Come analizzare gli avvisi di rilevamento anomalie

Microsoft Defender for Cloud Apps fornisce rilevamenti e avvisi di sicurezza per le attività dannose. Lo scopo di questa guida è fornire informazioni generali e pratiche su ciascun avviso, in modo da facilitare le attività di indagine e correzione. In questa guida sono incluse informazioni generali sulle condizioni per l'attivazione degli avvisi. Tuttavia, è importante notare che, poiché i rilevamenti di anomalie sono non deterministici per natura, vengono attivati solo quando è presente un comportamento che si discosta dalla norma. Infine, alcuni avvisi potrebbero essere in anteprima, quindi esaminare regolarmente la documentazione ufficiale per informazioni sullo stato aggiornato degli avvisi.

MITRE ATT&CK

Per spiegare e semplificare il mapping della relazione tra gli avvisi Defender for Cloud Apps e la familiare mitre ATT&matrice CK, gli avvisi sono stati categorizzati in base alla corrispondente tattica MITRE ATT&CK. Questo riferimento aggiuntivo semplifica la comprensione della tecnica di sospetto attacco potenzialmente in uso quando viene attivato un avviso di Defender for Cloud Apps.

Questa guida fornisce informazioni sull'analisi e la correzione degli avvisi Defender for Cloud Apps nelle categorie seguenti.

• Accesso iniziale
• Esecuzione
• Persistenza
• Escalation dei privilegi
• Accesso alle credenziali
• Raccolta
• Sottrazione di dati
• Impatto

Classificazioni degli avvisi di sicurezza

Dopo un'indagine appropriata, tutti gli avvisi Defender for Cloud Apps possono essere classificati come uno dei tipi di attività seguenti:

• Vero positivo (TP):avviso su un'attività dannosa confermata.
• Vero positivo (B-TP) non dannoso: avviso su attività sospette ma non dannose, ad esempio un test di penetrazione o altre azioni sospette autorizzate.
• Falso positivo (FP):avviso su un'attività non dannosa.

Passaggi generali dell'indagine

È consigliabile usare le linee guida generali seguenti durante l'analisi di qualsiasi tipo di avviso per ottenere una comprensione più chiara della potenziale minaccia prima di applicare l'azione consigliata.

• Esaminare il punteggio di priorità dell'indagine dell'utente e confrontarlo con il resto dell'organizzazione. In questo modo è possibile identificare gli utenti dell'organizzazione che rappresentano il rischio maggiore.
• Se si identifica un TP, esaminare tutte le attività dell'utente per comprendere l'impatto.
• Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'origine e l'ambito dell'impatto. Esaminare, ad esempio, le informazioni seguenti sul dispositivo utente e confrontarsi con le informazioni note sul dispositivo:
  • Sistema operativo e versione
  • Browser e versione
  • Indirizzo IP e posizione

Avvisi di accesso iniziale

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di ottenere un punto di appoggio iniziale nell'organizzazione.

Attività dall'indirizzo IP anonimo

Descrizione

Attività da un indirizzo IP identificato come indirizzo IP proxy anonimo da Microsoft Threat Intelligence o dall'organizzazione. Questi proxy possono essere usati per nascondere l'indirizzo IP di un dispositivo e possono essere usati per attività dannose.

TP, B-TP o FP?

Questo rilevamento usa un algoritmo di Machine Learning che riduce gli eventi imprevisti B-TP , ad esempio indirizzi IP con tag errati ampiamente usati dagli utenti dell'organizzazione.

1. TP: se si è in grado di confermare che l'attività è stata eseguita da un indirizzo IP anonimo o TOR.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. B-TP: se è noto che un utente usa indirizzi IP anonimi nell'ambito dei propri compiti. Ad esempio, quando un analista della sicurezza esegue test di sicurezza o penetrazione per conto dell'organizzazione.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

• Esaminare tutte le attività e gli avvisi degli utenti per altri indicatori di compromissione. Ad esempio, se l'avviso è stato seguito da un altro avviso sospetto, ad esempio un download di file insolito (da parte dell'utente) o un avviso di inoltro della posta in arrivo sospetto , che spesso indica che un utente malintenzionato sta tentando di esfiltrare i dati.

Attività da Paesi poco frequenti

Attività da un paese o un'area geografica che potrebbe indicare attività dannose. Questo criterio profila l'ambiente e attiva gli avvisi quando viene rilevata un'attività da una posizione che non è stata recentemente o non è mai stata visitata da alcun utente dell'organizzazione.

Il criterio può essere ulteriormente limitato a un subset di utenti o può escludere gli utenti che si trovano in posizioni remote.

Periodo di apprendimento

Il rilevamento di posizioni anomale richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata:

   1. Sospendere l'utente, reimpostare la password e identificare il momento giusto per riabilitare l'account in modo sicuro.
   2. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti rilevati come connessi da posizioni poco frequenti e dai loro manager per verificare la loro attività.

2. B-TP: se è noto che un utente si trova in questa posizione. Ad esempio, quando un utente che viaggia di frequente e si trova attualmente nella posizione specificata.

