Skapa Defender for Cloud Apps principer för avvikelseidentifiering

Principerna för Microsoft Defender for Cloud Apps avvikelseidentifiering ger grundläggande användar- och entitetsbeteendeanalys (UEBA) och maskininlärning (ML) så att du redan från början är redo att köra avancerad hotidentifiering i molnmiljön. Eftersom de aktiveras automatiskt startar de nya avvikelseidentifieringsprinciperna omedelbart processen för att identifiera och sortera resultat, och riktar in sig på flera beteendeavvikelser för användarna och de datorer och enheter som är anslutna till nätverket. Dessutom exponerar principerna mer data från den Defender for Cloud Apps identifieringsmotorn för att hjälpa dig att påskynda undersökningsprocessen och begränsa pågående hot.

Principerna för avvikelseidentifiering aktiveras automatiskt, men Defender for Cloud Apps har en inledande inlärningsperiod på sju dagar då inte alla aviseringar för avvikelseidentifiering aktiveras. När data samlas in från dina konfigurerade API-anslutningsappar jämförs varje session med aktiviteten, när användarna var aktiva, IP-adresser, enheter och så vidare, identifierade under den senaste månaden och riskpoängen för dessa aktiviteter. Tänk på att det kan ta flera timmar innan data är tillgängliga från API-anslutningsappar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet. Dessa identifieringar använder också maskininlärningsalgoritmer som utformats för att profilera användarna och logga in mönster för att minska falska positiva identifieringar.

Avvikelser identifieras genom genomsökning av användaraktivitet. Risken utvärderas genom att titta på över 30 olika riskindikatorer, grupperade i riskfaktorer, enligt följande:

• Riskfylld IP-adress
• Inloggningsfel
• Admin aktivitet
• Inaktiva konton
• Plats
• Omöjlig resa
• Enhets- och användaragent
• Aktivitetsfrekvens

Baserat på principresultaten utlöses säkerhetsaviseringar. Defender for Cloud Apps tittar på varje användarsession i molnet och varnar dig när något händer som skiljer sig från organisationens baslinje eller användarens vanliga aktivitet.

Förutom interna Defender for Cloud Apps-aviseringar får du även följande identifieringsaviseringar baserat på information som tas emot från Microsoft Entra ID Protection:

• Läckta autentiseringsuppgifter: Utlöses när en användares giltiga autentiseringsuppgifter har läckts. Mer information finns i Microsoft Entra ID identifiering av läckta autentiseringsuppgifter.
• Riskfylld inloggning: Kombinerar ett antal Microsoft Entra ID Protection inloggningsidentifieringar till en enda identifiering. Mer information finns i Microsoft Entra ID inloggningsriskidentifieringar.

Dessa principer visas på sidan Defender for Cloud Apps principer och kan aktiveras eller inaktiveras.

Principer för avvikelseidentifiering

Du kan se avvikelseidentifieringsprinciperna i Microsoft Defender-portalen genom att gå till Cloud Apps -Policies ->>Policy management. Välj sedan Princip för avvikelseidentifiering för principtypen.

Följande principer för avvikelseidentifiering är tillgängliga:

Omöjlig resa

• • Den här identifieringen identifierar två användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det skulle ha tagit användaren att resa från den första platsen till den andra, vilket indikerar att en annan användare använder samma autentiseringsuppgifter. Den här identifieringen använder en maskininlärningsalgoritm som ignorerar uppenbara "falska positiva identifieringar" som bidrar till det omöjliga resetillståndet, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Identifieringen har en första inlärningsperiod på sju dagar under vilken den lär sig en ny användares aktivitetsmönster. Den omöjliga reseidentifieringen identifierar ovanlig och omöjlig användaraktivitet mellan två platser. Aktiviteten bör vara ovanlig nog att betraktas som en indikator på kompromisser och värdig en avisering. För att det här ska fungera innehåller identifieringslogik olika nivåer av undertryckning för att hantera scenarier som kan utlösa falsk positiv identifiering, till exempel VPN-aktiviteter eller aktivitet från molnleverantörer som inte anger en fysisk plats. Med skjutreglaget för känslighet kan du påverka algoritmen och definiera hur strikt identifieringslogik är. Ju högre känslighetsnivå, desto färre aktiviteter ignoreras som en del av identifieringslogik. På så sätt kan du anpassa identifieringen efter dina täckningsbehov och dina SNR-mål.

    Obs!

