Så här undersöker du aviseringar om avvikelseidentifiering

Microsoft Defender for Cloud Apps tillhandahåller säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering för att hjälpa dig med dina undersöknings- och åtgärdsuppgifter. Den här guiden innehåller allmän information om villkoren för att utlösa aviseringar. Det är dock viktigt att notera att eftersom avvikelseidentifieringar är icke-deterministiska av naturen utlöses de bara när det finns beteenden som avviker från normen. Slutligen kan vissa aviseringar vara i förhandsversion, så granska regelbundet den officiella dokumentationen för uppdaterad aviseringsstatus.

MITRE ATT&CK

För att förklara och göra det enklare att mappa relationen mellan Defender for Cloud Apps-aviseringar och den välbekanta MITRE ATT-&CK-matrisen har vi kategoriserat aviseringarna med motsvarande MITRE ATT-&CK-taktik. Den här extra referensen gör det enklare att förstå vilken teknik för misstänkta attacker som kan användas när en Defender for Cloud Apps avisering utlöses.

Den här guiden innehåller information om hur du undersöker och åtgärdar Defender for Cloud Apps aviseringar i följande kategorier.

• Inledande åtkomst
• Utförande
• Ihärdighet
• Privilegieeskalering
• Åtkomst till autentiseringsuppgifter
• Samling
• Exfiltrering
• Påverkan

Klassificeringar av säkerhetsaviseringar

Efter en korrekt undersökning kan alla Defender for Cloud Apps-aviseringar klassificeras som någon av följande aktivitetstyper:

• Sann positiv (TP): En avisering om en bekräftad skadlig aktivitet.
• Godartad sann positiv (B-TP): En avisering om misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller andra auktoriserade misstänkta åtgärder.
• Falskt positivt (FP): En avisering om en icke-skadlig aktivitet.

Allmänna undersökningssteg

Du bör använda följande allmänna riktlinjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse för det potentiella hotet innan du tillämpar den rekommenderade åtgärden.

• Om du identifierar en TP granskar du alla användarens aktiviteter för att få en förståelse för effekten.
• Granska all användaraktivitet för andra indikatorer för komprogettering och utforska källan till och omfattningen av påverkan. Granska till exempel följande information om användarenheter och jämför med känd enhetsinformation:
  • Operativsystem och version
  • Webbläsare och version
  • IP-adress och plats

Initiala åtkomstaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker få ett första fotfäste i din organisation.

Aktivitet från anonym IP-adress

Beskrivning

Aktivitet från en IP-adress som har identifierats som en anonym proxy-IP-adress av Microsoft Threat Intelligence eller av din organisation. Dessa proxyservrar kan användas för att dölja en enhets IP-adress och kan användas för skadliga aktiviteter.

TP, B-TP eller FP?

Den här identifieringen använder en maskininlärningsalgoritm som minskar B-TP-incidenter , till exempel felmärkta IP-adresser som används ofta av användare i organisationen.

1. TP: Om du kan bekräfta att aktiviteten utfördes från en anonym ELLER TOR IP-adress.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. B-TP: Om en användare är känd för att använda anonyma IP-adresser inom ramen för sina uppgifter. Till exempel när en säkerhetsanalytiker utför säkerhets- eller intrångstester för organisationens räkning.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

• Granska alla användaraktiviteter och aviseringar för andra indikatorer för komprogettering. Om aviseringen till exempel följdes av en annan misstänkt avisering, till exempel en ovanlig filnedladdning (efter användare) eller en avisering om vidarebefordran av misstänkt inkorg , indikerar det ofta att en angripare försöker exfiltera data.

Aktivitet från sällan förekommande land

Aktivitet från ett land/en region som kan tyda på skadlig aktivitet. Den här principen profilerar din miljö och utlöser aviseringar när aktivitet identifieras från en plats som inte har besökts nyligen eller aldrig har besökts av någon användare i organisationen.

Principen kan begränsas ytterligare till en delmängd av användare eller utesluta användare som är kända för att resa till fjärranslutna platser.

Utbildningsperiod

Identifiering av avvikande platser kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd:

   1. Inaktivera användaren, återställ lösenordet och identifiera rätt tid för att på ett säkert sätt återaktivera kontot.
   2. Valfritt: Skapa en spelbok med Hjälp av Power Automate för att kontakta användare som identifieras ansluta från ovanliga platser och deras chefer för att verifiera deras aktivitet.

2. B-TP: Om en användare är känd för att vara på den här platsen. Till exempel när en användare som reser ofta och för närvarande befinner sig på den angivna platsen.