   Azione consigliata:

   1. Ignorare l'avviso e modificare i criteri per escludere l'utente.
   2. Creare un gruppo di utenti per viaggiatori frequenti, importare il gruppo in Defender for Cloud Apps ed escludere gli utenti da questo avviso
   3. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti rilevati come connessi da posizioni poco frequenti e dai loro manager per verificare la loro attività.

Informazioni sull'ambito della violazione

• Verificare quale risorsa potrebbe essere stata compromessa, ad esempio potenziali download di dati.

Attività da indirizzi IP sospetti

Attività da un indirizzo IP identificato come rischioso da Microsoft Threat Intelligence o dall'organizzazione. Questi indirizzi IP sono stati identificati come coinvolti in attività dannose, ad esempio l'esecuzione di spray password, comando e controllo botnet (C&C) e potrebbero indicare un account compromesso.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. B-TP: se è noto che un utente usa l'indirizzo IP nell'ambito dei propri compiti. Ad esempio, quando un analista della sicurezza esegue test di sicurezza o penetrazione per conto dell'organizzazione.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare il log attività e cercare le attività dallo stesso indirizzo IP.
2. Verificare quale risorsa potrebbe essere stata compromessa, ad esempio potenziali download di dati o modifiche amministrative.
3. Creare un gruppo per gli analisti della sicurezza attivando volontariamente questi avvisi ed escluderli dai criteri.

Viaggio impossibile

Attività dello stesso utente in posizioni diverse entro un periodo di tempo inferiore al tempo di viaggio previsto tra le due posizioni. Ciò può indicare una violazione delle credenziali, tuttavia, è anche possibile che la posizione effettiva dell'utente venga mascherata, ad esempio usando una VPN.

Per migliorare l'accuratezza e l'avviso solo quando è presente una forte indicazione di una violazione, Defender for Cloud Apps stabilisce una baseline per ogni utente dell'organizzazione e avviserà solo quando viene rilevato il comportamento insolito. La politica di viaggio impossibile può essere ottimizzata in base alle proprie esigenze.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

Questo rilevamento usa un algoritmo di Machine Learning che ignora le ovvie condizioni B-TP , ad esempio quando gli indirizzi IP su entrambi i lati del viaggio sono considerati sicuri, il viaggio è considerato attendibile ed escluso dall'attivazione del rilevamento dei viaggi impossibile. Ad esempio, entrambi i lati sono considerati sicuri se sono contrassegnati come aziendali. Tuttavia, se l'indirizzo IP di un solo lato del viaggio è considerato sicuro, il rilevamento viene attivato normalmente.

1. TP: se si è in grado di confermare che la posizione nell'avviso di viaggio impossibile è improbabile per l'utente.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Viaggio utente non rilevato): se si è in grado di confermare che l'utente ha recentemente visitato la destinazione indicata in dettaglio nell'avviso. Ad esempio, se il telefono di un utente in modalità aereo rimane connesso a servizi come Exchange Online nella rete aziendale durante il viaggio in un'altra posizione. Quando l'utente arriva alla nuova posizione, il telefono si connette a Exchange Online attivando l'avviso di viaggio impossibile.

   Azione consigliata: ignorare l'avviso.

3. FP (VPN senza tag): se si è in grado di confermare che l'intervallo di indirizzi IP proviene da una VPN approvata.

   Azione consigliata: ignorare l'avviso e aggiungere l'intervallo di indirizzi IP della VPN a Defender for Cloud Apps e quindi usarlo per contrassegnare l'intervallo di indirizzi IP della VPN.

Informazioni sull'ambito della violazione

1. Esaminare il log attività per comprendere le attività simili nello stesso percorso e nello stesso indirizzo IP.
2. Se si noterà che l'utente ha eseguito altre attività rischiose, ad esempio il download di un volume elevato di file da una nuova posizione, si tratta di un'indicazione chiara di una possibile compromissione.
3. Aggiungere gli intervalli di indirizzi IP e VPN aziendali.
4. Creare un playbook usando Power Automate e contattare il responsabile dell'utente per verificare se l'utente è in viaggio legittimo.
5. Prendere in considerazione la creazione di un database di viaggiatori noto per la creazione di report sui viaggi aziendali fino al minuto e usarlo per fare riferimento incrociato alle attività di viaggio.

Nome dell'app OAuth fuorviante

Questo rilevamento identifica le app con caratteri, ad esempio lettere esterne, simili a lettere latine. Questo può indicare un tentativo di mascherare un'app dannosa come app nota e attendibile in modo che gli utenti malintenzionati possano ingannare gli utenti a scaricare l'app dannosa.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'app ha un nome fuorviante.

   Azione consigliata: esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app.

Per vietare l'accesso all'app, nella scheda Google o Salesforce della pagina Governance dell'app, nella riga in cui viene visualizzata l'app da vietare, selezionare l'icona di divieto. - È possibile scegliere se si vuole indicare agli utenti che l'app che hanno installato e autorizzato è stata vietata. La notifica informa gli utenti che l'app è disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Notifica agli utenti che hanno concesso l'accesso a questa app esclusa nella finestra di dialogo. - È consigliabile comunicare agli utenti dell'app che l'app sta per essere esclusa dall'uso.

