Selvstudium: Registrer mistænkelig brugeraktivitet med adfærdsanalyse (UEBA)

Microsoft Defender for Cloud Apps giver klassens bedste opdagelser på tværs af kæden for angrebsdræb for kompromitterede brugere, insidertrusler, exfiltration, ransomware og meget mere. Vores omfattende løsning opnås ved at kombinere flere registreringsmetoder, herunder uregelmæssigheder, adfærdsanalyse (UEBA) og regelbaserede aktivitetsregistreringer, for at give en bred visning af, hvordan dine brugere bruger apps i dit miljø.

Så hvorfor er det vigtigt at opdage mistænkelig adfærd? Indvirkningen af en bruger, der kan ændre dit cloudmiljø, kan være betydelig og direkte påvirke din mulighed for at køre din virksomhed. Vigtige virksomhedsressourcer som f.eks. de servere, der kører dit offentlige websted eller den tjeneste, du leverer til kunderne, kan blive kompromitteret.

Ved hjælp af data, der er hentet fra flere kilder, analyserer Defender for Cloud Apps dataene for at udtrække app- og brugeraktiviteter i din organisation, hvilket giver dine sikkerhedsanalytikere indblik i brugen af skyen. De indsamlede data er korreleret, standardiseret og beriget med trusselsintelligens, placering og mange andre oplysninger for at give et nøjagtigt og ensartet overblik over mistænkelige aktiviteter.

Hvis du vil udnytte fordelene ved disse registreringer fuldt ud, skal du først sørge for at konfigurere følgende kilder:

• Aktivitetslog
  Aktiviteter fra dine API-forbundne apps.
• Registreringslog
  Aktiviteter, der er udtrukket fra logfiler for firewall- og proxytrafik, som videresendes til Defender for Cloud Apps. Loggene analyseres i forhold til kataloget over cloudapps, rangeres og scores baseret på mere end 90 risikofaktorer.
• Proxylog
  Aktiviteter fra appen til betinget adgang til kontrol af apps.

Derefter skal du justere politikkerne. Følgende politikker kan finjusteres ved at angive filtre, dynamiske tærskler (UEBA) for at hjælpe med at oplære deres registreringsmodeller og undertrykkelser for at reducere almindelige falske positive registreringer:

• Registrering af uregelmæssigheder
• Registrering af uregelmæssigheder i cloudregistrering
• Regelbaseret aktivitetsregistrering

I dette selvstudium lærer du, hvordan du justerer registreringer af brugeraktivitet for at identificere ægte kompromiser og reducere advarselstræthed som følge af håndtering af store mængder falske positive registreringer:

• Konfigurer IP-adresseområder
• Juster politikker for registrering af uregelmæssigheder
• Juster politikker for registrering af uregelmæssigheder i skyen
• Juster regelbaserede registreringspolitikker
• Konfigurer beskeder
• Undersøg og afhjælp

Fase 1: Konfigurer IP-adresseområder

Før du konfigurerer individuelle politikker, anbefales det at konfigurere IP-intervaller, så de er tilgængelige til brug i finjustering af enhver type mistænkelige politikker for registrering af brugeraktivitet.

Da IP-adresseoplysninger er vigtige for næsten alle undersøgelser, hjælper konfiguration af kendte IP-adresser vores algoritmer til maskinel indlæring med at identificere kendte placeringer og betragte dem som en del af modellerne til maskinel indlæring. Hvis du f.eks. tilføjer IP-adresseområdet for din VPN, hjælper det modellen med at klassificere dette IP-interval korrekt og automatisk udelukke det fra umulige rejseregistreringer, fordi VPN-placeringen ikke repræsenterer den sande placering for den pågældende bruger.

Bemærk!

Konfigurerede IP-områder er ikke begrænset til registreringer og bruges i hele Defender for Cloud Apps i områder som aktiviteter i aktivitetsloggen, betinget adgang osv. Vær opmærksom på dette, når du konfigurerer intervaller. Så hvis du f.eks. identificerer dine fysiske Office-IP-adresser, kan du tilpasse den måde, logge og beskeder vises og undersøges på.

