教學課程：使用行為分析 (UEBA) 偵測可疑的用戶活動

Microsoft Defender for Cloud Apps 針對遭入侵的使用者、內部威脅、外泄、勒索軟體等，提供跨攻擊終止鏈的最佳偵測。 我們的完整解決方案是藉由結合多個偵測方法來達成，包括異常、行為分析 (UEBA) ，以及規則型活動偵測，以提供使用者如何在環境中使用應用程式的廣泛檢視。

那麼，為什麼偵測可疑行為很重要？ 用戶能夠改變雲端環境的影響可能很重要，而且會直接影響您執行業務的能力。 例如，執行您要提供給客戶之公用網站或服務的伺服器等重要公司資源可能會遭到入侵。

使用從數個來源擷取的數據，Defender for Cloud Apps 分析數據，以擷取組織中的應用程式和用戶活動，讓安全性分析師了解雲端使用方式。 收集的數據會與威脅情報、位置和許多其他詳細數據相互關聯、標準化及擴充，以提供正確且一致的可疑活動檢視。

因此，若要完全了解這些偵測的優點，請先確定您設定下列來源：

• 活動記錄
  來自 API 連線應用程式的活動。
• 探索記錄
  從防火牆和 Proxy 流量記錄中擷取的活動會轉送到 Defender for Cloud Apps。 記錄會根據 雲端應用程式目錄進行分析、排名，並根據超過90個風險因素進行評分。
• Proxy 記錄
  來自 條件式存取應用程控應用程式的活動。

接下來，您會想要調整原則。 您可以藉由設定篩選、動態閾值 (UEBA) 來協助定型其偵測模型，以及減少常見的誤判偵測，來微調下列原則：

• 異常偵測
• 雲端探索異常偵測
• 以規則為基礎的活動偵測

在本教學課程中，您將瞭解如何調整用戶活動偵測，以識別真正的入侵，並減少因處理大量誤判偵測而產生的警示疲勞：

• 設定 IP 位址範圍
• 調整異常偵測原則
• 調整雲端探索異常偵測原則
• 微調規則型偵測原則
• 設定警示
• 調查和補救

階段 1：設定 IP 位址範圍

設定個別原則之前，建議您先設定IP範圍，使其可用於微調任何類型的可疑用戶活動偵測原則。

因為IP位址資訊對幾乎所有調查都很重要，所以 設定已知的IP位址 可協助我們的機器學習演算法識別已知位置，並將其視為機器學習模型的一部分。 例如，新增 VPN 的 IP 位址範圍可協助模型正確分類此 IP 範圍，並自動將其從不可能的移動偵測中排除，因為 VPN 位置並不代表該用戶的真實位置。

注意：設定的IP範圍不限於偵測，而且會在活動記錄、條件式存取等區域中 Defender for Cloud Apps 使用。設定範圍時請記住這一點。 因此，例如，識別您的實體辦公室 IP 位址可讓您自定義記錄和警示的顯示和調查方式。

檢閱現成的異常偵測警示

Defender for Cloud Apps 包含一組異常偵測警示，可識別不同的安全性案例。 這些偵測會自動立即啟用，並會在相關 應用程式連接器連線 後立即開始分析使用者活動並產生警示。

首先，請先熟悉 不同的偵測原則、優先處理您認為與組織最相關的熱門案例，並據以調整原則。

階段 2：調整異常偵測原則

Defender for Cloud Apps 中提供數個內建異常偵測原則，這些原則已針對常見的安全性使用案例預先設定。 您應該花一些時間來熟悉較熱門的偵測，例如：