1. FP: se vuoi confermare che l'app ha un nome fuorviante ma ha un uso aziendale legittimo nell'organizzazione.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

• Seguire l'esercitazione Analizzare le app OAuth rischiose.

Nome dell'editore fuorviante per un'app OAuth

Questo rilevamento identifica le app con caratteri, ad esempio lettere esterne, simili a lettere latine. Questo può indicare un tentativo di mascherare un'app dannosa come app nota e attendibile in modo che gli utenti malintenzionati possano ingannare gli utenti a scaricare l'app dannosa.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'app ha un nome di editore fuorviante.

   Azione consigliata: esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app.

2. FP: se vuoi confermare che l'app ha un nome di editore fuorviante, ma è un autore legittimo.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Nella scheda Google o Salesforce della pagina Governance app selezionare l'app per aprire il pannello App e quindi selezionare Attività correlata. Verrà visualizzata la pagina Log attività filtrata per le attività eseguite dall'app. Tenere presente che alcune app eseguono attività registrate come eseguite da un utente. Queste attività vengono filtrate automaticamente dai risultati nel log attività. Per ulteriori indagini sull'uso del log attività, vedere Log attività.
2. Se si sospetta che un'app sia sospetta, è consigliabile analizzare il nome e l'editore dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
   • App con un numero ridotto di download.
   • App con una valutazione o un punteggio basso o commenti non validi.
   • App con un editore o un sito Web sospetto.
   • App che non sono state aggiornate di recente. Questo potrebbe indicare un'app non più supportata.
   • App con autorizzazioni irrilevanti. Questo potrebbe indicare che un'app è rischiosa.
3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome, l'editore e l'URL dell'app online.

Avvisi di esecuzione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di eseguire codice dannoso nell'organizzazione.

Molteplici attività di eliminazione dello spazio di archiviazione

Attività in una singola sessione che indicano che un utente ha eseguito un numero insolito di eliminazioni di database o archiviazione cloud da risorse come BLOB di Azure, bucket AWS S3 o Cosmos DB rispetto alla baseline appresa. Ciò può indicare un tentativo di violazione dell'organizzazione.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si vuole confermare che le eliminazioni non sono state autorizzate.

   Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi alla ricerca di minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto.

2. FP: se, dopo l'indagine, si è in grado di confermare che l'amministratore è stato autorizzato a eseguire queste attività di eliminazione.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Contattare l'utente e confermare l'attività.
2. Esaminare il log attività per altri indicatori di compromissione e vedere chi ha apportato la modifica.
3. Esaminare le attività dell'utente per le modifiche apportate ad altri servizi.

Molteplici attività di creazione di macchine virtuali

Attività in una singola sessione che indicano che un utente ha eseguito un numero insolito di azioni di creazione della macchina virtuale rispetto alla baseline appresa. Più creazioni di macchine virtuali in un'infrastruttura cloud violata potrebbero indicare un tentativo di eseguire operazioni di crypto mining dall'interno dell'organizzazione.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente un'indicazione chiara di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP , ad esempio un amministratore ha creato legittimo più macchine virtuali rispetto alla baseline stabilita e avvisa solo quando viene rilevato il comportamento insolito.

• TP: se si è in grado di confermare che le attività di creazione non sono state eseguite da un utente legittimo.

  Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi alla ricerca di minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto. Inoltre, contattare l'utente, confermare le azioni legittime e quindi assicurarsi di disabilitare o eliminare le macchine virtuali compromesse.

• B-TP: se, dopo l'indagine, si è in grado di confermare che l'amministratore è stato autorizzato a eseguire queste attività di creazione.

  Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività utente per altri indicatori di compromissione.
2. Esaminare le risorse create o modificate dall'utente e verificare che siano conformi ai criteri dell'organizzazione.

Attività di creazione sospetta per l'area cloud (anteprima)

Attività che indicano che un utente ha eseguito un'azione insolita di creazione di risorse in un'area AWS non comune rispetto alla baseline appresa. La creazione di risorse in aree cloud non comuni potrebbe indicare un tentativo di eseguire un'attività dannosa, ad esempio le operazioni di crypto mining dall'interno dell'organizzazione.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente una forte indicazione di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP .

• TP: se si è in grado di confermare che le attività di creazione non sono state eseguite da un utente legittimo.

  Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi alla ricerca di minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto. Inoltre, contattare l'utente, confermare le azioni legittime e quindi assicurarsi di disabilitare o eliminare eventuali risorse cloud compromesse.

• B-TP: se, dopo l'indagine, si è in grado di confermare che l'amministratore è stato autorizzato a eseguire queste attività di creazione.

  Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività utente per altri indicatori di compromissione.
2. Esaminare le risorse create e verificare che siano conformi ai criteri dell'organizzazione.

Avvisi di persistenza

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di mantenere il proprio punto d'appoggio nell'organizzazione.

