如何调查异常情况检测警报

Microsoft Defender for Cloud Apps 提供针对恶意活动的安全检测和警报。 本指南旨在为你提供有关每个警报的一般实用信息，帮助执行调查和修复任务。 本指南中包括有关触发警报条件的一般信息。 但需注意的是，由于异常情况检测本质上是不确定的，因此仅会在存在偏离标准的行为时才会触发异常。 最后，某些警报可能会处于预览状态，因此请定期查看官方文档以了解更新的警报状态。

MITRE ATT&CK

为了解释并轻松映射 Defender for Cloud Apps 警报与我们熟悉的 MITRE ATT&CK 矩阵之间的关系，我们按照相应的 MITRE ATT&CK 策略对警报进行了分类。 此附加参考有助于更轻松地了解在触发 Defender for Cloud Apps 警报时可能使用的可疑攻击技术。

本指南提供了有关调查和修复以下类别 Defender for Cloud Apps 警报的信息。

• 初始访问
• 执行
• 持久性
• 特权提升
• 凭据访问
• 集合
• 外泄
• 影响

安全警报分类

经过适当的调查后，所有 Defender for Cloud Apps 警报均可归类为以下活动类型之一：

• 真正 (TP)：针对已确认的恶意活动的警报。
• “良性 (B-TP)”：针对可疑但不是恶意的活动的警报，例如渗透测试或其他授权的可疑操作。
• “误报 (FP)”：针对非恶意活动的警报。

常规调查步骤

在调查任何类型的警报时，应使用以下一般准则，以便在采取建议操作之前更清楚地了解潜在威胁。

• 查看用户的调查优先级分数，并与组织内的其他用户进行比较。 这将帮助你确定组织中的哪些用户的风险最大。
• 如果确定了 TP，请查看所有用户活动，了解其影响。
• 查看所有用户活动，了解其他入侵指标，并探索影响的来源和范围。 例如，查看以下用户设备信息，并与已知设备信息进行比较：
  • 操作系统和版本
  • 浏览器和版本
  • IP 地址和位置

初始访问警报

本节将介绍警报，而这些警报会表明恶意参与者可能正试图在组织中实现初始立足点。

来自匿名 IP 地址的活动

说明

由 Microsoft 威胁情报或组织标识为匿名代理 IP 地址的 IP 地址活动。 这些代理可用于隐藏设备的 IP 地址，且可能会被用于恶意活动。

TP、B-TP 还是 FP？

此检测使用机器学习算法来减少 B-TP 事件，例如，组织中用户广泛使用的错误标记的 IP 地址。

1. TP：如果能够确认活动是通过匿名或 TOR IP 地址进行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果已知用户在其职责范围内使用匿名 IP 地址。 例如，当安全分析员代表组织进行安全或渗透测试时。

   建议的操作：关闭警报。

了解泄露的范围

• 查看所有用户活动和警报，以便了解其他入侵迹象。 例如，如果警报之后出现另一个可疑警报，比如异常文件下载（用户）或可疑收件箱转发警报，这通常表明攻击者正试图窃取数据。

来自不常见国家/地区的活动

来自某个国家/地区的活动可能表明存在恶意活动。 此策略会分析你的环境，并在检测到组织中任一用户最近未访问或从未访问过的位置出现活动时触发警报。

该策略可以进一步限定用户子集的范围，也可以排除已知前往远程位置的用户。

学习期

检测异常位置需要 7 天的初始学习期，在此期间不会对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：

   1. 暂停用户，重置密码，确定安全地重新启用帐户的正确时间。
   2. 可选：使用 Power Automate 创建 Playbook，联系检测到从不常用位置连接的用户及其经理，以验证其活动。

2. B-TP：如果已知用户在此位置。 例如，用户经常出差且目前在指定位置时。

   建议的操作：

   1. 关闭警报并修改策略以排除该用户。
   2. 为经常出差的用户创建一个用户组，将该组导入 Defender for Cloud Apps，然后将用户排除在此警报之外
   3. 可选：使用 Power Automate 创建 Playbook，联系检测到从不常用位置连接的用户及其经理，以验证其活动。

