Condividi tramite

Esercitazione: Rilevare attività utente sospette con analisi comportamentale (UEBA)

  • Articolo

Microsoft Defender for Cloud Apps offre rilevamenti di livello ottimale nella catena di uccisioni degli attacchi per utenti compromessi, minacce insider, esfiltrazione, ransomware e altro ancora. La nostra soluzione completa si ottiene combinando più metodi di rilevamento, tra cui anomalie, analisi comportamentale (UEBA) e rilevamenti di attività basati su regole, per offrire un'ampia visione del modo in cui gli utenti usano le app nell'ambiente.

Quindi perché è importante rilevare comportamenti sospetti? L'impatto di un utente in grado di modificare l'ambiente cloud può essere significativo e influire direttamente sulla capacità di gestire l'azienda. Ad esempio, le risorse aziendali chiave, ad esempio i server che eseguono il sito Web pubblico o il servizio fornito ai clienti, possono essere compromesse.

Usando i dati acquisiti da diverse origini, Defender for Cloud Apps analizza i dati per estrarre le attività dell'app e degli utenti nell'organizzazione, offrendo agli analisti della sicurezza visibilità sull'uso del cloud. I dati raccolti sono correlati, standardizzati e arricchiti con intelligence sulle minacce, posizione e molti altri dettagli per fornire una visualizzazione accurata e coerente delle attività sospette.

Di conseguenza, per comprendere appieno i vantaggi di questi rilevamenti, assicurarsi innanzitutto di configurare le origini seguenti:

Successivamente, è necessario ottimizzare i criteri. I criteri seguenti possono essere ottimizzati impostando filtri, soglie dinamiche (UEBA) per consentire il training dei modelli di rilevamento e le eliminazioni per ridurre i rilevamenti falsi positivi comuni:

  • Rilevamento delle anomalie
  • Rilevamento anomalie dell'individuazione cloud
  • Rilevamento attività basato su regole

In questa esercitazione si apprenderà come ottimizzare i rilevamenti delle attività utente per identificare i veri compromessi e ridurre la fatica degli avvisi risultante dalla gestione di grandi volumi di rilevamenti di falsi positivi:

Fase 1: Configurare gli intervalli di indirizzi IP

Prima di configurare i singoli criteri, è consigliabile configurare gli intervalli IP in modo che siano disponibili per l'ottimizzazione di qualsiasi tipo di criteri di rilevamento delle attività utente sospette.

Poiché le informazioni sugli indirizzi IP sono fondamentali per quasi tutte le indagini, la configurazione degli indirizzi IP noti consente agli algoritmi di Machine Learning di identificare le posizioni note e considerarle come parte dei modelli di Machine Learning. Ad esempio, l'aggiunta dell'intervallo di indirizzi IP della VPN aiuterà il modello a classificare correttamente questo intervallo IP ed escluderlo automaticamente dai rilevamenti di viaggio impossibili perché la posizione VPN non rappresenta la vera posizione dell'utente.

Nota: gli intervalli IP configurati non sono limitati ai rilevamenti e vengono usati in Defender for Cloud Apps in aree quali le attività nel log attività, l'accesso condizionale e così via. Tenere presente questo aspetto durante la configurazione degli intervalli. Ad esempio, l'identificazione degli indirizzi IP dell'ufficio fisico consente di personalizzare il modo in cui vengono visualizzati e analizzati i log e gli avvisi.

Esaminare gli avvisi di rilevamento anomalie predefiniti

Defender for Cloud Apps include un set di avvisi di rilevamento anomalie per identificare diversi scenari di sicurezza. Questi rilevamenti vengono abilitati automaticamente e inizieranno a profilare l'attività utente e a generare avvisi non appena i connettori di app pertinenti sono connessi.

Per iniziare, acquisire familiarità con i diversi criteri di rilevamento, assegnare priorità agli scenari principali che si ritiene più rilevanti per l'organizzazione e ottimizzare i criteri di conseguenza.