Attività eseguita da un utente terminato

L'attività eseguita da un utente terminato può indicare che un dipendente terminato che ha ancora accesso alle risorse aziendali sta tentando di eseguire un'attività dannosa. Defender for Cloud Apps profila gli utenti dell'organizzazione e attiva un avviso quando un utente terminato esegue un'attività.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'utente terminato ha ancora accesso a determinate risorse aziendali ed esegue attività.

   Azione consigliata: disabilitare l'utente.

2. B-TP: se si è in grado di determinare che l'utente è stato temporaneamente disabilitato o eliminato e registrato di nuovo.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Record HR di riferimento incrociato per verificare che l'utente sia terminato.
2. Convalidare l'esistenza dell'account utente Microsoft Entra.

   Nota

   Se si usa Microsoft Entra Connect, convalidare l'oggetto Active Directory locale e confermare un ciclo di sincronizzazione corretto.

3. Identificare tutte le app a cui l'utente terminato ha avuto accesso e rimuovere gli account.
4. Aggiornare le procedure di rimozione dei dati.

Modifica sospetta del servizio di registrazione CloudTrail

Attività in una singola sessione che indicano che un utente ha eseguito modifiche sospette al servizio di registrazione AWS CloudTrail. Ciò può indicare un tentativo di violazione dell'organizzazione. Quando si disabilita CloudTrail, le modifiche operative non vengono più registrate. Un utente malintenzionato può eseguire attività dannose evitando un evento di controllo CloudTrail, ad esempio modificando un bucket S3 da privato a pubblico.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, reimpostare la password e invertire l'attività CloudTrail.

2. FP: se si è in grado di confermare che l'utente ha legittimo disabilitato il servizio CloudTrail.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare il log attività per altri indicatori di compromissione e vedere chi ha apportato la modifica al servizio CloudTrail.
2. Facoltativo: creare un playbook usando Power Automate per contattare gli utenti e i responsabili per verificare la loro attività.

Attività sospetta di eliminazione della posta elettronica (per utente)

Attività in una singola sessione che indicano che un utente ha eseguito eliminazioni di posta elettronica sospette. Il tipo di eliminazione era il tipo "hard delete", che rende l'elemento di posta elettronica eliminato e non disponibile nella cassetta postale dell'utente. L'eliminazione è stata eseguita da una connessione che include preferenze non comuni, ad esempio ISP, paese/area geografica e agente utente. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli utenti malintenzionati che tentano di mascherare le operazioni eliminando i messaggi di posta elettronica correlati alle attività di posta indesiderata.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP: se si è in grado di confermare che l'utente ha legittimo creato una regola per eliminare i messaggi.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

• Esaminare tutte le attività utente per altri indicatori di compromissione, ad esempio l'avviso di inoltro della posta in arrivo sospetto seguito da un avviso di viaggio impossibile . Cercare:

  1. Nuove regole di inoltro SMTP, come indicato di seguito:
     • Verificare la presenza di nomi di regole di inoltro dannose. I nomi delle regole possono variare da nomi semplici, ad esempio "Inoltra tutti i messaggi di posta elettronica" e "Inoltro automatico" o nomi ingannevoli, ad esempio un nome appena visibile ". I nomi delle regole di inoltro possono anche essere vuoti e il destinatario dell'inoltro può essere un singolo account di posta elettronica o un intero elenco. Le regole dannose possono anche essere nascoste dall'interfaccia utente. Una volta rilevato, è possibile usare questo utile post di blog su come eliminare le regole nascoste dalle cassette postali.
     • Se si rileva una regola di inoltro non riconosciuta a un indirizzo di posta elettronica interno o esterno sconosciuto, è possibile presumere che l'account di posta in arrivo sia stato compromesso.
  2. Nuove regole di posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscure, ad esempio "...".
  3. Aumento dei messaggi di posta elettronica inviati.

Regola di manipolazione della posta in arrivo sospetta

Attività che indicano che un utente malintenzionato ha ottenuto l'accesso alla posta in arrivo di un utente e ha creato una regola sospetta. Le regole di manipolazione, ad esempio l'eliminazione o lo spostamento di messaggi o cartelle, dalla posta in arrivo di un utente potrebbero essere un tentativo di esfiltrare informazioni dall'organizzazione. Analogamente, possono indicare un tentativo di manipolare le informazioni visualizzate da un utente o di usare la posta in arrivo per distribuire posta indesiderata, messaggi di posta elettronica di phishing o malware. Defender for Cloud Apps profila l'ambiente e attiva avvisi quando vengono rilevate regole sospette di manipolazione della posta in arrivo nella posta in arrivo di un utente. Questo potrebbe indicare che l'account dell'utente è compromesso.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che è stata creata una regola di posta in arrivo dannosa e che l'account è stato compromesso.

   Azione consigliata: sospendere l'utente, reimpostare la password e rimuovere la regola di inoltro.

