Anomaliedetectiewaarschuwingen onderzoeken

Microsoft Defender for Cloud Apps biedt beveiligingsdetecties en waarschuwingen voor schadelijke activiteiten. Het doel van deze handleiding is om u algemene en praktische informatie te bieden over elke waarschuwing, om u te helpen bij uw onderzoeks- en hersteltaken. Deze handleiding bevat algemene informatie over de voorwaarden voor het activeren van waarschuwingen. Het is echter belangrijk om te weten dat afwijkingsdetecties, aangezien anomaliedetecties van nature niet-deterministisch zijn, ze alleen worden geactiveerd wanneer er gedrag is dat afwijkt van de norm. Ten slotte zijn sommige waarschuwingen mogelijk in preview, dus raadpleeg regelmatig de officiële documentatie voor bijgewerkte waarschuwingsstatus.

MITRE ATT&CK

Om de relatie tussen Defender for Cloud Apps waarschuwingen en de vertrouwde MITRE ATT&CK Matrix uit te leggen en gemakkelijker in kaart te brengen, hebben we de waarschuwingen gecategoriseerd op basis van hun bijbehorende MITRE ATT&CK-tactiek. Deze extra verwijzing maakt het gemakkelijker om de verdachte aanvalstechniek te begrijpen die mogelijk wordt gebruikt wanneer een Defender for Cloud Apps-waarschuwing wordt geactiveerd.

Deze handleiding bevat informatie over het onderzoeken en herstellen van Defender for Cloud Apps waarschuwingen in de volgende categorieën.

• Initiële toegang
• Uitvoering
• Persistentie
• Escalatie van bevoegdheden
• Toegang tot referenties
• Verzameling
• Exfiltratie
• Gevolg

Classificaties van beveiligingswaarschuwingen

Na het juiste onderzoek kunnen alle Defender for Cloud Apps waarschuwingen worden geclassificeerd als een van de volgende activiteitstypen:

• Waar positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
• Goedaardig waar positief (B-TP): een waarschuwing bij verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
• Fout-positief (FP): een waarschuwing voor een niet-kwaadaardige activiteit.

Algemene onderzoeksstappen

U moet de volgende algemene richtlijnen gebruiken bij het onderzoeken van elk type waarschuwing om een duidelijker inzicht te krijgen in de mogelijke bedreiging voordat u de aanbevolen actie toepast.

• Controleer de prioriteitsscore voor onderzoek van de gebruiker en vergelijk deze met de rest van de organisatie. Hiermee kunt u bepalen welke gebruikers in uw organisatie het grootste risico vormen.
• Als u een TP identificeert, controleert u alle activiteiten van de gebruiker om inzicht te krijgen in de impact.
• Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk en verken de bron en het bereik van de impact. Bekijk bijvoorbeeld de volgende gebruikersapparaatgegevens en vergelijk met bekende apparaatgegevens:
  • Besturingssysteem en versie
  • Browser en versie
  • IP-adres en locatie

Waarschuwingen voor initiële toegang

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert om in eerste instantie voet aan de grond te krijgen in uw organisatie.

Activiteit van anoniem IP-adres

Beschrijving

Activiteit van een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres door Microsoft Threat Intelligence of door uw organisatie. Deze proxy's kunnen worden gebruikt om het IP-adres van een apparaat te verbergen en kunnen worden gebruikt voor schadelijke activiteiten.

TP, B-TP of FP?

Deze detectie maakt gebruik van een machine learning-algoritme dat B-TP-incidenten vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.

1. TP: als u kunt bevestigen dat de activiteit is uitgevoerd vanaf een anoniem of TOR IP-adres.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. B-TP: als een gebruiker anonieme IP-adressen gebruikt in het bereik van zijn taken. Bijvoorbeeld wanneer een beveiligingsanalist namens de organisatie beveiligings- of penetratietests uitvoert.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

• Bekijk alle gebruikersactiviteiten en waarschuwingen voor andere indicatoren van inbreuk. Als de waarschuwing bijvoorbeeld is gevolgd door een andere verdachte waarschuwing, zoals een ongebruikelijke bestandsdownload (door gebruiker) of een waarschuwing voor het doorsturen van een verdacht postvak IN , geeft dit vaak aan dat een aanvaller probeert gegevens te exfiltreren.

Activiteit uit onregelmatig land

Activiteit van een land/regio die kan duiden op schadelijke activiteit. Dit beleid profileert uw omgeving en activeert waarschuwingen wanneer activiteit wordt gedetecteerd vanaf een locatie die niet recent is geweest of nooit is bezocht door een gebruiker in de organisatie.

Het beleid kan verder worden gericht op een subset van gebruikers of kan gebruikers uitsluiten waarvan bekend is dat ze naar externe locaties reizen.

Leerperiode

Voor het detecteren van afwijkende locaties is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen voor nieuwe locaties niet worden geactiveerd.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie:

   1. De gebruiker onderbreken, het wachtwoord opnieuw instellen en het juiste moment bepalen om het account veilig opnieuw in te schakelen.
   2. Optioneel: maak een playbook met Power Automate om contact op te maken met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties, en hun managers, om hun activiteit te verifiëren.

2. B-TP: als bekend is dat een gebruiker zich op deze locatie bevindt. Bijvoorbeeld wanneer een gebruiker die vaak reist en zich momenteel op de opgegeven locatie bevindt.

