Opetusohjelma: Epäilyttävän käyttäjän toiminnan havaitseminen käyttäytymisanalytiikan avulla (UEBA)

Microsoft Defender for Cloud Apps tarjoaa luokkansa parhaita tunnistuksia hyökkäysten tappoketjussa vaarantuneille käyttäjille, insider-uhille, suodattimelle, kiristyshaittaohjelmille ja paljon muuta. Kattava ratkaisumme saavutetaan yhdistämällä useita tunnistusmenetelmiä, kuten poikkeama, käyttäytymisanalytiikka (UEBA) ja sääntöihin perustuvia toiminnan tunnistuksia, jotta käyttäjät voivat käyttää sovelluksia ympäristössäsi laajassa näkymässä.

Miksi epäilyttävän toiminnan havaitseminen on siis tärkeää? Sen käyttäjän vaikutus, joka voi muuttaa pilvipalveluympäristöäsi, voi vaikuttaa merkittävästi kykyysi suorittaa liiketoimintaasi. Esimerkiksi yrityksen tärkeimmät resurssit, kuten asiakkaille tarjoamasi julkisen verkkosivuston tai palvelun palvelimet, voivat vaarantua.

Useista lähteistä otettujen tietojen avulla Defender for Cloud Apps analysoi tietoja poimiakseen sovelluksen ja käyttäjän toimia organisaatiossasi, jolloin suojausanalyytikot näkyvät pilvipalvelussa. Kerätyt tiedot korreloidaan, standardoidaan ja täydennetään uhkien tiedoilla, sijainnilla ja monilla muilla tiedoilla, jotta saadaan tarkka ja johdonmukainen näkymä epäilyttävistä toimista.

Jotta voit siis täysin ymmärtää näiden tunnistusten edut, varmista ensin, että määrität seuraavat lähteet:

• Toimintoloki
  Ohjelmointirajapintaan yhdistettyjen sovellusten toiminnot.
• Etsintäloki
  Palomuurista ja välityspalvelimen liikennelokeista poimitut toiminnot, jotka välitetään Defender for Cloud Apps. Lokit analysoidaan pilvisovellusluetteloa vasten, luokitellaan ja pisteytetään yli 90 riskitekijän perusteella.
• Välityspalvelimen loki
  Ehdollisen käyttöoikeussovelluksen hallintasovellusten toiminnot.

Seuraavaksi haluat hienosäätää käytäntöjäsi. Seuraavia käytäntöjä voidaan hienosäätää määrittämällä suodattimia, dynaamisia raja-arvoja (UEBA), jotka auttavat niiden tunnistusmallien harjoittamista, ja estämällä ne yleisten false-positiivisten tunnistusten vähentämiseksi:

• Poikkeamien tunnistaminen
• Pilvilöydön poikkeamien tunnistaminen
• Sääntöihin perustuvan toiminnan tunnistaminen

Tässä opetusohjelmassa opit hienosäätämään käyttäjän toiminnan tunnistuksia tunnistamaan todellisia kompromisseja ja vähentämään hälytysväsymystä, joka johtuu suurten positiivisten tunnistusmäärien käsittelystä:

• IP-osoitealueiden määrittäminen
• Poikkeamien tunnistuskäytäntöjen hienosäätäminen
• Pilvietsintäpoikkeamien tunnistuskäytäntöjen hienosäätäminen
• Sääntöihin perustuvien tunnistuskäytäntöjen hienosäätäminen
• Ilmoitusten määrittäminen
• Tutki ja korjaa

Vaihe 1: IP-osoitealueiden määrittäminen

Ennen yksittäisten käytäntöjen määrittämistä on suositeltavaa määrittää IP-alueet niin, että niitä voidaan käyttää minkä tahansa tyyppisten epäilyttävien käyttäjän toiminnan havaitsemiskäytäntöjen hienosäätämiseen.

