Megosztás a következőn keresztül:

Defender for Cloud Apps anomáliadetektálási szabályzatok létrehozása

  • Cikk

A Microsoft Defender for Cloud Apps anomáliadetektálási szabályzatok használatra kész felhasználói és entitásviselkedési elemzéseket (UEBA) és gépi tanulást (ML) biztosítanak, így már az elejétől készen áll a fejlett fenyegetésészlelés futtatására a felhőkörnyezetben. Mivel ezek automatikusan engedélyezve vannak, az új anomáliadetektálási szabályzatok azonnal elindítják az eredmények észlelésének és rendezésének folyamatát, és számos viselkedési rendellenességet céloznak meg a felhasználók és a hálózathoz csatlakoztatott gépek és eszközök között. Emellett a szabályzatok további adatokat is elérhetővé tehetnek a Defender for Cloud Apps észlelési motorból, hogy felgyorsítsa a vizsgálati folyamatot, és folyamatosan fenyegetéseket tartalmazzon.

Az anomáliadetektálási szabályzatok automatikusan engedélyezve vannak, de Defender for Cloud Apps rendelkezik egy hétnapos kezdeti tanulási időszakkal, amely alatt nem minden anomáliadetektálási riasztás aktiválódik. Ezt követően a konfigurált API-összekötőkből gyűjtött adatok alapján a rendszer minden munkamenetet összehasonlít a tevékenységgel, amikor a felhasználók aktívak voltak, ip-címeket, eszközöket stb. észleltek az elmúlt hónapban, valamint a tevékenységek kockázati pontszámát. Vegye figyelembe, hogy több órát is igénybe vehet, hogy az adatok elérhetők legyenek az API-összekötőkben. Ezek az észlelések a heurisztikus anomáliadetektálási motor részét képezik, amely profilt ad a környezetről, és riasztásokat aktivál a szervezet tevékenységéről tanult alapkonfigurációhoz képest. Ezek az észlelések gépi tanulási algoritmusokat is használnak, amelyek a felhasználók profilkészítésére és a bejelentkezési mintára lettek tervezve a téves pozitívok csökkentése érdekében.

A felhasználói tevékenység vizsgálatával a rendszer anomáliákat észlel. A kockázat értékelése több mint 30 különböző kockázati mutató alapján történik, kockázati tényezőkbe csoportosítva az alábbiak szerint:

  • Kockázatos IP-cím
  • Bejelentkezési hibák
  • Rendszergazda tevékenység
  • Inaktív fiókok
  • Hely
  • Lehetetlen utazás
  • Eszköz- és felhasználói ügynök
  • Tevékenységi arány

A szabályzat eredményei alapján a rendszer biztonsági riasztásokat aktivál. Defender for Cloud Apps a felhőben minden felhasználói munkamenetet megvizsgál, és riasztást küld, ha valami olyan történik, amely eltér a szervezet alapkonfigurációjától vagy a felhasználó szokásos tevékenységétől.

A natív Defender for Cloud Apps riasztások mellett a következő észlelési riasztásokat is megkapja az Microsoft Entra ID-védelem kapott információk alapján:

Ezek a szabályzatok megjelennek a Defender for Cloud Apps házirendek lapon, és engedélyezhetők vagy letilthatók.

Anomáliadetektálási szabályzatok

Az anomáliadetektálási szabályzatokat a Microsoft Defender Portalon tekintheti meg a Cloud Apps -Policies ->>Policy management területen. Ezután válassza az Anomáliadetektálási szabályzat lehetőséget a szabályzattípushoz.

új anomáliadetektálási szabályzatok.

A következő anomáliadetektálási szabályzatok érhetők el:

