Изучение оповещений об обнаружении аномалий

Microsoft Defender for Cloud Apps обеспечивает обнаружение и оповещение о вредоносных действиях. Цель этого руководства — предоставить общие и практические сведения о каждом оповещении, чтобы помочь вам в задачах по исследованию и исправлению. В этом руководстве содержатся общие сведения об условиях запуска оповещений. Однако важно отметить, что, поскольку обнаружение аномалий недетерминировано по своей природе, они активируются только при наличии поведения, которое отклоняется от нормы. Наконец, некоторые оповещения могут находиться в предварительной версии, поэтому регулярно просматривайте официальную документацию на наличие обновленного состояния оповещения.

MITRE ATT&CK

Чтобы объяснить и упростить сопоставление связи между оповещениями Defender for Cloud Apps и знакомой матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода предполагаемых атак, потенциально используемого при срабатывании оповещения Defender for Cloud Apps.

В этом руководстве содержатся сведения об исследовании и исправлении оповещений Defender for Cloud Apps в следующих категориях.

• Исходный доступ
• Выполнение
• Сохранение
• Повышение привилегий
• Доступ к учетным данным
• Collection
• Кража данных
• Влияние

Классификации оповещений системы безопасности

После надлежащего исследования все оповещения Defender for Cloud Apps можно классифицировать как один из следующих типов действий:

• True positive (TP) — оповещение о подтвержденном вредоносном действии.
• Доброкачественный истинно положительный результат (B-TP): оповещение о подозрительных, но не вредоносных действиях, таких как тест на проникновение или другое санкционированное подозрительное действие.
• Ложноположительные срабатывания (FP): оповещение о невредоносном действии.

Общие шаги исследования

При изучении любого типа оповещений следует использовать следующие общие рекомендации, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.

• Просмотрите оценку приоритета исследования пользователя и сравните с остальной частью организации. Это поможет определить, какие пользователи в вашей организации представляют наибольший риск.
• Если вы определите TP, просмотрите все действия пользователя, чтобы получить представление о влиянии.
• Просмотрите все действия пользователей на наличие других индикаторов компрометации и изучите источник и область влияния. Например, просмотрите следующие сведения об устройстве пользователя и сравните с известными сведениями об устройстве:
  • Операционная система и версия
  • Браузер и версия
  • IP-адрес и расположение

Оповещения об исходном доступе

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может попытаться закрепиться в вашей организации.

Действие с анонимного IP-адреса

Описание

Действия с IP-адреса, который был определен как IP-адрес анонимного прокси-сервера Microsoft Threat Intelligence или вашей организацией. Эти прокси-серверы можно использовать для скрытия IP-адреса устройства и для вредоносных действий.

TP, B-TP или FP?

В этом обнаружении используется алгоритм машинного обучения, который сокращает количество инцидентов B-TP , таких как IP-адреса с неправильными тегами, которые широко используются пользователями в организации.

1. TP: если вы можете подтвердить, что действие было выполнено с анонимного ИЛИ IP-адреса TOR.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. B-TP: если известно, что пользователь использует анонимные IP-адреса в область своих обязанностей. Например, когда аналитик безопасности проводит тесты на безопасность или проникновение от имени организации.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

• Проверьте все действия пользователей и оповещения на наличие других индикаторов компрометации. Например, если за оповещением следовало другое подозрительное оповещение, например скачивание необычного файла (по пользователю) или оповещение о подозрительной пересылке папки "Входящие" , которое часто указывает на то, что злоумышленник пытается эксфильтровать данные.

Действия из нетипичных стран.

Действия из страны или региона, которые могут указывать на вредоносные действия. Эта политика профилирует вашу среду и активирует оповещения при обнаружении действий из расположения, которое не было недавно или никогда не посещал ни один пользователь в организации.

Политика может быть дополнительно ограничена подмножеством пользователей или может исключать пользователей, которые, как известно, перемещаются в удаленные расположения.

Период обучения

Для обнаружения аномальных расположений требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие:

   1. Приостановите пользователя, сбросьте его пароль и определите подходящее время для безопасного повторного включения учетной записи.
   2. Необязательно. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями, обнаруженными как подключенные из редких расположений, и их руководителями, чтобы проверить их действия.

2. B-TP: если известно, что пользователь находится в этом расположении. Например, когда пользователь, который часто путешествует и в настоящее время находится в указанном расположении.

   Рекомендуемое действие:

   1. Закройте оповещение и измените политику, чтобы исключить пользователя.
   2. Создайте группу пользователей для частых путешественников, импортируйте группу в Defender for Cloud Apps и исключите пользователей из этого оповещения.
   3. Необязательно. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями, обнаруженными как подключенные из редких расположений, и их руководителями, чтобы проверить их действия.

