Del via

Opplæring: Oppdag mistenkelig brukeraktivitet med atferdsanalyse (UEBA)

  • Artikkel

Microsoft Defender for Cloud Apps gir best-of-class-oppdagelser på tvers av angrepsdrapskjeden for kompromitterte brukere, innsidetrusler, exfiltration, ransomware og mer. Vår omfattende løsning oppnås ved å kombinere flere gjenkjenningsmetoder, inkludert avvik, atferdsanalyse (UEBA) og regelbaserte aktivitetsregistreringer, for å gi en bred oversikt over hvordan brukerne bruker apper i miljøet ditt.

Så hvorfor er det viktig å oppdage mistenkelig oppførsel? Virkningen av en bruker som kan endre skymiljøet, kan være betydelig og ha direkte innvirkning på muligheten til å drive bedriften din. For eksempel kan viktige bedriftsressurser som serverne som kjører det offentlige nettstedet eller tjenesten du leverer til kunder, bli kompromittert.

Ved hjelp av data som hentes fra flere kilder, analyserer Defender for Cloud Apps dataene for å trekke ut app- og brukeraktiviteter i organisasjonen, noe som gir sikkerhetsanalytikerne dine innsyn i skybruk. De innsamlede dataene er korrelert, standardisert og beriket med trusselintelligens, plassering og mange andre detaljer for å gi et nøyaktig, konsekvent syn på mistenkelige aktiviteter.

Derfor må du først sørge for at du konfigurerer følgende kilder for å fullt ut realisere fordelene ved disse gjenkjenningene:

Deretter vil du justere policyene. Følgende policyer kan finjusteres ved å angi filtre, dynamiske terskler (UEBA) for å lære opp gjenkjenningsmodellene og undertrykkelsene for å redusere vanlige falske positive gjenkjenninger:

  • Avviksregistrering
  • Avviksregistrering i skyen
  • Regelbasert aktivitetsgjenkjenning

I denne opplæringen lærer du hvordan du justerer brukeraktivitetsgjenkjenninger for å identifisere sanne kompromisser og redusere varslingstretthet som følge av håndtering av store mengder falske positive gjenkjenninger:

Fase 1: Konfigurere IP-adresseområder

Før du konfigurerer individuelle policyer, anbefales det å konfigurere IP-områder slik at de kan brukes til å finjustere alle typer mistenkelige policyer for gjenkjenning av brukeraktivitet.

Siden IP-adresseinformasjon er avgjørende for nesten alle undersøkelser, hjelper konfigurering av kjente IP-adresser maskinlæringsalgoritmene våre med å identifisere kjente plasseringer og vurdere dem som en del av maskinlæringsmodellene. Hvis du for eksempel legger til IP-adresseområdet til VPN-et, bidrar modellen til å klassifisere dette IP-området på riktig måte og automatisk utelate det fra umulige reiseregistreringer, fordi VPN-plasseringen ikke representerer den sanne plasseringen til denne brukeren.

Obs!

Konfigurerte IP-områder er ikke begrenset til gjenkjenninger og brukes i hele Defender for Cloud Apps i områder som aktiviteter i aktivitetsloggen, betinget tilgang osv. Husk dette når du konfigurerer områdene. Hvis du for eksempel identifiserer de fysiske OFFICE IP-adressene, kan du tilpasse hvordan logger og varsler vises og undersøkes.

Se gjennom out-of-the-box avviksregistreringsvarsler

Defender for Cloud Apps inneholder et sett med varsler om avviksregistrering for å identifisere ulike sikkerhetsscenarioer. Disse gjenkjenningene aktiveres automatisk utenfor boksen og begynner å profilere brukeraktivitet og generere varsler så snart de relevante appkoblingene er tilkoblet.

Begynn med å gjøre deg kjent med de ulike gjenkjenningspolicyene, prioriter de viktigste scenariene som du tror er mest relevante for organisasjonen, og juster policyene i henhold til dette.