Lehetetlen utazás

    • Ez az észlelés két olyan felhasználói tevékenységet azonosít (egyetlen vagy több munkamenetben), amelyek földrajzilag távoli helyekről származnak, rövidebb idő alatt, mint amikor a felhasználónak az első helyről a másodikra kellett volna utaznia, jelezve, hogy egy másik felhasználó ugyanazokat a hitelesítő adatokat használja. Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló "téves pozitív" állapotot, ami hozzájárul a lehetetlen utazási állapothoz, például a szervezet más felhasználói által rendszeresen használt VPN-eket és helyeket. Az észlelés egy hétnapos kezdeti tanulási időszak, amely során egy új felhasználó tevékenységmintáját tanulja meg. A lehetetlen utazás észlelése azonosítja a szokatlan és lehetetlen felhasználói tevékenységet két hely között. A tevékenységnek elég szokatlannak kell lennie ahhoz, hogy kompromisszumra és riasztásra érdemesnek minősüljön. Ennek érdekében az észlelési logika különböző mellőzési szinteket tartalmaz olyan forgatókönyvek kezeléséhez, amelyek téves pozitív eseményt válthatnak ki, például VPN-tevékenységeket vagy olyan felhőszolgáltatók tevékenységeit, amelyek nem jeleznek fizikai helyet. A bizalmassági csúszka lehetővé teszi, hogy hatással legyen az algoritmusra, és meghatározza, mennyire szigorú az észlelési logika. Minél magasabb a bizalmassági szint, annál kevesebb tevékenység lesz letiltva az észlelési logika részeként. Ily módon a lefedettségi igényeknek és az SNR-céloknak megfelelően módosíthatja az észlelést.

      Megjegyzés:

      • Ha az utazás mindkét oldalán található IP-címek biztonságosnak minősülnek, és a bizalmassági csúszka nem Magas értékre van állítva, az utazás megbízható, és nem aktiválható a Lehetetlen utazás észlelése. Például mindkét oldal biztonságosnak minősül, ha vállalatiként van megjelölve. Ha azonban az utazásnak csak az egyik oldalán található IP-cím biztonságosnak minősül, az észlelés a szokásos módon aktiválódik.
      • A helyek kiszámítása ország/régió szinten történik. Ez azt jelenti, hogy két, ugyanazon országból/régióból vagy a határ menti országokból/régiókból származó intézkedésre vonatkozóan nem lesznek riasztások.

Ritka országból származó tevékenység

  • Ez az észlelés a korábbi tevékenységi helyeket veszi figyelembe az új és ritkán található helyek meghatározásához. Az anomáliadetektálási motor információkat tárol a felhasználó által használt korábbi helyekről. Riasztás akkor aktiválódik, ha egy tevékenység olyan helyről történik, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg. A téves riasztások csökkentése érdekében az észlelés letiltja azokat a kapcsolatokat, amelyeket a felhasználó általános beállításai jellemeznek.

Kártevőészlelés

Ez az észlelés azonosítja a kártékony fájlokat a felhőtárhelyen, függetlenül attól, hogy a Microsoft-alkalmazásokból vagy külső alkalmazásokból származnak-e. Microsoft Defender for Cloud Apps a Microsoft fenyegetésfelderítési funkcióját használja annak felismerésére, hogy a kockázatnak megfelelő bizonyos fájlok heurisztikai jellegűek, például a fájltípus és a megosztási szint ismert kártevő támadásokhoz kapcsolódnak-e, és potenciálisan rosszindulatúak-e. Ez a beépített szabályzat alapértelmezés szerint le van tiltva. A kártevő fájlok észlelése után megjelenik a Fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy kártevőjelentés megnyitásához, amely információt nyújt arról, hogy milyen típusú kártevővel fertőzött a fájl.

Ezzel az észleléssel valós időben szabályozhatja a fájlfeltöltéseket és -letöltéseket munkamenet-szabályzatokkal.

Fájl tesztkörnyezete

A fájl-tesztkörnyezet engedélyezésével a metaadatok és a védett heurisztika alapján potenciálisan kockázatosnak tekinthető fájlok is biztonságos környezetben lesznek megvizsgálva. A tesztkörnyezet vizsgálata észlelheti a fenyegetésfelderítési források alapján nem észlelt fájlokat.

Defender for Cloud Apps a következő alkalmazások kártevő-észlelését támogatja:

  • Doboz
  • Dropbox
  • Google Workspace

Megjegyzés:

  • A proaktív védőfal-készítés külső alkalmazásokban (Box, Dropbox stb.) történik. A OneDrive-ban és a SharePointban a fájlok vizsgálata és védőfala a szolgáltatás részeként történik.
  • A Boxban, a Dropboxban és a Google Workspace-ben Defender for Cloud Apps nem blokkolja automatikusan a fájlt, de a blokkolás az alkalmazás képességeinek és az ügyfél által beállított konfigurációnak megfelelően történhet.
  • Ha nem biztos abban, hogy egy észlelt fájl valóban kártevő vagy hamis pozitív, látogasson el a Microsoft biztonsági intelligencia oldalrahttps://www.microsoft.com/wdsi/filesubmission, és küldje el a fájlt további elemzésre.

