Poikkeamien tunnistamisilmoitusten tutkiminen

Microsoft Defender for Cloud Apps tarjoaa suojauksen tunnistuksia ja ilmoituksia haitallisista toimista. Tämän oppaan tarkoituksena on antaa yleisiä ja käytännön tietoja kustakin ilmoituksesta, jotta voit auttaa tutkinnassa ja korjaustehtävissä. Tähän oppaaseen sisältyy yleisiä tietoja ilmoitusten käynnistämisen ehdoista. On kuitenkin tärkeää huomata, että koska poikkeamien havaitsemiset ovat luonteeltaan epädeterministisiä, ne käynnistyvät vain, kun käytös poikkeaa normista. Lopuksi jotkin hälytykset saattavat olla esikatseluvaiheessa, joten tarkista säännöllisesti viralliset ohjeet päivitetystä ilmoituksen tilasta.

MITRE ATT&CK

Jotta voimme selittää ja helpottaa Defender for Cloud Apps ilmoitusten ja tutun MITRE ATT&CK Matrixin välistä suhdetta, olemme luokitelleet hälytykset niiden vastaavan MITRE ATT&CK -taktiikkansa perusteella. Tämän ylimääräisen viittauksen avulla on helpompi ymmärtää mahdollisia hyökkäystekniikoita, jotka ovat käytössä, kun Defender for Cloud Apps hälytys käynnistetään.

Tässä oppaassa on tietoja Defender for Cloud Apps ilmoitusten tutkimisesta ja korjaamisesta seuraavissa luokissa.

• Alkukäyttö
• Teloitus
• Sitkeys
• Oikeuksien eskalointi
• Tunnistetietojen käyttö
• Kokoelma
• Suodatus
• Vaikutus

Suojaushälytysten luokitukset

Asianmukaisen tutkinnan jälkeen kaikki Defender for Cloud Apps hälytykset voidaan luokitella yhdeksi seuraavista toimintatyypeistä:

• True positive (TP): Ilmoitus vahvistetusta haitallisesta toiminnasta.
• Benign true positive (B-TP): Ilmoitus epäilyttävästä mutta ei haitallisesta toiminnasta, kuten penetraatiotestistä tai muusta valtuutetusta epäilyttävästä toiminnasta.
• Epätosi-positiivinen (FP): Ilmoitus ei-aktiivisuudesta.

Yleiset tutkimusvaiheet

Käytä seuraavia yleisiä ohjeita, kun tutkit minkä tahansa tyyppisiä ilmoituksia, jotta saat selkeämmän käsityksen mahdollisesta uhasta ennen suositellun toiminnon soveltamista.

• Tarkista käyttäjän tutkimuksen prioriteettipisteet ja vertaa niitä muuhun organisaatioon. Tämä auttaa tunnistamaan, ketkä organisaatiosi käyttäjät aiheuttavat suurimman riskin.
• Jos tunnistat TP:n, tarkista kaikki käyttäjän toimet saadaksesi käsityksen vaikutuksista.
• Tarkastele kaikkia käyttäjien toimia, jos haluat lisätietoja kompromissien indikaattoreista, ja tutustu vaikutuksen lähteeseen ja laajuuteen. Tarkista esimerkiksi seuraavat käyttäjän laitteen tiedot ja vertaa niitä tunnettuihin laitetietoihin:
  • Käyttöjärjestelmä ja versio
  • Selain ja versio
  • IP-osoite ja sijainti

Ensimmäiset käyttöoikeusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää saada ensimmäisen jalansijan organisaatioosi.

Anonyymin IP-osoitteen toiminta

Kuvaus

Toiminta IP-osoitteesta, jonka Microsoft Threat Intelligence tai organisaatiosi on tunnistanut anonyymiksi välityspalvelimen IP-osoitteeksi. Näitä välitysvälitysohjelmia voidaan käyttää laitteen IP-osoitteen piilottamiseen, ja niitä voidaan käyttää haitallisiin toimiin.

TP, B-TP vai FP?

Tämä tunnistus käyttää koneoppimisalgoritmia, joka vähentää B-TP-tapauksia , kuten väärin merkittyjä IP-osoitteita, joita organisaation käyttäjät käyttävät laajalti.

1. TP: Jos pystyt vahvistamaan, että toiminto suoritettiin anonyymistä tai TOR:n IP-osoitteesta.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. B-TP: Jos käyttäjän tiedetään käyttävän anonyymejä IP-osoitteita tehtäviensä laajuudessa. Esimerkiksi kun suojausanalyytikko suorittaa suojaus- tai penetraatiotestejä organisaation puolesta.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

• Tarkista kaikki käyttäjän toiminta ja hälytykset muiden kompromissien ilmaisimien osalta. Jos ilmoitusta seurasi esimerkiksi toinen epäilyttävä ilmoitus, kuten Epätavallinen tiedoston lataus (käyttäjän toimesta) tai Epäilyttävä Saapuneet-kansion edelleenlähetyshälytys , joka usein ilmaisee, että hyökkääjä yrittää suodattaa tietoja.

Aktiviteetti harvinaisesta maasta

Toiminta maasta tai alueelta, joka voi olla merkki haitallisesta toiminnasta. Tämä käytäntö profiloi ympäristösi ja käynnistää hälytyksiä, kun toimintoja havaitaan sijainnista, joka ei ollut äskettäin tai jossa kukaan organisaation käyttäjä ei ole koskaan käynyt.

Käytäntö voidaan rajata edelleen käyttäjien alijoukkoon tai se voi sulkea pois käyttäjät, joiden tiedetään matkustavan etäsijainteihin.

Oppimisjakso

Poikkeavien sijaintien havaitseminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä missään uudessa sijainnissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto:

   1. Keskeytä käyttäjä, palauta hänen salasanansa ja määritä oikea aika tilin turvalliseen käyttöönottoon.
   2. Valinnainen: Luo Power Automatella pelikirja, jotta voit ottaa yhteyttä käyttäjiin, joiden on havaittu muodostavan yhteyden satunnaisista sijainneista, ja heidän esimiehiinsä toiminnan varmistamiseksi.

2. B-TP: Jos käyttäjän tiedetään olevan tässä sijainnissa. Esimerkiksi silloin, kun käyttäjä matkustaa usein ja on tällä hetkellä määritetyssä sijainnissa.