Koska IP-osoitetiedot ovat ratkaisevia lähes kaikissa tutkimuksissa, tunnettujen IP-osoitteiden määrittäminen auttaa koneoppimisalgoritmeja tunnistamaan tunnetut sijainnit ja pitämään niitä osana koneoppimismalleja. Jos esimerkiksi lisäät VPN:n IP-osoitealueen, malli luokittelee tämän IP-alueen oikein ja jättää sen automaattisesti pois mahdottomista matkustustunnistuksista, koska VPN-sijainti ei edusta käyttäjän todellista sijaintia.

Huomautus: Määritetyt IP-alueet eivät rajoitu tunnistukseen, ja niitä käytetään kaikkialla Defender for Cloud Apps esimerkiksi toimintolokin toiminnoissa, ehdollisessa käyttötilassa jne. Pidä tämä mielessä, kun määrität alueita. Voit esimerkiksi tunnistaa fyysiset Officen IP-osoitteet mukauttamalla tapaa, jolla lokit ja hälytykset näytetään ja tutkitaan.

Valmiiden poikkeamien tunnistusilmoitusten tarkistaminen

Defender for Cloud Apps sisältää joukon poikkeamien tunnistusilmoituksia eri suojausskenaarioiden tunnistamiseksi. Nämä tunnisteet otetaan automaattisesti käyttöön ruudusta, ja ne alkavat profiloida käyttäjien toimintaa ja luovat ilmoituksia heti, kun tarvittavat sovellusliittimet on yhdistetty.

Aloita tutustumalla erilaisiin tunnistuskäytäntöihin, priorisoimalla tärkeimmät skenaariot, jotka ovat mielestäsi merkityksellisimpiä organisaatiollesi, ja hienosäätämällä käytäntöjä vastaavasti.

Vaihe 2: Poikkeamien tunnistuskäytäntöjen hienosäätäminen

Defender for Cloud Apps on käytettävissä useita sisäisiä poikkeamien tunnistuskäytäntöjä, jotka on esimääritetty yleisiä suojauksen käyttötapauksia varten. Tutustu suositumpiin tunnistuksian, kuten:

• Mahdoton matka
  Saman käyttäjän toiminnot eri sijainneissa ajanjaksolla, joka on lyhyempi kuin odotettu matka-aika näiden kahden sijainnin välillä.
• Aktiviteetti harvinaisesta maasta
  Aktiviteetti sijainnista, jossa käyttäjä ei ole hiljattain tai ei koskaan käynyt.
• Haittaohjelmien tunnistus
  Skannaa tiedostot pilvisovelluksissasi ja suorittaa epäilyttäviä tiedostoja Microsoftin uhkatietomoduulin kautta selvittääkseen, liittyvätkö ne tunnettuun haittaohjelmistoon.
• Kiristyshaittaohjelmatoiminta
  Tiedoston lataukset pilveen, joka saattaa tarttua kiristyshaittaohjelmiin.
• Epäilyttävän IP-osoitteen toiminta
  Toiminta IP-osoitteesta, jonka Microsoft Threat Intelligence on todennut riskialttiiksi.
• Epäilyttävä Saapuneet-kansion edelleenlähetys
  Havaitsee epäilyttävät Saapuneet-kansion edelleenlähetyssäännöt, jotka on määritetty käyttäjän Saapuneet-kansioon.
• Epätavalliset useiden tiedostojen lataustoiminnot
  Havaitsee yhden istunnon aikana useita tiedostojen lataustoimintoja, jotka liittyvät opittuun perusaikatauluun, mikä voi olla merkki murtoyrityksestä.
• Epätavalliset hallinnolliset toimet
  Havaitsee yhden istunnon aikana useita järjestelmänvalvojan toimintoja, jotka liittyvät opittuun perusaikatauluun, mikä voi olla merkki murtoyrityksestä.

Täydellinen luettelo tunnistuksista ja niiden toiminnoista on kohdassa Poikkeamien tunnistuskäytännöt.

Huomautus

Vaikka jotkin poikkeamien tunnistamiset keskittyvät ensisijaisesti ongelmallisten tietoturvaskenaarioiden havaitsemiseen, toiset voivat auttaa tunnistamaan ja tutkimaan epätavallista käyttäjän käyttäytymistä, joka ei välttämättä tarkoita kompromissia. Tällaisille tunnistuksille loimme toisen tietotyypin nimeltä "käyttäytymiset", joka on käytettävissä Microsoft Defender XDR kehittyneessä metsästyskokemuksessa. Lisätietoja on kohdassa Toiminta.