   Aanbevolen actie:

   1. Sluit de waarschuwing en wijzig het beleid om de gebruiker uit te sluiten.
   2. Maak een gebruikersgroep voor frequente reizigers, importeer de groep in Defender for Cloud Apps en sluit de gebruikers uit van deze waarschuwing
   3. Optioneel: maak een playbook met Power Automate om contact op te maken met gebruikers die zijn gedetecteerd als verbinding vanaf onregelmatige locaties, en hun managers, om hun activiteit te verifiëren.

Inzicht krijgen in het bereik van de inbreuk

• Controleer welke resource mogelijk is gecompromitteerd, zoals mogelijke gegevensdownloads.

Activiteit van verdachte IP-adressen

Activiteit van een IP-adres dat is geïdentificeerd als riskant door Microsoft Threat Intelligence of door uw organisatie. Deze IP-adressen zijn geïdentificeerd als betrokken bij schadelijke activiteiten, zoals het uitvoeren van wachtwoordspray, botnetopdrachten en -controle (C&C), en kunnen duiden op een gecompromitteerd account.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. B-TP: als bekend is dat een gebruiker het IP-adres gebruikt in het bereik van zijn taken. Bijvoorbeeld wanneer een beveiligingsanalist namens de organisatie beveiligings- of penetratietests uitvoert.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek en zoek naar activiteiten van hetzelfde IP-adres.
2. Bekijk welke resource mogelijk is gecompromitteerd, zoals mogelijke gegevensdownloads of administratieve wijzigingen.
3. Maak een groep voor beveiligingsanalisten die deze waarschuwingen vrijwillig activeert en deze uitsluit van het beleid.

Onmogelijk reizen

Activiteit van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties. Dit kan duiden op een schending van referenties, maar het is ook mogelijk dat de werkelijke locatie van de gebruiker wordt gemaskeerd, bijvoorbeeld met behulp van een VPN.

Als u de nauwkeurigheid en waarschuwing alleen wilt verbeteren wanneer er een sterke indicatie van een schending is, stelt Defender for Cloud Apps een basislijn vast voor elke gebruiker in de organisatie en waarschuwt u alleen wanneer het ongebruikelijke gedrag wordt gedetecteerd. Het onmogelijke reisbeleid kan worden afgestemd op uw behoeften.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Deze detectie maakt gebruik van een machine learning-algoritme dat duidelijke B-TP-voorwaarden negeert, bijvoorbeeld wanneer de IP-adressen aan beide zijden van de reis als veilig worden beschouwd, de reis wordt vertrouwd en uitgesloten van het activeren van de detectie van onmogelijke reizen. Beide zijden worden bijvoorbeeld als veilig beschouwd als ze zijn getagd als zakelijk. Als het IP-adres van slechts één kant van de reis echter als veilig wordt beschouwd, wordt de detectie als normaal geactiveerd.

1. TP: als u kunt bevestigen dat de locatie in de onmogelijke reiswaarschuwing onwaarschijnlijk is voor de gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (Niet-gedetecteerde gebruikersreizen): als u kunt bevestigen dat de gebruiker onlangs is gereisd naar de bestemming die wordt vermeld in de waarschuwing. Als bijvoorbeeld de telefoon van een gebruiker in de vliegtuigstand verbonden blijft met services zoals Exchange Online op uw bedrijfsnetwerk terwijl u naar een andere locatie reist. Wanneer de gebruiker op de nieuwe locatie aankomt, maakt de telefoon verbinding met Exchange Online wordt de onmogelijke reiswaarschuwing geactiveerd.

   Aanbevolen actie: sluit de waarschuwing.

3. FP (Untagged VPN): als u kunt bevestigen dat het IP-adresbereik afkomstig is van een goedgekeurde VPN.

   Aanbevolen actie: Sluit de waarschuwing en voeg het IP-adresbereik van de VPN toe aan Defender for Cloud Apps en gebruik deze vervolgens om het IP-adresbereik van het VPN te taggen.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek om inzicht te krijgen in vergelijkbare activiteiten op dezelfde locatie en hetzelfde IP-adres.
2. Als u ziet dat de gebruiker andere riskante activiteiten heeft uitgevoerd, zoals het downloaden van een grote hoeveelheid bestanden vanaf een nieuwe locatie, zou dit een sterke indicatie zijn van een mogelijke inbreuk.
3. Voeg zakelijke VPN's en IP-adresbereiken toe.
4. Maak een playbook met Behulp van Power Automate en neem contact op met de manager van de gebruiker om te zien of de gebruiker legitiem onderweg is.
5. Overweeg om een bekende reizigersdatabase te maken voor maximaal de minuut organisatorische reisrapportage en gebruik deze om reisactiviteiten kruislings te raadplegen.

Misleidende naam van OAuth-app

Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te verbergen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de app een misleidende naam heeft.

   Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren.

Als u de toegang tot de app wilt verbieden, selecteert u op het tabblad Google of Salesforce op de pagina App-beheer in de rij waarin de app die u wilt verbieden, het pictogram Verbieden. - U kunt kiezen of u gebruikers wilt vertellen dat de app die ze hebben geïnstalleerd en geautoriseerd, is verboden. De melding laat gebruikers weten dat de app is uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u Gebruikers waarschuwen die toegang hebben verleend tot deze verboden app uit in het dialoogvenster. - Het is raadzaam dat u de app-gebruikers laat weten dat hun app op het punt staat te worden gebruikt.