   Rekommenderad åtgärd:

   1. Stäng aviseringen och ändra principen för att exkludera användaren.
   2. Skapa en användargrupp för frekventa resenärer, importera gruppen till Defender for Cloud Apps och exkludera användarna från den här aviseringen
   3. Valfritt: Skapa en spelbok med Hjälp av Power Automate för att kontakta användare som identifieras ansluta från ovanliga platser och deras chefer för att verifiera deras aktivitet.

Förstå omfattningen av intrånget

• Granska vilken resurs som kan ha komprometterats, till exempel potentiella datanedladdningar.

Aktivitet från misstänkta IP-adresser

Aktivitet från en IP-adress som har identifierats som riskfylld av Microsoft Threat Intelligence eller av din organisation. Dessa IP-adresser identifierades som inblandade i skadliga aktiviteter, till exempel att utföra lösenordsspray, botnet-kommando och kontroll (C&C) och kan tyda på ett komprometterat konto.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. B-TP: Om en användare är känd för att använda IP-adressen inom ramen för sina uppgifter. Till exempel när en säkerhetsanalytiker utför säkerhets- eller intrångstester för organisationens räkning.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen och sök efter aktiviteter från samma IP-adress.
2. Granska vilken resurs som kan ha komprometterats, till exempel potentiella datanedladdningar eller administrativa ändringar.
3. Skapa en grupp för säkerhetsanalytiker som frivilligt utlöser dessa aviseringar och exkluderar dem från principen.

Omöjlig resa

Aktivitet från samma användare på olika platser inom en tidsperiod som är kortare än den förväntade restiden mellan de två platserna. Detta kan tyda på ett intrång i autentiseringsuppgifterna, men det är också möjligt att användarens faktiska plats maskeras, till exempel med hjälp av ett VPN.

För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång upprättar Defender for Cloud Apps en baslinje för varje användare i organisationen och aviserar endast när det ovanliga beteendet identifieras. Den omöjliga resepolicyn kan finjusteras efter dina krav.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

Den här identifieringen använder en maskininlärningsalgoritm som ignorerar uppenbara B-TP-villkor , till exempel när IP-adresserna på båda sidor av resan anses vara säkra, resan är betrodd och utesluts från att utlösa omöjlig reseidentifiering. Båda sidor anses till exempel vara säkra om de är taggade som företag. Men om IP-adressen för endast en sida av resan anses vara säker utlöses identifieringen som vanligt.

1. TP: Om du kan bekräfta att platsen i den omöjliga reseaviseringen är osannolik för användaren.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (Undetected user travel): Om du kan bekräfta att användaren nyligen har rest till målet som beskrivs i aviseringen. Om till exempel en användares telefon som är i flygplansläge förblir ansluten till tjänster som Exchange Online i företagets nätverk när du reser till en annan plats. När användaren kommer till den nya platsen ansluter telefonen till Exchange Online vilket utlöser den omöjliga reseaviseringen.

   Rekommenderad åtgärd: Stäng aviseringen.

3. FP (untagged VPN): Om du kan bekräfta att IP-adressintervallet kommer från ett sanktionerat VPN.

   Rekommenderad åtgärd: Stäng aviseringen och lägg till VPN:s IP-adressintervall i Defender for Cloud Apps och använd det sedan för att tagga VPN:s IP-adressintervall.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för att få en förståelse för liknande aktiviteter på samma plats och IP-adress.
2. Om du ser att användaren utförde andra riskfyllda aktiviteter, till exempel att ladda ned en stor mängd filer från en ny plats, skulle detta vara en stark indikation på en möjlig kompromiss.
3. Lägg till företagets VPN- och IP-adressintervall.
4. Skapa en spelbok med Hjälp av Power Automate och kontakta användarens chef för att se om användaren reser på ett legitimt sätt.
5. Överväg att skapa en känd resenärsdatabas för upp till den minut då organisationens reserapportering fungerar och använd den för att korsreferensa reseaktivitet.

Missvisande OAuth-appnamn

Den här identifieringen identifierar appar med tecken, till exempel främmande bokstäver, som liknar latinska bokstäver. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan lura användare att ladda ned sin skadliga app.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att appen har ett missvisande namn.

   Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.

Om du vill förbjuda åtkomst till appen går du till flikarna Google eller Salesforce på sidan Appstyrning och väljer ikonen för förbud på den rad där appen som du vill förbjuda visas. – Du kan välja om du vill berätta för användarna att appen som de har installerat och auktoriserat har förbjudits. Meddelandet meddelar användarna att appen är inaktiverad och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. – Vi rekommenderar att du meddelar appanvändare att deras app är på väg att förbjudas att användas.