    • När IP-adresserna på båda sidor av resan anses vara säkra och känslighetsreglaget inte är inställt på Hög, är resan betrodd och utesluts från att utlösa omöjlig reseidentifiering. Båda sidor anses till exempel vara säkra om de är taggade som företag. Men om IP-adressen för endast en sida av resan anses vara säker utlöses identifieringen som vanligt.
    • Platserna beräknas på land-/regionnivå. Det innebär att det inte kommer att finnas några aviseringar för två åtgärder med ursprung i samma land/region eller i angränsande länder/regioner.

Aktivitet från sällan förekommande land

• Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användaren. En avisering utlöses när en aktivitet inträffar från en plats som inte nyligen eller aldrig besöktes av användaren. För att minska falska positiva aviseringar undertrycker identifieringen anslutningar som kännetecknas av vanliga inställningar för användaren.

Identifiering av skadlig kod

Den här identifieringen identifierar skadliga filer i molnlagringen, oavsett om de kommer från dina Microsoft-appar eller appar från tredje part. Microsoft Defender for Cloud Apps använder Microsofts hotinformation för att identifiera om vissa filer som matchar risker heuristik som filtyp och delningsnivå är associerade med kända attacker mot skadlig kod och är potentiellt skadliga. Den här inbyggda principen är inaktiverad som standard. När skadliga filer har identifierats kan du se en lista över infekterade filer. Välj filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som ger dig information om vilken typ av skadlig kod filen är infekterad med.

Använd den här identifieringen för att styra filuppladdningar och nedladdningar i realtid med sessionsprinciper.

Filsandning

Genom att aktivera filsandboxning genomsöks även filer som enligt deras metadata och baserat på egenutvecklad heuristik är potentiellt riskfyllda, sandbox-miljön i en säker miljö. Sandbox-genomsökningen kan identifiera filer som inte har identifierats baserat på hotinformationskällor.

Defender for Cloud Apps stöder identifiering av skadlig kod för följande appar:

• Ruta
• Dropbox
• Google-arbetsyta

Obs!

• Proaktiv sandbox-miljö görs i program från tredje part (Box, Dropbox osv.). I OneDrive och SharePoint genomsöks filer och sandbox-miljön som en del av själva tjänsten.
• I Box, Dropbox och Google Workspace blockerar Defender for Cloud Apps inte filen automatiskt, men blockering kan utföras enligt appens funktioner och appens konfiguration som kunden har angett.
• Om du är osäker på om en identifierad fil verkligen är skadlig kod eller en falsk positiv identifiering går du till sidan Microsoft Säkerhetsinsikter och https://www.microsoft.com/wdsi/filesubmission skickar filen för ytterligare analys.

Aktivitet från anonyma IP-adresser

• Den här identifieringen identifierar att användare var aktiva från en IP-adress som har identifierats som en anonym proxy-IP-adress. Dessa proxyservrar används av personer som vill dölja sin enhets IP-adress och kan användas för skadliga avsikter. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel felmärkta IP-adresser som används ofta av användare i organisationen.

Utpressningstrojanaktivitet

• Defender for Cloud Apps utökat sina funktioner för identifiering av utpressningstrojaner med avvikelseidentifiering för att säkerställa en mer omfattande täckning mot sofistikerade utpressningstrojanattacker. Med hjälp av vår säkerhetsforskningsexpertis för att identifiera beteendemönster som återspeglar utpressningstrojanaktivitet säkerställer Defender for Cloud Apps holistiskt och robust skydd. Om Defender for Cloud Apps till exempel identifierar en hög frekvens av filuppladdningar eller filborttagningsaktiviteter kan det innebära en negativ krypteringsprocess. Dessa data samlas in i loggarna som tas emot från anslutna API:er och kombineras sedan med inlärda beteendemönster och hotinformation, till exempel kända tillägg för utpressningstrojaner. Mer information om hur Defender for Cloud Apps identifierar utpressningstrojaner finns i Skydda din organisation mot utpressningstrojaner.

