Samouczek: wykrywanie podejrzanych działań użytkowników za pomocą analizy behawioralnej (UEBA)

Microsoft Defender for Cloud Apps zapewnia najlepsze w swojej klasie wykrywanie w całym łańcuchu zabijania ataków dla zagrożonych użytkowników, zagrożeń wewnętrznych, eksfiltracji, oprogramowania wymuszającego okup i innych. Nasze kompleksowe rozwiązanie jest osiągane przez połączenie wielu metod wykrywania, w tym anomalii, analizy behawioralnej (UEBA) i wykrywania aktywności opartej na regułach, aby zapewnić szeroki wgląd w sposób, w jaki użytkownicy korzystają z aplikacji w środowisku.

Dlaczego więc ważne jest wykrywanie podejrzanych zachowań? Wpływ użytkownika, który może zmienić środowisko chmury, może mieć znaczący wpływ i mieć bezpośredni wpływ na możliwość prowadzenia firmy. Na przykład kluczowe zasoby firmowe, takie jak serwery z publiczną witryną internetową lub usługą, którą udostępniasz klientom, mogą zostać naruszone.

Korzystając z danych przechwyconych z kilku źródeł, Defender for Cloud Apps analizuje dane, aby wyodrębnić działania aplikacji i użytkowników w organizacji, zapewniając analitykom zabezpieczeń wgląd w korzystanie z chmury. Zebrane dane są skorelowane, standaryzowane i wzbogacone o analizę zagrożeń, lokalizację i wiele innych szczegółów w celu zapewnienia dokładnego, spójnego widoku podejrzanych działań.

W związku z tym, aby w pełni wykorzystać zalety tych wykryć, najpierw upewnij się, że skonfigurowano następujące źródła:

• Dziennik aktywności
  Działania z aplikacji połączonych z interfejsem API.
• Dziennik odnajdywania
  Działania wyodrębnione z dzienników ruchu zapory i serwera proxy, które są przekazywane do Defender for Cloud Apps. Dzienniki są analizowane względem katalogu aplikacji w chmurze, klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka.
• Dziennik serwera proxy
  Działania z aplikacji kontroli dostępu warunkowego.

Następnie chcesz dostroić zasady. Poniższe zasady można dostosować, ustawiając filtry, progi dynamiczne (UEBA), aby ułatwić trenowanie modeli wykrywania i pomijania w celu zmniejszenia typowych wykryć fałszywie dodatnich:

• Wykrywanie anomalii
• Wykrywanie anomalii odnajdywania w chmurze
• Wykrywanie aktywności opartej na regułach

W tym samouczku dowiesz się, jak dostroić wykrywanie aktywności użytkowników, aby zidentyfikować prawdziwe naruszenia zabezpieczeń i zmniejszyć zmęczenie alertów wynikające z obsługi dużych ilości wykrywania fałszywie dodatniego:

• Konfigurowanie zakresów adresów IP
• Dostrajanie zasad wykrywania anomalii
• Dostrajanie zasad wykrywania anomalii odnajdywania w chmurze
• Dostrajanie zasad wykrywania opartego na regułach
• Konfigurowanie alertów
• Badanie i korygowanie

Faza 1. Konfigurowanie zakresów adresów IP

Przed skonfigurowaniem poszczególnych zasad zaleca się skonfigurowanie zakresów adresów IP, tak aby były one dostępne do użycia podczas dostrajania wszelkiego rodzaju zasad wykrywania podejrzanych działań użytkowników.

Ponieważ informacje o adresach IP mają kluczowe znaczenie dla prawie wszystkich badań, skonfigurowanie znanych adresów IP pomaga naszym algorytmom uczenia maszynowego zidentyfikować znane lokalizacje i uznać je za część modeli uczenia maszynowego. Na przykład dodanie zakresu adresów IP sieci VPN pomoże modelowi poprawnie sklasyfikować ten zakres adresów IP i automatycznie wykluczyć go z niemożliwych wykrycia podróży, ponieważ lokalizacja sieci VPN nie reprezentuje rzeczywistej lokalizacji tego użytkownika.

Uwaga: skonfigurowane zakresy adresów IP nie są ograniczone do wykrywania i są używane w Defender for Cloud Apps w obszarach takich jak działania w dzienniku aktywności, dostęp warunkowy itp. Pamiętaj o tym podczas konfigurowania zakresów. Na przykład zidentyfikowanie fizycznych adresów IP biura umożliwia dostosowanie sposobu wyświetlania i badania dzienników i alertów.

