Руководство. Обнаружение подозрительных действий пользователей с помощью аналитики поведения (UEBA)

Microsoft Defender for Cloud Apps обеспечивает лучшее в классе обнаружение в цепочке уничтожения атак для скомпрометированных пользователей, внутренних угроз, кражи, программ-шантажистов и т. д. Наше комплексное решение достигается путем объединения нескольких методов обнаружения, включая аномалии, поведенческую аналитику (UEBA) и обнаружение действий на основе правил, чтобы предоставить широкое представление о том, как пользователи используют приложения в вашей среде.

Так почему важно обнаруживать подозрительное поведение? Влияние пользователя, способного изменить облачную среду, может быть значительным и напрямую повлиять на вашу способность управлять бизнесом. Например, ключевые корпоративные ресурсы, такие как серверы, на которых работает общедоступный веб-сайт или служба, которую вы предоставляете клиентам, могут быть скомпрометированы.

Используя данные, полученные из нескольких источников, Defender for Cloud Apps анализирует данные для извлечения действий приложений и пользователей в организации, что позволяет аналитикам безопасности получать представление об использовании облака. Собранные данные коррелируются, стандартизируются и обогащаются аналитикой угроз, расположением и многими другими сведениями, чтобы обеспечить точное и согласованное представление о подозрительных действиях.

Таким образом, чтобы в полной мере реализовать преимущества этих средств обнаружения, сначала необходимо настроить следующие источники:

• Журнал действий
  Действия из приложений, подключенных к API.
• Журнал обнаружения
  Действия, извлеченные из журналов трафика брандмауэра и прокси-сервера, которые перенаправляются в Defender for Cloud Apps. Журналы анализируются по каталогу облачных приложений, ранжируются и оцениваются на основе более чем 90 факторов риска.
• Журнал прокси-сервера
  Действия из приложений условного доступа управляют приложениями.

Затем необходимо настроить политики. Следующие политики можно настроить путем настройки фильтров, динамических пороговых значений (UEBA) для обучения моделей обнаружения и подавлений для уменьшения распространенных ложноположительных обнаружений.

• Обнаружение аномалий
• Обнаружение аномалий обнаружения в облаке
• Обнаружение действий на основе правил

В этом руководстве вы узнаете, как настроить обнаружение действий пользователей, чтобы выявить истинные компрометации и уменьшить усталость от оповещений, возникающих в результате обработки больших объемов ложноположительных обнаружений:

• настраивать диапазоны IP-адресов;
• Настройка политик обнаружения аномалий
• Настройка политик обнаружения аномалий в облаке
• Настройка политик обнаружения на основе правил
• Настройка оповещений
• Исследование и исправление

Этап 1. Настройка диапазонов IP-адресов

Перед настройкой отдельных политик рекомендуется настроить диапазоны IP-адресов, чтобы они были доступны для использования при точной настройке любого типа политик обнаружения подозрительных действий пользователей.

Так как сведения об IP-адресах имеют решающее значение практически для всех исследований, настройка известных IP-адресов помогает алгоритмам машинного обучения определять известные расположения и рассматривать их как часть моделей машинного обучения. Например, добавление диапазона IP-адресов VPN поможет модели правильно классифицировать этот диапазон IP-адресов и автоматически исключить его из обнаружения невозможного перемещения, так как расположение VPN не представляет истинное расположение этого пользователя.

Примечание. Настроенные диапазоны IP-адресов не ограничиваются обнаружением и используются в Defender for Cloud Apps в таких областях, как действия в журнале действий, условный доступ и т. д. При настройке диапазонов следует помнить об этом. Например, определение IP-адресов физических офисов позволяет настроить способ отображения и изучения журналов и оповещений.

Просмотр встроенных оповещений об обнаружении аномалий

Defender for Cloud Apps включает набор оповещений об обнаружении аномалий для выявления различных сценариев безопасности. Эти обнаружения автоматически включаются по умолчанию и начнут профилировать действия пользователей и создавать оповещения, как только будут подключены соответствующие соединители приложений .

Начните с ознакомления с различными политиками обнаружения, определите приоритеты в основных сценариях, которые, по вашему мнению, наиболее актуальны для вашей организации, и настройте политики соответствующим образом.

Этап 2. Настройка политик обнаружения аномалий

В Defender for Cloud Apps доступно несколько встроенных политик обнаружения аномалий, которые предварительно настроены для распространенных вариантов использования безопасности. Вам потребуется некоторое время, чтобы ознакомиться с более популярными обнаружениями, такими как:

• Неосуществимое перемещение
  Действия одного и того же пользователя в разных расположениях в течение периода, который короче ожидаемого времени в пути между двумя расположениями.
• Действия из редкой страны
  Действия из расположения, которое пользователь недавно или никогда не посещал.
• Обнаружение вредоносных программ
  Сканирует файлы в облачных приложениях и запускает подозрительные файлы с помощью подсистемы аналитики угроз Майкрософт, чтобы определить, связаны ли они с известными вредоносными программами.
• Действие программ-шантажистов
  Загрузка в облако файлов, которые могут быть заражены программой-шантажистом.
• Действия с подозрительных IP-адресов
  Действия с IP-адреса, который был определен Microsoft Threat Intelligence как рискованные.
• Подозрительная пересылка папки "Входящие"
  Обнаруживает подозрительные правила пересылки входящих сообщений, установленные для почтового ящика пользователя.
• Необычные действия по скачиванию нескольких файлов
  Обнаруживает несколько действий по скачиванию файлов в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.
• Необычные административные действия
  Обнаруживает несколько административных действий в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома.