Kun olet tutustunut käytäntöihin, mieti, miten haluat hienosäätää niitä organisaatiosi erityisvaatimusten mukaisesti ja kohdentaa paremmin toimintoja, joita haluat ehkä tutkia tarkemmin.

1. Vaikutusaluekäytännöt tietyille käyttäjille tai ryhmille

   Käytäntöjen määrittäminen tietyille käyttäjille voi auttaa vähentämään melua ilmoituksista, jotka eivät ole olennaisia organisaatiollesi. Kukin käytäntö voidaan määrittää sisältämään tai sulkemaan pois tiettyjä käyttäjiä ja ryhmiä, kuten seuraavissa esimerkeissä:

   • Hyökkäyssimulaatiot
     Monet organisaatiot käyttävät käyttäjää tai ryhmää jatkuvasti hyökkäysten simulointiin. On selvää, että ei ole järkevää vastaanottaa jatkuvasti ilmoituksia näiden käyttäjien toiminnoista. Siksi voit määrittää käytäntösi siten, että nämä käyttäjät tai ryhmät jätetään pois. Tämä auttaa myös koneoppimismalleja tunnistamaan nämä käyttäjät ja hienosäätämään dynaamisia raja-arvoja vastaavasti.
   • Kohdennetut tunnistuksia
     Organisaatiosi saattaa olla kiinnostunut tutkimaan tiettyä VIP-käyttäjien ryhmää, kuten järjestelmänvalvojan tai CXO-ryhmän jäseniä. Tässä skenaariossa voit luoda käytännön toiminnoille, jotka haluat tunnistaa, ja päättää sisällyttää vain haluamasi käyttäjät tai ryhmät.

2. Poikkeamien kirjautumistunnistusten hienosäätäminen

   Jotkin organisaatiot haluavat nähdä epäonnistuneiden kirjautumistoimintojen tuloksena syntyviä hälytyksiä, sillä ne saattavat osoittaa, että joku yrittää kohdistaa kohteita yhteen tai useampaan käyttäjätiliin. Toisaalta käyttäjätileihin kohdistuvat raaka voimahyökkäykset tapahtuvat koko ajan pilvipalvelussa, eikä organisaatioilla ole mitään keinoa estää niitä. Siksi suuremmat organisaatiot päättävät yleensä vastaanottaa hälytyksiä vain epäilyttävistä kirjautumistoiminnoista, jotka johtavat onnistuneeseen kirjautumistoimintaan, koska ne saattavat merkitä todellisia kompromisseja.

   Identiteettivarkaudet ovat keskeinen kompromissien lähde ja muodostavat organisaatiollesi suuren uhkavektorin. Mahdoton matkustus, toiminta epäilyttävistä IP-osoitteista ja harvinaiset maan/alueen tunnistusilmoitukset auttavat sinua löytämään toimintoja, jotka viittaavat siihen, että tili saattaa vaarantua.

3. Viritä mahdottomien matkojenluottamuksellisuuttaMääritä luottamuksellisuusliukusäädin, joka määrittää poikkeavien käyttäytymisten vaimennuksen tason ennen mahdottoman matkahälytyksen käynnistämistä. Esimerkiksi organisaatioiden, jotka ovat kiinnostuneita korkeasta uskollisuudesta, kannattaa harkita luottamuksellisuustason nostamista. Toisaalta, jos organisaatiossasi on useita käyttäjiä, jotka matkustavat, harkitse luottamuksellisuustason alentamista estääksesi aiemmista toiminnoista opitut toiminnot käyttäjän yleisistä sijainneista. Voit valita seuraavista luottamuksellisuustasoista:

   • Pieni: järjestelmän, vuokraajan ja käyttäjien evätys
   • Keskitaso: Järjestelmän ja käyttäjien evätys
   • Suuri: Vain järjestelmän vaimennukset

   Jossa:

   Vaimennustyyppi	Kuvaus
   Järjestelmä	Sisäiset tunnistuksia, jotka on aina estetty.
   Vuokraaja	Yleiset toimet, jotka perustuvat vuokraajan aiempaan toimintoon. Voit esimerkiksi estää organisaatiossasi aiemmin ilmoitetun IsP:n toiminnot.
   Käyttäjä	Yleisiä toimintoja, jotka perustuvat tietyn käyttäjän aiempaan toimintoon. Voit esimerkiksi estää toiminnot sijainnista, jota käyttäjä käyttää yleisesti.

