Vytvoření zásad detekce anomálií Defender for Cloud Apps

Zásady Microsoft Defender for Cloud Apps detekce anomálií poskytují předdefinované analýzy chování uživatelů a entit (UEBA) a strojové učení (ML), takže jste od samého počátku připraveni spustit pokročilou detekci hrozeb ve vašem cloudovém prostředí. Protože jsou automaticky povolené, nové zásady detekce anomálií okamžitě spustí proces detekce a kolace výsledků, který cílí na řadu behaviorálních anomálií u vašich uživatelů a počítačů a zařízení připojených k vaší síti. Zásady navíc zpřístupňují další data z modulu pro detekci Defender for Cloud Apps, což vám pomůže urychlit proces vyšetřování a zabránit probíhajícím hrozbám.

Zásady detekce anomálií se povolí automaticky, ale Defender for Cloud Apps má počáteční dobu učení sedm dní, během které se nevyvolávají všechna upozornění detekce anomálií. Potom se při shromažďování dat z nakonfigurovaných konektorů rozhraní API jednotlivé relace porovnávají s aktivitou, kdy byli uživatelé aktivní, IP adresami, zařízeními atd. zjištěnými za poslední měsíc a rizikovým skóre těchto aktivit. Mějte na paměti, že dostupnost dat z konektorů rozhraní API může trvat několik hodin. Tyto detekce jsou součástí heuristického modulu pro detekci anomálií, který profiluje vaše prostředí a spouští výstrahy s ohledem na základní hodnoty, které se dozvěděly o aktivitách vaší organizace. Tyto detekce také používají algoritmy strojového učení navržené k profilování uživatelů a způsobu přihlašování, aby se snížil počet falešně pozitivních výsledků.

Anomálie se detekují kontrolou aktivity uživatele. Riziko se vyhodnocuje na základě více než 30 různých rizikových ukazatelů seskupených do rizikových faktorů takto:

• Riziková IP adresa
• Selhání přihlášení
• Správa aktivita
• Neaktivní účty
• Umístění
• Nemožné cestování
• Agent zařízení a uživatele
• Míra aktivity

Na základě výsledků zásad se aktivují výstrahy zabezpečení. Defender for Cloud Apps se podívá na každou uživatelskou relaci ve vašem cloudu a upozorní vás, když se stane něco, co se liší od standardních hodnot vaší organizace nebo od běžné aktivity uživatele.

Kromě nativních výstrah Defender for Cloud Apps získáte na základě informací získaných z Microsoft Entra ID Protection také následující výstrahy detekce:

• Uniklé přihlašovací údaje: Aktivují se, když došlo k úniku platných přihlašovacích údajů uživatele. Další informace najdete v tématu detekce uniklých přihlašovacích údajů Microsoft Entra ID.
• Rizikové přihlašování: Kombinuje řadu Microsoft Entra ID Protection detekcí přihlášení do jediné detekce. Další informace najdete v tématu Detekce rizik přihlášení Microsoft Entra ID.

Tyto zásady se zobrazí na stránce zásad Defender for Cloud Apps a je možné je povolit nebo zakázat.

Zásady detekce anomálií

Zásady detekce anomálií můžete zobrazit na portálu Microsoft Defender tak, že přejdete na Cloud Apps –>Zásady –>Správa zásad. Pak jako typ zásady zvolte Zásady detekce anomálií .

