Del via

Slik undersøker du varsler om avviksregistrering

  • Artikkel

Microsoft Defender for Cloud Apps gir sikkerhetsgjenkjenninger og varsler for ondsinnede aktiviteter. Formålet med denne veiledningen er å gi deg generell og praktisk informasjon om hvert varsel, for å hjelpe deg med undersøkelses- og utbedringsoppgaver. Inkludert i denne veiledningen er generell informasjon om betingelsene for utløsing av varsler. Det er imidlertid viktig å merke seg at siden avviksdeteksjoner ikke er ubestemte av natur, utløses de bare når det er atferd som avviker fra normen. Til slutt kan noen varsler være i forhåndsversjon, så se regelmessig gjennom den offisielle dokumentasjonen for oppdatert varslingsstatus.

MITRE ATT&CK

For å forklare og gjøre det enklere å tilordne relasjonen mellom Defender for Cloud Apps varsler og den kjente MITRE ATT-&CK Matrix, har vi kategorisert varslene etter deres tilsvarende MITRE ATT-&CK-taktikk. Denne ekstra referansen gjør det enklere å forstå den mistenkte angrepsteknikken som potensielt er i bruk når et Defender for Cloud Apps varsel utløses.

Denne veiledningen gir informasjon om hvordan du undersøker og utbedrer Defender for Cloud Apps varsler i følgende kategorier.

Klassifisering av sikkerhetsvarsel

Etter riktig undersøkelse kan alle Defender for Cloud Apps varsler klassifiseres som én av følgende aktivitetstyper:

  • Sann positiv (TP): Et varsel om en bekreftet ondsinnet aktivitet.
  • Godartet sann positiv (B-TP): Et varsel om mistenkelig, men ikke ondsinnet aktivitet, for eksempel en penetrasjonstest eller annen autorisert mistenkelig handling.
  • Usann positiv (FP): Et varsel om en ikke-skadelig aktivitet.

Generelle undersøkelsestrinn

Du bør bruke følgende generelle retningslinjer når du undersøker hvilken som helst type varsel for å få en klarere forståelse av den potensielle trusselen før du bruker den anbefalte handlingen.

  • Hvis du identifiserer en TP, kan du se gjennom alle brukerens aktiviteter for å få en forståelse av virkningen.
  • Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, og utforsk kilden og innvirkningsomfanget. Se for eksempel gjennom følgende informasjon om brukerenheten og sammenlign med kjent enhetsinformasjon:
    • Operativsystem og versjon
    • Nettleser og versjon
    • IP-adresse og plassering

Innledende tilgangsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å få et innledende fotfeste i organisasjonen.

Aktivitet fra anonym IP-adresse

Beskrivelse

Aktivitet fra en IP-adresse som er identifisert som en anonym proxy-IP-adresse av Microsoft Threat Intelligence eller av organisasjonen. Disse proxyene kan brukes til å skjule IP-adressen til en enhet og kan brukes til skadelige aktiviteter.

TP, B-TP eller FP?

Denne gjenkjenningen bruker en maskinlæringsalgoritme som reduserer B-TP-hendelser , for eksempel feilkodede IP-adresser som er mye brukt av brukere i organisasjonen.

  1. TP: Hvis du kan bekrefte at aktiviteten ble utført fra en anonym ELLER TOR IP-adresse.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. B-TP: Hvis en bruker er kjent for å bruke anonyme IP-adresser i omfanget av sine plikter. For eksempel når en sikkerhetsanalytiker utfører sikkerhets- eller penetrasjonstester på vegne av organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

Aktivitet fra sjeldent land

Aktivitet fra et land/område som kan indikere ondsinnet aktivitet. Denne policyen profilerer miljøet ditt og utløser varsler når aktivitet oppdages fra en plassering som ikke nylig ble besøkt eller aldri ble besøkt av noen av brukerne i organisasjonen.

Policyen kan begrenses ytterligere til et delsett av brukere eller utelate brukere som er kjent for å reise til eksterne plasseringer.

Læringsperiode

Det å oppdage uregelmessige plasseringer krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling:

    1. Avvis brukeren, tilbakestill passordet og identifiser riktig tidspunkt for å aktivere kontoen på nytt på en trygg måte.
    2. Valgfritt: Opprett en strategiplan ved hjelp av Power Automate for å kontakte brukere som oppdages som tilkoblinger fra sjeldne steder, og deres ledere, for å bekrefte aktiviteten deres.

  2. B-TP: Hvis en bruker er kjent for å være på denne plasseringen. For eksempel når en bruker som reiser ofte og for øyeblikket befinner seg på den angitte plasseringen.

    Anbefalt handling:

    1. Lukk varselet, og endre policyen for å utelate brukeren.
    2. Opprett en brukergruppe for vanlige reisende, importer gruppen til Defender for Cloud Apps, og utelat brukerne fra dette varselet
    3. Valgfritt: Opprett en strategiplan ved hjelp av Power Automate for å kontakte brukere som oppdages som tilkoblinger fra sjeldne steder, og deres ledere, for å bekrefte aktiviteten deres.