Aktivitet som utförs av avslutad användare

• Med den här identifieringen kan du identifiera när en avslutad medarbetare fortsätter att utföra åtgärder på dina SaaS-appar. Eftersom data visar att den största risken för insiderhot kommer från anställda som lämnat på dåliga villkor är det viktigt att hålla ett öga på aktiviteten på konton från uppsagda anställda. Ibland, när anställda lämnar ett företag, avetableras deras konton från företagsappar, men i många fall behåller de fortfarande åtkomst till vissa företagsresurser. Detta är ännu viktigare när du överväger privilegierade konton, eftersom den potentiella skada som en tidigare administratör kan göra i sig är större. Den här identifieringen utnyttjar Defender for Cloud Apps möjligheten att övervaka användarbeteendet mellan appar, vilket gör det möjligt att identifiera användarens regelbundna aktivitet, det faktum att kontot har tagits bort och faktisk aktivitet i andra appar. En anställd vars Microsoft Entra konto har tagits bort, men fortfarande har åtkomst till företagets AWS-infrastruktur, kan till exempel orsaka storskaliga skador.

Identifieringen söker efter användare vars konton har tagits bort i Microsoft Entra ID, men som fortfarande utför aktiviteter på andra plattformar som AWS eller Salesforce. Detta är särskilt relevant för användare som använder ett annat konto (inte deras primära konto för enkel inloggning) för att hantera resurser, eftersom dessa konton ofta inte tas bort när en användare lämnar företaget.

Aktivitet från misstänkta IP-adresser

• Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som riskabel av Microsoft Threat Intelligence. Dessa IP-adresser är inblandade i skadliga aktiviteter, till exempel att utföra lösenordsspray, Botnet C&C och kan tyda på komprometterat konto. Den här identifieringen använder en maskininlärningsalgoritm som minskar "falska positiva identifieringar", till exempel felmärkta IP-adresser som används ofta av användare i organisationen.

Misstänkt vidarebefordran av inkorgen

• Den här identifieringen söker efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.

Obs!

Defender for Cloud Apps varnar dig bara för varje vidarebefordran som identifieras som misstänkt, baserat på användarens typiska beteende.

Regler för suspekta manipuleringar av inkorgen

• Den här identifieringen profilerar din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar har angetts i en användares inkorg. Detta kan tyda på att användarens konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i din organisation.

Misstänkt e-postborttagningsaktivitet (förhandsversion)

• Den här principen profilerar din miljö och utlöser aviseringar när en användare utför misstänkta e-postborttagningsaktiviteter i en enda session. Den här principen kan tyda på att en användares postlådor kan komprometteras av potentiella attackvektorer som kommando- och kontrollkommunikation (C&C/C2) via e-post.

Obs!

Defender for Cloud Apps integreras med Microsoft Defender XDR för att ge skydd för Exchange Online, inklusive URL-detonation, skydd mot skadlig kod med mera. När Defender för Microsoft 365 har aktiverats börjar du se aviseringar i Defender for Cloud Apps aktivitetsloggen.

Misstänkta aktiviteter för nedladdning av OAuth-appfiler

• Söker igenom OAuth-appar som är anslutna till din miljö och utlöser en avisering när en app laddar ned flera filer från Microsoft SharePoint eller Microsoft OneDrive på ett sätt som är ovanligt för användaren. Detta kan tyda på att användarkontot har komprometterats.

Ovanlig ISP för en OAuth-app

• Den här principen profilerar din miljö och utlöser aviseringar när en OAuth-app ansluter till dina molnprogram från en ovanlig Internetleverantör. Den här principen kan tyda på att en angripare försökte använda en legitim komprometterad app för att utföra skadliga aktiviteter i dina molnprogram.

Ovanliga aktiviteter (per användare)

Dessa identifieringar identifierar användare som utför:

• Ovanliga nedladdningsaktiviteter för flera filer
• Ovanliga filresursaktiviteter
• Ovanliga filborttagningsaktiviteter
• Ovanliga personifierade aktiviteter
• Ovanlig administrativ verksamhet
• Ovanliga Power BI-rapportdelningsaktiviteter (förhandsversion)
• Ovanliga aktiviteter för att skapa virtuella datorer (förhandsversion)
• Ovanliga aktiviteter för flera lagringsborttagningar (förhandsversion)
• Ovanlig region för molnresurs (förhandsversion)
• Ovanlig filåtkomst

Dessa principer söker efter aktiviteter inom en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök. Dessa identifieringar använder en maskininlärningsalgoritm som profilerar användarnas inloggningsmönster och minskar falska positiva identifieringar. Dessa identifieringar är en del av den heuristiska avvikelseidentifieringsmotorn som profilerar din miljö och utlöser aviseringar med avseende på en baslinje som har lärts om organisationens aktivitet.