K dispozici jsou následující zásady detekce anomálií:

Nemožné cestování

• • Tato detekce identifikuje dvě aktivity uživatelů (v jedné nebo více relacích), které pocházejí z geograficky vzdálených umístění v rámci časového období kratšího než doba, po kterou by uživatel přecestoval z prvního umístění do druhého, což značí, že jiný uživatel používá stejné přihlašovací údaje. Při zjišťování se používá algoritmus strojového učení, který ignoruje zřejmé falešně pozitivní výsledky, které přispívají k nesplnitelnému stavu cesty, jako jsou sítě VPN a umístění, které pravidelně používají jiní uživatelé v organizaci. Detekce má počáteční výukové období sedmi dnů, během kterého se učí vzor aktivity nového uživatele. Detekce nemožné cesty identifikuje neobvyklou a nemožnou aktivitu uživatelů mezi dvěma umístěními. Aktivita by měla být dostatečně neobvyklá, aby byla považována za indikátor ohrožení a hodná výstrahy. Aby to fungovalo, zahrnuje logika detekce různé úrovně potlačení, které řeší scénáře, které můžou aktivovat falešně pozitivní výsledky, jako jsou aktivity SÍTĚ VPN nebo aktivity od poskytovatelů cloudu, které neindikují fyzické umístění. Posuvník citlivosti umožňuje ovlivnit algoritmus a definovat, jak přísná je logika detekce. Čím vyšší je úroveň citlivosti, bude v rámci logiky detekce potlačeno méně aktivit. Tímto způsobem můžete detekci přizpůsobit vašim potřebám pokrytí a cílům SNR.

    Poznámka

    • Pokud jsou IP adresy na obou stranách cesty považovány za bezpečné a posuvník citlivosti není nastavený na hodnotu Vysoká, je cestování důvěryhodné a vyloučené z aktivace detekce nemožné cesty. Obě strany jsou například považovány za bezpečné, pokud jsou označené jako firemní. Pokud je však IP adresa pouze jedné strany cesty považována za bezpečnou, aktivuje se detekce jako obvykle.
    • Umístění se počítají na úrovni země/oblasti. To znamená, že se nebudou zobrazovat žádné výstrahy pro dvě akce pocházející ze stejné země/oblasti nebo ze sousedních zemí/oblastí.

Aktivita z občasné země

• Tato detekce bere v úvahu umístění minulých aktivit, aby bylo možné určit nová a nepříliš častá umístění. Modul pro detekci anomálií ukládá informace o předchozích umístěních používaných uživatelem. Upozornění se aktivuje, když dojde k aktivitě z umístění, které uživatel nedávno nenavštívil nebo ho nikdy nenavštívil. Aby se omezila falešně pozitivní upozornění, detekce potlačuje připojení, která se vyznačují běžnými předvolbami uživatele.

Detekce malwaru

Tato detekce identifikuje škodlivé soubory ve vašem cloudovém úložišti, ať už jsou z vašich aplikací Microsoftu nebo aplikací třetích stran. Microsoft Defender for Cloud Apps používá analýzu hrozeb od Microsoftu k rozpoznání, jestli určité soubory, které odpovídají heuristice rizik, jako je typ souboru a úroveň sdílení, jsou spojeny se známými malwarovými útoky a jsou potenciálně škodlivé. Tato předdefinovaná zásada je ve výchozím nastavení zakázaná. Po zjištění škodlivých souborů se zobrazí seznam napadených souborů. Výběrem názvu souboru malwaru v zásuvce souborů otevřete sestavu o malwaru, která vám poskytne informace o typu malwaru, kterým je soubor napadený.

Pomocí této detekce můžete řídit nahrávání a stahování souborů v reálném čase pomocí zásad relací.

Sandboxing souborů

Když povolíte sandboxing souborů, budou soubory, které podle svých metadat a na základě proprietární heuristiky mohou být potenciálně rizikové, prohledány také sandboxem v bezpečném prostředí. Kontrola sandboxu může detekovat soubory, které nebyly zjištěny na základě zdrojů analýzy hrozeb.

Defender for Cloud Apps podporuje detekci malwaru pro následující aplikace:

• Krabice
• Dropbox
• Google Workspace

Poznámka

• Proaktivní sandboxing se bude provádět v aplikacích třetích stran (Box, Dropbox atd.). Soubory na OneDrivu a SharePointu se kontrolují a ukládají do izolovaného prostoru jako součást samotné služby.
• Ve službách Box, Dropbox a Google Workspace Defender for Cloud Apps soubor automaticky neblokuje, ale blokování může probíhat podle možností aplikace a konfigurace aplikace nastavené zákazníkem.
• Pokud si nejste jistí, jestli je zjištěný soubor skutečně malware nebo falešně pozitivní, přejděte na stránku Microsoft Bezpečnostní analýza na adrese https://www.microsoft.com/wdsi/filesubmission a odešlete soubor k další analýze.