Forstå omfanget av bruddet

  • Se gjennom hvilken ressurs som kan ha blitt kompromittert, for eksempel potensielle datanedlastinger.

Aktivitet fra mistenkelige IP-adresser

Aktivitet fra en IP-adresse som er identifisert som risikabel av Microsoft Trusselintelligens eller av organisasjonen. Disse IP-adressene ble identifisert som involvert i skadelige aktiviteter, for eksempel å utføre passordspray, botnet-kommando og kontroll (C&C), og kan indikere en kompromittert konto.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. B-TP: Hvis en bruker er kjent for å bruke IP-adressen i omfanget av sine plikter. For eksempel når en sikkerhetsanalytiker utfører sikkerhets- eller penetrasjonstester på vegne av organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen, og søk etter aktiviteter fra samme IP-adresse.
  2. Se gjennom hvilken ressurs som kan ha blitt kompromittert, for eksempel potensielle datanedlastinger eller administrative endringer.
  3. Opprett en gruppe for sikkerhetsanalytikere som frivillig utløser disse varslene, og utelat dem fra policyen.

Umulig reise

Aktivitet fra samme bruker på forskjellige steder innenfor en tidsperiode som er kortere enn forventet reisetid mellom de to plasseringene. Dette kan indikere et brudd på legitimasjonen, men det er også mulig at brukerens faktiske plassering er maskert, for eksempel ved hjelp av et VPN.

Hvis du vil forbedre nøyaktigheten og varslet bare når det er en sterk indikasjon på et brudd, Defender for Cloud Apps etablerer en opprinnelig plan for hver bruker i organisasjonen og varsler bare når den uvanlige virkemåten oppdages. Den umulige reisepolicyen kan finjusteres etter dine krav.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

Denne gjenkjenningen bruker en maskinlæringsalgoritme som ignorerer åpenbare B-TP-betingelser , for eksempel når IP-adressene på begge sider av reisen anses som trygge, er reisen klarert og ekskludert fra å utløse Impossible-reisegjenkjenningen. Begge sider anses for eksempel som trygge hvis de er merket som firma. Hvis IP-adressen til bare én side av reisen anses som trygg, utløses imidlertid gjenkjenningen som normalt.

  1. TP: Hvis du kan bekrefte at plasseringen i det umulige reisevarselet er usannsynlig for brukeren.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (undetected user travel): Hvis du kan bekrefte at brukeren nylig har reist til målet nevnt som beskrevet i varselet. Hvis for eksempel en brukers telefon som er i flymodus, forblir koblet til tjenester som Exchange Online på firmanettverket mens du reiser til en annen plassering. Når brukeren kommer til den nye plasseringen, kobles telefonen til Exchange Online utløser det umulige reisevarselet.

    Anbefalt handling: Lukk varselet.

  3. FP (ikke-kodet VPN): Hvis du kan bekrefte at IP-adresseområdet er fra et godkjent VPN.

    Anbefalt handling: Lukk varselet og legg til VPNs IP-adresseområde i Defender for Cloud Apps, og bruk det deretter til å merke VPNs IP-adresseområde.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for å få en forståelse av lignende aktiviteter på samme plassering og IP-adresse.
  2. Hvis du ser at brukeren har utført andre risikable aktiviteter, for eksempel nedlasting av et stort antall filer fra en ny plassering, vil dette være en sterk indikasjon på et mulig kompromiss.
  3. Legg til firma-VPN-er og IP-adresseområder.
  4. Opprett en strategiplan ved hjelp av Power Automate, og kontakt brukerens overordnede for å se om brukeren er legitimt på reise.
  5. Vurder å opprette en kjent reisedatabase for opptil det minuttet med rapportering av organisasjonsreiser, og bruk den til å kryssreferere reiseaktivitet.

Villedende OAuth-appnavn

Denne gjenkjenningen identifiserer apper med tegn, for eksempel sekundære bokstaver, som ligner latinske bokstaver. Dette kan indikere et forsøk på å skjule en skadelig app som en kjent og pålitelig app, slik at angripere kan lure brukere til å laste ned den skadelige appen.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at appen har et villedende navn.

    Anbefalt handling: Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har fått tilgang. Basert på undersøkelsen kan du velge å forby tilgang til denne appen.

Hvis du vil forby tilgang til appen, velger du forbudsikonet på siden for appstyring på raden der appen du vil forby vises, på Google - eller Salesforce-fanenappstyringssiden . – Du kan velge om du vil fortelle brukerne at appen de installerte og autoriserte, er utestengt. Varselet gir brukerne beskjed om at appen er deaktivert, og at de ikke har tilgang til den tilkoblede appen. Hvis du ikke vil at de skal vite det, fjerner du merkingen for Varsle brukere som har gitt tilgang til denne forbudte appen i dialogboksen. – Det anbefales at du lar appbrukerne få vite at appen deres er i ferd med å bli utestengt fra bruk.