   Suositeltu toiminto:

   1. Hylkää ilmoitus ja muokkaa käytäntöä siten, että käyttäjä jätetään pois.
   2. Luo käyttäjäryhmä usein matkustaville, tuo ryhmä Defender for Cloud Apps ja jätä käyttäjät pois tästä ilmoituksesta
   3. Valinnainen: Luo Power Automatella pelikirja, jotta voit ottaa yhteyttä käyttäjiin, joiden on havaittu muodostavan yhteyden satunnaisista sijainneista, ja heidän esimiehiinsä toiminnan varmistamiseksi.

Tutustu tietomurron laajuuteen

• Tarkista, mikä resurssi on saattanut olla vaarantunut, kuten mahdolliset tietojen lataukset.

Epäilyttävän IP-osoitteen toiminta

Toiminta IP-osoitteesta, jonka Microsoft Threat Intelligence tai organisaatiosi on todennut riskialttiiksi. Näiden IP-osoitteiden havaittiin osallistuvan haitallisiin toimiin, kuten salasanasuihketta, botnet-komentoa ja hallintaa (C&C), ja ne saattavat ilmaista vaarantuneen tilin.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. B-TP: Jos käyttäjän tiedetään käyttävän IP-osoitetta tehtäviensä laajuudessa. Esimerkiksi kun suojausanalyytikko suorittaa suojaus- tai penetraatiotestejä organisaation puolesta.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista toimintaloki ja etsi toimintoja samasta IP-osoitteesta.
2. Tarkista, mikä resurssi on saattanut vaarantua, kuten mahdolliset tietojen lataukset tai hallinnolliset muutokset.
3. Luo ryhmä suojausanalyytikoille, jotka käynnistävät nämä hälytykset vapaaehtoisesti, ja jätä ne pois käytännöstä.

Mahdoton matka

Saman käyttäjän toiminta eri sijainneissa ajanjaksolla, joka on lyhyempi kuin odotettu matka-aika näiden kahden sijainnin välillä. Tämä voi kuitenkin olla merkki tunnistetietojen rikkomisesta, mutta on myös mahdollista, että käyttäjän todellinen sijainti peitetään esimerkiksi VPN:n avulla.

Tarkkuuden ja hälytyksen parantamiseksi vain, kun tietomurrosta on vahva osoitus, Defender for Cloud Apps määrittää perustason kullekin organisaation käyttäjälle ja ilmoittaa vain, kun epätavallinen käyttäytyminen havaitaan. Mahdoton matkustuskäytäntö voidaan hienosäätää tarpeidesi mukaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

Tämä tunnistaminen käyttää koneoppimisalgoritmia, joka jättää huomiotta ilmeiset B-TP-olosuhteet , kuten kun IP-osoitteita matkan molemmin puolin pidetään turvallisina, matkustamiseen luotetaan ja se jätetään mahdottoman matkantunnistuksen käynnistämisen ulkopuolelle. Molempia osapuolia pidetään esimerkiksi turvallisina, jos ne on merkitty yritykseksi. Jos kuitenkin vain matkan toisen puolen IP-osoitetta pidetään turvallisena, tunnistaminen käynnistyy normaalisti.

1. TP: Jos pystyt vahvistamaan, että mahdottoman matkan hälytyksen sijainti on epätodennäköinen käyttäjälle.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (tunnistamaton käyttäjän matka): Jos pystyt vahvistamaan, että käyttäjä äskettäin matkusti ilmoituksella mainittuun kohteeseen. Jos esimerkiksi lentotilassa oleva käyttäjän puhelin pysyy yhteydessä palveluihin, kuten Exchange Online yritysverkossasi matkustettaessa eri sijaintiin. Kun käyttäjä saapuu uuteen sijaintiin, puhelin muodostaa yhteyden Exchange Online mikä käynnistää mahdottoman matkahälytyksen.

   Suositeltu toiminto: Hylkää ilmoitus.

3. FP (Untagged VPN): Jos pystyt vahvistamaan, että IP-osoitealue on peräisin hyväksytyltä VPN:ltä.

   Suositeltu toiminto: Hylkää ilmoitus ja lisää VPN:n IP-osoitealue Defender for Cloud Apps ja merkitse vpn:n IP-osoitealue sillä.

Tutustu tietomurron laajuuteen

1. Tarkastele toimintolokia saadaksesi käsityksen vastaavista toiminnoista samassa sijainnissa ja IP-osoitteessa.
2. Jos huomaat, että käyttäjä on suorittanut muita riskialttiita toimia, kuten ladannut suuren määrän tiedostoja uudesta sijainnista, tämä on vahva osoitus mahdollisesta kompromissista.
3. Lisää yrityksen VPN- ja IP-osoitealueet.
4. Luo pelikirja Power Automaten avulla ja ota yhteyttä käyttäjän esimieheen ja kysy, matkustaako käyttäjä laillisesti.
5. Harkitse tunnetun matkatietokantaa luomista enintään minuutin ajan organisaation matkaraportointia varten ja käytä sitä matkatietojen ristiinviittauksessa.

Harhaanjohtava OAuth-sovelluksen nimi

Tämä tunnistus tunnistaa sovellukset, joissa on latinalaisia kirjaimia muistuttavia merkkejä, kuten viitekirjaimia. Tämä voi tarkoittaa yritystä peittää haitallinen sovellus tunnetuksi ja luotettavaksi sovellukseksi, jotta hyökkääjät voivat huijata käyttäjiä lataamaan haitallisia sovelluksia.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että sovelluksella on harhaanjohtava nimi.

   Suositeltu toiminto: Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön.

Jos haluat kieltää sovelluksen käytön, valitse Sovelluksen hallinta -sivun Google- tai Salesforce-välilehdissä riviltä, jolla haluat kieltää sovelluksen näkyvän, valitse kieltokuvake. - Voit valita, haluatko kertoa käyttäjille, että heidän asentamansa ja valtuuttamansa sovellus on kielletty. Ilmoitus kertoo käyttäjille, että sovellus on poistettu käytöstä eikä heillä ole yhdistettyä sovellusta. Jos et halua heidän tietävän, poista valintaikkunassa Ilmoitus käyttäjille, jotka ovat myöntäneet käyttöoikeuden tähän kiellettyyn sovellukseen . - On suositeltavaa, että ilmoitat sovelluksen käyttäjille, että heidän sovelluksensa käyttö on saamassa käyttökiellon.

1. FP: Jos haluat vahvistaa, että sovelluksella on harhaanjohtava nimi mutta että sillä on laillinen yrityskäyttö organisaatiossa.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

• Seuraa opetusohjelmaa, jossa kerrotaan , miten riskialttiit OAuth-sovellukset tutkitaan.

