Rileva minacce

Completato

Quando si comprende come proteggere i dati dall'esposizione accidentale, il passo successivo considerare, e uno degli elementi del quadro Defender for Cloud Apps, è la protezione da attacchi informatici e le anomalie.

Microsoft Defender for Cloud Apps include criteri predefiniti per il rilevamento anomalie che utilizzano l’analisi del comportamento degli utenti e delle entità (UEBA) e l’apprendimento automatico per fornire il rilevamento avanzato delle minacce nell'ambiente cloud. È importante notare che i rilevamenti di anomalie sono non deterministici per natura. Questi rilevamenti vengono attivati solo quando c'è un comportamento che devia dalla norma.

Anche se i criteri di rilevamento anomalie sono abilitati automaticamente, Microsoft Defender per le app cloud dedica i primi sette giorni a conoscere l'ambiente. Esamina gli indirizzi IP, i dispositivi e le posizioni a cui gli utenti accedono, identifica le app e i servizi che usano e calcola il punteggio di rischio per tutte queste attività. Questo processo contribuisce alla linea di base, rispetto alla quale vengono confrontati l'ambiente e gli eventuali avvisi. I criteri di rilevamento usano anche l'apprendimento automatico per profilare gli utenti. Se Microsoft Defender per app cloud riconosce gli utenti e i normali criteri di accesso, può contribuire a ridurre gli avvisi di falsi positivi.

Le anomalie vengono rilevate eseguendo l'analisi delle attività degli utenti e valutandone i rischi. Il rischio viene valutato esaminando più di 30 indicatori diversi, raggruppati in base ai fattori di rischio seguenti:

  • Indirizzo IP a rischio
  • Errori di accesso
  • Attività dell'amministratore
  • Account inattivi
  • Posizione
  • Spostamento fisico impossibile
  • Dispositivo e agente utente
  • Frequenza attività

Microsoft Defender for Cloud Apps cloud esamina ogni sessione utente nel cloud e avvisa quando si verifica un evento diverso dalla baseline dell'organizzazione o dall'attività regolare dell'utente.

Panoramica dei criteri di rilevamento anomalie

I criteri di rilevamento anomalie di Microsoft Defender for Cloud Apps sono configurati per rilevare una varietà di problemi di sicurezza. I più comuni sono:

  • Spostamento fisico impossibile. Attività dello stesso utente in luoghi diversi in un periodo inferiore al tempo di spostamento previsto tra le due località.
  • Attività da paesi poco frequenti. Attività da una posizione che non è stata visitata di recente o mai dall'utente o da qualsiasi utente dell'organizzazione.
  • Rilevamento di software dannoso. Analizza i file nelle app cloud ed esegue i file sospetti tramite il motore di Threat Intelligence di Microsoft per determinare se sono associati a software dannosi noti.
  • Attività ransomware. Caricamenti di file nel cloud che potrebbero essere stati infettati da ransomware.
  • Attività da indirizzi IP sospetti. Attività da un indirizzo IP identificato come a rischio da Microsoft Threat Intelligence.
  • Inoltro sospetto della Posta in arrivo. Rileva le regole di inoltro sospetto della Posta in arrivo impostate nella Posta in arrivo di un utente.
  • Attività insolite di download di più file. Rileva attività di download di più file in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione.
  • Attività amministrative insolite. Rileva più attività amministrative in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione.

Configurare un criterio di rilevamento anomalie

Dopo avere appreso i criteri di rilevamento anomalie, è possibile configurare un criterio di rilevamento anomalie in modo da visualizzare i passaggi per impostarlo e configurarlo per il proprio ambiente. Un criterio di rilevamento anomalie rileva incrementi insoliti nell'utilizzo delle applicazioni cloud. Esamina gli aumenti di dati scaricati, dati caricati, transazioni e utenti per ogni applicazione cloud. Ogni aumento viene quindi confrontato con la linea di base dell'applicazione. Gli incrementi più estremi attivano avvisi di sicurezza.

