Megosztás a következőn keresztül:

Oktatóanyag: Gyanús felhasználói tevékenység észlelése viselkedéselemzéssel (UEBA)

  • Cikk

Microsoft Defender for Cloud Apps a támadási lánc legjobb észlelését biztosítja a feltört felhasználók, a belső fenyegetések, a kiszivárgás, a zsarolóprogramok és egyebek számára. Átfogó megoldásunk több észlelési módszer kombinálásával érhető el, beleértve az anomáliát, a viselkedéselemzést (UEBA) és a szabályalapú tevékenységészlelést, hogy átfogó képet nyújtsunk arról, hogyan használják a felhasználók az alkalmazásokat a környezetben.

Miért fontos észlelni a gyanús viselkedést? A felhőkörnyezet módosítására képes felhasználó hatása jelentős lehet, és közvetlenül befolyásolhatja a vállalkozása működtetésének képességét. A kulcsfontosságú vállalati erőforrások, például a nyilvános webhelyet vagy szolgáltatást futtató kiszolgálók, amelyek az ügyfelek számára biztosítottak, veszélybe kerülhetnek.

A több forrásból rögzített adatok használatával Defender for Cloud Apps elemzi az adatokat, hogy alkalmazás- és felhasználói tevékenységeket nyerjen ki a szervezetben, így a biztonsági elemzők betekintést nyerhetnek a felhő használatába. Az összegyűjtött adatok korrelálva, szabványosítva és gazdagítva vannak a fenyegetésfelderítéssel, a tartózkodási hellyel és sok más részlettel, hogy pontos és következetes képet biztosítsanak a gyanús tevékenységekről.

Ezért az észlelések előnyeinek teljes kihasználásához először konfigurálja a következő forrásokat:

Ezután finomhangolni szeretné a szabályzatokat. Az alábbi szabályzatok finomhangolhatók szűrők, dinamikus küszöbértékek (UEBA) beállításával az észlelési modellek betanításához, valamint a mellőzések a gyakori téves pozitív észlelések csökkentéséhez:

  • Anomáliadetektálás
  • Felhőfelderítési anomáliadetektálás
  • Szabályalapú tevékenységészlelés

Ebből az oktatóanyagból megtudhatja, hogyan hangolhatja a felhasználói tevékenységek észlelését a valódi biztonsági rések azonosítása és a nagy mennyiségű hamis pozitív észlelés miatti riasztási fáradtság csökkentése érdekében:

1. fázis: IP-címtartományok konfigurálása

Az egyes szabályzatok konfigurálása előtt célszerű úgy konfigurálni az IP-címtartományokat, hogy azok bármilyen gyanús felhasználói tevékenységészlelési szabályzat finomhangolásához használhatók legyenek.

Mivel az IP-címadatok szinte minden vizsgálathoz elengedhetetlenek, az ismert IP-címek konfigurálásával a gépi tanulási algoritmusok azonosíthatják az ismert helyeket, és a gépi tanulási modellek részeként tekinthetjük őket. A VPN IP-címtartományának hozzáadása például segít a modellnek megfelelően besorolni ezt az IP-tartományt, és automatikusan kizárni a lehetetlen utazási észlelésekből, mert a VPN-hely nem az adott felhasználó valódi helyét jelöli.

Megjegyzés:

A konfigurált IP-tartományok nem korlátozódnak az észlelésekre, és Defender for Cloud Apps olyan területeken használhatók, mint például a tevékenységnaplóban lévő tevékenységek, a feltételes hozzáférés stb. Ezt tartsa szem előtt a tartományok konfigurálásakor. Így például a fizikai irodai IP-címek azonosítása lehetővé teszi a naplók és riasztások megjelenítésének és vizsgálatának testreszabását.

A beépített anomáliadetektálási riasztások áttekintése

Defender for Cloud Apps anomáliadetektálási riasztásokat tartalmaz a különböző biztonsági forgatókönyvek azonosításához. Ezek az észlelések automatikusan engedélyezve vannak, és azonnal elkezdenek profilt készíteni a felhasználói tevékenységekről, és riasztásokat generálnak, amint a megfelelő alkalmazás-összekötők csatlakoznak.

Első lépésként ismerkedjen meg a különböző észlelési szabályzatokkal, rangsorolja a szervezet szempontjából legfontosabbnak vélt leggyakoribb forgatókönyveket, és ennek megfelelően finomhangolja a szabályzatokat.