Знакомство с областью бреши в системе безопасности

• Проверьте, какой ресурс мог быть скомпрометирован, например потенциальные загрузки данных.

Действия с подозрительных IP-адресов.

Действия с IP-адреса, который был определен как рискованные Microsoft Threat Intelligence или вашей организацией. Эти IP-адреса были определены как участвующие в вредоносных действиях, таких как распыление паролей, команды и управление ботнетом (C&C), и могут указывать на компрометацию учетной записи.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. B-TP: если известно, что пользователь использует IP-адрес в область своих обязанностей. Например, когда аналитик безопасности проводит тесты на безопасность или проникновение от имени организации.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий и найдите действия с одного IP-адреса.
2. Проверьте, какой ресурс мог быть скомпрометирован, например потенциальные загрузки данных или административные изменения.
3. Создайте группу для аналитиков безопасности, добровольно активировав эти оповещения, и исключите их из политики.

Невозможное путешествие

Действия одного и того же пользователя в разных расположениях в течение периода времени, который короче ожидаемого времени в пути между двумя расположениями. Это может указывать на нарушение учетных данных, однако также возможно, что фактическое расположение пользователя маскируется, например с помощью VPN.

Чтобы повысить точность и оповещение только при наличии надежных признаков нарушения, Defender for Cloud Apps устанавливает базовые показатели для каждого пользователя в организации и будет оповещать только при обнаружении необычного поведения. Политика невозможных путешествий может быть точно настроена в соответствии с вашими требованиями.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

В этом обнаружении используется алгоритм машинного обучения, который игнорирует очевидные условия B-TP , например, если IP-адреса по обе стороны поездки считаются безопасными, поездка является доверенной и исключается из запуска обнаружения невозможных поездок. Например, обе стороны считаются безопасными, если они помечены как корпоративные. Однако если IP-адрес только одной стороны поездки считается безопасным, обнаружение активируется как обычно.

1. TP: если вы можете подтвердить, что расположение в оповещении о невозможности перемещения маловероятно для пользователя.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (незамеченные поездки пользователя): если вы можете подтвердить, что пользователь недавно путешествовал в пункт назначения, указанный в оповещении. Например, если телефон пользователя, который находится в режиме "в самолете", остается подключенным к таким службам, как Exchange Online в корпоративной сети во время поездки в другое место. Когда пользователь прибывает в новое место, телефон подключается к Exchange Online активирует оповещение о невозможности перемещения.

   Рекомендуемое действие. Закройте оповещение.

3. FP (НЕЗАТЕЙНАЯ VPN): если вы можете подтвердить, что диапазон IP-адресов получен от санкционированного VPN.

   Рекомендуемое действие. Закройте оповещение и добавьте диапазон IP-адресов VPN в Defender for Cloud Apps, а затем используйте его для присвоения тега диапазону IP-адресов VPN.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий, чтобы получить представление о аналогичных действиях в том же расположении и в том же IP-адресе.
2. Если вы видите, что пользователь выполнял другие рискованные действия, такие как скачивание большого объема файлов из нового расположения, это будет убедительным признаком возможного компрометации.
3. Добавьте диапазоны корпоративных VPN и IP-адресов.
4. Создайте сборник схем с помощью Power Automate и обратитесь к менеджеру пользователя, чтобы узнать, находится ли пользователь на законном пути.
5. Рассмотрите возможность создания известной базы данных путешественников для поминутной отчетности о поездках в организации и используйте ее для перекрестной ссылки на поездки.

Вводя в заблуждение имя приложения OAuth

Это обнаружение идентифицирует приложения с символами, такими как внешние буквы, которые напоминают латинские буквы. Это может указывать на попытку замаскировать вредоносное приложение под известное и доверенное приложение, чтобы злоумышленники могли обмануть пользователей при скачивании вредоносного приложения.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что имя приложения вводит в заблуждение.

   Рекомендуемое действие. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ. На основе исследования вы можете запретить доступ к этому приложению.

Чтобы запретить доступ к приложению, на вкладках Google или Salesforce на странице Управление приложениями в строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. — Вы можете выбрать, хотите ли вы сообщить пользователям, что приложение, которое они установили и авторизовать, было заблокировано. Уведомление уведомляет пользователей о том, что приложение отключено и у них не будет доступа к подключенное приложение. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. - Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.

1. FP: если вы хотите подтвердить, что приложение имеет вводящее в заблуждение имя, но имеет законное использование в организации.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

• Следуйте инструкциям учебника по изучению рискованных приложений OAuth.

