Compartir a través de

Tutorial: Detección de actividad sospechosa de usuarios con análisis de comportamiento (UEBA)

  • Artículo

Microsoft Defender for Cloud Apps proporciona las mejores detecciones de clase en toda la cadena de eliminación de ataques para usuarios en peligro, amenazas internas, filtración, ransomware, etc. Nuestra solución completa se logra mediante la combinación de varios métodos de detección, como anomalías, análisis de comportamiento (UEBA) y detecciones de actividad basadas en reglas, para proporcionar una visión amplia de cómo los usuarios usan las aplicaciones en su entorno.

¿Por qué es importante detectar comportamientos sospechosos? El impacto de un usuario capaz de modificar el entorno de nube puede ser significativo y afectar directamente a su capacidad para ejecutar su negocio. Por ejemplo, los recursos corporativos clave, como los servidores que ejecutan el sitio web público o el servicio que proporciona a los clientes, pueden verse comprometidos.

Con los datos capturados de varios orígenes, Defender for Cloud Apps analiza los datos para extraer las actividades de aplicaciones y usuarios de su organización, lo que proporciona a los analistas de seguridad visibilidad del uso en la nube. Los datos recopilados están correlacionados, estandarizados y enriquecidos con inteligencia sobre amenazas, ubicación y muchos otros detalles para proporcionar una visión precisa y coherente de las actividades sospechosas.

Por lo tanto, para obtener todas las ventajas de estas detecciones, primero asegúrese de configurar los siguientes orígenes:

A continuación, querrá ajustar las directivas. Las directivas siguientes se pueden optimizar estableciendo filtros, umbrales dinámicos (UEBA) para ayudar a entrenar sus modelos de detección y supresiones para reducir las detecciones comunes de falsos positivos:

  • Detección de anomalías
  • Detección de anomalías de cloud discovery
  • Detección de actividad basada en reglas

En este tutorial, aprenderá a optimizar las detecciones de actividad del usuario para identificar verdaderos riesgos y reducir la fatiga de alertas resultante del control de grandes volúmenes de detecciones de falsos positivos:

Fase 1: Configuración de intervalos de direcciones IP

Antes de configurar directivas individuales, es aconsejable configurar intervalos IP para que estén disponibles para su uso en el ajuste de cualquier tipo de directivas de detección de actividad de usuario sospechosas.

Dado que la información de direcciones IP es fundamental para casi todas las investigaciones, la configuración de direcciones IP conocidas ayuda a nuestros algoritmos de aprendizaje automático a identificar ubicaciones conocidas y considerarlas como parte de los modelos de aprendizaje automático. Por ejemplo, agregar el intervalo de direcciones IP de la VPN ayudará al modelo a clasificar correctamente este intervalo IP y excluirlo automáticamente de las detecciones de viaje imposibles porque la ubicación vpn no representa la ubicación verdadera de ese usuario.

Nota: Los intervalos IP configurados no se limitan a las detecciones y se usan a lo largo de Defender for Cloud Apps en áreas como actividades en el registro de actividad, acceso condicional, etc. Tenga esto en cuenta al configurar los intervalos. Por ejemplo, la identificación de las direcciones IP de la oficina física le permite personalizar la forma en que se muestran e investigan los registros y las alertas.

Revisión de alertas de detección de anomalías integradas

Defender for Cloud Apps incluye un conjunto de alertas de detección de anomalías para identificar diferentes escenarios de seguridad. Estas detecciones se habilitan automáticamente de forma inmediata y comenzarán a generar perfiles de actividad de usuario y a generar alertas en cuanto se conecten los conectores de aplicación pertinentes .

Empiece por familiarizarse con las diferentes directivas de detección, priorizar los principales escenarios que considere más relevantes para su organización y ajustar las directivas en consecuencia.

Fase 2: Ajuste de las directivas de detección de anomalías

Hay disponibles varias directivas de detección de anomalías integradas en Defender for Cloud Apps preconfiguradas para casos de uso de seguridad comunes. Debe tomarse algún tiempo para familiarizarse con las detecciones más populares, como:

  • Desplazamiento imposible
    Actividades del mismo usuario en diferentes ubicaciones dentro de un período más corto que el tiempo de viaje esperado entre las dos ubicaciones.
  • Actividad desde países o regiones poco frecuentes
    Actividad desde una ubicación que el usuario no visitó recientemente o nunca.
  • Detección de malware
    Examina los archivos de las aplicaciones en la nube y ejecuta archivos sospechosos a través del motor de inteligencia sobre amenazas de Microsoft para determinar si están asociados con malware conocido.
  • Actividad de ransomware
    Los archivos se cargan en la nube que pueden estar infectados con ransomware.
  • Actividad de direcciones IP sospechosas
    Actividad de una dirección IP que Microsoft Threat Intelligence ha identificado como de riesgo.
  • Reenvío de bandeja de entrada sospechoso
    Detecta reglas de reenvío sospechosas de la bandeja de entrada que se han establecido en la bandeja de entrada de un usuario.
  • Actividades inusuales de descarga de archivos múltiples
    Detecta actividades de descarga de varios archivos en una sola sesión con respecto a la línea base aprendida, lo que podría indicar un intento de vulneración de seguridad.
  • Actividades administrativas inusuales
    Detecta múltiples actividades administrativas en una sola sesión con respecto a la línea de base aprendida, lo que podría indicar un intento de vulneración de seguridad.