OAuth-sovelluksen harhaanjohtava julkaisijan nimi

Tämä tunnistus tunnistaa sovellukset, joissa on latinalaisia kirjaimia muistuttavia merkkejä, kuten viitekirjaimia. Tämä voi tarkoittaa yritystä peittää haitallinen sovellus tunnetuksi ja luotettavaksi sovellukseksi, jotta hyökkääjät voivat huijata käyttäjiä lataamaan haitallisia sovelluksia.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että sovelluksella on harhaanjohtava julkaisijan nimi.

   Suositeltu toiminto: Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön.

2. FP: Jos haluat vahvistaa, että sovelluksella on harhaanjohtava julkaisijan nimi mutta että se on laillinen julkaisija.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Valitse Sovelluksen hallinta -sivun Google- tai Salesforce-välilehdistä sovellus, jolloin Sovellus-laatikko avautuu, ja valitse sitten Aiheeseen liittyvä toiminta. Tämä avaa toimintalokisivun , joka on suodatettu sovelluksen suorittamien toimien mukaan. Muista, että jotkin sovellukset suorittavat toimintoja, jotka on rekisteröity käyttäjän tekemiksi. Nämä toiminnot suodatetaan automaattisesti pois toimintolokin tuloksista. Lisätietoja toimintalokin käyttämisestä on kohdassa Toimintaloki.
2. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimeä ja julkaisijaa eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:
   • Sovellukset, joiden latausten määrä on pieni.
   • Sovellukset, joilla on alhainen luokitus, pisteet tai huonot kommentit.
   • Sovellukset, joilla on epäilyttävä julkaisija tai sivusto.
   • Sovellukset, joita ei ole päivitetty äskettäin. Tämä voi tarkoittaa sovellusta, jota ei enää tueta.
   • Sovellukset, joilla on merkityksettömiä käyttöoikeuksia. Tämä saattaa tarkoittaa, että sovellus on riskialtis.
3. Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen nimeä, julkaisijaa ja URL-osoitetta verkossa.

Suoritusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää suorittaa haitallista koodia organisaatiossasi.

Useita tallennustilan poistotoimintoja

Toiminnot yksittäisessä istunnossa, joka ilmaisee, että käyttäjä suoritti epätavallisen määrän pilvitallennustilaa tai tietokannan poistoja resursseista, kuten Azure blobsista, AWS S3 -säilöistä tai Cosmos DB:stä, verrattuna opittuun perustasoon. Tämä voi tarkoittaa, että organisaatiotasi on yritetty rikkoa.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos haluat vahvistaa, että poistot olivat luvattomia.

   Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja tarkista kaikki laitteet haitallisten uhkien varalta. Tarkastele kaikkia käyttäjien toimia, jos haluat lisätietoja kompromissien indikaattoreista, ja tutustu vaikutusalueeseen.

2. FP: Jos pystyt tutkimusten jälkeen vahvistamaan, että järjestelmänvalvojalla on oikeudet suorittaa näitä poistotoimintoja.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Ota yhteyttä käyttäjään ja vahvista toiminto.
2. Tarkista toimintalokista muut kompromissiin viittaavat indikaattorit ja katso, kuka muutoksen teki.
3. Tarkista, että käyttäjän toimissa on muutoksia muihin palveluihin.

Useiden näennäiskontaktiviteetin luontitoiminnot

Toiminnot yksittäisessä istunnossa, joka ilmaisee, että käyttäjä suoritti epätavallisen määrän näennäiskoneen luontitoimintoja verrattuna opittuun perusaikatauluun. Useat näennäiskomien luonnit murrossa olleessa pilvi-infrastruktuurissa voivat olla merkki yrityksestä suorittaa salauslouhintatoimintoja organisaatiostasi.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

Tarkkuuden ja hälytysten parantamiseksi vain, kun tietomurrosta on vahva osoitus, tämä tunnistus määrittää perustason organisaation jokaiselle ympäristölle B-TP-tapausten vähentämiseksi. Esimerkiksi järjestelmänvalvoja on luonut oikeutetusti enemmän näennäiskoneita kuin vakiintunutta perustasoa, ja vain hälytyksen, kun epätavallinen käyttäytyminen havaitaan.

• TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut luontitoimintoja.

  Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja tarkista kaikki laitteet haitallisten uhkien varalta. Tarkastele kaikkia käyttäjien toimia, jos haluat lisätietoja kompromissien indikaattoreista, ja tutustu vaikutusalueeseen. Ota lisäksi yhteyttä käyttäjään, vahvista hänen lailliset toimensa ja varmista sitten, että poistat käytöstä tai poistat kaikki vaarantuneet näennäiskoneet.

• B-TP: Jos pystyt tutkimusten jälkeen vahvistamaan, että järjestelmänvalvojalla on oikeudet suorittaa näitä luontitoimintoja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia käyttäjien toimia, jos haluat tarkastella muita kompromissi-indikaattoreita.
2. Tarkista käyttäjän luomat tai muokkaamat resurssit ja varmista, että ne ovat organisaatiosi käytäntöjen mukaisia.

Epäilyttävä luontitoiminto pilvialueella (esikatselu)

Toiminnot, jotka ilmaisevat, että käyttäjä suoritti epätavallisen resurssien luontitoiminnon epätavallisella AWS-alueella verrattuna opittuun perusaikatauluun. Resurssien luominen epätavallisilla pilvialueilla voi olla merkki yrityksestä suorittaa haitallista toimintaa, kuten salauslouhintatoimintoja organisaatiostasi.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

Tarkkuuden ja hälytysten parantamiseksi vain, kun tietomurrosta on vahva osoitus, tämä tunnistus muodostaa perustason organisaation jokaiselle ympäristölle B-TP-tapausten vähentämiseksi.

• TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut luontitoimintoja.

  Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja tarkista kaikki laitteet haitallisten uhkien varalta. Tarkastele kaikkia käyttäjien toimia, jos haluat lisätietoja kompromissien indikaattoreista, ja tutustu vaikutusalueeseen. Ota lisäksi yhteyttä käyttäjään, vahvista hänen lailliset toimensa ja varmista sitten, että poistat käytöstä tai poistat kaikki vaarantuneet pilviresurssit.

• B-TP: Jos pystyt tutkimusten jälkeen vahvistamaan, että järjestelmänvalvojalla on oikeudet suorittaa näitä luontitoimintoja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia käyttäjien toimia, jos haluat tarkastella muita kompromissi-indikaattoreita.
2. Tarkista luodut resurssit ja varmista, että ne ovat organisaatiosi käytäntöjen mukaisia.

Pysyvyysilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää säilyttää jalansijaa organisaatiossasi.