Полный список обнаружений и их действия см. в разделе Политики обнаружения аномалий.

Примечание.

Хотя некоторые из обнаружений аномалий в основном сосредоточены на обнаружении проблемных сценариев безопасности, другие могут помочь в выявлении и исследовании аномального поведения пользователей, которое не обязательно может указывать на компрометацию. Для таких обнаружений мы создали другой тип данных под названием "поведение", который доступен в Microsoft Defender XDR расширенной охоты. Дополнительные сведения см. в разделе Поведение.

Когда вы ознакомитесь с политиками, следует подумать о том, как вы хотите настроить их в соответствии с конкретными требованиями вашей организации, чтобы улучшить целевые действия, которые вы, возможно, захотите изучить дальше.

1. Область применения политик для определенных пользователей или групп

   Определение политик для конкретных пользователей помогает снизить уровень шума от оповещений, не относящихся к вашей организации. Каждую политику можно настроить для включения или исключения определенных пользователей и групп, например в следующих примерах:

   • Имитация атак
     Многие организации используют пользователя или группу для постоянного моделирования атак. Очевидно, что не имеет смысла постоянно получать оповещения от действий этих пользователей. Таким образом, вы можете настроить политики, чтобы исключить этих пользователей или группы. Это также помогает моделям машинного обучения идентифицировать этих пользователей и соответствующим образом настраивать их динамические пороговые значения.
   • Целевые обнаружения
     Ваша организация может быть заинтересована в изучении определенной группы виртуальных ip-пользователей, таких как члены администратора или группы CXO. В этом сценарии можно создать политику для действий, которые требуется обнаружить, и включить в нее только интересующий вас набор пользователей или групп.

2. Настройка обнаружения аномальных входов

   Некоторые организации хотят видеть оповещения, возникающие в результате неудачных действий входа, так как они могут указывать на то, что кто-то пытается нацелиться на одну или несколько учетных записей пользователей. С другой стороны, атаки методом подбора на учетные записи пользователей происходят все время в облаке, и организации не могут предотвратить их. Поэтому крупные организации обычно принимают решение получать только оповещения о подозрительных действиях входа, которые приводят к успешным действиям входа, так как они могут представлять собой истинные компрометации.

   Кража удостоверений является ключевым источником компрометации и представляет собой основной вектор угроз для вашей организации. Наши невозможные поездки, действия с подозрительных IP-адресов и редкие оповещения об обнаружении страны или региона помогают обнаруживать действия, которые предполагают, что учетная запись потенциально скомпрометирована.

3. Настройка чувствительности невозможного перемещенияНастройте ползунок чувствительности , который определяет уровень подавления, применяемый к аномальному поведению, перед запуском предупреждения о невозможности перемещения. Например, организациям, заинтересованным в высокой точности, следует рассмотреть вопрос о повышении уровня конфиденциальности. С другой стороны, если в вашей организации много путешествующих пользователей, рассмотрите возможность снижения уровня конфиденциальности, чтобы подавить действия из общих расположений пользователя, полученных из предыдущих действий. Вы можете выбрать один из следующих уровней конфиденциальности:

   • Низкий уровень: подавление системы, клиента и пользователей
   • Средний уровень: подавление системы и пользователей
   • Высокий: только подавление системы

   Где:

   Тип подавления	Описание
   Система	Встроенные обнаружения, которые всегда подавляются.
   Клиент	Распространенные действия на основе предыдущих действий в клиенте. Например, подавление действий поставщика услуг Интернета, о ранее оповещенном в вашей организации.
   Пользователь	Распространенные действия на основе предыдущих действий конкретного пользователя. Например, подавление действий из расположения, которое обычно используется пользователем.

Этап 3. Настройка политик обнаружения аномалий в облаке

Как и политики обнаружения аномалий, существует несколько встроенных политик обнаружения аномалий в облаке , которые можно настроить. Например, политика кражи данных в несанкционированных приложениях оповещает вас о том, что данные эксфильтруются в несанкционированное приложение и поставляется с предварительно настроенными параметрами на основе опыта Майкрософт в области безопасности.

Однако вы можете точно настроить встроенные политики или создать собственные политики, чтобы помочь вам определить другие сценарии, которые могут быть заинтересованы в изучении. Так как эти политики основаны на журналах обнаружения облака, они имеют различные возможности настройки , в большей степени ориентированные на аномальное поведение приложения и кражу данных.

