Creare criteri di rilevamento anomalie Defender for Cloud Apps

I criteri di rilevamento anomalie Microsoft Defender for Cloud Apps forniscono analisi del comportamento dell'entità e dell'utente (UEBA) e Machine Learning (ML) predefiniti, in modo da essere pronti fin dall'inizio per eseguire il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché vengono abilitati automaticamente, i nuovi criteri di rilevamento anomalie avviano immediatamente il processo di rilevamento e confronto dei risultati, indirizzando numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i criteri espongono più dati dal motore di rilevamento Defender for Cloud Apps, per velocizzare il processo di indagine e contenere minacce in corso.

I criteri di rilevamento anomalie vengono abilitati automaticamente, ma Defender for Cloud Apps ha un periodo di apprendimento iniziale di sette giorni durante il quale non vengono generati tutti gli avvisi di rilevamento anomalie. Dopo di che, man mano che i dati vengono raccolti dai connettori API configurati, ogni sessione viene confrontata con l'attività, quando gli utenti erano attivi, indirizzi IP, dispositivi e così via, rilevati nell'ultimo mese e il punteggio di rischio di queste attività. Tenere presente che potrebbero essere richieste diverse ore prima che i dati siano disponibili dai connettori API. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristiche che profila l'ambiente e attiva avvisi rispetto a una baseline appresa sull'attività dell'organizzazione. Questi rilevamenti usano anche algoritmi di Machine Learning progettati per profilare gli utenti e il modello di accesso per ridurre i falsi positivi.

Le anomalie vengono rilevate tramite l'analisi dell'attività utente. Il rischio viene valutato esaminando oltre 30 diversi indicatori di rischio, raggruppati in fattori di rischio, come indicato di seguito:

• Indirizzo IP a rischio
• Errori di accesso
• Attività dell'amministratore
• Account inattivi
• Posizione
• Spostamento fisico impossibile
• Dispositivo e agente utente
• Frequenza attività

In base ai risultati dei criteri, vengono attivati avvisi di sicurezza. Defender for Cloud Apps esamina ogni sessione utente nel cloud e avvisa quando si verifica un evento diverso dalla linea di base dell'organizzazione o dall'attività regolare dell'utente.

Oltre agli avvisi di Defender for Cloud Apps nativi, si riceveranno anche gli avvisi di rilevamento seguenti in base alle informazioni ricevute da Microsoft Entra ID Protection:

• Credenziali perse: attivate quando sono state perse le credenziali valide di un utente. Per altre informazioni, vedere rilevamento delle credenziali perse di Microsoft Entra ID.
• Accesso rischioso: combina una serie di rilevamenti di accesso Microsoft Entra ID Protection in un singolo rilevamento. Per altre informazioni, vedere Rilevamento dei rischi di accesso di Microsoft Entra ID.

Questi criteri verranno visualizzati nella pagina Defender for Cloud Apps criteri e possono essere abilitati o disabilitati.

Criteri di rilevamento anomalie

È possibile visualizzare i criteri di rilevamento anomalie nel portale di Microsoft Defender passando ad App cloud ->Criteri ->Gestione dei criteri. Scegliere quindi Criteri di rilevamento anomalie per il tipo di criterio.

Sono disponibili i criteri di rilevamento anomalie seguenti:

Viaggio impossibile

• • Questo rilevamento identifica due attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo inferiore al tempo in cui avrebbe richiesto all'utente di spostarsi dalla prima posizione alla seconda, indicando che un utente diverso usa le stesse credenziali. Questo rilevamento usa un algoritmo di Machine Learning che ignora gli evidenti "falsi positivi" che contribuiscono alla condizione di viaggio impossibile, ad esempio VPN e posizioni usate regolarmente da altri utenti dell'organizzazione. Il rilevamento ha un periodo di apprendimento iniziale di sette giorni durante il quale apprende il modello di attività di un nuovo utente. Il rilevamento dei viaggi impossibile identifica un'attività utente insolita e impossibile tra due posizioni. L'attività deve essere abbastanza insolita da essere considerata un indicatore di compromissione e degna di un avviso. Per fare in modo che funzioni, la logica di rilevamento include diversi livelli di eliminazione per risolvere gli scenari che possono attivare falsi positivi, ad esempio attività VPN o attività da provider di servizi cloud che non indicano una posizione fisica. Il dispositivo di scorrimento di riservatezza consente di influire sull'algoritmo e definire la rigore della logica di rilevamento. Maggiore è il livello di riservatezza, meno attività verranno eliminate come parte della logica di rilevamento. In questo modo, è possibile adattare il rilevamento in base alle esigenze di copertura e agli obiettivi SNR.