了解违规范围

• 查看哪些资源可能已泄露，例如潜在的数据下载。

来自可疑 IP 地址的活动

来自已被 Microsoft 威胁情报或组织标识为有风险的 IP 地址活动。 这些 IP 地址会被认定为参与了恶意活动，例如执行密码喷射、僵尸网络命令和控制 (C&C)，同时还可能表示帐户已遭入侵。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果已知用户在其职责范围内使用该 IP 地址。 例如，当安全分析员代表组织进行安全或渗透测试时。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，搜索来自同一 IP 地址的活动。
2. 查看哪些资源可能已泄露，例如潜在的数据下载或管理修改。
3. 为自愿触发这些警报的安全分析员创建一个组，并将其从策略中排除。

不可能旅行

来自不同位置的同一用户的活动时间比两个位置之间的预期旅行时间短。 这可能表明凭据泄露，也有可能用户的实际位置被屏蔽，比如使用 VPN。

为提高准确性且仅在出现明显泄露迹象时发出警报，Defender for Cloud Apps 会对组织中的每个用户建立基线，且仅在检测到异常行为时发出警报。 可根据你的要求微调不可能旅行策略。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

此检测使用机器学习算法来忽略明显的 B-TP 条件，例如，当旅行双方的 IP 地址被视为安全时，旅行将受信任，并被排除在触发不可能旅行检测之外。 例如，如果双方均被标记为公司，则会将其视为安全。 但是，如果只有旅行一方的 IP 地址被视为安全，则会正常触发检测。

1. TP：如果能够确认不可能旅行警报中的位置对用户来说不太可能。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（未检测到的用户旅行）：如果能够确认用户最近去过警报中详细提到的目的地。 例如，如果用户的手机处于飞行模式，在前往其他位置时仍连接到公司网络上的 Exchange Online 等服务。 当用户到达新位置时，手机会连接到 Exchange Online，从而触发不可能旅行警报。

   建议的操作：关闭警报。

3. FP（未标记的 VPN）：如果能够确认 IP 地址范围来自批准的 VPN。

   建议的操作：关闭警报，并将 VPN 的 IP 地址范围添加到 Defender for Cloud Apps，然后使用它标记 VPN 的 IP 地址范围。

了解泄露的范围

1. 查看活动日志，了解同一位置和 IP 地址中的类似活动。
2. 如果发现用户执行了其他风险活动，例如从新位置下载大量文件，则表明很可能存在盗用。
3. 添加公司 VPN 和 IP 地址范围。
4. 使用 Power Automate 创建 Playbook，并联系用户的经理，查看用户是否合法旅行。
5. 考虑创建一个已知旅行人员数据库，提供最新的组织旅行报告，并利用它来交叉比对旅行活动。

误导性 OAuth 应用名称

此检测可识别带有类似拉丁字母字符（如外文字母）的应用。 这可能表明攻击者试图将恶意应用伪装成已知的可信应用，从而欺骗用户下载其恶意应用。

TP、B-TP 还是 FP？

1. TP：如果能够确认应用的名称具有误导性。

   建议的操作：查看此应用请求的权限级别以及授予哪些用户访问权限。 根据调查，可以选择禁止访问此应用。

要禁止访问应用，请在“应用治理”页上的“Google”或“Salesforce”选项卡上，在要禁止的应用出现的行上，选择“禁止”图标。 - 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用，且他们将无法访问已连接的应用。 如果不希望用户知道，请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 - 建议告知应用用户，使其知晓应用即将被禁止使用。