Неправильное имя издателя для приложения OAuth

Это обнаружение идентифицирует приложения с символами, такими как внешние буквы, которые напоминают латинские буквы. Это может указывать на попытку замаскировать вредоносное приложение под известное и доверенное приложение, чтобы злоумышленники могли обмануть пользователей при скачивании вредоносного приложения.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что у приложения есть вводящее в заблуждение имя издателя.

   Рекомендуемое действие. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ. На основе исследования вы можете запретить доступ к этому приложению.

2. FP: если вы хотите убедиться, что приложение имеет неправильное имя издателя, но является допустимым издателем.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. На вкладках Google или Salesforce на странице Управление приложениями выберите приложение, чтобы открыть панель приложений, а затем выберите Связанные действия. Откроется страница журнала действий , отфильтрованной по действиям, выполняемым приложением. Помните, что некоторые приложения выполняют действия, зарегистрированные как выполненные пользователем. Эти действия автоматически отфильтровываются по результатам в журнале действий. Дополнительные сведения о журнале действий см. в разделе Журнал действий.
2. Если вы подозреваете, что приложение является подозрительным, рекомендуется изучить имя и издателя приложения в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
   • Приложения с небольшим количеством скачиваний.
   • Приложения с низкой оценкой или плохими комментариями.
   • Приложения с подозрительным издателем или веб-сайтом.
   • Приложения, которые не обновлялись в последнее время. Это может указывать на приложение, которое больше не поддерживается.
   • Приложения с нерелевантными разрешениями. Это может означать, что приложение является рискованным.
3. Если вы по-прежнему подозреваете, что приложение является подозрительным, вы можете просмотреть имя приложения, издателя и URL-адрес в Интернете.

Оповещения о выполнении

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может попытаться запустить вредоносный код в вашей организации.

Многократные действия по удалению хранилища.

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество удалений облачного хранилища или базы данных из ресурсов, таких как BLOB-объекты Azure, контейнеры AWS S3 или Cosmos DB, по сравнению с изученным базовым показателем. Это может указывать на попытку взлома вашей организации.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы хотите подтвердить, что удаление было несанкционированным.

   Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей на наличие других индикаторов компрометации и изучите область влияния.

2. FP: Если после исследования вы можете подтвердить, что администратор был уполномочен выполнять эти действия удаления.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Обратитесь к пользователю и подтвердите действие.
2. Просмотрите журнал действий на наличие других индикаторов компрометации и узнайте, кто внес изменения.
3. Проверьте действия этого пользователя на наличие изменений в других службах.

Многократные действия по созданию виртуальных машин.

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество действий по созданию виртуальной машины по сравнению с изученным базовым показателем. Создание нескольких виртуальных машин в нарушенной облачной инфраструктуре может указывать на попытку выполнения операций майнинга шифрования из организации.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии надежных признаков нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации, чтобы сократить число инцидентов B-TP , например администратор создал больше виртуальных машин, чем установленный базовый план, и оповещает только при обнаружении необычного поведения.

• TP: если вы можете подтвердить, что действия по созданию не были выполнены законным пользователем.

  Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей на наличие других индикаторов компрометации и изучите область влияния. Кроме того, обратитесь к пользователю, подтвердите его законные действия, а затем убедитесь, что вы отключите или удалили все скомпрометированные виртуальные машины.

• B-TP. Если после исследования вы можете подтвердить, что администратор был уполномочен выполнять эти действия по созданию.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей на наличие других индикаторов компрометации.
2. Проверьте ресурсы, созданные или измененные пользователем, и убедитесь, что они соответствуют политикам вашей организации.

Подозрительное действие создания для облачного региона (предварительная версия)

Действия, указывающие, что пользователь выполнил необычное действие по созданию ресурсов в необычном регионе AWS по сравнению с изученным базовым показателем. Создание ресурсов в редких облачных регионах может указывать на попытку выполнения вредоносных действий, таких как операции майнинга шифрования, из вашей организации.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии надежных признаков нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации, чтобы сократить число инцидентов B-TP .

• TP: если вы можете подтвердить, что действия по созданию не были выполнены законным пользователем.

  Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей на наличие других индикаторов компрометации и изучите область влияния. Кроме того, обратитесь к пользователю, подтвердите его законные действия, а затем убедитесь, что вы отключите или удалите все скомпрометированные облачные ресурсы.

• B-TP. Если после исследования вы можете подтвердить, что администратор был уполномочен выполнять эти действия по созданию.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей на наличие других индикаторов компрометации.
2. Проверьте созданные ресурсы и убедитесь, что они соответствуют политикам вашей организации.

Оповещения о сохраняемости

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может попытаться сохранить свою опору в вашей организации.

Действия, выполняемые пользователем с приостановленным доступом.

