如何调查异常情况检测警报

Microsoft Defender for Cloud Apps为恶意活动提供安全检测和警报。 本指南旨在为你提供有关每个警报的一般和实用信息，以帮助你完成调查和修正任务。 本指南包含有关触发警报的条件的一般信息。 但是，请务必注意，由于异常情况检测本质上是不确定的，因此仅当存在偏离规范的行为时，才会触发异常检测。 最后，某些警报可能处于预览状态，因此请定期查看官方文档以获取更新的警报状态。

MITRE ATT&CK

为了解释并更轻松地映射Defender for Cloud Apps警报与熟悉的 MITRE ATT&CK 矩阵之间的关系，我们按相应的 MITRE ATT&CK 策略对警报进行了分类。 通过此额外参考，可以更轻松地了解触发Defender for Cloud Apps警报时可能使用的可疑攻击技术。

本指南提供以下类别中有关调查和修正Defender for Cloud Apps警报的信息。

• 初始访问
• 执行
• 持久性
• 特权提升
• 凭据访问
• 集合
• 外泄
• 影响

安全警报分类

经过适当的调查，所有Defender for Cloud Apps警报都可以归类为下列活动类型之一：

• 真正 (TP) ：针对已确认的恶意活动的警报。
• 良性真阳性 (B-TP) ：针对可疑但不是恶意活动的警报，例如渗透测试或其他授权的可疑操作。
• 误报 (FP) ：非恶意活动的警报。

一般调查步骤

在调查任何类型的警报时，应使用以下一般准则，以在应用建议的操作之前更清楚地了解潜在威胁。

• 如果标识 了 TP，请查看所有用户的活动以了解其影响。
• 查看所有用户活动，了解其他泄露指标，并探索影响的来源和范围。 例如，查看以下用户设备信息并与已知设备信息进行比较：
  • 操作系统和版本
  • 浏览器和版本
  • IP 地址和位置

初始访问警报

本部分介绍指示恶意参与者可能试图获得组织初始立足点的警报。

来自匿名 IP 地址的活动

说明

来自已Microsoft威胁情报或组织标识为匿名代理 IP 地址的 IP 地址的活动。 这些代理可用于隐藏设备的 IP 地址，并可用于恶意活动。

TP、 B-TP 还是 FP？

此检测使用机器学习算法来减少 B-TP 事件，例如组织中用户广泛使用的错误标记 IP 地址。

1. TP：如果能够确认活动是从匿名或 TOR IP 地址执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. B-TP：如果用户已知在其职责范围内使用匿名 IP 地址。 例如，当安全分析师代表组织执行安全或渗透测试时。

   推荐操作: 关闭警报。

了解违规的范围

• 查看所有用户活动和警报，了解其他泄露指标。 例如，如果警报后跟另一个可疑警报，例如 用户) 的异常文件下载 ( 或 可疑收件箱转发 警报，则通常表示攻击者正在试图泄露数据。

来自不常见国家/地区的活动

来自可能指示恶意活动的国家/地区的活动。 此策略会分析环境，并在从最近未访问或组织中任何用户从未访问过的位置检测到活动时触发警报。

该策略的范围可以进一步限定为一部分用户，也可以排除已知前往远程位置的用户。

学习期

检测异常位置需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：

   1. 暂停用户、重置其密码，并确定安全重新启用帐户的适当时间。
   2. 可选：使用 Power Automate 创建 playbook，以联系检测到从不常见位置进行连接的用户及其经理，以验证其活动。

2. B-TP：如果用户已知位于此位置。 例如，经常旅行且当前位于指定位置的用户。

   建议的操作：

   1. 消除警报并修改策略以排除用户。
   2. 为常客创建用户组，将组导入Defender for Cloud Apps，并从此警报中排除用户
   3. 可选：使用 Power Automate 创建 playbook，以联系检测到从不常见位置进行连接的用户及其经理，以验证其活动。

