Anomáliadetektálási riasztások vizsgálata

Microsoft Defender for Cloud Apps biztonsági észleléseket és riasztásokat biztosít a rosszindulatú tevékenységekhez. Ennek az útmutatónak az a célja, hogy általános és gyakorlati információkat nyújtson az egyes riasztásokról, hogy segítsen a vizsgálati és szervizelési feladatokban. Ebben az útmutatóban általános információkat talál a riasztások aktiválásának feltételeiről. Fontos azonban megjegyezni, hogy mivel az anomáliadetektálások természetüknél fogva nem determinisztikusak, csak akkor aktiválódnak, ha a viselkedés eltér a normától. Végül előfordulhat, hogy egyes riasztások előzetes verzióban vannak, ezért rendszeresen tekintse át a frissített riasztási állapot hivatalos dokumentációját.

MITRE ATT&CK

A Defender for Cloud Apps riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat magyarázata és egyszerűbb leképezése érdekében kategorizáltuk a riasztásokat a megfelelő MITRE ATT&CK-taktikája alapján. Ez az extra hivatkozás megkönnyíti a Defender for Cloud Apps riasztás aktiválásakor esetlegesen használt gyanús támadások technikájának megértését.

Ez az útmutató az alábbi kategóriákban Defender for Cloud Apps riasztások vizsgálatával és szervizelésével kapcsolatos információkat tartalmaz.

Biztonsági riasztások besorolása

A megfelelő vizsgálatot követően az összes Defender for Cloud Apps riasztás a következő tevékenységtípusok egyikeként sorolható be:

• Valódi pozitív (TP): Egy megerősített rosszindulatú tevékenységre vonatkozó riasztás.
• Jóindulatú valódi pozitív (B-TP): Riasztás gyanús, de nem rosszindulatú tevékenységről, például behatolási tesztről vagy más engedélyezett gyanús műveletről.
• Hamis pozitív (FP): Riasztás egy nem rosszindulatú tevékenységről.

Általános vizsgálati lépések

A következő általános irányelveket kell használnia bármilyen típusú riasztás vizsgálatakor, hogy a javasolt művelet alkalmazása előtt jobban megértse a lehetséges fenyegetést.

• Ha azonosít egy TP-t, tekintse át a felhasználó összes tevékenységét a hatás megértéséhez.
• Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás forrását és hatókörét. Tekintse át például a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkkal:
  • Operációs rendszer és verzió
  • Böngésző és verzió
  • IP-cím és hely

Kezdeti hozzáférési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhat kezdeti betekintést nyerni a szervezetébe.

Tevékenység névtelen IP-címről

Leírás

A Microsoft Threat Intelligence vagy a szervezete által névtelen proxy IP-címként azonosított IP-címből származó tevékenység. Ezek a proxyk az eszköz IP-címének elrejtésére és rosszindulatú tevékenységekre használhatók.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a B-TP-incidenseket , például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet névtelen vagy TOR IP-címről hajtották végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. B-TP: Ha egy felhasználóról ismert, hogy névtelen IP-címeket használ feladatai körében. Például ha egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

• Tekintse át az összes felhasználói tevékenységet és riasztást, hogy más biztonsági réseket jelez-e. Ha például a riasztást egy másik gyanús riasztás követte, például egy Szokatlan fájlletöltés (felhasználó) vagy egy Gyanús beérkezett üzenetek továbbítása riasztás, az gyakran azt jelzi, hogy egy támadó adatokat próbál kiszűrni.

Ritka országból származó tevékenység

Olyan országból/régióból származó tevékenység, amely kártékony tevékenységet jelezhet. Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, ha a tevékenységet olyan helyről észleli a rendszer, amelyet nem a közelmúltban vagy a szervezet egyik felhasználója sem látogatott meg.

A szabályzat hatóköre tovább terjedhet a felhasználók egy részhalmazára, vagy kizárhatja a távoli helyekre való utazásról ismert felhasználókat.

Tanulási időszak

A rendellenes helyek észleléséhez hét napos kezdeti tanulási időszak szükséges, amely során a rendszer nem aktivál riasztásokat az új helyekre vonatkozóan.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet:

   1. Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és azonosítsa a megfelelő időpontot a fiók biztonságos újbóli engedélyezéséhez.
   2. Nem kötelező: Hozzon létre egy forgatókönyvet a Power Automate használatával, hogy kapcsolatba léphessenek a ritkán használt helyekről csatlakozó felhasználókkal és a feletteseikkel, hogy ellenőrizhessék a tevékenységüket.

2. B-TP: Ha egy felhasználóról ismert, hogy ezen a helyen tartózkodik. Például ha egy felhasználó gyakran utazik, és jelenleg a megadott helyen tartózkodik.

   Javasolt művelet:

   1. Zárja be a riasztást, és módosítsa a szabályzatot a felhasználó kizárásához.
   2. Hozzon létre egy felhasználói csoportot a gyakori utazók számára, importálja a csoportot a Defender for Cloud Apps, és zárja ki a felhasználókat ebből a riasztásból
   3. Nem kötelező: Hozzon létre egy forgatókönyvet a Power Automate használatával, hogy kapcsolatba léphessenek a ritkán használt helyekről csatlakozó felhasználókkal és a feletteseikkel, hogy ellenőrizhessék a tevékenységüket.

A biztonsági incidens hatókörének megismerése

• Tekintse át, hogy melyik erőforrást veszélyeztethette a rendszer, például a lehetséges adatletöltéseket.

