Delen via

Zelfstudie: Verdachte gebruikersactiviteit detecteren met gedragsanalyse (UEBA)

  • Artikel

Microsoft Defender for Cloud Apps biedt best-of-class detecties in de kill chain voor aanvallen voor gecompromitteerde gebruikers, interne bedreigingen, exfiltratie, ransomware en meer. Onze uitgebreide oplossing wordt bereikt door meerdere detectiemethoden te combineren, waaronder anomalie, gedragsanalyse (UEBA) en op regels gebaseerde activiteitsdetecties, om een breed beeld te bieden van hoe uw gebruikers apps in uw omgeving gebruiken.

Waarom is het belangrijk om verdacht gedrag te detecteren? De impact van een gebruiker die uw cloudomgeving kan wijzigen, kan aanzienlijk zijn en kan rechtstreeks van invloed zijn op uw vermogen om uw bedrijf te runnen. Belangrijke bedrijfsresources, zoals de servers waarop uw openbare website wordt uitgevoerd of de service die u aan klanten levert, kunnen bijvoorbeeld worden aangetast.

Met behulp van gegevens die zijn vastgelegd uit verschillende bronnen, analyseert Defender for Cloud Apps de gegevens om app- en gebruikersactiviteiten in uw organisatie te extraheren, zodat uw beveiligingsanalisten inzicht krijgen in het gebruik van de cloud. De verzamelde gegevens worden gecorreleerd, gestandaardiseerd en verrijkt met bedreigingsinformatie, locatie en vele andere details om een nauwkeurige, consistente weergave van verdachte activiteiten te bieden.

Daarom moet u eerst de volgende bronnen configureren om de voordelen van deze detecties volledig te benutten:

Vervolgens moet u uw beleid afstemmen. De volgende beleidsregels kunnen worden verfijnd door filters, dynamische drempelwaarden (UEBA) in te stellen om hun detectiemodellen te trainen en onderdrukkingen om veelvoorkomende fout-positieve detecties te verminderen:

  • Anomaliedetectie
  • Detectie van anomalie in clouddetectie
  • Detectie van activiteit op basis van regels

In deze zelfstudie leert u hoe u detecties van gebruikersactiviteit kunt afstemmen om echte compromissen te identificeren en waarschuwingsmoeheid te verminderen als gevolg van het verwerken van grote hoeveelheden fout-positieve detecties:

Fase 1: IP-adresbereiken configureren

Voordat u afzonderlijke beleidsregels configureert, is het raadzaam om IP-bereiken zo te configureren dat ze beschikbaar zijn voor gebruik bij het verfijnen van elk type detectiebeleid voor verdachte gebruikersactiviteiten.

Omdat IP-adresgegevens van cruciaal belang zijn voor bijna alle onderzoeken, helpt het configureren van bekende IP-adressen onze machine learning-algoritmen om bekende locaties te identificeren en deze te beschouwen als onderdeel van de machine learning-modellen. Als u bijvoorbeeld het IP-adresbereik van uw VPN toevoegt, kan het model dit IP-bereik correct classificeren en automatisch uitsluiten van onmogelijke reisdetecties omdat de VPN-locatie niet de werkelijke locatie van die gebruiker vertegenwoordigt.

Opmerking: geconfigureerde IP-bereiken zijn niet beperkt tot detecties en worden gebruikt in Defender for Cloud Apps op gebieden zoals activiteiten in het activiteitenlogboek, voorwaardelijke toegang, enzovoort. Houd hier rekening mee wanneer u de bereiken configureert. Als u bijvoorbeeld uw fysieke IP-adressen van uw kantoor identificeert, kunt u de manier aanpassen waarop logboeken en waarschuwingen worden weergegeven en onderzocht.

Out-of-the-box anomaliedetectiewaarschuwingen bekijken

Defender for Cloud Apps bevat een set anomaliedetectiewaarschuwingen om verschillende beveiligingsscenario's te identificeren. Deze detecties worden automatisch out-of-the-box ingeschakeld en beginnen gebruikersactiviteiten te profilen en waarschuwingen te genereren zodra de relevante app-connectors zijn verbonden.

Begin door vertrouwd te raken met de verschillende detectiebeleidsregels, geef prioriteit aan de belangrijkste scenario's die volgens u het meest relevant zijn voor uw organisatie en stem het beleid dienovereenkomstig af.