了解违规的范围

• 查看哪些资源可能已泄露，例如潜在的数据下载。

来自可疑 IP 地址的活动

来自已Microsoft威胁情报或组织标识为有风险的 IP 地址的活动。 这些 IP 地址被识别为参与恶意活动，例如执行密码喷射、僵尸网络命令和控制 (C&C) ，并可能指示帐户已泄露。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. B-TP：如果用户已知在其职责范围内使用 IP 地址。 例如，当安全分析师代表组织执行安全或渗透测试时。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看活动日志并搜索来自同一 IP 地址的活动。
2. 查看哪些资源可能已泄露，例如潜在的数据下载或管理修改。
3. 创建一个组，供安全分析师自愿触发这些警报，并将其从策略中排除。

不可能的旅行

同一用户在一个时间段内在不同位置的活动，这比两个位置之间的预期行程时间短。 这可以指示凭据泄露，但是，用户的实际位置也可能被屏蔽，例如，使用 VPN。

为了提高准确性和仅当存在严重违规迹象时发出警报，Defender for Cloud Apps为组织中的每个用户建立基线，并且仅在检测到异常行为时发出警报。 可以根据要求微调不可能的旅行策略。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

此检测使用机器学习算法，该算法会忽略明显的 B-TP 条件，例如，当旅行两端的 IP 地址被视为安全、旅行受信任且被排除在触发不可能旅行检测之外时。 例如，如果双方被 标记为公司，则它们都被视为安全。 但是，如果只认为旅行的一端的 IP 地址是安全的，则检测将按正常方式触发。

1. TP：如果能够确认不可能的旅行警报中的位置对于用户来说不太可能。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (未检测到用户旅行) ：如果能够确认用户最近到达了警报中详述的目标。 例如，如果在前往其他位置时，处于飞行模式的用户手机仍连接到公司网络上的服务（如Exchange Online）。 当用户到达新位置时，手机会连接到Exchange Online触发不可能的旅行警报。

   推荐操作: 关闭警报。

3. FP (未标记的 VPN) ：如果能够确认 IP 地址范围来自批准的 VPN。

   建议的操作：消除警报，将 VPN 的 IP 地址范围添加到Defender for Cloud Apps然后使用它标记 VPN 的 IP 地址范围。

了解违规的范围

1. 查看活动日志，了解同一位置和 IP 地址中的类似活动。
2. 如果你看到用户执行了其他有风险的活动，例如从新位置下载大量文件，这有力地表明可能存在危害。
3. 添加公司 VPN 和 IP 地址范围。
4. 使用 Power Automate 创建 playbook，并联系用户的经理，查看用户是否正在合法旅行。
5. 请考虑为组织旅行报告创建一个已知旅行者数据库，并将其用于交叉引用旅行活动。

误导性 OAuth 应用名称

此检测可识别具有类似于拉丁字母的字符（如外文字母）的应用。 这表示有人试图将恶意应用伪装成已知且受信任的应用，以便攻击者欺骗用户下载其恶意应用。

TP、 B-TP 还是 FP？

1. TP：如果能够确认应用具有误导性名称。

   推荐操作: 查看此应用请求的权限级别以及授予访问权限的用户。 根据调查，你可以选择禁止访问此应用。

若要禁止访问应用，请在“应用治理”页上的“Google”或“Salesforce”选项卡上，在显示要禁止的应用所在的行上，选择“禁止”图标。 - 你可以选择是否要告诉用户他们安装和授权的应用已被禁止。 通知会让用户知道应用已禁用，他们无权访问连接的应用。 如果不希望他们知道，请在对话框中取消选择 “通知已授予此被禁止应用访问权限的用户 ”。 - 建议让应用用户知道其应用即将被禁止使用。

1. FP：如果要确认该应用的名称具有误导性名称，但在组织中具有合法的商业用途。

   推荐操作: 关闭警报。

了解违规的范围

• 请遵循如何 调查危险的 OAuth 应用 的教程。

OAuth 应用的误导性发布者名称

此检测可识别具有类似于拉丁字母的字符（如外文字母）的应用。 这表示有人试图将恶意应用伪装成已知且受信任的应用，以便攻击者欺骗用户下载其恶意应用。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认应用具有误导性的发布者名称。