Vaihe 3: Pilvietsintäpoikkeamien tunnistuskäytäntöjen hienosäätäminen

Poikkeamien tunnistamisen käytäntöjen tavoin voit hienosäätää useita pilvipalvelussa olevien resurssienetsintäpoikkeamien tunnistuskäytäntöjä . Esimerkiksi tietojen suodatus muokkaamattomiin sovelluksiin -käytäntö varoittaa sinua, kun tietoja suodatetaan ei-toimimattomaan sovellukseen, ja siihen on määritetty ennalta Microsoftin suojauskentän käyttökokemukseen perustuvat asetukset.

Voit kuitenkin hienosäätää sisäisiä käytäntöjä tai luoda omia käytäntöjä, jotka auttavat sinua tunnistamaan muita skenaarioita, joita saatat olla kiinnostunut tutkimaan. Koska nämä käytännöt perustuvat pilvipalvelun etsintälokeihin, niillä on erilaiset viritysominaisuudet, jotka keskittyvät enemmän poikkeavaan sovelluksen toimintaan ja tietojen suodattimeen.

1. Käytön seurannan hienosäätäminen
   Määritä käyttösuodattimet ohjaamaan poikkeavien toimintojen tunnistamisen perusaikataulua, käyttöaluetta ja toimintajaksoa. Saatat esimerkiksi haluta saada ilmoituksia johtajatason työntekijöihin liittyvistä poikkeavuuksista.

2. Hälytyksen arkaluontoisuuden hienosäätäminen
   Hälytysväsymyksen estämiseksi määritä ilmoitusten luottamuksellisuus. Luottamuksellisuusliukusäätimen avulla voit hallita lähetettyjen suuririskisten ilmoitusten määrää tuhatta käyttäjää kohti viikossa. Suuremmat herkkyydet edellyttävät vähemmän varianssia, jotta ne voidaan pitää poikkeavina ja luoda enemmän ilmoituksia. Yleensä sinun on määritettävä alhainen luottamuksellisuus käyttäjille, joilla ei ole pääsyä luottamuksellisiin tietoihin.

Vaihe 4: Sääntöihin perustuvien tunnistuskäytäntöjen (toimintojen) hienosäätäminen

Sääntöihin perustuvien tunnistuskäytäntöjen avulla voit täydentää poikkeamien tunnistuskäytäntöjä organisaatiokohtaisilla vaatimuksilla. Suosittelemme sääntöpohjaisten käytäntöjen luomista käyttämällä jotakin toimintakäytäntömalliamme (siirry kohtaan Mallien hallinta> ja määritä Tyyppi-suodattimeksiToimintakäytäntö) ja määritä ne sitten havaitsemaan toimintatavat, jotka eivät ole normaaleja ympäristössäsi. Jos organisaatiolla ei esimerkiksi ole läsnäoloa tietyssä maassa tai tietyllä alueella, voi olla järkevää luoda käytäntö, joka tunnistaa kyseisen maan tai alueen poikkeavat toiminnot ja hälyttää niistä. Muille käyttäjille, joilla on suuria haaroja kyseisessä maassa tai kyseisellä alueella, kyseisen maan tai alueen toimet olisivat normaaleja, eikä tällaisten toimien havaitseminen olisi järkevää.

