Sådan undersøges beskeder om registrering af uregelmæssigheder

Microsoft Defender for Cloud Apps indeholder sikkerhedsregistreringer og beskeder om skadelige aktiviteter. Formålet med denne vejledning er at give dig generelle og praktiske oplysninger om hver enkelt indberetning for at hjælpe dig med dine undersøgelses- og afhjælpningsopgaver. Inkluderet i denne vejledning er generelle oplysninger om betingelserne for udløsning af beskeder. Det er dog vigtigt at bemærke, at da registreringer af uregelmæssigheder i sagens natur er nondeterministiske, udløses de kun, når der er funktionsmåder, der afviger fra normen. Til sidst kan nogle beskeder være en prøveversion, så gennemse regelmæssigt den officielle dokumentation for at få opdateret beskedstatus.

MITRE ATT&CK

For at forklare og gøre det nemmere at kortlægge relationen mellem Defender for Cloud Apps beskeder og den velkendte MITRE ATT-&CK-matrix har vi kategoriseret beskederne efter deres tilsvarende MITRE ATT-&CK-taktik. Denne ekstra reference gør det lettere at forstå teknikken for mistænkte angreb, der potentielt bruges, når en Defender for Cloud Apps besked udløses.

Denne vejledning indeholder oplysninger om undersøgelse og afhjælpning af Defender for Cloud Apps beskeder i følgende kategorier.

• Indledende adgang
• Henrettelse
• Persistens
• Rettighedseskalering
• Adgang til legitimationsoplysninger
• Samling
• Eksfiltration
• Indvirkning

Klassificeringer af sikkerhedsadvarsler

Efter en korrekt undersøgelse kan alle Defender for Cloud Apps beskeder klassificeres som en af følgende aktivitetstyper:

• Sand positiv (TP): En besked om en bekræftet skadelig aktivitet.
• Godartet sand positiv (B-TP): En advarsel om mistænkelig, men ikke ondsindet aktivitet, såsom en indtrængningstest eller anden godkendt mistænkelig handling.
• Falsk positiv (FP): En besked om en ikke-normal aktivitet.

Generelle undersøgelsestrin

Du bør bruge følgende generelle retningslinjer, når du undersøger en hvilken som helst type besked for at få en tydeligere forståelse af den potentielle trussel, før du anvender den anbefalede handling.

• Gennemse brugerens prioritetsscore for undersøgelse , og sammenlign den med resten af organisationen. Dette hjælper dig med at identificere, hvilke brugere i din organisation der udgør den største risiko.
• Hvis du identificerer en TP, skal du gennemse alle brugerens aktiviteter for at få en forståelse af indvirkningen.
• Gennemse alle brugeraktiviteter for at se andre indikatorer for kompromitteret tilstand, og udforsk kilden og omfanget af indvirkningen. Gennemse f.eks. følgende brugerenhedsoplysninger, og sammenlign med kendte enhedsoplysninger:
  • Operativsystem og version
  • Browser og version
  • IP-adresse og -placering

Indledende adgangsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at få det første fodfæste i din organisation.

Aktivitet fra anonym IP-adresse

Beskrivelse

Aktivitet fra en IP-adresse, der er blevet identificeret som en anonym proxy-IP-adresse af Microsoft Threat Intelligence eller af din organisation. Disse proxyer kan bruges til at skjule en enheds IP-adresse og kan bruges til skadelige aktiviteter.

TP, B-TP eller FP?

Denne registrering bruger en algoritme til maskinel indlæring, der reducerer B-TP-hændelser , f.eks. forkert kodede IP-adresser, der bruges i vid udstrækning af brugere i organisationen.

1. TP: Hvis du kan bekræfte, at aktiviteten blev udført fra en anonym eller TOR IP-adresse.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. B-TP: Hvis en bruger er kendt for at bruge anonyme IP-adresser i omfanget af deres opgaver. Det kan f.eks. være, når en sikkerhedsanalytiker udfører sikkerheds- eller indtrængningstest på vegne af organisationen.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

• Gennemse alle brugeraktiviteter og beskeder for andre indikatorer for kompromitteret tilstand. Hvis beskeden f.eks. blev efterfulgt af en anden mistænkelig besked, f.eks. en usædvanlig fildownload (af bruger) eller en besked om videresendelse af mistænkelig indbakke , indikerer det ofte, at en hacker forsøger at exfiltere data.

Aktivitet fra sjældne lande

Aktivitet fra et land/område, der kan angive skadelig aktivitet. Denne politik profilerer dit miljø og udløser beskeder, når der registreres aktivitet fra en placering, der ikke blev besøgt for nylig eller aldrig blev besøgt af nogen bruger i organisationen.

Politikken kan begrænses yderligere til et undersæt af brugere eller kan udelukke brugere, der er kendt for at rejse til eksterne placeringer.

Læringsperiode

Registrering af unormale placeringer kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nogen nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling:

   1. Afbryd brugeren, nulstil brugerens adgangskode, og identificer det rette tidspunkt til sikkert at aktivere kontoen igen.
   2. Valgfrit: Opret en playbook ved hjælp af Power Automate for at kontakte brugere, der registreres som opretter forbindelse fra sjældne placeringer, og deres ledere for at bekræfte deres aktivitet.

2. B-TP: Hvis en bruger vides at være på denne placering. Det kan f.eks. være, når en bruger rejser ofte og i øjeblikket befinder sig på den angivne placering.