   推荐操作: 查看此应用请求的权限级别以及授予访问权限的用户。 根据调查，你可以选择禁止访问此应用。

2. FP：如果你要确认应用具有误导性的发布者名称，但是否是合法的发布者。

   推荐操作: 关闭警报。

了解违规的范围

1. 在“应用治理”页上的“Google”或“Salesforce”选项卡上，选择要打开应用抽屉的应用，然后选择“相关活动”。 这会打开“ 活动日志 ”页，该页筛选了应用执行的活动。 请记住，某些应用执行注册为用户执行的活动。 这些活动会自动从活动日志中筛选出结果。 有关使用活动日志的进一步调查，请参阅 活动日志。
2. 如果你怀疑某个应用可疑，我们建议你在不同的应用商店中调查该应用的名称和发布者。 在检查应用商店时，请重点关注以下类型的应用:
   • 下载次数较少的应用。
   • 评分低、分数低或评论差的应用。
   • 具有可疑发布者或网站的应用。
   • 最近未更新的应用。 这可能表示不再支持某个应用。
   • 具有不相关权限的应用。 这可能表示应用存在风险。
3. 如果仍然怀疑某个应用可疑，可以在线研究应用名称、发布者和 URL。

执行警报

本部分介绍指示恶意参与者可能尝试在组织中运行恶意代码的警报。

多个存储删除活动

与所学的基线相比，单个会话中的活动指示用户从 Azure Blob、AWS S3 存储桶或 Cosmos DB 等资源（例如 Azure Blob、AWS S3 存储桶或 Cosmos DB）执行了异常数量的云存储或数据库删除。 这可以指示试图破坏组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果要确认删除操作未授权。

   建议的操作：暂停用户、重置其密码，并扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他泄露指标，并探索影响范围。

2. FP：调查后，如果能够确认管理员有权执行这些删除活动。

   推荐操作: 关闭警报。

了解违规的范围

1. 联系用户并确认活动。
2. 查看活动日志以了解其他泄露指标，并查看谁进行了更改。
3. 查看该用户的活动，了解对其他服务的更改。

多个虚拟机创建活动

与所学的基线相比，单个会话中的活动指示用户执行了异常数量的 VM 创建操作。 在违规的云基础结构上创建多个 VM 可能表示尝试从组织内部运行加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

为了提高准确性和仅在存在严重违规迹象时发出警报，此检测会在组织中的每个环境上建立一个基线，以减少 B-TP 事件，例如管理员合法创建的 VM 比已建立的基线多，并且仅在检测到异常行为时发出警报。

• TP：如果你能够确认创建活动不是由合法用户执行的。

  建议的操作：暂停用户、重置其密码，并扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他泄露指标，并探索影响范围。 此外，请与用户联系，确认其合法操作，并确保禁用或删除任何已泄露的 VM。

• B-TP：如果你在调查后能够确认管理员有权执行这些创建活动。

  推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标。
2. 查看用户创建或修改的资源，并验证它们是否符合组织的策略。

云区域 (预览版) 的可疑创建活动

与学习的基线相比，指示用户在不常见的 AWS 区域中执行了异常资源创建操作的活动。 在不常见的云区域中创建资源可能表示有人试图从组织内部执行恶意活动，例如加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

为了提高准确性和仅在有强烈违规迹象时发出警报，此检测会在组织中的每个环境上建立基线，以减少 B-TP 事件。

• TP：如果你能够确认创建活动不是由合法用户执行的。

  建议的操作：暂停用户、重置其密码，并扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他泄露指标，并探索影响范围。 此外，请与用户联系，确认其合法操作，然后确保禁用或删除任何遭到入侵的云资源。

• B-TP：如果你在调查后能够确认管理员有权执行这些创建活动。

  推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标。
2. 查看创建的资源，并验证它们是否符合组织的策略。

持久性警报

本部分介绍一些警报，这些警报指示恶意参与者可能试图在你的组织中保持其立足点。

终止用户执行的活动

被终止的用户执行的活动可以指示仍有权访问公司资源的已终止员工正在尝试执行恶意活动。 Defender for Cloud Apps分析组织中的用户，并在终止的用户执行活动时触发警报。