Fase 2: Justere policyer for avviksregistrering

Flere innebygde policyer for avviksregistrering er tilgjengelige i Defender for Cloud Apps som er forhåndskonfigurert for vanlige tilfeller av sikkerhetsbruk. Du bør bruke litt tid på å gjøre deg kjent med de mer populære oppdagelsene, for eksempel:

  • Umulig reise
    Aktiviteter fra samme bruker på forskjellige steder i en periode som er kortere enn forventet reisetid mellom de to plasseringene.
  • Aktivitet fra sjeldent land
    Aktivitet fra en plassering som ikke nylig eller aldri ble besøkt av brukeren.
  • Gjenkjenning av skadelig programvare
    Skanner filer i skyappene og kjører mistenkelige filer gjennom Microsofts trusselintelligensmotor for å finne ut om de er knyttet til kjent skadelig programvare.
  • Løsepengevirusaktivitet
    Filopplastinger til skyen som kan være infisert med løsepengevirus.
  • Aktivitet fra mistenkelige IP-adresser
    Aktivitet fra en IP-adresse som er identifisert som risikabel av Microsoft Threat Intelligence.
  • Mistenkelig videresending av innboks
    Oppdager mistenkelige innboks-videresendingsregler som er angitt i en brukers innboks.
  • Uvanlige nedlastingsaktiviteter for flere filer
    Oppdager flere filnedlastingsaktiviteter i én enkelt økt med hensyn til den opprinnelige planen, noe som kan indikere et forsøk på brudd.
  • Uvanlige administrative aktiviteter
    Oppdager flere administrative aktiviteter i én enkelt økt med hensyn til den opprinnelige planen som kan indikere et forsøk på brudd.

Hvis du vil ha en fullstendig liste over oppdagelser og hva de gjør, kan du se policyer for avviksregistrering.

Obs!

Mens noen av avviksregistreringene hovedsakelig er fokusert på å oppdage problematiske sikkerhetsscenarioer, kan andre hjelpe til med å identifisere og undersøke uregelmessig brukeratferd som kanskje ikke nødvendigvis indikerer et kompromiss. For slike oppdagelser opprettet vi en annen datatype kalt «virkemåter» som er tilgjengelig i Microsoft Defender XDR avansert jaktopplevelse. Hvis du vil ha mer informasjon, kan du se Virkemåter.

Når du er kjent med policyene, bør du vurdere hvordan du vil finjustere dem for organisasjonens spesifikke krav for bedre målaktiviteter som du kanskje vil undersøke nærmere.

  1. Omfangspolicyer for bestemte brukere eller grupper

    Omfang av policyer til bestemte brukere kan bidra til å redusere støy fra varsler som ikke er relevante for organisasjonen. Hver policy kan konfigureres til å inkludere eller ekskludere bestemte brukere og grupper, for eksempel i følgende eksempler:

    • Angrepssimuleringer
      Mange organisasjoner bruker en bruker eller en gruppe til å simulere angrep hele tiden. Det er åpenbart ikke fornuftig å motta varsler fra disse brukernes aktiviteter hele tiden. Du kan derfor konfigurere policyene til å utelate disse brukerne eller gruppene. Dette hjelper også maskinlæringsmodellene med å identifisere disse brukerne og finjustere dynamiske terskler tilsvarende.
    • Målrettede gjenkjenninger
      Organisasjonen kan være interessert i å undersøke en bestemt gruppe VIP-brukere, for eksempel medlemmer av en administrator eller CXO-gruppe. I dette scenarioet kan du opprette en policy for aktivitetene du vil finne, og velge å bare inkludere settet med brukere eller grupper du er interessert i.