Gennemse beskeder om registrering af uregelmæssigheder, der er helt fra kassen

Defender for Cloud Apps indeholder et sæt beskeder om registrering af uregelmæssigheder for at identificere forskellige sikkerhedsscenarier. Disse registreringer aktiveres automatisk fra starten og begynder at profilere brugeraktivitet og generere beskeder, så snart de relevante appconnectors er tilsluttet.

Start med at blive fortrolig med de forskellige registreringspolitikker, prioriter de vigtigste scenarier, som du mener er mest relevante for din organisation, og tilpas politikkerne i overensstemmelse hermed.

Fase 2: Juster politikker for registrering af uregelmæssigheder

Flere indbyggede politikker for registrering af uregelmæssigheder er tilgængelige i Defender for Cloud Apps, der er forudkonfigureret til almindelige sikkerhedsanvendelsessager. Du bør bruge lidt tid på at blive fortrolig med de mere populære registreringer, f.eks.:

• Umulig rejse
  Aktiviteter fra den samme bruger på forskellige placeringer inden for en periode, der er kortere end den forventede rejsetid mellem de to placeringer.
• Aktivitet fra sjældne lande
  Aktivitet fra en placering, som brugeren ikke har besøgt for nylig eller aldrig har besøgt.
• Registrering af malware
  Scanner filer i dine cloudapps og kører mistænkelige filer via Microsofts threat intelligence-program for at afgøre, om de er knyttet til kendt malware.
• Ransomware-aktivitet
  Filoverførsler til skyen, der kan være inficeret med ransomware.
• Aktivitet fra mistænkelige IP-adresser
  Aktivitet fra en IP-adresse, der er blevet identificeret som risikable af Microsoft Threat Intelligence.
• Mistænkelig videresendelse af indbakke
  Registrerer mistænkelige regler for videresendelse af indbakker, der er angivet for en brugers indbakke.
• Usædvanligt antal fildownloadaktiviteter
  Registrerer flere fildownloadaktiviteter i en enkelt session med hensyn til den lærte baseline, hvilket kan indikere et forsøg på brud.
• Usædvanlige administrative aktiviteter
  Registrerer flere administrative aktiviteter i en enkelt session med hensyn til den lærte baseline, hvilket kan indikere et forsøg på brud.

Du kan se en komplet liste over registreringer, og hvad de gør, under Politikker for registrering af uregelmæssigheder.

Bemærk!

Mens nogle af registreringerne af uregelmæssigheder primært fokuserer på registrering af problematiske sikkerhedsscenarier, kan andre hjælpe med at identificere og undersøge uregelmæssigheder i brugeradfærd, der muligvis ikke nødvendigvis indikerer et kompromis. For sådanne opdagelser har vi oprettet en anden datatype kaldet "adfærd", som er tilgængelig i Microsoft Defender XDR avancerede jagtoplevelse. Du kan få flere oplysninger under Funktionsmåder.

Når du er fortrolig med politikkerne, bør du overveje, hvordan du vil finjustere dem til din organisations specifikke krav for bedre at målrette aktiviteter, som du måske vil undersøge nærmere.

1. Omfangspolitikker til bestemte brugere eller grupper

   Hvis du angiver områder for bestemte brugere, kan det hjælpe med at reducere støj fra beskeder, der ikke er relevante for din organisation. Hver politik kan konfigureres til at inkludere eller udelade bestemte brugere og grupper, f.eks. i følgende eksempler:

   • Simuleringer af angreb
     Mange organisationer bruger en bruger eller en gruppe til konstant at simulere angreb. Det giver naturligvis ikke mening hele tiden at modtage beskeder fra disse brugeres aktiviteter. Du kan derfor konfigurere dine politikker for at udelade disse brugere eller grupper. Dette hjælper også modeller til maskinel indlæring med at identificere disse brugere og finjustere deres dynamiske tærskler i overensstemmelse hermed.
   • Målrettede registreringer
     Din organisation kan være interesseret i at undersøge en bestemt gruppe VIP-brugere, f.eks. medlemmer af en administrator eller CXO-gruppe. I dette scenarie kan du oprette en politik for de aktiviteter, du vil registrere, og vælge kun at inkludere det sæt brugere eller grupper, du er interesseret i.