1. FP：如果确认应用的名称具有误导性，但在组织中具有合法的业务用途。

   建议的操作：关闭警报。

了解泄露的范围

• 按照有关如何调查有风险的 OAuth 应用的教程操作。

OAuth 应用的误导性发布者名称

此检测可识别带有类似拉丁字母字符（如外文字母）的应用。 这可能表明攻击者试图将恶意应用伪装成已知的可信应用，从而欺骗用户下载其恶意应用。

TP、B-TP 还是 FP？

1. TP：如果能够确认应用的发布者名称具有误导性。

   建议的操作：查看此应用请求的权限级别以及授予哪些用户访问权限。 根据调查，可以选择禁止访问此应用。

2. TP：如果能够确认应用的发布者名称具有误导性，但其是合法发布者。

   建议的操作：关闭警报。

了解泄露的范围

1. 在“应用治理”页上的“Google”或“Salesforce”选项卡上，选择应用以打开“应用抽屉”，然后选择“相关活动”。 这会打开活动日志页，其中筛选出了应用执行的活动。 请注意，一些应用执行的活动注册为已由用户执行。 这些活动自动从活动日志的结果中筛选出来。 若要使用“活动日志”进一步调查，请参阅活动日志。
2. 如果怀疑某个应用可疑，我们建议在不同的应用商店中调查该应用的名称和发布者。 检查应用商店时，重点关注以下类型的应用：
   • 下载次数少的应用。
   • 评级/评分低或评价差的应用。
   • 具有可疑发布者或网站的应用。
   • 最近未更新的应用。 这可能表示应用不再受支持。
   • 所含权限不相关的应用。 这可能表示应用有风险。
3. 如果仍然怀疑应用可疑，可以联机搜索应用名称、发布者和 URL。

执行警报

本节将介绍警报，而这些警报会表明恶意参与者可能正尝试在组织中运行恶意代码。

多个存储删除活动

单个会话中的活动表明，与学习的基线相比，用户在 Azure blob、AWS S3 存储桶或 Cosmos DB 等资源中执行了异常数量的云存储或数据库删除。 这可能表明有人企图入侵你的组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果要确认删除未经授权。

   建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。

2. FP：如果在调查后，能够确认管理员有权执行这些删除活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 联系用户并确认活动。
2. 查看活动日志，了解其他入侵指标，查看谁进行了更改。
3. 查看用户活动以了解对其他服务的更改。

多个虚拟机创建活动

单个会话中的活动表明，与学习的基线相比，用户执行了异常数量的虚拟机创建操作。 在遭到入侵的云基础设施上创建多个虚拟机可能表明有人试图从你的组织内部运行加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

为提高准确性且仅在出现明显泄露迹象时发出警报，此检测会对组织中的每个环境建立基线以减少 B-TP 事件（例如管理员合法创建超过既定基线的 VM），且仅在检测到异常行为时发出警报。

• TP：如果能够确认创建活动并非由合法用户执行。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。 此外，请联系用户，确认其合法操作，然后确保禁用或删除任何已遭盗用的虚拟机。

• B-TP：如果在调查后，能够确认管理员有权执行这些创建活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标。
2. 查看用户创建或修改的资源，并验证这些资源是否符合组织的策略。

云区域的可疑创建活动（预览）

活动表明，与学习的基线相比，用户在不常用的 AWS 区域中执行了异常的资源创建操作。 在不常用云区域创建资源可能表明有人试图在组织中执行恶意活动，比如加密挖掘操作。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

为提高准确性且仅在出现明显泄露迹象时发出警报，此检测会对组织中的每个环境建立基线以减少 B-TP 事件。

• TP：如果能够确认创建活动并非由合法用户执行。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。 此外，请联系用户，确认其合法操作，然后确保禁用或删除任何已遭盗用的云资源。

• B-TP：如果在调查后，能够确认管理员有权执行这些创建活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标。
2. 查看创建的资源，并验证这些资源是否符合组织的策略。

暂留警报

本节将介绍警报，而这些警报会表明恶意参与者可能正试图在组织中维持其立足点。

已终止用户执行的活动

已离职用户执行的活动可能表明，仍有权访问公司资源的已离职员工正尝试执行恶意活动。 Defender for Cloud Apps 将分析组织中的用户，并在已离职用户执行活动时触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认已离职用户仍有权访问某些公司资源并正在执行活动。

   建议的操作：禁用用户。

2. B-TP：如果能够确定用户被暂时禁用，或被删除后又重新注册。

   建议的操作：关闭警报。

了解泄露的范围

1. 交叉比对 HR 记录以确认用户已离职。
2. 验证 Microsoft Entra 用户帐户是否存在。

   注意

   如果使用 Microsoft Entra Connect，请验证本地 Active Directory 对象并确认同步周期成功。

3. 确定已离职用户有权访问所有应用，并停用帐户。
4. 更新停用过程。

CloudTrail 日志记录服务的可疑更改

单个会话中的活动表明，用户对 AWS CloudTrail 日志记录服务执行了可疑更改。 这可能表明有人企图入侵你的组织。 禁用 CloudTrail 后，不再记录操作更改。 攻击者可以在避免 CloudTrail 审核事件的同时执行恶意活动，例如将 S3 存储桶从专用改为公开。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，重置密码，反转 CloudTrail 活动。