Przejrzyj wbudowane alerty wykrywania anomalii

Defender for Cloud Apps zawiera zestaw alertów wykrywania anomalii do identyfikowania różnych scenariuszy zabezpieczeń. Te wykrycia są automatycznie włączane po włączeniu i zaczną profilować aktywność użytkowników i generować alerty natychmiast po nawiązaniu połączenia z odpowiednimi łącznikami aplikacji .

Zacznij od zapoznania się z różnymi zasadami wykrywania, określania priorytetów najważniejszych scenariuszy, które twoim zdaniem są najbardziej istotne dla twojej organizacji, i odpowiedniego dostrajania zasad.

Faza 2. Dostrajanie zasad wykrywania anomalii

Kilka wbudowanych zasad wykrywania anomalii jest dostępnych w Defender for Cloud Apps, które są wstępnie skonfigurowane dla typowych przypadków użycia zabezpieczeń. Zapoznanie się z bardziej popularnymi wykryciami, takimi jak:

• Niemożliwa podróż
  Działania tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami.
• Aktywność z rzadkiego kraju
  Działanie z lokalizacji, która nie była ostatnio odwiedzana lub nigdy nie była odwiedzana przez użytkownika.
• Wykrywanie złośliwego oprogramowania
  Skanuje pliki w aplikacjach w chmurze i uruchamia podejrzane pliki za pośrednictwem aparatu analizy zagrożeń firmy Microsoft, aby ustalić, czy są one skojarzone ze znanym złośliwym oprogramowaniem.
• Działanie wymuszające okup
  Plik jest przekazywany do chmury, która może zostać zainfekowana oprogramowaniem wymuszającym okup.
• Działanie z podejrzanych adresów IP
  Działanie z adresu IP, który został zidentyfikowany jako ryzykowny przez usługę Microsoft Threat Intelligence.
• Podejrzane przekazywanie skrzynki odbiorczej
  Wykrywa podejrzane reguły przekazywania skrzynki odbiorczej ustawione w skrzynce odbiorczej użytkownika.
• Nietypowe działania pobierania wielu plików
  Wykrywa wiele działań pobierania plików w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia.
• Nietypowe działania administracyjne
  Wykrywa wiele działań administracyjnych w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia.

Aby uzyskać pełną listę wykrywania i ich działania, zobacz Zasady wykrywania anomalii.

Uwaga

Chociaż niektóre z wykrywania anomalii koncentrują się głównie na wykrywaniu problematycznych scenariuszy zabezpieczeń, inne mogą pomóc w identyfikowaniu i badaniu nietypowych zachowań użytkowników, które niekoniecznie mogą wskazywać na naruszenie zabezpieczeń. W przypadku takich wykryć utworzyliśmy inny typ danych o nazwie "zachowania", który jest dostępny w Microsoft Defender XDR zaawansowanym środowisku wyszukiwania zagrożeń. Aby uzyskać więcej informacji, zobacz Zachowania.

Po zapoznaniu się z zasadami należy zastanowić się, jak dostosować je do konkretnych wymagań organizacji, aby lepiej kierować działania, które warto dokładniej zbadać.

1. Zasady zakresu dla określonych użytkowników lub grup

   Określanie zakresu zasad dla konkretnych użytkowników może pomóc w ograniczeniu szumu z alertów, które nie są istotne dla Organizacji. Poszczególne zasady można skonfigurować tak, aby uwzględniały lub wykluczały określonych użytkowników i grupy, na przykład w następujących przykładach:

   • Symulacje ataków
     Wiele organizacji używa użytkownika lub grupy do ciągłego symulowania ataków. Oczywiście ciągłe otrzymywanie alertów z działań tych użytkowników nie ma sensu. W związku z tym można skonfigurować zasady, aby wykluczyć tych użytkowników lub grupy. Pomaga to również modelom uczenia maszynowego zidentyfikować tych użytkowników i odpowiednio dostosować ich progi dynamiczne.
   • Wykrywanie docelowe
     Twoja organizacja może być zainteresowana badaniem określonej grupy użytkowników vipów, takich jak członkowie administratora lub grupy CXO. W tym scenariuszu można utworzyć zasady dla działań, które chcesz wykryć, i wybrać tylko zestaw użytkowników lub grup, które Cię interesują.