Gyanús IP-címekről származó tevékenység

Olyan IP-címről származó tevékenység, amelyet a Microsoft veszélyforrás-felderítés vagy a szervezete kockázatosként azonosított. Ezeket az IP-címeket rosszindulatú tevékenységekben , például jelszóspray-műveletekben, botnet parancsok és vezérlés (C&C) során azonosították, és feltört fiókot jelezhetnek.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. B-TP: Ha egy felhasználó ismert, hogy az IP-címet a feladatai körében használja. Például ha egy biztonsági elemző biztonsági vagy behatolási teszteket végez a szervezet nevében.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplót, és keressen tevékenységeket ugyanarról az IP-címről.
2. Tekintse át, hogy melyik erőforrást veszélyeztethette a rendszer, például az adatletöltéseket vagy a rendszergazdai módosításokat.
3. Hozzon létre egy csoportot a biztonsági elemzők számára, akik önként aktiválják ezeket a riasztásokat, és kizárják őket a szabályzatból.

Lehetetlen utazás

Ugyanazon felhasználótól különböző helyeken végzett tevékenység egy olyan időtartamon belül, amely rövidebb, mint a két hely közötti várható utazási idő. Ez a hitelesítő adatok megsértésére utalhat, de az is lehetséges, hogy a felhasználó tényleges helye maszkolt, például VPN használatával.

A pontosság és a riasztás javítása érdekében csak akkor, ha erős biztonsági rést jelez, Defender for Cloud Apps alapkonfigurációt hoz létre a szervezet minden felhasználóján, és csak akkor riasztást küld, ha a rendszer szokatlan viselkedést észlel. A lehetetlen utazási szabályzat finomhangolható az Ön igényeinek megfelelően.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló B-TP feltételeket, például ha az utazás mindkét oldalán található IP-címek biztonságosnak minősülnek, az utazás megbízható, és nem aktiválja a Lehetetlen utazás észlelését. Például mindkét oldal biztonságosnak minősül, ha vállalatiként van megjelölve. Ha azonban az utazásnak csak az egyik oldalán található IP-cím biztonságosnak minősül, az észlelés a szokásos módon aktiválódik.

1. TP: Ha meg tudja erősíteni, hogy a lehetetlen utazási riasztásban szereplő hely nem valószínű a felhasználó számára.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Nem észlelt felhasználói utazás): Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott. Ha például egy felhasználó repülési módban lévő telefonja továbbra is csatlakozik olyan szolgáltatásokhoz, mint például a vállalati hálózaton Exchange Online, miközben egy másik helyre utazik. Amikor a felhasználó megérkezik az új helyre, a telefon csatlakozik Exchange Online elindítja a lehetetlen utazási riasztást.

   Javasolt művelet: Zárja be a riasztást.

3. FP (Címkézetlen VPN): Ha meg tudja erősíteni, hogy az IP-címtartomány engedélyezett VPN-ből származik.

   Javasolt művelet: Zárja be a riasztást, adja hozzá a VPN IP-címtartományát a Defender for Cloud Apps, majd a használatával címkézze fel a VPN IP-címtartományát.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplót, és ismerje meg az azonos helyen és IP-címen található hasonló tevékenységeket.
2. Ha azt látja, hogy a felhasználó más kockázatos tevékenységeket is végzett, például nagy mennyiségű fájlt tölt le egy új helyről, az erős biztonsági rést jelez.
3. Vállalati VPN- és IP-címtartományok hozzáadása.
4. Hozzon létre egy forgatókönyvet a Power Automate használatával, és lépjen kapcsolatba a felhasználó felettesével, és ellenőrizze, hogy a felhasználó valóban utazik-e.
5. Fontolja meg egy ismert utazási adatbázis létrehozását akár a percek alatt elérhető szervezeti utazási jelentésekhez, és használja az utazási tevékenységek kereszthivatkozására.

Félrevezető OAuth-alkalmazásnév

Ez az észlelés azonosítja azokat az alkalmazásokat, amelyek latin betűkre hasonlítanak, például idegen betűkkel. Ez arra utalhat, hogy egy rosszindulatú alkalmazást ismert és megbízható alkalmazásként próbál álcázni, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy az alkalmazás neve félrevezető.

   Javasolt művelet: Tekintse át az alkalmazás által kért engedélyszintet, valamint azt, hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

Az alkalmazáshoz való hozzáférés letiltásához az Alkalmazásirányítás lap Google vagy Salesforce lapjának azon sorában, amelyben a tiltani kívánt alkalmazás megjelenik, válassza a tiltás ikont. – Kiválaszthatja, hogy szeretné-e tudatni a felhasználókval, hogy az általuk telepített és engedélyezett alkalmazás ki lett tiltva. Az értesítés tájékoztatja a felhasználókat arról, hogy az alkalmazás le van tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, törölje a párbeszédpanelen a Letiltott alkalmazáshoz hozzáférést biztosító felhasználók értesítése jelölőnégyzet jelölését. – Javasoljuk, hogy tájékoztassa az alkalmazás felhasználóit arról, hogy az alkalmazás hamarosan ki lesz tiltva.

1. FP: Ha meg szeretné erősíteni, hogy az alkalmazás félrevezető névvel rendelkezik, de megbízható üzleti használattal rendelkezik a szervezetben.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

• Kövesse a kockázatos OAuth-alkalmazások vizsgálatáról szóló oktatóanyagot.