Fase 2: anomaliedetectiebeleid afstemmen

Er zijn verschillende ingebouwde beleidsregels voor anomaliedetectie beschikbaar in Defender for Cloud Apps die vooraf zijn geconfigureerd voor veelvoorkomende gevallen van beveiligingsgebruik. Neem even de tijd om vertrouwd te raken met de meer populaire detecties, zoals:

  • Onmogelijk reizen
    Activiteiten van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties.
  • Activiteit uit onregelmatig land
    Activiteit vanaf een locatie die niet recent of nooit is bezocht door de gebruiker.
  • Malwaredetectie
    Scant bestanden in uw cloud-apps en voert verdachte bestanden uit via de bedreigingsinformatie-engine van Microsoft om te bepalen of ze zijn gekoppeld aan bekende malware.
  • Ransomware-activiteit
    Bestand wordt geüpload naar de cloud die mogelijk is geïnfecteerd met ransomware.
  • Activiteit van verdachte IP-adressen
    Activiteit van een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence.
  • Verdacht doorsturen van postvak IN
    Detecteert verdachte regels voor het doorsturen van postvak IN die zijn ingesteld op het Postvak IN van een gebruiker.
  • Ongebruikelijke activiteiten voor het downloaden van meerdere bestanden
    Detecteert meerdere activiteiten voor het downloaden van bestanden in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.
  • Ongebruikelijke beheeractiviteiten
    Detecteert meerdere beheeractiviteiten in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

Zie Anomaliedetectiebeleid voor een volledige lijst met detecties en wat ze doen.

Opmerking

Hoewel sommige van de anomaliedetecties voornamelijk zijn gericht op het detecteren van problematische beveiligingsscenario's, kunnen andere helpen bij het identificeren en onderzoeken van afwijkend gebruikersgedrag dat niet noodzakelijkerwijs op een inbreuk duidt. Voor dergelijke detecties hebben we een ander gegevenstype gemaakt met de naam 'gedrag' dat beschikbaar is in de Microsoft Defender XDR geavanceerde opsporingservaring. Zie Gedrag voor meer informatie.

Zodra u bekend bent met het beleid, moet u overwegen hoe u deze wilt afstemmen op de specifieke vereisten van uw organisatie om beter gerichte activiteiten te richten die u mogelijk verder wilt onderzoeken.

  1. Bereikbeleid voor specifieke gebruikers of groepen

    Door beleidsregels voor specifieke gebruikers te bepalen, kunt u ruis verminderen van waarschuwingen die niet relevant zijn voor uw organisatie. Elk beleid kan worden geconfigureerd om specifieke gebruikers en groepen op te nemen of uit te sluiten, zoals in de volgende voorbeelden:

    • Aanvalssimulaties
      Veel organisaties gebruiken een gebruiker of een groep om voortdurend aanvallen te simuleren. Het is duidelijk dat het niet zinvol is om voortdurend waarschuwingen te ontvangen van de activiteiten van deze gebruikers. Daarom kunt u uw beleid configureren om deze gebruikers of groepen uit te sluiten. Dit helpt ook de machine learning-modellen om deze gebruikers te identificeren en hun dynamische drempelwaarden dienovereenkomstig af te stemmen.
    • Gerichte detecties
      Uw organisatie is mogelijk geïnteresseerd in het onderzoeken van een specifieke groep VIP-gebruikers, zoals leden van een beheerder of CXO-groep. In dit scenario kunt u een beleid maken voor de activiteiten die u wilt detecteren en ervoor kiezen om alleen de set gebruikers of groepen op te nemen die u interesseert.

  2. Afwijkende aanmeldingsdetecties afstemmen

    Sommige organisaties willen waarschuwingen zien die het gevolg zijn van mislukte aanmeldingsactiviteiten , omdat deze kunnen aangeven dat iemand een of meer gebruikersaccounts probeert te targeten. Aan de andere kant vinden brute force-aanvallen op gebruikersaccounts de hele tijd plaats in de cloud en organisaties kunnen ze niet voorkomen. Daarom besluiten grotere organisaties meestal alleen waarschuwingen te ontvangen voor verdachte aanmeldingsactiviteiten die resulteren in geslaagde aanmeldingsactiviteiten, omdat ze echte compromissen kunnen vertegenwoordigen.