TP、 B-TP 还是 FP？

1. TP：如果能够确认终止的用户仍有权访问某些公司资源，并且正在执行活动。

   建议的操作：禁用用户。

2. B-TP：如果能够确定用户被暂时禁用或已被删除并重新注册。

   推荐操作: 关闭警报。

了解违规的范围

1. 交叉引用 HR 记录，以确认用户已终止。
2. 验证是否存在Microsoft Entra用户帐户。

   注意

   如果使用 Microsoft Entra Connect，请验证 本地 Active Directory 对象并确认同步周期成功。

3. 确定被终止的用户有权访问的所有应用，并解除帐户授权。
4. 更新停用过程。

CloudTrail 日志记录服务的可疑更改

单个会话中的活动，指示用户对 AWS CloudTrail 日志记录服务进行了可疑更改。 这可以指示试图破坏组织。 禁用 CloudTrail 时，不再记录操作更改。 攻击者可以执行恶意活动，同时避免 CloudTrail 审核事件，例如将 S3 存储桶从专用更改为公共。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，重置其密码，然后撤消 CloudTrail 活动。

2. FP：如果能够确认用户是否合法禁用了 CloudTrail 服务。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看活动日志以了解其他泄露指标，并查看谁对 CloudTrail 服务进行了更改。
2. 可选：使用 Power Automate 创建 playbook，以联系用户及其经理以验证其活动。

用户) (可疑电子邮件删除活动

单个会话中的活动，指示用户执行了可疑的电子邮件删除操作。 删除类型是“硬删除”类型，这会使电子邮件项目被删除，并且无法在用户的邮箱中使用。 删除操作来自包含不常见的首选项（如 ISP、国家/地区和用户代理）的连接。 这表示有人试图破坏组织，例如攻击者试图通过删除与垃圾邮件活动相关的电子邮件来屏蔽操作。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP：如果能够确认用户是否合法地创建了删除邮件的规则。

   推荐操作: 关闭警报。

了解违规的范围

• 查看所有用户活动，了解其他泄露指标，例如 可疑收件箱转发 警报，后跟 “不可能旅行” 警报。 查找：

  1. 新的 SMTP 转发规则，如下所示：
     • 检查恶意转发规则名称。 规则名称可以从简单名称（例如“转发所有电子邮件”和“自动转发”）或欺骗性名称（例如几乎不可见的“.”）而有所不同。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 还可以在用户界面中隐藏恶意规则。 检测到后，可以使用这篇关于如何从邮箱中删除隐藏规则的有用 博客文章 。
     • 如果检测到无法识别的转发规则发送到未知的内部或外部电子邮件地址，则可以假定收件箱帐户已泄露。
  2. 新的收件箱规则，例如“全部删除”、“将邮件移动到另一个文件夹”或具有模糊命名约定的规则，例如“...”。
  3. 发送的电子邮件增加。

可疑收件箱操作规则

指示攻击者获取了对用户收件箱的访问权限并创建了可疑规则的活动。 操作规则（例如从用户收件箱中删除或移动邮件或文件夹）可能试图从组织泄露信息。 同样，它们可以指示试图操纵用户看到的信息或使用其收件箱来分发垃圾邮件、钓鱼电子邮件或恶意软件。 Defender for Cloud Apps分析环境，并在用户收件箱上检测到可疑收件箱操作规则时触发警报。 这可能表示用户帐户已泄露。

TP、 B-TP 还是 FP？

1. TP：如果能够确认已创建恶意收件箱规则，并且帐户已遭入侵。

   建议的操作：暂停用户、重置其密码并删除转发规则。

2. FP：如果能够确认用户是否合法地创建了规则。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标，例如 可疑收件箱转发 警报，后跟 “不可能旅行” 警报。 查找：
   • 新的 SMTP 转发规则。
   • 新的收件箱规则，例如“全部删除”、“将邮件移动到另一个文件夹”或具有模糊命名约定的规则，例如“...”。
2. 收集操作的 IP 地址和位置信息。
3. 查看从用于创建规则的 IP 地址执行的活动，以检测其他遭到入侵的用户。

权限提升警报

本部分介绍一些警报，这些警报指示恶意参与者可能正在尝试获取组织中的更高级别权限。

用户) (异常管理活动

指示攻击者已入侵用户帐户并执行该用户不常见的管理操作的活动。 例如，攻击者可以尝试更改用户的安全设置，这种操作对于普通用户来说相对罕见。 Defender for Cloud Apps基于用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果能够确认活动不是由合法管理员执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP：如果能够确认管理员是否合法地执行了异常的管理活动量。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标，例如 可疑收件箱转发 或 不可能旅行。
2. 查看其他配置更改，例如创建可用于持久性的用户帐户。