Fase 2: Ottimizzare i criteri di rilevamento anomalie

In Defender for Cloud Apps sono disponibili diversi criteri di rilevamento anomalie predefiniti preconfigurati per i casi d'uso comuni della sicurezza. È necessario un po' di tempo per acquisire familiarità con i rilevamenti più diffusi, ad esempio:

  • Viaggio impossibile
    Attività dello stesso utente in posizioni diverse entro un periodo inferiore al tempo di viaggio previsto tra le due posizioni.
  • Attività da Paesi poco frequenti
    Attività da una posizione non visitata di recente o mai visitata dall'utente.
  • Rilevare i software dannosi.
    Analizza i file nelle app cloud ed esegue file sospetti tramite il motore di intelligence sulle minacce di Microsoft per determinare se sono associati a malware noto.
  • Attività ransomware
    Caricamenti di file nel cloud che potrebbero essere stati infettati da ransomware.
  • Attività da indirizzi IP sospetti
    Attività da un indirizzo IP identificato come rischioso da Microsoft Threat Intelligence.
  • Inoltro della posta in arrivo sospetto
    Rileva le regole di inoltro sospetto della Posta in arrivo impostate nella Posta in arrivo di un utente.
  • Attività insolite di download di più file
    Rileva attività di download di più file in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione.
  • Attività amministrative insolite
    Rileva più attività amministrative in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione.

Per un elenco completo dei rilevamenti e delle relative operazioni, vedere Criteri di rilevamento anomalie.

Nota

Mentre alcuni rilevamenti di anomalie sono incentrati principalmente sul rilevamento di scenari di sicurezza problematici, altri possono aiutare a identificare e analizzare il comportamento anomalo dell'utente che potrebbe non indicare necessariamente una compromissione. Per tali rilevamenti è stato creato un altro tipo di dati denominato "comportamenti" disponibile nell'esperienza di ricerca avanzata Microsoft Defender XDR. Per altre informazioni, vedere Comportamenti.

Dopo aver acquisito familiarità con i criteri, è consigliabile valutare come ottimizzarli in base ai requisiti specifici dell'organizzazione per indirizzare meglio le attività di cui si vuole approfondire l'analisi.

  1. Definire l'ambito dei criteri per utenti o gruppi specifici

    I criteri di ambito per utenti specifici possono contribuire a ridurre il rumore dovuto agli avvisi non rilevanti per l'organizzazione. Ogni criterio può essere configurato per includere o escludere utenti e gruppi specifici, ad esempio negli esempi seguenti:

    • Simulazioni di attacchi
      Molte organizzazioni usano un utente o un gruppo per simulare costantemente gli attacchi. Ovviamente, non ha senso ricevere costantemente avvisi dalle attività di questi utenti. È quindi possibile configurare i criteri per escludere questi utenti o gruppi. Ciò consente anche ai modelli di Machine Learning di identificare questi utenti e ottimizzare di conseguenza le soglie dinamiche.
    • Rilevamenti mirati
      L'organizzazione potrebbe essere interessata all'analisi di un gruppo specifico di utenti VIP, ad esempio membri di un amministratore o di un gruppo CXO. In questo scenario è possibile creare un criterio per le attività che si desidera rilevare e scegliere di includere solo il set di utenti o gruppi interessati.

  2. Ottimizzare i rilevamenti di accesso anomali

    Alcune organizzazioni vogliono visualizzare gli avvisi risultanti da attività di accesso non riuscite perché potrebbero indicare che qualcuno sta tentando di indirizzare uno o più account utente. D'altra parte, gli attacchi di forza bruta agli account utente si verificano sempre nel cloud e le organizzazioni non hanno modo di impedirli. Di conseguenza, le organizzazioni più grandi in genere decidono di ricevere avvisi solo per le attività di accesso sospette che generano attività di accesso riuscite, in quanto possono rappresentare veri compromessi.