Lopetetun käyttäjän suorittama toiminto

Lakkautetun käyttäjän suorittama toiminta voi osoittaa, että irtisanottu työntekijä, jolla on edelleen yrityksen resurssien käyttöoikeus, yrittää suorittaa haitallista toimintaa. Defender for Cloud Apps profiloi organisaation käyttäjät ja käynnistää ilmoituksen, kun lopetettu käyttäjä suorittaa toiminnon.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että irtisanotulla käyttäjällä on edelleen käyttöoikeus tiettyihin yrityksen resursseihin ja että hän suorittaa toimintoja.

   Suositeltu toiminto: Poista käyttäjä käytöstä.

2. B-TP: Jos pystyt määrittämään, että käyttäjä on tilapäisesti poistettu käytöstä tai poistettu ja rekisteröity uudelleen.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Ristiviittaus HR-tietueisiin sen vahvistamiseksi, että käyttäjä on lopetettu.
2. Vahvista käyttäjätilin Microsoft Entra olemassaolo.

   Huomautus

   Jos käytät Microsoft Entra Connectia, tarkista paikallinen Active Directory-objekti ja varmista onnistunut synkronointijakso.

3. Tunnista kaikki sovellukset, joihin irtisanotulla käyttäjällä oli tilien käyttöoikeus, ja poista ne käytöstä.
4. Päivitä käytöstäpoiston menettelyt.

CloudTrail-kirjauspalvelun epäilyttävä muutos

Toiminnot yksittäisessä istunnossa, joka ilmaisee, että käyttäjä teki epäilyttäviä muutoksia AWS CloudTrail -kirjauspalveluun. Tämä voi tarkoittaa, että organisaatiotasi on yritetty rikkoa. Kun CloudTrail poistetaan käytöstä, toiminnallisia muutoksia ei enää kirjata. Hyökkääjä voi tehdä haitallisia toimia välttäen CloudTrail-valvontatapahtumaa, kuten muokata S3-säilöä yksityisestä julkiseksi.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, vaihda salasana ja kumoa CloudTrail-toiminta.

2. FP: Jos pystyt vahvistamaan, että käyttäjä on laillisesti poistanut CloudTrail-palvelun käytöstä.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista toimintalokista muut kompromissiin viittaavat indikaattorit ja katso, kuka teki muutoksen CloudTrail-palveluun.
2. Valinnainen: Luo Power Automatella pelikirja, jotta voit ottaa yhteyttä käyttäjiin ja heidän esimiehiinsä toiminnan varmistamiseksi.

Epäilyttävä sähköpostin poistotoiminto (käyttäjän mukaan)

Toiminnot yksittäisessä istunnossa, joka ilmaisee, että käyttäjä suoritti epäilyttäviä sähköpostipoistoja. Poistotyyppi oli "kova poisto", mikä tekee sähköpostikohteesta poistetun, eikä se ole käytettävissä käyttäjän postilaatikossa. Poisto tehtiin yhteydestä, joka sisältää epätavallisia asetuksia, kuten IsP, maa/alue ja käyttäjäagentti. Tämä voi tarkoittaa yritystä murtaa organisaatiosi, kuten hyökkääjät, jotka yrittävät peittää toimintoja poistamalla roskapostitoimintoihin liittyviä sähköpostiviestejä.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP: Jos pystyt vahvistamaan, että käyttäjä on luonut oikeutetusti säännön viestien poistamiseen.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

• Tarkista kaikki käyttäjän toiminta muiden kompromissien indikaattoreiden osalta, kuten Epäilyttävä saapuneet -edelleenlähetysilmoitus ja sen jälkeen Impossible Travel -hälytys. Etsi:

  1. Uudet SMTP-edelleenlähetyssäännöt seuraavasti:
     • Etsi haitallisia edelleenlähetyssääntöjen nimiä. Säännön nimet voivat vaihdella yksinkertaisista nimistä, kuten "Lähetä edelleen kaikki sähköpostit" ja "Lähetä edelleen automaattisesti", tai harhaanjohtavista nimistä, kuten tuskin näkyvissä oleva ".". Edelleenlähetyssääntöjen nimet voivat olla jopa tyhjiä, ja edelleenlähtämisen vastaanottaja voi olla yksittäinen sähköpostitili tai koko luettelo. Haitalliset säännöt voidaan piilottaa myös käyttöliittymästä. Kun sinut on havaittu, voit käyttää tätä hyödyllistä blogimerkintää piilotettujen sääntöjen poistamiseen postilaatikoista.
     • Jos tunnistamaton edelleenlähetyssääntö löytyy tuntemattomasta sisäisestä tai ulkoisesta sähköpostiosoitteesta, voit olettaa, että Saapuneet-kansion tili vaarantui.
  2. Uudet Saapuneet-kansion säännöt, kuten "poista kaikki", "siirrä viestit toiseen kansioon" tai ne, joilla on hämärät nimeämiskäytännöt, esimerkiksi "...".
  3. Lähetettyjen sähköpostiviestien määrä on kasvanut.

Epäilyttävä Saapuneet-kansion käsittelysääntö

Toiminnot, jotka ilmaisevat hyökkääjän saaneen pääsyn käyttäjän Saapuneet-kansioon ja luoneen epäilyttävän säännön. Käsittelysäännöt, kuten viestien tai kansioiden poistaminen tai siirtäminen käyttäjän Saapuneet-kansiosta, saattavat olla yritys suodattaa tietoja organisaatiostasi. Samoin ne voivat ilmaista yrityksen muokata käyttäjän näkemää tietoa tai käyttää Saapuneet-kansiotaan roskapostin, tietojenkalastelusähköpostien tai haittaohjelmien jakamiseen. Defender for Cloud Apps profiloi ympäristösi ja käynnistää hälytyksiä, kun käyttäjän Saapuneet-kansiossa havaitaan epäilyttäviä Saapuneet-kansion käsittelysääntöjä. Tämä saattaa tarkoittaa, että käyttäjän tili on vaarantunut.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että haitallinen Saapuneet-kansion sääntö luotiin ja tili vaarantui.

   Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja poista edelleenlähetyssääntö.