    Identiteitsdiefstal is een belangrijke bron van inbreuk en vormt een belangrijke bedreigingsvector voor uw organisatie. Onze onmogelijke reizen, activiteiten van verdachte IP-adressen en onregelmatige land-/regiodetectiewaarschuwingen helpen u activiteiten te detecteren die suggereren dat een account mogelijk is gecompromitteerd.

  3. Gevoeligheid van onmogelijk reizenafstemmenConfigureer de gevoeligheidsschuifregelaar die het niveau van onderdrukkingen bepaalt dat wordt toegepast op afwijkend gedrag voordat een onmogelijke reiswaarschuwing wordt geactiveerd. Organisaties die geïnteresseerd zijn in hoge kwaliteit moeten bijvoorbeeld overwegen om het gevoeligheidsniveau te verhogen. Aan de andere kant, als uw organisatie veel gebruikers heeft die reizen, kunt u overwegen om het gevoeligheidsniveau te verlagen om activiteiten te onderdrukken van de gemeenschappelijke locaties van een gebruiker die zijn geleerd van eerdere activiteiten. U kunt kiezen uit de volgende gevoeligheidsniveaus:

    • Laag: onderdrukkingen van systeem, tenant en gebruikers
    • Gemiddeld: Systeem- en gebruikersonderdrukkingen
    • Hoog: alleen systeemonderdrukkingen

    Waarbij:

    Onderdrukkingstype Beschrijving
    Systeem Ingebouwde detecties die altijd worden onderdrukt.
    Tenant Algemene activiteiten op basis van eerdere activiteiten in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een internetprovider die eerder is gewaarschuwd in uw organisatie.
    Gebruiker Algemene activiteiten op basis van eerdere activiteiten van de specifieke gebruiker. Bijvoorbeeld activiteiten onderdrukken vanaf een locatie die vaak door de gebruiker wordt gebruikt.

Fase 3: Anomaliedetectiebeleid voor clouddetectie afstemmen

Net als het anomaliedetectiebeleid zijn er verschillende ingebouwde beleidsregels voor anomaliedetectie in de cloud die u kunt verfijnen. Het beleid Gegevensexfiltratie naar niet-sanctioned apps waarschuwt u bijvoorbeeld wanneer gegevens worden geexfiltreerd naar een niet-geksanctioneerde app en vooraf zijn geconfigureerd met instellingen op basis van microsoft-ervaring op het gebied van beveiliging.

U kunt het ingebouwde beleid echter verfijnen of uw eigen beleid maken om u te helpen bij het identificeren van andere scenario's die u mogelijk wilt onderzoeken. Omdat deze beleidsregels zijn gebaseerd op clouddetectielogboeken, hebben ze verschillende afstemmingsmogelijkheden die meer gericht zijn op afwijkend app-gedrag en gegevensexfiltratie.

  1. Gebruikscontrole afstemmen
    Stel de gebruiksfilters in om de basislijn, het bereik en de activiteitsperiode voor het detecteren van afwijkend gedrag te bepalen. U wilt bijvoorbeeld waarschuwingen ontvangen voor afwijkende activiteiten met betrekking tot werknemers op leidinggevendenniveau.

  2. Gevoeligheid van waarschuwingen afstemmen
    Configureer de gevoeligheid van waarschuwingen om waarschuwingsmoeheid te voorkomen. U kunt de schuifregelaar gevoeligheid gebruiken om het aantal waarschuwingen met een hoog risico te bepalen dat per 1000 gebruikers per week wordt verzonden. Hogere gevoeligheden vereisen minder variantie om als een anomalie te worden beschouwd en meer waarschuwingen te genereren. Over het algemeen stelt u een lage gevoeligheid in voor gebruikers die geen toegang hebben tot vertrouwelijke gegevens.

Fase 4: Beleid voor detectie (activiteit) op basis van regels afstemmen

Op regels gebaseerd detectiebeleid biedt u de mogelijkheid om anomaliedetectiebeleid aan te vullen met organisatiespecifieke vereisten. We raden u aan beleid op basis van regels te maken met behulp van een van onze beleidssjablonen voor activiteiten (ga naar Beheersjablonen> en stel het filter Type in op Activiteitsbeleid) en configureer deze vervolgens om gedrag te detecteren dat niet normaal is voor uw omgeving. Voor een organisatie die niet aanwezig is in een bepaald land of een bepaalde regio, kan het bijvoorbeeld zinvol zijn om een beleid te maken dat de afwijkende activiteiten van dat land/die regio detecteert en hierop een waarschuwing geeft. Voor anderen, die grote filialen in dat land/die regio hebben, zijn activiteiten uit dat land/die regio normaal en is het niet zinvol om dergelijke activiteiten te detecteren.