   Anbefalet handling:

   1. Afvis beskeden, og rediger politikken for at udelade brugeren.
   2. Opret en brugergruppe for hyppige rejsende, importér gruppen til Defender for Cloud Apps, og udeluk brugerne fra denne besked
   3. Valgfrit: Opret en playbook ved hjælp af Power Automate for at kontakte brugere, der registreres som opretter forbindelse fra sjældne placeringer, og deres ledere for at bekræfte deres aktivitet.

Forstå omfanget af sikkerhedsbrud

• Gennemse, hvilken ressource der kan være blevet kompromitteret, f.eks. potentielle dataoverførsler.

Aktivitet fra mistænkelige IP-adresser

Aktivitet fra en IP-adresse, der er blevet identificeret som risikable af Microsoft Threat Intelligence eller af din organisation. Disse IP-adresser blev identificeret som værende involveret i skadelige aktiviteter, f.eks. udførelse af adgangskodespray, botnetkommando og -kontrol (C&C), og kan indikere en kompromitteret konto.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. B-TP: Hvis en bruger er kendt for at bruge IP-adressen i omfanget af deres opgaver. Det kan f.eks. være, når en sikkerhedsanalytiker udfører sikkerheds- eller indtrængningstest på vegne af organisationen.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen, og søg efter aktiviteter fra den samme IP-adresse.
2. Gennemse, hvilke ressourcer der kan være blevet kompromitteret, f.eks. potentielle dataoverførsler eller administrative ændringer.
3. Opret en gruppe til sikkerhedsanalytikere, der frivilligt udløser disse beskeder, og ekskluder dem fra politikken.

Umulig rejse

Aktivitet fra den samme bruger på forskellige placeringer inden for en tidsperiode, der er kortere end den forventede rejsetid mellem de to placeringer. Dette kan indikere et brud på legitimationsoplysningerne, men det er også muligt, at brugerens faktiske placering maskeres, f.eks. ved hjælp af en VPN.

For kun at forbedre nøjagtigheden og advarslen, når der er en stærk indikation af et brud, Defender for Cloud Apps etablerer en baseline for hver bruger i organisationen og giver kun besked, når den usædvanlige adfærd registreres. Den umulige rejsepolitik kan finjusteres til dine behov.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

Denne registrering bruger en algoritme til maskinel indlæring, der ignorerer indlysende B-TP-betingelser , f.eks. når IP-adresserne på begge sider af rejsen betragtes som sikre, rejser er betroet og udelukket fra at udløse impossible rejse opdagelse. Begge sider anses f.eks. for at være sikre, hvis de er mærket som virksomhedens. Men hvis IP-adressen på kun den ene side af rejsen betragtes som sikker, udløses registreringen som normalt.

1. TP: Hvis du er i stand til at bekræfte, at placeringen i det umulige rejsebesked er usandsynligt for brugeren.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (uopdaget bruger rejser): Hvis du er i stand til at bekræfte, at brugeren for nylig rejste til den destination, der er nævnt i beskeden. Hvis en brugers telefon, der er i flytilstand, f.eks. forbliver forbundet med tjenester som Exchange Online på virksomhedens netværk, mens de rejser til en anden placering. Når brugeren ankommer til den nye placering, opretter telefonen forbindelse til Exchange Online udløser den umulige rejsebesked.

   Anbefalet handling: Afvis beskeden.

3. FP (Untagged VPN): Hvis du er i stand til at bekræfte, at IP-adresseintervallet er fra en sanktioneret VPN.

   Anbefalet handling: Afvis beskeden, og føj VPN'ens IP-adresseinterval til Defender for Cloud Apps, og brug den derefter til at mærke VPN'ens IP-adresseinterval.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen for at få en forståelse af lignende aktiviteter på samme placering og IP-adresse.
2. Hvis du kan se, at brugeren udførte andre risikable aktiviteter, f.eks. download af en stor mængde filer fra en ny placering, ville dette være en stærk indikation af et muligt kompromis.
3. Tilføj virksomhedens VPN- og IP-adresseintervaller.
4. Opret en playbook ved hjælp af Power Automate, og kontakt brugerens leder for at se, om brugeren har lovligt rejser.
5. Overvej at oprette en kendt rejsedatabase til op til det minutlige organisationsrejserapportering, og brug den til at krydshenvisning af rejseaktivitet.

Vildledende OAuth-appnavn

Denne registrering identificerer apps med tegn, f.eks. fremmede bogstaver, der ligner latinske bogstaver. Dette kan indikere et forsøg på at skjule en skadelig app som en kendt og pålidelig app, så hackere kan vildlede brugerne til at downloade deres skadelige app.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at appen har et vildledende navn.

   Anbefalet handling: Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app.

Hvis du vil forbyde adgang til appen, skal du vælge forbudsikonet på fanerne Google eller Salesforce på siden Appstyring på den række, hvor den app, du vil forbyde, vises. - Du kan vælge, om du vil fortælle brugerne, om den app, de har installeret og godkendt, er blevet forbudt. Meddelelsen giver brugerne besked om, at appen er deaktiveret, og at de ikke har adgang til den forbundne app. Hvis du ikke ønsker, at de skal vide det, skal du fjerne markeringen af Giv brugere, der har givet adgang til denne forbudte app, besked i dialogboksen. – Det anbefales, at du giver appbrugerne besked om, at deres app er ved at blive forbudt at bruge.

1. FP: Hvis du vil bekræfte, at appen har et vildledende navn, men har en legitim forretningsmæssig brug i organisationen.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

• Følg selvstudiet om, hvordan du undersøger risikable OAuth-apps.