  1. FP: Hvis du skal bekrefte at appen har et villedende navn, men har et legitimt forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

Villedende utgivernavn for en OAuth-app

Denne gjenkjenningen identifiserer apper med tegn, for eksempel sekundære bokstaver, som ligner latinske bokstaver. Dette kan indikere et forsøk på å skjule en skadelig app som en kjent og pålitelig app, slik at angripere kan lure brukere til å laste ned den skadelige appen.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at appen har et villedende utgivernavn.

    Anbefalt handling: Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har fått tilgang. Basert på undersøkelsen kan du velge å forby tilgang til denne appen.

  2. FP: Hvis du skal bekrefte at appen har et villedende utgivernavn, men er en legitim utgiver.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Velg appen på Fanene Google eller Salesforceappstyringssiden for å åpne appskuffen, og velg deretter Relatert aktivitet. Dette åpner aktivitetsloggsiden filtrert for aktiviteter som utføres av appen. Husk at noen apper utfører aktiviteter som er registrert som utført av en bruker. Disse aktivitetene filtreres automatisk ut av resultatene i aktivitetsloggen. Hvis du vil ha mer informasjon om hvordan du bruker aktivitetsloggen, kan du se aktivitetsloggen.
  2. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker appens navn og utgiver i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:
    • Apper med et lavt antall nedlastinger.
    • Apper med lav vurdering eller poengsum eller dårlige kommentarer.
    • Apper med mistenkelig utgiver eller nettsted.
    • Apper som ikke nylig er oppdatert. Dette kan indikere en app som ikke lenger støttes.
    • Apper som har irrelevante tillatelser. Dette kan indikere at en app er risikabel.
  3. Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke appnavnet, utgiveren og nettadressen på nettet.

Kjøringsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å kjøre skadelig kode i organisasjonen.

Aktiviteter for sletting av flere lagringsplass

Aktiviteter i én enkelt økt som indikerer at en bruker utførte et uvanlig antall skylagrings- eller databaseslettinger fra ressurser som Azure blobs, AWS S3-samlinger eller Cosmos DB sammenlignet med den opprinnelige planen som ble lært. Dette kan indikere et forsøk på brudd på organisasjonen.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du skal bekrefte at slettingene var uautoriserte.

    Anbefalt handling: Avvis brukeren, tilbakestill passordet og skann alle enheter etter skadelige trusler. Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, og utforsk innvirkningsomfanget.

  2. FP: Hvis du etter undersøkelsen kan bekrefte at administratoren har tillatelse til å utføre disse slettingsaktivitetene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Kontakt brukeren og bekreft aktiviteten.
  2. Se gjennom aktivitetsloggen for andre indikatorer for kompromisser, og se hvem som gjorde endringen.
  3. Se gjennom denne brukerens aktiviteter for endringer i andre tjenester.

Flere vm-opprettelsesaktiviteter

Aktiviteter i én enkelt økt som indikerer at en bruker utførte et uvanlig antall handlinger for oppretting av vm sammenlignet med grunnlinjen som ble lært. Flere VM-kreasjoner på en brutt skyinfrastruktur kan indikere et forsøk på å kjøre krypto-gruveoperasjoner fra organisasjonen.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

For å forbedre nøyaktigheten og varslet bare når det er en sterk indikasjon på et brudd, etablerer denne gjenkjenningen en grunnlinje for hvert miljø i organisasjonen for å redusere B-TP-hendelser , for eksempel en administrator som legitimt opprettet flere virtuelle maskiner enn den etablerte grunnlinjen, og bare varsel når den uvanlige oppførselen oppdages.

  • TP: Hvis du kan bekrefte at opprettelsesaktivitetene ikke ble utført av en legitim bruker.

    Anbefalt handling: Avvis brukeren, tilbakestill passordet og skann alle enheter etter skadelige trusler. Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, og utforsk innvirkningsomfanget. I tillegg kan du kontakte brukeren, bekrefte deres legitime handlinger og deretter sørge for at du deaktiverer eller sletter eventuelle kompromitterte VM-er.

  • B-TP: Hvis du, etter undersøkelsen, kan bekrefte at administratoren har tillatelse til å utføre disse opprettelsesaktivitetene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for andre indikatorer for kompromiss.
  2. Se gjennom ressursene som er opprettet eller endret av brukeren, og kontroller at de samsvarer med organisasjonens policyer.

Mistenkelig opprettelsesaktivitet for skyområde (forhåndsversjon)

Aktiviteter som indikerer at en bruker utførte en uvanlig ressursopprettingshandling i et uvanlig AWS-område sammenlignet med den opprinnelige planen som ble lært. Ressursoppretting i uvanlige skyområder kan indikere et forsøk på å utføre en ondsinnet aktivitet, for eksempel kryptoutvinningsoperasjoner fra organisasjonen.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

For å forbedre nøyaktigheten og varslet bare når det er en sterk indikasjon på et brudd, etablerer denne gjenkjenningen en grunnlinje for hvert miljø i organisasjonen for å redusere B-TP-hendelser .

  • TP: Hvis du kan bekrefte at opprettelsesaktivitetene ikke ble utført av en legitim bruker.