Egy OAuth-alkalmazás félrevezető közzétevői neve

Ez az észlelés azonosítja azokat az alkalmazásokat, amelyek latin betűkre hasonlítanak, például idegen betűkkel. Ez arra utalhat, hogy egy rosszindulatú alkalmazást ismert és megbízható alkalmazásként próbál álcázni, hogy a támadók megtéveszthessék a felhasználókat a rosszindulatú alkalmazás letöltésében.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik.

   Javasolt művelet: Tekintse át az alkalmazás által kért engedélyszintet, valamint azt, hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

2. FP: Ha meg szeretné erősíteni, hogy az alkalmazás félrevezető közzétevői névvel rendelkezik, de megbízható közzétevő.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Az Alkalmazásirányítás lap Google vagy Salesforce lapján válassza ki az alkalmazást az alkalmazásfiók megnyitásához, majd válassza a Kapcsolódó tevékenység lehetőséget. Ekkor megnyílik a Tevékenységnapló oldal, amely az alkalmazás által végrehajtott tevékenységekre szűrve jelenik meg. Ne feledje, hogy egyes alkalmazások olyan tevékenységeket végeznek, amelyeket egy felhasználó végzettként regisztrált. Ezek a tevékenységek automatikusan ki lesznek szűrve a tevékenységnapló eredményeiből. További vizsgálat a tevékenységnapló használatával: Tevékenységnapló.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és közzétevőjét különböző alkalmazás-áruházakban. Az alkalmazás-áruházak ellenőrzésekor az alábbi típusú alkalmazásokra összpontosítson:
   • Kevés letöltéssel rendelkező alkalmazások.
   • Alacsony értékeléssel, pontszámmal vagy rossz megjegyzésekkel rendelkező alkalmazások.
   • Gyanús közzétevővel vagy webhelypel rendelkező alkalmazások.
   • A közelmúltban nem frissített alkalmazások. Ez olyan alkalmazást jelezhet, amely már nem támogatott.
   • Irreleváns engedélyekkel rendelkező alkalmazások. Ez azt jelezheti, hogy egy alkalmazás kockázatos.
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, online is kutathatja az alkalmazás nevét, közzétevőét és URL-címét.

Végrehajtási riasztások

Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő rosszindulatú kódot próbál futtatni a szervezetben.

Több tárterület-törlési tevékenység

Egy munkamenetben végzett tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú felhőbeli tárolót vagy adatbázis-törlést hajtott végre az olyan erőforrásokból, mint az Azure-blobok, az AWS S3-gyűjtők vagy a Cosmos DB, összehasonlítva az alapkonfigurációval. Ez a szervezet megsértésének kísérletére utalhat.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha ellenőrizni szeretné, hogy a törlések jogosulatlanok voltak-e.

   Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és keressen kártékony fenyegetéseket az összes eszközön. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás hatókörét.

2. FP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt a törlési tevékenységek végrehajtására.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
2. Tekintse át a tevékenységnaplóban a biztonsági sérülés egyéb mutatóit, és ellenőrizze, hogy ki hajtotta végre a módosítást.
3. Tekintse át a felhasználó tevékenységeit a többi szolgáltatás változásaiért.

Több virtuálisgép-létrehozási tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-létrehozási műveletet hajtott végre az alapkonfigurációval összehasonlítva. A feltört felhőinfrastruktúra több virtuálisgép-létrehozása kriptobányászati műveletek futtatására tett kísérletet jelezhet a szervezeten belül.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

A pontosság és a riasztás javítása érdekében csak akkor, ha erős biztonsági incidensre utaló jelzést kap, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében, például egy rendszergazda jogszerűen több virtuális gépet hozott létre, mint a megállapított alapkonfiguráció, és csak akkor riasztást, ha szokatlan viselkedést észlel.

• TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogosult felhasználó hajtotta végre.

  Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és keressen kártékony fenyegetéseket az összes eszközön. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás hatókörét. Ezenkívül lépjen kapcsolatba a felhasználóval, erősítse meg a jogszerű műveleteit, majd győződjön meg arról, hogy letiltja vagy törli a feltört virtuális gépeket.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt a létrehozási tevékenységek végrehajtására.

  Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, hogy más biztonsági réseket jelez-e.
2. Tekintse át a felhasználó által létrehozott vagy módosított erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Gyanús létrehozási tevékenység a felhőrégióhoz (előzetes verzió)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan erőforrás-létrehozási műveletet hajtott végre egy nem gyakori AWS-régióban az alapkonfigurációval összehasonlítva. Az erőforrások nem gyakori felhőrégiókban való létrehozása rosszindulatú tevékenység, például kriptobányászati műveletek elvégzésére tett kísérletet jelezhet a szervezeten belül.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Annak érdekében, hogy a pontosság és a riasztás csak akkor legyen javítva, ha erős a biztonsági incidensek jelzése, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében a B-TP-incidensek csökkentése érdekében.

• TP: Ha meg tudja erősíteni, hogy a létrehozási tevékenységeket nem egy jogosult felhasználó hajtotta végre.

  Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és keressen kártékony fenyegetéseket az összes eszközön. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás hatókörét. Emellett lépjen kapcsolatba a felhasználóval, erősítse meg a jogszerű műveleteit, majd győződjön meg arról, hogy letiltja vagy törli a feltört felhőerőforrásokat.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt a létrehozási tevékenységek végrehajtására.

  Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, hogy más biztonsági réseket jelez-e.
2. Tekintse át a létrehozott erőforrásokat, és ellenőrizze, hogy azok megfelelnek-e a szervezet szabályzatainak.

Adatmegőrzési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja fenntartani a lábtartását a szervezetben.

A leállított felhasználó által végrehajtott tevékenység

A leállított felhasználó által végzett tevékenység azt jelezheti, hogy egy olyan leállíttatott alkalmazott, aki továbbra is hozzáfér a vállalati erőforrásokhoz, rosszindulatú tevékenységet kísérel meg végrehajtani. Defender for Cloud Apps profilokat a felhasználók számára a szervezetben, és riasztást aktivál, amikor egy leállított felhasználó végrehajt egy tevékenységet.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a megszüntetett felhasználó továbbra is hozzáfér bizonyos vállalati erőforrásokhoz, és tevékenységeket végez.

   Javasolt művelet: Tiltsa le a felhasználót.

2. B-TP: Ha meg tudja állapítani, hogy a felhasználót ideiglenesen letiltották, vagy törölték és újra regisztrálták.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Kereszthivatkozás a HR-rekordokra annak ellenőrzéséhez, hogy a felhasználó leállt-e.
2. Ellenőrizze a Microsoft Entra felhasználói fiók meglétét.

   Megjegyzés:

   Ha a Microsoft Entra Connectet használja, ellenőrizze a helyi Active Directory objektumot, és erősítse meg a sikeres szinkronizálási ciklust.

3. Azonosítsa azokat az alkalmazásokat, amelyekhez a megszüntetett felhasználó hozzáfért, és leszerelte a fiókokat.
4. A leszerelési eljárások frissítése.

A CloudTrail naplózási szolgáltatásának gyanús változása

Tevékenységek egyetlen munkamenetben, amely azt jelzi, hogy egy felhasználó gyanús módosításokat hajtott végre az AWS CloudTrail naplózási szolgáltatásán. Ez a szervezet megsértésének kísérletére utalhat. A CloudTrail letiltásakor a rendszer a továbbiakban nem naplózza a működési változásokat. A támadók rosszindulatú tevékenységeket végezhetnek a CloudTrail-naplózási események elkerülése mellett, például módosíthatják az S3-gyűjtőt privátról nyilvánosra.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: A felhasználó felfüggesztése, a jelszó alaphelyzetbe állítása és a CloudTrail-tevékenység megfordítása.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen letiltotta a CloudTrail szolgáltatást.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplóban a biztonsági sérülés egyéb mutatóit, és ellenőrizze, hogy ki módosította a CloudTrail szolgáltatást.
2. Nem kötelező: Forgatókönyvet hozhat létre a Power Automate használatával, amellyel kapcsolatba léphet a felhasználókkal és a felettesekkel a tevékenységeik ellenőrzéséhez.

Gyanús e-mail-törlési tevékenység (felhasználó szerint)

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy egy felhasználó gyanús e-mail-törléseket hajtott végre. A törlés típusa a "kemény törlés" típus volt, amely törli az e-mail-elemet, és nem érhető el a felhasználó postaládájában. A törlés olyan kapcsolatból történt, amely nem gyakori beállításokat tartalmaz, például az isp, az ország/régió és a felhasználói ügynök. Ez a szervezet megsértésének kísérletére utalhat, például a támadók megpróbálják elfedni a műveleteket a levélszemét-tevékenységekhez kapcsolódó e-mailek törlésével.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hozott létre egy szabályt az üzenetek törléséhez.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

• Tekintse át az összes felhasználói tevékenységet, és keressen más biztonsági réseket, például a Gyanús beérkezett üzenetek továbbítása riasztást, majd egy Lehetetlen utazás riasztást. Keresni:

  1. Új SMTP-továbbítási szabályok az alábbiak szerint:
     • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például az "Összes e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például egy alig látható "." névtől. A továbbítási szabálynevek akár üresek is lehetnek, és a továbbítás címzettje lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Az észlelés után ezt a hasznos blogbejegyzést használhatja a rejtett szabályok postaládákból való törléséről.
     • Ha ismeretlen belső vagy külső e-mail-címre mutató ismeretlen továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókját feltörték.
  2. Új levelezési szabályok, például "az összes törlése", "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például "...".
  3. Az elküldött e-mailek számának növekedése.

Gyanús levelezési kezelési szabály

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó hozzáférést szerzett egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. A módosítási szabályok, például az üzenetek vagy mappák törlése vagy áthelyezése egy felhasználó beérkezett üzeneteiből a szervezetből származó információk kiszűrésére is kísérletet jelenthetnek. Hasonlóképpen arra is utalhatnak, hogy megpróbálják manipulálni a felhasználó által látott információkat, vagy a beérkezett üzeneteket használják levélszemét, adathalász e-mailek vagy kártevők terjesztésére. Defender for Cloud Apps profilokat a környezethez, és riasztásokat aktivál, ha gyanús levelezési manipulációs szabályokat észlel egy felhasználó beérkezett üzenetek mappájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy rosszindulatú levelezési szabály jött létre, és a fiók biztonsága sérült.

   Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és távolítsa el a továbbítási szabályt.

