Jak prozkoumat výstrahy detekce anomálií

Microsoft Defender for Cloud Apps poskytuje detekce zabezpečení a výstrahy pro škodlivé aktivity. Účelem této příručky je poskytnout vám obecné a praktické informace o jednotlivých výstrahách, které vám pomůžou s vyšetřováním a nápravou. Tato příručka obsahuje obecné informace o podmínkách pro aktivaci upozornění. Je ale důležité poznamenat, že detekce anomálií jsou ze své podstaty nedeterministické, a proto se aktivují pouze v případě, že se chování odchyluje od normy. A konečně, některá upozornění můžou být ve verzi Preview, takže pravidelně kontrolujte stav upozornění v oficiální dokumentaci.

MITRE ATT&CK

Abychom vysvětlili a usnadnili mapování vztahu mezi výstrahami Defender for Cloud Apps a známým mitre ATT&CK Matrix, zařadili jsme upozornění do kategorií podle odpovídajících mitre ATT&taktiky CK. Tento další odkaz usnadňuje pochopení techniky podezření na útoky, která se může používat při aktivaci výstrahy Defender for Cloud Apps.

Tato příručka obsahuje informace o vyšetřování a nápravě výstrah Defender for Cloud Apps v následujících kategoriích.

• Počáteční přístup
• Poprava
• Perzistence
• Eskalace oprávnění
• Přístup k přihlašovacím údajům
• Sbírka
• Exfiltrace
• Dopad

Klasifikace výstrah zabezpečení

Po řádném prošetření je možné všechny výstrahy Defender for Cloud Apps klasifikovat jako jeden z následujících typů aktivit:

• Pravdivě pozitivní (TP): Upozornění na potvrzenou škodlivou aktivitu.
• Neškodný pravdivě pozitivní (B-TP): Upozornění na podezřelou, ale nikoli škodlivou aktivitu, jako je penetrační test nebo jiná autorizovaná podezřelá akce.
• Falešně pozitivní (FP): Upozornění na nemalickou aktivitu.

Obecné kroky šetření

Při vyšetřování jakéhokoli typu výstrahy byste měli použít následující obecné pokyny, abyste získali jasnější představu o potenciální hrozbě před použitím doporučené akce.

• Pokud tp identifikujete , zkontrolujte všechny aktivity uživatele, abyste získali přehled o dopadu.
• Zkontrolujte všechny aktivity uživatelů a zjistěte další indikátory ohrožení a prozkoumejte zdroj a rozsah dopadu. Projděte si například následující informace o zařízení uživatele a porovnejte je se známými informacemi o zařízení:
  • Operační systém a verze
  • Prohlížeč a verze
  • IP adresa a umístění

Upozornění na počáteční přístup

Tato část popisuje výstrahy, které značí, že se objekt se zlými úmysly může pokoušet získat počáteční oporu ve vaší organizaci.

Aktivita z anonymní IP adresy

Popis

Aktivita z IP adresy, kterou Microsoft Threat Intelligence nebo vaše organizace identifikovala jako ip adresu anonymního proxy serveru. Tyto proxy servery se dají použít ke skrytí IP adresy zařízení a můžou být použity pro škodlivé aktivity.

TP, B-TP nebo FP?

Tato detekce používá algoritmus strojového učení, který snižuje počet incidentů B-TP , jako jsou například chybně označené IP adresy, které uživatelé v organizaci běžně používají.

1. TP: Pokud můžete potvrdit, že se aktivita provedla z anonymní IP adresy nebo IP adresy TOR.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. B-TP: Pokud je známo, že uživatel používá anonymní IP adresy v rámci svých povinností. Například když analytik zabezpečení provádí testy zabezpečení nebo penetrační testy jménem organizace.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

• Zkontrolujte všechny aktivity uživatelů a upozornění na další indikátory ohrožení zabezpečení. Pokud například za upozorněním následovala jiná podezřelá výstraha, například Neobvyklé stažení souboru (uživatelem) nebo Upozornění na podezřelé přeposílání doručené pošty , často to značí, že se útočník pokouší exfiltrovat data.

Aktivita z občasné země

Aktivita ze země nebo oblasti, která by mohla značit škodlivou aktivitu. Tato zásada profiluje vaše prostředí a aktivuje upozornění při zjištění aktivity z umístění, které nedávno nebylo nebo ho nikdy nenavštívil žádný uživatel v organizaci.

Zásady je možné dále omezit na podmnožinu uživatelů nebo vyloučit uživatele, o kterých je známo, že cestují do vzdálených umístění.

Období výuky

Detekce neobvyklých umístění vyžaduje počáteční výukové období sedmi dnů, během kterého se upozornění neaktivují pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce:

   1. Pozastavte uživatele, resetujte jeho heslo a určete správný čas k bezpečnému opětovnému povolení účtu.
   2. Volitelné: Vytvořte playbook pomocí Power Automate, abyste mohli kontaktovat uživatele, u kterých se zjistilo, že se připojují z občasných míst, a jejich manažery a ověřit jejich aktivitu.

2. B-TP: Pokud je známo, že uživatel je v tomto umístění. Například když uživatel, který často cestuje a aktuálně se nachází v zadaném umístění.