1. FP: Om du vill bekräfta att appen har ett vilseledande namn men har en legitim företagsanvändning i organisationen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

• Följ självstudien om hur du undersöker riskfyllda OAuth-appar.

Vilseledande utgivarnamn för en OAuth-app

Den här identifieringen identifierar appar med tecken, till exempel främmande bokstäver, som liknar latinska bokstäver. Detta kan tyda på ett försök att dölja en skadlig app som en känd och betrodd app så att angripare kan lura användare att ladda ned sin skadliga app.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att appen har ett vilseledande utgivarnamn.

   Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.

2. FP: Om du ska bekräfta att appen har ett vilseledande utgivarnamn men är en legitim utgivare.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. På flikarna Google eller Salesforce på sidan Appstyrning väljer du appen för att öppna applådan och väljer sedan Relaterad aktivitet. Då öppnas sidan Aktivitetslogg filtrerad för aktiviteter som utförs av appen. Tänk på att vissa appar utför aktiviteter som har registrerats som utförda av en användare. Dessa aktiviteter filtreras automatiskt bort från resultaten i aktivitetsloggen. Mer information om hur du använder aktivitetsloggen finns i Aktivitetslogg.
2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och utgivare i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
   • Appar med ett lågt antal nedladdningar.
   • Appar med lågt omdöme eller poäng eller felaktiga kommentarer.
   • Appar med en misstänkt utgivare eller webbplats.
   • Appar som inte har uppdaterats nyligen. Detta kan tyda på en app som inte längre stöds.
   • Appar som har irrelevanta behörigheter. Detta kan tyda på att en app är riskabel.
3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens namn, utgivare och URL online.

Körningsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker köra skadlig kod i din organisation.

Flera borttagningsaktiviteter för lagring

Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal borttagningar av molnlagring eller databaser från resurser som Azure-blobbar, AWS S3-bucketar eller Cosmos DB jämfört med den inlärda baslinjen. Detta kan tyda på ett intrångsförsök i din organisation.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du vill bekräfta att borttagningarna var obehöriga.

   Rekommenderad åtgärd: Inaktivera användaren, återställ deras lösenord och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer för komprogettering och utforska påverkansomfånget.

2. FP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa borttagningsaktiviteter.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Kontakta användaren och bekräfta aktiviteten.
2. Granska aktivitetsloggen för andra indikatorer på komprogativitet och se vem som gjorde ändringen.
3. Granska användarens aktiviteter för att se om det finns ändringar i andra tjänster.

Flera aktiviteter för att skapa virtuella datorer

Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal åtgärder för att skapa virtuella datorer jämfört med den inlärda baslinjen. Flera vm-skapanden på en infrastruktur som har brutits mot molnet kan tyda på ett försök att köra kryptoutvinningsåtgärder inifrån din organisation.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång upprättar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter , till exempel att en administratör har skapat fler virtuella datorer än den etablerade baslinjen, och endast varna när det ovanliga beteendet identifieras.

• TP: Om du kan bekräfta att skapandeaktiviteterna inte utfördes av en legitim användare.

  Rekommenderad åtgärd: Inaktivera användaren, återställ deras lösenord och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer för komprogettering och utforska påverkansomfånget. Kontakta dessutom användaren, bekräfta deras legitima åtgärder och se sedan till att du inaktiverar eller tar bort eventuella komprometterade virtuella datorer.

• B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa skapandeaktiviteter.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för andra indikatorer för komprogettering.
2. Granska de resurser som skapats eller ändrats av användaren och kontrollera att de överensstämmer med organisationens principer.

Misstänkt skapandeaktivitet för molnregion (förhandsversion)

Aktiviteter som anger att en användare utförde en ovanlig åtgärd för att skapa resurser i en ovanlig AWS-region jämfört med den inlärda baslinjen. Resursskapande i ovanliga molnregioner kan tyda på ett försök att utföra en skadlig aktivitet, till exempel kryptoutvinningsåtgärder inifrån din organisation.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter .

• TP: Om du kan bekräfta att skapandeaktiviteterna inte utfördes av en legitim användare.

  Rekommenderad åtgärd: Inaktivera användaren, återställ deras lösenord och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer för komprogettering och utforska påverkansomfånget. Kontakta dessutom användaren, bekräfta deras legitima åtgärder och se sedan till att du inaktiverar eller tar bort eventuella komprometterade molnresurser.

• B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa skapandeaktiviteter.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för andra indikatorer för komprogettering.
2. Granska de resurser som skapats och kontrollera att de överensstämmer med organisationens principer.

Ihärdighet aviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker behålla fotfästet i din organisation.