2. FP: Ha meg tudja erősíteni, hogy egy felhasználó jogszerűen hozta létre a szabályt.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, és keressen más biztonsági réseket, például a Gyanús beérkezett üzenetek továbbítása riasztást, majd egy Lehetetlen utazás riasztást. Keresni:
   • Új SMTP-továbbítási szabályok.
   • Új levelezési szabályok, például "az összes törlése", "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például "...".
2. Gyűjtse össze a művelet IP-címét és helyadatait.
3. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

Jogosultságeszkalációs riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál magasabb szintű engedélyeket szerezni a szervezetében.

Szokatlan felügyeleti tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó feltört egy felhasználói fiókot, és olyan rendszergazdai műveleteket hajtott végre, amelyek nem gyakoriak az adott felhasználónál. A támadók például megpróbálhatnak módosítani egy felhasználó biztonsági beállítását, amely egy gyakori felhasználó számára viszonylag ritka művelet. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó viselkedése alapján, és riasztást aktivál a szokatlan viselkedés észlelésekor.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható rendszergazda hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP: Ha meg tudja erősíteni, hogy egy rendszergazda jogszerűen hajtotta végre a rendszergazdai tevékenységek szokatlan mennyiségét.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, és keressen más biztonsági réseket, például gyanús levelezési továbbítást vagy lehetetlen utazást.
2. Tekintse át az egyéb konfigurációs módosításokat, például az adatmegőrzéshez használható felhasználói fiók létrehozását.

Hitelesítőadat-hozzáférési riasztások

Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja ellopni a fiókneveket és a jelszavakat a szervezettől.

Több sikertelen bejelentkezési kísérlet

A sikertelen bejelentkezési kísérletek azt jelezhetik, hogy egy fiók feltörésére tett kísérlet történt. A sikertelen bejelentkezések azonban normális viselkedést is okozhatnak. Például amikor egy felhasználó tévedésből helytelen jelszót adott meg. Ha csak akkor szeretne pontosságot és riasztást elérni, ha erős a behatolási kísérlet jele, Defender for Cloud Apps meghatározza a bejelentkezési szokások alapkonfigurációját a szervezet minden felhasználója számára, és csak akkor riasztást ad, ha a rendszer szokatlan viselkedést észlel.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

Ez a szabályzat a felhasználó normál bejelentkezési viselkedésének megismerésén alapul. A normától való eltérés észlelésekor riasztás aktiválódik. Ha az észlelés azt látja, hogy ugyanez a viselkedés folytatódik, a riasztás csak egyszer aktiválódik.

1. TP (az MFA sikertelen): Ha meg tudja erősíteni, hogy az MFA megfelelően működik, ez egy találgatásos támadásra tett kísérlet jele lehet.

   Javasolt műveletek:

   1. Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.
   2. Keresse meg a sikertelen hitelesítést végző alkalmazást, és konfigurálja újra.
   3. Keresse meg a tevékenység idejére bejelentkezett többi felhasználót, mert azokat is veszélyeztethetik. Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. B-TP (MFA sikertelen): Ha meg tudja erősíteni, hogy a riasztást az MFA-val kapcsolatos probléma okozza.

   Javasolt művelet: Hozzon létre egy forgatókönyvet a Power Automate használatával, hogy kapcsolatba lépjen a felhasználóval, és ellenőrizze, hogy problémái vannak-e az MFA-val.

3. B-TP (Helytelenül konfigurált alkalmazás): Ha meg tudja erősíteni, hogy egy helytelenül konfigurált alkalmazás többször próbál csatlakozni egy szolgáltatáshoz lejárt hitelesítő adatokkal.

   Javasolt művelet: Zárja be a riasztást.

4. B-TP (Jelszó módosítva): Ha meg tudja erősíteni, hogy egy felhasználó nemrég módosította a jelszavát, de ez nem befolyásolta a hálózati megosztások hitelesítő adatait.

   Javasolt művelet: Zárja be a riasztást.

5. B-TP (Biztonsági teszt): Ha meg tudja erősíteni, hogy biztonsági vagy behatolási tesztet végeznek a biztonsági elemzők a szervezet nevében.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, és ellenőrizze, hogy vannak-e olyan biztonsági rések, mint például a riasztás, amelyet a következő riasztások követnek: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy Ritkán használt országból származó tevékenység.
2. Tekintse át a következő felhasználói eszközadatokat, és hasonlítsa össze az ismert eszközinformációkkal:
   • Operációs rendszer és verzió
   • Böngésző és verzió
   • IP-cím és hely
3. Azonosítsa a forrás IP-címét vagy helyét, ahol a hitelesítési kísérlet történt.
4. Állapítsa meg, hogy a felhasználó nemrég módosította-e a jelszavát, és győződjön meg arról, hogy minden alkalmazás és eszköz rendelkezik a frissített jelszóval.

Szokatlan hitelesítő adatok hozzáadása egy OAuth-alkalmazáshoz

Ez az észlelés azonosítja az emelt szintű hitelesítő adatok gyanús hozzáadását egy OAuth-alkalmazáshoz. Ez azt jelezheti, hogy egy támadó feltörte az alkalmazást, és rosszindulatú tevékenységhez használja.

Tanulási időszak

A szervezet környezetének megismeréséhez hét nap szükséges, amely alatt nagy mennyiségű riasztásra számíthat.