Действия, выполняемые прерванным пользователем, могут указывать на то, что уволенный сотрудник, который по-прежнему имеет доступ к корпоративным ресурсам, пытается выполнить вредоносную деятельность. Defender for Cloud Apps профилирует пользователей в организации и активирует оповещение при выполнении действия, завершаемого пользователем.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что у прерванного пользователя по-прежнему есть доступ к определенным корпоративным ресурсам и что он выполняет действия.

   Рекомендуемое действие: отключить пользователя.

2. B-TP: если вы можете определить, что пользователь был временно отключен или удален и повторно зарегистрирован.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Перекрестная ссылка на записи отдела кадров для подтверждения завершения работы пользователя.
2. Проверьте наличие учетной записи пользователя Microsoft Entra.

   Примечание.

   При использовании Microsoft Entra Connect проверьте объект локальная служба Active Directory и подтвердите успешное выполнение цикла синхронизации.

3. Определите все приложения, к которым у прерванного пользователя был доступ, и списание учетных записей.
4. Обновление процедур вывода из эксплуатации.

Подозрительное изменение службы ведения журнала CloudTrail

Действия в одном сеансе, указывающие, что пользователь выполнил подозрительные изменения в службе ведения журнала AWS CloudTrail. Это может указывать на попытку взлома вашей организации. При отключении CloudTrail операционные изменения больше не регистрируются. Злоумышленник может выполнять вредоносные действия, избегая события аудита CloudTrail, например изменять контейнер S3 с частного на общедоступный.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие: приостановить пользователя, сбросить его пароль и отменить действие CloudTrail.

2. FP: если вы можете подтвердить, что пользователь законно отключил службу CloudTrail.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий на наличие других индикаторов компрометации и узнайте, кто внес изменения в службу CloudTrail.
2. Необязательно. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями и их руководителями для проверки их действий.

Подозрительные действия по удалению электронной почты (по пользователям)

Действия в одном сеансе, указывающие, что пользователь выполнил подозрительное удаление электронной почты. Тип удаления был типом "жесткое удаление", что делает элемент электронной почты удаленным и недоступным в почтовом ящике пользователя. Удаление было выполнено из подключения, которое включает в себя необычные настройки, такие как поставщик услуг Интернета, страна или регион и агент пользователя. Это может указывать на попытку взлома вашей организации, например злоумышленники пытаются замаскировать операции, удалив электронные письма, связанные со спамом.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP: если вы можете подтвердить, что пользователь законно создал правило для удаления сообщений.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

• Просмотрите все действия пользователей на наличие других индикаторов компрометации, таких как оповещение о подозрительной пересылке папки "Входящие" , за которым следует оповещение "Невозможное путешествие ". Найдите:

  1. Новые правила переадресации SMTP, как показано ниже.
     • Проверьте наличие вредоносных имен правил переадресации. Имена правил могут отличаться от простых имен, таких как "Пересылать все сообщения электронной почты" и "Автоматическая пересылка", или обманчивых имен, таких как едва видимые ".". Имена правил переадресации могут даже быть пустыми, а получателем переадресации может быть одна учетная запись электронной почты или весь список. Вредоносные правила также могут быть скрыты в пользовательском интерфейсе. После обнаружения вы можете использовать эту полезную запись блога о том, как удалить скрытые правила из почтовых ящиков.
     • При обнаружении нераспознанного правила переадресации на неизвестный внутренний или внешний адрес электронной почты можно предположить, что учетная запись папки "Входящие" была скомпрометирована.
  2. Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или правила с неясными соглашениями об именовании, например "...".
  3. Увеличение количества отправленных сообщений электронной почты.

Подозрительное правило манипуляции с папкой "Входящие"

Действия, указывающие, что злоумышленник получил доступ к папке "Входящие" пользователя и создал подозрительное правило. Правила манипуляции, такие как удаление или перемещение сообщений или папок из папки "Входящие" пользователя, могут быть попыткой удалить информацию из вашей организации. Аналогичным образом они могут указывать на попытку манипулировать информацией, которую видит пользователь, или использовать свою папку "Входящие" для распространения спама, фишинга или вредоносных программ. Defender for Cloud Apps профилирует среду и активирует оповещения при обнаружении подозрительных правил обработки папки "Входящие" в папке "Входящие". Это может означать, что учетная запись пользователя скомпрометирована.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что было создано вредоносное правило папки "Входящие" и учетная запись была скомпрометирована.

   Рекомендуемое действие. Приостановите пользователя, сбросьте его пароль и удалите правило переадресации.

2. FP: если вы можете подтвердить, что пользователь создал правило на законных основаниях.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия пользователей на наличие других индикаторов компрометации, таких как оповещение о подозрительной пересылке папки "Входящие" , за которым следует оповещение "Невозможное путешествие ". Найдите:
   • Новые правила переадресации SMTP.
   • Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или правила с неясными соглашениями об именовании, например "...".
2. Сбор сведений об IP-адресе и расположении для действия.
3. Проверьте действия, выполненные с IP-адреса, используемого для создания правила, чтобы обнаружить других скомпрометированных пользователей.

