Jak zbadać alerty wykrywania anomalii

Microsoft Defender for Cloud Apps zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby pomóc w badaniu i korygowaniu zadań. Ten przewodnik zawiera ogólne informacje o warunkach wyzwalania alertów. Należy jednak pamiętać, że ponieważ wykrycia anomalii są z natury niedeterministyczne, są wyzwalane tylko wtedy, gdy istnieje zachowanie, które odbiega od normy. Na koniec niektóre alerty mogą być w wersji zapoznawczej, więc regularnie przeglądaj oficjalną dokumentację, aby uzyskać zaktualizowany stan alertu.

MITRE ATT&CK

Aby wyjaśnić i ułatwić mapowanie relacji między alertami Defender for Cloud Apps a znaną macierzą mitre att&CK, sklasyfikowaliśmy alerty według odpowiadającej im taktyki mitre att&CK. To dodatkowe odwołanie ułatwia zrozumienie potencjalnie używanej techniki podejrzanych ataków po wyzwoleniu alertu Defender for Cloud Apps.

Ten przewodnik zawiera informacje dotyczące badania i korygowania alertów Defender for Cloud Apps w następujących kategoriach.

• Dostęp początkowy
• Wykonanie
• Wytrwałość
• Eskalacja uprawnień
• Dostęp poświadczeń
• Kolekcja
• Eksfiltracja
• Wpływ

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty Defender for Cloud Apps można sklasyfikować jako jeden z następujących typów działań:

• Prawdziwie dodatni (TP): alert dotyczący potwierdzonego złośliwego działania.
• Niegroźny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetrowy lub inne autoryzowane podejrzane działanie.
• Fałszywie dodatni (FP): alert dotyczący działania niemalicious.

Ogólne kroki badania

Należy użyć poniższych ogólnych wytycznych podczas badania dowolnego typu alertu, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

• Przejrzyj wynik priorytetu badania użytkownika i porównaj go z resztą organizacji. Pomoże to określić, którzy użytkownicy w organizacji stanowią największe ryzyko.
• Jeśli zidentyfikujesz protokół TP, przejrzyj wszystkie działania użytkownika, aby zrozumieć wpływ.
• Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się ze źródłem i zakresem wpływu. Na przykład przejrzyj następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
  • System operacyjny i wersja
  • Przeglądarka i wersja
  • Adres IP i lokalizacja

Alerty dostępu początkowego

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać początkowy przyczółek w organizacji.

Działanie z anonimowego adresu IP

Opis

Działanie z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy przez usługę Microsoft Threat Intelligence lub twoją organizację. Te serwery proxy mogą służyć do ukrywania adresu IP urządzenia i mogą być używane do złośliwych działań.

TP, B-TP, czy FP?

To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę zdarzeń B-TP , takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.

1. TP: Jeśli możesz potwierdzić, że działanie zostało wykonane z anonimowego lub adresu IP TOR.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. B-TP: Jeśli wiadomo, że użytkownik używa anonimowych adresów IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy zabezpieczeń lub penetracyjnych w imieniu organizacji.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

• Przejrzyj wszystkie działania i alerty użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń. Jeśli na przykład po alertie następował inny podejrzany alert, taki jak nietypowe pobieranie pliku (przez użytkownika) lub alert dotyczący przekazywania podejrzanej skrzynki odbiorczej , często oznacza to, że osoba atakująca próbuje eksfiltrować dane.

Aktywność z rzadkiego kraju

Działanie z kraju/regionu, które może wskazywać na złośliwe działanie. Te zasady profilują środowisko i wyzwalają alerty po wykryciu działania z lokalizacji, która nie była ostatnio lub nigdy nie była odwiedzana przez żadnego użytkownika w organizacji.

Zasady mogą być dalej ograniczone do podzestawu użytkowników lub mogą wykluczać użytkowników, o których wiadomo, że podróżują do lokalizacji zdalnych.

Okres nauki

Wykrywanie nietypowych lokalizacji wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja:

   1. Wstrzymaj użytkownika, zresetuj jego hasło i zidentyfikuj odpowiedni czas, aby bezpiecznie ponownie włączyć konto.
   2. Opcjonalnie: utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi jako nawiązywanie połączenia z rzadkich lokalizacji i ich menedżerów w celu zweryfikowania ich działania.

2. B-TP: jeśli wiadomo, że użytkownik znajduje się w tej lokalizacji. Jeśli na przykład użytkownik często podróżuje i znajduje się obecnie w określonej lokalizacji.

   Zalecana akcja:

   1. Odrzuć alert i zmodyfikuj zasady, aby wykluczyć użytkownika.
   2. Utwórz grupę użytkowników dla osób często podróżujących, zaimportuj grupę do Defender for Cloud Apps i wyklucz użytkowników z tego alertu
   3. Opcjonalnie: utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami wykrytymi jako nawiązywanie połączenia z rzadkich lokalizacji i ich menedżerów w celu zweryfikowania ich działania.

Omówienie zakresu naruszenia

• Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pliki do pobrania danych.