  2. Justere uregelmessige påloggingsregistreringer

    Noen organisasjoner ønsker å se varsler som er et resultat av mislykkede påloggingsaktiviteter , da de kan indikere at noen prøver å målrette mot én eller flere brukerkontoer. På den annen side forekommer brute force angrep på brukerkontoer hele tiden i skyen, og organisasjoner har ingen måte å forhindre dem på. Derfor bestemmer større organisasjoner seg vanligvis bare for å motta varsler for mistenkelige påloggingsaktiviteter som resulterer i vellykkede påloggingsaktiviteter, da de kan representere sanne kompromisser.

    Identitetstyveri er en viktig kilde til kompromiss og utgjør en stor trusselvektor for organisasjonen. Vår umulige reise, aktivitet fra mistenkelige IP-adresser og sjeldne oppdagingsvarsler for land/område hjelper deg med å oppdage aktiviteter som tyder på at en konto potensielt er kompromittert.

  3. Juster følsomheten for umulig reiseKonfigurer glidebryteren for følsomhet som bestemmer nivået av undertrykkelser som brukes på avvikende virkemåte før det utløses et umulig reisevarsel. Organisasjoner som er interessert i høy gjengivelse, bør for eksempel vurdere å øke følsomhetsnivået. Hvis organisasjonen derimot har mange brukere som reiser, bør du vurdere å senke følsomhetsnivået for å undertrykke aktiviteter fra en brukers felles plasseringer som er lært fra tidligere aktiviteter. Du kan velge blant følgende følsomhetsnivåer:

    • Lav: System-, leier- og brukerundertrykkelser
    • Middels: System- og brukerundertrykkelser
    • Høy: Bare systemundertrykkelser

    Hvor:

    Undertrykkingstype Beskrivelse
    System Innebygde gjenkjenninger som alltid undertrykkes.
    Leier Vanlige aktiviteter basert på tidligere aktivitet i leieren. Du kan for eksempel undertrykke aktiviteter fra en Internett-bruker som tidligere har blitt varslet om i organisasjonen.
    Bruker Vanlige aktiviteter basert på tidligere aktivitet for den bestemte brukeren. Du kan for eksempel undertrykke aktiviteter fra en plassering som brukes ofte av brukeren.

Fase 3: Justere policyer for avviksregistrering i skyen

I likhet med policyene for avviksregistrering finnes det flere innebygde policyer for avviksregistrering i skyen som du kan finjustere. Datautfiltrering til ikke-helliggjorte apper varsler deg for eksempel når data blir eksfiltrert til en app som ikke er helliggjort, og den er forhåndskonfigurert med innstillinger basert på Microsoft-opplevelse i sikkerhetsfeltet.

Du kan imidlertid finjustere de innebygde policyene eller opprette dine egne policyer for å hjelpe deg med å identifisere andre scenarioer som du kanskje er interessert i å undersøke. Siden disse policyene er basert på logger for søk i skyen, har de forskjellige justeringsfunksjoner som er mer fokusert på uregelmessig appvirkemåte og datautfiltrering.

  1. Juster bruksovervåking
    Angi bruksfiltrene for å kontrollere den opprinnelige planen, omfanget og aktivitetsperioden for å oppdage avvikende virkemåte. Du kan for eksempel motta varsler for uregelmessige aktiviteter knyttet til ansatte på ledernivå.

  2. Stille inn varslingsfølsomhet
    Konfigurer følsomheten for varsler for å forhindre tretthet i varslene. Du kan bruke glidebryteren for følsomhet til å kontrollere antall varsler med høy risiko som sendes per 1000 brukere per uke. Høyere følsomhet krever mindre varians for å bli vurdert som et avvik og generere flere varsler. Generelt sett angir du lav følsomhet for brukere som ikke har tilgang til konfidensielle data.