2. FP: se si è in grado di confermare che un utente ha creato la regola in modo legittimo.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività utente per altri indicatori di compromissione, ad esempio l'avviso di inoltro della posta in arrivo sospetto seguito da un avviso di viaggio impossibile . Cercare:
   • Nuove regole di inoltro SMTP.
   • Nuove regole di posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscure, ad esempio "...".
2. Raccogliere informazioni sull'indirizzo IP e sulla posizione per l'azione.
3. Esaminare le attività eseguite dall'indirizzo IP usato per creare la regola per rilevare altri utenti compromessi.

Avvisi di escalation dei privilegi

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di ottenere autorizzazioni di livello superiore nell'organizzazione.

Attività amministrativa insolita (per utente)

Attività che indicano che un utente malintenzionato ha compromesso un account utente ed ha eseguito azioni amministrative non comuni per tale utente. Ad esempio, un utente malintenzionato può provare a modificare un'impostazione di sicurezza per un utente, un'operazione relativamente rara per un utente comune. Defender for Cloud Apps crea una baseline in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un amministratore legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP: se si è in grado di confermare che un amministratore ha legittimo eseguito il volume insolito di attività amministrative.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività degli utenti per altri indicatori di compromissione, ad esempio inoltro di posta in arrivo sospetto o Viaggio impossibile.
2. Esaminare altre modifiche alla configurazione, ad esempio la creazione di un account utente che potrebbe essere usato per la persistenza.

Avvisi di accesso alle credenziali

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare nomi di account e password all'organizzazione.

Molteplici tentativi di accesso non riusciti

I tentativi di accesso non riusciti potrebbero indicare un tentativo di violazione di un account. Tuttavia, anche gli account di accesso non riusciti possono essere normali. Ad esempio, quando un utente ha immesso una password errata per errore. Per ottenere l'accuratezza e l'avviso solo quando è presente un'indicazione forte di un tentativo di violazione, Defender for Cloud Apps stabilisce una linea di base delle abitudini di accesso per ogni utente dell'organizzazione e avviserà solo quando viene rilevato il comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

Questo criterio si basa sull'apprendimento del normale comportamento di accesso di un utente. Quando viene rilevata una deviazione dalla norma, viene attivato un avviso. Se il rilevamento inizia a vedere che lo stesso comportamento continua, l'avviso viene generato una sola volta.

1. TP (MFA ha esito negativo): se si è in grado di confermare che l'autenticazione a più fattori funziona correttamente, potrebbe trattarsi di un tentativo di attacco di forza bruta.

   Azioni consigliate:

   1. Sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.
   2. Trovare l'app che ha eseguito le autenticazioni non riuscite e riconfigurarla.
   3. Cercare altri utenti connessi all'ora dell'attività perché potrebbero anche essere compromessi. Sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. B-TP (MFA ha esito negativo): se si è in grado di confermare che l'avviso è causato da un problema con MFA.

   Azione consigliata: creare un playbook usando Power Automate per contattare l'utente e verificare se si verificano problemi con MFA.

3. B-TP (app configurata in modo non corretto): se si è in grado di verificare che un'app non configurata correttamente stia tentando di connettersi a un servizio più volte con credenziali scadute.

   Azione consigliata: ignorare l'avviso.

4. B-TP (Password modificata): se si è in grado di confermare che un utente ha modificato di recente la password, ma non ha influenzato le credenziali tra le condivisioni di rete.

   Azione consigliata: ignorare l'avviso.

5. B-TP (test di sicurezza): se si è in grado di confermare che un test di sicurezza o penetrazione viene condotto dagli analisti della sicurezza per conto dell'organizzazione.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività utente per altri indicatori di compromissione, ad esempio l'avviso, seguito da uno degli avvisi seguenti: Viaggio impossibile, Attività da indirizzo IP anonimo o Attività da un paese non frequente.
2. Esaminare le informazioni seguenti sul dispositivo utente e confrontarsi con le informazioni note sul dispositivo:
   • Sistema operativo e versione
   • Browser e versione
   • Indirizzo IP e posizione
3. Identificare l'indirizzo IP di origine o il percorso in cui si è verificato il tentativo di autenticazione.
4. Identificare se l'utente ha modificato di recente la password e assicurarsi che tutte le app e i dispositivi abbiano la password aggiornata.

Aggiunta insolita di credenziali a un'app OAuth

Questo rilevamento identifica l'aggiunta sospetta di credenziali con privilegi a un'app OAuth. Ciò può indicare che un utente malintenzionato ha compromesso l'app e la usa per attività dannose.

Periodo di apprendimento

L'apprendimento dell'ambiente dell'organizzazione richiede un periodo di sette giorni durante il quale si potrebbe prevedere un volume elevato di avvisi.

ISP insolito per un'app OAuth

Il rilevamento identifica un'app OAuth che si connette all'applicazione cloud da un ISP non comune per l'app. Ciò potrebbe indicare che un utente malintenzionato ha tentato di usare un'app compromessa legittima per eseguire attività dannose nelle applicazioni cloud.

Periodo di apprendimento

Il periodo di apprendimento per questo rilevamento è di 30 giorni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non era un'attività legittima dell'app OAuth o che questo ISP non viene usato dall'app OAuth legittima.