Tevékenység névtelen IP-címekről

  • Ez az észlelés azt azonosítja, hogy a felhasználók egy névtelen proxy IP-címként azonosított IP-címről voltak aktívak. Ezeket a proxykat azok használják, akik el szeretnék rejteni az eszköz IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

Zsarolóprogramokkal kapcsolatos tevékenység

  • Defender for Cloud Apps kiterjesztette zsarolóprogram-észlelési képességeit anomáliadetektálással, hogy átfogóbb lefedettséget biztosítson a kifinomult ransomware támadások ellen. Biztonsági kutatási szakértelmünk segítségével azonosíthatja a zsarolóprogramok tevékenységét tükröző viselkedési mintákat, Defender for Cloud Apps holisztikus és robusztus védelmet biztosít. Ha Defender for Cloud Apps például nagy mennyiségű fájlfeltöltést vagy fájltörlési tevékenységet észlel, az kedvezőtlen titkosítási folyamatot jelenthet. Ezeket az adatokat a csatlakoztatott API-któl kapott naplókban gyűjtjük össze, majd a megtanult viselkedési mintákkal és fenyegetésfelderítéssel, például ismert zsarolóprogram-bővítményekkel kombináljuk. További információ arról, hogy Defender for Cloud Apps hogyan észleli a zsarolóprogramokat: Szervezet védelme zsarolóprogramokkal szemben.

A leállított felhasználó által végrehajtott tevékenység

  • Ez az észlelés lehetővé teszi annak azonosítását, hogy egy leállított alkalmazott mikor hajt végre műveleteket az SaaS-alkalmazásokon. Mivel az adatok azt mutatják, hogy a belső fenyegetés legnagyobb kockázata a rossz feltételekkel távozó alkalmazottaktól származik, fontos figyelemmel kísérni a megszüntetett alkalmazottak fiókokkal kapcsolatos tevékenységét. Néha, amikor az alkalmazottak elhagynak egy vállalatot, a fiókjukat megszüntetik a vállalati alkalmazásokból, de sok esetben továbbra is hozzáférést biztosítanak bizonyos vállalati erőforrásokhoz. Ez még fontosabb az emelt szintű fiókok mérlegelésekor, mivel a korábbi rendszergazdák potenciálisan nagyobb károkat okozhatnak. Ez az észlelés kihasználja a Defender for Cloud Apps lehetővé teszi a felhasználói viselkedés figyelését az alkalmazásokban, lehetővé téve a felhasználó rendszeres tevékenységeinek azonosítását, a fiók törlésének tényét és a más alkalmazásokon végzett tényleges tevékenységeket. Például egy olyan alkalmazott, akinek Microsoft Entra fiókját törölték, de továbbra is rendelkezik hozzáféréssel a vállalati AWS-infrastruktúrához, nagy mértékű károkat okozhat.

Az észlelés olyan felhasználókat keres, akiknek a fiókjait törölték a Microsoft Entra ID, de továbbra is más platformokon, például az AWS-ben vagy a Salesforce-ban végeznek tevékenységeket. Ez különösen fontos az olyan felhasználók számára, akik egy másik fiókot használnak (nem az elsődleges egyszeri bejelentkezési fiókjukat) az erőforrások kezeléséhez, mivel ezek a fiókok gyakran nem törlődnek, amikor egy felhasználó elhagyja a vállalatot.

Gyanús IP-címekről származó tevékenység

  • Ez az észlelés azt azonosítja, hogy a felhasználók a Microsoft Fenyegetésfelderítés által kockázatosként azonosított IP-címről voltak aktívak. Ezek az IP-címek kártékony tevékenységekben vesznek részt, például jelszópermetezésben, Botnet C&C-ben, és feltört fiókot jelezhetnek. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a "téves pozitív" értékeket, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.

Gyanús beérkezett üzenetek továbbítása

  • Ez az észlelés gyanús e-mail-továbbítási szabályokat keres, például ha egy felhasználó olyan levelezési szabályt hozott létre, amely az összes e-mail másolatát továbbítja egy külső címre.

Megjegyzés:

Defender for Cloud Apps csak a felhasználó tipikus viselkedése alapján gyanúsként azonosított továbbítási szabályokról küld riasztást.