Flera misslyckade inloggningsförsök

• Den här identifieringen identifierar användare som misslyckats med flera inloggningsförsök i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

Flera borttagningsaktiviteter för virtuella datorer

• Den här principen profilerar din miljö och utlöser aviseringar när användare tar bort flera virtuella datorer i en enda session i förhållande till baslinjen i din organisation. Detta kan tyda på ett intrångsförsök.

Aktivera automatiserad styrning

Du kan aktivera automatiska reparationsåtgärder för aviseringar som genereras av principer för avvikelseidentifiering.

1. Välj namnet på identifieringsprincipen på sidan Principer .
2. I fönstret Redigera princip för avvikelseidentifiering som öppnas under Styrningsåtgärder anger du de reparationsåtgärder som du vill ha för varje ansluten app eller för alla appar.
3. Välj Uppdatera.

Justera principer för avvikelseidentifiering

Så här påverkar du avvikelseidentifieringsmotorn för att undertrycka eller visa aviseringar enligt dina inställningar:

• I principen Omöjlig resa kan du ställa in skjutreglaget för känslighet för att fastställa vilken nivå av avvikande beteende som krävs innan en avisering utlöses. Om du till exempel ställer in den på låg eller medelhög kommer den att förhindra aviseringar om omöjlig resa från en användares vanliga platser, och om du ställer in den på hög visas sådana aviseringar. Du kan välja mellan följande känslighetsnivåer:

  • Låg: System-, klient- och användarundertryckningar

  • Medel: System- och användarundertryckningar

  • Hög: Endast systemundertryckningar

    Var:

    Undertryckningstyp	Beskrivning
    System	Inbyggda identifieringar som alltid ignoreras.
    Klientorganisation	Vanliga aktiviteter baserat på tidigare aktivitet i klientorganisationen. Du kan till exempel förhindra aktiviteter från en ISP som tidigare aviseras i din organisation.
    Användare	Vanliga aktiviteter baserat på den specifika användarens tidigare aktivitet. Du kan till exempel förhindra aktiviteter från en plats som ofta används av användaren.

Obs!

Omöjlig resa, aktivitet från ovanliga länder/regioner, aktivitet från anonyma IP-adresser och aktivitet från misstänkta IP-adressaviseringar gäller inte vid misslyckade inloggningar och icke-interaktiva inloggningar.

Omfångsprinciper för avvikelseidentifiering

Varje princip för avvikelseidentifiering kan begränsas oberoende av varandra så att den endast gäller för de användare och grupper som du vill inkludera och exkludera i principen. Du kan till exempel ange aktivitet från identifiering av sällan förekommande län för att ignorera en specifik användare som reser ofta.

Så här omfångsbegränsar du en princip för avvikelseidentifiering:

1. I Microsoft Defender-portalen går du till Cloud Apps –>Principer –>Principhantering. Välj sedan Princip för avvikelseidentifiering för principtypen.

2. Välj den princip som du vill omfånget.

3. Under Omfång ändrar du listrutan från standardinställningen För Alla användare och grupper till Specifika användare och grupper.

4. Välj Inkludera för att ange vilka användare och grupper som principen ska gälla för. Alla användare eller grupper som inte har valts här betraktas inte som ett hot och genererar ingen avisering.

5. Välj Exkludera för att ange användare för vilka den här principen inte ska gälla. Alla användare som väljs här betraktas inte som ett hot och genererar ingen avisering, även om de är medlemmar i grupper som valts under Inkludera.

   

Aviseringar om sortering av avvikelseidentifiering

Du kan snabbt sortera de olika aviseringarna som utlöses av de nya avvikelseidentifieringsprinciperna och bestämma vilka som måste tas hand om först. För att göra detta behöver du kontexten för aviseringen, så att du kan se den större bilden och förstå om något skadligt verkligen händer.

1. I aktivitetsloggen kan du öppna en aktivitet för att visa aktivitetslådan. Välj Användare för att visa fliken användarinsikter. Den här fliken innehåller information som antal aviseringar, aktiviteter och var de har anslutit från, vilket är viktigt i en undersökning.

   

2. När filer har identifierats för infekterade filer med skadlig kod kan du sedan se en lista över infekterade filer. Välj filnamnet för skadlig kod i fillådan för att öppna en rapport om skadlig kod som ger dig information om den typen av skadlig kod som filen är infekterad med.

Relaterade videor

Webbseminarier för skydd mot hot

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.