Vildledende udgivernavn for en OAuth-app

Denne registrering identificerer apps med tegn, f.eks. fremmede bogstaver, der ligner latinske bogstaver. Dette kan indikere et forsøg på at skjule en skadelig app som en kendt og pålidelig app, så hackere kan vildlede brugerne til at downloade deres skadelige app.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at appen har et vildledende udgivernavn.

   Anbefalet handling: Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app.

2. FP: Hvis du vil bekræfte, at appen har et vildledende udgivernavn, men er en legitim udgiver.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. På fanerne Google eller Salesforce på siden Appstyring skal du vælge appen for at åbne appskuffen og derefter vælge Relateret aktivitet. Dette åbner siden Aktivitetslog , der er filtreret efter aktiviteter, der udføres af appen. Vær opmærksom på, at nogle apps udfører aktiviteter, der er registreret som at være blevet udført af en bruger. Disse aktiviteter filtreres automatisk fra resultaterne i aktivitetsloggen. Du kan finde flere oplysninger ved hjælp af aktivitetsloggen i Aktivitetslog.
2. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og udgiver i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:
   • Apps med et lavt antal downloads.
   • Apps med lav bedømmelse eller score eller forkerte kommentarer.
   • Apps med en mistænkelig udgiver eller et mistænkeligt websted.
   • Apps, der ikke er blevet opdateret for nylig. Dette kan indikere, at en app ikke længere understøttes.
   • Apps, der har irrelevante tilladelser. Dette kan indikere, at en app er risikabel.
3. Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appnavnet, udgiveren og URL-adressen online.

Kørselsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at køre skadelig kode i din organisation.

Aktiviteter til sletning af flere lagerpladser

Aktiviteter i en enkelt session, der angiver, at en bruger udførte et usædvanligt antal sletninger af cloudlager eller -databaser fra ressourcer, f.eks. Azure-blobs, AWS S3-buckets eller Cosmos DB sammenlignet med den lærte baseline. Dette kan indikere et forsøg på brud på organisationen.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du vil bekræfte, at sletningerne var uautoriseret.

   Anbefalet handling: Afbryd brugeren, nulstil deres adgangskode, og scan alle enheder for skadelige trusler. Gennemse alle brugeraktiviteter for at se andre indikatorer for kompromitteret tilstand, og udforsk omfanget af indvirkningen.

2. FP: Hvis du efter din undersøgelse kan bekræfte, at administratoren er godkendt til at udføre disse sletningsaktiviteter.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Kontakt brugeren, og bekræft aktiviteten.
2. Gennemse aktivitetsloggen for at se andre indikatorer for kompromis, og se, hvem der har foretaget ændringen.
3. Gennemse den pågældende brugers aktiviteter for at få vist ændringer i andre tjenester.

Flere aktiviteter til oprettelse af vm

Aktiviteter i en enkelt session, der angiver, at en bruger udførte et usædvanligt antal handlinger til oprettelse af en VM sammenlignet med den oprindelige plan, der blev lært. Flere VM-oprettelser på en cloudinfrastruktur, der er brudt, kan indikere et forsøg på at køre kryptografi-minehandlinger fra din organisation.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

For kun at forbedre nøjagtigheden og advarslen, når der er en stærk indikation af et brud, etablerer denne registrering en baseline for hvert miljø i organisationen for at reducere B-TP-hændelser , f.eks. at en administrator lovligt har oprettet flere VM'er end den etablerede baseline og advarer kun, når den usædvanlige funktionsmåde registreres.

• TP: Hvis du kan bekræfte, at oprettelsesaktiviteterne ikke blev udført af en legitim bruger.

  Anbefalet handling: Afbryd brugeren, nulstil deres adgangskode, og scan alle enheder for skadelige trusler. Gennemse alle brugeraktiviteter for at se andre indikatorer for kompromitteret tilstand, og udforsk omfanget af indvirkningen. Derudover skal du kontakte brugeren, bekræfte vedkommendes legitime handlinger og derefter sørge for at deaktivere eller slette eventuelle kompromitterede VM'er.

• B-TP: Hvis du efter din undersøgelse kan bekræfte, at administratoren er godkendt til at udføre disse oprettelsesaktiviteter.

  Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter for at få vist andre indikatorer for kompromitteret tilstand.
2. Gennemse de ressourcer, der er oprettet eller ændret af brugeren, og bekræft, at de overholder organisationens politikker.

Mistænkelig oprettelsesaktivitet for cloudområde (prøveversion)

Aktiviteter, der angiver, at en bruger udførte en usædvanlig handling til oprettelse af ressourcer i et ualmindeligt AWS-område sammenlignet med den oprindelige plan, der blev lært. Oprettelse af ressourcer i ualmindelige cloudområder kan indikere et forsøg på at udføre en skadelig aktivitet, f.eks. kryptominingshandlinger fra din organisation.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

For kun at forbedre nøjagtigheden og advare, når der er en stærk indikation af et brud, etablerer denne registrering en baseline for hvert miljø i organisationen for at reducere B-TP-hændelser .

• TP: Hvis du kan bekræfte, at oprettelsesaktiviteterne ikke blev udført af en legitim bruger.

  Anbefalet handling: Afbryd brugeren, nulstil deres adgangskode, og scan alle enheder for skadelige trusler. Gennemse alle brugeraktiviteter for at se andre indikatorer for kompromitteret tilstand, og udforsk omfanget af indvirkningen. Derudover skal du kontakte brugeren, bekræfte vedkommendes legitime handlinger og derefter sørge for at deaktivere eller slette eventuelle kompromitterede cloudressourcer.