   Doporučená akce:

   1. Zavřete výstrahu a upravte zásadu tak, aby vylučte uživatele.
   2. Vytvoření skupiny uživatelů pro časté cestovatele, import skupiny do Defender for Cloud Apps a vyloučení uživatelů z tohoto upozornění
   3. Volitelné: Vytvořte playbook pomocí Power Automate, abyste mohli kontaktovat uživatele, u kterých se zjistilo, že se připojují z občasných míst, a jejich manažery a ověřit jejich aktivitu.

Vysvětlení rozsahu porušení zabezpečení

• Zkontrolujte, které prostředky mohly být ohroženy, například potenciální stahování dat.

Aktivita z podezřelých IP adres

Aktivita z IP adresy, kterou Microsoft Threat Intelligence nebo vaše organizace označila za rizikovou. Tyto IP adresy byly identifikovány jako zapojené do škodlivých aktivit, jako je provádění příkazů a řízení pomocí hesel(C&C), a mohly značit napadený účet.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. B-TP: Pokud je známo, že uživatel používá IP adresu v rozsahu svých povinností. Například když analytik zabezpečení provádí testy zabezpečení nebo penetrační testy jménem organizace.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte protokol aktivit a vyhledejte aktivity ze stejné IP adresy.
2. Zkontrolujte, které prostředky mohly být ohroženy, například potenciální stahování dat nebo úpravy správy.
3. Vytvořte skupinu pro analytiky zabezpečení, kteří dobrovolně aktivují tyto výstrahy, a vylučte je ze zásad.

Nemožné cestování

Aktivita od stejného uživatele v různých umístěních v rámci časového období, které je kratší než očekávaná doba trvání cesty mezi dvěma umístěními. To může znamenat porušení přihlašovacích údajů, ale je také možné, že skutečná poloha uživatele je maskovaná, například pomocí sítě VPN.

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, Defender for Cloud Apps stanoví směrný plán pro každého uživatele v organizaci a bude upozorňovat pouze na zjištění neobvyklého chování. Nemožné cestovní zásady můžete doladit podle vašich požadavků.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

Tato detekce používá algoritmus strojového učení, který ignoruje zřejmé podmínky B-TP , například když jsou IP adresy na obou stranách cesty považovány za bezpečné, je cesta důvěryhodná a vyloučená z aktivace detekce nemožné cesty. Obě strany jsou například považovány za bezpečné, pokud jsou označené jako firemní. Pokud je však IP adresa pouze jedné strany cesty považována za bezpečnou, aktivuje se detekce jako obvykle.

1. TP: Pokud jste schopni potvrdit, že umístění v upozornění na nemožnost cesty je pro uživatele nepravděpodobné.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Nezjištěná cesta uživatele): Pokud můžete potvrdit, že uživatel nedávno odcestoval do cíle uvedeného v upozornění. Pokud například telefon uživatele, který je v režimu v letadle, zůstane připojený ke službám, jako je Exchange Online ve vaší podnikové síti, i když cestujete do jiného místa. Když uživatel dorazí do nového umístění, telefon se připojí k Exchange Online aktivuje upozornění na nemožné cestování.

   Doporučená akce: Zavřete upozornění.

3. FP (Untagged VPN): Pokud jste schopni potvrdit, že rozsah IP adres pochází ze schválené sítě VPN.

   Doporučená akce: Zavřete výstrahu a přidejte rozsah IP adres sítě VPN do Defender for Cloud Apps a pak ho použijte k označení rozsahu IP adres sítě VPN.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte protokol aktivit, abyste získali přehled o podobných aktivitách ve stejném umístění a NA STEJNÉ IP adrese.
2. Pokud zjistíte, že uživatel provedl jiné rizikové aktivity, jako je stahování velkého objemu souborů z nového umístění, bylo by to silnou známkou možného ohrožení zabezpečení.
3. Přidejte rozsahy podnikových VPN a IP adres.
4. Vytvořte playbook pomocí Power Automate a obraťte se na vedoucího uživatele, aby zjistil, jestli uživatel oprávněně cestuje.
5. Zvažte vytvoření databáze známých cestovatelů pro až minutovou sestavu cest organizace a použijte ji k křížovému odkazu na cestovní aktivity.

Zavádějící název aplikace OAuth

Tato detekce identifikuje aplikace pomocí znaků, jako jsou cizí písmena, která se podobají latince. To může znamenat pokus maskovat škodlivou aplikaci jako známou a důvěryhodnou aplikaci, aby útočníci mohli uživatele oklamat, aby si stáhli svoji škodlivou aplikaci.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že aplikace má zavádějící název.

   Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

Pokud chcete zakázat přístup k aplikaci, vyberte na kartách Google nebo Salesforce na stránce Zásad správného řízení aplikací na řádku, na kterém se zobrazí aplikace, kterou chcete zakázat, ikonu zákazu. – Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali a autorizovali, byla zakázaná. Oznámení uživatelům oznámí, že je aplikace zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby to věděli, zrušte v dialogovém okně možnost Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci . – Doporučujeme dát uživatelům aplikace vědět, že jejich aplikace bude zakázána.