1. FP: Als u wilt bevestigen dat de app een misleidende naam heeft, maar een legitiem zakelijk gebruik in de organisatie heeft.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht in het bereik van de schending

• Volg de zelfstudie over het onderzoeken van riskante OAuth-apps.

Misleidende uitgevernaam voor een OAuth-app

Deze detectie identificeert apps met tekens, zoals refererende letters, die lijken op Latijnse letters. Dit kan duiden op een poging om een schadelijke app te verbergen als een bekende en vertrouwde app, zodat aanvallers gebruikers kunnen misleiden om hun schadelijke app te downloaden.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de app een misleidende uitgeversnaam heeft.

   Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren.

2. FP: als u wilt bevestigen dat de app een misleidende uitgeversnaam heeft, maar een legitieme uitgever is.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Selecteer op de tabbladen Google of Salesforce op de pagina App-beheer de app om de app-lade te openen en selecteer vervolgens Gerelateerde activiteit. Hiermee opent u de pagina Activiteitenlogboek gefilterd op activiteiten die door de app worden uitgevoerd. Houd er rekening mee dat sommige apps activiteiten uitvoeren die zijn geregistreerd als uitgevoerd door een gebruiker. Deze activiteiten worden automatisch gefilterd uit de resultaten in het activiteitenlogboek. Zie Activiteitenlogboek voor verder onderzoek met behulp van het activiteitenlogboek.
2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en uitgever van de app in verschillende app-stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
   • Apps met een laag aantal downloads.
   • Apps met een lage beoordeling of score of slechte opmerkingen.
   • Apps met een verdachte uitgever of website.
   • Apps die niet recent zijn bijgewerkt. Dit kan duiden op een app die niet meer wordt ondersteund.
   • Apps met irrelevante machtigingen. Dit kan erop wijzen dat een app riskant is.
3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de naam, uitgever en URL van de app online onderzoeken.

Uitvoeringswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk schadelijke code probeert uit te voeren in uw organisatie.

Meerdere opslagverwijderingsactiviteiten

Activiteiten in één sessie die aangeven dat een gebruiker een ongebruikelijk aantal cloudopslag- of databaseverwijderingen heeft uitgevoerd uit resources zoals Azure-blobs, AWS S3-buckets of Cosmos DB in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot inbreuk op uw organisatie.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u wilt bevestigen dat de verwijderingen niet zijn toegestaan.

   Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk en verken het bereik van de impact.

2. FP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd was om deze verwijderingsactiviteiten uit te voeren.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Neem contact op met de gebruiker en bevestig de activiteit.
2. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en bekijk wie de wijziging heeft aangebracht.
3. Controleer de activiteiten van die gebruiker op wijzigingen in andere services.

Meerdere VM-activiteiten maken

Activiteiten in één sessie die aangeven dat een gebruiker een ongebruikelijk aantal bewerkingen voor het maken van vm's heeft uitgevoerd in vergelijking met de geleerde basislijn. Meerdere VM's maken op een geschonden cloudinfrastructuur kunnen duiden op een poging om crypto-mijnbouwbewerkingen uit te voeren vanuit uw organisatie.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, stelt deze detectie een basislijn vast voor elke omgeving in de organisatie om B-TP-incidenten te verminderen, zoals een beheerder die op legitieme wijze meer VM's heeft gemaakt dan de vastgestelde basislijn, en alleen een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

• TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.

  Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk en verken het bereik van de impact. Neem bovendien contact op met de gebruiker, bevestig de legitieme acties en zorg ervoor dat u eventuele gecompromitteerde VM's uitschakelt of verwijdert.

• B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd was om deze activiteiten te maken.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk.
2. Controleer de resources die door de gebruiker zijn gemaakt of gewijzigd en controleer of ze voldoen aan het beleid van uw organisatie.

Verdachte activiteiten voor het maken van cloudregio's (preview)

Activiteiten die aangeven dat een gebruiker een ongebruikelijke actie voor het maken van resources heeft uitgevoerd in een ongebruikelijke AWS-regio in vergelijking met de geleerde basislijn. Het maken van resources in ongebruikelijke cloudregio's kan duiden op een poging om een schadelijke activiteit uit te voeren, zoals crypto-mijnbouwbewerkingen vanuit uw organisatie.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, stelt deze detectie een basislijn vast voor elke omgeving in de organisatie om B-TP-incidenten te verminderen.

• TP: Als u kunt bevestigen dat de aanmaakactiviteiten niet zijn uitgevoerd door een legitieme gebruiker.

  Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk en verken het bereik van de impact. Neem daarnaast contact op met de gebruiker, bevestig de legitieme acties en zorg ervoor dat u eventuele gecompromitteerde cloudresources uitschakelt of verwijdert.

• B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd was om deze activiteiten te maken.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk.
2. Controleer de resources die zijn gemaakt en controleer of ze voldoen aan het beleid van uw organisatie.

Persistentiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert voet aan de grond te houden in uw organisatie.