Gyanús bejövő üzenetkezelési szabályok

  • Ez az észlelés profilt ad a környezetnek, és riasztásokat vált ki, ha gyanús szabályokat állít be, amelyek üzeneteket vagy mappákat törölnek vagy helyeznek át egy felhasználó Beérkezett üzenetek mappájában. Ez azt jelezheti, hogy a felhasználó fiókját feltörték, az üzenetek szándékosan rejtve vannak, és hogy a postaládát levélszemét vagy kártevők terjesztésére használják a szervezetben.

Gyanús e-mail-törlési tevékenység (előzetes verzió)

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, ha egy felhasználó gyanús e-mail-törlési tevékenységeket hajt végre egyetlen munkamenetben. Ez a szabályzat azt jelezheti, hogy a felhasználó postaládáit feltörhetik olyan lehetséges támadási vektorok, mint a parancs- és vezérlési kommunikáció (C&C/C2) e-mailben.

Megjegyzés:

Defender for Cloud Apps integrálható a Microsoft Defender XDR, hogy védelmet nyújtson az Exchange Online-nak, beleértve az URL-detonációt, a kártevők elleni védelmet és egyebeket. Ha a Microsoft 365-höz készült Defender engedélyezve van, riasztásokat fog látni a Defender for Cloud Apps tevékenységnaplóban.

Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek

  • Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást aktivál, amikor egy alkalmazás több fájlt tölt le a Microsoft SharePointból vagy a Microsoft OneDrive-ról a felhasználó számára szokatlan módon. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült.

Szokatlan isP egy OAuth-alkalmazáshoz

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor egy OAuth-alkalmazás nem gyakori szolgáltatótól csatlakozik a felhőalkalmazásokhoz. Ez a szabályzat azt jelezheti, hogy egy támadó egy megbízhatóan feltört alkalmazást próbált használni rosszindulatú tevékenységek végrehajtásához a felhőalkalmazásokon.

Szokatlan tevékenységek (felhasználó szerint)

Ezek az észlelések a következőket végző felhasználókat azonosítják:

  • Szokatlan több fájlletöltési tevékenység
  • Szokatlan fájlmegosztási tevékenységek
  • Szokatlan fájltörlés
  • Szokatlan megszemélyesített tevékenységek
  • Szokatlan adminisztratív tevékenységek
  • Szokatlan Power BI-jelentésmegosztási tevékenységek (előzetes verzió)
  • Szokatlan több virtuálisgép-létrehozási tevékenység (előzetes verzió)
  • Szokatlan több tárterület-törlési tevékenység (előzetes verzió)
  • Szokatlan régió a felhőerőforráshoz (előzetes verzió)
  • Szokatlan fájlhozzáférés

Ezek a szabályzatok az alapkonfigurációval kapcsolatos tevékenységeket keresnek egy munkameneten belül, ami biztonsági incidensi kísérletre utalhat. Ezek az észlelések egy gépi tanulási algoritmust használnak, amely profilt ad a felhasználók bejelentkezési mintájáról, és csökkenti a téves pozitívumokat. Ezek az észlelések a heurisztikus anomáliadetektálási motor részét képezik, amely profilt ad a környezetről, és riasztásokat aktivál a szervezet tevékenységéről tanult alapkonfigurációhoz képest.

Több sikertelen bejelentkezési kísérlet

  • Ez az észlelés azonosítja azokat a felhasználókat, amelyek egyetlen munkamenetben több bejelentkezési kísérletet sem sikerült végrehajtaniuk a megismert alapkonfigurációhoz képest, ami biztonsági incidensi kísérletre utalhat.

Több virtuálisgép-törlési tevékenység

  • Ez a szabályzat profilt ad a környezetnek, és riasztásokat aktivál, amikor a felhasználók több virtuális gépet törölnek egyetlen munkamenetben a szervezet alapkonfigurációjához képest. Ez behatolási kísérletre utalhat.

Automatizált szabályozás engedélyezése

Engedélyezheti az automatikus szervizelési műveleteket az anomáliadetektálási szabályzatok által létrehozott riasztásokon.

  1. Válassza ki az észlelési szabályzat nevét a Szabályzatok lapon.
  2. A megnyíló Anomáliadetektálási szabályzat szerkesztése ablakban az Irányítási műveletek területen állítsa be az egyes csatlakoztatott alkalmazásokhoz vagy az összes alkalmazáshoz használni kívánt szervizelési műveleteket.
  3. Válassza a Frissítés lehetőséget.