Para obtener una lista completa de las detecciones y lo que hacen, consulte Directivas de detección de anomalías.

Nota:

Aunque algunas de las detecciones de anomalías se centran principalmente en detectar escenarios de seguridad problemáticos, otros pueden ayudar a identificar e investigar comportamientos anómalo del usuario que pueden no indicar necesariamente un riesgo. Para estas detecciones, creamos otro tipo de datos denominado "comportamientos" que está disponible en la Microsoft Defender XDR experiencia de búsqueda avanzada. Para obtener más información, consulte Comportamientos.

Una vez que esté familiarizado con las directivas, debe considerar cómo desea ajustarlas a los requisitos específicos de su organización para dirigirse mejor a las actividades que puede que desee investigar más.

  1. Directivas de ámbito para usuarios o grupos específicos

    El ámbito de las directivas a usuarios específicos puede ayudar a reducir el ruido de las alertas que no son relevantes para su organización. Cada directiva se puede configurar para incluir o excluir usuarios y grupos específicos, como en los ejemplos siguientes:

    • Simulaciones de ataque
      Muchas organizaciones usan un usuario o un grupo para simular ataques constantemente. Obviamente, no tiene sentido recibir alertas constantemente de las actividades de estos usuarios. Por lo tanto, puede configurar las directivas para excluir estos usuarios o grupos. Esto también ayuda a los modelos de aprendizaje automático a identificar a estos usuarios y a ajustar sus umbrales dinámicos en consecuencia.
    • Detecciones dirigidas
      Es posible que su organización esté interesada en investigar un grupo específico de usuarios VIP, como los miembros de un administrador o un grupo CXO. En este escenario, puede crear una directiva para las actividades que desea detectar y elegir incluir solo el conjunto de usuarios o grupos que le interesen.

  2. Ajuste de detecciones de inicio de sesión anómalas

    Algunas organizaciones quieren ver las alertas resultantes de actividades de inicio de sesión con errores , ya que pueden indicar que alguien intenta dirigirse a una o varias cuentas de usuario. Por otro lado, los ataques por fuerza bruta en las cuentas de usuario se producen todo el tiempo en la nube y las organizaciones no tienen manera de evitarlos. Por lo tanto, las organizaciones más grandes suelen decidir recibir solo alertas de actividades de inicio de sesión sospechosas que dan lugar a actividades de inicio de sesión correctas, ya que pueden representar verdaderos compromisos.

    El robo de identidad es una fuente clave de peligro y supone un vector de amenaza importante para su organización. Nuestros viajes imposibles, la actividad de direcciones IP sospechosas y las alertas de detecciones de país o región poco frecuentes le ayudan a detectar actividades que sugieren que una cuenta está potencialmente en peligro.

  3. Ajuste de la sensibilidad del viaje imposibleConfigure el control deslizante de confidencialidad que determina el nivel de supresiones aplicadas al comportamiento anómalo antes de desencadenar una alerta de viaje imposible. Por ejemplo, las organizaciones interesadas en la alta fidelidad deben considerar la posibilidad de aumentar el nivel de confidencialidad. Por otro lado, si su organización tiene muchos usuarios que viajan, considere la posibilidad de reducir el nivel de confidencialidad para suprimir las actividades de las ubicaciones comunes de un usuario aprendidas de las actividades anteriores. Puede elegir entre los siguientes niveles de confidencialidad:

    • Bajo: supresión del sistema, inquilino y usuario
    • Medio: supresión del sistema y del usuario
    • Alto: solo supresiones del sistema

    Donde:

    Tipo de supresión Descripción
    Sistema Detecciones integradas que siempre se suprimirán.
    Espacio empresarial Actividades comunes basadas en actividades previas del espacio empresarial. Por ejemplo, suprimir las actividades de un ISP en el que se ha alertado previamente en su organización.
    Usuario Actividades comunes basadas en actividades anteriores de un usuario específico. Por ejemplo, suprimir las actividades de una ubicación que el usuario usa habitualmente.

Fase 3: Ajuste de las directivas de detección de anomalías de cloud discovery

Al igual que las directivas de detección de anomalías, hay varias directivas integradas de detección de anomalías de detección de nube que puede ajustar. Por ejemplo, la directiva Filtración de datos a aplicaciones no autorizadas le avisa cuando los datos se filtran a una aplicación no autorizada y viene preconfigurada con la configuración basada en la experiencia de Microsoft en el campo de seguridad.