• B-TP: Hvis du efter din undersøgelse kan bekræfte, at administratoren er godkendt til at udføre disse oprettelsesaktiviteter.

  Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter for at få vist andre indikatorer for kompromitteret tilstand.
2. Gennemse de ressourcer, der er oprettet, og bekræft, at de overholder organisationens politikker.

Beskeder om fastholdelse

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at bevare deres fodfæste i din organisation.

Aktivitet udført af afsluttet bruger

En aktivitet, der udføres af en afbrudt bruger, kan angive, at en afsluttet medarbejder, der stadig har adgang til virksomhedens ressourcer, forsøger at udføre en skadelig aktivitet. Defender for Cloud Apps profilerer brugere i organisationen og udløser en besked, når en afbrudt bruger udfører en aktivitet.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at den afbrudte bruger stadig har adgang til visse virksomhedsressourcer og udfører aktiviteter.

   Anbefalet handling: Deaktiver brugeren.

2. B-TP: Hvis du kan fastslå, at brugeren er blevet midlertidigt deaktiveret eller er blevet slettet og registreret igen.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Krydsreference-HR-poster for at bekræfte, at brugeren er afsluttet.
2. Valider eksistensen af den Microsoft Entra brugerkonto.

   Bemærk!

   Hvis du bruger Microsoft Entra Connect, skal du validere objektet Active Directory i det lokale miljø og bekræfte en vellykket synkroniseringscyklus.

3. Identificer alle apps, som den afsluttede bruger havde adgang til, og demonter kontiene.
4. Opdater nedlukningsprocedurer.

Mistænkelig ændring af CloudTrail-logføringstjeneste

Aktiviteter i en enkelt session, der angiver, at en bruger udførte mistænkelige ændringer af AWS CloudTrail-logføringstjenesten. Dette kan indikere et forsøg på brud på organisationen. Når CloudTrail deaktiveres, logføres driftsændringer ikke længere. En hacker kan udføre skadelige aktiviteter og samtidig undgå en CloudTrail-overvågningshændelse, f.eks. ændre en S3-bucket fra privat til offentlig.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, nulstil brugerens adgangskode, og vend CloudTrail-aktiviteten tilbage.

2. FP: Hvis du kan bekræfte, at brugeren har deaktiveret CloudTrail-tjenesten korrekt.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen for at se, hvem der har foretaget ændringen af CloudTrail-tjenesten, for at se, hvem der har foretaget ændringen.
2. Valgfrit: Opret en playbook ved hjælp af Power Automate for at kontakte brugere og deres ledere for at bekræfte deres aktivitet.

Mistænkelig aktivitet for sletning af mail (efter bruger)

Aktiviteter i en enkelt session, der angiver, at en bruger udførte mistænkelige sletninger af mails. Typen af sletning var typen "hard delete", som gør mailelementet slettet og ikke tilgængeligt i brugerens postkasse. Sletningen blev foretaget fra en forbindelse, der indeholder ualmindelige indstillinger, f.eks. internetudbyder, land/område og brugeragent. Dette kan indikere et forsøg på brud på organisationen, f.eks. personer med ondsindede hensigter, der forsøger at maskere handlinger, ved at slette mails, der er relateret til spamaktiviteter.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP: Hvis du kan bekræfte, at brugeren har oprettet en regel om sletning af meddelelser.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

• Gennemse alle brugeraktivitet for andre indikatorer for kompromitteret, f.eks . den mistænkelige besked om videresendelse af indbakke efterfulgt af en besked om umulig rejse . Se efter:

  1. Nye regler for videresendelse af SMTP på følgende måde:
     • Kontrollér, om der er skadelige regelnavne til videresendelse. Regelnavne kan variere fra simple navne, f.eks. "Videresend alle mails" og "Automatisk videresendelse" eller vildledende navne, f.eks. et knapt synligt ".". Videresendelse af regelnavne kan endda være tomme, og modtageren af videresendelse kan være en enkelt mailkonto eller en hel liste. Skadelige regler kan også skjules fra brugergrænsefladen. Når det er registreret, kan du bruge dette nyttige blogindlæg om, hvordan du sletter skjulte regler fra postkasser.
     • Hvis du registrerer en ukendt videresendelsesregel til en ukendt intern eller ekstern mailadresse, kan du antage, at indbakkekontoen er blevet kompromitteret.
  2. Nye indbakkeregler, f.eks. "slet alle", "flyt meddelelser til en anden mappe" eller dem med skjulte navngivningskonventioner, f.eks. "...".
  3. En stigning i sendte mails.

Regel for mistænkelig indbakkemanipulation

Aktiviteter, der angiver, at en hacker fik adgang til en brugers indbakke og oprettede en mistænkelig regel. Manipulationsregler, f.eks. sletning eller flytning af meddelelser eller mapper fra en brugers indbakke, kan være et forsøg på at eksfiltrere oplysninger fra din organisation. På samme måde kan de angive et forsøg på at manipulere oplysninger, som en bruger ser, eller bruge deres indbakke til at distribuere spam, phishing-mails eller malware. Defender for Cloud Apps profiler dit miljø og udløser beskeder, når der registreres mistænkelige regler for manipulation af indbakker i en brugers indbakke. Dette kan indikere, at brugerens konto er kompromitteret.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at der blev oprettet en skadelig indbakkeregel, og kontoen blev kompromitteret.

   Anbefalet handling: Afbryd brugeren, nulstil brugerens adgangskode, og fjern videresendelsesreglen.