Aktivitet som utförs av avslutad användare

Aktivitet som utförs av en avslutad användare kan indikera att en avslutad medarbetare som fortfarande har åtkomst till företagets resurser försöker utföra en skadlig aktivitet. Defender for Cloud Apps profilerar användare i organisationen och utlöser en avisering när en avslutad användare utför en aktivitet.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att den avslutade användaren fortfarande har åtkomst till vissa företagsresurser och utför aktiviteter.

   Rekommenderad åtgärd: Inaktivera användaren.

2. B-TP: Om du kan fastställa att användaren tillfälligt har inaktiverats eller tagits bort och registrerats på nytt.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Korsreferenser för HR-poster för att bekräfta att användaren har avslutats.
2. Kontrollera att det Microsoft Entra användarkontot finns.

   Obs!

   Om du använder Microsoft Entra Connect verifierar du lokal Active Directory-objektet och bekräftar en lyckad synkroniseringscykel.

3. Identifiera alla appar som den avslutade användaren hade åtkomst till och inaktivera kontona.
4. Uppdatera inaktiveringsprocedurer.

Misstänkt ändring av CloudTrail-loggningstjänsten

Aktiviteter i en enda session som anger att en användare utförde misstänkta ändringar i AWS CloudTrail-loggningstjänsten. Detta kan tyda på ett intrångsförsök i din organisation. Vid inaktivering av CloudTrail loggas inte längre driftsändringar. En angripare kan utföra skadliga aktiviteter samtidigt som en CloudTrail-granskningshändelse undviks, till exempel genom att ändra en S3-bucket från privat till offentlig.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ångra CloudTrail-aktiviteten.

2. FP: Om du kan bekräfta att användaren har inaktiverat CloudTrail-tjänsten på ett legitimt sätt.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för andra indikatorer för komprogmentering och se vem som gjorde ändringen av CloudTrail-tjänsten.
2. Valfritt: Skapa en spelbok med Power Automate för att kontakta användare och deras chefer för att verifiera deras aktivitet.

Misstänkt e-postborttagningsaktivitet (per användare)

Aktiviteter i en enda session som anger att en användare utförde misstänkta e-postborttagningar. Borttagningstypen var typen "hård borttagning", vilket gör e-postobjektet borttaget och inte tillgängligt i användarens postlåda. Borttagningen gjordes från en anslutning som innehåller ovanliga inställningar som Internetleverantören, landet/regionen och användaragenten. Detta kan tyda på ett intrångsförsök i din organisation, till exempel angripare som försöker maskera åtgärder genom att ta bort e-postmeddelanden relaterade till skräppostaktiviteter.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP: Om du kan bekräfta att användaren har skapat en regel för att ta bort meddelanden.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

• Granska all användaraktivitet för andra indikatorer på komprogettering, till exempel aviseringen om vidarebefordran av misstänkt inkorg följt av en avisering om omöjlig resa . Titta efter:

  1. Nya SMTP-vidarebefordringsregler enligt följande:
     • Sök efter regelnamn för skadlig vidarebefordran. Regelnamn kan variera från enkla namn, till exempel "Vidarebefordra alla e-postmeddelanden" och "Vidarebefordra automatiskt" eller bedrägliga namn, till exempel ett knappt synligt "". Namn på vidarebefordringsregeln kan till och med vara tomma, och vidarebefordringsmottagaren kan vara ett enda e-postkonto eller en hel lista. Skadliga regler kan också döljas från användargränssnittet. När det har identifierats kan du använda det här användbara blogginlägget om hur du tar bort dolda regler från postlådor.
     • Om du identifierar en okänd vidarebefordransregel till en okänd intern eller extern e-postadress kan du anta att inkorgskontot har komprometterats.
  2. Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med dolda namngivningskonventioner, till exempel "...".
  3. En ökning av skickade e-postmeddelanden.

Misstänkt regel för inkorgsmanipulering

Aktiviteter som anger att en angripare fick åtkomst till en användares inkorg och skapade en misstänkt regel. Manipulationsregler, till exempel att ta bort eller flytta meddelanden eller mappar, från en användares inkorg kan vara ett försök att exfiltera information från din organisation. På samma sätt kan de indikera ett försök att manipulera information som en användare ser eller att använda sin inkorg för att distribuera skräppost, nätfiskemeddelanden eller skadlig kod. Defender for Cloud Apps profilerar din miljö och utlöser aviseringar när misstänkta regler för inkorgsmanipulering identifieras i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att en skadlig inkorgsregel har skapats och kontot har komprometterats.

   Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ta bort vidarebefordringsregeln.