Działanie z podejrzanych adresów IP

Działanie z adresu IP, który został zidentyfikowany jako ryzykowny przez usługę Microsoft Threat Intelligence lub twoją organizację. Te adresy IP zostały zidentyfikowane jako zaangażowane w złośliwe działania, takie jak wykonywanie sprayu haseł, polecenia i kontroli botnetu (C&C) i mogą wskazywać na naruszenie zabezpieczeń konta.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. B-TP: Jeśli wiadomo, że użytkownik używa adresu IP w zakresie swoich obowiązków. Na przykład gdy analityk zabezpieczeń przeprowadza testy zabezpieczeń lub penetracyjnych w imieniu organizacji.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności i wyszukaj działania z tego samego adresu IP.
2. Sprawdź, który zasób mógł zostać naruszony, na przykład potencjalne pliki do pobrania danych lub modyfikacje administracyjne.
3. Utwórz grupę dla analityków zabezpieczeń, którzy dobrowolnie wyzwalają te alerty i wykluczają je z zasad.

Niemożliwa podróż

Aktywność tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między tymi dwiema lokalizacjami. Może to wskazywać na naruszenie poświadczeń, jednak możliwe jest również, że rzeczywista lokalizacja użytkownika jest maskowana, na przykład przy użyciu sieci VPN.

Aby zwiększyć dokładność i alerty tylko wtedy, gdy istnieje silne wskazanie naruszenia, Defender for Cloud Apps ustanawia punkt odniesienia dla każdego użytkownika w organizacji i będzie otrzymywać alerty tylko wtedy, gdy zostanie wykryte nietypowe zachowanie. Niemożliwe zasady podróży można dostosować do twoich wymagań.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

To wykrywanie używa algorytmu uczenia maszynowego, który ignoruje oczywiste warunki B-TP , na przykład gdy adresy IP po obu stronach podróży są uważane za bezpieczne, podróż jest zaufana i wykluczona z wyzwalania wykrywania niemożliwych podróży. Na przykład obie strony są uważane za bezpieczne, jeśli są oznaczone jako firmowe. Jeśli jednak adres IP tylko jednej strony podróży jest uważany za bezpieczny, wykrywanie jest wyzwalane normalnie.

1. TP: Jeśli możesz potwierdzić, że lokalizacja w alertie o niemożliwym podróży jest mało prawdopodobna dla użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP (niewykryte podróże użytkowników): Jeśli możesz potwierdzić, że użytkownik niedawno udał się do miejsca docelowego wymienionego szczegółowo w alercie. Jeśli na przykład telefon użytkownika w trybie samolotowym pozostaje połączony z usługami takimi jak Exchange Online w sieci firmowej podczas podróży do innej lokalizacji. Gdy użytkownik dotrze do nowej lokalizacji, telefon nawiązuje połączenie z Exchange Online wyzwalając alert o niemożliwej podróży.

   Zalecana akcja: odrzuć alert.

3. FP (nieokreślona sieć VPN): Jeśli możesz potwierdzić, że zakres adresów IP pochodzi z zaakceptowanej sieci VPN.

   Zalecana akcja: odrzuć alert i dodaj zakres adresów IP sieci VPN, aby Defender for Cloud Apps, a następnie użyj go do oznaczania zakresu adresów IP sieci VPN.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby poznać podobne działania w tej samej lokalizacji i adresie IP.
2. Jeśli zobaczysz, że użytkownik wykonał inne ryzykowne działania, takie jak pobranie dużej ilości plików z nowej lokalizacji, będzie to silne wskazanie możliwego naruszenia zabezpieczeń.
3. Dodaj zakresy firmowych sieci VPN i adresów IP.
4. Utwórz podręcznik przy użyciu usługi Power Automate i skontaktuj się z menedżerem użytkownika, aby sprawdzić, czy użytkownik jest legalnie podróżujący.
5. Rozważ utworzenie znanej bazy danych podróżnych dla maksymalnie minutowego raportowania podróży organizacyjnych i użyj jej do wykonywania wielu działań związanych z podróżami.

Myląca nazwa aplikacji OAuth

To wykrywanie identyfikuje aplikacje ze znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę.

   Zalecana akcja: przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

Aby zablokować dostęp do aplikacji, na kartach Google lub Salesforce na stronie Ład aplikacji w wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zakazać, wybierz ikonę zakazu. — Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zablokowana. Powiadomienie informuje użytkowników, że aplikacja jest wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pozycji Powiadom użytkowników, którzy udzielili dostępu do tej zakazanej aplikacji w oknie dialogowym. — Zaleca się poinformowanie użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

1. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę, ale ma uzasadnione zastosowanie biznesowe w organizacji.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

• Postępuj zgodnie z samouczkiem dotyczącym sposobu badania ryzykownych aplikacji OAuth.

Wprowadzająca w błąd nazwa wydawcy aplikacji OAuth

To wykrywanie identyfikuje aplikacje ze znakami, takimi jak litery obce, które przypominają litery łacińskie. Może to wskazywać na próbę ukrycia złośliwej aplikacji jako znanej i zaufanej aplikacji, aby osoby atakujące mogły oszukać użytkowników w celu pobrania złośliwej aplikacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy.