2. Dostrajanie nietypowych wykrywania logowania

   Niektóre organizacje chcą wyświetlać alerty wynikające z nieudanych działań logowania , ponieważ mogą wskazywać, że ktoś próbuje kierować co najmniej jedno konto użytkownika. Z drugiej strony ataki siłowe na konta użytkowników są wykonywane cały czas w chmurze, a organizacje nie mają możliwości zapobiegania im. W związku z tym większe organizacje zazwyczaj decydują się na otrzymywanie alertów tylko dla podejrzanych działań logowania, które powodują pomyślne działania logowania, ponieważ mogą one reprezentować prawdziwe kompromisy.

   Kradzież tożsamości jest kluczowym źródłem naruszenia zabezpieczeń i stanowi poważny wektor zagrożeń dla Organizacji. Nasze niemożliwe podróże, aktywność z podejrzanych adresów IP i rzadko występujące alerty wykrywania kraju/regionu ułatwiają odnajdywanie działań sugerujących, że konto jest potencjalnie zagrożone.

3. Dostroj czułość niemożliwego podróżySkonfiguruj suwak poufności , który określa poziom pomijania stosowany do nietypowego zachowania przed wyzwoleniem alertu o niemożliwym podróży. Na przykład organizacje zainteresowane wysoką wiernością powinny rozważyć zwiększenie poziomu poufności. Z drugiej strony, jeśli organizacja ma wielu użytkowników, którzy podróżują, rozważ obniżenie poziomu poufności, aby pominąć działania z typowych lokalizacji użytkownika poznanych na podstawie poprzednich działań. Możesz wybrać spośród następujących poziomów poufności:

   • Niski: pomijanie systemów, dzierżaw i użytkowników
   • Średni: Pomijania systemów i użytkowników
   • Wysoki: tylko pominięcia systemu

   Gdzie:

   Typ pomijania	Opis
   System	Wbudowane wykrywania, które są zawsze pomijane.
   Dzierżawca	Typowe działania oparte na poprzednim działaniu w dzierżawie. Na przykład pomijanie działań ze strony usługodawcy sieciowego, który wcześniej otrzymywał alerty w organizacji.
   Użytkownik	Typowe działania na podstawie poprzedniej aktywności określonego użytkownika. Na przykład pomijanie działań z lokalizacji, która jest często używana przez użytkownika.

Faza 3. Dostrajanie zasad wykrywania anomalii w chmurze

Podobnie jak w przypadku zasad wykrywania anomalii, istnieje kilka wbudowanych zasad wykrywania anomalii odnajdywania w chmurze , które można dostosować. Na przykład eksfiltracja danych do nieusankcjonowanych aplikacji powoduje wyświetlenie alertów, gdy dane są eksfiltrowane do niesankcjonowanej aplikacji i są wstępnie konfigurowane z ustawieniami opartymi na środowisku firmy Microsoft w polu zabezpieczeń.

Można jednak dostosować wbudowane zasady lub utworzyć własne zasady, aby ułatwić identyfikowanie innych scenariuszy, które mogą cię zainteresować badaniem. Ponieważ te zasady są oparte na dziennikach odnajdywania w chmurze, mają różne możliwości dostrajania bardziej skoncentrowane na nietypowym zachowaniu aplikacji i eksfiltracji danych.

1. Dostrajanie monitorowania użycia
   Ustaw filtry użycia, aby kontrolować punkt odniesienia, zakres i okres działania w celu wykrywania nietypowego zachowania. Możesz na przykład otrzymywać alerty dotyczące nietypowych działań dotyczących pracowników na poziomie kadry kierowniczej.

2. Dostrajanie poufności alertów
   Aby zapobiec zmęczeniu alertów, skonfiguruj czułość alertów. Suwak poufności umożliwia kontrolowanie liczby alertów wysokiego ryzyka wysyłanych na 1000 użytkowników tygodniowo. Wyższe czułości wymagają mniejszej wariancji, aby uznać je za anomalię i wygenerować więcej alertów. Ogólnie rzecz biorąc, ustaw niską czułość dla użytkowników, którzy nie mają dostępu do poufnych danych.

Faza 4. Dostrajanie zasad wykrywania (działania) opartych na regułach

Zasady wykrywania oparte na regułach umożliwiają uzupełnianie zasad wykrywania anomalii o wymagania specyficzne dla organizacji. Zalecamy utworzenie zasad opartych na regułach przy użyciu jednego z naszych szablonów zasad działania (przejdź do obszaru Szablony kontrolek> i ustaw filtr Typ na zasady działania), a następnie skonfiguruj je do wykrywania zachowań, które nie są normalne dla danego środowiska. Na przykład w przypadku niektórych organizacji, które nie mają żadnej obecności w określonym kraju/regionie, warto utworzyć zasady, które wykrywają nietypowe działania z tego kraju/regionu i wysyłają na nie alerty. Dla innych, którzy mają duże oddziały w tym kraju/regionie, działania z tego kraju/regionu byłyby normalne i wykrywanie takich działań nie miałoby sensu.