2. FP: Om du kan bekräfta att en användare har skapat regeln på ett legitimt sätt.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för andra indikatorer på komprogettering, till exempel aviseringen om vidarebefordran av misstänkt inkorg följt av en avisering om omöjlig resa . Titta efter:
   • Nya SMTP-vidarebefordringsregler.
   • Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med dolda namngivningskonventioner, till exempel "...".
2. Samla in IP-adress och platsinformation för åtgärden.
3. Granska aktiviteter som utförs från DEN IP-adress som används för att skapa regeln för att identifiera andra komprometterade användare.

Eskaleringsaviseringar för privilegier

I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör kan försöka få behörigheter på högre nivå i din organisation.

Ovanlig administrativ aktivitet (per användare)

Aktiviteter som anger att en angripare har komprometterat ett användarkonto och utfört administrativa åtgärder som inte är vanliga för den användaren. En angripare kan till exempel försöka ändra en säkerhetsinställning för en användare, en åtgärd som är relativt sällsynt för en vanlig användare. Defender for Cloud Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim administratör.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP: Om du kan bekräfta att en administratör har utfört den ovanliga mängden administrativa aktiviteter på ett legitimt sätt.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för andra indikatorer på kompromisser, till exempel vidarebefordran av misstänkta inkorgar eller Omöjlig resa.
2. Granska andra konfigurationsändringar, till exempel att skapa ett användarkonto som kan användas för beständighet.

Åtkomstaviseringar för autentiseringsuppgifter

I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör försöker stjäla kontonamn och lösenord från din organisation.

Flera misslyckade inloggningsförsök

Misslyckade inloggningsförsök kan tyda på ett försök att bryta mot ett konto. Misslyckade inloggningar kan dock också vara normalt beteende. Till exempel när en användare har angett ett felaktigt lösenord av misstag. För att endast uppnå noggrannhet och avisering när det finns en stark indikation på ett intrångsförsök upprättar Defender for Cloud Apps en baslinje för inloggningsvanor för varje användare i organisationen och aviserar bara när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

Den här principen baseras på att lära sig användarens normala inloggningsbeteende. När en avvikelse från normen identifieras utlöses en avisering. Om identifieringen börjar se att samma beteende fortsätter utlöses aviseringen bara en gång.

1. TP (MFA misslyckas): Om du kan bekräfta att MFA fungerar korrekt kan detta vara ett tecken på ett försök till råstyrkeattack.

   Rekommenderade åtgärder:

   1. Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.
   2. Leta upp appen som utförde de misslyckade autentiseringarna och konfigurera om den.
   3. Leta efter andra användare som är inloggade vid tidpunkten för aktiviteten eftersom de också kan ha komprometterats. Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. B-TP (MFA misslyckas): Om du kan bekräfta att aviseringen orsakas av ett problem med MFA.

   Rekommenderad åtgärd: Skapa en spelbok med Power Automate för att kontakta användaren och kontrollera om de har problem med MFA.

3. B-TP (felaktigt konfigurerad app): Om du kan bekräfta att en felkonfigurerad app försöker ansluta till en tjänst flera gånger med utgångna autentiseringsuppgifter.

   Rekommenderad åtgärd: Stäng aviseringen.

4. B-TP (lösenordet har ändrats): Om du kan bekräfta att en användare nyligen har ändrat sitt lösenord, men det inte har påverkat autentiseringsuppgifterna för nätverksresurser.

   Rekommenderad åtgärd: Stäng aviseringen.

5. B-TP (säkerhetstest): Om du kan bekräfta att ett säkerhets- eller intrångstest utförs av säkerhetsanalytiker för organisationens räkning.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för andra indikatorer för komprogation, till exempel aviseringen, följt av någon av följande aviseringar: Omöjlig resa, Aktivitet från anonym IP-adress eller Aktivitet från ett land som sällan används.
2. Granska följande information om användarenheter och jämför med känd enhetsinformation:
   • Operativsystem och version
   • Webbläsare och version
   • IP-adress och plats
3. Identifiera källans IP-adress eller plats där autentiseringsförsöket inträffade.
4. Identifiera om användaren nyligen har ändrat sitt lösenord och se till att alla appar och enheter har det uppdaterade lösenordet.

Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app

Den här identifieringen identifierar misstänkt tillägg av privilegierade autentiseringsuppgifter till en OAuth-app. Detta kan tyda på att en angripare har komprometterat appen och använder den för skadlig aktivitet.

Utbildningsperiod

Att lära sig organisationens miljö kräver en period på sju dagar under vilken du kan förvänta dig en stor mängd aviseringar.

Ovanlig ISP för en OAuth-app

Identifieringen identifierar en OAuth-app som ansluter till ditt molnprogram från en ISP som är ovanlig för appen. Detta kan tyda på att en angripare försökte använda en legitim komprometterad app för att utföra skadliga aktiviteter i dina molnprogram.