Sin embargo, puede ajustar las directivas integradas o crear sus propias directivas para ayudarle a identificar otros escenarios que puedan estar interesados en investigar. Dado que estas directivas se basan en registros de detección de nube, tienen diferentes funcionalidades de optimización más centradas en el comportamiento anómalo de las aplicaciones y la filtración de datos.

  1. Optimización de la supervisión del uso
    Establezca los filtros de uso para controlar la línea base, el ámbito y el período de actividad para detectar comportamientos anómalo. Por ejemplo, es posible que desee recibir alertas de actividades anómalas relacionadas con los empleados de nivel ejecutivo.

  2. Ajuste de la confidencialidad de las alertas
    Para evitar la fatiga de alertas, configure la confidencialidad de las alertas. Puede usar el control deslizante de confidencialidad para controlar el número de alertas de alto riesgo enviadas por cada 1000 usuarios por semana. Las sensibilidades más altas requieren menos varianza para considerarse una anomalía y generar más alertas. En general, establezca una baja confidencialidad para los usuarios que no tienen acceso a datos confidenciales.

Fase 4: Ajuste de las directivas de detección basada en reglas (actividad)

Las directivas de detección basadas en reglas proporcionan la capacidad de complementar las directivas de detección de anomalías con requisitos específicos de la organización. Se recomienda crear directivas basadas en reglas mediante una de nuestras plantillas de directiva de actividad (vaya aPlantillas de control> y establezca el filtro Tipo en Directiva de actividad) y, a continuación, configurarlas para detectar comportamientos que no son normales para su entorno. Por ejemplo, para algunas organizaciones que no tienen presencia en un país o región determinados, puede tener sentido crear una directiva que detecte las actividades anómalas de ese país o región y alerte sobre ellas. Para otros, que tienen ramas grandes en ese país o región, las actividades de ese país o región serían normales y no tendría sentido detectar dichas actividades.

  1. Ajuste del volumen de actividad
    Elija el volumen de actividad necesario antes de que la detección genere una alerta. Con nuestro ejemplo de país o región, si no tiene presencia en un país o región, incluso una sola actividad es significativa y garantiza una alerta. Sin embargo, un error de inicio de sesión único podría ser un error humano y solo de interés si hay muchos errores en un breve período.
  2. Ajustar filtros de actividad
    Establezca los filtros necesarios para detectar el tipo de actividad en la que desea alertar. Por ejemplo, para detectar actividad de un país o región, use el parámetro Location .
  3. Optimización de alertas
    Para evitar la fatiga de alertas, establezca el límite diario de alertas.

Fase 5: Configuración de alertas

Nota:

Desde el 15 de diciembre de 2022, las alertas/SMS (mensajes de texto) han quedado en desuso. Si desea recibir alertas de texto, debe usar Microsoft Power Automate para la automatización de alertas personalizada. Para obtener más información, consulte Integración con Microsoft Power Automate para la automatización de alertas personalizada.

Puede elegir recibir alertas en el formato y medio que más se adapte a sus necesidades. Para recibir alertas inmediatas en cualquier momento del día, es posible que prefiera recibirlas por correo electrónico.

También puede querer la capacidad de analizar alertas en el contexto de otras alertas desencadenadas por otros productos de su organización para proporcionarle una vista holística de una posible amenaza. Por ejemplo, es posible que desee correlacionar entre eventos locales y basados en la nube para ver si hay alguna otra evidencia mitigante que pueda confirmar un ataque.

Además, también puede desencadenar la automatización de alertas personalizada mediante nuestra integración con Microsoft Power Automate. Por ejemplo, puede configurar un cuaderno de estrategias para crear automáticamente un problema en ServiceNow o enviar un correo electrónico de aprobación para ejecutar una acción de gobernanza personalizada cuando se desencadene una alerta.

Use las siguientes directrices para configurar las alertas:

  1. Correo electrónico
    Elija esta opción para recibir alertas por correo electrónico.
  2. SIEM
    Hay varias opciones de integración siem, como Microsoft Sentinel, Microsoft Graph API para seguridad y otros SIEMs genéricos. Elija la integración que mejor se adapte a sus requisitos.
  3. Automatización de Power Automate
    Cree los cuadernos de estrategias de automatización que necesita y establézcalo como alerta de la directiva en la acción de Power Automate.

Fase 6: Investigación y corrección

Genial, ha configurado las directivas y empieza a recibir alertas de actividad sospechosa. ¿Qué debe hacer al respecto? Para empezar, debe realizar los pasos necesarios para investigar la actividad. Por ejemplo, es posible que desee examinar las actividades que indican que un usuario se ha visto comprometido.

Para optimizar la protección, debe considerar la posibilidad de configurar acciones de corrección automáticas para minimizar el riesgo para la organización. Nuestras directivas le permiten aplicar acciones de gobernanza junto con las alertas para que el riesgo para su organización se reduzca incluso antes de empezar a investigar. Las acciones disponibles vienen determinadas por el tipo de directiva, incluidas acciones como suspender a un usuario o bloquear el acceso al recurso solicitado.

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.

Más información