Aktivita z anonymních IP adres

• Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy, která byla identifikována jako IP adresa anonymního proxy serveru. Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení, a můžou se používat ke zlým úmyslům. K této detekci se používá algoritmus strojového učení, který snižuje počet falešně pozitivních výsledků, jako jsou například chybně označené IP adresy, které uživatelé v organizaci běžně používají.

Aktivita ransomware

• Defender for Cloud Apps rozšířili své schopnosti detekce ransomwaru o detekci anomálií, aby zajistili komplexnější pokrytí proti sofistikovaným útokům ransomware. S využitím našich odborných znalostí průzkumu zabezpečení k identifikaci vzorců chování, které odrážejí aktivitu ransomwaru, Defender for Cloud Apps zajišťuje holistickou a robustní ochranu. Pokud Defender for Cloud Apps identifikuje například vysokou míru nahrávání souborů nebo odstraňování souborů, může to představovat nežádoucí proces šifrování. Tato data se shromažďují v protokolech přijatých z připojených rozhraní API a pak se zkombinují se naučenými vzory chování a analýzou hrozeb, například se známými rozšířeními ransomwaru. Další informace o tom, jak Defender for Cloud Apps detekuje ransomware, najdete v tématu Ochrana organizace před ransomwarem.

Aktivita prováděných ukončeným uživatelem

• Díky této detekci můžete zjistit, kdy ukončený zaměstnanec bude s vašimi aplikacemi SaaS dál provádět akce. Vzhledem k tomu, že data ukazují, že největší riziko vnitřní hrozby pochází od zaměstnanců, kteří odešli za špatných podmínek, je důležité sledovat aktivitu na účtech od ukončených zaměstnanců. Někdy se stává, že když zaměstnanci opustí společnost, jejich účty se z podnikových aplikací zruší, ale v mnoha případech si stále zachovají přístup k určitým podnikovým prostředkům. To je ještě důležitější při zvažování privilegovaných účtů, protože potenciální škody, které může bývalý správce způsobit, jsou ze své podstaty větší. Tato detekce využívá Defender for Cloud Apps schopnost monitorovat chování uživatelů v aplikacích, což umožňuje identifikovat běžnou aktivitu uživatele, skutečnost, že se účet odstranil, a skutečnou aktivitu v jiných aplikacích. Například zaměstnanec, jehož Microsoft Entra účet byl odstraněn, ale stále má přístup k podnikové infrastruktuře AWS, může způsobit rozsáhlé škody.

Detekce hledá uživatele, jejichž účty byly odstraněny v Microsoft Entra ID, ale stále provádějí aktivity na jiných platformách, jako je AWS nebo Salesforce. To je zvláště důležité pro uživatele, kteří ke správě prostředků používají jiný účet (ne svůj primární účet jednotného přihlašování), protože tyto účty se často neodstraní, když uživatel opustí společnost.

Aktivita z podezřelých IP adres

• Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy, kterou Microsoft Threat Intelligence označil za rizikové. Tyto IP adresy se podílejí na škodlivých aktivitách, jako je například provádění služby Password Spray, Botnet C&C, a můžou označovat napadený účet. K této detekci se používá algoritmus strojového učení, který snižuje počet falešně pozitivních výsledků, jako jsou například chybně označené IP adresy, které uživatelé v organizaci běžně používají.

Podezřelé přeposílání doručené pošty

• Tato detekce hledá podezřelá pravidla přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které předává kopii všech e-mailů na externí adresu.