2. FP：如果能够确认用户合法禁用了 CloudTrail 服务。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，了解其他入侵迹象，查看谁对 CloudTrail 服务进行了更改。
2. 可选：使用 Power Automate 创建 Playbook，联系用户及其经理以验证他们的活动。

可疑的电子邮件删除活动（用户）

单个会话中的活动表明，用户执行了可疑的电子邮件删除。 删除类型为“硬删除”，从而会删除电子邮件项目，且不在用户的邮箱中显示。 此删除是通过包括 ISP、国家/地区和用户代理等非常用首选项的连接来完成的。 这可能表明有人试图入侵你的组织，例如，攻击者试图通过删除与垃圾邮件活动有关的电子邮件来掩盖其行动。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认用户合法创建了删除消息的规则。

   建议的操作：关闭警报。

了解泄露的范围

• 查看所有用户活动以检测其他入侵迹象，例如出现可疑收件箱转发警报，接着又出现不可能旅行警报。 查找:

  1. 新的 SMTP 转发规则，如下所示：
     • 检查是否存在恶意转发规则名称。 规则名称可能是简单的名称，例如 "Forward All Emails" 和 "Auto forward"，也可能是欺骗性名称，例如几乎看不见的 "."。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 恶意规则也可以隐藏在用户界面中。 一旦检测到，你可以使用这篇有用的博客文章，了解如何删除邮箱中的隐藏规则。
     • 如果检测到未识别的转发规则指向未知的内部或外部电子邮件地址，则可以认为收件箱帐户已被盗用。
  2. 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。
  3. 发送的电子邮件数量增加。

可疑收件箱操作规则

活动表明攻击者访问了用户收件箱并创建了可疑规则。 操作规则（例如从用户收件箱中删除或移动邮件或文件夹）可能会试图从组织中泄露信息。 同样，这些也可能表明有人试图操纵用户看到的信息，或利用用户的收件箱分发垃圾邮件、网络钓鱼邮件或恶意软件。 Defender for Cloud Apps 将分析环境，并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 它可能表示用户的帐户已遭入侵。

TP、B-TP 还是 FP？

1. TP：如果能够确认创建了恶意收件箱规则，并且帐户已被盗用。

   建议的操作：暂停用户，重置密码，移除转发规则。

2. FP：如果能够确认用户合法创建了规则。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动以检测其他入侵迹象，例如出现可疑收件箱转发警报，接着又出现不可能旅行警报。 查找:
   • 新的 SMTP 转发规则。
   • 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。
2. 收集操作的 IP 地址和位置信息。
3. 查看从创建规则的 IP 地址执行的活动，以检测其他被盗用的用户。

特权提升警报

本节将介绍警报，而这些警报会表明恶意参与者可能正尝试在组织中获取更高级别的权限。

异常管理活动（用户）

表明攻击者已入侵用户帐户并已执行该用户不常执行的管理操作的活动。 例如，攻击者可以尝试更改用户的安全设置，这种操作对于普通用户来说相对罕见。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法管理员执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认管理员合法执行了异常数量的管理活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动以检测其他入侵迹象，例如可疑收件箱转发或不可能旅行。
2. 查看其他配置更改，例如创建可能用于暂留的用户帐户。

凭据访问警报

本节将介绍警报，而这些警报会表明恶意参与者可能正试图从你的组织窃取帐户名和密码。

多次失败的登录尝试

失败的登录尝试可能表明有人试图入侵帐户。 但是，登录失败也可能是正常行为。 例如，当用户输入错误的密码时。 为实现准确性且仅在出现明显尝试入侵迹象时发出警报，Defender for Cloud Apps 会对组织中的每个用户建立行为迹象基线，且仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

此策略基于对用户正常登录行为的了解。 当检测到偏离规范时，将触发警报。 如果检测发现相同的行为仍在继续，则仅发出一次警报。

1. TP（MFA 失败）：如果能够确认 MFA 正常工作，这可能是有人试图进行暴力攻击的迹象。

   建议的操作：

   1. 暂停用户，将用户标记为被盗用，重置密码。
   2. 找到执行失败身份验证的应用并重新配置。
   3. 查找在此活动期间登录的其他用户，因为他们也可能会被入侵。 暂停用户，将用户标记为被盗用，重置密码。