Utbildningsperiod

Inlärningsperioden för den här identifieringen är 30 dagar.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte var en legitim aktivitet i OAuth-appen eller att denna ISP inte används av den legitima OAuth-appen.

   Rekommenderad åtgärd: Återkalla alla åtkomsttoken för OAuth-appen och undersöka om en angripare har åtkomst till att generera OAuth-åtkomsttoken.

2. FP: Om du kan bekräfta att aktiviteten har gjorts legitimt av den äkta OAuth-appen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska de aktiviteter som utförs av OAuth-appen.

2. Undersök om en angripare har åtkomst till att generera OAuth-åtkomsttoken.

Samlingsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker samla in data av intresse för sitt mål från din organisation.

Flera Power BI-rapportdelningsaktiviteter

Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal resursrapportaktiviteter i Power BI jämfört med den inlärda baslinjen. Detta kan tyda på ett intrångsförsök i din organisation.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Ta bort delningsåtkomst från Power BI. Om du kan bekräfta att kontot har komprometterats inaktiverar du användaren, markerar användaren som komprometterad och återställer lösenordet.

2. FP: Om du kan bekräfta att användaren har en affärsmotiv för att dela dessa rapporter.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren. Titta på IP-adressen som de är inloggade från och enhetsinformationen.
2. Kontakta ditt Power BI-team eller Information Protection team för att förstå riktlinjerna för att dela rapporter internt och externt.

Misstänkt delning av Power BI-rapporter

Aktiviteter som anger att en användare har delat en Power BI-rapport som kan innehålla känslig information som identifieras med NLP för att analysera rapportens metadata. Rapporten delades antingen med en extern e-postadress, publicerades på webben eller så levererades en ögonblicksbild till en externt prenumererad e-postadress. Detta kan tyda på ett intrångsförsök i din organisation.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Ta bort delningsåtkomst från Power BI. Om du kan bekräfta att kontot har komprometterats inaktiverar du användaren, markerar användaren som komprometterad och återställer lösenordet.

2. FP: Om du kan bekräfta att användaren har en affärsmotiv för att dela dessa rapporter.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för att få en bättre förståelse för andra aktiviteter som utförs av användaren. Titta på IP-adressen som de är inloggade från och enhetsinformationen.
2. Kontakta ditt Power BI-team eller Information Protection team för att förstå riktlinjerna för att dela rapporter internt och externt.

Ovanlig personifierad aktivitet (per användare)

I vissa program finns det alternativ för att tillåta andra användare att personifiera andra användare. E-posttjänster gör det till exempel möjligt för användare att auktorisera andra användare att skicka e-post för deras räkning. Den här aktiviteten används ofta av angripare för att skapa nätfiskemeddelanden i ett försök att extrahera information om din organisation. Defender for Cloud Apps skapar en baslinje baserat på användarens beteende och skapar en aktivitet när en ovanlig personifieringsaktivitet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (ovanligt beteende): Om du kan bekräfta att användaren har utfört ovanliga aktiviteter eller fler aktiviteter än den etablerade baslinjen.

   Rekommenderad åtgärd: Stäng aviseringen.

3. FP: Om du kan bekräfta att appar, till exempel Teams, legitimt har personifierat användaren.

   Rekommenderad åtgärd: Granska åtgärderna och stäng aviseringen om det behövs.

Förstå omfattningen av intrånget

1. Granska alla användaraktiviteter och aviseringar för ytterligare indikatorer på komprogettering.
2. Granska personifieringsaktiviteterna för att identifiera potentiella skadliga aktiviteter.
3. Granska konfigurationen för delegerad åtkomst.

Exfiltreringsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör kan försöka stjäla data från din organisation.

Misstänkt vidarebefordran av inkorgen

Aktiviteter som anger att en angripare fick åtkomst till en användares inkorg och skapade en misstänkt regel. Manipulationsregler, till exempel vidarebefordra alla eller specifika e-postmeddelanden till ett annat e-postkonto, kan vara ett försök att exfiltera information från din organisation. Defender for Cloud Apps profilerar din miljö och utlöser aviseringar när misstänkta regler för inkorgsmanipulering identifieras i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att en regel för vidarebefordran av skadlig inkorg har skapats och kontot har komprometterats.

   Rekommenderad åtgärd: Inaktivera användaren, återställ lösenordet och ta bort vidarebefordringsregeln.