   Zalecana akcja: przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

2. FP: Jeśli chcesz potwierdzić, że aplikacja ma mylącą nazwę wydawcy, ale jest legalnym wydawcą.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Na kartach Google lub Salesforce na stronie Zarządzanie aplikacjami wybierz aplikację, aby otworzyć szufladę Aplikacji, a następnie wybierz pozycję Powiązane działanie. Spowoduje to otwarcie strony dziennika aktywności odfiltrowanej pod kątem działań wykonywanych przez aplikację. Należy pamiętać, że niektóre aplikacje wykonują działania zarejestrowane jako wykonywane przez użytkownika. Te działania są automatycznie filtrowane z wyników w dzienniku aktywności. Aby uzyskać więcej informacji na temat korzystania z dziennika aktywności, zobacz Dziennik aktywności.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy i wydawcy aplikacji w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:
   • Aplikacje z małą liczbą pobrań.
   • Aplikacje z niską oceną lub oceną lub złymi komentarzami.
   • Aplikacje z podejrzanym wydawcą lub witryną internetową.
   • Aplikacje, które nie zostały ostatnio zaktualizowane. Może to wskazywać aplikację, która nie jest już obsługiwana.
   • Aplikacje, które mają nieistotne uprawnienia. Może to wskazywać, że aplikacja jest ryzykowna.
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz sprawdzić nazwę aplikacji, wydawcę i adres URL w trybie online.

Alerty wykonywania

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uruchomić złośliwy kod w organizacji.

Wiele działań usuwania magazynu

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę usunięć magazynu w chmurze lub bazy danych z zasobów, takich jak obiekty blob platformy Azure, zasobniki AWS S3 lub Cosmos DB w porównaniu z punktem odniesienia. Może to wskazywać na próbę naruszenia twojej organizacji.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli chcesz potwierdzić, że usunięcie było nieautoryzowane.

   Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i skanowanie wszystkich urządzeń pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

2. Fp: Jeśli po badaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań usuwania.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Skontaktuj się z użytkownikiem i potwierdź działanie.
2. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i zobacz, kto wprowadził zmianę.
3. Przejrzyj działania tego użytkownika pod kątem zmian w innych usługach.

Wiele działań związanych z tworzeniem maszyny wirtualnej

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę akcji tworzenia maszyny wirtualnej w porównaniu z poznanym punktem odniesienia. Wiele operacji tworzenia maszyn wirtualnych w infrastrukturze chmury, które zostały naruszone, może wskazywać na próbę uruchomienia operacji wyszukiwania kryptografii z poziomu organizacji.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

Aby zwiększyć dokładność i alert tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia w każdym środowisku w organizacji w celu zmniejszenia zdarzeń B-TP , takich jak administrator legalnie utworzył więcej maszyn wirtualnych niż ustalony punkt odniesienia, i alert tylko w przypadku wykrycia nietypowego zachowania.

• TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

  Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i skanowanie wszystkich urządzeń pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź jego uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszystkie naruszone maszyny wirtualne.

• B-TP: Jeśli po badaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań związanych z tworzeniem.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać inne wskaźniki naruszenia zabezpieczeń.
2. Przejrzyj zasoby utworzone lub zmodyfikowane przez użytkownika i sprawdź, czy są one zgodne z zasadami organizacji.

Podejrzane działanie tworzenia dla regionu chmury (wersja zapoznawcza)

Działania wskazujące, że użytkownik wykonał nietypową akcję tworzenia zasobów w nietypowym regionie usług AWS w porównaniu z punktem odniesienia. Tworzenie zasobów w nietypowych regionach chmury może wskazywać na próbę wykonania złośliwego działania, takiego jak operacje wyszukiwania kryptografii z poziomu organizacji.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

Aby zwiększyć dokładność i alerty tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia zdarzeń B-TP .

• TP: Jeśli możesz potwierdzić, że działania tworzenia nie zostały wykonane przez uprawnionego użytkownika.

  Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i skanowanie wszystkich urządzeń pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu. Ponadto skontaktuj się z użytkownikiem, potwierdź jego uzasadnione działania, a następnie upewnij się, że wyłączysz lub usuniesz wszelkie naruszone zasoby w chmurze.

• B-TP: Jeśli po badaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań związanych z tworzeniem.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać inne wskaźniki naruszenia zabezpieczeń.
2. Przejrzyj utworzone zasoby i sprawdź, czy są one zgodne z zasadami organizacji.

Alerty dotyczące trwałości

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.

Działanie wykonywane przez użytkownika zakończone

Działanie wykonywane przez zakończone przez użytkownika może wskazywać, że zakończony pracownik, który nadal ma dostęp do zasobów firmowych, próbuje wykonać złośliwe działanie. Defender for Cloud Apps profiluje użytkowników w organizacji i wyzwala alert, gdy zakończony użytkownik wykonuje działanie.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że zakończony użytkownik nadal ma dostęp do niektórych zasobów firmowych i wykonuje działania.

   Zalecana akcja: wyłącz użytkownika.

2. B-TP: Jeśli możesz ustalić, że użytkownik został tymczasowo wyłączony lub został usunięty i ponownie zarejestrowany.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Odsyłacz rekordów hr, aby potwierdzić, że użytkownik został zakończony.
2. Zweryfikuj istnienie konta użytkownika Microsoft Entra.