2. B-TP（MFA 失败）：如果能够确认警报是由 MFA 问题引起的。

   建议操作：使用 Power Automate 创建 playbook，以便联系用户并确认其是否出现 MFA 问题。

3. B-TP（配置不当的应用）：如果能够确认配置错误的应用尝试使用过期的凭据多次连接到服务。

   建议的操作：关闭警报。

4. B-TP（密码已更改）：如果能够确认用户最近更改了密码，但未影响网络共享中的凭据。

   建议的操作：关闭警报。

5. B-TP（安全测试）：如果能够确认安全分析员正在代表组织进行安全或渗透测试。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动以检测其他入侵指标，例如在此警报后出现以下警报之一：不可能旅行、来自匿名 IP 地址的活动或来自不常用国家/地区的活动。
2. 查看以下用户设备信息，并与已知设备信息进行比较：
   • 操作系统和版本
   • 浏览器和版本
   • IP 地址和位置
3. 识别发生身份验证尝试的源 IP 地址或位置。
4. 确定用户最近是否更改了密码，并确保所有应用和设备都具有更新的密码。

向 OAuth 应用异常添加凭据

此检测可识别向 OAuth 应用添加特权凭据的可疑活动。 这可能表示攻击者已盗用应用，并正在将其用于恶意活动。

学习期

了解组织的环境需要 7 天时间，而在此期间可能会出现大量警报。

OAuth 应用的异常 ISP

该检测识别从 ISP 连接到云应用程序的 OAuth 应用，这对于该应用来说并不常见。 它可能表明攻击者已尝试使用合法入侵的应用对云应用程序执行恶意活动。

学习期

此检测的学习期为 30 天。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是 OAuth 应用的合法活动，或是合法 OAuth 应用未使用此 ISP。

   建议的操作：撤销 OAuth 应用的所有访问令牌，并调查攻击者是否有权生成 OAuth 访问令牌。

2. FP：如果能够确认活动是由真正的 OAuth 应用合法进行的。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看 OAuth 应用执行的活动。

2. 调查攻击者是否有权生成 OAuth 访问令牌。

收集警报

本节将介绍警报，而这些警报表明恶意参与者可能正尝试从你的组织收集与其目标相关的数据。

多个 Power BI 报告共享活动

单个会话中的活动表明，与学习的基线相比，用户在 Power BI 中执行了异常数量的共享报告活动。 这可能表明有人企图入侵你的组织。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：从 Power BI 中移除共享访问权限。 如果能够确认帐户已被盗用，请暂停用户，将用户标记为已被盗用，并重置密码。

2. FP：如果能够确认用户有共享这些报告的业务理由。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，更好地了解用户执行的其他活动。 查看他们用于登录的 IP 地址以及设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报告的准则。

可疑的 Power BI 报表共享

表明用户已共享 Power BI 报表的活动，而该报表可能包含使用 NLP 来标识的敏感信息，以便分析此报表的元数据。 该报告要么与外部电子邮件地址共享，发布到网页上，要么将快照发送到外部订阅的电子邮件地址。 这可能表明有人企图入侵你的组织。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：从 Power BI 中移除共享访问权限。 如果能够确认帐户已被盗用，请暂停用户，将用户标记为已被盗用，并重置密码。

2. FP：如果能够确认用户有共享这些报告的业务理由。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看活动日志，更好地了解用户执行的其他活动。 查看他们用于登录的 IP 地址以及设备详细信息。
2. 请联系 Power BI 团队或信息保护团队，了解在内部和外部共享报告的准则。

异常模拟活动（用户）

在某些软件中，有些选项允许其他用户模拟其他用户。 例如，电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 攻击者通常使用此活动来创建网络钓鱼电子邮件，试图提取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常模拟活动时创建活动。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法地执行了异常活动，或执行了比已有基线更多的活动。

