Tworzenie zasad wykrywania anomalii Defender for Cloud Apps

Zasady wykrywania anomalii Microsoft Defender for Cloud Apps zapewniają gotowe do użycia analizy behawioralne użytkowników i jednostek (UEBA) oraz uczenie maszynowe (ML), dzięki czemu od samego początku możesz przystąpić do zaawansowanego wykrywania zagrożeń w środowisku chmury. Ponieważ są one automatycznie włączone, nowe zasady wykrywania anomalii natychmiast rozpoczynają proces wykrywania i sortowania wyników, ukierunkowania na liczne anomalie behawioralne dla użytkowników oraz maszyn i urządzeń połączonych z siecią. Ponadto zasady uwidaczniają więcej danych z aparatu wykrywania Defender for Cloud Apps, aby przyspieszyć proces badania i powstrzymać bieżące zagrożenia.

Zasady wykrywania anomalii są automatycznie włączone, ale Defender for Cloud Apps ma początkowy okres nauki wynoszący siedem dni, podczas którego nie są zgłaszane wszystkie alerty wykrywania anomalii. Następnie, gdy dane są zbierane ze skonfigurowanych łączników interfejsu API, każda sesja jest porównywana z działaniem, gdy użytkownicy byli aktywni, adresami IP, urządzeniami itd., wykrytymi w ciągu ostatniego miesiąca i oceną ryzyka tych działań. Należy pamiętać, że udostępnienie danych z łączników interfejsu API może potrwać kilka godzin. Te wykrycia są częścią aparatu wykrywania anomalii heurystycznej, który profiluje środowisko i wyzwala alerty w odniesieniu do punktu odniesienia, który został poznany na temat działania organizacji. Te wykrywania używają również algorytmów uczenia maszynowego zaprojektowanych do profilowania użytkowników i logowania wzorzec w celu zmniejszenia liczby wyników fałszywie dodatnich.

Anomalie są wykrywane przez skanowanie aktywności użytkownika. Ryzyko ocenia się, analizując ponad 30 różnych wskaźników ryzyka pogrupowanych w czynniki ryzyka w następujący sposób:

• Ryzykowny adres IP
• Błędy logowania
• działanie Administracja
• Nieaktywne konta
• Lokalizacja
• Niemożliwa podróż
• Agent urządzenia i użytkownika
• Wskaźnik aktywności

Na podstawie wyników zasad wyzwalane są alerty zabezpieczeń. Defender for Cloud Apps sprawdza każdą sesję użytkownika w chmurze i wysyła alerty, gdy coś się stanie, co różni się od planu bazowego organizacji lub regularnej aktywności użytkownika.

Oprócz alertów natywnych Defender for Cloud Apps otrzymasz również następujące alerty wykrywania na podstawie informacji otrzymanych z Ochrona tożsamości Microsoft Entra:

• Ujawnione poświadczenia: wyzwalane, gdy wyciekły prawidłowe poświadczenia użytkownika. Aby uzyskać więcej informacji, zobacz wykrywanie poświadczeń wycieku Tożsamość Microsoft Entra.
• Ryzykowne logowanie: łączy wiele Ochrona tożsamości Microsoft Entra wykrywania logowania w pojedyncze wykrywanie. Aby uzyskać więcej informacji, zobacz wykrywanie ryzyka logowania Tożsamość Microsoft Entra.

Te zasady zostaną wyświetlone na stronie zasad Defender for Cloud Apps i można je włączyć lub wyłączyć.

Zasady wykrywania anomalii

Zasady wykrywania anomalii można wyświetlić w portalu Microsoft Defender, przechodząc do pozycji Cloud Apps ->Policies ->Policy management. Następnie wybierz pozycję Zasady wykrywania anomalii dla typu zasad.