1. FP: Pokud chcete potvrdit, že aplikace má zavádějící název, ale má legitimní obchodní použití v organizaci.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

• Postupujte podle kurzu, jak prozkoumat rizikové aplikace OAuth.

Zavádějící název vydavatele pro aplikaci OAuth

Tato detekce identifikuje aplikace pomocí znaků, jako jsou cizí písmena, která se podobají latince. To může znamenat pokus maskovat škodlivou aplikaci jako známou a důvěryhodnou aplikaci, aby útočníci mohli uživatele oklamat, aby si stáhli svoji škodlivou aplikaci.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že aplikace má zavádějící název vydavatele.

   Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

2. FP: Pokud chcete ověřit, že aplikace má zavádějící název vydavatele, ale je legitimním vydavatelem.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Na kartách Google nebo Salesforce na stránce Zásady správného řízení aplikací vyberte aplikaci, aby se otevřel panel aplikací, a pak vyberte Související aktivita. Otevře se stránka Protokolu aktivit filtrovaná pro aktivity prováděné aplikací. Mějte na paměti, že některé aplikace provádějí aktivity, které jsou registrovány jako aktivity prováděné uživatelem. Tyto aktivity se automaticky vyfiltrují z výsledků v protokolu aktivit. Další šetření pomocí protokolu aktivit najdete v tématu Protokol aktivit.
2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prověřit její název a vydavatele v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
   • Aplikace s nízkým počtem stažených souborů
   • Aplikace s nízkým hodnocením, skóre nebo špatnými komentáři
   • Aplikace s podezřelým vydavatelem nebo webem
   • Aplikace, které se nedávno neaktualizovaly. To může znamenat aplikaci, která už není podporovaná.
   • Aplikace, které mají irelevantní oprávnění. To může znamenat, že aplikace je riziková.
3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit název aplikace, vydavatele a adresu URL online.

Upozornění na spuštění

Tato část popisuje výstrahy, které označují, že se škodlivý objekt actor může pokoušet spustit škodlivý kód ve vaší organizaci.

Více aktivit odstranění úložiště

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet odstranění cloudového úložiště nebo databáze z prostředků, jako jsou objekty blob Azure, kontejnery AWS S3 nebo Cosmos DB, v porovnání se zjištěným standardním plánem. To může znamenat pokus o narušení vaší organizace.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud chcete potvrdit, že odstranění nebylo neoprávněné.

   Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a zkontrolujte, jestli na všech zařízeních nejdou škodlivé hrozby. Zkontrolujte všechny aktivity uživatelů a zjistěte další indikátory ohrožení a prozkoumejte rozsah dopadu.

2. FP: Pokud po šetření můžete potvrdit, že správce byl oprávněn provádět tyto aktivity odstranění.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Kontaktujte uživatele a potvrďte aktivitu.
2. Zkontrolujte v protokolu aktivit další indikátory ohrožení zabezpečení a zjistěte, kdo změnu provedl.
3. Zkontrolujte, jestli aktivity uživatele nechybují změny v jiných službách.

Více aktivit vytváření virtuálních počítačů

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet akcí vytvoření virtuálního počítače v porovnání se zjištěným směrným plánem. Několik vytvoření virtuálních počítačů v narušené cloudové infrastruktuře může znamenat pokus o spuštění operací dolování kryptografických dat v rámci vaší organizace.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, stanoví tato detekce základní hodnoty pro každé prostředí v organizaci, aby se omezily incidenty B-TP , například správce oprávněně vytvořil více virtuálních počítačů, než je stanovený směrný plán, a upozorní pouze v případě, že je zjištěno neobvyklé chování.

• TP: Pokud si můžete ověřit, že aktivity vytváření nebyly provedeny legitimním uživatelem.

  Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a zkontrolujte, jestli na všech zařízeních nejdou škodlivé hrozby. Zkontrolujte všechny aktivity uživatelů a zjistěte další indikátory ohrožení a prozkoumejte rozsah dopadu. Kromě toho se obraťte na uživatele, potvrďte jeho legitimní akce a pak se ujistěte, že jste zakázali nebo odstranili všechny ohrožené virtuální počítače.

• B-TP: Pokud po šetření můžete potvrdit, že správce byl autorizován k provádění těchto aktivit vytváření.

  Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení.
2. Zkontrolujte prostředky vytvořené nebo upravené uživatelem a ověřte, že jsou v souladu se zásadami vaší organizace.

Podezřelá aktivita vytváření pro cloudovou oblast (Preview)

Aktivity označující, že uživatel provedl neobvyklou akci vytvoření prostředků v neobvyklé oblasti AWS v porovnání se zjištěným standardním plánem. Vytváření prostředků v neobvyklých cloudových oblastech může znamenat pokus o provedení škodlivé aktivity, jako jsou operace dolování kryptografických dat v rámci vaší organizace.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, vytvoří tato detekce základní hodnoty pro každé prostředí v organizaci, aby se omezily incidenty B-TP .

• TP: Pokud si můžete ověřit, že aktivity vytváření nebyly provedeny legitimním uživatelem.

  Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a zkontrolujte, jestli na všech zařízeních nejdou škodlivé hrozby. Zkontrolujte všechny aktivity uživatelů a zjistěte další indikátory ohrožení a prozkoumejte rozsah dopadu. Kromě toho se obraťte na uživatele, potvrďte jeho legitimní akce a pak se ujistěte, že zakážete nebo odstraníte všechny ohrožené cloudové prostředky.

• B-TP: Pokud po šetření můžete potvrdit, že správce byl autorizován k provádění těchto aktivit vytváření.

  Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení.
2. Zkontrolujte vytvořené prostředky a ověřte, že jsou v souladu se zásadami vaší organizace.

Upozornění na trvalost

Tato část popisuje výstrahy, které značí, že se aktér se zlými úmysly může pokoušet udržet si oporu ve vaší organizaci.

Aktivita prováděných ukončeným uživatelem

Aktivita ukončeného uživatele může znamenat, že se ukončený zaměstnanec, který má stále přístup k podnikovým prostředkům, pokouší provést škodlivou aktivitu. Defender for Cloud Apps profiluje uživatele v organizaci a aktivuje upozornění, když ukončený uživatel provede aktivitu.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že ukončený uživatel má stále přístup k určitým podnikovým prostředkům a provádí aktivity.

   Doporučená akce: Zakažte uživatele.

2. B-TP: Pokud jste schopni zjistit, že uživatel byl dočasně zakázán nebo byl odstraněn a znovu zaregistrován.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Křížové odkazy na záznamy HR a ověřte, že uživatel je ukončen.
2. Ověřte existenci uživatelského účtu Microsoft Entra.

   Poznámka

   Pokud používáte Microsoft Entra Connect, ověřte objekt místní Active Directory a potvrďte úspěšný cyklus synchronizace.

3. Identifikujte všechny aplikace, ke kterým měl ukončený uživatel přístup, a vyřazení účtů z provozu.
4. Aktualizujte postupy vyřazení z provozu.

Podezřelá změna služby protokolování CloudTrail

Aktivity v jedné relaci označující, že uživatel provedl podezřelé změny ve službě protokolování AWS CloudTrail. To může znamenat pokus o narušení vaší organizace. Při zakázání Služby CloudTrail se už neprotokolují provozní změny. Útočník může provádět škodlivé aktivity a zároveň se vyhnout události auditu CloudTrail, jako je například úprava kbelíku S3 z privátního na veřejné.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a zvrácení aktivity CloudTrail.

2. FP: Pokud jste schopni potvrdit, že uživatel oprávněně zakázal službu CloudTrail.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte v protokolu aktivit další indikátory ohrožení zabezpečení a zjistěte, kdo provedl změnu ve službě CloudTrail.
2. Volitelné: Vytvořte playbook pomocí Power Automate, abyste mohli kontaktovat uživatele a jejich manažery a ověřit jejich aktivitu.

Podezřelá aktivita odstranění e-mailů (podle uživatele)

Aktivity v jedné relaci označující, že uživatel provedl podezřelé odstranění e-mailů. Typ odstranění byl typ "hard delete", který e-mailovou položku odstraní a nebude k dispozici v poštovní schránce uživatele. Odstranění bylo provedeno z připojení, které zahrnuje neobvyklé předvolby, jako je například isp, země/oblast a uživatelský agent. To může znamenat pokus o narušení vaší organizace, například pokus útočníků o maskování operací odstraněním e-mailů souvisejících se spamovými aktivitami.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP: Pokud si můžete ověřit, že uživatel oprávněně vytvořil pravidlo pro odstranění zpráv.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

• Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je upozornění na podezřelé přeposílání doručené pošty následované upozorněním na nemožné cestování . Hledat:

  1. Nová pravidla přesměrování SMTP:
     • Zkontrolujte škodlivé názvy pravidel pro přeposílání. Názvy pravidel se můžou lišit od jednoduchých názvů, například "Přeposlat všechny e-maily" a "Automaticky přeposlat", nebo od klamavých názvů, jako je například sotva viditelný název ".". Názvy pravidel přeposílání můžou být dokonce prázdné a příjemcem přeposílání může být jeden e-mailový účet nebo celý seznam. Škodlivá pravidla mohou být také skryta v uživatelském rozhraní. Po zjištění můžete použít tento užitečný blogový příspěvek o tom, jak odstranit skrytá pravidla z poštovních schránek.
     • Pokud zjistíte nerozpoznané pravidlo přeposílání na neznámou interní nebo externí e-mailovou adresu, můžete předpokládat, že došlo k ohrožení zabezpečení účtu doručené pošty.
  2. Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo pravidla s nejasnými zásadami vytváření názvů, například "...".
  3. Zvýšení počtu odeslaných e-mailů

Podezřelé pravidlo manipulace s doručenou poštou

Aktivity označující, že útočník získal přístup k doručené poště uživatele a vytvořil podezřelé pravidlo. Pravidla manipulace, jako je odstranění nebo přesunutí zpráv nebo složek ze složky Doručená pošta uživatele, můžou být pokusem o exfiltraci informací z vaší organizace. Podobně můžou znamenat pokus o manipulaci s informacemi, které uživatel vidí, nebo použití doručené pošty k distribuci spamu, phishingových e-mailů nebo malwaru. Defender for Cloud Apps profiluje vaše prostředí a aktivuje upozornění při zjištění podezřelých pravidel pro manipulaci s doručenou poštou v doručené poště uživatele. To může znamenat, že uživatelský účet je napadený.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že se vytvořilo škodlivé pravidlo doručené pošty a že došlo k ohrožení zabezpečení účtu.

   Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a odeberte pravidlo přeposílání.

2. FP: Pokud jste schopni potvrdit, že uživatel pravidlo vytvořil oprávněně.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je upozornění na podezřelé přeposílání doručené pošty následované upozorněním na nemožné cestování . Hledat:
   • Nová pravidla přesměrování SMTP.
   • Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo pravidla s nejasnými zásadami vytváření názvů, například "...".
2. Shromážděte IP adresu a informace o poloze pro akci.
3. Zkontrolujte aktivity prováděné z IP adresy použité k vytvoření pravidla a detekujte další ohrožené uživatele.

Upozornění na zvýšení oprávnění

Tato část popisuje výstrahy, které značí, že se objekt actor se zlými úmysly může ve vaší organizaci pokoušet získat oprávnění vyšší úrovně.

Neobvyklá aktivita správy (podle uživatele)

Aktivity označující, že útočník narušil uživatelský účet a provedl akce správy, které nejsou pro tohoto uživatele běžné. Útočník se například může pokusit změnit nastavení zabezpečení pro uživatele, operaci, která je pro běžného uživatele poměrně vzácná. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že aktivitu neprováděl legitimní správce.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP: Pokud jste schopni potvrdit, že správce oprávněně provedl neobvyklý objem aktivit správy.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je podezřelé přeposílání doručené pošty nebo nemožné cestování.
2. Projděte si další změny konfigurace, například vytvoření uživatelského účtu, který by se mohl použít pro trvalost.

Upozornění na přístup k přihlašovacím údajům

Tato část popisuje výstrahy, které značí, že se objekt s úmysly může pokoušet ukrást názvy účtů a hesla z vaší organizace.

Několik neúspěšných pokusů o přihlášení

Neúspěšné pokusy o přihlášení můžou značit pokus o narušení účtu. Neúspěšná přihlášení ale můžou být také normálním chováním. Například když uživatel zadal nesprávné heslo omylem. Aby bylo možné dosáhnout přesnosti a výstrahy pouze v případě, že existuje silná indikace pokusu o porušení zabezpečení, Defender for Cloud Apps pro každého uživatele v organizaci stanoví základní přihlašovací návyky a upozorní pouze na zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

Tato zásada je založená na tom, že se naučíte normálnímu chování uživatele při přihlašování. Při zjištění odchylky od normy se aktivuje výstraha. Pokud se při zjišťování začne zobrazovat, že stejné chování pokračuje, výstraha se vyvolá pouze jednou.

1. TP (selhání MFA): Pokud můžete ověřit, že MFA funguje správně, může to být známka pokusu o útok hrubou silou.

   Doporučené akce:

   1. Pozastavte uživatele, označte ho jako zneuživatele a resetujte jeho heslo.
   2. Vyhledejte aplikaci, která provedla neúspěšná ověřování, a překonfigurujte ji.
   3. Vyhledejte další uživatele přihlášené v době aktivity, protože můžou být také ohroženi. Pozastavte uživatele, označte ho jako zneuživatele a resetujte jeho heslo.

2. B-TP (MFA selže): Pokud můžete ověřit, že je výstraha způsobená problémem s vícefaktorovým ověřováním.

   Doporučená akce: Pomocí Power Automate vytvořte playbook, který uživatele kontaktuje a zkontroluje, jestli nemá problémy s vícefaktorovým ověřováním.

3. B-TP (nesprávně nakonfigurovaná aplikace): Pokud můžete ověřit, že se chybně nakonfigurovaná aplikace několikrát pokouší připojit ke službě s prošlými přihlašovacími údaji.

   Doporučená akce: Zavřete upozornění.

4. B-TP (změna hesla): Pokud si můžete ověřit, že uživatel nedávno změnil heslo, ale nemá to vliv na přihlašovací údaje napříč síťovými sdílenými složkami.

   Doporučená akce: Zavřete upozornění.

5. B-TP (test zabezpečení): Pokud jste schopni potvrdit, že bezpečnostní test nebo penetrační test provádí analytici zabezpečení jménem organizace.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je výstraha, za kterou následuje jedno z následujících upozornění: Nemožné cestování, Aktivita z anonymní IP adresy nebo Aktivita z občasné země.
2. Projděte si následující informace o zařízení uživatele a porovnejte je se známými informacemi o zařízení:
   • Operační systém a verze
   • Prohlížeč a verze
   • IP adresa a umístění
3. Identifikujte zdrojovou IP adresu nebo umístění, kde došlo k pokusu o ověření.
4. Zjistěte, jestli si uživatel nedávno změnil heslo, a ujistěte se, že mají aktualizované heslo všechny aplikace a zařízení.

Neobvyklé přidání přihlašovacích údajů do aplikace OAuth

Tato detekce identifikuje podezřelé přidání privilegovaných přihlašovacích údajů do aplikace OAuth. To může znamenat, že útočník aplikaci narušil a používá ji ke škodlivé aktivitě.