    Il furto di identità è una fonte chiave di compromissione e rappresenta un importante vettore di minacce per l'organizzazione. Il nostro viaggio impossibile, l'attività da indirizzi IP sospetti e gli avvisi di rilevamento di paesi/aree geografiche poco frequenti consentono di individuare le attività che suggeriscono che un account è potenzialmente compromesso.

  3. Ottimizzare la sensibilità del viaggio impossibileConfigurare il dispositivo di scorrimento di riservatezza che determina il livello di eliminazione applicato al comportamento anomalo prima di attivare un avviso di viaggio impossibile. Ad esempio, le organizzazioni interessate all'alta fedeltà devono prendere in considerazione l'aumento del livello di riservatezza. D'altra parte, se l'organizzazione ha molti utenti che viaggiano, prendere in considerazione l'abbassamento del livello di riservatezza per eliminare le attività dalle posizioni comuni di un utente apprese dalle attività precedenti. È possibile scegliere tra i livelli di riservatezza seguenti:

    • Basso: eliminazioni di sistema, tenant e utenti
    • Medio: eliminazioni di sistema e utenti
    • Alto: solo le eliminazioni di sistema

    Dove:

    Tipo di eliminazione Descrizione
    Sistema Rilevamenti predefiniti che vengono sempre eliminati.
    Tenant Attività comuni basate su attività precedenti nel tenant. Ad esempio, l'eliminazione delle attività da un ISP in precedenza avvisato nell'organizzazione.
    Utente Attività comuni basate su attività precedenti dell’utente specifico. Ad esempio, eliminando le attività da una posizione comunemente usata dall'utente.

Fase 3: Ottimizzare i criteri di rilevamento anomalie dell'individuazione cloud

Come i criteri di rilevamento anomalie, sono disponibili diversi criteri di rilevamento anomalie di individuazione cloud predefiniti che è possibile ottimizzare. Ad esempio, i criteri di esfiltrazione dei dati alle app non approvate avvisano quando i dati vengono esfiltrati in un'app non autorizzata e vengono preconfigurati con impostazioni basate sull'esperienza Microsoft nel campo di sicurezza.

Tuttavia, è possibile ottimizzare i criteri predefiniti o creare criteri personalizzati per identificare altri scenari che potrebbero essere interessati all'analisi. Poiché questi criteri si basano sui log di individuazione cloud, hanno funzionalità di ottimizzazione diverse più incentrate sul comportamento anomalo delle app e sull'esfiltrazione dei dati.

  1. Ottimizzare il monitoraggio dell'utilizzo
    Impostare i filtri di utilizzo per controllare la baseline, l'ambito e il periodo di attività per il rilevamento del comportamento anomalo. Ad esempio, è possibile ricevere avvisi per le attività anomale relative ai dipendenti di livello esecutivo.

  2. Ottimizzare la riservatezza degli avvisi
    Per evitare l'affaticamento degli avvisi, configurare la sensibilità degli avvisi. È possibile usare il dispositivo di scorrimento di riservatezza per controllare il numero di avvisi ad alto rischio inviati ogni 1.000 utenti alla settimana. Le sensibilità più elevate richiedono una minore varianza per essere considerate un'anomalia e generare più avvisi. In generale, impostare la riservatezza bassa per gli utenti che non hanno accesso ai dati riservati.

Fase 4: Ottimizzare i criteri di rilevamento basato su regole (attività)

I criteri di rilevamento basati su regole consentono di integrare i criteri di rilevamento anomalie con requisiti specifici dell'organizzazione. È consigliabile creare criteri basati su regole usando uno dei modelli di criteri attività (passare aModelli di controllo> e impostare il filtro Tipo su Criteri attività) e quindi configurarli per rilevare comportamenti non normali per l'ambiente. Ad esempio, per alcune organizzazioni che non hanno alcuna presenza in un determinato paese/area geografica, può essere opportuno creare un criterio che rilevi le attività anomale da tale paese/area geografica e avvisi su di essi. Per altri, che hanno filiali di grandi dimensioni in quel paese/area geografica, le attività da quel paese/area geografica sarebbero normali e non avrebbe senso rilevare tali attività.