Оповещения об эскалации привилегий

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может попытаться получить разрешения более высокого уровня в вашей организации.

Необычные административные действия (по пользователям)

Действия, указывающие, что злоумышленник скомпрометировал учетную запись пользователя и выполнил административные действия, которые не являются типичными для этого пользователя. Например, злоумышленник может попытаться изменить параметр безопасности для пользователя, что является относительно редкой операцией для обычного пользователя. Defender for Cloud Apps создает базовый план на основе поведения пользователя и активирует оповещение при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным администратором.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP: если вы можете подтвердить, что администратор на законных основаниях выполнил необычный объем административных действий.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей на наличие других индикаторов компрометации, таких как подозрительная пересылка папки "Входящие" или "Невозможное путешествие".
2. Просмотрите другие изменения конфигурации, например создание учетной записи пользователя, которая может использоваться для сохранения.

Оповещения о доступе к учетным данным

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может попытаться украсть имена учетных записей и пароли из вашей организации.

Многократные неудачные попытки входа.

Неудачные попытки входа могут указывать на попытку взлома учетной записи. Однако неудачные имена входа также могут быть нормальным поведением. Например, если пользователь ввел неправильный пароль по ошибке. Чтобы обеспечить точность и оповещение только при наличии надежных признаков попытки нарушения, Defender for Cloud Apps устанавливает базовые привычки входа для каждого пользователя в организации и будет оповещать только при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

Эта политика основана на изучении обычного поведения пользователя при входе. При обнаружении отклонения от нормы активируется оповещение. Если обнаружение начинает видеть, что такое же поведение продолжается, оповещение создается только один раз.

1. TP (MFA сбой). Если вы можете убедиться, что MFA работает правильно, это может быть признаком попытки атаки методом подбора.

   Рекомендуемые действия:

   1. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.
   2. Найдите приложение, которое выполнило неудачную проверку подлинности, и перенастроите его.
   3. Найдите других пользователей, вошедшего в систему во время действия, так как они также могут быть скомпрометированы. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. B-TP (MFA сбой). Если вы можете подтвердить, что оповещение вызвано проблемой с MFA.

   Рекомендуемое действие. Создайте сборник схем с помощью Power Automate, чтобы связаться с пользователем и проверка, если у него возникли проблемы с MFA.

3. B-TP (неправильно настроенное приложение): если вы можете подтвердить, что неправильно настроенное приложение пытается подключиться к службе несколько раз с истекшим сроком действия учетных данных.

   Рекомендуемое действие. Закройте оповещение.

4. B-TP (изменен пароль). Если вы можете подтвердить, что пользователь недавно изменил свой пароль, но это не повлияло на учетные данные в общих сетевых ресурсах.

   Рекомендуемое действие. Закройте оповещение.

5. B-TP (тест безопасности). Если вы можете подтвердить, что анализ безопасности или на проникновение проводится аналитиками безопасности от имени организации.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия пользователей на наличие других индикаторов компрометации, например, за оповещением следует одно из следующих оповещений: Невозможное путешествие, Действие с анонимного IP-адреса или Действие из редкой страны.
2. Просмотрите следующие сведения об устройстве пользователя и сравните с известными сведениями об устройстве:
   • Операционная система и версия
   • Браузер и версия
   • IP-адрес и расположение
3. Определите исходный IP-адрес или расположение, в котором была предпринята попытка проверки подлинности.
4. Определите, изменил ли пользователь пароль недавно, и убедитесь, что все приложения и устройства имеют обновленный пароль.

Необычное добавление учетных данных в приложение OAuth.

Это обнаружение определяет подозрительное добавление привилегированных учетных данных в приложение OAuth. Это может означать, что злоумышленник скомпрометировал приложение и использует его для вредоносных действий.

Период обучения

Для изучения среды вашей организации требуется период в семь дней, в течение которого вы можете ожидать большого объема оповещений.

Необычный поставщик услуг Интернета для приложения OAuth

Обнаружение определяет приложение OAuth, подключающееся к облачному приложению от поставщика услуг Интернета, что редко встречается для приложения. Это может означать, что злоумышленник пытался использовать законное скомпрометированное приложение для выполнения вредоносных действий в облачных приложениях.

Период обучения

Период обучения для этого обнаружения составляет 30 дней.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было законным действием приложения OAuth или что этот поставщик услуг Интернета не используется допустимым приложением OAuth.

   Рекомендуемое действие. Отмените все маркеры доступа приложения OAuth и проверьте, имеет ли злоумышленник доступ к созданию маркеров доступа OAuth.

