建立 Defender for Cloud Apps異常偵測原則
Microsoft Defender for Cloud Apps 異常偵測原則 (UEBA) 和機器學習 (ML) 提供現成的使用者和實體行為分析,讓您從一開始就準備好在雲端環境中執行進階威脅偵測。 由於它們會自動啟用,因此新的異常偵測原則會立即開始偵測和定序結果的程式,並將使用者和連線到您網路的計算機和裝置上的許多行為異常設為目標。 此外,原則會從 Defender for Cloud Apps 偵測引擎公開更多數據,以協助您加速調查程式並包含持續的威脅。
異常偵測原則會自動啟用,但 Defender for Cloud Apps 的初始學習期間為七天,在此期間不會引發所有異常偵測警示。 之後,當您從已設定的 API 連接器收集數據時,每個會話都會與過去一個月偵測到的使用者作用中、IP 位址、裝置等活動相比較,以及這些活動的風險分數。 請注意,可能需要數小時才能從 API 連接器取得數據。 這些偵測是啟發式異常偵測引擎的一部分,可分析您的環境,並根據您組織活動所學到的基準觸發警示。 這些偵測也會使用機器學習演算法,其設計目的是分析使用者和登入模式,以減少誤判。
掃描用戶活動會偵測到異常。 風險的評估方式是查看超過 30 個不同的風險指標,分組為風險因素,如下所示:
- 有風險的 IP 位址
- 登入失敗
- 系統管理員活動
- 非使用中的帳戶
- 位置
- 不可能的移動
- 裝置和使用者代理程式
- 活動率
根據原則結果,會觸發安全性警示。 Defender for Cloud Apps 查看雲端上的每個用戶會話,並在發生與組織基準或使用者一般活動不同的情況時發出警示。
除了原生 Defender for Cloud Apps 警示之外,您也會根據從 Microsoft Entra ID Protection 收到的資訊,取得下列偵測警示:
- 認證外洩:當使用者的有效認證外泄時觸發。 如需詳細資訊,請參閱 Microsoft Entra ID 的認證外洩偵測。
- 有風險的登入:將一些 Microsoft Entra ID Protection 登入偵測合併成單一偵測。 如需詳細資訊,請參閱 Microsoft Entra ID 的登入風險偵測。
這些原則會出現在 [Defender for Cloud Apps 原則] 頁面上,而且可以啟用或停用。
異常偵測原則
您可以前往 Cloud Apps-Policies ->>Policy management,在 Microsoft Defender 入口網站中查看異常偵測原則。 然後選擇 原則類型的異常偵測 原則。
有下列異常偵測原則可供使用:
不可能的移動
-
此偵測會識別在單一或多個會話中 (兩個用戶活動,) 源自地理位置,時間比使用者從第一個位置移動到第二個位置的時間短,表示不同的使用者使用相同的認證。 此偵測會使用機器學習演算法,忽略造成不可能移動狀況的明顯「誤判」,例如 VPN 和組織中其他用戶經常使用的位置。 偵測的初始學習期間為七天,其會在這段期間學習新用戶的活動模式。 不可能的移動偵測會識別兩個位置之間不尋常且不可能的用戶活動。 活動應該很不尋常,足以被視為入侵的指標,以及值得警示的指標。 若要讓此作業能夠運作,偵測邏輯會包含不同層級的歸併,以解決可能觸發誤判的案例,例如 VPN 活動,或來自未指出實體位置的雲端提供者活動。 敏感度滑桿可讓您影響演算法,並定義偵測邏輯的嚴格程度。 敏感度層級越高,在偵測邏輯中隱藏的活動就越少。 如此一來,您就可以根據涵蓋範圍需求和 SNR 目標調整偵測。
注意事項