   Uwaga

   Jeśli używasz Microsoft Entra Connect, zweryfikuj obiekt lokalna usługa Active Directory i potwierdź pomyślny cykl synchronizacji.

3. Zidentyfikuj wszystkie aplikacje, do których użytkownik, który zakończył pracę, miał dostęp do kont i zlikwidował je.
4. Zaktualizuj procedury likwidowania.

Podejrzana zmiana usługi rejestrowania cloudtrail

Działania w jednej sesji wskazujące, że użytkownik przeprowadził podejrzane zmiany w usłudze rejestrowania usługi AWS CloudTrail. Może to wskazywać na próbę naruszenia twojej organizacji. Podczas wyłączania usługi CloudTrail zmiany operacyjne nie są już rejestrowane. Osoba atakująca może wykonywać złośliwe działania, unikając zdarzenia inspekcji usługi CloudTrail, takiego jak modyfikowanie zasobnika S3 z prywatnego na publiczny.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: Wstrzymaj użytkownika, zresetuj jego hasło i odwróć działanie CloudTrail.

2. Fp: Jeśli możesz potwierdzić, że użytkownik legalnie wyłączył usługę CloudTrail.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności pod kątem innych wskaźników naruszenia zabezpieczeń i zobacz, kto wprowadził zmianę w usłudze CloudTrail.
2. Opcjonalnie: utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i ich menedżerami w celu zweryfikowania ich aktywności.

Podejrzane działanie usuwania wiadomości e-mail (według użytkownika)

Działania w jednej sesji wskazujące, że użytkownik wykonał podejrzane usunięcia wiadomości e-mail. Typ usuwania był typem "hard delete", który sprawia, że element wiadomości e-mail został usunięty i niedostępny w skrzynce pocztowej użytkownika. Usunięcie zostało wykonane z połączenia, które obejmuje nietypowe preferencje, takie jak usługodawca sieciowy, kraj/region i agent użytkownika. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osoby atakujące próbujące zamaskować operacje, usuwając wiadomości e-mail związane z działaniami spamu.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP: Jeśli możesz potwierdzić, że użytkownik prawidłowo utworzył regułę usuwania komunikatów.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

• Przejrzyj wszystkie działania użytkownika pod kątem innych wskaźników naruszenia zabezpieczeń, takich jak alert dotyczący przekazywania podejrzanej skrzynki odbiorczej , po którym następuje alert Niemożliwa podróż . Szukać:

  1. Nowe reguły przekazywania SMTP w następujący sposób:
     • Sprawdź, czy nie ma złośliwych nazw reguł przekazywania dalej. Nazwy reguł mogą różnić się od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatyczne przekazywanie dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przesyłania dalej mogą być nawet puste, a adresatem przekazującym może być jedno konto e-mail lub cała lista. Złośliwe reguły mogą być również ukryte w interfejsie użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu na temat usuwania ukrytych reguł ze skrzynek pocztowych.
     • Jeśli wykryjesz nierozpoznaną regułę przekazywania na nieznany wewnętrzny lub zewnętrzny adres e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
  2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystko", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
  3. Wzrost liczby wysłanych wiadomości e-mail.

Podejrzana reguła manipulowania skrzynką odbiorczą

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulacji, takie jak usuwanie lub przenoszenie komunikatów lub folderów, ze skrzynki odbiorczej użytkownika mogą być próbą eksfiltrowania informacji z organizacji. Podobnie mogą wskazywać próbę manipulowania informacjami, które widzi użytkownik, lub użycie skrzynki odbiorczej do rozpowszechniania spamu, wiadomości e-mail wyłudzających informacje lub złośliwego oprogramowania. Defender for Cloud Apps profiluje środowisko i wyzwala alerty w przypadku wykrycia podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to wskazywać, że konto użytkownika zostało naruszone.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że utworzono złośliwą regułę skrzynki odbiorczej i że konto zostało naruszone.

   Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i usuwanie reguły przekazywania.

2. FP: Jeśli możesz potwierdzić, że użytkownik prawidłowo utworzył regułę.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkownika pod kątem innych wskaźników naruszenia zabezpieczeń, takich jak alert dotyczący przekazywania podejrzanej skrzynki odbiorczej , po którym następuje alert Niemożliwa podróż . Szukać:
   • Nowe reguły przekazywania SMTP.
   • Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystko", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".
2. Zbierz informacje o adresie IP i lokalizacji dla akcji.
3. Przejrzyj działania wykonywane na podstawie adresu IP użytego do utworzenia reguły w celu wykrycia innych naruszonych użytkowników.

Alerty eskalacji uprawnień

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać uprawnienia wyższego poziomu w organizacji.

Nietypowe działanie administracyjne (według użytkownika)

Działania wskazujące, że osoba atakująca naruszyła konto użytkownika i wykonała akcje administracyjne, które nie są typowe dla tego użytkownika. Na przykład osoba atakująca może spróbować zmienić ustawienie zabezpieczeń dla użytkownika, co jest operacją stosunkowo rzadką dla typowego użytkownika. Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego administratora.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP: Jeśli możesz potwierdzić, że administrator prawidłowo wykonał nietypową liczbę działań administracyjnych.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkowników, aby uzyskać inne wskaźniki naruszenia zabezpieczeń, takie jak przekazywanie podejrzanej skrzynki odbiorczej lub Niemożliwa podróż.
2. Przejrzyj inne zmiany konfiguracji, takie jak tworzenie konta użytkownika, które może być używane do trwałości.