Activiteit uitgevoerd door beëindigde gebruiker

Activiteit die wordt uitgevoerd door een beëindigde gebruiker kan erop wijzen dat een beëindigde werknemer die nog steeds toegang heeft tot bedrijfsresources, een schadelijke activiteit probeert uit te voeren. Defender for Cloud Apps gebruikers in de organisatie profileert en een waarschuwing activeert wanneer een beëindigde gebruiker een activiteit uitvoert.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de beëindigde gebruiker nog steeds toegang heeft tot bepaalde bedrijfsresources en activiteiten uitvoert.

   Aanbevolen actie: de gebruiker uitschakelen.

2. B-TP: als u kunt vaststellen dat de gebruiker tijdelijk is uitgeschakeld of is verwijderd en opnieuw is geregistreerd.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Verwijs naar HR-records om te bevestigen dat de gebruiker is beëindigd.
2. Valideer het bestaan van het Microsoft Entra gebruikersaccount.

   Opmerking

   Als u Microsoft Entra Connect gebruikt, valideert u het on-premises Active Directory-object en bevestigt u een geslaagde synchronisatiecyclus.

3. Identificeer alle apps waartoe de beëindigde gebruiker toegang had en de accounts buiten gebruik stellen.
4. Uit bedrijf nemen procedures bijwerken.

Verdachte wijziging van cloudTrail-logboekregistratieservice

Activiteiten in één sessie die aangeven dat een gebruiker verdachte wijzigingen heeft uitgevoerd in de AWS CloudTrail-logboekregistratieservice. Dit kan duiden op een poging tot inbreuk op uw organisatie. Bij het uitschakelen van CloudTrail worden operationele wijzigingen niet meer vastgelegd. Een aanvaller kan schadelijke activiteiten uitvoeren terwijl een CloudTrail-auditgebeurtenis wordt vermeden, zoals het wijzigen van een S3-bucket van privé naar openbaar.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, het wachtwoord opnieuw instellen en de CloudTrail-activiteit omkeren.

2. FP: Als u kunt bevestigen dat de gebruiker de CloudTrail-service legitiem heeft uitgeschakeld.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk en bekijk wie de wijziging in de CloudTrail-service heeft aangebracht.
2. Optioneel: maak een playbook met Power Automate om contact op te leggen met gebruikers en hun managers om hun activiteiten te verifiëren.

Verdachte e-mailverwijderingsactiviteit (per gebruiker)

Activiteiten in één sessie die aangeven dat een gebruiker verdachte e-mailverwijderingen heeft uitgevoerd. Het verwijderingstype was het type 'hard delete', waardoor het e-mailitem is verwijderd en niet beschikbaar is in het postvak van de gebruiker. De verwijdering is gemaakt vanuit een verbinding die ongebruikelijke voorkeuren bevat, zoals internetprovider, land/regio en gebruikersagent. Dit kan duiden op een poging tot inbreuk op uw organisatie, zoals aanvallers die bewerkingen proberen te maskeren door e-mailberichten met betrekking tot spamactiviteiten te verwijderen.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP: Als u kunt bevestigen dat de gebruiker op legitieme wijze een regel heeft gemaakt om berichten te verwijderen.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

• Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk, zoals de waarschuwing Verdacht doorsturen van Postvak IN , gevolgd door een waarschuwing onmogelijk reizen . Zoeken:

  1. Nieuwe regels voor SMTP-doorsturen, als volgt:
     • Controleer op schadelijke doorstuurregelnamen. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbare '.'. Namen van doorstuurregels kunnen zelfs leeg zijn en de ontvanger van het doorsturen kan één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit handige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
     • Als u een niet-herkende doorstuurregel naar een onbekend intern of extern e-mailadres detecteert, kunt u ervan uitgaan dat het postvak IN-account is gecompromitteerd.
  2. Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of regels met obscure naamconventies, bijvoorbeeld '...'.
  3. Een toename van het aantal verzonden e-mailberichten.

Verdachte regel voor manipulatie van Postvak IN

Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het verwijderen of verplaatsen van berichten of mappen, uit het Postvak IN van een gebruiker, kunnen een poging zijn om gegevens van uw organisatie te exfiltreren. Op dezelfde manier kunnen ze wijzen op een poging om informatie te manipuleren die een gebruiker ziet of om hun Postvak IN te gebruiken om spam, phishing-e-mails of malware te distribueren. Defender for Cloud Apps profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is gecompromitteerd.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat er een schadelijke regel voor Postvak IN is gemaakt en dat het account is gecompromitteerd.

   Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en de regel voor doorsturen verwijderen.

2. FP: als u kunt bevestigen dat een gebruiker de regel legitiem heeft gemaakt.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk, zoals de waarschuwing Verdacht doorsturen van Postvak IN , gevolgd door een waarschuwing onmogelijk reizen . Zoeken:
   • Nieuwe regels voor SMTP-doorsturen.
   • Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of regels met obscure naamconventies, bijvoorbeeld '...'.
2. Verzamel IP-adres- en locatiegegevens voor de actie.
3. Bekijk activiteiten die zijn uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.

Waarschuwingen voor escalatie van bevoegdheden

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert machtigingen op een hoger niveau in uw organisatie te verkrijgen.