    Anbefalt handling: Avvis brukeren, tilbakestill passordet og skann alle enheter etter skadelige trusler. Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, og utforsk innvirkningsomfanget. I tillegg kan du kontakte brukeren, bekrefte deres legitime handlinger og deretter sørge for at du deaktiverer eller sletter eventuelle kompromitterte skyressurser.

  • B-TP: Hvis du, etter undersøkelsen, kan bekrefte at administratoren har tillatelse til å utføre disse opprettelsesaktivitetene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for andre indikatorer for kompromiss.
  2. Se gjennom ressursene som er opprettet, og kontroller at de samsvarer med organisasjonens policyer.

Varsler om vedvarende frekvens

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å opprettholde sitt fotfeste i organisasjonen.

Aktivitet utført av avsluttet bruker

Aktivitet utført av en avsluttet bruker kan indikere at en avsluttet ansatt som fortsatt har tilgang til firmaressurser, prøver å utføre en ondsinnet aktivitet. Defender for Cloud Apps profilerer brukere i organisasjonen og utløser et varsel når en avsluttet bruker utfører en aktivitet.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at den avsluttede brukeren fremdeles har tilgang til bestemte firmaressurser og utfører aktiviteter.

    Anbefalt handling: Deaktiver brukeren.

  2. B-TP: Hvis du kan fastslå at brukeren ble midlertidig deaktivert eller ble slettet og registrert på nytt.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Kryssreferer HR-poster for å bekrefte at brukeren er avsluttet.
  2. Valider eksistensen av Microsoft Entra brukerkonto.

    Obs!

    Hvis du bruker Microsoft Entra Connect, validerer du lokal Active Directory-objektet og bekrefter en vellykket synkroniseringssyklus.

  3. Identifiser alle apper som den avsluttede brukeren hadde tilgang til og avvikler kontoene.
  4. Oppdater prosedyrer for avvikling.

Mistenkelig endring av Loggingstjeneste for CloudTrail

Aktiviteter i én enkelt økt som indikerer at en bruker utførte mistenkelige endringer i AWS CloudTrail-loggingstjenesten. Dette kan indikere et forsøk på brudd på organisasjonen. Når du deaktiverer CloudTrail, logges ikke lenger operasjonelle endringer. En angriper kan utføre ondsinnede aktiviteter samtidig som han unngår en CloudTrail-overvåkingshendelse, for eksempel å endre en S3-samling fra privat til offentlig.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, tilbakestill passordet og reverser CloudTrail-aktiviteten.

  2. FP: Hvis du kan bekrefte at brukeren legitimt deaktiverte CloudTrail-tjenesten.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for andre indikatorer for kompromisser, og se hvem som gjorde endringen i CloudTrail-tjenesten.
  2. Valgfritt: Opprett en strategiplan ved hjelp av Power Automate for å kontakte brukere og deres ledere for å bekrefte aktiviteten deres.

Mistenkelig e-postslettingsaktivitet (etter bruker)

Aktiviteter i én enkelt økt som indikerer at en bruker utførte mistenkelige slettinger av e-post. Slettingstypen var typen «hard sletting», noe som gjør at e-postelementet slettes og ikke er tilgjengelig i brukerens postboks. Slettingen ble gjort fra en tilkobling som inkluderer uvanlige preferanser som Internett-leverandøren, land/område og brukeragent. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel angripere som prøver å maskere operasjoner ved å slette e-postmeldinger relatert til søppelpostaktiviteter.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP: Hvis du kan bekrefte at brukeren legitimt opprettet en regel for å slette meldinger.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  • Se gjennom all brukeraktivitet for andre indikatorer på kompromisser, for eksempel varselet om mistenkelig videresending av innboks etterfulgt av et impossible travel-varsel . Se etter:

    1. Nye SMTP-videresendingsregler, som følger:
      • Se etter regelnavn for ondsinnet videresending. Regelnavn kan variere fra enkle navn, for eksempel «Videresend alle e-postmeldinger» og «Videresend automatisk», eller villedende navn, for eksempel et knapt synlig «».. Navn på videresendingsregler kan til og med være tomme, og den videresendingsmottakeren kan være én enkelt e-postkonto eller en hel liste. Skadelige regler kan også skjules fra brukergrensesnittet. Når det er oppdaget, kan du bruke dette nyttige blogginnlegget om hvordan du sletter skjulte regler fra postbokser.
      • Hvis du oppdager en ukjent videresendingsregel til en ukjent intern eller ekstern e-postadresse, kan du anta at innbokskontoen ble kompromittert.
    2. Nye innboksregler, for eksempel «slett alle», «flytt meldinger til en annen mappe», eller de med uklare navnekonvensjoner, for eksempel «...».
    3. En økning i sendte e-postmeldinger.