   Azione consigliata: revocare tutti i token di accesso dell'app OAuth e verificare se un utente malintenzionato ha accesso alla generazione di token di accesso OAuth.

2. FP: se è possibile confermare che l'attività è stata effettuata in modo legittimo dall'app OAuth originale.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare le attività eseguite dall'app OAuth.

2. Verificare se un utente malintenzionato ha accesso alla generazione di token di accesso OAuth.

Avvisi di raccolta

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di raccogliere dati di interesse per il proprio obiettivo dall'organizzazione.

Più attività di condivisione di report di Power BI

Attività in una singola sessione che indicano che un utente ha eseguito un numero insolito di attività del report di condivisione in Power BI rispetto alla baseline appresa. Ciò può indicare un tentativo di violazione dell'organizzazione.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: rimuovere l'accesso alla condivisione da Power BI. Se si è in grado di confermare che l'account è compromesso, sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP: se si è in grado di confermare che l'utente ha una giustificazione aziendale per condividere questi report.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare il log attività per ottenere una migliore comprensione delle altre attività eseguite dall'utente. Esaminare l'indirizzo IP da cui sono connessi e i dettagli del dispositivo.
2. Contattare il team di Power BI o Information Protection per comprendere le linee guida per la condivisione dei report internamente ed esternamente.

Condivisione di report di Power BI sospetta

Attività che indicano che un utente ha condiviso un report di Power BI che potrebbe contenere informazioni sensibili identificate tramite NLP per analizzare i metadati del report. Il report è stato condiviso con un indirizzo di posta elettronica esterno, pubblicato sul Web o è stato recapitato uno snapshot a un indirizzo di posta elettronica con sottoscrizione esterna. Ciò può indicare un tentativo di violazione dell'organizzazione.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: rimuovere l'accesso alla condivisione da Power BI. Se si è in grado di confermare che l'account è compromesso, sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP: se si è in grado di confermare che l'utente ha una giustificazione aziendale per condividere questi report.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare il log attività per ottenere una migliore comprensione delle altre attività eseguite dall'utente. Esaminare l'indirizzo IP da cui sono connessi e i dettagli del dispositivo.
2. Contattare il team di Power BI o Information Protection per comprendere le linee guida per la condivisione dei report internamente ed esternamente.

Attività rappresentata insolita (per utente)

In alcuni software sono disponibili opzioni per consentire ad altri utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questa attività viene comunemente usata dagli utenti malintenzionati per creare messaggi di posta elettronica di phishing nel tentativo di estrarre informazioni sull'organizzazione. Defender for Cloud Apps crea una baseline basata sul comportamento dell'utente e crea un'attività quando viene rilevata un'attività di rappresentazione insolita.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Comportamento insolito): se si è in grado di confermare che l'utente ha legittimo eseguito le attività insolite o più attività rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

3. FP: se si è in grado di confermare che le app, ad esempio Teams, rappresentassero legittimo l'utente.

   Azione consigliata: esaminare le azioni e ignorare l'avviso, se necessario.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività e gli avvisi degli utenti per altri indicatori di compromissione.
2. Esaminare le attività di rappresentazione per identificare potenziali attività dannose.
3. Esaminare la configurazione dell'accesso delegato.

Avvisi di esfiltrazione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare dati all'organizzazione.

Inoltro sospetto della Posta in arrivo

Attività che indicano che un utente malintenzionato ha ottenuto l'accesso alla posta in arrivo di un utente e ha creato una regola sospetta. Le regole di manipolazione, ad esempio inoltrare tutti i messaggi di posta elettronica o specifici a un altro account di posta elettronica, potrebbero essere un tentativo di esfiltrare informazioni dall'organizzazione. Defender for Cloud Apps profila l'ambiente e attiva avvisi quando vengono rilevate regole sospette di manipolazione della posta in arrivo nella posta in arrivo di un utente. Questo potrebbe indicare che l'account dell'utente è compromesso.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che è stata creata una regola di inoltro della posta in arrivo dannosa e che l'account è stato compromesso.

   Azione consigliata: sospendere l'utente, reimpostare la password e rimuovere la regola di inoltro.

2. FP: se si è in grado di confermare che l'utente ha creato una regola di inoltro a un account di posta elettronica esterno nuovo o personale per motivi legittimi.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività utente per individuare altri indicatori di compromissione, ad esempio l'avviso, seguito da un avviso Di viaggio impossibile . Cercare:

   1. Nuove regole di inoltro SMTP, come indicato di seguito:
      • Verificare la presenza di nomi di regole di inoltro dannose. I nomi delle regole possono variare da nomi semplici, ad esempio "Inoltra tutti i messaggi di posta elettronica" e "Inoltro automatico" o nomi ingannevoli, ad esempio un nome appena visibile ". I nomi delle regole di inoltro possono anche essere vuoti e il destinatario dell'inoltro può essere un singolo account di posta elettronica o un intero elenco. Le regole dannose possono anche essere nascoste dall'interfaccia utente. Una volta rilevato, è possibile usare questo utile post di blog su come eliminare le regole nascoste dalle cassette postali.
      • Se si rileva una regola di inoltro non riconosciuta a un indirizzo di posta elettronica interno o esterno sconosciuto, è possibile presumere che l'account di posta in arrivo sia stato compromesso.
   2. Nuove regole di posta in arrivo, ad esempio "elimina tutto", "sposta i messaggi in un'altra cartella" o quelle con convenzioni di denominazione oscure, ad esempio "...".