2. FP: Jos pystyt vahvistamaan, että käyttäjä on luonut säännön laillisesti.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta muiden kompromissien indikaattoreiden osalta, kuten Epäilyttävä saapuneet -edelleenlähetysilmoitus ja sen jälkeen Impossible Travel -hälytys. Etsi:
   • Uudet SMTP-edelleenlähetyssäännöt.
   • Uudet Saapuneet-kansion säännöt, kuten "poista kaikki", "siirrä viestit toiseen kansioon" tai ne, joilla on hämärät nimeämiskäytännöt, esimerkiksi "...".
2. Kerää toiminnon IP-osoite- ja sijaintitiedot.
3. Tarkista toiminnot, jotka suoritetaan säännön luomiseen käytetystä IP-osoitteesta muiden vaarantuneen käyttäjän havaitsemiseksi.

Oikeuksien eskalointi-ilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää saada ylemmän tason käyttöoikeuksia organisaatiossasi.

Epätavallinen hallinnollinen toiminta (käyttäjän mukaan)

Toiminnot, jotka ilmaisevat, että hyökkääjä on vaarantanut käyttäjätilin ja suorittanut järjestelmänvalvojan toimintoja, jotka eivät ole yleisiä kyseiselle käyttäjälle. Hyökkääjä voi esimerkiksi yrittää muuttaa käyttäjän suojausasetusta, mikä on suhteellisen harvinaista yleiselle käyttäjälle. Defender for Cloud Apps luo perusaikataulun käyttäjän toiminnan perusteella ja käynnistää hälytyksen, kun epätavallinen toiminta havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen järjestelmänvalvoja ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP: Jos pystyt vahvistamaan, että järjestelmänvalvoja on laillisesti suorittanut epätavallisen määrän hallinnollisia toimintoja.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta muiden kompromissien indikaattoreiden, kuten epäilyttävän saapuneet-kansion edelleenlähetys tai mahdoton matka, osalta.
2. Tarkastele muita määritysmuutoksia, kuten sinnikkyyteen mahdollisesti käytettävän käyttäjätilin luomista.

Tunnistetietojen käyttöilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää varastaa tilien nimiä ja salasanoja organisaatioltasi.

Useita epäonnistuneita kirjautumisyrityksiä

Epäonnistuneet kirjautumisyritykset voivat olla merkki yrityksestä murtaa tili. Epäonnistuneet kirjautumiset voivat kuitenkin olla myös normaalia toimintaa. Esimerkiksi silloin, kun käyttäjä on antanut väärän salasanan vahingossa. Jotta saavutetaan tarkkuus ja hälytys vain, kun on vahva osoitus murron yrityksestä, Defender for Cloud Apps määrittää kirjautumistottumusten perusaikataulun kullekin organisaation käyttäjälle ja antaa hälytyksen vain, kun epätavallinen käyttäytyminen havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

Tämä käytäntö perustuu käyttäjän normaalin kirjautumistoiminnan oppimiseen. Kun normista havaitaan poikkeama, hälytys käynnistyy. Jos tunnistaminen alkaa nähdä, että sama toiminta jatkuu, ilmoitus annetaan vain kerran.

1. TP (MFA epäonnistuu): Jos pystyt vahvistamaan, että MFA toimii oikein, tämä voi olla merkki raaka voimahyökkäyksen yrityksestä.

   Suositellut toiminnot:

   1. Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.
   2. Etsi sovellus, joka suoritti epäonnistuneet todennukset, ja määritä se uudelleen.
   3. Etsi muita käyttäjiä, jotka ovat kirjautuneet sisään toiminnon aikana, koska he saattavat myös olla vaarassa joutua vaaraan. Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. B-TP (MFA epäonnistuu): Jos pystyt vahvistamaan, että ilmoituksen syy on monimenetelmäisen todentamisen ongelma.

   Suositeltu toiminto: Luo Power Automatella pelikirja, jotta voit ottaa yhteyttä käyttäjään ja tarkistaa, onko hänellä ongelmia monimenetelmäisen todentamisen kanssa.

3. B-TP (väärin määritetty sovellus): Jos pystyt vahvistamaan, että väärin määritetty sovellus yrittää muodostaa yhteyden palveluun useita kertoja vanhentuneilla tunnistetiedoilla.

   Suositeltu toiminto: Hylkää ilmoitus.

4. B-TP (salasana muutettu): Jos pystyt vahvistamaan, että käyttäjä on äskettäin vaihtanut salasanansa, mutta se ei ole vaikuttanut eri verkkoresurssien tunnistetietoihin.

   Suositeltu toiminto: Hylkää ilmoitus.

5. B-TP (suojaustesti): Jos pystyt vahvistamaan, että suojausanalyytikot suorittavat suojaus- tai penetraatiotestin organisaation puolesta.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta muiden kompromissi-indikaattoreiden, kuten ilmoituksen, jälkeen jokin seuraavista ilmoituksista: Mahdoton matka, Toiminta anonyymistä IP-osoitteesta tai Toiminta harvinaisesta maasta.
2. Tarkista seuraavat käyttäjän laitteen tiedot ja vertaa niitä tunnettuihin laitetietoihin:
   • Käyttöjärjestelmä ja versio
   • Selain ja versio
   • IP-osoite ja sijainti
3. Tunnista ip-lähdeosoite tai sijainti, jossa todennusyritys tapahtui.
4. Selvitä, vaihtoiko käyttäjä äskettäin salasanansa, ja varmista, että kaikilla sovelluksilla ja laitteilla on päivitetty salasana.

Epätavallinen tunnistetietojen lisääminen OAuth-sovellukseen

Tämä tunnistaminen tunnistaa etuoikeutettujen tunnistetietojen epäilyttävän lisäämisen OAuth-sovellukseen. Tämä voi tarkoittaa, että hyökkääjä on vaarantanut sovelluksen ja käyttää sitä haitallisiin toimintoihin.

Oppimisjakso

Organisaatiosi ympäristön oppiminen edellyttää seitsemän päivän jaksoa, jonka aikana saatat odottaa suurta määrää ilmoituksia.

Epätavallinen IsP OAuth-sovellukselle

Tunnistaminen tunnistaa OAuth-sovelluksen, joka muodostaa yhteyden pilvipalvelusovellukseen IsP:stä, mikä on harvinaista sovellukselle. Tämä saattaa tarkoittaa sitä, että hyökkääjä yritti käyttää laillista vaarantunneita sovelluksia suorittaakseen haitallisia toimia pilvisovelluksillesi.

Oppimisjakso

Tämän tunnistamisen oppimisjakso on 30 päivää.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että toiminta ei ole OAuth-sovelluksen oikeutettua toimintaa tai että laillinen OAuth-sovellus ei käytä tätä IsP:tä.

   Suositeltu toiminto: Kumoa kaikki OAuth-sovelluksen käyttöoikeustietueet ja tutki, onko hyökkääjällä käyttöoikeus OAuth-käyttöoikeustietueiden luomiseen.