1. Toiminnan äänenvoimakkuuden hienosäätäminen
   Valitse aktiviteetin määrä, joka tarvitaan, ennen kuin tunnistaminen antaa ilmoituksen. Jos sinulla ei ole läsnäoloa maassa tai alueella, edes yksittäinen toiminta on merkittävä ja antaa luvan hälytykseen. Kertakirjautumisvirhe voi kuitenkin olla inhimillinen virhe ja kiinnostava vain, jos virheitä on paljon lyhyessä ajassa.
2. Toimintosuodattimien hienosäätäminen
   Määritä suodattimet, joiden avulla tunnistat, millaisesta toiminnosta haluat saada ilmoituksen. Jos haluat esimerkiksi tunnistaa toimintaa maasta tai alueelta, käytä Location-parametria.
3. Hälytysten virittäminen
   Voit ehkäistä hälytysväsymystä määrittämällä päivittäisen ilmoituksen rajoituksen.

Vaihe 5: Ilmoitusten määrittäminen

Huomautus

Ilmoitukset/tekstiviestit (tekstiviestit) on vanhentunut 15.12.2022 lähtien. Jos haluat saada teksti-ilmoituksia, käytä Microsoft Power Automatea mukautettujen ilmoitusten automatisointiin. Lisätietoja on artikkelissa Integrointi Microsoft Power Automaten kanssa mukautettujen ilmoitusten automatisointia varten.

Voit halutessasi vastaanottaa ilmoituksia muodossa ja välimuodossa, joka sopii eniten tarpeisiisi. Jos haluat saada välittömiä ilmoituksia milloin tahansa päivän aikana, voit halutessasi vastaanottaa ne sähköpostitse.

Haluat ehkä myös mahdollisuuden analysoida hälytyksiä muiden organisaatiosi muiden tuotteiden käynnistämien ilmoitusten yhteydessä, jotta saat kokonaisvaltaisen kuvan mahdollisesta uhasta. Saatat esimerkiksi haluta korreloida pilvipohjaisten ja paikallisten tapahtumien välillä nähdäksesi, onko olemassa muita lieventäviä todisteita, jotka voivat vahvistaa hyökkäyksen.

Lisäksi voit käynnistää mukautetun hälytysten automatisoinnin microsoft Power Automate -integroinnin avulla. Voit esimerkiksi määrittää pelikirjan, joka luo automaattisesti ongelman ServiceNow-palvelussa , tai lähettää hyväksyntäsähköpostin mukautetun hallintotoiminnon suorittamiseksi, kun ilmoitus käynnistetään.

Määritä hälytykset seuraavien ohjeiden mukaisesti:

1. Sähköposti
   Valitse tämä vaihtoehto, jos haluat vastaanottaa ilmoituksia sähköpostitse.
2. SIEM
   SieM-integrointivaihtoehtoja on useita, kuten Microsoft Sentinel, Microsoft Graph suojauksen ohjelmointirajapinta ja muita yleisiä SIEM-koneita. Valitse integrointi, joka täyttää parhaiten vaatimuksesi.
3. Power Automaten automaatio
   Luo tarvitsemiasi automaation pelikirjoja ja määritä ne käytännön Ilmoitukseksi Power Automate -toiminnolle.

Vaihe 6: Tutki ja korjaa

Hienoa, olet määrittänyt käytäntösi ja alkanut vastaanottaa epäilyttäviä toimintailmoituksia. Mitä sinun pitäisi tehdä niille? Aloita aloittamalla toimet toiminnan tutkimiseksi. Saatat esimerkiksi haluta tutkia toimintoja, jotka ilmaisevat , että käyttäjä on vaarantunut.

Suojauksen optimoimiseksi sinun kannattaa harkita automaattisten korjaustoimintojen määrittämistä organisaatiollesi aiheutuvan riskin minimoimiseksi. Käytäntöjemme avulla voit ottaa käyttöön hallintotoimia yhdessä hälytysten kanssa, jotta organisaatiollesi aiheutuva riski pienenee jo ennen kuin alat tutkia asiaa. Käytettävissä olevat toiminnot määräytyvät käytäntötyypin mukaan lukien toiminnot, kuten käyttäjän keskeyttäminen tai pyydetyn resurssin käytön estäminen.

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.

Lisätietoja

• Kokeile vuorovaikutteista opasta: Uhkien havaitseminen ja hälytysten hallinta Microsoft Defender for Cloud Apps