2. Juster registreringer af unormalt logon

   Nogle organisationer vil gerne se beskeder, der stammer fra mislykkede logonaktiviteter , da de kan indikere, at nogen forsøger at målrette en eller flere brugerkonti. På den anden side forekommer brute force-angreb på brugerkonti hele tiden i skyen, og organisationer kan ikke forhindre dem. Derfor beslutter større organisationer normalt kun at modtage beskeder om mistænkelige logonaktiviteter, der resulterer i vellykkede logonaktiviteter, da de kan udgøre ægte kompromiser.

   Identitetstyveri er en vigtig kilde til kompromiser og udgør en stor trusselsvektor for din organisation. Vores umulige rejser, aktiviteter fra mistænkelige IP-adresser og sjældne registreringer af lande/områder hjælper dig med at finde aktiviteter, der antyder, at en konto potentielt er kompromitteret.

3. Juster følsomheden for umulig rejseKonfigurer følsomhedsskyderen , der bestemmer niveauet af undertrykkelse, der anvendes på unormal adfærd, før der udløses en umulig rejsebesked. Organisationer, der er interesseret i høj pålidelighed, bør f.eks. overveje at øge følsomhedsniveauet. På den anden side, hvis din organisation har mange brugere, der rejser, kan du overveje at sænke følsomhedsniveauet for at undertrykke aktiviteter fra en brugers fælles placeringer, der er lært fra tidligere aktiviteter. Du kan vælge mellem følgende følsomhedsniveauer:

   • Lav: System-, lejer- og brugerundertryk
   • Medium: System- og brugerundertryk
   • Høj: Kun systemundertrykkelser

   Hvor:

   Undertrykkelsestype	Beskrivelse
   System	Indbyggede opdagelser, der altid undertrykkes.
   Lejer	Almindelige aktiviteter baseret på tidligere aktiviteter i lejeren. Det kan f.eks. være undertrykkelse af aktiviteter fra en internetudbyder, der tidligere er blevet advaret i din organisation.
   Bruger	Almindelige aktiviteter baseret på den specifikke brugers tidligere aktivitet. Det kan f.eks. være undertrykkelse af aktiviteter fra en placering, der ofte bruges af brugeren.

Fase 3: Finjuster politikker for registrering af uregelmæssigheder i skyen

Ligesom politikkerne for registrering af uregelmæssigheder er der flere indbyggede politikker for registrering af uregelmæssigheder i skyen , som du kan finjustere. Dataudfiltrering til ikke-administrerede apps giver dig f.eks. besked, når data eksfiltreres til en ikke-godkendt app, og de forudkonfigureres med indstillinger, der er baseret på Microsofts erfaring inden for sikkerhedsfeltet.

Du kan dog finjustere de indbyggede politikker eller oprette dine egne politikker for at hjælpe dig med at identificere andre scenarier, som du kan være interesseret i at undersøge. Da disse politikker er baseret på cloudregistreringslogge, har de forskellige justeringsfunktioner , der er mere fokuseret på unormal appfunktionsmåde og dataudfiltrering.

1. Juster overvågning af forbrug
   Angiv forbrugsfiltrene for at styre den oprindelige plan, omfanget og aktivitetsperioden for at registrere uregelmæssigheder. Det kan f.eks. være, at du vil modtage beskeder om unormale aktiviteter, der vedrører medarbejdere på ledelsesniveau.

2. Juster vigtig beskedfølsomhed
   Konfigurer følsomheden for beskeder for at forhindre advarselstræthed. Du kan bruge følsomhedsskyderen til at styre antallet af beskeder med høj risiko, der sendes pr. 1.000 brugere pr. uge. Højere følsomheder kræver mindre varians for at blive betragtet som en uregelmæssighed og generere flere beskeder. Generelt skal du angive lav følsomhed for brugere, der ikke har adgang til fortrolige data.