Mistenkelig regel for innboksmanipulering

Aktiviteter som indikerer at en angriper fikk tilgang til en brukers innboks og opprettet en mistenkelig regel. Manipuleringsregler, for eksempel sletting eller flytting av meldinger eller mapper, fra en brukers innboks, kan være et forsøk på å eksfiltrere informasjon fra organisasjonen. På samme måte kan de indikere et forsøk på å manipulere informasjon som en bruker ser eller bruker innboksen til å distribuere søppelpost, phishing-e-post eller skadelig programvare. Defender for Cloud Apps profilerer miljøet og utløser varsler når mistenkelige innboksmanipuleringsregler oppdages i innboksen til en bruker. Dette kan indikere at brukerens konto er kompromittert.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at en ondsinnet innboksregel ble opprettet og kontoen ble kompromittert.

    Anbefalt handling: Stopp brukeren, tilbakestill passordet og fjern videresendingsregelen.

  2. FP: Hvis du kan bekrefte at en bruker legitimt opprettet regelen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for andre indikatorer på kompromisser, for eksempel varselet om mistenkelig videresending av innboks etterfulgt av et impossible travel-varsel . Se etter:
    • Nye SMTP-videresendingsregler.
    • Nye innboksregler, for eksempel «slett alle», «flytt meldinger til en annen mappe», eller de med uklare navnekonvensjoner, for eksempel «...».
  2. Samle inn IP-adresse og stedsinformasjon for handlingen.
  3. Se gjennom aktiviteter utført fra IP-adressen som brukes til å opprette regelen for å oppdage andre kompromitterte brukere.

Varsler om videresending av rettigheter

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å få høyere tillatelser i organisasjonen.

Uvanlig administrativ aktivitet (etter bruker)

Aktiviteter som indikerer at en angriper har kompromittert en brukerkonto og utført administrative handlinger som ikke er vanlige for denne brukeren. En angriper kan for eksempel prøve å endre en sikkerhetsinnstilling for en bruker, en operasjon som er relativt sjelden for en vanlig bruker. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens virkemåte og utløser et varsel når den uvanlige virkemåten oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim administrator.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP: Hvis du kan bekrefte at en administrator legitimt utførte det uvanlige volumet av administrative aktiviteter.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for andre indikatorer på kompromisser, for eksempel mistenkelig videresending av innboks eller Impossible Travel.
  2. Se gjennom andre konfigurasjonsendringer, for eksempel oppretting av en brukerkonto som kan brukes til utholdenhet.

Varsler om legitimasjonstilgang

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å stjele kontonavn og passord fra organisasjonen.

Flere mislykkede påloggingsforsøk

Mislykkede påloggingsforsøk kan indikere et forsøk på å bryte en konto. Mislykkede pålogginger kan imidlertid også være normal virkemåte. For eksempel når en bruker skrev inn feil passord ved en feiltakelse. For å oppnå nøyaktighet og varsel bare når det er en sterk indikasjon på et forsøk på brudd, etablerer Defender for Cloud Apps en opprinnelig plan for påloggingsvaner for hver bruker i organisasjonen, og varsler bare når den uvanlige oppførselen oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

Denne policyen er basert på å lære en brukers normale påloggingsvirkemåte. Når et avvik fra normen oppdages, utløses et varsel. Hvis gjenkjenningen begynner å se at den samme virkemåten fortsetter, utløses varselet bare én gang.

  1. TP (MFA mislykkes): Hvis du kan bekrefte at MFA fungerer som den skal, kan dette være et tegn på et forsøk på brute force-angrep.

    Anbefalte handlinger:

    1. Suspender brukeren, merk brukeren som kompromittert, og tilbakestill passordet.
    2. Finn appen som utførte de mislykkede godkjenningene, og konfigurer den på nytt.
    3. Se etter andre brukere som er logget på rundt tidspunktet for aktiviteten, fordi de også kan bli kompromittert. Suspender brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. B-TP (MFA mislykkes): Hvis du kan bekrefte at varselet skyldes et problem med MFA.

    Anbefalt handling: Opprett en strategiplan ved hjelp av Power Automate for å kontakte brukeren og kontrollere om de har problemer med MFA.

  3. B-TP (feil konfigurert app): Hvis du kan bekrefte at en feilkonfigurert app prøver å koble til en tjeneste flere ganger med utløpt legitimasjon.

    Anbefalt handling: Lukk varselet.

  4. B-TP (passord endret): Hvis du kan bekrefte at en bruker nylig har endret passordet sitt, men det ikke har påvirket legitimasjonen på tvers av delte nettverksressurser.

    Anbefalt handling: Lukk varselet.

  5. B-TP (sikkerhetstest): Hvis du kan bekrefte at en sikkerhets- eller penetrasjonstest utføres av sikkerhetsanalytikere på vegne av organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, for eksempel varselet, etterfulgt av ett av følgende varsler: Impossible Travel, Activity from anonymous IP address eller Activity from infrequent country.
  2. Se gjennom følgende informasjon om brukerenheten, og sammenlign med kjent enhetsinformasjon:
    • Operativsystem og versjon
    • Nettleser og versjon
    • IP-adresse og plassering
  3. Identifiser kilde-IP-adressen eller plasseringen der godkjenningsforsøket oppstod.
  4. Identifiser om brukeren nylig har endret passordet sitt og sikre at alle apper og enheter har det oppdaterte passordet.

