教程:使用行为分析 (UEBA) 检测可疑用户活动
Microsoft Defender for Cloud Apps针对受攻击的用户、内部威胁、外泄、勒索软件等提供跨攻击杀伤链的一流检测。 我们的综合解决方案是通过组合多种检测方法(包括异常情况、行为分析 (UEBA) 和基于规则的活动检测)来实现的,以提供用户如何在环境中使用应用的广泛视图。
那么,为什么检测可疑行为很重要? 用户能够更改云环境的影响可能很大,并且直接影响到你经营业务的能力。 例如,运行公共网站或向客户提供的服务的服务器等关键公司资源可能会遭到入侵。
使用从多个源捕获的数据,Defender for Cloud Apps分析数据以提取组织中的应用和用户活动,使安全分析师能够了解云使用情况。 收集的数据与威胁情报、位置和许多其他详细信息相关、标准化和丰富,以提供对可疑活动的准确、一致的视图。
因此,若要充分实现这些检测的优势,请先确保配置以下源:
-
活动日志
来自 API 连接应用的活动。 -
发现日志
从防火墙和代理流量日志中提取的活动,这些日志转发到Defender for Cloud Apps。 根据 云应用目录分析日志,根据 90 多个风险因素进行排名和评分。 -
代理日志
来自条件访问应用的活动控制应用。
接下来,需要优化策略。 可以通过设置筛选器、动态阈值 (UEBA) 来帮助训练其检测模型以及抑制来减少常见误报检测来微调以下策略:
- 异常检测
- 云发现异常情况检测
- 基于规则的活动检测
本教程介绍如何优化用户活动检测,以识别真正的危害并减少因处理大量误报检测而导致的警报疲劳:
阶段 1:配置 IP 地址范围
在配置单个策略之前,建议配置 IP 范围,以便它们可用于微调任何类型的可疑用户活动检测策略。
由于 IP 地址信息对于几乎所有调查都至关重要, 因此配置已知 IP 地址 可帮助机器学习算法识别已知位置,并将其视为机器学习模型的一部分。 例如,添加 VPN 的 IP 地址范围将帮助模型正确分类此 IP 范围,并自动将其从不可能的行程检测中排除,因为 VPN 位置不表示该用户的真实位置。
注意:配置的 IP 范围不限于检测,并且在整个Defender for Cloud Apps中用于活动日志中的活动、条件访问等区域。配置范围时请记住这一点。 例如,通过标识物理办公室 IP 地址,可以自定义日志和警报的显示和调查方式。
查看现用的异常情况检测警报
Defender for Cloud Apps包括一组异常情况检测警报,用于识别不同的安全方案。 这些检测是现成的自动启用的,并在连接相关 应用连接器 后立即开始分析用户活动并生成警报。
首先熟悉 不同的检测策略,确定你认为与组织最相关的热门方案,并相应地优化策略。
阶段 2:优化异常情况检测策略
Defender for Cloud Apps中提供了多个内置异常情况检测策略,这些策略针对常见安全用例进行了预配置。 你应该花一些时间熟悉更常用的检测,例如:
-
不可能旅行
在短于两个位置之间的预期行程时间的时间段内,同一用户在不同位置的活动。 -
来自不常见国家/地区的活动
来自用户最近未访问或从未访问过的位置的活动。 -
恶意软件检测
扫描云应用中的文件,并通过Microsoft的威胁情报引擎运行可疑文件,以确定它们是否与已知的恶意软件相关联。 -
勒索软件活动
上传到云端的文件有可能感染勒索软件。 -
来自可疑 IP 地址的活动
来自已Microsoft威胁情报识别为有风险的 IP 地址的活动。 -
可疑收件箱转发
检测用户收件箱中可疑的收件箱转发规则集。 -
异常的多个文件下载活动
检测在单一会话中的多文件下载活动,与学习到的基线对比,可以发现潜在的安全漏洞。 -
异常管理活动
检测在单一会话中的多个管理活动,与学习到的基线对比,可以发现潜在的安全漏洞。
有关检测的完整列表及其用途,请参阅 异常情况检测策略。
注意
虽然某些异常情况检测主要侧重于检测有问题的安全方案,但其他异常情况可帮助识别和调查不一定表示泄露的异常用户行为。 对于此类检测,我们创建了另一种名为“行为”的数据类型,该数据类型在Microsoft Defender XDR高级搜寻体验中可用。 有关详细信息,请参阅 行为。
熟悉策略后,应考虑如何根据组织的特定要求对其进行微调,以便更好地定位可能需要进一步调查的活动。
将策略范围限定为特定用户或组
将策略范围限定为特定用户有助于减少来自与组织无关的警报的干扰。 可以将每个策略 配置为包含或排除特定的用户和组,如以下示例所示:
-
攻击模拟
许多组织使用用户或组不断模拟攻击。 显然,不断接收来自这些用户的活动的警报是没有意义的。 因此,可以将策略配置为排除这些用户或组。 这也有助于机器学习模型识别这些用户并相应地微调其动态阈值。 -
目标检测
你的组织可能有兴趣调查特定的 VIP 用户组,例如管理员或 CXO 组的成员。 在此方案中,可以为要检测的活动创建策略,并选择仅包含你感兴趣的一组用户或组。
-
攻击模拟
优化异常登录检测