2. FP: Jos voit vahvistaa, että aito OAuth-sovellus on tehnyt toiminnon laillisesti.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista OAuth-sovelluksen suorittamat toimet.

2. Tutki, onko hyökkääjällä oikeus luoda OAuth-käyttöoikeustunnuksia.

Kokoelman ilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää kerätä tietoja, joita haluat käyttää tavoitteeseensa organisaatiossasi.

Useita Power BI -raporttien jakamistoimintoja

Toiminnot yksittäisessä istunnossa, joka ilmaisee, että käyttäjä suoritti epätavallisen määrän raportin jakamistoimintoja Power BI:ssä verrattuna perusaikatauluun. Tämä voi tarkoittaa, että organisaatiotasi on yritetty rikkoa.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Poista jakamisoikeus Power BI:stä. Jos pystyt vahvistamaan, että tili on vaarantunut, keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta hänen salasanansa.

2. FP: Jos pystyt vahvistamaan, että käyttäjällä oli liiketoimintaperuste jakaa nämä raportit.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista toimintaloki, jotta saat paremman käsityksen muista käyttäjän suorittamista toiminnoista. Katso IP-osoitetta, josta he ovat kirjautuneet, ja laitteen tietoja.
2. Ota yhteyttä Power BI -tiimiin tai Information Protection tiimiin saadaksesi ohjeet raporttien jakamiseen sisäisesti ja ulkoisesti.

Epäilyttävä Power BI -raporttien jakaminen

Toiminnot, jotka ilmaisevat, että käyttäjä jakoi Power BI -raportin, joka saattaa sisältää arkaluontoisia tietoja, jotka on tunnistettu NLP:n avulla raportin metatietojen analysoimiseksi. Raportti jaettiin joko ulkoisella sähköpostiosoitteella, joka julkaistiin verkkoon, tai tilannevedos toimitettiin ulkoisesti tilattuun sähköpostiosoitteeseen. Tämä voi tarkoittaa, että organisaatiotasi on yritetty rikkoa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Poista jakamisoikeus Power BI:stä. Jos pystyt vahvistamaan, että tili on vaarantunut, keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta hänen salasanansa.

2. FP: Jos pystyt vahvistamaan, että käyttäjällä oli liiketoimintaperusteet jakaa nämä raportit.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista toimintaloki, jotta saat paremman käsityksen muista käyttäjän suorittamista toiminnoista. Katso IP-osoitetta, josta he ovat kirjautuneet, ja laitteen tietoja.
2. Ota yhteyttä Power BI -tiimiin tai Information Protection tiimiin saadaksesi ohjeet raporttien jakamiseen sisäisesti ja ulkoisesti.

Epätavallinen tekeytynyt toiminta (käyttäjän mukaan)

Joissakin ohjelmissa on vaihtoehtoja, joiden avulla muut käyttäjät voivat tekeytyä toiseksi käyttäjäksi. Esimerkiksi sähköpostipalveluiden avulla käyttäjät voivat valtuuttaa muita käyttäjiä lähettämään sähköpostia puolestaan. Hyökkääjät käyttävät tätä toimintaa yleisesti tietojenkalastelusähköpostien luomiseen yrittäessään poimia tietoja organisaatiostasi. Defender for Cloud Apps luo perusaikataulun käyttäjän toiminnan perusteella ja luo toiminnon, kun havaitaan epätavallinen tekeytymistoiminto.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (Epätavallinen käyttäytyminen): Jos pystyt vahvistamaan, että käyttäjä on suorittanut epätavallisia toimintoja tai enemmän toimintoja kuin määritetty perustaso.

   Suositeltu toiminto: Hylkää ilmoitus.

3. FP: Jos pystyt vahvistamaan, että Teamsin kaltaiset sovellukset ovat laillisesti tekeytyneet käyttäjäksi.

   Suositeltu toiminto: Tarkista toiminnot ja hylkää ilmoitus tarvittaessa.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta ja hälytykset, jos haluat lisätietoja kompromissien indikaattoreista.
2. Tarkista tekeytymistoiminnot mahdollisten haitallisten toimien tunnistamiseksi.
3. Tarkista delegoitujen käyttöoikeuksien määritykset.

Suodatusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää varastaa tietoja organisaatiostasi.

Epäilyttävä Saapuneet-kansion edelleenlähetys

Toiminnot, jotka ilmaisevat hyökkääjän saaneen pääsyn käyttäjän Saapuneet-kansioon ja luoneen epäilyttävän säännön. Käsittelysäännöt, kuten kaikkien tai tiettyjen sähköpostiviestien edelleenlähtäminen toiselle sähköpostitilille, saattavat olla yritys suodattaa tietoja organisaatiostasi. Defender for Cloud Apps profiloi ympäristösi ja käynnistää hälytyksiä, kun käyttäjän Saapuneet-kansiossa havaitaan epäilyttäviä Saapuneet-kansion käsittelysääntöjä. Tämä saattaa tarkoittaa, että käyttäjän tili on vaarantunut.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että haitallinen Saapuneet-kansion edelleenlähetyssääntö luotiin ja tili vaarantui.

   Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja poista edelleenlähetyssääntö.

2. FP: Jos pystyt vahvistamaan, että käyttäjä on luonut edelleenlähetyssäännön uuteen tai henkilökohtaiseen ulkoiseen sähköpostitiliin oikeutetuista syistä.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta, jos haluat lisäindikaattorit kompromissista, kuten ilmoituksen, jota seuraa mahdoton matka -ilmoitus. Etsi:

   1. Uudet SMTP-edelleenlähetyssäännöt seuraavasti:
      • Etsi haitallisia edelleenlähetyssääntöjen nimiä. Säännön nimet voivat vaihdella yksinkertaisista nimistä, kuten "Lähetä edelleen kaikki sähköpostit" ja "Lähetä edelleen automaattisesti", tai harhaanjohtavista nimistä, kuten tuskin näkyvissä oleva ".". Edelleenlähetyssääntöjen nimet voivat olla jopa tyhjiä, ja edelleenlähtämisen vastaanottaja voi olla yksittäinen sähköpostitili tai koko luettelo. Haitalliset säännöt voidaan piilottaa myös käyttöliittymästä. Kun sinut on havaittu, voit käyttää tätä hyödyllistä blogimerkintää piilotettujen sääntöjen poistamiseen postilaatikoista.
      • Jos tunnistamaton edelleenlähetyssääntö löytyy tuntemattomasta sisäisestä tai ulkoisesta sähköpostiosoitteesta, voit olettaa, että Saapuneet-kansion tili vaarantui.
   2. Uudet Saapuneet-kansion säännöt, kuten "poista kaikki", "siirrä viestit toiseen kansioon" tai ne, joilla on hämärät nimeämiskäytännöt, esimerkiksi "...".