1. Dostrajanie woluminu aktywności
   Wybierz wymaganą ilość aktywności, zanim wykrycie zgłosi alert. W naszym przykładzie kraju/regionu, jeśli nie masz obecności w kraju/regionie, nawet pojedyncza działalność jest znacząca i gwarantuje alert. Jednak niepowodzenie logowania jednokrotnego może być błędem ludzkim i być interesujące tylko wtedy, gdy w krótkim okresie wystąpi wiele błędów.
2. Dostrajanie filtrów działań
   Ustaw filtry wymagane do wykrywania typu działania, na które chcesz otrzymywać alerty. Aby na przykład wykryć działanie z kraju/regionu, użyj parametru Lokalizacja .
3. Dostrajanie alertów
   Aby zapobiec zmęczeniu alertów, ustaw dzienny limit alertów.

Faza 5. Konfigurowanie alertów

Uwaga

Od 15 grudnia 2022 r. alerty/wiadomości SMS (wiadomości SMS) są przestarzałe. Jeśli chcesz otrzymywać alerty tekstowe, użyj usługi Microsoft Power Automate do automatyzacji alertów niestandardowych. Aby uzyskać więcej informacji, zobacz Integracja z usługą Microsoft Power Automate na potrzeby niestandardowej automatyzacji alertów.

Możesz otrzymywać alerty w formacie i medium, które najbardziej odpowiada Twoim potrzebom. Aby otrzymywać natychmiastowe alerty o dowolnej porze dnia, możesz chcieć otrzymywać je za pośrednictwem poczty e-mail.

Możesz również chcieć analizować alerty w kontekście innych alertów wyzwalanych przez inne produkty w organizacji, aby zapewnić całościowy wgląd w potencjalne zagrożenie. Na przykład możesz chcieć skorelować zdarzenia oparte na chmurze i lokalne, aby sprawdzić, czy istnieją inne dowody łagodzące, które mogą potwierdzić atak.

Ponadto możesz również wyzwolić niestandardową automatyzację alertów, korzystając z integracji z usługą Microsoft Power Automate. Możesz na przykład skonfigurować podręcznik automatycznie tworzący problem w usłudze ServiceNow lub wysłać wiadomość e-mail z zatwierdzeniem w celu wykonania niestandardowej akcji ładu po wyzwoleniu alertu.

Aby skonfigurować alerty, skorzystaj z następujących wskazówek:

1. Poczta e-mail
   Wybierz tę opcję, aby otrzymywać alerty pocztą e-mail.
2. SIEM
   Istnieje kilka opcji integracji rozwiązania SIEM, w tym Microsoft Sentinel, microsoft Graph interfejs API Zabezpieczenia i inne ogólne moduły SIEM. Wybierz integrację, która najlepiej spełnia Twoje wymagania.
3. Automatyzacja usługi Power Automate
   Utwórz wymagane podręczniki automatyzacji i ustaw go jako alert zasad na akcję usługi Power Automate.

Faza 6. Badanie i korygowanie

Świetnie, skonfigurujesz zasady i zaczniesz otrzymywać alerty o podejrzanych działaniach. Co należy z nimi zrobić? Aby rozpocząć, należy wykonać kroki w celu zbadania działania. Możesz na przykład przyjrzeć się działaniom wskazującym, że użytkownik został naruszony.

Aby zoptymalizować ochronę, należy rozważyć skonfigurowanie automatycznych akcji korygowania w celu zminimalizowania ryzyka dla organizacji. Nasze zasady umożliwiają stosowanie akcji ładu w połączeniu z alertami, dzięki czemu ryzyko dla organizacji zostanie zmniejszone jeszcze przed rozpoczęciem badania. Dostępne akcje są określane przez typ zasad, w tym akcje, takie jak zawieszenie użytkownika lub zablokowanie dostępu do żądanego zasobu.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.

Dowiedz się więcej

• Wypróbuj nasz interaktywny przewodnik: Wykrywanie zagrożeń i zarządzanie alertami przy użyciu Microsoft Defender for Cloud Apps