2. fázis: Anomáliadetektálási szabályzatok hangolása

Számos beépített anomáliadetektálási szabályzat érhető el Defender for Cloud Apps, amelyek előre vannak konfigurálva a gyakori biztonsági használati esetekhez. Szánjon egy kis időt a népszerűbb észlelések megismerésére, például:

  • Lehetetlen utazás
    Ugyanazon felhasználótól különböző helyeken végzett tevékenységek egy olyan időtartamon belül, amely rövidebb a két hely közötti várható utazási időnél.
  • Ritka országból származó tevékenység
    Olyan helyről származó tevékenység, amelyet a felhasználó nem nemrég vagy soha nem látogatott meg.
  • Kártevőészlelés
    Megvizsgálja a felhőalkalmazásokban lévő fájlokat, és gyanús fájlokat futtat a Microsoft fenyegetésfelderítési motorján keresztül annak megállapításához, hogy azokat ismert kártevőkkel társítják-e.
  • Zsarolóprogramokkal kapcsolatos tevékenység
    Fájlok feltöltése a felhőbe, amelyek zsarolóprogramokkal fertőzöttek lehetnek.
  • Gyanús IP-címekről származó tevékenység
    A Microsoft Fenyegetésfelderítés által kockázatosként azonosított IP-címről származó tevékenység.
  • Gyanús beérkezett üzenetek továbbítása
    Észleli a felhasználó beérkezett üzenetek mappájában beállított gyanús üzenettovábbítási szabályokat.
  • Szokatlan több fájlletöltési tevékenység
    Több fájlletöltési tevékenységet észlel egyetlen munkamenetben az alapkonfigurációval kapcsolatban, ami biztonsági incidensre utalhat.
  • Szokatlan adminisztratív tevékenységek
    Több felügyeleti tevékenységet észlel egyetlen munkamenetben a tanult alapkonfigurációhoz képest, ami biztonsági incidensre utalhat.

Az észlelések teljes listáját és azok működését az Anomáliadetektálási szabályzatok című témakörben találja.

Megjegyzés:

Bár az anomáliadetektálások némelyike elsősorban a problémás biztonsági forgatókönyvek észlelésére összpontosít, mások segíthetnek a rendellenes felhasználói viselkedés azonosításában és kivizsgálásában, amelyek nem feltétlenül jelentenek kompromisszumot. Az ilyen észlelésekhez létrehoztunk egy "viselkedés" nevű adattípust, amely a Microsoft Defender XDR speciális veszélyforrás-keresési felületen érhető el. További információ: Viselkedések.

Ha már ismeri a szabályzatokat, érdemes megfontolnia, hogyan szeretné finomhangolni őket a szervezet konkrét követelményeihez, hogy jobban megcélzhassa azokat a tevékenységeket, amelyeket érdemes lehet részletesebben megvizsgálnia.

  1. Szabályzatok hatóköre adott felhasználókra vagy csoportokra

    Az adott felhasználókra vonatkozó hatókörkezelési szabályzatok segíthetnek csökkenteni a szervezet szempontjából nem releváns riasztások zaját. Minden szabályzat konfigurálható úgy, hogy adott felhasználókat és csoportokat is belefoglaljon vagy kizárjon, például az alábbi példákban:

    • Támadásszimulációk
      Számos szervezet használ felhasználót vagy csoportot a támadások folyamatos szimulálására. Nyilvánvaló, hogy nem érdemes folyamatosan riasztásokat kapni ezeknek a felhasználóknak a tevékenységeiről. Ezért konfigurálhatja a szabályzatokat úgy, hogy kizárják ezeket a felhasználókat vagy csoportokat. Ez segít a gépi tanulási modelleknek azonosítani ezeket a felhasználókat, és ennek megfelelően finomhangolni a dinamikus küszöbértékeiket.
    • Célzott észlelések
      Előfordulhat, hogy a szervezet szeretné kivizsgálni a VIRTUÁLIS IP-felhasználók egy adott csoportját, például egy rendszergazda vagy egy CXO-csoport tagjait. Ebben a forgatókönyvben létrehozhat egy szabályzatot az észlelni kívánt tevékenységekhez, és dönthet úgy, hogy csak az Önt érdeklő felhasználókat vagy csoportokat foglalja bele.