    Nota

    • Quando gli indirizzi IP su entrambi i lati del viaggio sono considerati sicuri e il dispositivo di scorrimento di sensibilità non è impostato su Alto, il viaggio è considerato attendibile ed escluso dall'attivazione del rilevamento dei viaggi impossibile. Ad esempio, entrambi i lati sono considerati sicuri se sono contrassegnati come aziendali. Tuttavia, se l'indirizzo IP di un solo lato del viaggio è considerato sicuro, il rilevamento viene attivato normalmente.
    • Le località vengono calcolate a livello di paese/area geografica. Ciò significa che non ci saranno avvisi per due azioni provenienti dallo stesso paese/area geografica o da paesi/aree geografiche confinanti.

Attività da Paesi poco frequenti

• Questo rilevamento prende in considerazione le posizioni delle attività precedenti per determinare le posizioni nuove e poco frequenti. Il motore di rilevamento anomalie archivia le informazioni sulle posizioni precedenti usate dall'utente. Un avviso viene attivato quando si verifica un'attività da una posizione che non è stata visitata di recente o non è mai stata visitata dall'utente. Per ridurre gli avvisi falsi positivi, il rilevamento elimina le connessioni caratterizzate da preferenze comuni per l'utente.

Rilevamento di software dannoso

Questo rilevamento identifica i file dannosi nell'archiviazione cloud, indipendentemente dal fatto che provenissero dalle app Microsoft o da app di terze parti. Microsoft Defender for Cloud Apps usa l'intelligence sulle minacce di Microsoft per riconoscere se alcuni file che corrispondono a euristiche dei rischi, ad esempio il tipo di file e il livello di condivisione, sono associati ad attacchi malware noti e sono potenzialmente dannosi. Questo criterio è disabilitato Dopo aver rilevato file dannosi, è possibile visualizzare un elenco di file infetti. Selezionare il nome del file malware nel pannello dei file per aprire un report di malware che fornisce informazioni sul tipo di malware con cui il file è infetto.

Usare questo rilevamento per controllare i caricamenti e i download dei file in tempo reale con i criteri di sessione.

File Sandboxing

Abilitando il sandboxing dei file, i file che in base ai metadati e basati sull'euristica proprietaria sono potenzialmente rischiosi, verranno analizzati anche in un ambiente sicuro. L'analisi sandbox può rilevare i file non rilevati in base alle origini di intelligence sulle minacce.

Defender for Cloud Apps supporta il rilevamento di malware per le app seguenti:

• Box
• Dropbox
• Google Workspace

Nota

• Il sandboxing proattivo verrà eseguito in applicazioni di terze parti (Box, Dropbox e così via). In OneDrive e i file di SharePoint vengono analizzati e sottoposti a sandbox come parte del servizio stesso.
• In Box, Dropbox e Google Workspace Defender for Cloud Apps non blocca automaticamente il file, ma il blocco può essere eseguito in base alle funzionalità dell'app e alla configurazione dell'app impostata dal cliente.
• Se non si è certi che un file rilevato sia effettivamente malware o un falso positivo, passare alla pagina Intelligence di sicurezza Microsoft in https://www.microsoft.com/wdsi/filesubmission e inviare il file per ulteriori analisi.

Attività da indirizzi IP anonimi

• Questo rilevamento identifica che gli utenti erano attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo. Questi proxy vengono usati da utenti che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per finalità dannose. Questo rilevamento usa un algoritmo di Machine Learning che riduce i "falsi positivi", ad esempio gli indirizzi IP con tag errati ampiamente usati dagli utenti dell'organizzazione.

Attività ransomware

• Defender for Cloud Apps esteso le sue funzionalità di rilevamento ransomware con rilevamento anomalie per garantire una copertura più completa contro attacchi ransomware sofisticati. Utilizzando le nostre competenze di ricerca sulla sicurezza per identificare modelli comportamentali che riflettono l'attività ransomware, Defender for Cloud Apps garantisce una protezione olistica e solida. Se Defender for Cloud Apps identifica, ad esempio, una frequenza elevata di caricamenti di file o attività di eliminazione di file, può rappresentare un processo di crittografia negativo. Questi dati vengono raccolti nei log ricevuti dalle API connesse e vengono quindi combinati con modelli comportamentali appresi e intelligence sulle minacce, ad esempio estensioni ransomware note. Per altre informazioni su come Defender for Cloud Apps rileva il ransomware, vedere Protezione dell'organizzazione da ransomware.

