Sdílet prostřednictvím

Kurz: Detekce podezřelých aktivit uživatelů pomocí analýzy chování (UEBA)

  • Článek

Microsoft Defender for Cloud Apps poskytuje nejlepší detekci v celém řetězci útoků pro ohrožené uživatele, vnitřní hrozby, exfiltraci, ransomware a další. Naše komplexní řešení se dosahuje kombinací několika metod detekce, včetně anomálií, analýzy chování (UEBA) a detekce aktivit založených na pravidlech, které poskytuje široký přehled o tom, jak vaši uživatelé používají aplikace ve vašem prostředí.

Proč je tedy důležité zjišťovat podezřelé chování? Dopad uživatele, který může změnit vaše cloudové prostředí, může být významný a může mít přímý vliv na vaši schopnost řídit vaši firmu. Může dojít například k ohrožení zabezpečení klíčových podnikových prostředků, jako jsou servery s vaším veřejným webem nebo službou, kterou poskytujete zákazníkům.

Pomocí dat zachycených z několika zdrojů Defender for Cloud Apps tato data analyzuje a extrahuje aktivity aplikací a uživatelů ve vaší organizaci a poskytuje tak analytikům zabezpečení přehled o používání cloudu. Shromážděná data jsou korelována, standardizována a obohacena o analýzu hrozeb, polohu a mnoho dalších podrobností, které poskytují přesný a konzistentní přehled o podezřelých aktivitách.

Abyste tedy mohli plně využít výhody těchto detekcí, nejprve se ujistěte, že jste nakonfigurovali následující zdroje:

Dále chcete vyladit zásady. Následující zásady je možné doladit nastavením filtrů, dynamických prahových hodnot (UEBA), které vám pomůžou vytrénovat modely detekce, a potlačení, aby se omezily běžné falešně pozitivní detekce:

  • Detekce anomálií
  • Detekce anomálií Cloud Discovery
  • Detekce aktivit na základě pravidel

V tomto kurzu se naučíte vyladit detekce aktivit uživatelů, abyste identifikovali skutečné ohrožení zabezpečení a snížili únavu výstrah vyplývající ze zpracování velkého objemu falešně pozitivních detekcí:

Fáze 1: Konfigurace rozsahů IP adres

Před konfigurací jednotlivých zásad doporučujeme nakonfigurovat rozsahy IP adres tak, aby byly k dispozici pro vyladění jakéhokoli typu zásad detekce podezřelých aktivit uživatelů.

Vzhledem k tomu, že informace o IP adresách jsou zásadní pro téměř všechna šetření, konfigurace známých IP adres pomáhá algoritmům strojového učení identifikovat známá místa a považovat je za součást modelů strojového učení. Například přidání rozsahu IP adres vaší sítě VPN pomůže modelu správně klasifikovat tento rozsah IP adres a automaticky ho vyloučit z detekce nemožné cesty, protože umístění SÍTĚ VPN nepředstavuje skutečné umístění daného uživatele.

Poznámka

Nakonfigurované rozsahy IP adres se neomezují na detekce a používají se v Defender for Cloud Apps v oblastech, jako jsou aktivity v protokolu aktivit, podmíněný přístup atd. Při konfiguraci rozsahů na to mějte na paměti. Identifikace fyzických IP adres kanceláře vám například umožňuje přizpůsobit způsob zobrazení a prověřování protokolů a upozornění.

Kontrola předefinovaných výstrah detekce anomálií

Defender for Cloud Apps zahrnuje sadu výstrah detekce anomálií, které identifikují různé scénáře zabezpečení. Tato detekce se automaticky povolí okamžitě a začnou profilovat aktivitu uživatelů a generovat upozornění, jakmile se připojí příslušné konektory aplikací .

Začněte tím, že se seznámíte s různými zásadami zjišťování, upřednostněte hlavní scénáře, které jsou podle vás pro vaši organizaci nejrelevantní, a podle toho zásady vylaďte.