  1. Ottimizzare il volume di attività
    Scegliere il volume di attività necessario prima che il rilevamento generi un avviso. Usando l'esempio del paese o dell'area geografica, se non si ha alcuna presenza in un paese o in un'area geografica, anche una singola attività è significativa e richiede un avviso. Tuttavia, un errore di accesso Single Sign-In potrebbe essere un errore umano e di interesse solo se si verificano molti errori in un breve periodo di tempo.
  2. Ottimizzare i filtri delle attività
    Impostare i filtri necessari per rilevare il tipo di attività su cui si vuole inviare un avviso. Ad esempio, per rilevare l'attività da un paese o un'area geografica, usare il parametro Location .
  3. Ottimizzare gli avvisi
    Per evitare l'affaticamento degli avvisi, impostare il limite di avvisi giornalieri.

Fase 5: Configurare gli avvisi

Nota

Dal 15 dicembre 2022 gli avvisi/SMS (sms) sono deprecati. Se si desidera ricevere avvisi di testo, è consigliabile usare Microsoft Power Automate per l'automazione degli avvisi personalizzata. Per altre informazioni, vedere Integrare con Microsoft Power Automate per l'automazione degli avvisi personalizzata.

È possibile scegliere di ricevere avvisi nel formato e nel supporto più adatto alle proprie esigenze. Per ricevere avvisi immediati in qualsiasi momento della giornata, è possibile che si preferisca riceverli tramite posta elettronica.

È anche possibile che sia possibile analizzare gli avvisi nel contesto di altri avvisi attivati da altri prodotti nell'organizzazione per offrire una visione olistica di una potenziale minaccia. Ad esempio, è possibile correlare tra eventi basati sul cloud e eventi locali per verificare se sono presenti altre prove attenuanti che possono confermare un attacco.

È anche possibile attivare l'automazione degli avvisi personalizzata usando l'integrazione con Microsoft Power Automate. Ad esempio, è possibile configurare un playbook per creare automaticamente un problema in ServiceNow o inviare un messaggio di posta elettronica di approvazione per eseguire un'azione di governance personalizzata quando viene attivato un avviso.

Usare le linee guida seguenti per configurare gli avvisi:

  1. Posta elettronica
    Scegliere questa opzione per ricevere avvisi tramite posta elettronica.
  2. SIEM
    Sono disponibili diverse opzioni di integrazione SIEM, tra cui Microsoft Sentinel, Microsoft Graph API Sicurezza e altri SIEM generici. Scegliere l'integrazione più adatta alle proprie esigenze.
  3. Automazione di Power Automate
    Creare i playbook di automazione necessari e impostarli come avviso del criterio sull'azione di Power Automate.

Fase 6: Analizzare e correggere

Ottimo, sono stati configurati i criteri e si inizia a ricevere avvisi di attività sospette. Cosa dovresti fare per loro? Per iniziare, è necessario eseguire le operazioni necessarie per analizzare l'attività. Ad esempio, è possibile esaminare le attività che indicano che un utente è stato compromesso.

Per ottimizzare la protezione, è consigliabile configurare azioni di correzione automatiche per ridurre al minimo il rischio per l'organizzazione. I criteri consentono di applicare le azioni di governance insieme agli avvisi in modo che il rischio per l'organizzazione venga ridotto anche prima di iniziare l'analisi. Le azioni disponibili sono determinate dal tipo di criterio, incluse azioni quali la sospensione di un utente o il blocco dell'accesso alla risorsa richiesta.

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.

Ulteriori informazioni