凭据访问警报

本部分介绍指示恶意参与者可能试图从组织窃取帐户名和密码的警报。

多个失败登录尝试

登录尝试失败可能表示有人试图破坏帐户。 但是，失败的登录也可能是正常行为。 例如，当用户错误地输入了错误的密码时。 为了仅在有强烈迹象表明存在企图的违规行为时实现准确性和警报，Defender for Cloud Apps为组织中的每个用户建立登录习惯基线，并且仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

此策略基于了解用户的正常登录行为。 检测到与规范的偏差时，将触发警报。 如果检测开始发现相同行为仍在继续，则警报只会引发一次。

1. TP (MFA) 失败：如果能够确认 MFA 正常工作，这可能是企图暴力攻击的迹象。

   建议的操作：

   1. 暂停用户，将用户标记为已泄露，并重置其密码。
   2. 找到执行失败身份验证的应用并重新配置它。
   3. 查找在活动发生时登录的其他用户，因为他们也可能受到威胁。 暂停用户，将用户标记为已泄露，并重置其密码。

2. B-TP (MFA 失败) ：如果能够确认警报是由 MFA 问题引起的。

   建议的操作：使用 Power Automate 创建 playbook 以联系用户，并在用户遇到 MFA 问题时检查。

3. B-TP (未正确配置的应用) ：如果能够确认配置错误的应用正尝试使用过期凭据多次连接到服务。

   推荐操作: 关闭警报。

4. B-TP (密码已更改) ：如果能够确认用户最近更改了其密码，但不影响跨网络共享的凭据。

   推荐操作: 关闭警报。

5. B-TP (安全测试) ：如果能够确认安全分析师正在代表组织执行安全或渗透测试。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标，例如警报后跟以下警报之一： 不可能旅行、 来自匿名 IP 地址的活动或 来自不常见国家/地区的活动。
2. 查看以下用户设备信息，并与已知设备信息进行比较：
   • 操作系统和版本
   • 浏览器和版本
   • IP 地址和位置
3. 标识发生身份验证尝试的源 IP 地址或位置。
4. 确定用户最近是否更改了其密码，并确保所有应用和设备都具有更新的密码。

向 OAuth 应用异常添加凭据

此检测可识别向 OAuth 应用添加特权凭据的可疑行为。 这可以指示攻击者已入侵应用，并正在将其用于恶意活动。

学习期

了解组织的环境需要 7 天的时间，在此期间，你可能需要大量的警报。

OAuth 应用的异常 ISP

检测可识别从 ISP 连接到云应用程序的 OAuth 应用，而该应用并不常见。 这可能表示攻击者试图使用合法的受攻击应用对云应用程序执行恶意活动。

学习期

此检测的学习期为 30 天。

TP、 B-TP 还是 FP？

1. TP：如果能够确认该活动不是 OAuth 应用的合法活动，或者合法 OAuth 应用未使用此 ISP。

   建议的操作：撤销 OAuth 应用的所有访问令牌，并调查攻击者是否有权生成 OAuth 访问令牌。

2. FP：如果可以确认活动是由正版 OAuth 应用合法进行的。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看 OAuth 应用执行的活动。

2. 调查攻击者是否有权生成 OAuth 访问令牌。

集合警报

本部分介绍一些警报，这些警报指示恶意参与者可能正在尝试从组织收集其目标感兴趣的数据。

多个 Power BI 报表共享活动

与学习的基线相比，单个会话中的活动指示用户在 Power BI 中执行了异常数量的共享报表活动。 这可以指示试图破坏组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：从 Power BI 删除共享访问权限。 如果能够确认帐户已泄露，则暂停用户，将用户标记为已泄露，并重置其密码。

2. FP：如果你能够确认用户有业务理由共享这些报表。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看活动日志以更好地了解用户执行的其他活动。 查看他们从中登录的 IP 地址和设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报表的准则。

可疑 Power BI 报表共享

指示用户共享的 Power BI 报表的活动，该报表可能包含使用 NLP 识别的敏感信息来分析报表的元数据。 报表要么与外部电子邮件地址共享，要么发布到 Web，要么将快照传递到外部订阅的电子邮件地址。 这可以指示试图破坏组织。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：从 Power BI 删除共享访问权限。 如果能够确认帐户已泄露，则暂停用户，将用户标记为已泄露，并重置其密码。