  1. Activiteitsvolume afstemmen
    Kies het vereiste activiteitsvolume voordat de detectie een waarschuwing genereert. Aan de hand van ons land/regio-voorbeeld: als u geen aanwezigheid hebt in een land/regio, is zelfs één activiteit significant en is een waarschuwing vereist. Een fout met eenmalige aanmelding kan echter een menselijke fout zijn en is alleen van belang als er veel fouten zijn in een korte periode.
  2. Activiteitsfilters afstemmen
    Stel de filters in die u nodig hebt om het type activiteit te detecteren waarvoor u wilt waarschuwen. Als u bijvoorbeeld activiteit wilt detecteren in een land/regio, gebruikt u de parameter Locatie .
  3. Waarschuwingen afstemmen
    Stel de dagelijkse waarschuwingslimiet in om waarschuwingsmoeheid te voorkomen.

Fase 5: waarschuwingen configureren

Opmerking

Sinds 15 december 2022 zijn de waarschuwingen/sms-berichten (sms-berichten) afgeschaft. Als u tekstwaarschuwingen wilt ontvangen, moet u Microsoft Power Automate gebruiken voor aangepaste waarschuwingsautomatisering. Zie Integreren met Microsoft Power Automate voor automatisering van aangepaste waarschuwingen voor meer informatie.

U kunt ervoor kiezen om waarschuwingen te ontvangen in de indeling en het medium die het beste bij uw behoeften past. Als u op elk moment van de dag direct waarschuwingen wilt ontvangen, kunt u deze misschien liever via e-mail ontvangen.

Mogelijk wilt u ook waarschuwingen analyseren in de context van andere waarschuwingen die worden geactiveerd door andere producten in uw organisatie, om u een holistisch beeld te geven van een mogelijke bedreiging. U kunt bijvoorbeeld een verband tussen cloudgebaseerde en on-premises gebeurtenissen correleren om te zien of er ander beperkend bewijs is dat een aanval kan bevestigen.

Daarnaast kunt u ook aangepaste waarschuwingsautomatisering activeren met behulp van onze integratie met Microsoft Power Automate. U kunt bijvoorbeeld instellen dat een playbook automatisch een probleem maakt in ServiceNow of een goedkeurings-e-mail verzenden om een aangepaste governanceactie uit te voeren wanneer een waarschuwing wordt geactiveerd.

Gebruik de volgende richtlijnen om uw waarschuwingen te configureren:

  1. E-mail
    Kies deze optie om waarschuwingen per e-mail te ontvangen.
  2. SIEM
    Er zijn verschillende SIEM-integratieopties, waaronder Microsoft Sentinel, Microsoft Graph beveiligings-API en andere algemene SIEM's. Kies de integratie die het beste aan uw vereisten voldoet.
  3. Power Automate-automatisering
    Maak de automatiserings-playbooks die u nodig hebt en stel deze in als waarschuwing van het beleid voor Power Automate-actie.

Fase 6: Onderzoeken en herstellen

Goed, u hebt uw beleid ingesteld en waarschuwingen voor verdachte activiteiten ontvangen. Wat moet je eraan doen? Om te beginnen moet u stappen uitvoeren om de activiteit te onderzoeken. U kunt bijvoorbeeld kijken naar activiteiten die aangeven dat een gebruiker is gecompromitteerd.

Als u uw beveiliging wilt optimaliseren, kunt u overwegen automatische herstelacties in te stellen om het risico voor uw organisatie te minimaliseren. Met ons beleid kunt u governanceacties toepassen in combinatie met de waarschuwingen, zodat het risico voor uw organisatie wordt verminderd, zelfs voordat u begint met onderzoeken. Beschikbare acties worden bepaald door het beleidstype, inclusief acties zoals het onderbreken van een gebruiker of het blokkeren van de toegang tot de aangevraagde resource.

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.

Meer informatie