Dostępne są następujące zasady wykrywania anomalii:

Niemożliwa podróż

• • To wykrywanie identyfikuje dwa działania użytkownika (w jednej lub wielu sesjach) pochodzące z geograficznie odległych lokalizacji w okresie krótszym niż czas, który zajęłoby użytkownikowi podróż z pierwszej lokalizacji do drugiej, co wskazuje, że inny użytkownik używa tych samych poświadczeń. To wykrywanie używa algorytmu uczenia maszynowego, który ignoruje oczywiste "wyniki fałszywie dodatnie" przyczyniające się do niemożliwego warunku podróży, takiego jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. Wykrywanie ma początkowy okres nauki wynoszący siedem dni, podczas którego uczy się wzorca aktywności nowego użytkownika. Niemożliwe wykrywanie podróży identyfikuje nietypową i niemożliwą aktywność użytkownika między dwiema lokalizacjami. Działanie powinno być na tyle nietypowe, aby można je było uznać za wskaźnik kompromisu i godne alertu. Aby to działało, logika wykrywania obejmuje różne poziomy pomijania w celu rozwiązania scenariuszy, które mogą wyzwalać wyniki fałszywie dodatnie, takie jak działania sieci VPN lub działania dostawców usług w chmurze, które nie wskazują lokalizacji fizycznej. Suwak poufności umożliwia wpływ na algorytm i zdefiniowanie ścisłej logiki wykrywania. Im wyższy poziom poufności, tym mniej działań zostanie pominiętych w ramach logiki wykrywania. W ten sposób można dostosować wykrywanie zgodnie z potrzebami pokrycia i celami SNR.

    Uwaga

    • Gdy adresy IP po obu stronach podróży są uważane za bezpieczne, a suwak poufności nie jest ustawiony na Wartość Wysoka, podróż jest zaufana i wykluczona z wyzwalania wykrywania niemożliwych podróży. Na przykład obie strony są uważane za bezpieczne, jeśli są oznaczone jako firmowe. Jeśli jednak adres IP tylko jednej strony podróży jest uważany za bezpieczny, wykrywanie jest wyzwalane normalnie.
    • Lokalizacje są obliczane na poziomie kraju/regionu. Oznacza to, że nie będzie alertów dla dwóch akcji pochodzących z tego samego kraju/regionu lub w krajach/regionach graniczących.

Aktywność z rzadkiego kraju

• To wykrywanie uwzględnia lokalizacje poprzednich działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkownika. Alert jest wyzwalany, gdy działanie występuje z lokalizacji, która nie została ostatnio lub nigdy nie była odwiedzana przez użytkownika. Aby zmniejszyć liczbę alertów fałszywie dodatnich, wykrywanie pomija połączenia charakteryzujące się typowymi preferencjami użytkownika.

Wykrywanie złośliwego oprogramowania

To wykrywanie identyfikuje złośliwe pliki w magazynie w chmurze, niezależnie od tego, czy pochodzą one z aplikacji firmy Microsoft, czy aplikacji innych firm. Microsoft Defender for Cloud Apps używa analizy zagrożeń firmy Microsoft do rozpoznawania, czy niektóre pliki zgodne z heurystycznymi czynnikami ryzyka, takimi jak typ pliku i poziom udostępniania, są skojarzone ze znanymi atakami złośliwego oprogramowania i są potencjalnie złośliwe. Te wbudowane zasady są domyślnie wyłączone. Po wykryciu złośliwych plików można wyświetlić listę zainfekowanych plików. Wybierz nazwę pliku złośliwego oprogramowania w szufladzie plików, aby otworzyć raport o złośliwym oprogramowaniu, który zawiera informacje o typie złośliwego oprogramowania, którego dotyczy zainfekowany plik.

To wykrywanie umożliwia kontrolowanie przekazywania i pobierania plików w czasie rzeczywistym przy użyciu zasad sesji.

Piaskownica plików

Dzięki włączeniu piaskownicy plików pliki, które zgodnie z ich metadanymi i oparte na własnościowej heurystyce są potencjalnie ryzykowne, będą również skanowane w trybie piaskownicy w bezpiecznym środowisku. Skanowanie piaskownicy może wykrywać pliki, które nie zostały wykryte na podstawie źródeł analizy zagrożeń.

Defender for Cloud Apps obsługuje wykrywanie złośliwego oprogramowania dla następujących aplikacji:

• Pudełko
• Dropbox
• Obszar roboczy Google

Uwaga

• Proaktywne piaskownice będą wykonywane w aplikacjach innych firm (Box, Dropbox itp.). W usłudze OneDrive i programie SharePoint pliki są skanowane i w trybie piaskownicy w ramach samej usługi.
• W usługach Box, Dropbox i Google Workspace Defender for Cloud Apps nie blokuje automatycznie pliku, ale blokowanie może być wykonywane zgodnie z możliwościami aplikacji i konfiguracją aplikacji ustawioną przez klienta.
• Jeśli nie masz pewności, czy wykryty plik jest naprawdę złośliwym oprogramowaniem, czy fałszywie dodatnim, przejdź do strony Microsoft Security Intelligence pod adresem https://www.microsoft.com/wdsi/filesubmission i prześlij plik do dalszej analizy.