Uvanlig tillegg av legitimasjon til en OAuth-app

Denne gjenkjenningen identifiserer mistenkelig tillegg av privilegert legitimasjon i en OAuth-app. Dette kan indikere at en angriper har kompromittert appen og bruker den til skadelig aktivitet.

Læringsperiode

Å lære organisasjonens miljø krever en periode på sju dager der du kan forvente et stort antall varsler.

Uvanlig Internett-adresse for en OAuth-app

Gjenkjenningen identifiserer en OAuth-app som kobler til skyprogrammet ditt fra en Internett-leverandører som er uvanlig for appen. Dette kan indikere at en angriper prøvde å bruke en legitim kompromittert app til å utføre ondsinnede aktiviteter i skyprogrammene dine.

Læringsperiode

Læringsperioden for denne oppdagelsen er 30 dager.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke var en legitim aktivitet for OAuth-appen, eller at denne IsP-en ikke brukes av den legitime OAuth-appen.

    Anbefalt handling: Tilbakekalle alle tilgangstokenene for OAuth-appen og undersøke om en angriper har tilgang til å generere OAuth-tilgangstokener.

  2. FP: Hvis du kan bekrefte at aktiviteten ble gjort legitimt av den ekte OAuth-appen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetene som utføres av OAuth-appen.

  2. Undersøk om en angriper har tilgang til generering av OAuth-tilgangstokener.

Samlingsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å samle inn data av interesse for målet fra organisasjonen.

Flere rapportdelingsaktiviteter for Power BI

Aktiviteter i én enkelt økt som indikerer at en bruker utførte et uvanlig antall delingsrapportaktiviteter i Power BI sammenlignet med den opprinnelige planen som ble lært. Dette kan indikere et forsøk på brudd på organisasjonen.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Fjern delingstilgang fra Power BI. Hvis du kan bekrefte at kontoen er kompromittert, kan du utsette brukeren, merke brukeren som kompromittert og tilbakestille passordet.

  2. FP: Hvis du kan bekrefte at brukeren hadde en forretningsmessig begrunnelse for å dele disse rapportene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for å få en bedre forståelse av andre aktiviteter som utføres av brukeren. Se på IP-adressen de er logget på fra, og enhetsdetaljene.
  2. Kontakt Power BI-teamet eller Information Protection teamet for å forstå retningslinjene for å dele rapporter internt og eksternt.

Mistenkelig deling av Power BI-rapporter

Aktiviteter som indikerer at en bruker har delt en Power BI-rapport som kan inneholde sensitiv informasjon som identifiseres ved hjelp av NLP for å analysere metadataene for rapporten. Rapporten ble enten delt med en ekstern e-postadresse, publisert på nettet, eller et øyeblikksbilde ble levert til en eksternt abonnert e-postadresse. Dette kan indikere et forsøk på brudd på organisasjonen.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Fjern delingstilgang fra Power BI. Hvis du kan bekrefte at kontoen er kompromittert, kan du utsette brukeren, merke brukeren som kompromittert og tilbakestille passordet.

  2. FP: Hvis du kan bekrefte at brukeren hadde en forretningsmessig begrunnelse for å dele disse rapportene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for å få en bedre forståelse av andre aktiviteter som utføres av brukeren. Se på IP-adressen de er logget på fra, og enhetsdetaljene.
  2. Kontakt Power BI-teamet eller Information Protection teamet for å forstå retningslinjene for å dele rapporter internt og eksternt.

Uvanlig representert aktivitet (etter bruker)

I noe programvare finnes det alternativer for å tillate andre brukere å representere andre brukere. E-posttjenester tillater for eksempel brukere å godkjenne at andre brukere sender e-post på deres vegne. Denne aktiviteten brukes vanligvis av angripere til å opprette phishing-e-poster i et forsøk på å trekke ut informasjon om organisasjonen. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens virkemåte og oppretter en aktivitet når en uvanlig representasjonsaktivitet oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (uvanlig virkemåte): Hvis du kan bekrefte at brukeren legitimt utførte de uvanlige aktivitetene, eller flere aktiviteter enn den etablerte grunnlinjen.

    Anbefalt handling: Lukk varselet.

  3. FP: Hvis du kan bekrefte at apper, for eksempel Teams, legitimt utga seg for å være brukeren.

    Anbefalt handling: Se gjennom handlingene, og lukk varselet om nødvendig.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet og varsler for flere indikatorer for kompromiss.
  2. Se gjennom etterligningsaktivitetene for å identifisere potensielle skadelige aktiviteter.
  3. Se gjennom konfigurasjon av delegert tilgang.

Exfiltration-varsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å stjele data fra organisasjonen.

Mistenkelig videresending av innboks

Aktiviteter som indikerer at en angriper fikk tilgang til en brukers innboks og opprettet en mistenkelig regel. Manipuleringsregler, for eksempel videresending av alle eller bestemte e-postmeldinger til en annen e-postkonto, kan være et forsøk på å eksfiltrere informasjon fra organisasjonen. Defender for Cloud Apps profilerer miljøet og utløser varsler når mistenkelige innboksmanipuleringsregler oppdages i innboksen til en bruker. Dette kan indikere at brukerens konto er kompromittert.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at en ondsinnet innboksredigeringsregel ble opprettet og kontoen ble kompromittert.