某些组织希望查看 登录活动失败 导致的警报,因为它们可能表明有人正尝试以一个或多个用户帐户为目标。 另一方面,针对用户帐户的暴力攻击一直在云中发生,组织无法阻止这些攻击。 因此,大型组织通常决定仅接收导致成功登录活动的可疑登录活动的警报,因为它们可能表示真正的入侵。
标识盗窃是泄露的关键来源,对组织构成主要威胁途径。 我们 不可能的旅行、 来自可疑 IP 地址的活动以及 不常的国家/地区 检测警报可帮助你发现表明帐户可能遭到入侵的活动。
优化不可能行程的敏感度配置敏感度滑块,用于在触发不可能的旅行警报之前确定应用于异常行为的抑制级别。 例如,对高保真度感兴趣的组织应考虑提高敏感度级别。 另一方面,如果你的组织有许多用户出差,请考虑降低敏感度级别,以禁止用户从以前的活动中学到的常见位置的活动。 可以从以下敏感度级别中进行选择:
- 低:系统、租户和用户抑制
- 中等:系统和用户抑制
- 高:仅系统抑制
其中:
抑制类型 说明 系统 始终被抑制的内置检测。 租户 基于租户之前活动的常见活动。 例如,禁止来自以前在组织中发出警报的 ISP 的活动。 用户 基于特定用户之前活动的常见活动。 例如,禁止来自用户常用位置的活动。
阶段 3:优化云发现异常情况检测策略
与异常情况检测策略一样,可以微调多个内置的 云发现异常情况检测策略 。 例如,数据外泄到未批准的应用策略会在数据外泄到未批准的应用时发出警报,并且会根据安全字段中Microsoft体验预配置设置。
但是,你可以微调内置策略或创建自己的策略,以帮助你识别你可能感兴趣的其他方案。 由于这些策略基于云发现日志,因此它们具有不同的 优化功能 ,更侧重于异常应用行为和数据外泄。
优化使用情况监视
设置使用情况筛选器以控制用于检测异常行为的基线、范围和活动周期。 例如,你可能想要接收与高管级别员工相关的异常活动的警报。优化警报敏感度
若要防止警报疲劳,请配置警报的敏感度。 可以使用敏感度滑块控制每 1,000 个用户每周发送的高风险警报数。 较高的敏感度需要较少的差异才能被视为异常并生成更多警报。 通常,为无法访问机密数据的用户设置低敏感度。
阶段 4:优化基于规则的检测 (活动) 策略
基于规则的检测策略 使你能够根据组织特定的要求补充异常情况检测策略。 建议使用活动策略模板之一创建基于规则的策略 (转到 “控制>模板” 并将 “类型 筛选器”设置为 “活动策略) ”,然后 对其进行配置 以检测环境不正常的行为。 例如,对于某些在特定国家/地区没有任何存在的组织,创建一个策略来检测来自该国家/地区的异常活动并对其发出警报可能有意义。 对于在该国家/地区拥有大型分支机构的其他人来说,来自该国家/地区的活动是正常的,检测此类活动是没有意义的。
-
优化活动卷
选择检测引发警报之前所需的活动量。 使用我们的国家/地区示例,如果你在某个国家/地区没有存在,即使单个活动也很重要,并且需要发出警报。 但是,单一登录失败可能是人为错误,仅在短时间内出现许多故障时才感兴趣。 -
优化 活动筛选器
设置所需的筛选器,以检测要对其发出警报的活动类型。 例如,若要检测国家/地区的活动,请使用 Location 参数。 -
优化警报
若要防止警报疲劳,请设置 每日警报限制。
阶段 5:配置警报
注意
自 2022 年 12 月 15 日起,警报/短信 () 已弃用。 若要接收文本警报,应使用 Microsoft Power Automate 进行自定义警报自动化。 有关详细信息,请参阅 与 Microsoft Power Automate 集成,实现自定义警报自动化。
可以选择以最符合需求的格式和媒体接收警报。 若要在一天中的任何时间接收即时警报,建议通过电子邮件接收它们。
你可能还希望能够在组织中其他产品触发的其他警报上下文中分析警报,以便全面了解潜在威胁。 例如,你可能希望关联基于云的事件和本地事件,以查看是否有任何其他缓解证据可以确认攻击。
此外,还可以使用与 Microsoft Power Automate 集成来触发自定义警报自动化。 例如,可以设置 playbook 在 ServiceNow 中自动创建问题,或者在触发警报时发送审批电子邮件以执行自定义治理操作。
使用以下准则配置警报:
-
电子邮件
选择此选项可通过电子邮件接收警报。 -
SIEM
有几个 SIEM 集成选项,包括Microsoft Sentinel、Microsoft Graph 安全性 API和其他泛型 SIEM。 选择最符合要求的集成。 -
Power Automate 自动化
创建所需的自动化 playbook,并将其设置为针对 Power Automate 操作的策略警报。
阶段 6:调查和修正
很棒,你已设置策略并开始接收可疑活动警报。 你应该怎么做? 首先,应采取措施调查活动。 例如,你可能想要查看指示 用户已泄露的活动。
若要优化保护,应考虑设置自动修正操作,以最大程度地降低组织的风险。 我们的策略允许你同时将 治理操作 应用于警报,以便在开始调查之前降低组织的风险。 可用操作由策略类型确定,包括暂停用户或阻止对所请求资源的访问等操作。
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。