2. FP：如果能够确认用户有共享这些报表的业务理由。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看活动日志以更好地了解用户执行的其他活动。 查看他们从中登录的 IP 地址和设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报表的准则。

用户) (异常模拟活动

在某些软件中，有一些选项允许其他用户模拟其他用户。 例如，电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 攻击者通常使用此活动来创建钓鱼电子邮件，以尝试提取有关组织的信息。 Defender for Cloud Apps基于用户的行为创建基线，并在检测到异常模拟活动时创建活动。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (异常行为) ：如果能够确认用户合法地执行了异常活动，或比建立的基线更多的活动。

   推荐操作: 关闭警报。

3. FP：如果你能够确认应用（如 Teams）合法地模拟了用户。

   建议的操作：查看操作并根据需要消除警报。

了解违规的范围

1. 查看所有用户活动和警报，了解其他泄露指标。
2. 查看模拟活动以确定潜在的恶意活动。
3. 查看委派访问配置。

外泄警报

本部分介绍指示恶意参与者可能试图从组织窃取数据的警报。

可疑的收件箱转发

指示攻击者获取了对用户收件箱的访问权限并创建了可疑规则的活动。 操作规则（例如将所有或特定电子邮件转发到另一个电子邮件帐户）可能是试图从组织泄露信息。 Defender for Cloud Apps分析环境，并在用户收件箱上检测到可疑收件箱操作规则时触发警报。 这可能表示用户帐户已泄露。

TP、 B-TP 还是 FP？

1. TP：如果能够确认已创建恶意收件箱转发规则，并且帐户已泄露。

   建议的操作：暂停用户、重置其密码并删除转发规则。

2. FP：如果能够确认用户出于合法原因创建了新的或个人外部电子邮件帐户的转发规则。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看所有用户活动，了解其他泄露指标，例如警报后跟 不可能的旅行 警报。 查找：

   1. 新的 SMTP 转发规则，如下所示：
      • 检查恶意转发规则名称。 规则名称可以从简单名称（例如“转发所有电子邮件”和“自动转发”）或欺骗性名称（例如几乎不可见的“.”）而有所不同。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 还可以在用户界面中隐藏恶意规则。 检测到后，可以使用这篇关于如何从邮箱中删除隐藏规则的有用 博客文章 。
      • 如果检测到无法识别的转发规则发送到未知的内部或外部电子邮件地址，则可以假定收件箱帐户已泄露。
   2. 新的收件箱规则，例如“全部删除”、“将邮件移动到另一个文件夹”或具有模糊命名约定的规则，例如“...”。

2. 查看从用于创建规则的 IP 地址执行的活动，以检测其他遭到入侵的用户。

3. 使用Exchange Online邮件跟踪查看转发邮件的列表。

用户) (异常文件下载

与所学基线相比，指示用户从云存储平台执行了异常数量的文件下载的活动。 这表示试图获取有关组织的信息。 Defender for Cloud Apps基于用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (异常行为) ：如果可以确认用户合法执行的文件下载活动比建立的基线要多。

   推荐操作: 关闭警报。

3. FP (软件同步) ：如果能够确认软件（如 OneDrive）已与导致警报的外部备份同步。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看下载活动并创建下载的文件列表。
2. 使用资源所有者查看已下载文件的敏感度并验证访问级别。

用户) (异常文件访问

活动指示用户在 SharePoint 或 OneDrive 中对包含财务数据或网络数据的文件执行了异常数量的文件访问（与所学基线相比）。 这表示尝试获取有关组织的信息，无论是出于财务目的还是凭据访问和横向移动。 Defender for Cloud Apps基于用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

学习周期取决于用户的活动。 通常，大多数用户的学习期在 21 到 45 天之间。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (异常行为) ：如果可以确认用户合法执行的文件访问活动比已建立的基线更多。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看访问活动并创建已访问文件的列表。
2. 使用资源所有者查看所访问文件的敏感度，并验证访问级别。