    Anbefalt handling: Stopp brukeren, tilbakestill passordet og fjern videresendingsregelen.

  2. FP: Hvis du kan bekrefte at brukeren har opprettet en videresendingsregel til en ny eller personlig ekstern e-postkonto av legitime årsaker.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all brukeraktivitet for flere indikatorer på kompromisser, for eksempel varselet, etterfulgt av et Impossible Travel-varsel . Se etter:

    1. Nye SMTP-videresendingsregler, som følger:
      • Se etter regelnavn for ondsinnet videresending. Regelnavn kan variere fra enkle navn, for eksempel «Videresend alle e-postmeldinger» og «Videresend automatisk», eller villedende navn, for eksempel et knapt synlig «».. Navn på videresendingsregler kan til og med være tomme, og den videresendingsmottakeren kan være én enkelt e-postkonto eller en hel liste. Skadelige regler kan også skjules fra brukergrensesnittet. Når det er oppdaget, kan du bruke dette nyttige blogginnlegget om hvordan du sletter skjulte regler fra postbokser.
      • Hvis du oppdager en ukjent videresendingsregel til en ukjent intern eller ekstern e-postadresse, kan du anta at innbokskontoen ble kompromittert.
    2. Nye innboksregler, for eksempel «slett alle», «flytt meldinger til en annen mappe», eller de med uklare navnekonvensjoner, for eksempel «...».

  2. Se gjennom aktiviteter utført fra IP-adressen som brukes til å opprette regelen for å oppdage andre kompromitterte brukere.

  3. Se gjennom listen over videresendte meldinger ved hjelp av Exchange Online meldingssporing.

Uvanlig filnedlasting (etter bruker)

Aktiviteter som indikerer at en bruker utførte et uvanlig antall filnedlastinger fra en skylagringsplattform sammenlignet med grunnlinjen som ble lært. Dette kan indikere et forsøk på å få informasjon om organisasjonen. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens virkemåte og utløser et varsel når den uvanlige virkemåten oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (uvanlig virkemåte): Hvis du kan bekrefte at brukeren legitimt utførte flere filnedlastingsaktiviteter enn den etablerte grunnlinjen.

    Anbefalt handling: Lukk varselet.

  3. FP (programvaresynkronisering): Hvis du kan bekrefte programvaren, for eksempel OneDrive, synkronisert med en ekstern sikkerhetskopi som forårsaket varselet.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom nedlastingsaktivitetene, og opprett en liste over nedlastede filer.
  2. Se gjennom følsomheten til de nedlastede filene med ressurseieren, og valider tilgangsnivået.

Uvanlig filtilgang (etter bruker)

Aktiviteter som angir at en bruker har utført et uvanlig antall filtilganger i SharePoint eller OneDrive til filer som inneholder økonomiske data eller nettverksdata sammenlignet med grunnlinjen som er lært. Dette kan indikere et forsøk på å få informasjon om organisasjonen, enten for økonomiske formål eller for legitimasjonstilgang og sidebevegelse. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens virkemåte og utløser et varsel når den uvanlige virkemåten oppdages.

Læringsperiode

Læringsperioden avhenger av brukerens aktivitet. Vanligvis er læringsperioden mellom 21 og 45 dager for de fleste brukere.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (uvanlig virkemåte): Hvis du kan bekrefte at brukeren legitimt utførte flere filtilgangsaktiviteter enn den etablerte grunnlinjen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom tilgangsaktivitetene, og opprett en liste over tilgangsfiler.
  2. Se gjennom følsomheten til de åpnede filene med ressurseieren, og valider tilgangsnivået.

Uvanlig fildelingsaktivitet (etter bruker)

Aktiviteter som indikerer at en bruker utførte et uvanlig antall fildelingshandlinger fra en skylagringsplattform sammenlignet med grunnlinjen som ble lært. Dette kan indikere et forsøk på å få informasjon om organisasjonen. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens virkemåte og utløser et varsel når den uvanlige virkemåten oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (uvanlig virkemåte): Hvis du kan bekrefte at brukeren legitimt utførte flere fildelingsaktiviteter enn den etablerte grunnlinjen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom delingsaktivitetene, og opprett en liste over delte filer.
  2. Se gjennom følsomheten til de delte filene med ressurseieren, og valider tilgangsnivået.
  3. Opprett en filpolicy for lignende dokumenter for å oppdage fremtidig deling av sensitive filer.

Innvirkningsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å manipulere, avbryte eller ødelegge systemer og data i organisasjonen.

Flere slettede VM-aktiviteter

Aktiviteter i én enkelt økt som indikerer at en bruker utførte et uvanlig antall vm-slettinger sammenlignet med den opprinnelige planen som ble lært. Flere vm-slettinger kan indikere et forsøk på å forstyrre eller ødelegge et miljø. Det finnes imidlertid mange vanlige scenarioer der virtuelle maskiner slettes.

TP, B-TP eller FP?