Działanie z anonimowych adresów IP

• To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę "wyników fałszywie dodatnich", takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

Działanie wymuszające okup

• Defender for Cloud Apps rozszerzyła swoje możliwości wykrywania oprogramowania wymuszającego okup za pomocą wykrywania anomalii, aby zapewnić bardziej kompleksowe pokrycie zaawansowanych ataków ransomware. Korzystając z naszej wiedzy z zakresu badań nad bezpieczeństwem, aby zidentyfikować wzorce behawioralne odzwierciedlające działanie oprogramowania wymuszającego okup, Defender for Cloud Apps zapewnia holistyczną i niezawodną ochronę. Jeśli Defender for Cloud Apps identyfikuje na przykład dużą liczbę działań związanych z przekazywaniem plików lub usuwaniem plików, może to oznaczać niekorzystny proces szyfrowania. Te dane są zbierane w dziennikach odebranych z połączonych interfejsów API, a następnie łączone z poznanym wzorcem behawioralnym i analizą zagrożeń, na przykład znanymi rozszerzeniami ransomware. Aby uzyskać więcej informacji o tym, jak Defender for Cloud Apps wykrywa oprogramowanie wymuszające okup, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup.

Działanie wykonywane przez użytkownika zakończone

• To wykrywanie umożliwia określenie, kiedy zakończony pracownik nadal wykonuje akcje w aplikacjach SaaS. Ponieważ dane pokazują, że największe ryzyko zagrożenia ze strony pracowników, którzy odeszli na złych warunkach, ważne jest, aby mieć oko na aktywność na kontach zakończonych pracowników. Czasami, gdy pracownicy opuszczają firmę, ich konta są wycofywane z aplikacji firmowych, ale w wielu przypadkach nadal zachowują dostęp do niektórych zasobów firmowych. Jest to jeszcze ważniejsze w przypadku rozważania uprzywilejowanych kont, ponieważ potencjalne szkody, jakie może wyrządzić były administrator, są z natury większe. To wykrywanie korzysta z Defender for Cloud Apps możliwości monitorowania zachowania użytkowników w aplikacjach, umożliwiając identyfikację regularnej aktywności użytkownika, faktu usunięcia konta i rzeczywistej aktywności w innych aplikacjach. Na przykład pracownik, którego konto Microsoft Entra zostało usunięte, ale nadal ma dostęp do firmowej infrastruktury usług AWS, może spowodować szkody na dużą skalę.

Wykrywanie szuka użytkowników, których konta zostały usunięte w Tożsamość Microsoft Entra, ale nadal wykonuje działania na innych platformach, takich jak AWS lub Salesforce. Jest to szczególnie istotne w przypadku użytkowników, którzy używają innego konta (a nie podstawowego konta logowania jednokrotnego) do zarządzania zasobami, ponieważ te konta często nie są usuwane, gdy użytkownik opuszcza firmę.

Działanie z podejrzanych adresów IP

• To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako ryzykowny przez usługę Microsoft Threat Intelligence. Te adresy IP są zaangażowane w złośliwe działania, takie jak spray haseł, botnet C&C i mogą wskazywać na naruszenie konta. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę "wyników fałszywie dodatnich", takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

Podejrzane przekazywanie skrzynki odbiorczej

• To wykrywanie szuka podejrzanych reguł przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.

Uwaga

Defender for Cloud Apps tylko alerty dla każdej reguły przesyłania dalej, która jest identyfikowana jako podejrzana, na podstawie typowego zachowania użytkownika.

Podejrzane reguły manipulowania skrzynką odbiorczą

• To wykrywanie profiluje środowisko i wyzwala alerty, gdy podejrzane reguły, które usuwają lub przenoszą komunikaty lub foldery, są ustawiane w skrzynce odbiorczej użytkownika. Może to wskazywać, że konto użytkownika zostało naruszone, że wiadomości są celowo ukryte i że skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.