1. Настройка мониторинга использования
   Задайте фильтры использования, чтобы управлять базовыми показателями, область и периодом действия для обнаружения аномального поведения. Например, может потребоваться получать оповещения об аномальных действиях, связанных с сотрудниками исполнительного уровня.

2. Настройка конфиденциальности оповещений
   Чтобы предотвратить усталость оповещений, настройте чувствительность оповещений. Ползунок конфиденциальности можно использовать для управления количеством оповещений с высоким риском, отправляемых на 1000 пользователей в неделю. Для повышения чувствительности требуется меньше отклонений, чтобы считаться аномалией и создавать больше оповещений. Как правило, установите низкую чувствительность для пользователей, у которых нет доступа к конфиденциальным данным.

Этап 4. Настройка политик обнаружения (действий) на основе правил

Политики обнаружения на основе правил позволяют дополнять политики обнаружения аномалий требованиями организации. Рекомендуется создавать политики на основе правил с помощью одного из наших шаблонов политики действий (перейдите в разделШаблоныэлементов управления> и задайте для фильтра типовполитику действия), а затем настроить их для обнаружения поведения, которое не является нормальным для вашей среды. Например, для некоторых организаций, которые не имеют никакого присутствия в определенной стране или регионе, может быть целесообразно создать политику, которая обнаруживает аномальные действия из этой страны или региона и оповещает о них. Для других пользователей, имеющих крупные филиалы в этой стране или регионе, деятельность из этой страны или региона будет нормальной и не имеет смысла обнаруживать такие действия.

1. Настройка тома действий
   Выберите объем действий, необходимых до того, как обнаружение вызовет оповещение. Если вы не имеете никакого присутствия в стране или регионе, то даже одно действие имеет большое значение и требует оповещения. Однако сбой единого входа может быть человеческой ошибкой и может быть интересна только в том случае, если за короткий период времени произошло много сбоев.
2. Настройка фильтров действий
   Задайте фильтры, необходимые для определения типа действий, о которых вы хотите оповещать. Например, чтобы обнаружить действия из страны или региона, используйте параметр Location .
3. Настройка оповещений
   Чтобы предотвратить усталость оповещений, установите ограничение на ежедневное количество оповещений.

Этап 5. Настройка оповещений

Примечание.

С 15 декабря 2022 г. оповещения и SMS (текстовые сообщения) устарели. Если вы хотите получать текстовые оповещения, следует использовать Microsoft Power Automate для автоматизации пользовательских оповещений. Дополнительные сведения см. в статье Интеграция с Microsoft Power Automate для пользовательской автоматизации оповещений.

Вы можете выбрать получение оповещений в формате и носителе, наиболее подходящем для ваших потребностей. Чтобы получать немедленное оповещение в любое время суток, вы можете предпочесть получать их по электронной почте.

Вам также может потребоваться возможность анализа оповещений в контексте других оповещений, инициированных другими продуктами в вашей организации, чтобы получить целостное представление о потенциальной угрозе. Например, может потребоваться сопоставить события в облаке и локальной среде, чтобы узнать, есть ли какие-либо другие доказательства для устранения рисков, которые могут подтвердить атаку.

Кроме того, вы также можете активировать настраиваемую автоматизацию оповещений с помощью интеграции с Microsoft Power Automate. Например, можно настроить сборник схем, который автоматически создает проблему в ServiceNow или отправляет электронное письмо с утверждением для выполнения действия пользовательского управления при активации оповещения.

Для настройки оповещений используйте следующие рекомендации.

1. Электронная почта
   Выберите этот параметр для получения оповещений по электронной почте.
2. SIEM
   Существует несколько вариантов интеграции SIEM, включая Microsoft Sentinel, Microsoft Graph API безопасности и другие универсальные SIEM. Выберите интеграцию, которая лучше всего соответствует вашим требованиям.
3. Автоматизация Power Automate
   Создайте необходимые сборники схем автоматизации и задайте в качестве оповещения политики действие Power Automate.

Этап 6. Исследование и исправление

Отлично, вы настроили политики и начали получать оповещения о подозрительных действиях. Что с ними делать? Для начала следует принять меры для изучения действия. Например, может потребоваться просмотреть действия, указывающие на компрометацию пользователя.

Чтобы оптимизировать защиту, следует рассмотреть возможность настройки автоматических действий по исправлению, чтобы свести к минимуму риск для вашей организации. Наши политики позволяют применять действия по управлению в сочетании с оповещениями, чтобы снизить риск для вашей организации еще до начала исследования. Доступные действия определяются типом политики, включая такие действия, как приостановка пользователя или блокировка доступа к запрошенным ресурсам.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.

Дополнительные сведения

• Ознакомьтесь с нашим интерактивным руководством: Обнаружение угроз и управление оповещениями с помощью Microsoft Defender for Cloud Apps