2. FP: Hvis du kan bekræfte, at en bruger har oprettet reglen korrekt.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktivitet for andre indikatorer for kompromitteret, f.eks . den mistænkelige besked om videresendelse af indbakke efterfulgt af en besked om umulig rejse . Se efter:
   • Nye regler for videresendelse af SMTP.
   • Nye indbakkeregler, f.eks. "slet alle", "flyt meddelelser til en anden mappe" eller dem med skjulte navngivningskonventioner, f.eks. "...".
2. Indsaml IP-adresse og placeringsoplysninger for handlingen.
3. Gennemse de aktiviteter, der udføres fra den IP-adresse, der bruges til at oprette reglen, for at registrere andre kompromitterede brugere.

Rettighedseskaleringsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at få tilladelser på et højere niveau i din organisation.

Usædvanlig administrativ aktivitet (efter bruger)

Aktiviteter, der angiver, at en hacker har kompromitteret en brugerkonto og udført administrative handlinger, der ikke er fælles for den pågældende bruger. En hacker kan f.eks. forsøge at ændre en sikkerhedsindstilling for en bruger, en handling, der er relativt sjælden for en almindelig bruger. Defender for Cloud Apps opretter en baseline baseret på brugerens funktionsmåde og udløser en besked, når den usædvanlige funktionsmåde registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim administrator.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP: Hvis du kan bekræfte, at en administrator lovligt udførte den usædvanlige mængde administrative aktiviteter.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter for andre indikatorer for kompromitteret, f.eks . videresendelse af mistænkelig indbakke eller Impossible Travel.
2. Gennemse andre konfigurationsændringer, f.eks. oprettelse af en brugerkonto, der kan bruges til vedholdenhed.

Beskeder om adgang til legitimationsoplysninger

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at stjæle kontonavne og adgangskoder fra din organisation.

Flere mislykkede logonforsøg

Mislykkede logonforsøg kan indikere ved et forsøg på at bryde en konto. Mislykkede logons kan dog også være normal funktionsmåde. Når en bruger f.eks. indtastede en forkert adgangskode ved en fejl. For kun at opnå nøjagtighed og advarsel, når der er en stærk indikation af et forsøg på brud, Defender for Cloud Apps etablerer en basislinje for logonvaner for hver bruger i organisationen og vil kun advare, når den usædvanlige adfærd registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

Denne politik er baseret på at lære en brugers normale logonfunktion. Når der registreres en afvigelse fra normen, udløses en besked. Hvis registreringen begynder at se, at den samme funktionsmåde fortsætter, udløses beskeden kun én gang.

1. TP (MFA mislykkes): Hvis du kan bekræfte, at MFA fungerer korrekt, kan dette være et tegn på et forsøg på et brute force-angreb.

   Anbefalede handlinger:

   1. Afbryd brugeren midlertidigt, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.
   2. Find den app, der udførte de mislykkede godkendelser, og konfigurer den igen.
   3. Søg efter andre brugere, der er logget på omkring tidspunktet for aktiviteten, da de muligvis også er kompromitteret. Afbryd brugeren midlertidigt, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. B-TP (MFA mislykkes): Hvis du kan bekræfte, at beskeden er forårsaget af et problem med MFA.

   Anbefalet handling: Opret en playbook ved hjælp af Power Automate for at kontakte brugeren og kontrollere, om brugeren har problemer med MFA.

3. B-TP (Forkert konfigureret app): Hvis du kan bekræfte, at en forkert konfigureret app forsøger at oprette forbindelse til en tjeneste flere gange med udløbne legitimationsoplysninger.

   Anbefalet handling: Afvis beskeden.

4. B-TP (adgangskode ændret): Hvis du kan bekræfte, at en bruger har ændret sin adgangskode for nylig, men det ikke har påvirket legitimationsoplysningerne på tværs af netværksshares.

   Anbefalet handling: Afvis beskeden.

5. B-TP (Sikkerhedstest): Hvis du kan bekræfte, at en sikkerheds- eller indtrængningstest udføres af sikkerhedsanalytikere på vegne af organisationen.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter for andre indikatorer for kompromis, f.eks. beskeden, efterfølges af en af følgende beskeder: Impossible Travel, Aktivitet fra anonym IP-adresse eller Aktivitet fra sjældne lande.
2. Gennemse følgende brugerenhedsoplysninger, og sammenlign med kendte enhedsoplysninger:
   • Operativsystem og version
   • Browser og version
   • IP-adresse og -placering
3. Identificer kildens IP-adresse eller placering, hvor godkendelsesforsøget fandt sted.
4. Identificer, om brugeren for nylig har ændret sin adgangskode, og sørg for, at alle apps og enheder har den opdaterede adgangskode.

Usædvanlig tilføjelse af legitimationsoplysninger til en OAuth-app

Denne registrering identificerer den mistænkelige tilføjelse af privilegerede legitimationsoplysninger til en OAuth-app. Dette kan indikere, at en hacker har kompromitteret appen og bruger den til skadelig aktivitet.

Læringsperiode

Hvis du vil lære din organisations miljø, kræver det en periode på syv dage, hvor du kan forvente en stor mængde beskeder.

Usædvanlig internetudbyder for en OAuth-app

Registreringen identificerer en OAuth-app, der opretter forbindelse til dit cloudprogram fra en internetudbyder, som ikke er almindelig for appen. Dette kan indikere, at en hacker forsøgte at bruge en legitim kompromitteret app til at udføre skadelige aktiviteter på dine cloudprogrammer.