- 當移動兩端的IP位址都被視為安全且敏感度滑桿未設定為 [高] 時,會信任該行進,並將其排除在觸發不可能的移動偵測之外。 例如,如果兩端 都標記為公司,則會將其視為安全。 不過,如果只將行進一端的IP位址視為安全,則會如常觸發偵測。
- 位置會根據國家/地區層級計算。 這表示,來自相同國家/地區或邊界國家/地區的兩個動作不會有任何警示。
來自不常使用國家/地區的活動。
- 此偵測會考慮過去的活動位置,以判斷新位置和不常發生的位置。 異常偵測引擎會儲存使用者先前使用之位置的相關信息。 當活動從使用者最近未造訪或從未造訪過的位置發生時,就會觸發警示。 為了減少誤判警示,偵測會隱藏用戶的常見喜好設定特性連線。
惡意軟體偵測
此偵測會識別雲端記憶體中的惡意檔案,不論這些檔案來自您的Microsoft應用程式或第三方應用程式。 Microsoft Defender for Cloud Apps 使用Microsoft的威脅情報來辨識符合風險啟發學習法的特定檔案,例如檔類型和共用層級是否與已知的惡意代碼攻擊相關聯,而且可能是惡意的。 此內建原則預設為停用。 偵測到惡意檔案之後,您就可以看到受 感染的檔案清單。 選取檔案隱藏式選單中的惡意代碼檔名,以開啟惡意代碼報告,以提供檔案受感染之惡意代碼類型的相關信息。
使用此偵測,透過會話原則即時控制檔案上傳和下載。
檔案沙盒化
藉由啟用檔案沙盒處理,根據其元數據和專屬啟發學習法的檔案可能會有風險,也會在安全的環境中掃描沙箱。 沙箱掃描可能會偵測到未根據威脅情報來源偵測到的檔案。
Defender for Cloud Apps 支援下列應用程式的惡意代碼偵測:
- Box
- Dropbox
- Google Workspace
注意事項
- 第三方應用程式 (Box、 Dropbox 等 ) 會主動進行沙盒處理。 在 OneDrive 和 SharePoint 檔案中,系統會在服務本身中進行掃描和沙盒化。
- 在 Box、Dropbox 和 Google Workspace 中,Defender for Cloud Apps 不會自動封鎖檔案,但可能會根據應用程式的功能和客戶所設定的應用程式組態來執行封鎖。
- 如果您不確定偵測到的檔案是否為真正的惡意代碼或誤判,請移至 Microsoft 安全情報 頁面https://www.microsoft.com/wdsi/filesubmission,然後提交檔案以供進一步分析。
來自匿名 IP 位址的活動
- 此偵測會從已識別為匿名 Proxy IP 位址的IP位址識別使用者作用中。 這些 Proxy 是由想要隱藏其裝置 IP 位址的人員使用,而且可能用於惡意意圖。 此偵測會使用機器學習演算法來減少「誤判」,例如組織中使用者廣泛使用的錯誤標記IP位址。
勒索軟體活動
- Defender for Cloud Apps 使用異常偵測擴充其勒索軟體偵測功能,以確保能更全面地涵蓋複雜的勒索軟體攻擊。 使用我們的安全性研究專業知識來識別反映勒索軟體活動的行為模式,Defender for Cloud Apps 確保全面且健全的保護。 例如,如果 Defender for Cloud Apps 識別出高比率的檔案上傳或檔案刪除活動,則可能代表不良的加密程式。 此數據會收集到從連線 API 接收的記錄中,然後與學習到的行為模式和威脅情報結合,例如已知的勒索軟體擴充功能。 如需有關 Defender for Cloud Apps 如何偵測勒索軟體的詳細資訊,請參閱保護您的組織免於勒索軟體。
由已終止的使用者執行的活動