2. Esaminare le attività eseguite dall'indirizzo IP usato per creare la regola per rilevare altri utenti compromessi.

3. Esaminare l'elenco dei messaggi inoltrati usando Exchange Online rilevamento dei messaggi.

Download di file insolito (per utente)

Attività che indicano che un utente ha eseguito un numero insolito di download di file da una piattaforma di archiviazione cloud rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione. Defender for Cloud Apps crea una baseline in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Comportamento insolito): se è possibile confermare che l'utente ha legittimo eseguito più attività di download dei file rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

3. FP (Sincronizzazione software): se si è in grado di confermare che il software, ad esempio OneDrive, è stato sincronizzato con un backup esterno che ha causato l'avviso.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare le attività di download e creare un elenco di file scaricati.
2. Esaminare la riservatezza dei file scaricati con il proprietario della risorsa e convalidare il livello di accesso.

Accesso anomalo ai file (per utente)

Attività che indicano che un utente ha eseguito un numero insolito di accessi ai file in SharePoint o OneDrive a file che contengono dati finanziari o dati di rete rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione, sia per scopi finanziari che per l'accesso alle credenziali e lo spostamento laterale. Defender for Cloud Apps crea una baseline in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

Il periodo di apprendimento dipende dall'attività dell'utente. In genere, il periodo di apprendimento è compreso tra 21 e 45 giorni per la maggior parte degli utenti.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Comportamento insolito): se è possibile confermare che l'utente ha legittimo eseguito più attività di accesso ai file rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare le attività di accesso e creare un elenco di file accessibili.
2. Esaminare la riservatezza dei file a cui si accede con il proprietario della risorsa e convalidare il livello di accesso.

Attività insolita di condivisione file (per utente)

Attività che indicano che un utente ha eseguito un numero insolito di azioni di condivisione file da una piattaforma di archiviazione cloud rispetto alla baseline appresa. Ciò può indicare un tentativo di ottenere informazioni sull'organizzazione. Defender for Cloud Apps crea una baseline in base al comportamento dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Comportamento insolito): se si è in grado di confermare che l'utente ha legittimo eseguito più attività di condivisione file rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare le attività di condivisione e creare un elenco di file condivisi.
2. Esaminare la riservatezza dei file condivisi con il proprietario della risorsa e convalidare il livello di accesso.
3. Creare un criterio file per documenti simili per rilevare la condivisione futura di file sensibili.

Avvisi di impatto

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di manipolare, interrompere o distruggere i sistemi e i dati nell'organizzazione.

Molteplici attività di eliminazione di macchine virtuali

Attività in una singola sessione che indicano che un utente ha eseguito un numero insolito di eliminazioni di macchine virtuali rispetto alla baseline appresa. Più eliminazioni di macchine virtuali potrebbero indicare un tentativo di interrompere o eliminare un ambiente. Tuttavia, esistono molti scenari normali in cui le macchine virtuali vengono eliminate.

TP, B-TP o FP?

Per migliorare l'accuratezza e l'avviso solo quando è presente un'indicazione forte di una violazione, questo rilevamento stabilisce una baseline in ogni ambiente dell'organizzazione per ridurre gli eventi imprevisti B-TP e solo gli avvisi quando viene rilevato il comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

• TP: se si è in grado di confermare che le eliminazioni non sono state autorizzate.

  Azione consigliata: sospendere l'utente, reimpostare la password e analizzare tutti i dispositivi alla ricerca di minacce dannose. Esaminare tutte le attività degli utenti per altri indicatori di compromissione ed esplorare l'ambito dell'impatto.

• B-TP: se, dopo l'indagine, si è in grado di confermare che l'amministratore è stato autorizzato a eseguire queste attività di eliminazione.

  Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Contattare l'utente e confermare l'attività.
2. Esaminare tutte le attività utente per individuare altri indicatori di compromissione, ad esempio l'avviso, seguito da uno degli avvisi seguenti: Viaggio impossibile, Attività da indirizzo IP anonimo o Attività da un paese non frequente.

Attività ransomware

Ransomware è un attacco informatico in cui un utente malintenzionato blocca le vittime dai loro dispositivi o impedisce loro di accedere ai loro file fino a quando la vittima paga un riscatto. Il ransomware può essere diffuso da un file condiviso dannoso o da una rete compromessa. Defender for Cloud Apps usa competenze di ricerca sulla sicurezza, intelligence sulle minacce e modelli comportamentali appresi per identificare l'attività ransomware. Ad esempio, una frequenza elevata di caricamenti di file o di eliminazioni di file potrebbe rappresentare un processo di crittografia comune tra le operazioni ransomware.