Fáze 2: Ladění zásad detekce anomálií

V Defender for Cloud Apps je k dispozici několik předdefinovaných zásad detekce anomálií, které jsou předem nakonfigurované pro běžné případy použití zabezpečení. Měli byste se trochu seznámit s oblíbenějšími detekcemi, jako jsou:

  • Nemožné cestování
    Aktivity od stejného uživatele v různých umístěních během období, které je kratší než očekávaná doba trvání cesty mezi těmito dvěma umístěními.
  • Aktivita z občasné země
    Aktivita z místa, které uživatel nedávno nenavštívil nebo ho nikdy nenavštívil.
  • Detekce malwaru
    Kontroluje soubory v cloudových aplikacích a spouští podezřelé soubory prostřednictvím modulu analýzy hrozeb Microsoftu, aby zjistil, jestli jsou přidružené ke známému malwaru.
  • Aktivita ransomware
    Soubory se nahrají do cloudu, které můžou být napadené ransomwarem.
  • Aktivita z podezřelých IP adres
    Aktivita z IP adresy, kterou Microsoft Threat Intelligence označil za rizikovou.
  • Podezřelé přeposílání doručené pošty
    Zjistí podezřelá pravidla přeposílání doručené pošty nastavená v doručené poště uživatele.
  • Neobvyklé aktivity při stahování více souborů
    Zjistí více aktivit stahování souborů v jedné relaci s ohledem na naznačené směrné hodnoty, což může znamenat pokus o porušení zabezpečení.
  • Neobvyklé aktivity správy
    Detekuje více aktivit správy v jedné relaci s ohledem na naznačený směrný plán, což může znamenat pokus o porušení zabezpečení.

Úplný seznam detekcí a jejich funkcí najdete v tématu Zásady detekce anomálií.

Poznámka

Zatímco některé detekce anomálií se primárně zaměřují na detekci problematických scénářů zabezpečení, jiné vám můžou pomoct s identifikací a zkoumáním neobvyklého chování uživatelů, které nemusí nutně značit ohrožení zabezpečení. Pro takové detekce jsme vytvořili další datový typ s názvem "chování", který je k dispozici v prostředí Microsoft Defender XDR rozšířeného proaktivního vyhledávání. Další informace najdete v tématu Chování.

Jakmile se seznámíte se zásadami, měli byste zvážit, jak je chcete vyladit pro konkrétní požadavky vaší organizace, abyste mohli lépe cílit na aktivity, které byste mohli chtít podrobněji prozkoumat.

  1. Nastavení rozsahu zásad pro konkrétní uživatele nebo skupiny

    Omezení zásad pro konkrétní uživatele může pomoct snížit šum z výstrah, které nejsou pro vaši organizaci relevantní. Každou zásadu je možné nakonfigurovat tak, aby zahrnovala nebo vyloučila konkrétní uživatele a skupiny, například v následujících příkladech:

    • Simulace útoku
      Mnoho organizací používá uživatele nebo skupinu k neustálé simulaci útoků. Je zřejmé, že nemá smysl neustále dostávat upozornění z aktivit těchto uživatelů. Proto můžete zásady nakonfigurovat tak, aby tyto uživatele nebo skupiny vyloučily. To také pomáhá modelům strojového učení identifikovat tyto uživatele a odpovídajícím způsobem vyladit jejich dynamické prahové hodnoty.
    • Cílená detekce
      Vaše organizace může mít zájem o prozkoumání konkrétní skupiny uživatelů VIRTUÁLNÍCH IP adres, jako jsou například členové skupiny správce nebo CXO. V tomto scénáři můžete vytvořit zásadu pro aktivity, které chcete zjistit, a zvolit, aby zahrnovala jenom sadu uživatelů nebo skupin, které vás zajímají.