2. Tarkista toiminnot, jotka suoritetaan säännön luomiseen käytetystä IP-osoitteesta muiden vaarantuneen käyttäjän havaitsemiseksi.

3. Tarkista välitettyjen viestien luettelo käyttämällä Exchange Online viestien seurantaa.

Epätavallinen tiedoston lataus (käyttäjän mukaan)

Toiminnot, jotka ilmaisevat, että käyttäjä suoritti epätavallisen määrän tiedostojen latauksia pilvitallennusympäristöstä verrattuna perusaikatauluun. Tämä voi tarkoittaa yritystä saada tietoja organisaatiosta. Defender for Cloud Apps luo perusaikataulun käyttäjän toiminnan perusteella ja käynnistää hälytyksen, kun epätavallinen toiminta havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (Epätavallinen toiminta): Jos voit vahvistaa, että käyttäjä on suorittanut laillisesti enemmän tiedostojen lataustoimintoja kuin määritetty perustaso.

   Suositeltu toiminto: Hylkää ilmoitus.

3. FP (Software sync): Jos pystyt vahvistamaan, että ohjelmisto, kuten OneDrive, on synkronoitu hälytyksen aiheuttaneen ulkoisen varmuuskopion kanssa.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista lataustoiminnot ja luo ladattujen tiedostojen luettelo.
2. Tarkista ladattujen tiedostojen luottamuksellisuus resurssin omistajalle ja vahvista käyttöoikeustaso.

Epätavallinen tiedoston käyttö (käyttäjän mukaan)

Toiminnot, jotka ilmaisevat, että käyttäjä on suorittanut epätavallisen määrän tiedostojen käyttöoikeuksia SharePointissa tai OneDrivessa tiedostoihin, jotka sisältävät taloustietoja tai verkkotietoja verrattuna perusaikatauluun. Tämä voi tarkoittaa yritystä saada tietoja organisaatiosta joko taloudellisia tarkoituksia tai tunnistetietojen käyttöä ja sivuttaista siirtämistä varten. Defender for Cloud Apps luo perusaikataulun käyttäjän toiminnan perusteella ja käynnistää hälytyksen, kun epätavallinen toiminta havaitaan.

Oppimisjakso

Oppimisjakso riippuu käyttäjän toiminnasta. Yleensä oppimisjakso on useimmille käyttäjille 21–45 päivää.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (Epätavallinen toiminta): Jos voit vahvistaa, että käyttäjä on suorittanut laillisesti enemmän tiedostonkäyttötoimintoja kuin määritetty perustaso.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista käyttöoikeustoiminnot ja luo luettelo käyttämistäsi tiedostoista.
2. Tarkista käytettyjen tiedostojen luottamuksellisuus resurssin omistajan kanssa ja vahvista käyttöoikeustaso.

Epätavallinen jaetun tiedostoresurssin toiminta (käyttäjän mukaan)

Toiminnot, jotka ilmaisevat, että käyttäjä suoritti epätavallisen määrän tiedostojen jakamistoimintoja pilvitallennusympäristöstä verrattuna perusaikatauluun. Tämä voi tarkoittaa yritystä saada tietoja organisaatiosta. Defender for Cloud Apps luo perusaikataulun käyttäjän toiminnan perusteella ja käynnistää hälytyksen, kun epätavallinen toiminta havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (Epätavallinen toiminta): Jos pystyt vahvistamaan, että käyttäjä on suorittanut laillisesti enemmän tiedostojen jakamistoimintoja kuin määritetty perustaso.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista jakamistoiminnot ja luo jaettujen tiedostojen luettelo.
2. Tarkista jaettujen tiedostojen luottamuksellisuus resurssin omistajalle ja vahvista käyttöoikeustaso.
3. Luo tiedostokäytäntö vastaaville tiedostoille, jotta luottamuksellisten tiedostojen tuleva jakaminen havaitaan.

Vaikutusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää muokata, keskeyttää tai tuhota organisaatiosi järjestelmiä ja tietoja.

Useat poiston näennäiskonetoiminnot

Yhden istunnon toiminnot, jotka ilmaisevat, että käyttäjä suoritti epätavallisen määrän näennäiskoneen poistoja verrattuna perusaikatauluun. Useat näennäiskoneen poistot voivat olla merkki yrityksestä häiritä tai tuhota ympäristö. On kuitenkin monia normaaleja tilanteita, joissa näennäiskoneet poistetaan.

TP, B-TP vai FP?

Tarkkuuden ja hälytysten parantamiseksi vain, kun tietomurrosta on vahva osoitus, tämä tunnistus määrittää perustason organisaation kullekin ympäristölle B-TP-tapausten vähentämiseksi ja hälytykset vain, kun epätavallinen käyttäytyminen havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

• TP: Jos pystyt vahvistamaan, että poistot olivat luvattomia.

  Suositeltu toiminto: Keskeytä käyttäjä, palauta hänen salasanansa ja tarkista kaikki laitteet haitallisten uhkien varalta. Tarkastele kaikkia käyttäjien toimia, jos haluat lisätietoja kompromissien indikaattoreista, ja tutustu vaikutusalueeseen.

• B-TP: Jos pystyt tutkimuksesi jälkeen vahvistamaan, että järjestelmänvalvojalla on oikeudet suorittaa näitä poistotoimia.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Ota yhteyttä käyttäjään ja vahvista toiminto.
2. Tarkista kaikki käyttäjän toiminta, jos haluat lisätietoja kompromissista, kuten ilmoitus, jonka jälkeen on jokin seuraavista ilmoituksista: Mahdoton matka, Toiminta nimettömästä IP-osoitteesta tai Toiminta harvinaisesta maasta.

Kiristyshaittaohjelmatoiminta

Kiristyshaittaohjelma on kyberhyökkäys, jossa hyökkääjä lukitsee uhrit laitteistaan tai estää heitä käyttämästä tiedostojaan, kunnes uhri maksaa lunnaat. Ransomware voi levitä haitallisia jaettuja tiedostoja tai vaarantunut verkko. Defender for Cloud Apps käyttää tietoturvatutkimuksen asiantuntemusta, uhkatietoja ja opittuja käyttäytymismalleja kiristyshaittaohjelmatoiminnan tunnistamiseen. Esimerkiksi tiedostojen suuri lataus- tai poistoaste voi edustaa salausprosessia, joka on yleinen kiristyshaittaohjelmaoperaatioissa.