用户) (异常文件共享活动

与所学基线相比，指示用户从云存储平台执行了异常数量的文件共享操作的活动。 这表示试图获取有关组织的信息。 Defender for Cloud Apps基于用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (异常行为) ：如果能够确认用户合法地执行了比既定基线更多的文件共享活动。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看共享活动并创建共享文件列表。
2. 与资源所有者一起查看共享文件的敏感度，并验证访问级别。
3. 为类似文档创建文件策略，以检测敏感文件的未来共享。

影响警报

本部分介绍指示恶意参与者可能试图操作、中断或销毁组织中的系统和数据的警报。

多个删除虚拟机活动

与学习的基线相比，单个会话中的活动指示用户执行了异常数量的 VM 删除。 删除多个 VM 可能表示有人试图中断或破坏环境。 但是，在很多正常情况下，VM 会被删除。

TP、 B-TP 还是 FP？

为了提高准确性和仅在有强烈违规迹象时发出警报，此检测会在组织中的每个环境上建立一个基线，以减少 B-TP 事件，并且仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

• TP：如果能够确认删除操作未授权。

  建议的操作：暂停用户、重置其密码，并扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他泄露指标，并探索影响范围。

• B-TP：调查后，如果能够确认管理员有权执行这些删除活动。

  推荐操作: 关闭警报。

了解违规的范围

1. 联系用户并确认活动。
2. 查看所有用户活动，了解其他泄露指标，例如警报后跟以下警报之一： 不可能旅行、 来自匿名 IP 地址的活动或 来自不常见国家/地区的活动。

勒索软件活动

勒索软件是一种网络攻击，攻击者将受害者锁定其设备，或阻止他们访问其文件，直到受害者支付赎金。 勒索软件可能由恶意共享文件或受攻击的网络传播。 Defender for Cloud Apps使用安全研究专业知识、威胁情报和了解的行为模式来识别勒索软件活动。 例如，高文件上传率或文件删除可能表示勒索软件操作中常见的加密过程。

此检测可建立组织中每个用户的正常工作模式的基线，例如用户访问云时以及他们在云中通常执行的操作。

Defender for Cloud Apps自动威胁检测策略从连接的那一刻起开始在后台运行。 利用我们的安全研究专业知识来识别反映组织中勒索软件活动的行为模式，Defender for Cloud Apps提供针对复杂勒索软件攻击的全面覆盖。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果能够确认活动不是由用户执行。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP (异常行为) ：用户在短时间内合法地执行了类似文件的多次删除和上传活动。

   建议的操作：查看活动日志并确认文件扩展名不可疑后，请消除警报。

3. FP (常见勒索软件文件扩展名) ：如果能够确认受影响文件的扩展名与已知的勒索软件扩展匹配。

   建议的操作：联系用户并确认文件是否安全，然后消除警报。

了解违规的范围

1. 查看活动日志，了解其他泄露指标，例如批量下载或批量删除文件。
2. 如果使用Microsoft Defender for Endpoint，请查看用户的计算机警报，查看是否已检测到恶意文件。
3. 在活动日志中搜索恶意文件上传和共享活动。

用户) (异常文件删除活动

与所学基线相比，指示用户执行了异常文件删除活动的活动。 这表示勒索软件攻击。 例如，攻击者可以加密用户的文件并删除所有原始文件，只留下可用于强迫受害者支付赎金的加密版本。 Defender for Cloud Apps基于用户的正常行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间不会针对任何新位置触发警报。

TP、 B-TP 还是 FP？

1. TP：如果你能够确认活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为已泄露，并重置其密码。

2. FP：如果能够确认用户是否合法地执行了比已建立的基线更多的文件删除活动。

   推荐操作: 关闭警报。

了解违规的范围

1. 查看删除活动并创建已删除文件的列表。 如果需要，请恢复已删除的文件。
2. （可选）使用 Power Automate 创建 playbook，以联系用户及其经理来验证活动。

调查优先级分数提高 (旧)

从 2024 年 11 月开始，将停用对Microsoft Defender for Cloud Apps的风险用户支持。 如果你的组织使用了此功能并且需要此功能，我们建议使用 Entra 风险评分功能。 请使用以下资源获取其他信息：

• 调查风险Microsoft Entra ID 保护 - Microsoft Entra ID 保护 |Microsoft Learn

• Microsoft Entra ID 保护基于风险的访问策略 - Microsoft Entra ID 保护 |Microsoft Learn

另请参阅

调查有风险的用户