Fase 4: Justere regelbaserte gjenkjenningspolicyer (aktivitetspolicyer)

Regelbaserte gjenkjenningspolicyer gir deg muligheten til å utfylle policyer for avviksregistrering med organisasjonsspesifikke krav. Vi anbefaler at du oppretter regelbaserte policyer ved hjelp av en av aktivitetspolicymalene våre (gå tilKontrollmaler> og angi Type-filteret til aktivitetspolicy) og konfigurer dem for å oppdage virkemåter som ikke er normale for miljøet ditt. For en organisasjon som for eksempel ikke har noen tilstedeværelse i et bestemt land/område, kan det være fornuftig å opprette en policy som oppdager avvikende aktiviteter fra dette landet/området og varsler dem. For andre, som har store grener i landet/området, vil aktiviteter fra dette landet/området være normale, og det ville ikke være fornuftig å oppdage slike aktiviteter.

  1. Justere aktivitetsvolum
    Velg aktivitetsvolumet som kreves før gjenkjenningen utløser et varsel. Hvis du bruker vårt eksempel på land/område, hvis du ikke har noen tilstedeværelse i et land/område, er selv en enkelt aktivitet viktig og garanterer et varsel. En enkelt påloggingsfeil kan imidlertid være menneskelig feil og bare av interesse hvis det er mange feil på kort tid.
  2. Justere aktivitetsfiltre
    Angi filtrene du trenger for å finne aktivitetstypen du vil varsle om. Hvis du for eksempel vil oppdage aktivitet fra et land/område, bruker du plasseringsparameteren.
  3. Stille inn varsler
    Angi den daglige varslingsgrensen for å forhindre tretthet i varselet.

Fase 5: Konfigurere varsler

Obs!

Siden 15. desember 2022 har varsler/SMS (tekstmeldinger) blitt avskrevet. Hvis du vil motta tekstvarsler, bør du bruke Microsoft Power Automate til egendefinert varslingsautomatisering. Hvis du vil ha mer informasjon, kan du se Integrere med Microsoft Power Automate for tilpasset varslingsautomatisering.

Du kan velge å motta varsler i formatet og mediet som passer best til dine behov. Hvis du vil motta umiddelbare varsler når som helst på dagen, foretrekker du kanskje å motta dem via e-post.

Du vil kanskje også ha muligheten til å analysere varsler i konteksten til andre varsler som utløses av andre produkter i organisasjonen, for å gi deg en helhetlig visning av en potensiell trussel. Du kan for eksempel koordinere mellom skybaserte og lokale hendelser for å se om det finnes andre begrensende bevis som kan bekrefte et angrep.

I tillegg kan du også utløse egendefinert varslingsautomatisering ved hjelp av vår integrering med Microsoft Power Automate. Du kan for eksempel konfigurere en strategiplan for automatisk å opprette et problem i ServiceNow eller sende en e-postmelding om godkjenning for å utføre en egendefinert styringshandling når et varsel utløses.

Bruk følgende retningslinjer for å konfigurere varslene:

  1. E-post
    Velg dette alternativet for å motta varsler via e-post.
  2. SIEM
    Det finnes flere alternativer for SIEM-integrering, inkludert Microsoft Sentinel, Microsoft Graph Sikkerhets-API og andre generiske SIEMer. Velg integreringen som best oppfyller kravene dine.
  3. Power Automate-automatisering
    Opprett automatiseringsspillebøkene du trenger, og angi den som policyvarselet for Handlingen Power Automate.

Fase 6: Undersøke og utbedre

Flott, du har konfigurert policyene dine og begynt å motta mistenkelige aktivitetsvarsler. Hva bør du gjøre med dem? For en start bør du utføre trinn for å undersøke aktiviteten. Du kan for eksempel se på aktiviteter som angir at en bruker har blitt kompromittert.

Hvis du vil optimalisere beskyttelsen, bør du vurdere å konfigurere automatiske utbedringshandlinger for å minimere risikoen for organisasjonen. Med policyene våre kan du bruke styringshandlinger i forbindelse med varslene, slik at risikoen for organisasjonen reduseres selv før du begynner å undersøke. Tilgjengelige handlinger bestemmes av policytypen, inkludert handlinger som å suspendere en bruker eller blokkere tilgang til den forespurte ressursen.

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.

Mer informasjon