Læringsperiode

Læringsperioden for denne registrering er 30 dage.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke var en legitim aktivitet i OAuth-appen, eller at denne internetudbyder ikke bruges af den legitime OAuth-app.

   Anbefalet handling: Tilbagekald alle adgangstokens i OAuth-appen, og undersøg, om en hacker har adgang til at generere OAuth-adgangstokens.

2. FP: Hvis du kan bekræfte, at aktiviteten er foretaget lovligt af den ægte OAuth-app.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse de aktiviteter, der er udført af OAuth-appen.

2. Undersøg, om en hacker har adgang til at generere OAuth-adgangstokens.

Indsamlingsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at indsamle data af interesse for deres mål fra din organisation.

Flere aktiviteter til deling af Power BI-rapporter

Aktiviteter i en enkelt session, der angiver, at en bruger udførte et usædvanligt antal aktiviteter i forbindelse med deling af rapporter i Power BI sammenlignet med den lærte baseline. Dette kan indikere et forsøg på brud på organisationen.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Fjern delingsadgang fra Power BI. Hvis du kan bekræfte, at kontoen er kompromitteret, skal du suspendere brugeren, markere brugeren som kompromitteret og nulstille sin adgangskode.

2. FP: Hvis du kan bekræfte, at brugeren havde en forretningsberettigelse til at dele disse rapporter.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen for at få en bedre forståelse af andre aktiviteter, der udføres af brugeren. Se på den IP-adresse, de er logget på fra, og enhedsoplysningerne.
2. Kontakt dit Power BI-team eller Information Protection team for at forstå retningslinjerne for deling af rapporter internt og eksternt.

Mistænkelig deling af Power BI-rapport

Aktiviteter, der angiver, at en bruger delte en Power BI-rapport, der kan indeholde følsomme oplysninger, der er identificeret ved hjælp af NLP til at analysere rapportens metadata. Rapporten blev enten delt med en ekstern mailadresse, publiceret på internettet, eller et snapshot blev leveret til en mailadresse, der abonneres på eksternt. Dette kan indikere et forsøg på brud på organisationen.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Fjern delingsadgang fra Power BI. Hvis du kan bekræfte, at kontoen er kompromitteret, skal du suspendere brugeren, markere brugeren som kompromitteret og nulstille sin adgangskode.

2. FP: Hvis du kan bekræfte, at brugeren havde en forretningsberettigelse til at dele disse rapporter.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen for at få en bedre forståelse af andre aktiviteter, der udføres af brugeren. Se på den IP-adresse, de er logget på fra, og enhedsoplysningerne.
2. Kontakt dit Power BI-team eller Information Protection team for at forstå retningslinjerne for deling af rapporter internt og eksternt.

Usædvanlig repræsenteret aktivitet (efter bruger)

I nogle programmer er der muligheder for at give andre brugere mulighed for at repræsentere andre brugere. Mailtjenester giver f.eks. brugerne mulighed for at give andre brugere tilladelse til at sende mail på deres vegne. Denne aktivitet bruges ofte af hackere til at oprette phishing-mails i et forsøg på at udtrække oplysninger om din organisation. Defender for Cloud Apps opretter en oprindelig plan baseret på brugerens funktionsmåde og opretter en aktivitet, når der registreres en usædvanlig repræsentationsaktivitet.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (Usædvanlig adfærd): Hvis du kan bekræfte, at brugeren lovligt udførte de usædvanlige aktiviteter eller flere aktiviteter end den etablerede baseline.

   Anbefalet handling: Afvis beskeden.

3. FP: Hvis du kan bekræfte, at apps, f.eks. Teams, legitimt repræsenterede brugeren.

   Anbefalet handling: Gennemse handlingerne, og afvis beskeden, hvis det er nødvendigt.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter og beskeder for yderligere indikatorer for kompromitteret tilstand.
2. Gennemse repræsentationsaktiviteterne for at identificere potentielle skadelige aktiviteter.
3. Gennemse konfigurationen af delegeret adgang.

Exfiltrationsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at stjæle data fra din organisation.

Mistænkelig videresendelse af indbakke

Aktiviteter, der angiver, at en hacker fik adgang til en brugers indbakke og oprettede en mistænkelig regel. Manipulationsregler, f.eks. videresendelse af alle eller specifikke mails til en anden mailkonto, kan være et forsøg på at exfiltrere oplysninger fra din organisation. Defender for Cloud Apps profiler dit miljø og udløser beskeder, når der registreres mistænkelige regler for manipulation af indbakker i en brugers indbakke. Dette kan indikere, at brugerens konto er kompromitteret.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at der blev oprettet en regel for videresendelse af skadelig indbakke, og kontoen blev kompromitteret.

   Anbefalet handling: Afbryd brugeren, nulstil brugerens adgangskode, og fjern videresendelsesreglen.

2. FP: Hvis du kan bekræfte, at brugeren har oprettet en videresendelsesregel til en ny eller personlig ekstern mailkonto af legitime årsager.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter for at få yderligere indikatorer for kompromis, f.eks. at beskeden efterfølges af en besked om umulig rejse . Se efter:

   1. Nye regler for videresendelse af SMTP på følgende måde:
      • Kontrollér, om der er skadelige regelnavne til videresendelse. Regelnavne kan variere fra simple navne, f.eks. "Videresend alle mails" og "Automatisk videresendelse" eller vildledende navne, f.eks. et knapt synligt ".". Videresendelse af regelnavne kan endda være tomme, og modtageren af videresendelse kan være en enkelt mailkonto eller en hel liste. Skadelige regler kan også skjules fra brugergrænsefladen. Når det er registreret, kan du bruge dette nyttige blogindlæg om, hvordan du sletter skjulte regler fra postkasser.
      • Hvis du registrerer en ukendt videresendelsesregel til en ukendt intern eller ekstern mailadresse, kan du antage, at indbakkekontoen er blevet kompromitteret.
   2. Nye indbakkeregler, f.eks. "slet alle", "flyt meddelelser til en anden mappe" eller dem med skjulte navngivningskonventioner, f.eks. "...".