Poznámka

Defender for Cloud Apps vás upozorní jenom na každé pravidlo předávání, které je identifikované jako podezřelé, na základě typického chování uživatele.

Podezřelá pravidla manipulace s doručenou poštu

• Toto zjišťování profiluje vaše prostředí a aktivuje upozornění, když jsou ve složce Doručená pošta uživatele nastavena podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. To může znamenat, že je účet uživatele napadený, že zprávy jsou záměrně skryté a že se poštovní schránka používá k distribuci spamu nebo malwaru ve vaší organizaci.

Podezřelá aktivita odstranění e-mailů (Preview)

• Tato zásada profiluje vaše prostředí a aktivuje upozornění, když uživatel provede podezřelé aktivity odstranění e-mailů v jedné relaci. Tato zásada může znamenat, že poštovní schránky uživatele můžou být ohroženy potenciálními vektory útoku, jako je komunikace příkazů a řízení (C&C/C2) přes e-mail.

Poznámka

Defender for Cloud Apps se integruje s Microsoft Defender XDR a poskytuje ochranu pro Exchange Online, včetně detonace adresy URL, ochrany před malwarem a dalších. Jakmile je Defender pro Microsoft 365 povolený, začnou se vám v protokolu aktivit Defender for Cloud Apps zobrazovat upozornění.

Podezřelé aktivity stahování souborů aplikace OAuth

• Zkontroluje aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění, když aplikace stáhne více souborů z Microsoft SharePointu nebo Microsoft OneDrivu způsobem, který je pro uživatele neobvyklý. To může znamenat, že uživatelský účet je napaden.

Neobvyklý isp pro aplikaci OAuth

• Tato zásada profiluje vaše prostředí a aktivuje upozornění, když se aplikace OAuth připojí ke cloudovým aplikacím z neobvyklého poskytovatele internetových služeb. Tyto zásady můžou znamenat, že se útočník pokusil použít legitimní ohroženou aplikaci k provádění škodlivých aktivit na vašich cloudových aplikacích.

Neobvyklé aktivity (podle uživatele)

Tato detekce identifikují uživatele, kteří provádějí:

• Neobvyklé aktivity při stahování více souborů
• Neobvyklé aktivity sdílených složek
• Neobvyklé aktivity odstraňování souborů
• Neobvyklé zosobnění aktivit
• Neobvyklé aktivity správy
• Neobvyklé aktivity sdílení sestav Power BI (Preview)
• Neobvyklé aktivity vytváření více virtuálních počítačů (Preview)
• Neobvyklé aktivity odstranění více úložišť (Preview)
• Neobvyklá oblast pro cloudový prostředek (Preview)
• Neobvyklý přístup k souborům

Tyto zásady vyhledávají aktivity v rámci jedné relace s ohledem na naučený směrný plán, což může naznačovat pokus o porušení zabezpečení. Tyto detekce využívají algoritmus strojového učení, který profiluje vzor přihlašování uživatelů a snižuje počet falešně pozitivních výsledků. Tyto detekce jsou součástí heuristického modulu pro detekci anomálií, který profiluje vaše prostředí a spouští výstrahy s ohledem na základní hodnoty, které se dozvěděly o aktivitách vaší organizace.

Několik neúspěšných pokusů o přihlášení

• Tato detekce identifikuje uživatele, kteří v jedné relaci selhali při několika pokusech o přihlášení s ohledem na naznačené směrné hodnoty, což může znamenat pokus o porušení zabezpečení.

Více aktivit odstranění virtuálních počítačů

• Tato zásada profiluje vaše prostředí a aktivuje upozornění, když uživatelé odstraní více virtuálních počítačů v jedné relaci vzhledem ke směrnému plánu ve vaší organizaci. To může znamenat pokus o porušení zabezpečení.

Povolení automatizovaných zásad správného řízení

U výstrah generovaných zásadami detekce anomálií můžete povolit automatizované nápravné akce.