È possibile impostare filtri per personalizzare il modo in cui si monitora l'utilizzo delle applicazioni. I filtri includono un filtro applicazioni, visualizzazioni dati selezionate e una data di inizio selezionata. È anche possibile impostare l’importanza, che consente di impostare il numero di avvisi che il criterio deve attivare.

Ottimizzare i criteri di rilevamento anomalie per l’eliminazione o la visualizzazione degli avvisi

Anche se i rilevamenti anomalie vengono attivati solo quando accade qualcosa al di fuori della norma, sono comunque suscettibili di falsi positivi. Troppi falsi positivi possono portare a un sovraccarico degli avvisi con il rischio di perdere gli avvisi importanti tra quelli non importanti. Per evitare il rumore degli avvisi, è possibile ottimizzare la logica di rilevamento in ogni criterio in modo da includere diversi livelli di eliminazione per risolvere gli scenari che possono attivare falsi positivi, ad esempio le attività VPN.

Quando si crea o si modifica un criterio di rilevamento anomalie, è possibile determinarne l’importanza in base al tipo di copertura necessario. Un’importanza maggiore usa algoritmi con logica di rilevamento più rigorosi. In questo modo è possibile adattare le strategie di rilevamento per ogni criterio.

Prima di ottimizzare i criteri, è utile comprendere le opzioni per eliminare un avviso. Esistono tre tipi diversi di eliminazione:

Tipo di eliminazione Descrizione
Sistema Rilevamenti predefiniti che vengono sempre eliminati.
Tenant Attività comuni basate su attività precedenti nel tenant. Ad esempio, l'eliminazione delle attività da un ISP in precedenza avvisato nell'organizzazione.
Utente Attività comuni basate su attività precedenti dell’utente specifico. Ad esempio, eliminando le attività da una posizione comunemente usata dall'utente.

I livelli di importanza influiscono sui tipi di eliminazione in modo diverso:

Livello di importanza Tipi di eliminazioni interessate
Basso Sistema, tenant e utente
Medio Sistema e utente
Alto Solo sistema

È anche possibile configurare se gli avvisi per attività da paesi/aree geografiche non frequenti, indirizzi IP anonimi, indirizzi IP sospetti e spostamento fisico impossibile devono analizzare gli accessi non riusciti e riusciti oppure solo gli accessi riusciti.

Modificare i criteri dell'ambito di rilevamento anomalie per utenti e gruppi

Ogni criterio di rilevamento anomalie può essere definito in modo indipendente in modo da essere applicato solo agli utenti e ai gruppi che si vuole includere ed escludere nel criterio. Ad esempio, è possibile impostare l'attività dal rilevamento paese/area geografica non frequente per ignorare un utente specifico che viaggia di frequente.

Per definire l'ambito di un criterio di rilevamento anomalie:

  1. Accedi al portale di Microsoft Defender for Cloud Apps tramite il browser.

  2. Selezionare Controllo>Criteri e impostare il filtro Tipo su Criterio di rilevamento anomalie.

  3. Selezionare il criterio di cui si vuole definire l’ambito.

  4. In Ambito modificare l'elenco a discesa dall'impostazione predefinita di Tutti gli utenti e i gruppi in Utenti e gruppi specifici.

  5. Selezionare Includi per specificare gli utenti e i gruppi a cui si applica questo criterio. Gli utenti o i gruppi non selezionati qui non verranno considerati come una minaccia o né genereranno avvisi.

  6. Selezionare Escludi per specificare gli utenti a cui non verrà applicato questo criterio. Gli utenti selezionati qui non verranno considerati come una minaccia né genereranno un avviso, anche se sono membri di gruppi selezionati in Includi.

    Screenshot che mostra come modificare un criterio di rilevamento anomalie.

  7. Dopo aver completato le modifiche all'ambito, selezionare Aggiorna per confermare la modifica.