2. FP: если вы можете подтвердить, что действие было выполнено на законных основаниях подлинным приложением OAuth.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите действия, выполняемые приложением OAuth.

2. Проверьте, имеет ли злоумышленник доступ к созданию маркеров доступа OAuth.

Оповещения о сборе

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может попытаться собрать данные, интересующие их цели, из вашей организации.

Несколько действий совместного доступа к отчетам Power BI

Действия в одном сеансе, указывающие на то, что пользователь выполнил необычное количество действий с отчетами об общих ресурсах в Power BI по сравнению с изученным базовым показателем. Это может указывать на попытку взлома вашей организации.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Удаление общего доступа из Power BI. Если вы можете подтвердить компрометацию учетной записи, приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP: если вы можете подтвердить, что у пользователя есть бизнес-обоснование для предоставления общего доступа к этим отчетам.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий, чтобы лучше понять другие действия, выполняемые пользователем. Просмотрите IP-адрес, с помощью который они вошли в систему, и сведения об устройстве.
2. Обратитесь к команде Power BI или Information Protection, чтобы ознакомиться с рекомендациями по совместному и внутреннему и внешнему обмену отчетами.

Подозрительный общий доступ к отчетам Power BI

Действия, указывающие, что пользователь предоставил общий доступ к отчету Power BI, который может содержать конфиденциальную информацию, определяемую с помощью NLP для анализа метаданных отчета. Отчет был предоставлен на внешний адрес электронной почты, опубликован в Интернете или snapshot был доставлен на адрес электронной почты, подписанный извне. Это может указывать на попытку взлома вашей организации.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Удаление общего доступа из Power BI. Если вы можете подтвердить компрометацию учетной записи, приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP: если вы можете подтвердить, что у пользователя есть бизнес-обоснование для предоставления общего доступа к этим отчетам.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий, чтобы лучше понять другие действия, выполняемые пользователем. Просмотрите IP-адрес, с помощью который они вошли в систему, и сведения об устройстве.
2. Обратитесь к команде Power BI или Information Protection, чтобы ознакомиться с рекомендациями по совместному и внутреннему и внешнему обмену отчетами.

Необычные олицетворенные действия (по пользователю)

В некоторых программах существуют варианты, позволяющие другим пользователям олицетворять других пользователей. Например, службы электронной почты позволяют пользователям авторизовать других пользователей для отправки электронной почты от их имени. Это действие обычно используется злоумышленниками для создания фишинговых сообщений электронной почты при попытке извлечь сведения о вашей организации. Defender for Cloud Apps создает базовый план на основе поведения пользователя и создает действие при обнаружении необычного действия олицетворения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (необычное поведение). Если вы можете подтвердить, что пользователь на законных основаниях выполнил необычные действия или больше действий, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

3. FP: если вы можете подтвердить, что приложения, такие как Teams, на законных основаниях олицетворяют пользователя.

   Рекомендуемое действие: просмотрите действия и при необходимости закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей и оповещения на наличие дополнительных индикаторов компрометации.
2. Просмотрите действия олицетворения, чтобы определить потенциальные вредоносные действия.
3. Проверьте конфигурацию делегированного доступа.

Оповещения о краже

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может попытаться украсть данные из вашей организации.

Подозрительная пересылка входящих сообщений.

Действия, указывающие, что злоумышленник получил доступ к папке "Входящие" пользователя и создал подозрительное правило. Правила манипуляции, такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, могут быть попыткой удаления информации из вашей организации. Defender for Cloud Apps профилирует среду и активирует оповещения при обнаружении подозрительных правил обработки папки "Входящие" в папке "Входящие". Это может означать, что учетная запись пользователя скомпрометирована.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что было создано вредоносное правило переадресации папки "Входящие" и что учетная запись была скомпрометирована.

   Рекомендуемое действие. Приостановите пользователя, сбросьте его пароль и удалите правило переадресации.

2. FP: если вы можете подтвердить, что пользователь создал правило переадресации в новую или личную внешнюю учетную запись электронной почты по законным причинам.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей на наличие дополнительных индикаторов компрометации, таких как оповещение о невозможности перемещения . Найдите:

   1. Новые правила переадресации SMTP, как показано ниже.
      • Проверьте наличие вредоносных имен правил переадресации. Имена правил могут отличаться от простых имен, таких как "Пересылать все сообщения электронной почты" и "Автоматическая пересылка", или обманчивых имен, таких как едва видимые ".". Имена правил переадресации могут даже быть пустыми, а получателем переадресации может быть одна учетная запись электронной почты или весь список. Вредоносные правила также могут быть скрыты в пользовательском интерфейсе. После обнаружения вы можете использовать эту полезную запись блога о том, как удалить скрытые правила из почтовых ящиков.
      • При обнаружении нераспознанного правила переадресации на неизвестный внутренний или внешний адрес электронной почты можно предположить, что учетная запись папки "Входящие" была скомпрометирована.
   2. Новые правила папки "Входящие", такие как "удалить все", "переместить сообщения в другую папку", или правила с неясными соглашениями об именовании, например "...".