• 不可能的移動
  相同使用者在不同位置的活動，時間比兩個位置之間的預期行進時間短。
• 來自不常使用國家/地區的活動。
  來自使用者最近未造訪或從未造訪過之位置的活動。
• 惡意程式碼偵測
  掃描雲端應用程式中的檔案，並透過Microsoft的威脅情報引擎執行可疑的檔案，以判斷它們是否與已知的惡意代碼相關聯。
• 勒索軟體活動
  檔案上傳到可能感染勒索軟體的雲端。
• 來自可疑IP位址的活動
  來自已由 Microsoft 威脅情報識別為有風險之 IP 位址的活動。
• 可疑的收件匣轉寄
  偵測使用者收件匣上設定的可疑收件匣轉寄規則。
• 不尋常的多個檔案下載活動
  依照學習的基準偵測單一工作階段中的多個檔案下載活動，這可能表示已嘗試的入侵。
• 不尋常的系統管理活動
  依照學習的基準偵測單一工作階段中的多個系統管理活動，這可能表示已嘗試的入侵。

如需完整的偵測清單及其用途，請參閱 異常偵測原則。

注意事項

雖然某些異常偵測主要著重於偵測有問題的安全性案例，但其他異常偵測則可協助識別及調查不一定表示入侵的異常用戶行為。 針對這類偵測，我們建立了另一個稱為「行為」的數據類型，可在 Microsoft Defender 全面偵測回應 進階搜捕體驗中使用。 如需詳細資訊，請 參閱行為。

一旦您熟悉原則之後，您應該考慮如何針對組織的特定需求進行微調，以更妥善地以您可能想要進一步調查的活動為目標。

1. 將原則範圍設定為特定使用者或群組

   將原則範圍設定給特定使用者，有助於減少與組織無關的警示雜訊。 每個原則都可以 設定為包含或排除特定使用者和群組，例如下列範例：

   • 攻擊模擬
     許多組織會使用使用者或群組來持續模擬攻擊。 很明顯地，經常收到來自這些用戶活動的警示是沒有意義的。 因此，您可以設定原則來排除這些使用者或群組。 這也可協助機器學習模型識別這些使用者，並據以微調其動態閾值。
   • 目標偵測
     您的組織可能有興趣調查特定的VIP使用者群組，例如系統管理員或 CXO 群組的成員。 在此案例中，您可以為想要偵測的活動建立原則，並選擇只包含您感興趣的一組使用者或群組。

2. 微調異常登入偵測

   某些組織想要查看因為 登入活動失敗 而產生的警示，因為這可能表示有人嘗試以一或多個用戶帳戶為目標。 另一方面，用戶帳戶的暴力密碼破解攻擊會在雲端中一直發生，且組織無法加以防止。 因此，較大的組織通常會決定只收到可疑登入活動的警示，這些活動會導致登入活動成功，因為它們可能代表真正的入侵。

   身分識別竊取是入侵的關鍵來源，對您的組織造成重大威脅媒介。 不可能 的移動、 來自可疑IP位址的活動，以及 不常出現的國家/地區 偵測警示，可協助您探索暗示帳戶可能遭到入侵的活動。

3. 微調不可能移動的敏感度設定敏感度滑桿，決定在觸發不可能的移動警示之前套用到異常行為的歸併層級。 例如，對高精確度感興趣的組織應該考慮提高敏感度層級。 另一方面，如果您的組織有許多行動的使用者，請考慮降低敏感度層級，以隱藏從先前活動學習到的使用者常見位置的活動。 您可以從下列敏感度層級中選擇：

   • 低：系統、租用戶和用戶隱藏
   • 中型：系統和用戶隱藏
   • 高：僅限系統隱藏

   其中：

   抑制類型	描述
   系統	一律抑制的內建偵測。
   租用戶	根據租用戶中先前活動的一般活動。 例如，隱藏來自先前在組織中發出警示之 ISP 的活動。
   使用者	根據特定使用者先前活動的一般活動。 例如，從使用者常用的位置隱藏活動。

階段 3：調整雲端探索異常偵測原則

如同異常偵測原則，有數個您可以微調的內建 雲端探索異常偵測原則 。 例如，數據外流至未批准的應用程式原則會在數據遭到外流至未批准的應用程式時發出警示，並根據安全性欄位中的Microsoft體驗預先設定設定。