  2. Ladění neobvyklých detekcí přihlašování

    Některé organizace chtějí zobrazovat upozornění vyplývající z neúspěšných aktivit přihlášení , protože můžou naznačovat, že se někdo pokouší cílit na jeden nebo více uživatelských účtů. Na druhou stranu k útokům hrubou silou na uživatelské účty dochází v cloudu neustále a organizace jim nemají jak zabránit. Proto se větší organizace obvykle rozhodnou přijímat jenom upozornění na podezřelé aktivity přihlašování, které vedou k úspěšným aktivitám přihlašování, protože můžou představovat skutečné ohrožení zabezpečení.

    Krádež identity je klíčovým zdrojem ohrožení a představuje hlavní vektor hrozby pro vaši organizaci. Naše upozornění na nemožnost cestovat, aktivity z podezřelých IP adres a občasné detekce země/oblasti vám pomůžou odhalit aktivity, které naznačují, že účet může být ohrožen.

  3. Ladění citlivosti nemožnécesty: Před aktivací upozornění na nemožné cestování nakonfigurujte posuvník citlivosti, který určuje úroveň potlačení použitých u neobvyklého chování. Organizace, které mají zájem například o vysokou věrnost, by měly zvážit zvýšení úrovně citlivosti. Na druhou stranu, pokud má vaše organizace hodně uživatelů, kteří cestují, zvažte snížení úrovně citlivosti, aby se potlačily aktivity ze společných míst uživatele, které se naučily z předchozích aktivit. Můžete si vybrat z následujících úrovní citlivosti:

    • Nízká: Potlačení systému, tenanta a uživatele
    • Střední: Potlačení systému a uživatelů
    • Vysoká: Pouze systémová potlačení

    Kde:

    Typ potlačení Popis
    Systém Integrované detekce, které jsou vždy potlačeny.
    Tenant Běžné aktivity založené na předchozí aktivitě v tenantovi Například potlačování aktivit od isp dříve upozorňujících ve vaší organizaci.
    Uživatel Běžné aktivity založené na předchozí aktivitě konkrétního uživatele Například potlačování aktivit z umístění, které uživatel běžně používá.

Fáze 3: Ladění zásad detekce anomálií cloud discovery

Stejně jako zásady detekce anomálií existuje několik předdefinovaných zásad detekce anomálií cloud discovery, které můžete vyladit . Například zásada exfiltrace dat pro neschválené aplikace vás upozorní, když jsou data exfiltrována do neschválené aplikace a jsou předem nakonfigurovaná s nastavením na základě zkušeností Microsoftu v oblasti zabezpečení.

Můžete ale vyladit předdefinované zásady nebo vytvořit vlastní zásady, které vám pomůžou identifikovat další scénáře, které by vás mohly zajímat. Vzhledem k tomu, že jsou tyto zásady založené na protokolech cloud discovery, mají různé možnosti ladění , které se více zaměřují na neobvyklé chování aplikací a exfiltraci dat.

  1. Ladění monitorování využití
    Nastavte filtry využití tak, aby řídily směrný plán, rozsah a období aktivity pro detekci neobvyklého chování. Můžete například chtít dostávat upozornění na neobvyklé aktivity týkající se zaměstnanců na úrovni vedení.

  2. Ladění citlivosti upozornění
    Pokud chcete zabránit únavě výstrah, nakonfigurujte citlivost výstrah. Pomocí posuvníku citlivosti můžete řídit počet vysoce rizikových výstrah odeslaných na 1 000 uživatelů za týden. Vyšší citlivosti vyžadují menší odchylky, aby se považovaly za anomálii a generovaly více výstrah. Obecně platí, že pro uživatele, kteří nemají přístup k důvěrným datům, nastavte nízkou citlivost.

Fáze 4: Ladění zásad detekce (aktivit) na základě pravidel

Zásady detekce založené na pravidlech umožňují doplnit zásady detekce anomálií o požadavky specifické pro organizaci. Doporučujeme vytvořit zásady založené na pravidlech pomocí jedné z našich šablon zásad aktivit (přejděte do částiŠablonyovládacích prvků> a nastavte filtr Typ na zásadu aktivita) a pak je nakonfigurovat tak, aby detekovaly chování, které není pro vaše prostředí normální. Například pro některé organizace, které nemají žádnou přítomnost v konkrétní zemi nebo oblasti, může být vhodné vytvořit zásadu, která zjistí neobvyklé aktivity z dané země nebo oblasti a upozorní je. Pro ostatní, kteří mají v dané zemi nebo oblasti velké pobočky, by byly aktivity z této země nebo oblasti normální a nemělo by smysl takové aktivity zjišťovat.