Questo rilevamento stabilisce una linea di base dei normali modelli di lavoro di ogni utente dell'organizzazione, ad esempio quando l'utente accede al cloud e cosa fa comunemente nel cloud.

Il Defender for Cloud Apps i criteri di rilevamento automatico delle minacce iniziano a essere eseguiti in background dal momento in cui ci si connette. Utilizzando le nostre competenze di ricerca sulla sicurezza per identificare modelli comportamentali che riflettono l'attività ransomware nella nostra organizzazione, Defender for Cloud Apps fornisce una copertura completa contro sofisticati attacchi ransomware.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita dall'utente.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP (Comportamento insolito): l'utente ha legittimo eseguito più attività di eliminazione e caricamento di file simili in un breve periodo di tempo.

   Azione consigliata: dopo aver esaminato il log attività e aver confermato che le estensioni del file non sono sospette, ignorare l'avviso.

3. FP (Estensione del file ransomware comune): se si è in grado di confermare che le estensioni dei file interessati sono una corrispondenza per un'estensione ransomware nota.

   Azione consigliata: contattare l'utente e verificare che i file siano sicuri e quindi chiudere l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare il log attività per altri indicatori di compromissione, ad esempio il download di massa o l'eliminazione di massa dei file.
2. Se si usa Microsoft Defender per endpoint, esaminare gli avvisi del computer dell'utente per verificare se sono stati rilevati file dannosi.
3. Cercare le attività di caricamento e condivisione di file dannose nel log attività.

Attività insolita di eliminazione di file (per utente)

Attività che indicano che un utente ha eseguito un'attività insolita di eliminazione di file rispetto alla baseline appresa. Questo può indicare attacco ransomware. Ad esempio, un utente malintenzionato può crittografare i file di un utente ed eliminare tutti gli originali, lasciando solo le versioni crittografate che possono essere usate per forzare la vittima a pagare un riscatto. Defender for Cloud Apps crea una baseline in base al comportamento normale dell'utente e attiva un avviso quando viene rilevato un comportamento insolito.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni durante il quale non vengono attivati avvisi per le nuove posizioni.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che l'attività non è stata eseguita da un utente legittimo.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. FP: se si è in grado di confermare che l'utente ha legittimo eseguito più attività di eliminazione dei file rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare le attività di eliminazione e creare un elenco di file eliminati. Se necessario, ripristinare i file eliminati.
2. Facoltativamente, creare un playbook usando Power Automate per contattare gli utenti e i responsabili per verificare l'attività.

Aumento del punteggio di priorità dell'indagine (anteprima)

Alle attività anomale e alle attività che hanno attivato gli avvisi vengono assegnati punteggi in base alla gravità, all'impatto dell'utente e all'analisi comportamentale dell'utente. L'analisi viene eseguita in base ad altri utenti nei tenant.

Quando si verifica un aumento significativo e anomalo del punteggio di priorità dell'indagine di un determinato utente, l'avviso verrà attivato.

Questo avviso consente di rilevare potenziali violazioni caratterizzate da attività che non attivano necessariamente avvisi specifici, ma si accumulano in un comportamento sospetto per l'utente.

Periodo di apprendimento

La definizione del modello di attività di un nuovo utente richiede un periodo di apprendimento iniziale di sette giorni, durante il quale non vengono attivati avvisi per l'aumento del punteggio.

TP, B-TP o FP?

1. TP: se si è in grado di confermare che le attività dell'utente non sono legittime.

   Azione consigliata: sospendere l'utente, contrassegnare l'utente come compromesso e reimpostare la password.

2. B-TP: se si è in grado di confermare che l'utente ha effettivamente deviato in modo significativo dal comportamento consueto, ma non c'è alcuna potenziale violazione.

3. FP (Comportamento insolito): se si è in grado di confermare che l'utente ha legittimo eseguito le attività insolite o più attività rispetto alla baseline stabilita.

   Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

1. Esaminare tutte le attività e gli avvisi degli utenti per altri indicatori di compromissione.

Sequenza temporale di deprecazione

L'avviso relativo all'aumento del punteggio di priorità dell'indagine verrà gradualmente ritirato da Microsoft Defender for Cloud Apps entro agosto 2024.

Dopo un'attenta analisi e considerazione, abbiamo deciso di deprecarlo a causa dell'elevato tasso di falsi positivi associati a questo avviso, che non ha contribuito in modo efficace alla sicurezza complessiva dell'organizzazione.

La nostra ricerca ha indicato che questa funzionalità non aggiungeva valore significativo e non era allineata con la nostra attenzione strategica alla fornitura di soluzioni di sicurezza affidabili e di alta qualità.

Ci impegniamo a migliorare continuamente i nostri servizi e a garantire che soddisfino le tue esigenze e aspettative.

Per coloro che desiderano continuare a usare questo avviso, è consigliabile usare la query di ricerca avanzata seguente come modello consigliato. Modificare la query in base alle esigenze.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Vedere anche

Analizzare gli utenti a rischio