Attività eseguita da un utente terminato

• Questo rilevamento consente di identificare quando un dipendente terminato continua a eseguire azioni nelle app SaaS. Poiché i dati mostrano che il maggior rischio di minaccia insider deriva dai dipendenti che hanno lasciato in condizioni non appropriate, è importante tenere d'occhio l'attività sugli account dei dipendenti terminati. In alcuni casi, quando i dipendenti lasciano un'azienda, il deprovisioning degli account viene effettuato dalle app aziendali, ma in molti casi conservano comunque l'accesso a determinate risorse aziendali. Ciò è ancora più importante quando si considerano gli account con privilegi, in quanto il potenziale danno che un ex amministratore può fare è intrinsecamente maggiore. Questo rilevamento sfrutta la Defender for Cloud Apps possibilità di monitorare il comportamento degli utenti tra le app, consentendo l'identificazione dell'attività regolare dell'utente, il fatto che l'account è stato eliminato e l'attività effettiva in altre app. Ad esempio, un dipendente il cui account Microsoft Entra è stato eliminato, ma ha ancora accesso all'infrastruttura AWS aziendale, può causare danni su larga scala.

Il rilevamento cerca gli utenti i cui account sono stati eliminati in Microsoft Entra ID, ma esegue comunque attività in altre piattaforme, ad esempio AWS o Salesforce. Ciò è particolarmente rilevante per gli utenti che usano un altro account (non il proprio account Single Sign-On principale) per gestire le risorse, poiché questi account spesso non vengono eliminati quando un utente lascia l'azienda.

Attività da indirizzi IP sospetti

• Questo rilevamento identifica che gli utenti erano attivi da un indirizzo IP identificato come rischioso da Microsoft Threat Intelligence. Questi indirizzi IP sono coinvolti in attività dannose, ad esempio l'esecuzione di spray password, Botnet C&C e possono indicare un account compromesso. Questo rilevamento usa un algoritmo di Machine Learning che riduce i "falsi positivi", ad esempio gli indirizzi IP con tag errati ampiamente usati dagli utenti dell'organizzazione.

Inoltro sospetto della Posta in arrivo

• Questo rilevamento cerca regole di inoltro di posta elettronica sospette, ad esempio se un utente ha creato una regola di posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.

Nota

Defender for Cloud Apps solo avvisi per ogni regola di inoltro identificata come sospetta, in base al comportamento tipico per l'utente.

Regole sospette di manipolazione della Posta in arrivo

• Questo rilevamento profila l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Ciò può indicare che l'account dell'utente è compromesso, che i messaggi vengono intenzionalmente nascosti e che la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.

Attività sospetta di eliminazione della posta elettronica (anteprima)

• Questo criterio profila l'ambiente e attiva avvisi quando un utente esegue attività sospette di eliminazione della posta elettronica in una singola sessione. Questo criterio può indicare che le cassette postali di un utente possono essere compromesse da potenziali vettori di attacco, ad esempio la comunicazione di comando e controllo (C&C/C2) tramite posta elettronica.

Nota

Defender for Cloud Apps si integra con Microsoft Defender XDR per fornire protezione per Exchange online, tra cui la detonazione dell'URL, la protezione da malware e altro ancora. Dopo aver abilitato Defender per Microsoft 365, si inizierà a visualizzare gli avvisi nel log attività Defender for Cloud Apps.

Attività sospette di download di file dell'app OAuth

• Analizza le app OAuth connesse all'ambiente e attiva un avviso quando un'app scarica più file da Microsoft SharePoint o Microsoft OneDrive in modo insolito per l'utente. Ciò potrebbe indicare che l'account utente è compromesso.

ISP insolito per un'app OAuth

• Questo criterio profila l'ambiente e attiva avvisi quando un'app OAuth si connette alle applicazioni cloud da un ISP non comune. Questo criterio può indicare che un utente malintenzionato ha tentato di usare un'app compromessa legittima per eseguire attività dannose nelle applicazioni cloud.

Attività insolite (per utente)

Questi rilevamenti identificano gli utenti che eseguono:

• Attività insolite di download di più file
• Attività insolite di condivisione file
• Attività insolite di eliminazione di file
• Attività insolite rappresentate
• Attività amministrative insolite
• Attività insolite di condivisione di report di Power BI (anteprima)
• Attività insolite di creazione di più macchine virtuali (anteprima)
• Attività insolite di eliminazione di più risorse di archiviazione (anteprima)
• Area insolita per la risorsa cloud (anteprima)
• Accesso ai file insolito

Questi criteri cercano le attività all'interno di una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione. Questi rilevamenti sfruttano un algoritmo di Machine Learning che profila il modello di accesso degli utenti e riduce i falsi positivi. Questi rilevamenti fanno parte del motore di rilevamento anomalie euristiche che profila l'ambiente e attiva avvisi rispetto a una baseline appresa sull'attività dell'organizzazione.

Molteplici tentativi di accesso non riusciti

• Questo rilevamento identifica gli utenti che hanno eseguito più tentativi di accesso non riusciti in una singola sessione rispetto alla baseline appresa, che potrebbero indicare un tentativo di violazione.