Alerty dostępu poświadczeń

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść nazwy kont i hasła z organizacji.

Wiele nieudanych prób logowania

Nieudane próby logowania mogą wskazywać na próbę naruszenia konta. Jednak nieudane logowania mogą być również normalnym zachowaniem. Na przykład, gdy użytkownik wprowadził nieprawidłowe hasło przez pomyłkę. Aby uzyskać dokładność i alert tylko wtedy, gdy istnieje silne wskazanie próby naruszenia, Defender for Cloud Apps ustanawia punkt odniesienia nawyków logowania dla każdego użytkownika w organizacji i będzie alertować tylko wtedy, gdy zostanie wykryte nietypowe zachowanie.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

Te zasady są oparte na poznaniu normalnego zachowania logowania użytkownika. Po wykryciu odchylenia od normy wyzwalany jest alert. Jeśli wykrywanie zacznie widzieć, że to samo zachowanie będzie kontynuowane, alert zostanie zgłoszony tylko raz.

1. Protokół TP (uwierzytelnianie wieloskładnikowe kończy się niepowodzeniem): Jeśli możesz potwierdzić, że uwierzytelnianie wieloskładnikowe działa prawidłowo, może to być oznaką próby ataku siłowego.

   Zalecane akcje:

   1. Wstrzymywanie użytkownika, oznaczanie użytkownika jako naruszonym i resetowanie hasła.
   2. Znajdź aplikację, która wykonała nieudane uwierzytelnianie i ponownie ją skonfiguruj.
   3. Poszukaj innych użytkowników zalogowanych w czasie działania, ponieważ mogą one również zostać naruszone. Wstrzymywanie użytkownika, oznaczanie użytkownika jako naruszonym i resetowanie hasła.

2. B-TP (uwierzytelnianie wieloskładnikowe kończy się niepowodzeniem): jeśli możesz potwierdzić, że alert jest spowodowany problemem z uwierzytelnianiem wieloskładnikowym.

   Zalecana akcja: utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikiem i sprawdzić, czy występują problemy z uwierzytelnianiem wieloskładnikowym.

3. B-TP (nieprawidłowo skonfigurowana aplikacja): Jeśli możesz potwierdzić, że nieprawidłowo skonfigurowana aplikacja próbuje połączyć się z usługą wiele razy z wygasłymi poświadczeniami.

   Zalecana akcja: odrzuć alert.

4. B-TP (zmieniono hasło): Jeśli możesz potwierdzić, że użytkownik niedawno zmienił swoje hasło, ale nie miało to wpływu na poświadczenia w udziałach sieciowych.

   Zalecana akcja: odrzuć alert.

5. B-TP (test zabezpieczeń): Jeśli możesz potwierdzić, że test zabezpieczeń lub penetracyjnego jest przeprowadzany przez analityków zabezpieczeń w imieniu organizacji.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkownika pod kątem innych wskaźników naruszenia zabezpieczeń, takich jak alert, po którym następuje jeden z następujących alertów: Niemożliwa podróż, Aktywność z anonimowego adresu IP lub Aktywność z rzadkiego kraju.
2. Przejrzyj następujące informacje o urządzeniu użytkownika i porównaj je ze znanymi informacjami o urządzeniu:
   • System operacyjny i wersja
   • Przeglądarka i wersja
   • Adres IP i lokalizacja
3. Zidentyfikuj źródłowy adres IP lub lokalizację, w której nastąpiła próba uwierzytelnienia.
4. Określ, czy użytkownik niedawno zmienił hasło i upewnij się, że wszystkie aplikacje i urządzenia mają zaktualizowane hasło.

Nietypowe dodawanie poświadczeń do aplikacji OAuth

To wykrywanie identyfikuje podejrzane dodawanie uprzywilejowanych poświadczeń do aplikacji OAuth. Może to wskazywać, że osoba atakująca naruszyła bezpieczeństwo aplikacji i używa jej do złośliwego działania.

Okres nauki

Uczenie się środowiska organizacji wymaga okresu siedmiu dni, podczas którego można spodziewać się dużej liczby alertów.

Nietypowy usługodawca sieciowy dla aplikacji OAuth

Wykrywanie identyfikuje aplikację OAuth łączącą się z aplikacją w chmurze z usługodawcy sieciowego, co jest nietypowe dla aplikacji. Może to wskazywać, że osoba atakująca próbowała użyć legalnej aplikacji, która została naruszona, do wykonywania złośliwych działań w aplikacjach w chmurze.

Okres nauki

Okres nauki dla tego wykrywania wynosi 30 dni.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie było uzasadnionym działaniem aplikacji OAuth lub że ten usługodawca isp nie jest używany przez legalną aplikację OAuth.

   Zalecana akcja: odwołaj wszystkie tokeny dostępu aplikacji OAuth i sprawdź, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

2. FP: Jeśli możesz potwierdzić, że działanie zostało wykonane zgodnie z prawem przez oryginalną aplikację OAuth.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania wykonywane przez aplikację OAuth.