2. Проверьте действия, выполненные с IP-адреса, используемого для создания правила, чтобы обнаружить других скомпрометированных пользователей.

3. Просмотрите список пересылаемых сообщений с помощью Exchange Online отслеживания сообщений.

Скачивание необычного файла (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество скачивание файлов с облачной платформы хранилища по сравнению с базовым показателем. Это может указывать на попытку получить сведения об организации. Defender for Cloud Apps создает базовый план на основе поведения пользователя и активирует оповещение при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (необычное поведение): если вы можете убедиться, что пользователь выполнил больше действий по скачиванию файлов, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

3. FP (синхронизация программного обеспечения). Если вы можете подтвердить, что программное обеспечение, например OneDrive, синхронизировано с внешней резервной копией, которая вызвала оповещение.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите действия скачивания и создайте список скачанных файлов.
2. Проверьте конфиденциальность скачанных файлов у владельца ресурса и проверьте уровень доступа.

Необычный доступ к файлам (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество обращений к файлам в SharePoint или OneDrive к файлам, содержащим финансовые или сетевые данные, по сравнению с базовым показателем. Это может указывать на попытку получить сведения об организации, будь то в финансовых целях или для доступа к учетным данным и бокового перемещения. Defender for Cloud Apps создает базовый план на основе поведения пользователя и активирует оповещение при обнаружении необычного поведения.

Период обучения

Период обучения зависит от действий пользователя. Как правило, период обучения составляет от 21 до 45 дней для большинства пользователей.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (необычное поведение): если вы можете убедиться, что пользователь выполнил больше действий доступа к файлам, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите действия доступа и создайте список файлов с доступом.
2. Проверьте конфиденциальность файлов, к которым обращается доступ, у владельца ресурса и проверьте уровень доступа.

Необычное действие общего доступа к файлам (по пользователю)

Действия, указывающие, что пользователь выполнил необычное количество действий совместного доступа к файлам на платформе облачного хранилища по сравнению с базовым показателем. Это может указывать на попытку получить сведения об организации. Defender for Cloud Apps создает базовый план на основе поведения пользователя и активирует оповещение при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (необычное поведение). Если вы можете подтвердить, что пользователь на законных основаниях выполнил больше действий по совместному использованию файлов, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите действия общего доступа и создайте список общих файлов.
2. Проверьте конфиденциальность общих файлов у владельца ресурса и проверьте уровень доступа.
3. Создайте политику файлов для аналогичных документов, чтобы определить будущий общий доступ к конфиденциальным файлам.

Оповещения о влиянии

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться управлять системами и данными в организации, прерывать их или уничтожать их.

Многократные действия по удалению виртуальных машин.

Действия в одном сеансе, указывающие, что пользователь выполнил необычное количество удалений виртуальных машин по сравнению с базовым показателем. Удаление нескольких виртуальных машин может указывать на попытку нарушить или уничтожить среду. Однако существует множество обычных сценариев удаления виртуальных машин.

TP, B-TP или FP?

Чтобы повысить точность и оповещение только при наличии надежных признаков нарушения, это обнаружение устанавливает базовые показатели для каждой среды в организации, чтобы сократить количество инцидентов B-TP и оповещать только при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

• TP: если вы можете подтвердить, что удаление было несанкционированным.

  Рекомендуемое действие. Приостановка пользователя, сброс пароля и проверка всех устройств на наличие вредоносных угроз. Просмотрите все действия пользователей на наличие других индикаторов компрометации и изучите область влияния.

• B-TP: если после исследования вы можете подтвердить, что администратор был авторизован на выполнение этих действий удаления.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Обратитесь к пользователю и подтвердите действие.
2. Просмотрите все действия пользователей на наличие дополнительных индикаторов компрометации, например, за оповещением следует одно из следующих оповещений: Невозможное путешествие, Действие с анонимного IP-адреса или Действие из редкой страны.

Действия программы-шантажиста.

Программа-шантажист — это кибератака, в которой злоумышленник блокирует жертву со своих устройств или блокирует доступ к файлам до тех пор, пока жертва не заплатит выкуп. Программа-шантажист может распространяться через вредоносный общий файл или скомпрометированную сеть. Defender for Cloud Apps использует опыт исследования безопасности, аналитику угроз и изученные шаблоны поведения для выявления действий программ-шантажистов. Например, высокий уровень передачи файлов или удаления файлов может представлять собой процесс шифрования, который является общим для операций программ-шантажистов.