Období výuky

Prostředí vaší organizace vyžaduje sedmidenní období, během kterého můžete očekávat velké množství upozornění.

Neobvyklý isp pro aplikaci OAuth

Detekce identifikuje aplikaci OAuth, která se připojuje ke cloudové aplikaci z poskytovatele internetových služeb, což je pro aplikaci neobvyklé. To může znamenat, že se útočník pokusil použít legitimní ohroženou aplikaci k provádění škodlivých aktivit ve vašich cloudových aplikacích.

Období výuky

Doba výuky pro tuto detekci je 30 dnů.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivita nebyla legitimní aktivitou aplikace OAuth nebo že tento poskytovatele internetových služeb nepoužívá legitimní aplikace OAuth.

   Doporučená akce: Odvoláte všechny přístupové tokeny aplikace OAuth a prověřte, jestli má útočník přístup ke generování přístupových tokenů OAuth.

2. FP: Pokud můžete potvrdit, že aktivita byla provedena legitimní originální aplikací OAuth.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte aktivity prováděné aplikací OAuth.

2. Prozkoumejte, jestli má útočník přístup ke generování přístupových tokenů OAuth.

Upozornění kolekce

Tato část popisuje výstrahy, které značí, že se objekt se zlými úmysly může z vaší organizace pokoušet shromáždit data, která jsou pro jeho cíl zajímavá.

Více aktivit sdílení sestav Power BI

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet aktivit sestavy sdílení v Power BI v porovnání se zjištěným směrným plánem. To může znamenat pokus o narušení vaší organizace.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Odeberte přístup ke sdílení z Power BI. Pokud můžete potvrdit, že je účet napadený, pak uživatele pozastavit, označit uživatele jako zneuživatele a resetovat jeho heslo.

2. FP: Pokud si můžete ověřit, že uživatel měl obchodní odůvodnění ke sdílení těchto sestav.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte protokol aktivit, abyste získali lepší přehled o dalších aktivitách prováděných uživatelem. Podívejte se na IP adresu, ze které jsou přihlášeni, a podrobnosti o zařízení.
2. Pokud chcete porozumět pokynům pro interní i externí sdílení sestav, obraťte se na tým Power BI nebo Information Protection tým.

Podezřelé sdílení sestav Power BI

Aktivity označující, že uživatel sdílel sestavu Power BI, která může obsahovat citlivé informace identifikované pomocí funkce NLP k analýze metadat sestavy. Sestava se buď sdílela s externí e-mailovou adresou, publikovala se na webu, nebo se snímek doručil na externě odebíranou e-mailovou adresu. To může znamenat pokus o narušení vaší organizace.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Odeberte přístup ke sdílení z Power BI. Pokud můžete potvrdit, že je účet napadený, pak uživatele pozastavit, označit uživatele jako zneuživatele a resetovat jeho heslo.

2. FP: Pokud jste schopni potvrdit, že uživatel měl obchodní odůvodnění ke sdílení těchto sestav.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte protokol aktivit, abyste získali lepší přehled o dalších aktivitách prováděných uživatelem. Podívejte se na IP adresu, ze které jsou přihlášeni, a podrobnosti o zařízení.
2. Pokud chcete porozumět pokynům pro interní i externí sdílení sestav, obraťte se na tým Power BI nebo Information Protection tým.

Neobvyklá zosobněná aktivita (podle uživatele)

V některých softwarech existují možnosti, jak umožnit ostatním uživatelům zosobnit jiné uživatele. Například e-mailové služby umožňují uživatelům autorizovat ostatní uživatele k odesílání e-mailů jejich jménem. Tuto aktivitu útočníci běžně používají k vytváření phishingových e-mailů ve snaze extrahovat informace o vaší organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a vytvoří aktivitu při zjištění neobvyklé aktivity zosobnění.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Neobvyklé chování): Pokud jste schopni ověřit, že uživatel oprávněně provedl neobvyklé aktivity, nebo více aktivit, než je stanovený směrný plán.

   Doporučená akce: Zavřete upozornění.

3. FP: Pokud jste schopni potvrdit, že aplikace, jako je Teams, se oprávněně vydávají za uživatele.

   Doporučená akce: Zkontrolujte akce a v případě potřeby upozornění zavřete.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a výstrahy, jestli nechybuje další indikátory ohrožení zabezpečení.
2. Zkontrolujte aktivity zosobnění a identifikujte potenciální škodlivé aktivity.
3. Zkontrolujte konfiguraci delegovaného přístupu.

Upozornění na exfiltraci

Tato část popisuje výstrahy, které značí, že se objekt s úmysly může pokoušet ukrást data z vaší organizace.

Podezřelé přeposílání doručené pošty

Aktivity označující, že útočník získal přístup k doručené poště uživatele a vytvořil podezřelé pravidlo. Pravidla manipulace, například přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet, můžou být pokusem o exfiltraci informací z vaší organizace. Defender for Cloud Apps profiluje vaše prostředí a aktivuje upozornění při zjištění podezřelých pravidel pro manipulaci s doručenou poštou v doručené poště uživatele. To může znamenat, že uživatelský účet je napadený.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že se vytvořilo škodlivé pravidlo přeposílání doručené pošty a že došlo k ohrožení zabezpečení účtu.

   Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a odeberte pravidlo přeposílání.

2. FP: Pokud z legitimních důvodů můžete potvrdit, že uživatel vytvořil pravidlo přeposílání na nový nebo osobní externí e-mailový účet.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je upozornění na nemožné cestování . Hledat:

   1. Nová pravidla přesměrování SMTP:
      • Zkontrolujte škodlivé názvy pravidel pro přeposílání. Názvy pravidel se můžou lišit od jednoduchých názvů, například "Přeposlat všechny e-maily" a "Automaticky přeposlat", nebo od klamavých názvů, jako je například sotva viditelný název ".". Názvy pravidel přeposílání můžou být dokonce prázdné a příjemcem přeposílání může být jeden e-mailový účet nebo celý seznam. Škodlivá pravidla mohou být také skryta v uživatelském rozhraní. Po zjištění můžete použít tento užitečný blogový příspěvek o tom, jak odstranit skrytá pravidla z poštovních schránek.
      • Pokud zjistíte nerozpoznané pravidlo přeposílání na neznámou interní nebo externí e-mailovou adresu, můžete předpokládat, že došlo k ohrožení zabezpečení účtu doručené pošty.
   2. Nová pravidla doručené pošty, například "odstranit vše", "přesunout zprávy do jiné složky" nebo pravidla s nejasnými zásadami vytváření názvů, například "...".

2. Zkontrolujte aktivity prováděné z IP adresy použité k vytvoření pravidla a detekujte další ohrožené uživatele.

3. Projděte si seznam přeposlaných zpráv pomocí Exchange Online sledování zpráv.

Neobvyklé stahování souborů (podle uživatele)

Aktivity označující, že uživatel provedl neobvyklý počet souborů stažených z platformy cloudového úložiště v porovnání se zjištěným standardním plánem. To může znamenat pokus o získání informací o organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Neobvyklé chování): Pokud můžete potvrdit, že uživatel oprávněně provedl více aktivit stahování souborů, než je stanovený směrný plán.

   Doporučená akce: Zavřete upozornění.

3. FP (softwarová synchronizace): Pokud můžete potvrdit, že se software, například OneDrive, synchronizoval s externí zálohou, která výstrahu způsobila.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte aktivity stahování a vytvořte seznam stažených souborů.
2. Zkontrolujte citlivost stažených souborů u vlastníka prostředku a ověřte úroveň přístupu.

Neobvyklý přístup k souborům (podle uživatele)

Aktivity označující, že uživatel provedl neobvyklý počet přístupů k souborům na SharePointu nebo OneDrivu k souborům, které obsahují finanční data nebo síťová data, v porovnání se zjištěným standardním plánem. To může znamenat pokus o získání informací o organizaci, ať už pro finanční účely, nebo pro přístup k přihlašovacím údajům a laterální přesun. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

Období výuky

Doba výuky závisí na aktivitě uživatele. Obecně platí, že doba výuky je pro většinu uživatelů mezi 21 a 45 dny.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Neobvyklé chování): Pokud můžete ověřit, že uživatel oprávněně prováděl více aktivit přístupu k souborům, než je stanovený směrný plán.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte aktivity přístupu a vytvořte seznam přístupových souborů.
2. Zkontrolujte citlivost přístupových souborů s vlastníkem prostředku a ověřte úroveň přístupu.

Neobvyklá aktivita sdílené složky (podle uživatele)

Aktivity, které značí, že uživatel provedl neobvyklý počet akcí sdílení souborů z platformy cloudového úložiště v porovnání se zjištěným standardním plánem. To může znamenat pokus o získání informací o organizaci. Defender for Cloud Apps vytvoří směrný plán na základě chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Neobvyklé chování): Pokud jste schopni potvrdit, že uživatel oprávněně provedl více aktivit sdílení souborů, než je stanovený směrný plán.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte aktivity sdílení a vytvořte seznam sdílených souborů.
2. Zkontrolujte citlivost sdílených souborů s vlastníkem prostředku a ověřte úroveň přístupu.
3. Vytvořte zásadu souborů pro podobné dokumenty, abyste mohli detekovat budoucí sdílení citlivých souborů.

Upozornění na dopad

Tato část popisuje výstrahy, které označují, že se objekt se zlými úmysly může pokoušet manipulovat, přerušit nebo zničit vaše systémy a data ve vaší organizaci.

Více aktivit odstranění virtuálních počítačů

Aktivity v jedné relaci označující, že uživatel provedl neobvyklý počet odstranění virtuálních počítačů v porovnání se zjištěným směrným plánem. Několik odstranění virtuálních počítačů může znamenat pokus o narušení nebo zničení prostředí. Existuje ale mnoho běžných scénářů, kdy se virtuální počítače odstraňují.

TP, B-TP nebo FP?

Aby se zlepšila přesnost a výstraha pouze v případě, že existuje silná indikace porušení zabezpečení, vytvoří tato detekce základní hodnoty pro každé prostředí v organizaci, aby se omezily incidenty B-TP , a pouze v případě zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

• TP: Pokud si můžete ověřit, že odstranění bylo neautorizováno.