Szokatlan isP egy OAuth-alkalmazáshoz

Az észlelés azonosít egy olyan OAuth-alkalmazást, amely egy olyan szolgáltatótól csatlakozik a felhőalkalmazáshoz, amely ritkán fordul elő az alkalmazásban. Ez azt jelezheti, hogy egy támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtására a felhőalkalmazásokon.

Tanulási időszak

Az észlelés tanulási időtartama 30 nap.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenység nem az OAuth-alkalmazás jogos tevékenysége volt, vagy hogy ezt az isp-t nem használja a jogszerű OAuth-alkalmazás.

   Javasolt művelet: Vonja vissza az OAuth-alkalmazás összes hozzáférési jogkivonatát, és vizsgálja meg, hogy egy támadó hozzáfér-e az OAuth hozzáférési jogkivonatok létrehozásához.

2. FP: Ha meg tudja erősíteni, hogy a tevékenységet az eredeti OAuth-alkalmazás jogszerűen hajtotta végre.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az OAuth-alkalmazás által végrehajtott tevékenységeket.

2. Vizsgálja meg, hogy a támadónak van-e hozzáférése OAuth hozzáférési jogkivonatok létrehozásához.

Gyűjtési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő érdekes adatokat próbál gyűjteni a szervezetből a célja érdekében.

Több Power BI-jelentésmegosztási tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú megosztási jelentési tevékenységet hajtott végre a Power BI-ban az alapkonfigurációhoz képest. Ez a szervezet megsértésének kísérletére utalhat.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Megosztási hozzáférés eltávolítása a Power BI-ból. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor a Felhasználó felfüggesztése, a felhasználó megjelölése sérültként, majd a jelszó alaphelyzetbe állítása.

2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplót, hogy jobban megismerje a felhasználó által végrehajtott egyéb tevékenységeket. Tekintse meg a bejelentkezett IP-címet és az eszköz adatait.
2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba a Power BI csapatával vagy Information Protection csapatával.

Gyanús Power BI-jelentésmegosztás

Olyan tevékenységek, amelyek azt jelzik, hogy egy felhasználó megosztott egy Power BI-jelentést, amely az NLP használatával azonosított bizalmas adatokat tartalmazhat a jelentés metaadatainak elemzéséhez. A jelentést megosztották egy külső e-mail-címmel, közzétették a weben, vagy egy pillanatképet egy külsőleg előfizetett e-mail-címre kézbesítettek. Ez a szervezet megsértésének kísérletére utalhat.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Megosztási hozzáférés eltávolítása a Power BI-ból. Ha meg tudja erősíteni, hogy a fiók biztonsága sérült, akkor a Felhasználó felfüggesztése, a felhasználó megjelölése sérültként, majd a jelszó alaphelyzetbe állítása.

2. FP: Ha meg tudja erősíteni, hogy a felhasználónak üzleti indoka volt ezeknek a jelentéseknek a megosztására.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplót, hogy jobban megismerje a felhasználó által végrehajtott egyéb tevékenységeket. Tekintse meg a bejelentkezett IP-címet és az eszköz adatait.
2. A jelentések belső és külső megosztására vonatkozó irányelvek megismeréséhez lépjen kapcsolatba a Power BI csapatával vagy Information Protection csapatával.

Szokatlan megszemélyesített tevékenység (felhasználó szerint)

Egyes szoftverekben lehetőség van arra, hogy más felhasználók megszemélyesíthessenek más felhasználókat. Az e-mail-szolgáltatások például lehetővé teszik a felhasználók számára, hogy más felhasználók számára e-maileket küldjenek a nevükben. Ezt a tevékenységet a támadók gyakran használják adathalász e-mailek létrehozására a szervezettel kapcsolatos információk kinyerésére tett kísérlet során. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó viselkedése alapján, és egy tevékenységet hoz létre szokatlan megszemélyesítési tevékenység észlelésekor.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtotta végre a szokatlan tevékenységeket, vagy több tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: Zárja be a riasztást.

3. FP: Ha meg tudja erősíteni, hogy az alkalmazások, például a Teams, jogszerűen megszemélyesítették a felhasználót.

   Javasolt művelet: Tekintse át a műveleteket, és szükség esetén zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet és riasztást, hogy további biztonsági réseket jelez-e.
2. Tekintse át a megszemélyesítési tevékenységeket a lehetséges rosszindulatú tevékenységek azonosításához.
3. Tekintse át a delegált hozzáférés konfigurációját.

Kiszűrési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhat adatokat lopni a szervezettől.

Gyanús beérkezett üzenetek továbbítása

Olyan tevékenységek, amelyek azt jelzik, hogy egy támadó hozzáférést szerzett egy felhasználó postaládájába, és létrehozott egy gyanús szabályt. A módosítási szabályok, például az összes vagy adott e-mail továbbítása egy másik e-mail-fiókba a szervezet adatainak kiszűrésére is kísérletet jelenthetnek. Defender for Cloud Apps profilokat a környezethez, és riasztásokat aktivál, ha gyanús levelezési manipulációs szabályokat észlel egy felhasználó beérkezett üzenetek mappájában. Ez azt jelezheti, hogy a felhasználó fiókja sérült.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy rosszindulatú levelezési továbbítási szabály jött létre, és a fiók biztonsága sérült.

   Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és távolítsa el a továbbítási szabályt.