  1. Ladění hlasitosti aktivity
    Zvolte požadovaný objem aktivity před tím, než detekce vyvolá výstrahu. V našem příkladu země/oblasti platí, že pokud nemáte žádnou přítomnost v zemi nebo oblasti, je důležitá i jedna aktivita, která vyžaduje upozornění. Selhání jednotného přihlašování ale může být lidskou chybou a může to být zajímavé jenom v případě, že během krátké doby dojde k mnoha selháním.
  2. Ladění filtrů aktivit
    Nastavte filtry, které potřebujete ke zjištění typu aktivity, na kterou chcete upozorňovat. Pokud například chcete zjistit aktivitu ze země nebo oblasti, použijte parametr Location .
  3. Ladění upozornění
    Pokud chcete zabránit únavě výstrah, nastavte denní limit výstrah.

Fáze 5: Konfigurace upozornění

Poznámka

Od 15. prosince 2022 jsou upozornění/SMS (textové zprávy) zastaralé. Pokud chcete dostávat textová upozornění, měli byste k automatizaci vlastních upozornění použít Microsoft Power Automate. Další informace najdete v tématu Integrace s Microsoft Power Automate pro vlastní automatizaci upozornění.

Můžete si vybrat, jestli chcete dostávat upozornění ve formátu a médiu, které nejvíce vyhovuje vašim potřebám. Pokud chcete dostávat okamžitá upozornění kdykoli během dne, můžete je raději dostávat e-mailem.

Můžete také chtít možnost analyzovat výstrahy v kontextu jiných výstrah aktivovaných jinými produkty ve vaší organizaci, abyste získali ucelený přehled o potenciální hrozbě. Můžete například chtít korelovat mezi cloudovými a místními událostmi, abyste zjistili, jestli existují nějaké další důkazy, které by mohly potvrdit útok.

Kromě toho můžete také aktivovat vlastní automatizaci upozornění pomocí naší integrace s Microsoft Power Automate. Můžete například nastavit playbook, který automaticky vytvoří problém v ServiceNow , nebo odeslat schvalovací e-mail, aby se při aktivaci upozornění spustila vlastní akce zásad správného řízení.

Při konfiguraci upozornění postupujte podle následujících pokynů:

  1. E-mail
    Tuto možnost zvolte, pokud chcete dostávat upozornění e-mailem.
  2. SIEM
    Existuje několik možností integrace SIEM, včetně Microsoft Sentinel, Microsoft Graphu Rozhraní API pro zabezpečení a dalších obecných SIEM. Zvolte integraci, která nejlépe vyhovuje vašim požadavkům.
  3. Automatizace Power Automate
    Vytvořte požadované playbooky pro automatizaci a nastavte je jako upozornění zásad na akci Power Automate.

Fáze 6: Šetření a náprava

Skvělé, nastavili jste zásady a začali dostávat upozornění na podezřelé aktivity. Co byste s nimi měli dělat? Nejprve byste měli podniknout kroky k prozkoumání aktivity. Můžete se například chtít podívat na aktivity, které indikují, že došlo k ohrožení zabezpečení uživatele.

Pokud chcete optimalizovat ochranu, měli byste zvážit nastavení automatických nápravných akcí, které minimalizují riziko pro vaši organizaci. Naše zásady umožňují používat akce zásad správného řízení ve spojení s upozorněními, aby se riziko pro vaši organizaci snížilo ještě před tím, než začnete prošetřovat. Dostupné akce se určují podle typu zásady, včetně akcí, jako je pozastavení uživatele nebo blokování přístupu k požadovanému prostředku.

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.

Další informace