且不會產生警示,即使他們是 [包含] 底下所選群組的成員也一樣。

    異常偵測範圍。

異常偵測警示分級

您可以快速分級由新異常偵測原則所觸發的各種警示,並決定哪些需要盡快處理。 若要這樣做,您需要警示的內容,因此您可以看到更大的畫面,並了解惡意是否確實發生。

  1. 活動記錄中,您可以開啟活動以顯示 [活動] 隱藏式選單。 選取 [ 使用者 ] 以檢視 [使用者深入解析] 索引標籤。此索引標籤包含警示數目、活動及其連線位置等資訊,這在調查中很重要。

    異常偵測警示。

  2. 若檔案受惡意程式碼感染,您可以在偵測到檔案後,查看 [受感染檔案] 的清單。 選取檔案選單中的惡意代碼檔名,以開啟惡意代碼報告,為您提供該檔案所感染之惡意代碼類型的相關信息。

威脅防護網路研討會

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證