2. Sprawdź, czy osoba atakująca ma dostęp do generowania tokenów dostępu OAuth.

Alerty kolekcji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące go dane z organizacji.

Wiele działań udostępniania raportów usługi Power BI

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę działań raportów udostępniania w usłudze Power BI w porównaniu z punktem odniesienia. Może to wskazywać na próbę naruszenia twojej organizacji.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: usuwanie dostępu do udostępniania z usługi Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. Fp: Jeśli możesz potwierdzić, że użytkownik miał uzasadnienie biznesowe do udostępniania tych raportów.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Przyjrzyj się adresowi IP, z którym są zalogowani, oraz szczegółom urządzenia.
2. Skontaktuj się z zespołem usługi Power BI lub zespołem Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Podejrzane udostępnianie raportów usługi Power BI

Działania wskazujące, że użytkownik udostępnił raport usługi Power BI, który może zawierać poufne informacje zidentyfikowane przy użyciu protokołu NLP do analizowania metadanych raportu. Raport został udostępniony zewnętrznemu adresowi e-mail, opublikowany w Internecie lub migawka została dostarczona na zewnętrznie subskrybowany adres e-mail. Może to wskazywać na próbę naruszenia twojej organizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: usuwanie dostępu do udostępniania z usługi Power BI. Jeśli możesz potwierdzić, że konto zostało naruszone, wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. Fp: Jeśli możesz potwierdzić, że użytkownik ma uzasadnienie biznesowe do udostępniania tych raportów.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby lepiej zrozumieć inne działania wykonywane przez użytkownika. Przyjrzyj się adresowi IP, z którym są zalogowani, oraz szczegółom urządzenia.
2. Skontaktuj się z zespołem usługi Power BI lub zespołem Information Protection, aby zrozumieć wytyczne dotyczące udostępniania raportów wewnętrznie i zewnętrznie.

Nietypowe działanie personifikowane (według użytkownika)

W niektórych programach istnieją opcje umożliwiające innym użytkownikom personifikowanie innych użytkowników. Na przykład usługi poczty e-mail umożliwiają użytkownikom autoryzowanie innych użytkowników do wysyłania wiadomości e-mail w ich imieniu. To działanie jest często używane przez osoby atakujące do tworzenia wiadomości e-mail wyłudzających informacje w celu wyodrębnienia informacji o organizacji. Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i tworzy działanie po wykryciu nietypowego działania personifikacji.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik prawidłowo wykonał nietypowe działania lub więcej działań niż ustalona linia bazowa.

   Zalecana akcja: odrzuć alert.

3. Fp: Jeśli możesz potwierdzić, że aplikacje, takie jak Teams, legalnie personifikują użytkownika.

   Zalecana akcja: przejrzyj akcje i w razie potrzeby odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania i alerty użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.
2. Przejrzyj działania personifikacji, aby zidentyfikować potencjalne złośliwe działania.
3. Przejrzyj konfigurację dostępu delegowanego.

Alerty eksfiltracji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść dane z organizacji.

Podejrzane przekazywanie skrzynki odbiorczej

Działania wskazujące, że osoba atakująca uzyskała dostęp do skrzynki odbiorczej użytkownika i utworzyła podejrzaną regułę. Reguły manipulacji, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail, mogą być próbą eksfiltrowania informacji z organizacji. Defender for Cloud Apps profiluje środowisko i wyzwala alerty w przypadku wykrycia podejrzanych reguł manipulowania skrzynką odbiorczą w skrzynce odbiorczej użytkownika. Może to wskazywać, że konto użytkownika zostało naruszone.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że utworzono złośliwą regułę przekazywania skrzynki odbiorczej i że konto zostało naruszone.

   Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i usuwanie reguły przekazywania.

2. Fp: Jeśli możesz potwierdzić, że użytkownik utworzył regułę przekazywania do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania użytkownika, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert, po którym następuje alert Niemożliwa podróż . Szukać:

   1. Nowe reguły przekazywania SMTP w następujący sposób:
      • Sprawdź, czy nie ma złośliwych nazw reguł przekazywania dalej. Nazwy reguł mogą różnić się od prostych nazw, takich jak "Prześlij wszystkie wiadomości e-mail" i "Automatyczne przekazywanie dalej" lub zwodnicze nazwy, takie jak ledwo widoczne ".". Nazwy reguł przesyłania dalej mogą być nawet puste, a adresatem przekazującym może być jedno konto e-mail lub cała lista. Złośliwe reguły mogą być również ukryte w interfejsie użytkownika. Po wykryciu możesz użyć tego przydatnego wpisu w blogu na temat usuwania ukrytych reguł ze skrzynek pocztowych.
      • Jeśli wykryjesz nierozpoznaną regułę przekazywania na nieznany wewnętrzny lub zewnętrzny adres e-mail, możesz założyć, że konto skrzynki odbiorczej zostało naruszone.
   2. Nowe reguły skrzynki odbiorczej, takie jak "usuń wszystko", "przenieś komunikaty do innego folderu" lub te z niejasnymi konwencjami nazewnictwa, na przykład "...".

2. Przejrzyj działania wykonywane na podstawie adresu IP użytego do utworzenia reguły w celu wykrycia innych naruszonych użytkowników.