2. FP: Ha megbízható okokból meg tudja erősíteni, hogy a felhasználó létrehozott egy továbbítási szabályt egy új vagy személyes külső e-mail-fiókba.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át az összes felhasználói tevékenységet, ha további biztonsági résekre utaló jeleket keres, például a riasztást egy Lehetetlen utazás riasztás követi. Keresni:

   1. Új SMTP-továbbítási szabályok az alábbiak szerint:
      • Ellenőrizze, hogy találhatók-e rosszindulatú továbbítási szabálynevek. A szabálynevek eltérhetnek az egyszerű nevektől, például az "Összes e-mail továbbítása" és az "Automatikus továbbítás" vagy a megtévesztő nevektől, például egy alig látható "." névtől. A továbbítási szabálynevek akár üresek is lehetnek, és a továbbítás címzettje lehet egyetlen e-mail-fiók vagy egy teljes lista. A rosszindulatú szabályok a felhasználói felületről is elrejthetők. Az észlelés után ezt a hasznos blogbejegyzést használhatja a rejtett szabályok postaládákból való törléséről.
      • Ha ismeretlen belső vagy külső e-mail-címre mutató ismeretlen továbbítási szabályt észlel, feltételezheti, hogy a beérkezett üzenetek fiókját feltörték.
   2. Új levelezési szabályok, például "az összes törlése", "üzenetek áthelyezése egy másik mappába", vagy a homályos elnevezési konvenciók, például "...".

2. Tekintse át a szabály létrehozásához használt IP-címről végrehajtott tevékenységeket a többi sérült felhasználó észleléséhez.

3. Tekintse át a továbbított üzenetek listáját Exchange Online üzenetkövetés használatával.

Szokatlan fájlletöltés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlletöltést hajtott végre egy felhőalapú tárolási platformról az alapkonfigurációhoz képest. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérletről van szó. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó viselkedése alapján, és riasztást aktivál a szokatlan viselkedés észlelésekor.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlletöltési tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: Zárja be a riasztást.

3. FP (Szoftverszinkronizálás): Ha meg tudja erősíteni, hogy a szoftver( például a OneDrive) szinkronizálva van egy külső biztonsági másolattal, amely a riasztást okozta.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a letöltési tevékenységeket, és hozzon létre egy listát a letöltött fájlokról.
2. Tekintse át a letöltött fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlhozzáférés (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlhozzáférést hajtott végre a SharePointban vagy a OneDrive-on az alapkonfigurációhoz képest pénzügyi adatokat vagy hálózati adatokat tartalmazó fájlokhoz. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérlet pénzügyi vagy hitelesítő adatokhoz való hozzáférés és oldalirányú mozgás céljából történik. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó viselkedése alapján, és riasztást aktivál a szokatlan viselkedés észlelésekor.

Tanulási időszak

A tanulási időszak a felhasználó tevékenységétől függ. A tanulási időszak általában 21 és 45 nap között van a legtöbb felhasználó számára.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlhozzáférési tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a hozzáférési tevékenységeket, és hozzon létre egy listát a megnyitott fájlokról.
2. Tekintse át az elért fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.

Szokatlan fájlmegosztási tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan számú fájlmegosztási műveletet hajtott végre egy felhőtárhely-platformon az alapkonfigurációhoz képest. Ez arra utalhat, hogy a szervezettel kapcsolatos információk megszerzésére tett kísérletről van szó. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó viselkedése alapján, és riasztást aktivál a szokatlan viselkedés észlelésekor.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Szokatlan viselkedés): Ha meg tudja erősíteni, hogy a felhasználó jogszerűen hajtott végre több fájlmegosztási tevékenységet, mint a megállapított alapkonfiguráció.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a megosztási tevékenységeket, és hozzon létre egy listát a megosztott fájlokról.
2. Tekintse át a megosztott fájlok bizalmassági szintjét az erőforrás tulajdonosával, és ellenőrizze a hozzáférési szintet.
3. Hozzon létre egy fájlszabályzatot hasonló dokumentumokhoz a bizalmas fájlok jövőbeli megosztásának észleléséhez.

Hatásriasztások

Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja manipulálni, megszakítani vagy megsemmisíteni a szervezet rendszereit és adatait.

Több virtuálisgép-törlési tevékenység

Egy munkamenet tevékenységei, amelyek azt jelzik, hogy a felhasználó szokatlan számú virtuálisgép-törlést hajtott végre az alapkonfigurációval összehasonlítva. Több virtuális gép törlése is jelezheti a környezet megzavarására vagy megsemmisítésére tett kísérletet. A virtuális gépek törlésének azonban számos normál forgatókönyve van.

TP, B-TP vagy FP?

Annak érdekében, hogy a pontosság és a riasztás csak akkor legyen javítva, ha erős biztonsági incidensre utaló jelzés van, ez az észlelés alapkonfigurációt hoz létre a szervezet minden környezetében, hogy csökkentse a B-TP-incidenseket , és csak akkor jelezze, ha szokatlan viselkedést észlel.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

• TP: Ha meg tudja erősíteni, hogy a törlések jogosulatlanok voltak.

  Javasolt művelet: Függessze fel a felhasználót, állítsa alaphelyzetbe a jelszavát, és keressen kártékony fenyegetéseket az összes eszközön. Tekintse át az összes felhasználói tevékenységet a biztonsági rések egyéb mutatóiért, és vizsgálja meg a hatás hatókörét.

• B-TP: Ha a vizsgálat után meg tudja erősíteni, hogy a rendszergazda jogosult volt a törlési tevékenységek végrehajtására.

  Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Lépjen kapcsolatba a felhasználóval, és erősítse meg a tevékenységet.
2. Tekintse át az összes felhasználói tevékenységet a biztonsági rések további jelzéseiért, például a riasztást a következő riasztások valamelyike követi: Lehetetlen utazás, Névtelen IP-címről végzett tevékenység vagy Ritkán használt országból származó tevékenység.

Zsarolóprogramokkal kapcsolatos tevékenység

A zsarolóprogramok olyan kibertámadások, amelyekben egy támadó kizárja az áldozatokat az eszközeikről, vagy letiltja őket a fájlokhoz való hozzáférésben, amíg az áldozat váltságdíjat nem fizet. A zsarolóprogramokat rosszindulatú megosztott fájl vagy feltört hálózat terjesztheti. Defender for Cloud Apps biztonsági kutatási szakértelemmel, fenyegetésfelderítéssel és megtanult viselkedési mintákkal azonosítja a zsarolóprogram-tevékenységeket. A fájlfeltöltések vagy fájltörlések magas aránya például olyan titkosítási folyamatot jelenthet, amely gyakori a zsarolóprogram-műveletekben.

Ez az észlelés alapkonfigurációt hoz létre a szervezet minden felhasználójának normál működési mintáiról, például arról, hogy a felhasználó mikor fér hozzá a felhőhöz, és mit végeznek általában a felhőben.

A Defender for Cloud Apps automatikus fenyegetésészlelési szabályzatok a csatlakozás pillanatától kezdve a háttérben futnak. A biztonsági kutatással kapcsolatos szakértelmünk segítségével azonosíthatja a szervezet zsarolóprogram-tevékenységét tükröző viselkedési mintákat, Defender for Cloud Apps átfogó lefedettséget biztosít a kifinomult zsarolóprogram-támadások ellen.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem a felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP (Szokatlan viselkedés): A felhasználó rövid idő alatt jogszerűen hajtott végre több törlési és feltöltési tevékenységet hasonló fájlokhoz.

   Javasolt művelet: Miután áttekintette a tevékenységnaplót, és meggyőződött arról, hogy a fájlkiterjesztések nem gyanúsak, zárja be a riasztást.

3. FP (Gyakori zsarolóprogram-fájlkiterjesztés): Ha meg tudja erősíteni, hogy az érintett fájlok kiterjesztései megegyeznek egy ismert zsarolóprogram-kiterjesztéssel.

   Javasolt művelet: Lépjen kapcsolatba a felhasználóval, és győződjön meg arról, hogy a fájlok biztonságban vannak, majd zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a tevékenységnaplóban a fájlok biztonsági sérülésére utaló egyéb jeleket, például a fájlok tömeges letöltését vagy tömeges törlését.
2. Ha Végponthoz készült Microsoft Defender használ, tekintse át a felhasználó számítógépére vonatkozó riasztásokat, és ellenőrizze, hogy észlelt-e kártékony fájlokat.
3. Keressen kártékony fájlfeltöltési és -megosztási tevékenységeket a tevékenységnaplóban.

Szokatlan fájltörlési tevékenység (felhasználó szerint)

Olyan tevékenységek, amelyek azt jelzik, hogy a felhasználó szokatlan fájltörlési tevékenységet végzett az alapkonfigurációval összehasonlítva. Ez zsarolóprogram-támadást jelezhet. A támadók például titkosíthatják a felhasználó fájljait, és törölhetik az összes eredeti fájlt, így csak azokat a titkosított verziókat hagyhatják meg, amelyekkel az áldozat váltságdíjat fizethet. Defender for Cloud Apps létrehoz egy alapkonfigurációt a felhasználó normál viselkedése alapján, és riasztást aktivál a szokatlan viselkedés észlelésekor.

Tanulási időszak

Egy új felhasználó tevékenységmintájának létrehozásához hét napos kezdeti tanulási időszakra van szükség, amely alatt a riasztások nem aktiválódnak új helyeken.

TP, B-TP vagy FP?

1. TP: Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre.

   Javasolt művelet: Függessze fel a felhasználót, jelölje meg feltörtként, és állítsa alaphelyzetbe a jelszavát.

2. FP: Ha meg tudja erősíteni, hogy a felhasználó jogszerűen több fájltörlési tevékenységet végzett, mint a megállapított alapkonfiguráció.

   Javasolt művelet: Zárja be a riasztást.

A biztonsági incidens hatókörének megismerése

1. Tekintse át a törlési tevékenységeket, és hozzon létre egy listát a törölt fájlokról. Ha szükséges, állítsa helyre a törölt fájlokat.
2. Forgatókönyvet is létrehozhat a Power Automate használatával, amellyel kapcsolatba léphet a felhasználókkal és a felettesekkel a tevékenység ellenőrzéséhez.

Vizsgálat prioritási pontszámának növelése (örökölt)

2024 novemberétől megszűnik a kockázatos felhasználók Microsoft Defender for Cloud Apps támogatása. Ha ezt a funkciót a szervezetben használták, és szükség van rá, javasoljuk, hogy használja az Entra kockázati pontszám funkcióját. További információkért használja az alábbi forrásanyagokat:

• Kockázatelemzési Microsoft Entra ID-védelem – Microsoft Entra ID-védelem | Microsoft Learn

• Microsoft Entra ID-védelem kockázatalapú hozzáférési szabályzatok – Microsoft Entra ID-védelem | Microsoft Learn

Lásd még