For å forbedre nøyaktigheten og varslet bare når det er en sterk indikasjon på et brudd, etablerer denne gjenkjenningen en grunnlinje for hvert miljø i organisasjonen for å redusere B-TP-hendelser og bare varsle når den uvanlige oppførselen oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

  • TP: Hvis du kan bekrefte at slettingene var uautoriserte.

    Anbefalt handling: Avvis brukeren, tilbakestill passordet og skann alle enheter etter skadelige trusler. Se gjennom all brukeraktivitet for andre indikatorer for kompromisser, og utforsk innvirkningsomfanget.

  • B-TP: Hvis du etter undersøkelsen kan bekrefte at administratoren har tillatelse til å utføre disse slettingsaktivitetene.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Kontakt brukeren og bekreft aktiviteten.
  2. Se gjennom all brukeraktivitet for flere indikatorer for kompromisser, for eksempel varselet, etterfulgt av ett av følgende varsler: Impossible Travel, Activity from anonymous IP address eller Activity from infrequent country.

Løsepengevirusaktivitet

Ransomware er et cyberangrep der en angriper låser ofre ut av sine enheter eller blokkerer dem fra å få tilgang til filene sine til offeret betaler løsepenger. Løsepengevirus kan spres av en skadelig delt fil eller et kompromittert nettverk. Defender for Cloud Apps bruker sikkerhetsforskningsekspertise, trusselintelligens og lærte atferdsmønstre for å identifisere løsepengevirusaktivitet. En høy forekomst av filopplastinger eller slettinger av filer kan for eksempel representere en krypteringsprosess som er vanlig blant løsepengevirusoperasjoner.

Denne gjenkjenningen etablerer en opprinnelig plan for de normale arbeidsmønstrene til hver bruker i organisasjonen, for eksempel når brukeren får tilgang til skyen og hva de vanligvis gjør i skyen.

De Defender for Cloud Apps automatiserte policyene for trusselregistrering begynner å kjøre i bakgrunnen fra det øyeblikket du kobler til. Ved hjelp av vår ekspertise innen sikkerhetsundersøkelser for å identifisere atferdsmønstre som gjenspeiler løsepengevirusaktivitet i organisasjonen, gir Defender for Cloud Apps omfattende dekning mot sofistikerte løsepengevirusangrep.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av brukeren.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP (uvanlig virkemåte): Brukeren utførte legitimt flere slettings- og opplastingsaktiviteter for lignende filer på kort tid.

    Anbefalt handling: Lukk varselet når du har gjennomgått aktivitetsloggen og bekreftet at filtypene ikke er mistenkelige.

  3. FP (vanlig filtype for løsepengevirus): Hvis du kan bekrefte at filtypene til de berørte filene samsvarer med en kjent filtype for løsepengevirus.

    Anbefalt handling: Kontakt brukeren og bekreft at filene er trygge, og lukk deretter varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for andre indikatorer for kompromisser, for eksempel massenedlasting eller massesletting av filer.
  2. Hvis du bruker Microsoft Defender for endepunkt, kan du se gjennom brukerens datamaskinvarsler for å se om skadelige filer ble oppdaget.
  3. Søk i aktivitetsloggen etter skadelige filopplastings- og delingsaktiviteter.

Uvanlig filslettingsaktivitet (etter bruker)

Aktiviteter som angir at en bruker utførte en uvanlig filslettingsaktivitet sammenlignet med den opprinnelige planen som ble lært. Dette kan indikere løsepengevirusangrep. En angriper kan for eksempel kryptere en brukers filer og slette alle originalene, slik at bare de krypterte versjonene som kan brukes til å tvinge offeret til å betale løsepenger. Defender for Cloud Apps oppretter en opprinnelig plan basert på brukerens normale virkemåte og utløser et varsel når den uvanlige virkemåten oppdages.

Læringsperiode

Oppretting av aktivitetsmønsteret til en ny bruker krever en innledende læringsperiode på sju dager der varsler ikke utløses for nye plasseringer.

TP, B-TP eller FP?

  1. TP: Hvis du kan bekrefte at aktiviteten ikke ble utført av en legitim bruker.

    Anbefalt handling: Stopp brukeren, merk brukeren som kompromittert, og tilbakestill passordet.

  2. FP: Hvis du kan bekrefte at brukeren legitimt utførte flere aktiviteter for sletting av filer enn den etablerte grunnlinjen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom slettingsaktivitetene, og opprett en liste over slettede filer. Gjenopprett de slettede filene om nødvendig.
  2. Du kan også opprette en strategiplan ved hjelp av Power Automate for å kontakte brukere og deres ledere for å bekrefte aktiviteten.

Poengsumøkning for undersøkelsesprioritet (eldre)

Fra og med november 2024 er Undersøk risikable brukeres støtte for Microsoft Defender for Cloud Apps fjernet. Hvis denne funksjonen ble brukt i organisasjonen og er nødvendig, anbefaler vi at du bruker funksjonen Entra-risikopoengsum. Bruk følgende ressurser for mer informasjon:

Se også

Undersøk risikable brukere