Podejrzane działanie usuwania wiadomości e-mail (wersja zapoznawcza)

• Te zasady profilują środowisko i wyzwalają alerty, gdy użytkownik wykonuje podejrzane działania usuwania wiadomości e-mail w jednej sesji. Te zasady mogą wskazywać, że skrzynki pocztowe użytkownika mogą zostać naruszone przez potencjalne wektory ataków, takie jak komunikacja poleceń i kontroli (C&C/C2) za pośrednictwem poczty e-mail.

Uwaga

Defender for Cloud Apps integruje się z Microsoft Defender XDR, aby zapewnić ochronę usługi Exchange online, w tym detonację adresu URL, ochronę przed złośliwym oprogramowaniem i nie tylko. Po włączeniu usługi Defender for Microsoft 365 zaczniesz widzieć alerty w dzienniku aktywności Defender for Cloud Apps.

Podejrzane działania pobierania pliku aplikacji OAuth

• Skanuje aplikacje OAuth połączone ze środowiskiem i wyzwala alert, gdy aplikacja pobiera wiele plików z programu Microsoft SharePoint lub Microsoft OneDrive w sposób nietypowy dla użytkownika. Może to wskazywać, że konto użytkownika zostało naruszone.

Nietypowy usługodawca sieciowy dla aplikacji OAuth

• Te zasady profilują środowisko i wyzwalają alerty, gdy aplikacja OAuth łączy się z aplikacjami w chmurze z nietypowego usługodawcy isp. Te zasady mogą wskazywać, że osoba atakująca próbowała użyć legalnej aplikacji, która została naruszona, do wykonywania złośliwych działań w aplikacjach w chmurze.

Nietypowe działania (według użytkownika)

Te wykrycia identyfikują użytkowników, którzy wykonują następujące czynności:

• Nietypowe działania pobierania wielu plików
• Nietypowe działania udziału plików
• Nietypowe działania usuwania plików
• Nietypowe działania personifikowane
• Nietypowe działania administracyjne
• Nietypowe działania udostępniania raportów usługi Power BI (wersja zapoznawcza)
• Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza)
• Nietypowe działania usuwania magazynu (wersja zapoznawcza)
• Nietypowy region dla zasobu w chmurze (wersja zapoznawcza)
• Nietypowy dostęp do plików

Te zasady poszukają działań w ramach jednej sesji w odniesieniu do przedstawionego punktu odniesienia, co może wskazywać na próbę naruszenia. Te wykrycia wykorzystują algorytm uczenia maszynowego, który profiluje wzorzec logowania użytkowników i zmniejsza liczbę wyników fałszywie dodatnich. Te wykrycia są częścią aparatu wykrywania anomalii heurystycznej, który profiluje środowisko i wyzwala alerty w odniesieniu do punktu odniesienia, który został poznany na temat działania organizacji.

Wiele nieudanych prób logowania

• To wykrywanie identyfikuje użytkowników, którzy nie powiódł się wiele prób logowania w jednej sesji w odniesieniu do punktu odniesienia wyuczony, co może wskazywać na próbę naruszenia.

Eksfiltracja danych do nieusankcjonowanych aplikacji

• Te zasady są automatycznie włączane, aby otrzymywać alerty, gdy użytkownik lub adres IP używa aplikacji, która nie jest usankcjonowana w celu wykonania działania podobnego do próby eksfiltrowania informacji z organizacji.

Wiele działań usuwania maszyny wirtualnej

• Te zasady profilują środowisko i wyzwalają alerty, gdy użytkownicy usuwają wiele maszyn wirtualnych w jednej sesji w stosunku do punktu odniesienia w organizacji. Może to wskazywać na próbę naruszenia zabezpieczeń.

Włączanie zautomatyzowanego ładu

Możesz włączyć zautomatyzowane akcje korygowania dla alertów generowanych przez zasady wykrywania anomalii.

1. Wybierz nazwę zasad wykrywania na stronie Zasady .
2. W oknie Edytowanie zasad wykrywania anomalii , które zostanie otwarte, w obszarze Akcje ładu ustaw akcje korygowania dla każdej połączonej aplikacji lub dla wszystkich aplikacji.
3. Wybierz pozycję Aktualizuj.