  Doporučená akce: Pozastavte uživatele, resetujte jeho heslo a zkontrolujte, jestli na všech zařízeních nejdou škodlivé hrozby. Zkontrolujte všechny aktivity uživatelů a zjistěte další indikátory ohrožení a prozkoumejte rozsah dopadu.

• B-TP: Pokud po šetření můžete potvrdit, že správce byl oprávněn provádět tyto aktivity odstranění.

  Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Kontaktujte uživatele a potvrďte aktivitu.
2. Zkontrolujte všechny aktivity uživatelů a vyhledejte další indikátory ohrožení zabezpečení, jako je výstraha, za kterou následuje jedno z následujících upozornění: Nemožné cestování, Aktivita z anonymní IP adresy nebo Aktivita z nepříliš časté země.

Aktivita ransomware

Ransomware je kybernetický útok, při kterém útočník zamkne oběti ze svých zařízení nebo jim zablokuje přístup k jejich souborům, dokud oběť nezaplatí výkupné. Ransomware může být šířený škodlivým sdíleným souborem nebo ohroženou sítí. Defender for Cloud Apps využívá znalosti výzkumu zabezpečení, analýzu hrozeb a naučené vzorce chování k identifikaci aktivit ransomwaru. Například vysoká rychlost nahrávání souborů nebo odstraňování souborů může představovat proces šifrování, který je běžný mezi operacemi ransomwaru.

Tato detekce stanoví základní hodnoty normálních pracovních vzorů jednotlivých uživatelů ve vaší organizaci, například kdy uživatel přistupuje ke cloudu a co běžně dělá v cloudu.

Zásady Defender for Cloud Apps automatizované detekce hrozeb začnou běžet na pozadí od okamžiku, kdy se připojíte. S využitím našich odborných znalostí průzkumu zabezpečení k identifikaci vzorců chování, které odrážejí aktivitu ransomwaru v naší organizaci, Defender for Cloud Apps poskytuje komplexní pokrytí proti sofistikovaným útokům ransomware.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud si můžete ověřit, že aktivita nebyla provedena uživatelem.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP (Neobvyklé chování): Uživatel v krátké době oprávněně provedl více aktivit odstranění a nahrávání podobných souborů.

   Doporučená akce: Po kontrole protokolu aktivit a potvrzení, že přípony souborů nejsou podezřelé, upozornění zavřete.

3. FP (běžná přípona souboru ransomwaru): Pokud si můžete ověřit, že rozšíření ovlivněných souborů odpovídají známému rozšíření ransomwaru.

   Doporučená akce: Obraťte se na uživatele, ověřte, že jsou soubory bezpečné, a pak upozornění zavřete.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte v protokolu aktivit další indikátory ohrožení zabezpečení, jako je hromadné stahování nebo hromadné odstraňování souborů.
2. Pokud používáte Microsoft Defender for Endpoint, zkontrolujte upozornění počítače uživatele a zjistěte, jestli se nezjistily škodlivé soubory.
3. V protokolu aktivit vyhledejte aktivity nahrávání a sdílení škodlivých souborů.

Neobvyklá aktivita odstraňování souborů (podle uživatele)

Aktivity označující, že uživatel provedl neobvyklou aktivitu odstranění souborů ve srovnání se zjištěným standardním plánem. To může znamenat útok ransomwarem. Útočník může například zašifrovat soubory uživatele a odstranit všechny původní soubory a ponechat pouze šifrované verze, které mohou být použity k tomu, aby oběť zaplatila výkupné. Defender for Cloud Apps vytvoří směrný plán na základě normálního chování uživatele a aktivuje výstrahu při zjištění neobvyklého chování.

Období výuky

Vytvoření vzorce aktivity nového uživatele vyžaduje počáteční výukové období sedmi dnů, během kterého se neaktivují upozornění pro žádná nová umístění.

TP, B-TP nebo FP?

1. TP: Pokud jste schopni potvrdit, že aktivitu neprovedli legitimní uživatel.

   Doporučená akce: Pozastavte uživatele, označte uživatele jako ohroženého a resetujte jeho heslo.

2. FP: Pokud jste schopni ověřit, že uživatel oprávněně provedl více aktivit odstranění souborů, než je stanovený směrný plán.

   Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

1. Zkontrolujte aktivity odstranění a vytvořte seznam odstraněných souborů. V případě potřeby odstraňte odstraněné soubory.
2. Volitelně můžete pomocí Power Automate vytvořit playbook, který bude kontaktovat uživatele a jejich manažery, aby ověřili aktivitu.

Zvýšení skóre priority šetření (starší verze)

Od listopadu 2024 se vyřazuje podpora rizikových uživatelů pro Microsoft Defender for Cloud Apps. Pokud se tato funkce používala ve vaší organizaci a je potřeba, doporučujeme použít funkci Skóre rizika Entra. Další informace najdete v následujících zdrojích informací:

• Šetření Microsoft Entra ID Protection rizik – Microsoft Entra ID Protection | Microsoft Learn

• Microsoft Entra ID Protection zásad přístupu na základě rizik – Microsoft Entra ID Protection | Microsoft Learn

Viz také

Zkoumání rizikových uživatelů