- 此偵測可讓您識別已離職員工何時繼續在 SaaS 應用程式上執行動作。 因為數據顯示測試人員威脅的最大風險來自離職員工,所以請務必留意已離職員工的帳戶活動。 有時候,當員工離開公司時,他們的帳戶會從公司應用程式取消布建,但在許多情況下,他們仍會保留對特定公司資源的存取權。 這在考慮特殊許可權帳戶時更為重要,因為先前的系統管理員可能造成的損害原本就更大。 此偵測利用 Defender for Cloud Apps 能力來監視應用程式之間的使用者行為,允許識別使用者的一般活動、帳戶已刪除的事實,以及其他應用程式上的實際活動。 例如,其 Microsoft Entra 帳戶已刪除,但仍可存取公司 AWS 基礎結構的員工,可能會造成大規模的損害。
偵測會尋找帳戶已在 Microsoft Entra ID 中刪除,但仍在 AWS 或 Salesforce 等其他平臺上執行活動的使用者。 這特別適用於使用其他帳戶 (不是其主要單一登錄帳戶) 管理資源的使用者,因為當使用者離開公司時,通常不會刪除這些帳戶。
來自可疑 IP 位址的活動
- 此偵測會識別使用者已從由威脅情報識別為有風險的IP位址Microsoft作用中。 這些IP位址涉及惡意活動,例如執行密碼噴射、Botnet C&C,而且可能表示帳戶遭入侵。 此偵測會使用機器學習演算法來減少「誤判」,例如組織中使用者廣泛使用的錯誤標記IP位址。
可疑收件匣轉寄
- 此偵測會尋找可疑的電子郵件轉寄規則,例如,如果使用者建立了收件匣規則,將所有電子郵件的複本轉寄至外部位址。
注意事項
Defender for Cloud Apps 只會根據使用者的一般行為,針對識別為可疑的每個轉送規則向您發出警示。
可疑的收件匣操作規則
- 此偵測會分析您的環境,並在使用者收件匣上設定刪除或移動訊息或資料夾的可疑規則時觸發警示。 這可能表示使用者的帳戶遭到入侵、郵件遭到刻意隱藏,以及信箱正用來在組織中散發垃圾郵件或惡意代碼。
預覽) (可疑的電子郵件刪除活動
- 此原則會分析您的環境,並在使用者在單一會話中執行可疑的電子郵件刪除活動時觸發警示。 此原則可能表示使用者的信箱可能遭到潛在攻擊媒介入侵,例如透過電子郵件) 的 C&C/C2 (命令和控制通訊。
注意事項
Defender for Cloud Apps 與 Microsoft Defender 全面偵測回應整合,以提供 Exchange Online 的保護,包括 URL 隔離、惡意代碼保護等等。 啟用適用於 Microsoft 365 的 Defender 之後,您就會開始在 Defender for Cloud Apps 活動記錄中看到警示。
可疑的 OAuth 應用程式檔案下載活動
- 掃描連線到您環境的 OAuth 應用程式,並在應用程式從 Microsoft SharePoint 下載多個檔案,或以使用者不尋常的方式Microsoft OneDrive 時觸發警示。 這可能表示用戶帳戶遭到入侵。
OAuth 應用程式的異常 ISP
- 此原則會分析您的環境,並在 OAuth 應用程式從不常見的 ISP 連線到雲端應用程式時觸發警示。 此原則可能表示攻擊者企圖使用合法遭入侵的應用程式,在您的雲端應用程式上執行惡意活動。
使用者) (的異常活動
這些偵測會識別執行下列作業的使用者:
- 不尋常的多個檔案下載活動
- 不尋常的檔案共享活動
- 不尋常的檔案刪除活動
- 不尋常的模擬活動
- 不尋常的系統管理活動
- 預覽) (不尋常的Power BI報表共用活動
- 預覽) (異常的多個 VM 建立活動
- 預覽) (異常的多個記憶體刪除活動
- 雲端資源 (預覽) 的異常區域
- 不尋常的檔案存取