Anomáliadetektálási szabályzatok hangolása

Az anomáliadetektálási motort a beállításoknak megfelelően letiltó vagy felszínre hozó riasztások befolyásolása:

  • A Lehetetlen utazás szabályzatban beállíthatja a bizalmassági csúszkát, hogy meghatározza a riasztás aktiválása előtt szükséges rendellenes viselkedés szintjét. Ha például alacsony vagy közepes értékre állítja, az letiltja a lehetetlen utazással kapcsolatos riasztásokat a felhasználó gyakori helyéről, és ha magasra állítja, akkor ezek a riasztások megjelennek. A következő bizalmassági szintek közül választhat:

    • Alacsony: Rendszer-, bérlő- és felhasználói letiltások

    • Közepes: Rendszer- és felhasználóelnyomások

    • Magas: Csak rendszerelnyomások

      Hely:

      Mellőzés típusa Leírás
      Rendszer Beépített észlelések, amelyek mindig le vannak tiltva.
      Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezeten belül korábban riasztást küldő egyik ispéldából származó tevékenységeket.
      Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.

Megjegyzés:

A lehetetlen utazás, a ritkán használt országokból/régiókból származó tevékenységek, a névtelen IP-címekről származó tevékenységek és a gyanús IP-címekről érkező tevékenységekre vonatkozó riasztások nem vonatkoznak a sikertelen bejelentkezésekre és a nem interaktív bejelentkezésekre.

Hatókör-anomáliadetektálási szabályzatok

Minden anomáliadetektálási szabályzat külön hatókörrel rendelkezhet, így csak a szabályzatba felvenni és kizárni kívánt felhasználókra és csoportokra vonatkozik. Beállíthatja például, hogy a ritkán előforduló megyei észlelésből származó tevékenység figyelmen kívül hagyjon egy gyakran utazó felhasználót.

Anomáliadetektálási szabályzat hatókörének meghatározása:

  1. A Microsoft Defender portálon lépjen a Cloud Apps -Policies ->>Policy management területre. Ezután válassza az Anomáliadetektálási szabályzat lehetőséget a szabályzattípushoz.

  2. Válassza ki a hatókörbe helyezni kívánt szabályzatot.

  3. A Hatókör területen módosítsa a legördülő listát a Minden felhasználó és csoport alapértelmezett beállításáról a Konkrét felhasználók és csoportok értékre.

  4. Válassza a Belefoglalás lehetőséget, ha meg szeretné adni a felhasználókat és csoportokat, akikre ez a szabályzat vonatkozni fog. Az itt nem kiválasztott felhasználók vagy csoportok nem minősülnek fenyegetésnek, és nem hoznak létre riasztást.

  5. Válassza a Kizárás lehetőséget, ha meg szeretné adni azokat a felhasználókat, akikre ez a szabályzat nem vonatkozik. Az itt kiválasztott felhasználók nem minősülnek fenyegetésnek, és nem generálnak riasztást, még akkor sem, ha tagjai a Belefoglalás csoportban kiválasztott csoportoknak.

    anomáliadetektálási hatókör meghatározása.

Anomáliadetektálási riasztások osztályozása

Az új anomáliadetektálási szabályzatok által aktivált különböző riasztásokat gyorsan osztályba rendezheti, és eldöntheti, hogy mely riasztásokról kell először gondoskodnia. Ehhez szüksége lesz a riasztás környezetére, hogy láthassa a nagyobb képet, és megértse, hogy valóban történik-e valami rosszindulatú.

  1. A Tevékenységnaplóban megnyithat egy tevékenységet a Tevékenység fiók megjelenítéséhez. A Felhasználói elemzések lap megtekintéséhez válassza a Felhasználó lehetőséget. Ez a lap olyan információkat tartalmaz, mint a riasztások száma, a tevékenységek és a kapcsolatuk helye, ami fontos a vizsgálat során.

    anomáliadetektálási riasztás.

  2. Kártevők által fertőzött fájlok esetén a fájlok észlelése után megjelenik a Fertőzött fájlok listája. Válassza ki a kártevőfájl nevét a fájlfiókban egy olyan kártevőjelentés megnyitásához, amely információt nyújt arról, hogy a fájl milyen típusú kártevővel fertőzött.

Veszélyforrások elleni védelem webináriuma

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.