Tämä tunnistus muodostaa perustason kunkin organisaatiosi käyttäjän normaalille työmallille, kuten sen, milloin käyttäjä käyttää pilvipalvelua ja mitä he yleensä tekevät pilvipalvelussa.

Defender for Cloud Apps automatisoidut uhkien havaitsemiskäytännöt alkavat toimia taustalla siitä hetkestä lähtien, kun muodostat yhteyden. Käyttämällä tietoturvatutkimusosaamistamme tunnistaaksemme käyttäytymismalleja, jotka heijastavat kiristyshaittaohjelmatoimintaa organisaatiossamme, Defender for Cloud Apps tarjoaa kattavan kattavuuden kehittyneitä kiristyshaittaohjelmahyökkäyksiä vastaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP (epätavallinen käyttäytyminen): Käyttäjä suoritti oikeutetusti useita samankaltaisten tiedostojen poisto- ja lataustoimintoja lyhyessä ajassa.

   Suositeltu toiminto: Hylkää ilmoitus, kun olet tarkistanut toimintalokin ja varmistanut, että tiedostotunnisteet eivät ole epäilyttäviä.

3. FP (Common ransomware -tiedostotunniste): Jos pystyt vahvistamaan, että kyseessä olevien tiedostojen tunnisteet vastaavat tunnettua kiristyshaittaohjelmalaajennusta.

   Suositeltu toiminto: Ota yhteyttä käyttäjään ja varmista, että tiedostot ovat turvallisia, ja hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista toimintalokista muut kompromissiin liittyvät indikaattorit, kuten tiedostojen joukkolataus tai joukkopoisto.
2. Jos käytät Microsoft Defender for Endpoint, tarkista käyttäjän tietokoneen hälytykset ja tarkista, onko haitallisia tiedostoja havaittu.
3. Etsi toimintalokista haitallisia tiedostojen lataamis- ja jakamistoimintoja.

Epätavallinen tiedostojen poistotoiminto (käyttäjän mukaan)

Toiminnot, jotka ilmaisevat, että käyttäjä suoritti epätavallisen tiedoston poistotoiminnon verrattuna perusaikatauluun. Tämä voi olla merkki kiristyshaittaohjelmahyökkäyksestä. Hyökkääjä voi esimerkiksi salata käyttäjän tiedostot ja poistaa kaikki alkuperäiset, jolloin jäljelle jäävät vain salatut versiot, joilla uhri voidaan pakottaa maksamaan lunnaat. Defender for Cloud Apps luo perusaikataulun käyttäjän normaalin toiminnan perusteella ja käynnistää hälytyksen, kun epätavallinen käyttäytyminen havaitaan.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää seitsemän päivän ensimmäistä oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä uusissa sijainneissa.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että laillinen käyttäjä ei ole suorittanut toimintoa.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. FP: Jos pystyt vahvistamaan, että käyttäjä on suorittanut laillisesti enemmän tiedostojen poistotoimintoja kuin määritetty perusaikataulu.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista poistotoiminnot ja luo poistettujen tiedostojen luettelo. Palauta poistetut tiedostot tarvittaessa.
2. Vaihtoehtoisesti voit luoda Power Automatea käyttävän playbookin, jotta voit ottaa yhteyttä käyttäjiin ja heidän esimiehiinsä toiminnan varmistamiseksi.

Tutkimuksen prioriteetin pistemäärän nousu (esiversio)

Hälytyksiä käynnistäneet poikkeavat aktiviteetit ja toiminnot saavat pisteet käyttäjän vakavuuden, käyttäjän vaikutuksen ja käyttäytymisanalyysin perusteella. Analyysi perustuu vuokraajien muihin käyttäjiin.

Kun tietyn käyttäjän tutkimuksen prioriteettipisteet kasvavat merkittävästi ja poikkeavasti, ilmoitus käynnistyy.

Tämän ilmoituksen avulla havaitaan mahdollisia rikkomuksia, joille on ominaista toiminnot, jotka eivät välttämättä käynnistä tiettyjä ilmoituksia, mutta kerääntyvät epäilyttävään toimintaan käyttäjälle.

Oppimisjakso

Uuden käyttäjän toimintamallin määrittäminen edellyttää ensimmäisen seitsemän päivän oppimisjaksoa, jonka aikana ilmoituksia ei käynnistetä mistään pistemäärän noususta.

TP, B-TP vai FP?

1. TP: Jos pystyt vahvistamaan, että käyttäjän toimet eivät ole laillisia.

   Suositeltu toiminto: Keskeytä käyttäjä, merkitse käyttäjä vaarantuneeksi ja palauta salasana.

2. B-TP: Jos pystyt vahvistamaan, että käyttäjä poikkeaa merkittävästi tavanomaisesta käyttäytymisestä, mutta mahdollista tietomurtoa ei ole.

3. FP (Epätavallinen käyttäytyminen): Jos pystyt vahvistamaan, että käyttäjä on suorittanut epätavallisia toimintoja tai enemmän toimintoja kuin määritetty perustaso.

   Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki käyttäjän toiminta ja hälytykset, jos haluat lisätietoja kompromissien indikaattoreista.

Käytöstä poistamisen aikajana

Poistamme asteittain käytöstä Investigation-prioriteetin pistemäärän lisäysilmoituksen Microsoft Defender for Cloud Apps elokuuhun 2024 mennessä.

Huolellisen analysoinnin ja harkinnan jälkeen päätimme poistaa sen käytöstä tähän ilmoitukseen liittyvien väärien positiivisten yhteyksien suuren määrän vuoksi, mikä ei mielestämme edistänyt tehokkaasti organisaatiosi yleistä suojausta.

Tutkimuksemme osoitti, että tämä ominaisuus ei lisännyt merkittävää arvoa eikä ollut linjassa strategisen painopisteemme kanssa laadukkaiden ja luotettavien tietoturvaratkaisujen toimittamisessa.

Olemme sitoutuneet parantamaan palveluitamme jatkuvasti ja varmistamaan, että ne vastaavat tarpeitasi ja odotuksiasi.

Niille, jotka haluavat jatkaa tämän ilmoituksen käyttöä, suosittelemme käyttämään seuraavaa kehittynyttä metsästyskyselyä ehdotettuna mallina. Muokkaa kyselyä tarpeiden mukaan.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Tutustu myös seuraaviin ohjeartikkeleihin:

Riskialttiiden käyttäjien tutkiminen