Ongebruikelijke beheeractiviteit (per gebruiker)

Activiteiten die aangeven dat een aanvaller een gebruikersaccount heeft gecompromitteerd en beheeracties heeft uitgevoerd die niet gebruikelijk zijn voor die gebruiker. Een aanvaller kan bijvoorbeeld proberen een beveiligingsinstelling voor een gebruiker te wijzigen, een bewerking die relatief zeldzaam is voor een algemene gebruiker. Defender for Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme beheerder.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP: als u kunt bevestigen dat een beheerder het ongebruikelijke volume aan beheeractiviteiten rechtmatig heeft uitgevoerd.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk, zoals Verdacht doorsturen van postvak IN of Onmogelijk reizen.
2. Bekijk andere configuratiewijzigingen, zoals het maken van een gebruikersaccount dat kan worden gebruikt voor persistentie.

Waarschuwingen voor toegang tot referenties

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert accountnamen en wachtwoorden van uw organisatie te stelen.

Meerdere mislukte aanmeldingspogingen

Mislukte aanmeldingspogingen kunnen duiden op een poging om een account te schenden. Mislukte aanmeldingen kunnen echter ook normaal gedrag zijn. Bijvoorbeeld wanneer een gebruiker per ongeluk een verkeerd wachtwoord heeft ingevoerd. Als u alleen nauwkeurigheid en waarschuwingen wilt bereiken wanneer er een sterke indicatie is van een poging tot inbreuk, stelt Defender for Cloud Apps een basislijn vast van aanmeldingsgewoonten voor elke gebruiker in de organisatie en waarschuwt u alleen wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

Dit beleid is gebaseerd op het leren van het normale aanmeldingsgedrag van een gebruiker. Wanneer een afwijking van de norm wordt gedetecteerd, wordt er een waarschuwing geactiveerd. Als de detectie begint te zien dat hetzelfde gedrag zich blijft voordoen, wordt de waarschuwing slechts eenmaal weergegeven.

1. TP (MFA mislukt): als u kunt controleren of MFA correct werkt, kan dit een teken zijn van een poging tot een brute force-aanval.

   Aanbevolen acties:

   1. De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.
   2. Zoek de app die de mislukte verificaties heeft uitgevoerd en configureer deze opnieuw.
   3. Zoek naar andere gebruikers die zijn aangemeld rond het moment van de activiteit, omdat ze mogelijk ook zijn gecompromitteerd. De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. B-TP (MFA mislukt): als u kunt bevestigen dat de waarschuwing wordt veroorzaakt door een probleem met MFA.

   Aanbevolen actie: Maak een playbook met Power Automate om contact op te nemen met de gebruiker en te controleren of deze problemen ondervindt met MFA.

3. B-TP (onjuist geconfigureerde app): als u kunt bevestigen dat een verkeerd geconfigureerde app meerdere keren probeert verbinding te maken met een service met verlopen referenties.

   Aanbevolen actie: sluit de waarschuwing.

4. B-TP (wachtwoord gewijzigd): als u kunt bevestigen dat een gebruiker onlangs het wachtwoord heeft gewijzigd, maar dit geen invloed heeft op referenties in netwerkshares.

   Aanbevolen actie: sluit de waarschuwing.

5. B-TP (beveiligingstest): als u kunt bevestigen dat een beveiligings- of penetratietest wordt uitgevoerd door beveiligingsanalisten namens de organisatie.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk, zoals de waarschuwing wordt gevolgd door een van de volgende waarschuwingen: Onmogelijk reizen, Activiteit van anoniem IP-adres of Activiteit uit een onregelmatig land.
2. Controleer de volgende gebruikersapparaatgegevens en vergelijk met bekende apparaatgegevens:
   • Besturingssysteem en versie
   • Browser en versie
   • IP-adres en locatie
3. Identificeer het bron-IP-adres of de locatie waar de verificatiepoging heeft plaatsgevonden.
4. Bepaal of de gebruiker onlangs het wachtwoord heeft gewijzigd en zorg ervoor dat alle apps en apparaten het bijgewerkte wachtwoord hebben.

Ongebruikelijke toevoeging van referenties aan een OAuth-app

Deze detectie identificeert de verdachte toevoeging van bevoegde referenties aan een OAuth-app. Dit kan erop wijzen dat een aanvaller de app heeft gehackt en deze gebruikt voor schadelijke activiteiten.

Leerperiode

Het leren van de omgeving van uw organisatie vereist een periode van zeven dagen waarin u mogelijk een groot aantal waarschuwingen verwacht.

Ongebruikelijke internetprovider voor een OAuth-app

De detectie identificeert een OAuth-app die verbinding maakt met uw cloudtoepassing vanuit een internetprovider die ongebruikelijk is voor de app. Dit kan erop wijzen dat een aanvaller heeft geprobeerd een legitieme gecompromitteerde app te gebruiken om schadelijke activiteiten uit te voeren op uw cloudtoepassingen.

Leerperiode

De leerperiode voor deze detectie is 30 dagen.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit geen legitieme activiteit van de OAuth-app was of dat deze internetprovider niet wordt gebruikt door de legitieme OAuth-app.

   Aanbevolen actie: trek alle toegangstokens van de OAuth-app in en onderzoek of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.

2. FP: Als u kunt bevestigen dat de activiteit legitiem is uitgevoerd door de legitieme OAuth-app.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de activiteiten die door de OAuth-app worden uitgevoerd.

2. Onderzoek of een aanvaller toegang heeft tot het genereren van OAuth-toegangstokens.

Verzamelingswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te verzamelen die interessant zijn voor hun doel van uw organisatie.