   建议的操作：关闭警报。

3. FP：如果能够确认应用（如 Teams）合法模拟了用户。

   建议的操作：根据需要查看操作并关闭警报。

了解泄露的范围

1. 查看所有用户活动和警报，了解其他入侵指标。
2. 查看模拟活动，识别潜在的恶意活动。
3. 查看委托访问权限配置。

外泄警报

本节将介绍警报，而这些警报会表明恶意参与者可能正尝试从你的组织窃取数据。

可疑收件箱转发

活动表明攻击者访问了用户收件箱并创建了可疑规则。 操作规则（例如，将所有或特定电子邮件转发到其他电子邮件帐户）可能会试图从你的组织泄露信息。 Defender for Cloud Apps 将分析环境，并在用户收件箱中检测到可疑收件箱操作规则时触发警报。 它可能表示用户的帐户已遭入侵。

TP、B-TP 还是 FP？

1. TP：如果能够确认创建了恶意收件箱转发规则，并且帐户已被盗用。

   建议的操作：暂停用户，重置密码，移除转发规则。

2. FP：如果能够确认用户出于合法原因创建了指向新的或个人外部电子邮件帐户的转发规则。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动，了解其他入侵指标，例如警报后跟不可能旅行警报。 查找:

   1. 新的 SMTP 转发规则，如下所示：
      • 检查是否存在恶意转发规则名称。 规则名称可能是简单的名称，例如 "Forward All Emails" 和 "Auto forward"，也可能是欺骗性名称，例如几乎看不见的 "."。 转发规则名称甚至可以为空，转发收件人可以是单个电子邮件帐户或整个列表。 恶意规则也可以隐藏在用户界面中。 一旦检测到，你可以使用这篇有用的博客文章，了解如何删除邮箱中的隐藏规则。
      • 如果检测到未识别的转发规则指向未知的内部或外部电子邮件地址，则可以认为收件箱帐户已被盗用。
   2. 新的收件箱规则，例如 "delete all"、"move messages to another folder" 或具有模糊命名约定的规则，例如 "…"。

2. 查看从创建规则的 IP 地址执行的活动，以检测其他被盗用的用户。

3. 使用 Exchange Online 信息跟踪查看转发信息列表。

异常文件下载（用户）

活动表明，与学习的基线相比，用户从云存储平台执行了异常数量的文件下载。 这可能表明有人试图获取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件下载活动。

   建议的操作：关闭警报。

3. FP（软件同步）：如果能够确认 OneDrive 等软件已与引起警报的外部备份同步。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看下载活动，创建下载的文件列表。
2. 与资源所有者一起检查下载文件的敏感度，并验证访问级别。

异常文件访问（用户）

活动表明，与学习的基线相比，用户在 SharePoint 或 OneDrive 中对包含财务数据或网络数据的文件执行了异常数量的文件访问。 这表明有人试图获取有关组织的信息，无论是出于财务目的，还是访问凭据和横向移动。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

学习期取决于用户活动。 通常，大多数用户的学习期为 21 到 45 天。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件访问活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看访问活动，创建访问文件的列表。
2. 与资源所有者一起检查访问文件的敏感度，并验证访问级别。

异常文件共享活动（用户）

活动表明，与学习的基线相比，用户从云存储平台执行了异常数量的文件共享操作。 这可能表明有人试图获取有关组织的信息。 Defender for Cloud Apps 根据用户的行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：如果能够确认用户合法执行了比已有基线更多的文件共享活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看共享活动，创建共享文件列表。
2. 与资源所有者一起检查共享文件的敏感度，并验证访问级别。
3. 为类似文档创建文件策略，以检测敏感文件的未来共享情况。

影响警报

本节将介绍警报，而这些警报会表明恶意参与者可能正试图操纵、截取或破坏你组织中的系统和数据。

多个删除虚拟机活动

单个会话中的活动表明，与学习的基线相比，用户执行了异常数量的虚拟机删除。 多个虚拟机删除操作可能表明有人试图中断或破坏环境。 但在许多正常情况下会删除虚拟机。

TP、B-TP 还是 FP？

为提高准确性并仅在出现明显泄露迹象时发出警报，此检测会对组织中的每个环境建立基线以减少 B-TP 事件，并仅在检测到异常行为时发出警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

• TP：如果能够确认删除未经授权。

  建议的操作：暂停用户，重置密码，扫描所有设备是否存在恶意威胁。 查看所有用户活动，了解其他入侵指标，探索影响的范围。

• B-TP：如果在调查后，能够确认管理员有权执行这些删除活动。

  建议的操作：关闭警报。

了解泄露的范围

1. 联系用户并确认活动。
2. 查看所有用户活动，了解其他入侵指标，例如警报后跟以下警报之一：不可能旅行、来自匿名 IP 地址的活动或来自不常见国家/地区的活动。