3. Przejrzyj listę komunikatów przesyłanych dalej przy użyciu Exchange Online śledzenia komunikatów.

Nietypowe pobieranie pliku (przez użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę pobranych plików z platformy magazynu w chmurze w porównaniu z poznanym punktem odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji. Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań pobierania plików niż ustalony punkt odniesienia.

   Zalecana akcja: odrzuć alert.

3. Fp (synchronizacja oprogramowania): Jeśli możesz potwierdzić, że oprogramowanie, takie jak OneDrive, zostało zsynchronizowane z zewnętrzną kopią zapasową, która spowodowała alert.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania pobierania i utwórz listę pobranych plików.
2. Przejrzyj poufność pobranych plików u właściciela zasobu i zweryfikuj poziom dostępu.

Nietypowy dostęp do plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę dostępu do plików w programie SharePoint lub OneDrive do plików zawierających dane finansowe lub dane sieciowe w porównaniu z poznanym punktem odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji, zarówno w celach finansowych, jak i w celu uzyskania dostępu do poświadczeń i przenoszenia bocznego. Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Okres nauki zależy od aktywności użytkownika. Ogólnie rzecz biorąc, okres nauki wynosi od 21 do 45 dni dla większości użytkowników.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań dostępu do plików niż ustalony punkt odniesienia.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania dostępu i utwórz listę plików, do których uzyskano dostęp.
2. Przejrzyj poufność plików, do które uzyskano dostęp, u właściciela zasobu i zweryfikuj poziom dostępu.

Nietypowe działanie udziału plików (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypową liczbę akcji udostępniania plików z platformy magazynu w chmurze w porównaniu z punktem odniesienia. Może to wskazywać na próbę uzyskania informacji o organizacji. Defender for Cloud Apps tworzy punkt odniesienia na podstawie zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. Fp (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań związanych z udostępnianiem plików niż ustalona linia bazowa.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania udostępniania i utwórz listę udostępnionych plików.
2. Przejrzyj poufność udostępnionych plików właścicielowi zasobu i zweryfikuj poziom dostępu.
3. Utwórz zasady plików dla podobnych dokumentów w celu wykrywania przyszłego udostępniania poufnych plików.

Alerty wpływu

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować manipulować, przerywać lub niszczyć systemy i dane w organizacji.

Wiele działań usuwania maszyny wirtualnej

Działania w jednej sesji wskazujące, że użytkownik wykonał nietypową liczbę usunięć maszyn wirtualnych w porównaniu z punktem odniesienia. Usunięcie wielu maszyn wirtualnych może wskazywać na próbę zakłócenia lub zniszczenia środowiska. Istnieje jednak wiele normalnych scenariuszy, w których maszyny wirtualne są usuwane.

TP, B-TP, czy FP?

Aby zwiększyć dokładność i alerty tylko wtedy, gdy istnieje silne wskazanie naruszenia, to wykrywanie ustanawia punkt odniesienia dla każdego środowiska w organizacji w celu zmniejszenia zdarzeń B-TP i alertu tylko w przypadku wykrycia nietypowego zachowania.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

• TP: Jeśli możesz potwierdzić, że usunięcie było nieautoryzowane.

  Zalecana akcja: wstrzymywanie użytkownika, resetowanie hasła i skanowanie wszystkich urządzeń pod kątem złośliwych zagrożeń. Przejrzyj wszystkie działania użytkowników pod kątem innych wskaźników naruszenia zabezpieczeń i zapoznaj się z zakresem wpływu.

• B-TP: Jeśli po badaniu możesz potwierdzić, że administrator ma uprawnienia do wykonywania tych działań usuwania.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Skontaktuj się z użytkownikiem i potwierdź działanie.
2. Przejrzyj wszystkie działania użytkownika, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń, takie jak alert, po którym następuje jeden z następujących alertów: Niemożliwa podróż, Aktywność z anonimowego adresu IP lub Aktywność z rzadkiego kraju.

Działanie wymuszające okup

Ransomware to cyberatak, w którym atakujący blokuje ofiary ze swoich urządzeń lub blokuje im dostęp do swoich plików, dopóki ofiara nie zapłaci okupu. Oprogramowanie wymuszające okup może być rozpowszechniane przez złośliwy plik udostępniony lub naruszona sieć. Defender for Cloud Apps wykorzystuje wiedzę z zakresu badań nad zabezpieczeniami, analizę zagrożeń i poznane wzorce behawioralne do identyfikowania działań wymuszania okupu. Na przykład wysoka szybkość przekazywania plików lub usuwania plików może reprezentować proces szyfrowania, który jest typowy w przypadku operacji wymuszania okupu.

To wykrywanie ustanawia punkt odniesienia normalnych wzorców pracy każdego użytkownika w organizacji, na przykład gdy użytkownik uzyskuje dostęp do chmury i co zwykle robi w chmurze.