Dostrajanie zasad wykrywania anomalii

Aby wpłynąć na aparat wykrywania anomalii, aby pominąć lub wyświetlić alerty zgodnie z preferencjami:

• W zasadach Niemożliwe podróże możesz ustawić suwak poufności, aby określić poziom nietypowego zachowania wymaganego przed wyzwoleniem alertu. Jeśli na przykład ustawisz ją na wartość niska lub średnia, pominie ona alerty niemożliwej podróży ze wspólnych lokalizacji użytkownika, a jeśli ustawisz ją na wysoką, będzie ona wyświetlać takie alerty. Możesz wybrać spośród następujących poziomów poufności:

  • Niski: pomijanie systemów, dzierżaw i użytkowników

  • Średni: Pomijania systemów i użytkowników

  • Wysoki: tylko pominięcia systemu

    Gdzie:

    Typ pomijania	Opis
    System	Wbudowane wykrywania, które są zawsze pomijane.
    Dzierżawca	Typowe działania oparte na poprzednim działaniu w dzierżawie. Na przykład pomijanie działań ze strony usługodawcy sieciowego, który wcześniej otrzymywał alerty w organizacji.
    Użytkownik	Typowe działania na podstawie poprzedniej aktywności określonego użytkownika. Na przykład pomijanie działań z lokalizacji, która jest często używana przez użytkownika.

Uwaga

Niemożliwe podróże, aktywność z rzadkich krajów/regionów, aktywność z anonimowych adresów IP i aktywność z alertów podejrzanych adresów IP nie mają zastosowania w przypadku nieudanych logowań i nieinterakcyjnych logowań.

Zasady wykrywania anomalii zakresu

Każda zasada wykrywania anomalii może mieć niezależne zakresy, tak aby była stosowana tylko do użytkowników i grup, które mają zostać uwzględnione i wykluczone w zasadach. Na przykład można ustawić działanie z rzadkiego wykrywania powiatu, aby zignorować określonego użytkownika, który często podróżuje.

Aby określić zakres zasad wykrywania anomalii:

1. W portalu Microsoft Defender przejdź do pozycji Cloud Apps ->Policies ->Policy management. Następnie wybierz pozycję Zasady wykrywania anomalii dla typu zasad.

2. Wybierz zasady, które chcesz określić.

3. W obszarze Zakres zmień listę rozwijaną z domyślnego ustawienia Wszyscy użytkownicy i grupy na Określoni użytkownicy i grupy.

4. Wybierz pozycję Dołącz , aby określić użytkowników i grupy, dla których będą stosowane te zasady. Żaden użytkownik lub grupa, która nie została wybrana w tym miejscu, nie będzie traktowana jako zagrożenie i nie wygeneruje alertu.

5. Wybierz pozycję Wyklucz , aby określić użytkowników, dla których te zasady nie będą stosowane. Żaden użytkownik wybrany w tym miejscu nie będzie uważany za zagrożenie i nie wygeneruje alertu, nawet jeśli jest członkiem grup wybranych w obszarze Uwzględnij.

   

Alerty wykrywania anomalii klasyfikacji

Możesz szybko sklasyfikować różne alerty wyzwalane przez nowe zasady wykrywania anomalii i zdecydować, które z nich należy najpierw zająć. W tym celu potrzebujesz kontekstu dla alertu, aby zobaczyć szerszy obraz i zrozumieć, czy coś złośliwego rzeczywiście się dzieje.

1. W dzienniku aktywności możesz otworzyć działanie, aby wyświetlić szufladę Działania. Wybierz pozycję Użytkownik , aby wyświetlić kartę szczegółowe informacje o użytkowniku. Ta karta zawiera informacje, takie jak liczba alertów, działań i miejsca, z których nawiązano połączenie, co jest ważne w badaniu.

   

2. W przypadku plików zainfekowanych złośliwym oprogramowaniem po wykryciu plików można wyświetlić listę zainfekowanych plików. Wybierz nazwę pliku złośliwego oprogramowania w szufladzie plików, aby otworzyć raport o złośliwym oprogramowaniu zawierający informacje o tym typie złośliwego oprogramowania, którego dotyczy zainfekowany plik.

Powiązane filmy wideo

Seminarium internetowe dotyczące ochrony przed zagrożeniami

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.