Fase 4: Juster regelbaserede registreringspolitikker (aktivitet)

Regelbaserede registreringspolitikker giver dig mulighed for at supplere politikker for registrering af uregelmæssigheder med organisationsspecifikke krav. Vi anbefaler, at du opretter regelbaserede politikker ved hjælp af en af vores aktivitetspolitikskabeloner (gå tilKontrolskabeloner>, og angiv filteret Type til Aktivitetspolitik) og derefter konfigurerer dem til at registrere funktionsmåder, der ikke er normale for dit miljø. For nogle organisationer, der ikke har nogen tilstedeværelse i et bestemt land/område, kan det f.eks. være fornuftigt at oprette en politik, der registrerer de uregelmæssige aktiviteter fra det pågældende land/område og giver besked om dem. For andre, der har store forgreninger i det pågældende land/område, vil aktiviteter fra det pågældende land/område være normale, og det ville ikke give mening at registrere sådanne aktiviteter.

1. Juster aktivitetsmængde
   Vælg den aktivitetsmængde, der kræves, før registreringen udløser en besked. Hvis du bruger vores eksempel på land/område, og du ikke har nogen tilstedeværelse i et land/område, er selv en enkelt aktivitet betydelig og kræver en advarsel. Men en enkeltlogonfejl kan være en menneskelig fejl og kun af interesse, hvis der er mange fejl på kort tid.
2. Juster aktivitetsfiltre
   Angiv de filtre, du har brug for, for at registrere den type aktivitet, du vil advare om. Hvis du f.eks. vil registrere aktivitet fra et land/område, skal du bruge parameteren Location .
3. Juster beskeder
   Hvis du vil forhindre advarselstræthed, skal du angive den daglige beskedgrænse.

Fase 5: Konfigurer beskeder

Bemærk!

Siden den 15. december 2022 frarådes beskederne/sms'erne (sms'er). Hvis du vil modtage tekstbeskeder, skal du bruge Microsoft Power Automate til automatisering af brugerdefinerede beskeder. Du kan få flere oplysninger under Integrer med Microsoft Power Automate til automatisering af brugerdefinerede beskeder.

Du kan vælge at modtage beskeder i det format og medium, der passer mest til dine behov. Hvis du vil modtage øjeblikkelige beskeder når som helst på dagen, foretrækker du måske at modtage dem via mail.

Du vil måske også gerne have mulighed for at analysere beskeder i forbindelse med andre beskeder, der udløses af andre produkter i din organisation, for at give dig en holistisk visning af en potentiel trussel. Det kan f.eks. være, at du vil sammenligne mellem skybaserede hændelser og hændelser i det lokale miljø for at se, om der er andre formildende beviser, der kan bekræfte et angreb.

Derudover kan du også udløse automatisering af brugerdefinerede beskeder ved hjælp af vores integration med Microsoft Power Automate. Du kan f.eks. konfigurere en playbook automatisk oprette et problem i ServiceNow eller sende en godkendelsesmail for at udføre en brugerdefineret styringshandling, når en besked udløses.

Brug følgende retningslinjer til at konfigurere dine beskeder:

1. E-mail
   Vælg denne indstilling for at modtage beskeder via mail.
2. SIEM
   Der er flere muligheder for SIEM-integration, herunder Microsoft Sentinel, Microsoft Graph sikkerhed-API og andre generiske SIEMs. Vælg den integration, der bedst opfylder dine krav.
3. Power Automate-automatisering
   Opret de automatiseringsbøger, du har brug for, og angiv dem som politikkens besked om Power Automate-handling.

Fase 6: Undersøg og afhjælp

Fantastisk, du har konfigureret dine politikker og begynder at modtage mistænkelige aktivitetsbeskeder. Hvad skal du gøre ved dem? Til at starte med skal du tage skridt til at undersøge aktiviteten. Det kan f.eks. være, at du vil undersøge aktiviteter, der angiver, at en bruger er blevet kompromitteret.

Hvis du vil optimere beskyttelsen, bør du overveje at konfigurere automatiske afhjælpningshandlinger for at minimere risikoen for din organisation. Vores politikker giver dig mulighed for at anvende styringshandlinger sammen med beskederne, så risikoen for din organisation reduceres, selv før du begynder at undersøge sagen. Tilgængelige handlinger bestemmes af politiktypen, herunder handlinger som f.eks. suspendering af en bruger eller blokering af adgang til den ønskede ressource.

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.

Lær mere

• Prøv vores interaktive vejledning: Registrer trusler, og administrer beskeder med Microsoft Defender for Cloud Apps