  2. Rendellenes bejelentkezési észlelések hangolása

    Egyes szervezetek meg szeretnék tekinteni a sikertelen bejelentkezési tevékenységekből származó riasztásokat, mert jelezhetik, hogy valaki egy vagy több felhasználói fiókot próbál meg célozni. A felhasználói fiókokra irányuló találgatásos támadások viszont folyamatosan előfordulnak a felhőben, és a szervezeteknek nincs módjuk megakadályozni őket. Ezért a nagyobb szervezetek általában úgy döntenek, hogy csak olyan gyanús bejelentkezési tevékenységekről kapnak riasztásokat, amelyek sikeres bejelentkezési tevékenységeket eredményeznek, mivel valódi biztonsági réseket jelenthetnek.

    Az identitáslopás a biztonság kulcsfontosságú forrása, és jelentős fenyegetési vektort jelent a szervezet számára. A lehetetlen utazás, a gyanús IP-címekről származó tevékenységek és a ritkán észlelt ország-/régióészlelési riasztások segítenek felderíteni azokat a tevékenységeket, amelyek arra utalnak, hogy egy fiók biztonsága sérülhet.

  3. A lehetetlen utazásérzékenységének finomhangolásaKonfigurálja a bizalmassági csúszkát, amely meghatározza a rendellenes viselkedésre alkalmazott mellőzések szintjét, mielőtt egy lehetetlen utazási riasztást aktivál. A magas megbízhatóság iránt érdeklődő szervezeteknek például érdemes megfontolni a bizalmassági szint növelését. Ha viszont a szervezetnek sok felhasználója van, érdemes lehet csökkenteni a bizalmassági szintet, hogy a felhasználók korábbi tevékenységeiből tanultakból származó tevékenységek ne jelenjenek meg. A következő bizalmassági szintek közül választhat:

    • Alacsony: Rendszer-, bérlő- és felhasználói letiltások
    • Közepes: Rendszer- és felhasználóelnyomások
    • Magas: Csak rendszerelnyomások

    Hely:

    Mellőzés típusa Leírás
    Rendszer Beépített észlelések, amelyek mindig le vannak tiltva.
    Bérlő Gyakori tevékenységek a bérlő korábbi tevékenységei alapján. Például letilthatja a szervezeten belül korábban riasztást küldő egyik ispéldából származó tevékenységeket.
    Felhasználó Az adott felhasználó korábbi tevékenységein alapuló gyakori tevékenységek. Például letiltja a tevékenységeket egy olyan helyről, amelyet a felhasználó gyakran használ.

3. fázis: Felhőfelderítési anomáliadetektálási szabályzatok finomhangolása

Az anomáliadetektálási szabályzatokhoz hasonlóan számos beépített felhőfelderítési anomáliadetektálási szabályzat létezik, amelyeket finomhangolhat. A nem engedélyezett alkalmazások adatkiszivárgási szabályzata például riasztást küld, ha az adatokat nem engedélyezett alkalmazásba szivárgás éri, és a biztonsági területen a Microsoft felhasználói élménye alapján előre konfigurálva van.

Azonban finomhangolhatja a beépített szabályzatokat, vagy létrehozhat saját szabályzatokat, hogy segítsen azonosítani azokat a forgatókönyveket, amelyek kivizsgálása érdekelheti. Mivel ezek a szabályzatok a felhőfelderítési naplókon alapulnak, különböző hangolási képességekkel rendelkeznek, amelyek jobban összpontosítanak a rendellenes alkalmazásviselkedésre és adatkiszivárgásra.

  1. A használat monitorozásának finomhangolása
    Állítsa be a használati szűrőket az alapkonfiguráció, a hatókör és a tevékenységi időszak szabályozásához a rendellenes viselkedés észleléséhez. Előfordulhat például, hogy riasztásokat szeretne kapni a vezetői szintű alkalmazottakkal kapcsolatos rendellenes tevékenységekről.

  2. Riasztás érzékenységének finomhangolása
    A riasztások kifáradásának elkerülése érdekében konfigurálja a riasztások érzékenységét. A bizalmassági csúszkával szabályozhatja a hetente 1000 felhasználónként küldött magas kockázatú riasztások számát. A nagyobb érzékenységhez kisebb eltérésre van szükség ahhoz, hogy anomáliának tekintsük, és több riasztást generáljon. Általánosságban elmondható, hogy a bizalmas adatokhoz nem hozzáféréssel rendelkező felhasználók számára alacsony érzékenységet állítson be.