勒索软件活动

勒索软件是一种网络攻击，攻击者将受害者锁定在设备之外，或阻止他们访问文件，直到受害者支付赎金。 勒索软件可通过恶意共享文件或盗用的网络进行传播。 Defender for Cloud Apps 利用安全研究专业知识、威胁情报和学习的行为模式来识别勒索软件活动。 例如，较高的文件上传或删除频率可能表示勒索软件操作中常见的加密流程。

此检测为组织中每个用户的正常工作模式建立基线，例如用户何时访问云，以及他们在云中通常执行的操作。

从连接的那一刻起，Defender for Cloud Apps 的自动威胁检测策略就开始在后台运行。 Defender for Cloud Apps 利用我们的安全研究专业知识，来识别反映组织中勒索软件活动的行为模式，可全面覆盖复杂的勒索软件攻击。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动并非用户执行。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP（异常行为）：用户在短时间内合法执行了类似文件的多次删除和上传活动。

   建议操作：查看活动日志并确认文件扩展名并不可疑后，关闭此警报。

3. FP（常见勒索软件文件扩展名）：如果能够确认受影响文件的扩展名与已知的勒索软件扩展名匹配。

   建议的操作：联系用户并确认文件是安全的，然后关闭警报。

了解泄露的范围

1. 查看活动日志，了解其他入侵指标，例如批量下载或批量删除文件。
2. 如果使用 Microsoft Defender for Endpoint，请查看用户的计算机警报，了解是否检测到恶意文件。
3. 在活动日志中搜索恶意文件上传和共享活动。

异常文件检测活动（用户）

活动表明，与学习的基线相比，用户执行了异常文件删除活动。 这可能表明发生勒索软件攻击。 例如，攻击者可以加密用户的文件并删除所有原始文件，只留下加密版本，用来胁迫受害者支付赎金。 Defender for Cloud Apps 根据用户的正常行为创建基线，并在检测到异常行为时触发警报。

学习期

建立新用户的活动模式需要 7 天的初始学习期，而在此期间不会针对任何新位置触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认该活动不是由合法用户执行的。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. FP：如果能够确认用户合法执行了比已有基线更多的文件删除活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看删除活动，创建删除文件的列表。 如果需要，恢复删除的文件。
2. （可选）使用 Power Automate 创建 Playbook，联系用户及其经理以验证他们的活动。

调查优先级分数增加（预览）

根据严重性、用户影响和用户行为分析，对异常活动和触发警报的活动进行评分。 分析是基于租户中的其他用户完成的。

当特定用户的调查优先级分数出现显著异常增加时，将触发警报。

此警报可以检测潜在的漏洞，这些漏洞的特点是不一定会触发特定警报，但累积起来会对用户造成可疑行为。

学习期

建立新用户的活动模式需要 7 天的初始学习期，在此期间，任何分数的增加都不会触发警报。

TP、B-TP 还是 FP？

1. TP：如果能够确认用户的活动不合法。

   建议的操作：暂停用户，将用户标记为被盗用，重置密码。

2. B-TP：如果能够确认用户确实严重偏离了正常行为，但不存在潜在的漏洞。

3. FP（异常行为）：如果能够确认用户合法地执行了异常活动，或执行了比已有基线更多的活动。

   建议的操作：关闭警报。

了解泄露的范围

1. 查看所有用户活动和警报，了解其他入侵指标。

弃用时间表

到 2024 年 8 月，我们将逐渐停用 Microsoft Defender for Cloud Apps 中的调查优先级分数增加警报。

经过仔细的分析和考虑，我们决定弃用它，因为与此警报相关的误报率很高，而我们发现它对组织的整体安全没有有效的贡献。

我们的研究表明，此功能没有增加重大价值，也不符合我们提供高质量、可靠安全解决方案的战略重点。

我们致力于不断改进我们的服务，并确保满足你的需求和期望。

对于想继续使用此警报的用户，建议改用以下高级搜寻查询以作为建议的模板。 按需修改此查询。

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

另请参阅

调查有风险的用户