Meerdere activiteiten voor het delen van Power BI-rapporten

Activiteiten in één sessie die aangeven dat een gebruiker een ongebruikelijk aantal rapportactiviteiten heeft uitgevoerd in Power BI in vergelijking met de geleerde basislijn. Dit kan duiden op een poging tot inbreuk op uw organisatie.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: Toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gehackt, kunt u de gebruiker onderbreken, de gebruiker markeren als gehackt en het wachtwoord opnieuw instellen.

2. FP: als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek voor een beter inzicht in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van waaruit ze zijn aangemeld en de details van het apparaat.
2. Neem contact op met uw Power BI-team of Information Protection team om de richtlijnen voor het intern en extern delen van rapporten te begrijpen.

Verdacht delen van Power BI-rapporten

Activiteiten die aangeven dat een gebruiker een Power BI-rapport heeft gedeeld dat mogelijk gevoelige informatie bevat die is geïdentificeerd met BEHULP van NLP om de metagegevens van het rapport te analyseren. Het rapport is gedeeld met een extern e-mailadres, gepubliceerd op internet of er is een momentopname bezorgd op een extern geabonneerd e-mailadres. Dit kan duiden op een poging tot inbreuk op uw organisatie.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: Toegang tot delen verwijderen uit Power BI. Als u kunt bevestigen dat het account is gehackt, kunt u de gebruiker onderbreken, de gebruiker markeren als gehackt en het wachtwoord opnieuw instellen.

2. FP: Als u kunt bevestigen dat de gebruiker een zakelijke reden had om deze rapporten te delen.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek voor een beter inzicht in andere activiteiten die door de gebruiker worden uitgevoerd. Bekijk het IP-adres van waaruit ze zijn aangemeld en de details van het apparaat.
2. Neem contact op met uw Power BI-team of Information Protection team om de richtlijnen voor het intern en extern delen van rapporten te begrijpen.

Ongebruikelijke geïmiteerde activiteit (door gebruiker)

In sommige software zijn er opties waarmee andere gebruikers andere gebruikers kunnen imiteren. Met e-mailservices kunnen gebruikers bijvoorbeeld andere gebruikers machtigen om namens hen e-mail te verzenden. Deze activiteit wordt vaak gebruikt door aanvallers om phishing-e-mailberichten te maken in een poging om informatie over uw organisatie te extraheren. Defender for Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en maakt een activiteit wanneer een ongebruikelijke imitatieactiviteit wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

3. FP: Als u kunt bevestigen dat apps, zoals Teams, de gebruiker legitiem hebben geïmiteerd.

   Aanbevolen actie: controleer de acties en sluit de waarschuwing zo nodig.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle gebruikersactiviteiten en waarschuwingen voor aanvullende indicatoren van inbreuk.
2. Bekijk de imitatieactiviteiten om mogelijke schadelijke activiteiten te identificeren.
3. Controleer de configuratie van gedelegeerde toegang.

Exfiltratiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens van uw organisatie te stelen.

Verdacht doorsturen van postvak IN

Activiteiten die aangeven dat een aanvaller toegang heeft gekregen tot het Postvak IN van een gebruiker en een verdachte regel heeft gemaakt. Manipulatieregels, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount, kunnen een poging zijn om gegevens van uw organisatie te exfiltreren. Defender for Cloud Apps profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor postvak IN worden gedetecteerd in het Postvak IN van een gebruiker. Dit kan erop wijzen dat het account van de gebruiker is gecompromitteerd.

TP, B-TP of FP?

1. TP: Als u kunt bevestigen dat er een schadelijke regel voor het doorsturen van postvak IN is gemaakt en dat het account is gecompromitteerd.

   Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en de regel voor doorsturen verwijderen.

2. FP: als u kunt bevestigen dat de gebruiker om legitieme redenen een doorstuurregel naar een nieuw of persoonlijk extern e-mailaccount heeft gemaakt.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle gebruikersactiviteiten op aanvullende indicatoren van inbreuk, zoals de waarschuwing wordt gevolgd door een Impossible Travel-waarschuwing . Zoeken:

   1. Nieuwe regels voor SMTP-doorsturen, als volgt:
      • Controleer op schadelijke doorstuurregelnamen. Regelnamen kunnen variëren van eenvoudige namen, zoals 'Alle e-mailberichten doorsturen' en 'Automatisch doorsturen', of misleidende namen, zoals een nauwelijks zichtbare '.'. Namen van doorstuurregels kunnen zelfs leeg zijn en de ontvanger van het doorsturen kan één e-mailaccount of een hele lijst zijn. Schadelijke regels kunnen ook worden verborgen in de gebruikersinterface. Zodra dit is gedetecteerd, kunt u dit handige blogbericht gebruiken over het verwijderen van verborgen regels uit postvakken.
      • Als u een niet-herkende doorstuurregel naar een onbekend intern of extern e-mailadres detecteert, kunt u ervan uitgaan dat het postvak IN-account is gecompromitteerd.
   2. Nieuwe regels voor Postvak IN, zoals 'alles verwijderen', 'berichten verplaatsen naar een andere map' of regels met obscure naamconventies, bijvoorbeeld '...'.

2. Bekijk activiteiten die zijn uitgevoerd op basis van het IP-adres dat wordt gebruikt om de regel te maken om andere gecompromitteerde gebruikers te detecteren.