2. Gennemse de aktiviteter, der udføres fra den IP-adresse, der bruges til at oprette reglen, for at registrere andre kompromitterede brugere.

3. Gennemse listen over videresendte meddelelser ved hjælp af Exchange Online meddelelsessporing.

Usædvanlig fildownload (efter bruger)

Aktiviteter, der angiver, at en bruger udførte et usædvanligt antal fildownloads fra en cloudlagerplatform sammenlignet med den lærte baseline. Dette kan indikere et forsøg på at få oplysninger om organisationen. Defender for Cloud Apps opretter en baseline baseret på brugerens funktionsmåde og udløser en besked, når den usædvanlige funktionsmåde registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (Usædvanlig funktionsmåde): Hvis du kan bekræfte, at brugeren lovligt har udført flere fildownloadaktiviteter end den etablerede baseline.

   Anbefalet handling: Afvis beskeden.

3. FP (softwaresynkronisering): Hvis du kan bekræfte, at softwaren, f.eks OneDrive, er synkroniseret med en ekstern sikkerhedskopi, der forårsagede beskeden.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse downloadaktiviteterne, og opret en liste over downloadede filer.
2. Gennemse følsomheden af de downloadede filer med ressourceejeren, og valider adgangsniveauet.

Usædvanlig filadgang (efter bruger)

Aktiviteter, der angiver, at en bruger udførte et usædvanligt antal filadgange i SharePoint eller OneDrive til filer, der indeholder økonomiske data eller netværksdata sammenlignet med den lærte baseline. Dette kan indikere et forsøg på at få oplysninger om organisationen, uanset om det er til økonomiske formål eller til adgang til legitimationsoplysninger og tværgående bevægelse. Defender for Cloud Apps opretter en baseline baseret på brugerens funktionsmåde og udløser en besked, når den usædvanlige funktionsmåde registreres.

Læringsperiode

Læringsperioden afhænger af brugerens aktivitet. Generelt er læringsperioden mellem 21 og 45 dage for de fleste brugere.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (Usædvanlig funktionsmåde): Hvis du kan bekræfte, at brugeren lovligt har udført flere filadgangsaktiviteter end den etablerede baseline.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse adgangsaktiviteterne, og opret en liste over filer, du har adgang til.
2. Gennemse følsomheden for de filer, du har adgang til, med ressourceejeren, og valider adgangsniveauet.

Usædvanlig fildelingsaktivitet (efter bruger)

Aktiviteter, der angiver, at en bruger udførte et usædvanligt antal fildelingshandlinger fra en cloudlagerplatform sammenlignet med den oprindelige plan, der blev lært. Dette kan indikere et forsøg på at få oplysninger om organisationen. Defender for Cloud Apps opretter en baseline baseret på brugerens funktionsmåde og udløser en besked, når den usædvanlige funktionsmåde registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (Usædvanlig funktionsmåde): Hvis du kan bekræfte, at brugeren lovligt har udført flere fildelingsaktiviteter end den etablerede baseline.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse delingsaktiviteterne, og opret en liste over delte filer.
2. Gennemse følsomheden for de delte filer med ressourceejeren, og valider adgangsniveauet.
3. Opret en filpolitik for lignende dokumenter for at registrere fremtidig deling af følsomme filer.

Effektbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at manipulere, afbryde eller ødelægge dine systemer og data i din organisation.

Flere slette VM-aktiviteter

Aktiviteter i en enkelt session, der angiver, at en bruger udførte et usædvanligt antal sletninger af vm'er sammenlignet med den oprindelige plan, der blev lært. Flere sletninger af vm'er kan indikere et forsøg på at afbryde eller ødelægge et miljø. Der er dog mange normale scenarier, hvor VM'er slettes.

TP, B-TP eller FP?

For kun at forbedre nøjagtigheden og advarslen, når der er en stærk indikation af et brud, opretter denne registrering en baseline for hvert miljø i organisationen for at reducere B-TP-hændelser og kun advare, når den usædvanlige adfærd registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

• TP: Hvis du kan bekræfte, at sletningerne var uautoriseret.

  Anbefalet handling: Afbryd brugeren, nulstil deres adgangskode, og scan alle enheder for skadelige trusler. Gennemse alle brugeraktiviteter for at se andre indikatorer for kompromitteret tilstand, og udforsk omfanget af indvirkningen.

• B-TP: Hvis du efter din undersøgelse kan bekræfte, at administratoren er godkendt til at udføre disse sletningsaktiviteter.

  Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Kontakt brugeren, og bekræft aktiviteten.
2. Gennemse alle brugeraktiviteter for yderligere indikatorer for kompromis, f.eks. beskeden, efterfulgt af en af følgende beskeder: Impossible Travel, Aktivitet fra anonym IP-adresse eller Aktivitet fra sjældne lande.