不過，您可以微調內建原則，或建立自己的原則，協助您找出可能有興趣調查的其他案例。 由於這些原則是以雲端探索記錄為基礎，因此它們有不同的 微調功能 ，更著重於異常的應用程式行為和數據外洩。

1. 調整使用量監視
   設定使用方式篩選，以控制偵測異常行為的基準、範圍和活動期間。 例如，您可能會想要收到與主管層級員工相關的異常活動警示。

2. 調整警示敏感度
   若要避免警示疲勞，請設定警示的敏感度。 您可以使用敏感度滑桿來控制每周每 1,000 位使用者傳送的高風險警示數目。 較高的敏感度需要較少的變異數來視為異常，並產生更多警示。 一般而言，請為無法存取機密數據的使用者設定低敏感度。

階段 4：調整規則型偵測 (活動) 原則

規則型偵測原則 可讓您利用組織特定需求來補充異常偵測原則。 建議您使用其中一個活動原則範本來建立規則型原則 (移至 [ 控制>範本 ]，並將 [類型 ] 篩選器設定為 [ 活動 原則) ，然後設定 它們 來偵測環境不正常的行為。 例如，對於在特定國家/地區中沒有任何存在狀態的組織，建立可偵測該國家/地區異常活動並對其發出警示的原則可能是合理的。 對於在該國家/地區有大型分支的其他人，來自該國家/地區的活動是正常的，而且偵測這類活動是沒有意義的。

1. 微調活動音量
   選擇偵測引發警示之前所需的活動量。 使用我們的國家/地區範例，如果您在國家/地區中沒有存在，即使是單一活動也很重要，而且需要警示。 不過，單一登錄失敗可能是人為錯誤，而且只有在短時間內有許多失敗時才感興趣。
2. 微調 活動篩選
   設定您需要的篩選條件，以偵測您想要警示的活動類型。 例如，若要偵測來自國家/地區的活動，請使用 Location 參數。
3. 微調警示
   若要防止警示疲勞，請設定 每日警示限制。

階段 5：設定警示

注意事項

自 2022 年 12 月 15 日起，警示/SMS (簡訊) 已被取代。 如果您想要接收文字警示，您應該使用 Microsoft Power Automate 來自定義警示自動化。 如需詳細資訊，請 參閱與 Microsoft Power Automate 整合以進行自定義警示自動化。

您可以選擇以最符合您需求的格式和媒體來接收警示。 若要在一天中的任何時間接收立即警示，您可能想要透過電子郵件接收這些警示。

您可能也想要能夠分析組織中其他產品所觸發之其他警示內容中的警示，以提供潛在威脅的整體檢視。 例如，您可能想要在雲端式和內部部署事件之間相互關聯，以查看是否有任何其他可能確認攻擊的緩和證據。

此外，您也可以使用我們與 Microsoft Power Automate 的整合來觸發自定義警示自動化。 例如，您可以設定劇本，在 ServiceNow 中自動建立問題，或傳送核准電子郵件，以在觸發警示時執行自定義治理動作。

使用下列指導方針來設定警示：

1. 電子郵件
   選擇此選項可透過電子郵件接收警示。
2. SIEM
   有數個 SIEM 整合選項，包括 Microsoft Sentinel、Microsoft Graph 安全性 API 和其他一般 SIEM。 選擇最符合您需求的整合。
3. Power Automate 自動化
   建立您需要的自動化劇本，並將其設定為 Power Automate 動作的原則警示。

階段 6：調查和補救

很好，您已設定原則並開始接收可疑的活動警示。 您應該如何處理它們？ 首先，您應該採取步驟來調查活動。 例如，您可能想要查看指出 使用者已遭入侵的活動。

若要優化您的保護，您應該考慮設定自動補救動作，以將組織的風險降至最低。 我們的原則可讓您將 治理動作 一起套用至警示，以便在您開始調查之前降低組織的風險。 可用的動作取決於原則類型，包括暫停使用者或封鎖對所要求資源的存取等動作。

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。

深入了解

• 試用我們的互動式指南：使用 Microsoft Defender for Cloud Apps 偵測威脅和管理警示