Это обнаружение устанавливает базовые показатели обычной работы каждого пользователя в вашей организации, например, когда пользователь обращается к облаку и что он обычно делает в облаке.

Политики автоматического обнаружения угроз Defender for Cloud Apps запускаются в фоновом режиме с момента подключения. Используя наш опыт исследования безопасности для выявления моделей поведения, которые отражают деятельность программ-шантажистов в нашей организации, Defender for Cloud Apps обеспечивает комплексное покрытие от сложных атак программ-шантажистов.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP (необычное поведение). Пользователь в течение короткого периода времени выполнил несколько действий по удалению и отправке похожих файлов.

   Рекомендуемое действие. После просмотра журнала действий и подтверждения того, что расширения файлов не являются подозрительными, закройте оповещение.

3. FP (расширение файла программы-шантажиста). Если вы можете убедиться, что расширения затронутых файлов соответствуют известному расширению программы-шантажиста.

   Рекомендуемое действие. Обратитесь к пользователю и подтвердите, что файлы безопасны, а затем закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите журнал действий на наличие других индикаторов компрометации, таких как массовое скачивание или массовое удаление файлов.
2. Если вы используете Microsoft Defender для конечной точки, просмотрите оповещения компьютера пользователя, чтобы узнать, обнаружены ли вредоносные файлы.
3. Найдите в журнале действий вредоносные действия по отправке файлов и совместному использованию.

Необычное действие удаления файлов (по пользователю)

Действия, указывающие на то, что пользователь выполнил необычное действие по удалению файлов по сравнению с базовым уровнем. Это может указывать на атаку с помощью программы-шантажиста. Например, злоумышленник может зашифровать файлы пользователя и удалить все оригиналы, оставив только зашифрованные версии, которые можно использовать для того, чтобы заставить жертву заплатить выкуп. Defender for Cloud Apps создает базовый план на основе обычного поведения пользователя и активирует оповещение при обнаружении необычного поведения.

Период обучения

Для создания шаблона действий нового пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для новых расположений.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действие не было выполнено законным пользователем.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. FP: если вы можете подтвердить, что пользователь выполнил больше действий по удалению файлов, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите действия удаления и создайте список удаленных файлов. При необходимости восстановите удаленные файлы.
2. При необходимости создайте сборник схем с помощью Power Automate, чтобы связаться с пользователями и их руководителями для проверки действия.

Увеличение оценки приоритета исследования (предварительная версия)

Аномальные действия и действия, активирующие оповещения, получают оценки на основе серьезности, влияния на пользователей и анализа поведения пользователя. Анализ выполняется на основе других пользователей в клиентах.

При значительном и аномальном увеличении оценки приоритета исследования определенного пользователя будет активировано оповещение.

Это оповещение позволяет обнаруживать потенциальные нарушения, которые характеризуются действиями, которые не обязательно запускают определенные оповещения, но накапливаются в подозрительном поведении пользователя.

Период обучения

Для создания нового шаблона действий пользователя требуется начальный период обучения в семь дней, в течение которого оповещения не активируются для повышения оценки.

TP, B-TP или FP?

1. TP: если вы можете подтвердить, что действия пользователя не являются законными.

   Рекомендуемое действие. Приостановите пользователя, пометьте его как скомпрометированного и сбросьте пароль.

2. B-TP: если вы можете подтвердить, что пользователь действительно значительно отступит от обычного поведения, но нет потенциального нарушения.

3. FP (необычное поведение). Если вы можете подтвердить, что пользователь на законных основаниях выполнил необычные действия или больше действий, чем установленный базовый план.

   Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия пользователей и оповещения на наличие дополнительных индикаторов компрометации.

Устаревание временная шкала

Мы постепенно стираем оповещение об увеличении оценки приоритета исследования с Microsoft Defender for Cloud Apps к августу 2024 года.

После тщательного анализа и рассмотрения мы решили устареть его из-за большого числа ложноположительных результатов, связанных с этим оповещением, которое, как мы обнаружили, не способствовало эффективному повышению общей безопасности вашей организации.

Наши исследования показали, что эта функция не придала существенной ценности и не была согласована с нашей стратегической ориентацией на предоставление высококачественных и надежных решений для обеспечения безопасности.

Мы стремимся постоянно улучшать наши услуги и обеспечивать их соответствие вашим потребностям и ожиданиям.

Для тех, кто хочет продолжать использовать это оповещение, мы рекомендуем использовать следующий расширенный запрос охоты в качестве рекомендуемого шаблона. Измените запрос в соответствии со своими потребностями.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

См. также

Исследование рискованных пользователей