1. Na stránce Zásady vyberte název zásady zjišťování.
2. V okně Upravit zásadu detekce anomálií , které se otevře, nastavte v části Akce zásad správného řízení požadované nápravné akce pro každou připojenou aplikaci nebo pro všechny aplikace.
3. Vyberte Aktualizovat.

Ladění zásad detekce anomálií

Pokud chcete ovlivnit modul detekce anomálií a potlačit nebo zobrazit výstrahy podle vašich preferencí:

• V zásadách Nemožné cestování můžete nastavením posuvníku citlivosti určit úroveň neobvyklého chování, která je potřeba před aktivací upozornění. Pokud ho například nastavíte na nízkou nebo střední hodnotu, potlačí se upozornění na nemožné cesty ze společných míst uživatele, a pokud nastavíte vysokou hodnotu, zobrazí se tato upozornění. Můžete si vybrat z následujících úrovní citlivosti:

  • Nízká: Potlačení systému, tenanta a uživatele

  • Střední: Potlačení systému a uživatelů

  • Vysoká: Pouze systémová potlačení

    Kde:

    Typ potlačení	Popis
    Systém	Integrované detekce, které jsou vždy potlačeny.
    Tenant	Běžné aktivity založené na předchozí aktivitě v tenantovi Například potlačování aktivit od isp dříve upozorňujících ve vaší organizaci.
    Uživatel	Běžné aktivity založené na předchozí aktivitě konkrétního uživatele Například potlačování aktivit z umístění, které uživatel běžně používá.

Poznámka

Na neúspěšná a neinteraktivní přihlášení se nevztahují upozornění na nemožné cestování, aktivita z zřídka používaných zemí nebo oblastí, aktivita z anonymních IP adres a aktivita z podezřelých IP adres.

Obor zásad detekce anomálií

Každou zásadu detekce anomálií je možné nezávisle vymezit tak, aby se vztahovala jenom na uživatele a skupiny, které chcete zahrnout a vyloučit v zásadách. Můžete například nastavit aktivitu z detekce občasných okresů tak, aby ignorovala konkrétního uživatele, který často cestuje.

Vymezení rozsahu zásad detekce anomálií:

1. Na portálu Microsoft Defender přejděte na Cloud Apps –>Zásady –>Správa zásad. Pak jako typ zásady zvolte Zásady detekce anomálií .

2. Vyberte zásadu, kterou chcete omezit.

3. V části Obor změňte rozevírací seznam z výchozího nastavení Všichni uživatelé a skupiny na Konkrétní uživatelé a skupiny.

4. Vyberte Zahrnout a určete uživatele a skupiny, pro které se tato zásada použije. Žádný uživatel nebo skupina, které tady nejsou vybrané, nebudou považováni za hrozbu a nebudou generovat upozornění.

5. Vyberte Vyloučit a určete uživatele, pro které se tato zásada nepoužije. Žádný zde vybraný uživatel nebude považován za hrozbu a nevygeneruje upozornění, a to ani v případě, že jsou členy skupin vybraných v části Zahrnout.

   

Určení priorit výstrah detekce anomálií

Můžete rychle určit prioritu různých výstrah aktivovaných novými zásadami detekce anomálií a rozhodnout se, o které z nich je potřeba se postarat jako první. K tomu potřebujete kontext upozornění, abyste viděli širší přehled a pochopili, jestli se opravdu neděje něco škodlivého.

1. V protokolu aktivit můžete otevřít aktivitu a zobrazit tak zásuvku Aktivity. Vyberte Uživatel a zobrazte kartu přehledů uživatelů. Tato karta obsahuje informace, jako je počet výstrah, aktivit a odkud se připojili, což je při vyšetřování důležité.

   

2. V případě souborů napadených malwarem se po zjištění souborů zobrazí seznam napadených souborů. Výběrem názvu souboru malwaru v zásuvce souborů otevřete zprávu o malwaru, která vám poskytne informace o typu malwaru, kterým je soubor napaden.

Související videa

Webinář o ochraně před hrozbami

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.