3. Bekijk de lijst met doorgestuurde berichten met behulp van Exchange Online berichttracering.

Ongebruikelijke bestandsdownload (door gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandsdownloads heeft uitgevoerd vanaf een cloudopslagplatform in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie te verkrijgen. Defender for Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker meer activiteiten voor het downloaden van bestanden heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

3. FP (Softwaresynchronisatie): als u kunt bevestigen dat software, zoals OneDrive, is gesynchroniseerd met een externe back-up die de waarschuwing heeft veroorzaakt.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk de downloadactiviteiten en maak een lijst met gedownloade bestanden.
2. Controleer de gevoeligheid van de gedownloade bestanden met de resource-eigenaar en valideer het toegangsniveau.

Ongebruikelijke bestandstoegang (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal bestandstoegangen in SharePoint of OneDrive heeft uitgevoerd tot bestanden die financiële gegevens of netwerkgegevens bevatten in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie te verkrijgen, voor financiële doeleinden of voor toegang tot referenties en laterale verplaatsingen. Defender for Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

De leerperiode is afhankelijk van de activiteit van de gebruiker. Over het algemeen ligt de leerperiode tussen 21 en 45 dagen voor de meeste gebruikers.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker op legitieme wijze meer bestandstoegangsactiviteiten heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk de toegangsactiviteiten en maak een lijst met geopende bestanden.
2. Controleer de gevoeligheid van de geopende bestanden met de resource-eigenaar en valideer het toegangsniveau.

Ongebruikelijke activiteit van bestandsshares (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijk aantal acties voor het delen van bestanden heeft uitgevoerd vanaf een cloudopslagplatform in vergelijking met de geleerde basislijn. Dit kan duiden op een poging om informatie over de organisatie te verkrijgen. Defender for Cloud Apps maakt een basislijn op basis van het gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker meer activiteiten voor het delen van bestanden heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk de activiteiten voor delen en maak een lijst met gedeelde bestanden.
2. Controleer de gevoeligheid van de gedeelde bestanden met de resource-eigenaar en valideer het toegangsniveau.
3. Maak een bestandsbeleid voor vergelijkbare documenten om toekomstige delen van gevoelige bestanden te detecteren.

Impactwaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert uw systemen en gegevens in uw organisatie te manipuleren, onderbreken of vernietigen.

Meerdere VM-activiteiten verwijderen

Activiteiten in één sessie die aangeven dat een gebruiker een ongebruikelijk aantal VM-verwijderingen heeft uitgevoerd in vergelijking met de geleerde basislijn. Meerdere VM-verwijderingen kunnen duiden op een poging om een omgeving te verstoren of te vernietigen. Er zijn echter veel normale scenario's waarin VM's worden verwijderd.

TP, B-TP of FP?

Om de nauwkeurigheid en waarschuwing alleen te verbeteren wanneer er een sterke indicatie van een schending is, stelt deze detectie een basislijn vast voor elke omgeving in de organisatie om B-TP-incidenten te verminderen en wordt alleen gewaarschuwd wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

• TP: als u kunt bevestigen dat de verwijderingen niet zijn toegestaan.

  Aanbevolen actie: de gebruiker onderbreken, het wachtwoord opnieuw instellen en alle apparaten scannen op schadelijke bedreigingen. Controleer alle gebruikersactiviteiten op andere indicatoren van inbreuk en verken het bereik van de impact.

• B-TP: Als u na uw onderzoek kunt bevestigen dat de beheerder gemachtigd was om deze verwijderingsactiviteiten uit te voeren.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Neem contact op met de gebruiker en bevestig de activiteit.
2. Controleer alle gebruikersactiviteiten op aanvullende indicatoren van inbreuk, zoals de waarschuwing wordt gevolgd door een van de volgende waarschuwingen: Onmogelijk reizen, Activiteit van anoniem IP-adres of Activiteit uit een onregelmatig land.

Ransomware-activiteit

Ransomware is een cyberaanval waarbij een aanvaller slachtoffers van hun apparaten vergrendelt of hen blokkeert van toegang tot hun bestanden totdat het slachtoffer losgeld betaalt. Ransomware kan worden verspreid door een schadelijk gedeeld bestand of een gecompromitteerd netwerk. Defender for Cloud Apps maakt gebruik van expertise op het gebied van beveiligingsonderzoek, bedreigingsinformatie en geleerde gedragspatronen om ransomware-activiteiten te identificeren. Een hoge snelheid van bestandsuploads, of verwijderingen van bestanden, kan bijvoorbeeld een versleutelingsproces vertegenwoordigen dat vaak voorkomt bij ransomware-bewerkingen.

Met deze detectie wordt een basislijn vastgesteld van de normale werkpatronen van elke gebruiker in uw organisatie, zoals wanneer de gebruiker toegang heeft tot de cloud en wat ze gewoonlijk doen in de cloud.

Het Defender for Cloud Apps geautomatiseerde beleidsregels voor bedreigingsdetectie worden op de achtergrond uitgevoerd vanaf het moment dat u verbinding maakt. Met behulp van onze expertise op het gebied van beveiligingsonderzoek om gedragspatronen te identificeren die de ransomware-activiteit in onze organisatie weerspiegelen, biedt Defender for Cloud Apps uitgebreide dekking tegen geavanceerde ransomware-aanvallen.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet door de gebruiker is uitgevoerd.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP (ongebruikelijk gedrag): de gebruiker heeft op legitieme wijze meerdere verwijderings- en uploadactiviteiten van vergelijkbare bestanden uitgevoerd in een korte periode.