4. fázis: Szabályalapú észlelési (tevékenység-) szabályzatok hangolása

A szabályalapú észlelési szabályzatok lehetővé teszik az anomáliadetektálási szabályzatok szervezetspecifikus követelményekkel való kiegészítését. Javasoljuk, hogy hozzon létre szabályalapú szabályzatokat az egyik tevékenységszabályzat-sablonunkkal (lépjen aVezérlősablonok> területre, és állítsa a Típus szűrőt Tevékenységházirend értékre), majd konfigurálja őket a környezetében nem normális viselkedés észlelésére. Például olyan szervezetek esetében, amelyek nem rendelkeznek jelenléti állapottal egy adott országban/régióban, érdemes lehet olyan szabályzatot létrehozni, amely észleli az adott országból/régióból származó rendellenes tevékenységeket, és riasztást küld róluk. Azok számára, akik nagy ágakkal rendelkeznek az adott országban/régióban, az adott országból/régióból származó tevékenységek normálisak lennének, és nem lenne értelme észlelni az ilyen tevékenységeket.

  1. Tevékenységkötet hangolása
    Válassza ki a szükséges tevékenységmennyiséget, mielőtt az észlelés riasztást aktivál. Az ország/régió példáját használva, ha nincs jelen egy országban/régióban, még egyetlen tevékenység is jelentős, és riasztást igényel. Az egyszeri bejelentkezési hiba azonban emberi hiba lehet, és csak akkor lehet érdekes, ha rövid időn belül sok hiba történik.
  2. Tevékenységszűrők hangolása
    Állítsa be azokat a szűrőket, amelyek alapján észlelni szeretné, hogy milyen típusú tevékenységről szeretne riasztást kapni. Ha például egy országból/régióból szeretne tevékenységet észlelni, használja a Location paramétert.
  3. Riasztások hangolása
    A riasztások kimerültségének elkerülése érdekében állítsa be a napi riasztási korlátot.

5. fázis: Riasztások konfigurálása

Megjegyzés:

2022. december 15-e óta a riasztások/SMS-ek (szöveges üzenetek) elavultak. Ha szöveges riasztásokat szeretne kapni, a Microsoft Power Automate-et kell használnia az egyéni riasztások automatizálásához. További információ: Integráció a Microsoft Power Automate-el egyéni riasztások automatizálásához.

Dönthet úgy, hogy az igényeinek leginkább megfelelő formátumban és adathordozón kapja meg a riasztásokat. Ha a nap bármely időpontjában szeretne azonnali riasztásokat kapni, érdemes lehet e-mailben megkapni őket.

Emellett érdemes lehet elemezni a riasztásokat a szervezet más termékei által aktivált egyéb riasztások kontextusában, hogy holisztikus képet kapjon egy lehetséges fenyegetésről. Előfordulhat például, hogy korrelálni szeretne a felhőalapú és a helyszíni események között, hogy láthassa, van-e más olyan enyhítő bizonyíték, amely megerősítheti a támadást.

Emellett egyéni riasztásautomatizálást is aktiválhat a Microsoft Power Automate-integrációval. Beállíthat például egy forgatókönyvet, amely automatikusan létrehoz egy problémát a ServiceNow-ban , vagy elküldhet egy jóváhagyási e-mailt egy egyéni cégirányítási művelet végrehajtásához riasztás aktiválásakor.

A riasztások konfigurálásához kövesse az alábbi irányelveket:

  1. E-mail
    Válassza ezt a lehetőséget a riasztások e-mailben történő fogadásához.
  2. SIEM
    Számos SIEM-integrációs lehetőség létezik, például a Microsoft Sentinel, a Microsoft Graph Biztonság és más általános SIEM-ek. Válassza ki a követelményeknek leginkább megfelelő integrációt.
  3. A Power Automate automatizálása
    Hozza létre a szükséges automatizálási forgatókönyveket, és állítsa be a szabályzat Power Automate-műveletre vonatkozó riasztásaként.

6. fázis: Vizsgálat és javítás

Nagyszerű, beállította a szabályzatokat, és gyanús tevékenységriasztásokat kap. Mit csináljon velük? Első lépésként lépéseket kell tennie a tevékenység kivizsgálásához. Megvizsgálhatja például azokat a tevékenységeket, amelyek azt jelzik, hogy egy felhasználó biztonsága sérült.

A védelem optimalizálása érdekében érdemes lehet automatikus javítási műveleteket beállítani a szervezetet veszélyeztető kockázatok minimalizálása érdekében. Szabályzataink lehetővé teszik, hogy cégirányítási műveleteket alkalmazzon a riasztásokra, így a szervezetre vonatkozó kockázat még a vizsgálat megkezdése előtt csökken. Az elérhető műveleteket a szabályzat típusa határozza meg, beleértve az olyan műveleteket is, mint a felhasználó felfüggesztése vagy a kért erőforráshoz való hozzáférés letiltása.

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.

További információ