Ransomware-aktivitet

Ransomware er et cyberangreb, hvor en hacker låser ofrene ud af deres enheder eller blokerer dem fra at få adgang til deres filer, indtil offeret betaler en løsesum. Ransomware kan spredes af en skadelig delt fil eller kompromitteret netværk. Defender for Cloud Apps bruger ekspertise inden for sikkerhedsforskning, trusselsintelligens og lærte adfærdsmønstre til at identificere ransomware-aktivitet. For eksempel kan en høj forekomst af filuploads eller sletninger af filer repræsentere en krypteringsproces, der er almindelig blandt ransomware-handlinger.

Denne registrering etablerer en grundlinje for de normale arbejdsmønstre for hver bruger i din organisation, f.eks. når brugeren tilgår cloudmiljøet, og hvad de normalt gør i cloudmiljøet.

Den Defender for Cloud Apps automatiserede politikker for trusselsregistrering begynder at køre i baggrunden fra det øjeblik, du opretter forbindelse. Ved hjælp af vores ekspertise inden for sikkerhedsforskning til at identificere adfærdsmønstre, der afspejler ransomware-aktivitet i vores organisation, giver Defender for Cloud Apps omfattende dækning mod sofistikerede ransomware-angreb.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af brugeren.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP (Usædvanlig adfærd): Brugeren udførte med rette flere sletnings- og uploadaktiviteter for lignende filer på kort tid.

   Anbefalet handling: Når du har gennemset aktivitetsloggen og bekræftet, at filtypenavnene ikke er mistænkelige, skal du afvise beskeden.

3. FP (Fælles ransomware-filtypenavn): Hvis du er i stand til at bekræfte, at udvidelserne af de berørte filer er et match for en kendt ransomware-udvidelse.

   Anbefalet handling: Kontakt brugeren, og bekræft, at filerne er sikre, og luk derefter beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktivitetsloggen for at få vist andre indikatorer for kompromiser, f.eks. massedownload eller massesletning af filer.
2. Hvis du bruger Microsoft Defender for Endpoint, skal du gennemse brugerens computerbeskeder for at se, om der blev fundet skadelige filer.
3. Søg i aktivitetsloggen efter upload og deling af skadelige filer.

Usædvanlig aktivitet for filsletning (efter bruger)

Aktiviteter, der angiver, at en bruger udførte en usædvanlig aktivitet til sletning af filer sammenlignet med den oprindelige plan. Dette kan indikere ransomware-angreb. En hacker kan f.eks. kryptere en brugers filer og slette alle originalerne, så det kun er de krypterede versioner, der kan bruges til at tvinge offeret til at betale en løsesum. Defender for Cloud Apps opretter en baseline baseret på brugerens normale funktionsmåde og udløser en besked, når den usædvanlige funktionsmåde registreres.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for nye placeringer.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at aktiviteten ikke blev udført af en legitim bruger.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. FP: Hvis du kan bekræfte, at brugeren har udført flere aktiviteter for filsletning end den fastsatte baseline.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse aktiviteterne for sletning, og opret en liste over slettede filer. Gendan de slettede filer, hvis det er nødvendigt.
2. Du kan også oprette en playbook ved hjælp af Power Automate for at kontakte brugere og deres ledere for at bekræfte aktiviteten.

Forøgelse af score for undersøgelsesprioritet (prøveversion)

Unormale aktiviteter og aktiviteter, der udløste beskeder, får scorer baseret på brugerens alvorsgrad, indvirkning på brugeren og adfærdsanalyser. Analysen udføres på baggrund af andre brugere i lejerne.

Når der er en betydelig og unormal stigning i scoren for undersøgelsesprioriteten for en bestemt bruger, udløses beskeden.

Denne besked gør det muligt at registrere potentielle brud, der er kendetegnet ved aktiviteter, der ikke nødvendigvis udløser specifikke beskeder, men akkumuleres til en mistænkelig adfærd for brugeren.

Læringsperiode

Oprettelse af en ny brugers aktivitetsmønster kræver en indledende læringsperiode på syv dage, hvor beskeder ikke udløses for en scoreforøgelse.

TP, B-TP eller FP?

1. TP: Hvis du kan bekræfte, at brugerens aktiviteter ikke er legitime.

   Anbefalet handling: Afbryd brugeren, markér brugeren som kompromitteret, og nulstil brugerens adgangskode.

2. B-TP: Hvis du er i stand til at bekræfte, at brugeren faktisk væsentligt afviget fra den sædvanlige adfærd, men der er ingen potentielle brud.

3. FP (Usædvanlig adfærd): Hvis du kan bekræfte, at brugeren lovligt udførte de usædvanlige aktiviteter eller flere aktiviteter end den etablerede baseline.

   Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

1. Gennemse alle brugeraktiviteter og beskeder for yderligere indikatorer for kompromitteret tilstand.

Tidslinje for udfasning

Vi udfaser gradvist beskeden om forøgelse af undersøgelsesprioriteten fra Microsoft Defender for Cloud Apps inden august 2024.

Efter omhyggelig analyse og overvejelse besluttede vi at fraråde den på grund af det høje antal falske positiver, der er knyttet til denne besked, som vi fandt, ikke bidrog effektivt til den overordnede sikkerhed i din organisation.

Vores forskning viste, at denne funktion ikke tilføjede væsentlig værdi og ikke var i overensstemmelse med vores strategiske fokus på at levere pålidelige sikkerhedsløsninger af høj kvalitet.

Vi er forpligtet til løbende at forbedre vores tjenester og sikre, at de opfylder dine behov og forventninger.

For dem, der ønsker at fortsætte med at bruge denne besked, foreslår vi, at du i stedet bruger følgende avancerede jagtforespørgsel som en foreslået skabelon. Rediger forespørgslen ud fra dine behov.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Se også

Undersøg risikable brugere