   Aanbevolen actie: nadat u het activiteitenlogboek hebt bekeken en hebt bevestigd dat de bestandsextensies niet verdacht zijn, sluit u de waarschuwing.

3. FP (Algemene ransomware-bestandsextensie): Als u kunt bevestigen dat de extensies van de betrokken bestanden een overeenkomst zijn voor een bekende ransomware-extensie.

   Aanbevolen actie: Neem contact op met de gebruiker en controleer of de bestanden veilig zijn en sluit vervolgens de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk het activiteitenlogboek voor andere indicatoren van inbreuk, zoals het massaal downloaden of het massaal verwijderen van bestanden.
2. Als u Microsoft Defender voor Eindpunt gebruikt, controleert u de computerwaarschuwingen van de gebruiker om te zien of er schadelijke bestanden zijn gedetecteerd.
3. Zoek in het activiteitenlogboek naar activiteiten voor het uploaden en delen van schadelijke bestanden.

Ongebruikelijke bestandsverwijderingsactiviteit (per gebruiker)

Activiteiten die aangeven dat een gebruiker een ongebruikelijke bestandsverwijderingsactiviteit heeft uitgevoerd in vergelijking met de geleerde basislijn. Dit kan duiden op ransomware-aanval. Een aanvaller kan bijvoorbeeld de bestanden van een gebruiker versleutelen en alle originelen verwijderen, waardoor alleen de versleutelde versies overblijven die kunnen worden gebruikt om het slachtoffer te laten betalen. Defender for Cloud Apps maakt een basislijn op basis van het normale gedrag van de gebruiker en activeert een waarschuwing wanneer het ongebruikelijke gedrag wordt gedetecteerd.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist waarin waarschuwingen niet worden geactiveerd voor nieuwe locaties.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteit niet is uitgevoerd door een legitieme gebruiker.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. FP: als u kunt bevestigen dat de gebruiker meer activiteiten voor bestandsverwijdering heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk de verwijderingsactiviteiten en maak een lijst met verwijderde bestanden. Herstel indien nodig de verwijderde bestanden.
2. U kunt eventueel een playbook maken met Power Automate om contact op te leggen met gebruikers en hun managers om de activiteit te verifiëren.

Prioriteitsscore voor onderzoek verhogen (preview)

Afwijkende activiteiten en activiteiten die waarschuwingen hebben geactiveerd, krijgen scores op basis van ernst, gebruikersimpact en gedragsanalyse van de gebruiker. De analyse wordt uitgevoerd op basis van andere gebruikers in de tenants.

Wanneer er een significante en afwijkende toename is in de onderzoeksprioriteitsscore van een bepaalde gebruiker, wordt de waarschuwing geactiveerd.

Met deze waarschuwing kunt u potentiële schendingen detecteren die worden gekenmerkt door activiteiten die niet noodzakelijkerwijs specifieke waarschuwingen activeren, maar zich opstapelen tot een verdacht gedrag voor de gebruiker.

Leerperiode

Voor het instellen van het activiteitenpatroon van een nieuwe gebruiker is een initiële leerperiode van zeven dagen vereist, waarin waarschuwingen niet worden geactiveerd voor een scoreverhoging.

TP, B-TP of FP?

1. TP: als u kunt bevestigen dat de activiteiten van de gebruiker niet legitiem zijn.

   Aanbevolen actie: De gebruiker onderbreken, de gebruiker markeren als gehackt en hun wachtwoord opnieuw instellen.

2. B-TP: Als u kunt bevestigen dat de gebruiker inderdaad aanzienlijk is afgeweken van normaal gedrag, maar er geen potentiële inbreuk is.

3. FP (ongebruikelijk gedrag): als u kunt bevestigen dat de gebruiker de ongebruikelijke activiteiten of meer activiteiten heeft uitgevoerd dan de vastgestelde basislijn.

   Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle gebruikersactiviteiten en waarschuwingen voor aanvullende indicatoren van inbreuk.

Tijdlijn voor afschaffing

De waarschuwing voor het verhogen van de prioriteitsscore voor onderzoek vanaf Microsoft Defender for Cloud Apps in augustus 2024 wordt geleidelijk buiten gebruik gesteld.

Na zorgvuldige analyse en overweging hebben we besloten deze af te sluiten vanwege het hoge aantal fout-positieven dat is gekoppeld aan deze waarschuwing, waarvan we hebben vastgesteld dat deze niet effectief heeft bijgedragen aan de algehele beveiliging van uw organisatie.

Uit ons onderzoek bleek dat deze functie geen significante waarde toevoegde en niet in overeenstemming was met onze strategische focus op het leveren van hoogwaardige, betrouwbare beveiligingsoplossingen.

We zetten ons in om onze services continu te verbeteren en ervoor te zorgen dat ze voldoen aan uw behoeften en verwachtingen.

Voor degenen die deze waarschuwing willen blijven gebruiken, raden we aan in plaats daarvan de volgende geavanceerde opsporingsquery te gebruiken als een voorgestelde sjabloon. Wijzig de query op basis van uw behoeften.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Zie ook

Riskante gebruikers onderzoeken