2. FP: Om du kan bekräfta att användaren har skapat en vidarebefordringsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska all användaraktivitet för ytterligare indikatorer på komprogettering, till exempel att aviseringen följs av en avisering om omöjlig resa . Titta efter:

   1. Nya SMTP-vidarebefordringsregler enligt följande:
      • Sök efter regelnamn för skadlig vidarebefordran. Regelnamn kan variera från enkla namn, till exempel "Vidarebefordra alla e-postmeddelanden" och "Vidarebefordra automatiskt" eller bedrägliga namn, till exempel ett knappt synligt "". Namn på vidarebefordringsregeln kan till och med vara tomma, och vidarebefordringsmottagaren kan vara ett enda e-postkonto eller en hel lista. Skadliga regler kan också döljas från användargränssnittet. När det har identifierats kan du använda det här användbara blogginlägget om hur du tar bort dolda regler från postlådor.
      • Om du identifierar en okänd vidarebefordransregel till en okänd intern eller extern e-postadress kan du anta att inkorgskontot har komprometterats.
   2. Nya inkorgsregler, till exempel "ta bort alla", "flytta meddelanden till en annan mapp" eller de med dolda namngivningskonventioner, till exempel "...".

2. Granska aktiviteter som utförs från DEN IP-adress som används för att skapa regeln för att identifiera andra komprometterade användare.

3. Granska listan över vidarebefordrade meddelanden med hjälp av Exchange Online meddelandespårning.

Ovanlig filnedladdning (per användare)

Aktiviteter som anger att en användare utförde ett ovanligt antal filnedladdningar från en molnlagringsplattform jämfört med den inlärda baslinjen. Detta kan tyda på ett försök att få information om organisationen. Defender for Cloud Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (ovanligt beteende): Om du kan bekräfta att användaren har utfört fler filhämtningsaktiviteter än den etablerade baslinjen.

   Rekommenderad åtgärd: Stäng aviseringen.

3. FP (Programvarusynkronisering): Om du kan bekräfta att programvaran, till exempel OneDrive, synkroniserats med en extern säkerhetskopia som orsakade aviseringen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska nedladdningsaktiviteterna och skapa en lista över nedladdade filer.
2. Granska känsligheten för de nedladdade filerna med resursägaren och verifiera åtkomstnivån.

Ovanlig filåtkomst (per användare)

Aktiviteter som anger att en användare utförde ett ovanligt antal filåtkomster i SharePoint eller OneDrive till filer som innehåller finansiella data eller nätverksdata jämfört med den inlärda baslinjen. Detta kan tyda på ett försök att få information om organisationen, oavsett om det är för ekonomiska ändamål eller för åtkomst till autentiseringsuppgifter och lateral förflyttning. Defender for Cloud Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.

Utbildningsperiod

Inlärningsperioden beror på användarens aktivitet. I allmänhet är inlärningsperioden mellan 21 och 45 dagar för de flesta användare.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (ovanligt beteende): Om du kan bekräfta att användaren har utfört fler filåtkomstaktiviteter än den etablerade baslinjen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska åtkomstaktiviteterna och skapa en lista över filer som används.
2. Granska känsligheten för de filer som används med resursägaren och verifiera åtkomstnivån.

Ovanlig filresursaktivitet (per användare)

Aktiviteter som anger att en användare utförde ett ovanligt antal fildelningsåtgärder från en molnlagringsplattform jämfört med den inlärda baslinjen. Detta kan tyda på ett försök att få information om organisationen. Defender for Cloud Apps skapar en baslinje baserat på användarens beteende och utlöser en avisering när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (ovanligt beteende): Om du kan bekräfta att användaren har utfört fler fildelningsaktiviteter än den etablerade baslinjen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska delningsaktiviteterna och skapa en lista över delade filer.
2. Granska känsligheten för de delade filerna med resursägaren och verifiera åtkomstnivån.
3. Skapa en filprincip för liknande dokument för att identifiera framtida delning av känsliga filer.

Effektaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör kan försöka manipulera, avbryta eller förstöra dina system och data i din organisation.

Flera borttagningsaktiviteter för virtuella datorer

Aktiviteter i en enda session som anger att en användare utförde ett ovanligt antal borttagningar av virtuella datorer jämfört med den inlärda baslinjen. Flera borttagningar av virtuella datorer kan tyda på ett försök att störa eller förstöra en miljö. Det finns dock många normala scenarier där virtuella datorer tas bort.

TP, B-TP eller FP?

För att förbättra noggrannheten och aviseringen endast när det finns en stark indikation på ett intrång etablerar den här identifieringen en baslinje för varje miljö i organisationen för att minska B-TP-incidenter och bara varna när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

• TP: Om du kan bekräfta att borttagningarna var obehöriga.