Esfiltrazione di dati da app non approvate

• Questo criterio viene abilitato automaticamente per avvisare l'utente quando un utente o un indirizzo IP usa un'app non approvata per eseguire un'attività simile a un tentativo di esfiltrare informazioni dall'organizzazione.

Molteplici attività di eliminazione di macchine virtuali

• Questo criterio profila l'ambiente e attiva avvisi quando gli utenti eliminano più macchine virtuali in una singola sessione, rispetto alla baseline nell'organizzazione. Questo potrebbe indicare un tentativo di violazione.

Abilitare la governance automatizzata

È possibile abilitare azioni di correzione automatizzate sugli avvisi generati dai criteri di rilevamento anomalie.

1. Selezionare il nome dei criteri di rilevamento nella pagina Criteri .
2. Nella finestra Modifica criteri di rilevamento anomalie visualizzata, in Azioni di governance impostare le azioni di correzione desiderate per ogni app connessa o per tutte le app.
3. Selezionare Aggiorna.

Ottimizzare i criteri di rilevamento anomalie

Per influire sul motore di rilevamento anomalie per eliminare o visualizzare gli avvisi in base alle proprie preferenze:

• Nei criteri Viaggio impossibile è possibile impostare il dispositivo di scorrimento di riservatezza per determinare il livello di comportamento anomalo necessario prima che venga attivato un avviso. Ad esempio, se lo imposti su basso o medio, eliminerà gli avvisi di Viaggio impossibile dalle posizioni comuni di un utente e, se lo imposti su alto, genererà tali avvisi. È possibile scegliere tra i livelli di riservatezza seguenti:

  • Basso: eliminazioni di sistema, tenant e utenti

  • Medio: eliminazioni di sistema e utenti

  • Alto: solo le eliminazioni di sistema

    Dove:

    Tipo di eliminazione	Descrizione
    Sistema	Rilevamenti predefiniti che vengono sempre eliminati.
    Tenant	Attività comuni basate su attività precedenti nel tenant. Ad esempio, l'eliminazione delle attività da un ISP in precedenza avvisato nell'organizzazione.
    Utente	Attività comuni basate su attività precedenti dell’utente specifico. Ad esempio, eliminando le attività da una posizione comunemente usata dall'utente.

Nota

I viaggi impossibili, l'attività da paesi/aree geografiche non frequenti, l'attività da indirizzi IP anonimi e l'attività da indirizzi IP sospetti non si applicano agli account di accesso non riusciti e agli account di accesso non interattivi.

Definire l'ambito dei criteri di rilevamento anomalie

Ogni criterio di rilevamento anomalie può essere definito in modo indipendente in modo da essere applicato solo agli utenti e ai gruppi che si vuole includere ed escludere nel criterio. Ad esempio, è possibile impostare l'Attività dal rilevamento di un paese non frequente per ignorare un utente specifico che viaggia di frequente.

Per definire l'ambito di un criterio di rilevamento anomalie:

1. Nel portale di Microsoft Defender passare a App cloud ->Criteri ->Gestione dei criteri. Scegliere quindi Criteri di rilevamento anomalie per il tipo di criterio.

2. Selezionare il criterio di cui si vuole definire l’ambito.

3. In Ambito modificare l'elenco a discesa dall'impostazione predefinita Tutti gli utenti e i gruppi in Utenti e gruppi specifici.

4. Selezionare Includi per specificare gli utenti e i gruppi per i quali verranno applicati i criteri. Qualsiasi utente o gruppo non selezionato non verrà considerato una minaccia e non genererà un avviso.

5. Selezionare Escludi per specificare gli utenti per cui questo criterio non verrà applicato. Qualsiasi utente selezionato qui non verrà considerato una minaccia e non genererà un avviso, anche se è membro di gruppi selezionati in Includi.

   

Valutare gli avvisi di rilevamento anomalie

È possibile valutare rapidamente i vari avvisi attivati dai nuovi criteri di rilevamento anomalie e decidere quali devono essere curati per primi. A tale scopo, è necessario il contesto per l'avviso, in modo da poter vedere il quadro generale e capire se qualcosa di dannoso sta effettivamente accadendo.

1. Nel log attività è possibile aprire un'attività per visualizzare il pannello Attività. Selezionare Utente per visualizzare la scheda Informazioni dettagliate utente. Questa scheda include informazioni come il numero di avvisi, attività e da dove si sono connessi, che è importante in un'indagine.

   

2. Per i file infetti da malware, dopo il rilevamento dei file, è possibile visualizzare un elenco di file infetti. Selezionare il nome del file malware nel pannello dei file per aprire un report di malware che fornisce informazioni su quel tipo di malware con cui il file è infetto.

Video correlati

Webinar sulla protezione dalle minacce

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.