這些原則會在單一會話內尋找學習到的基準活動,這可能表示入侵嘗試。 這些偵測會利用機器學習演算法來分析使用者登入模式,並減少誤判。 這些偵測是啟發式異常偵測引擎的一部分,可分析您的環境,並根據您組織活動所學到的基準觸發警示。
多次失敗的登入嘗試
- 此偵測會識別在單一會話中,針對所學到的基準而嘗試多次登入失敗的使用者,這可能表示發生缺口嘗試。
資料外流至未批准的應用程式
- 當使用者或IP位址使用未獲批准的應用程式來執行類似嘗試從組織外洩資訊的活動時,會自動啟用此原則來警示您。
多次刪除 VM 活動
- 此原則會分析您的環境,並在使用者刪除單一會話中的多個 VM 時觸發警示,相對於您組織中的基準。 這可能表示嘗試入侵。
啟用自動化治理
您可以針對異常偵測原則所產生的警示啟用自動化補救動作。
- 在 [原則 ] 頁面中 選取偵測原則的名稱。
- 在開啟的 [ 編輯異常偵測 原則] 視窗中,於 [ 治理動作 ] 下,設定您想要針對每個已連線應用程式或所有應用程式執行的補救動作。
- 選取 [更新]。
調整異常偵測原則
若要影響異常偵測引擎,以根據您的喜好設定隱藏或呈現警示:
在 [不可能的旅遊] 原則中,您可以設定敏感度滑桿來判斷觸發警示之前所需的異常行為層級。 例如,如果您將它設定為低或中,它會從使用者的一般位置隱藏「不可能的移動」警示,而如果您將它設定為高,則會顯示這類警示。 您可以從下列敏感度層級中選擇:
低:系統、租用戶和用戶隱藏
中型:系統和用戶隱藏
高:僅限系統隱藏
其中:
抑制類型 描述 系統 一律抑制的內建偵測。 租用戶 根據租用戶中先前活動的一般活動。 例如,隱藏來自先前在組織中發出警示之 ISP 的活動。 使用者 根據特定使用者先前活動的一般活動。 例如,從使用者常用的位置隱藏活動。
注意事項
不可能的移動、來自不常使用國家/地區的活動、來自匿名IP位址的活動,以及來自可疑IP位址的活動警示,都不適用於失敗的登入和非互動式登入。
範圍異常偵測原則
每個異常偵測原則都可以有獨立範圍,因此只會套用到您想要在原則中納入和排除的使用者和群組。 例如,您可以將來自不常使用國家/地區的活動偵測設定為忽略經常移動的特定使用者。
若要設定異常偵測原則的範圍:
在 Microsoft Defender 入口網站中,移至 [雲端應用程式 - 原則 ->>原則管理]。 然後選擇 原則類型的異常偵測 原則。
選取想要設定範圍的原則。
在 [範圍] 下,將下拉式清單從 [ 所有使用者和群組] 的預設設定變更為 [ 特定使用者和群組]。
選取 [包含 ] 以指定要套用此原則的使用者和群組。 這裡未選取的任何使用者或群組都不會被視為威脅,也不會產生警示。
選 取 [排除 ] 以指定不套用此原則的使用者。 在此處選取的任何使用者都不會被視為威脅,也不會產生警示,即使他們是 [ 包含] 底下選取的群組成員。
分類異常偵測警示
您可以快速分級新異常偵測原則所觸發的各種警示,並決定必須先處理哪些警示。 若要這樣做,您需要警示的內容,以便查看更大的畫面,並瞭解是否有惡意確實發生。
在 [活動記錄] 中,您可以開啟活動來顯示 [活動] 隱藏式選單。 選 取 [使用者 ] 以檢視 [使用者深入解析] 索引標籤。此索引標籤包含警示數目、活動及其連線來源等資訊,這在調查中很重要。
針對受惡意代碼感染的檔案,在偵測到檔案之後,您就可以看到受 感染檔案的清單。 選取檔案隱藏式選單中的惡意代碼檔名,以開啟惡意代碼報告,以提供檔案受感染的該類型惡意代碼的相關信息。
Related videos
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。