  Rekommenderad åtgärd: Inaktivera användaren, återställ deras lösenord och sök igenom alla enheter efter skadliga hot. Granska all användaraktivitet för andra indikatorer för komprogettering och utforska påverkansomfånget.

• B-TP: Om du efter undersökningen kan bekräfta att administratören har behörighet att utföra dessa borttagningsaktiviteter.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Kontakta användaren och bekräfta aktiviteten.
2. Granska all användaraktivitet för ytterligare indikatorer för komprogation, till exempel aviseringen, följt av någon av följande aviseringar: Omöjlig resa, Aktivitet från anonym IP-adress eller Aktivitet från ett land som sällan används.

Utpressningstrojanaktivitet

Utpressningstrojaner är en cyberattack där en angripare låser ut offer från sina enheter eller blockerar dem från att komma åt sina filer tills offret betalar en lösensumma. Utpressningstrojaner kan spridas av en skadlig delad fil eller ett komprometterat nätverk. Defender for Cloud Apps använder säkerhetsforskningsexpertis, hotinformation och inlärda beteendemönster för att identifiera utpressningstrojanaktivitet. Till exempel kan en hög frekvens av filuppladdningar eller borttagningar av filer representera en krypteringsprocess som är vanlig bland utpressningstrojanåtgärder.

Den här identifieringen upprättar en baslinje för de normala arbetsmönstren för varje användare i din organisation, till exempel när användaren kommer åt molnet och vad de ofta gör i molnet.

Principerna för Defender for Cloud Apps automatisk hotidentifiering börjar köras i bakgrunden från det ögonblick du ansluter. Med hjälp av vår säkerhetsforskningsexpertis för att identifiera beteendemönster som återspeglar utpressningstrojaner i vår organisation, ger Defender for Cloud Apps omfattande täckning mot sofistikerade utpressningstrojanattacker.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av användaren.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP (ovanligt beteende): Användaren utförde legitimt flera borttagnings- och uppladdningsaktiviteter för liknande filer på kort tid.

   Rekommenderad åtgärd: Stäng aviseringen när du har granskat aktivitetsloggen och bekräftat att filnamnstilläggen inte är misstänkta.

3. FP (common ransomware file extension): Om du kan bekräfta att tilläggen för de berörda filerna matchar ett känt tillägg för utpressningstrojaner.

   Rekommenderad åtgärd: Kontakta användaren och bekräfta att filerna är säkra och stäng sedan aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för andra indikatorer på kompromettering, till exempel massnedladdning eller massborttagning av filer.
2. Om du använder Microsoft Defender för Endpoint granskar du användarens datoraviseringar för att se om skadliga filer har identifierats.
3. Sök i aktivitetsloggen efter skadliga filuppladdnings- och delningsaktiviteter.

Ovanlig filborttagningsaktivitet (per användare)

Aktiviteter som anger att en användare utförde en ovanlig filborttagningsaktivitet jämfört med den inlärda baslinjen. Detta kan tyda på utpressningstrojanattack. En angripare kan till exempel kryptera en användares filer och ta bort alla original, vilket endast lämnar de krypterade versioner som kan användas för att tvinga offret att betala en lösensumma. Defender for Cloud Apps skapar en baslinje baserat på användarens normala beteende och utlöser en avisering när det ovanliga beteendet identifieras.

Utbildningsperiod

Att upprätta en ny användares aktivitetsmönster kräver en inledande inlärningsperiod på sju dagar under vilken aviseringar inte utlöses för några nya platser.

TP, B-TP eller FP?

1. TP: Om du kan bekräfta att aktiviteten inte utfördes av en legitim användare.

   Rekommenderad åtgärd: Inaktivera användaren, markera användaren som komprometterad och återställ lösenordet.

2. FP: Om du kan bekräfta att användaren har utfört fler filborttagningsaktiviteter än den etablerade baslinjen.

   Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska borttagningsaktiviteterna och skapa en lista över borttagna filer. Återställ de borttagna filerna om det behövs.
2. Du kan också skapa en spelbok med hjälp av Power Automate för att kontakta användare och deras chefer för att verifiera aktiviteten.

Ökning av prioritetspoäng för undersökning (äldre)

Från och med november 2024 har Support för riskfyllda användare för Microsoft Defender for Cloud Apps dragits tillbaka. Om den här funktionen användes i din organisation och behövs rekommenderar vi att du använder entra-riskpoängfunktionen. Använd följande resurser för ytterligare information:

• Undersöka risk Microsoft Entra ID Protection – Microsoft Entra ID Protection | Microsoft Learn

• Microsoft Entra ID Protection riskbaserade åtkomstprinciper – Microsoft Entra ID Protection | Microsoft Learn

Se även

Undersöka riskfyllda användare