Zasady automatycznego wykrywania zagrożeń Defender for Cloud Apps zaczynają działać w tle od momentu nawiązania połączenia. Korzystając z naszej wiedzy z zakresu badań nad bezpieczeństwem, aby zidentyfikować wzorce behawioralne odzwierciedlające aktywność ransomware w naszej organizacji, Defender for Cloud Apps zapewnia kompleksowe pokrycie zaawansowanych ataków ransomware.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. FP (nietypowe zachowanie): użytkownik legalnie wykonał wiele działań usuwania i przekazywania podobnych plików w krótkim czasie.

   Zalecana akcja: po przejrzeniu dziennika aktywności i potwierdzeniu, że rozszerzenia plików nie są podejrzane, odrzuć alert.

3. FP (typowe rozszerzenie pliku ransomware): Jeśli możesz potwierdzić, że rozszerzenia plików, których dotyczy problem, są zgodne ze znanym rozszerzeniem ransomware.

   Zalecana akcja: skontaktuj się z użytkownikiem i potwierdź, że pliki są bezpieczne, a następnie odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności, aby uzyskać inne wskaźniki naruszenia zabezpieczeń, takie jak masowe pobieranie lub masowe usuwanie plików.
2. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender, przejrzyj alerty komputera użytkownika, aby sprawdzić, czy wykryto złośliwe pliki.
3. Wyszukaj w dzienniku aktywności złośliwe działania związane z przekazywaniem i udostępnianiem plików.

Nietypowe działanie usuwania pliku (według użytkownika)

Działania wskazujące, że użytkownik wykonał nietypowe działanie usuwania plików w porównaniu z nauczonym punktem odniesienia. Może to wskazywać na atak ransomware. Na przykład osoba atakująca może zaszyfrować pliki użytkownika i usunąć wszystkie oryginały, pozostawiając tylko zaszyfrowane wersje, których można użyć do nakłonienia ofiary do zapłaty okupu. Defender for Cloud Apps tworzy punkt odniesienia na podstawie normalnego zachowania użytkownika i wyzwala alert po wykryciu nietypowego zachowania.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane dla żadnych nowych lokalizacji.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działanie nie zostało wykonane przez uprawnionego użytkownika.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. Fp: Jeśli możesz potwierdzić, że użytkownik legalnie wykonał więcej działań usuwania plików niż ustalony punkt odniesienia.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj działania usuwania i utwórz listę usuniętych plików. W razie potrzeby odzyskaj usunięte pliki.
2. Opcjonalnie utwórz podręcznik przy użyciu usługi Power Automate, aby skontaktować się z użytkownikami i ich menedżerami w celu zweryfikowania działania.

Zwiększenie wskaźnika priorytetu badania (wersja zapoznawcza)

Nietypowe działania i działania, które wyzwalały alerty, otrzymują wyniki na podstawie ważności, wpływu użytkownika i analizy behawioralnej użytkownika. Analiza jest przeprowadzana na podstawie innych użytkowników w dzierżawach.

W przypadku znacznego i nietypowego wzrostu wskaźnika priorytetu badania określonego użytkownika alert zostanie wyzwolony.

Ten alert umożliwia wykrywanie potencjalnych naruszeń charakteryzujących się działaniami, które niekoniecznie wyzwalają określone alerty, ale gromadzą się w podejrzanym zachowaniu użytkownika.

Okres nauki

Ustanowienie wzorca działania nowego użytkownika wymaga początkowego okresu nauki wynoszącego siedem dni, podczas którego alerty nie są wyzwalane w celu zwiększenia oceny.

TP, B-TP, czy FP?

1. TP: Jeśli możesz potwierdzić, że działania użytkownika nie są uzasadnione.

   Zalecana akcja: wstrzymywanie użytkownika, oznaczanie użytkownika jako zagrożonego i resetowanie hasła.

2. B-TP: Jeśli jesteś w stanie potwierdzić, że użytkownik rzeczywiście znacznie odbiega od zwykłego zachowania, ale nie ma potencjalnego naruszenia.

3. FP (nietypowe zachowanie): Jeśli możesz potwierdzić, że użytkownik prawidłowo wykonał nietypowe działania lub więcej działań niż ustalona linia bazowa.

   Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania i alerty użytkowników, aby uzyskać dodatkowe wskaźniki naruszenia zabezpieczeń.

Oś czasu wycofywania

Stopniowo wycofujemy alert dotyczący zwiększania wskaźnika priorytetu badania z Microsoft Defender for Cloud Apps do sierpnia 2024 r.

Po dokładnej analizie i rozważeniu postanowiliśmy wycofać go ze względu na wysoki wskaźnik wyników fałszywie dodatnich skojarzonych z tym alertem, który nie przyczyniał się skutecznie do ogólnego bezpieczeństwa organizacji.

Nasze badania wykazały, że ta funkcja nie dodaje znaczącej wartości i nie jest zgodna z naszym strategicznym naciskiem na dostarczanie wysokiej jakości, niezawodnych rozwiązań w zakresie bezpieczeństwa.

Dokładamy wszelkich starań, aby stale ulepszać nasze usługi i zapewniać, że spełniają one Twoje potrzeby i oczekiwania.

Dla tych, którzy chcą nadal korzystać z tego alertu, sugerujemy użycie następującego zaawansowanego zapytania wyszukiwania zagrożeń jako sugerowanego szablonu. Zmodyfikuj zapytanie w zależności od potrzeb.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Zobacz też

Badanie ryzykownych użytkowników