Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud Apps umfasst Erkennungen für kompromittierte Benutzer, Insider-Bedrohungen, Datenexfiltration und Ransomware-Aktivitäten. Der Dienst verwendet Anomalieerkennung, Benutzer- und Entitätsverhaltensanalyse (UEBA) sowie regelbasierte Aktivitätserkennungen, um Benutzeraktivitäten in verbundenen Apps zu analysieren.
Nicht autorisierte oder unerwartete Änderungen in einer Cloudumgebung können Sicherheits- und Betriebsrisiken mit sich bringen. Beispielsweise können Änderungen an wichtigen Unternehmensressourcen wie den Servern, auf denen Ihre öffentliche Website oder Der Dienst ausgeführt wird, die Sie kundenseitig bereitstellen, kompromittiert werden.
Defender for Cloud Apps erfasst und analysiert Daten aus verschiedenen Quellen, um App- und Benutzeraktivitäten in Ihrem organization zu identifizieren. Diese Analyse bietet Ihren Sicherheitsanalysten Einblick in die Cloudnutzung. Die gesammelten Daten sind korreliert, standardisiert und mit Threat Intelligence- und Standortdetails angereichert, um eine genaue und konsistente Ansicht verdächtiger Aktivitäten zu bieten.
Konfigurieren Sie vor dem Optimieren der Erkennungen die folgenden Datenquellen:
| Quelle | Beschreibung |
|---|---|
| Aktivitätsprotokoll | Aktivitäten aus Ihren mit der API verbundenen Apps. |
| Ermittlungsprotokoll | Aktivitäten, die aus dem Protokoll des Firewall- und Proxydatenverkehrs extrahiert wurden und an Defender for Cloud Apps weitergeleitet werden. Die Protokolle werden anhand des Cloud-App-Katalogs analysiert, bewertet und basierend auf mehr als 90 Risikofaktoren bewertet. |
| Proxyprotokoll | Aktivitäten von Apps für den bedingten Zugriff. |
Optimieren Sie die folgenden Richtlinien, indem Sie Filter und dynamische Schwellenwerte (UEBA) festlegen, um ihre Erkennungsmodelle zu trainieren. Sie können auch Unterdrückungen festlegen, um häufige falsch positive Erkennungen zu reduzieren:
- Anomalieerkennung
- Cloud Discovery-Anomalieerkennung
- Regelbasierte Aktivitätserkennung
Erfahren Sie, wie Sie Erkennungen von Benutzeraktivitäten optimieren, um echte Kompromittierungen zu identifizieren und unnötige Warnungen zu reduzieren, die sich aus großen Mengen falsch positiver Erkennungen ergeben:
Phase 1: Konfigurieren von IP-Adressbereichen
- Richten Sie IP-Adressbereiche ein, um jede Art von Richtlinien zur Erkennung verdächtiger Benutzeraktivitäten zu optimieren.
Durch das Einrichten bekannter IP-Adressen können Machine Learning-Algorithmen bekannte Speicherorte identifizieren und als Teil der Machine Learning-Modelle betrachten. Wenn Sie beispielsweise den IP-Adressbereich Ihres VPN hinzufügen, kann das Modell diesen IP-Adressbereich ordnungsgemäß klassifizieren und automatisch von unmöglichen Reiseerkennungen ausschließen, da der VPN-Standort nicht den tatsächlichen Standort dieses Benutzers darstellt.
Hinweis
Defender for Cloud Apps verwendet IP-Adressbereiche im gesamten Dienst, nicht nur für Erkennungen. IP-Bereiche werden im Aktivitätsprotokoll, im bedingten Zugriff usw. verwendet. Durch die Identifizierung Ihrer physischen Büro-IP-Adressen können Sie beispielsweise die Art und Weise anpassen, wie Sie Protokolle und Warnungen anzeigen und untersuchen.
Überprüfen von Anomalieerkennungswarnungen
Defender for Cloud Apps enthält eine Reihe von Warnungen zur Anomalieerkennung, um verschiedene Sicherheitsszenarien zu identifizieren. Sie beginnen mit der Profilerstellung für Benutzeraktivitäten und generieren Warnungen, sobald Sie die relevanten App-Connectors verbinden.
Machen Sie sich zunächst mit den verschiedenen Erkennungsrichtlinien vertraut. Priorisieren Sie die wichtigsten Szenarien, die Ihrer Meinung nach für Ihre organization am relevantesten sind, und optimieren Sie die Richtlinien entsprechend.
Phase 2: Optimieren von Richtlinien für die Anomalieerkennung
Defender for Cloud Apps enthält mehrere integrierte Richtlinien zur Anomalieerkennung, die für häufige Sicherheitsanwendungsfälle vorkonfiguriert sind. Beliebte Erkennungen sind:
| Erkennung | Beschreibung |
|---|---|
| Unmögliches Reisen | Aktivitäten desselben Benutzers an verschiedenen Orten innerhalb eines Zeitraums, der kürzer ist als die erwartete Reisezeit zwischen den beiden Orten. |
| Aktivität aus seltenen Ländern | Aktivität von einem Ort, der nicht kürzlich oder nie vom Benutzer besucht wurde. |
| Schadsoftwareerkennung | Scannt Dateien in Ihren Cloud-Apps und führt verdächtige Dateien über die Threat Intelligence-Engine von Microsoft aus, um zu überprüfen, ob sie mit bekannter Schadsoftware verknüpft sind. |
| Ransomware-Aktivität | Dateien, die in die Cloud hochgeladen werden, die möglicherweise mit Ransomware infiziert sind. |
| Aktivität von verdächtigen IP-Adressen | Aktivität von einer IP-Adresse, die Von Microsoft Threat Intelligence als riskant identifiziert wurde. |
| Verdächtige Posteingangsweiterleitung | Entdeckt verdächtige Posteingang-Weiterleitungsregeln im Posteingang eines Benutzers. |
| Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien | Entdeckt Aktivitäten zum Herunterladen mehrere Dateien in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte. |
| Ungewöhnliche administrative Aktivitäten | Entdeckt mehrfache administrative Aktivitäten in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte. |
Hinweis
Einige Anomalieerkennungen konzentrieren sich auf die Erkennung problematischer Sicherheitsszenarien, während andere dazu beitragen, anomales Benutzerverhalten zu identifizieren und zu untersuchen, das möglicherweise nicht unbedingt auf eine Gefährdung hindeutet. Für solche Erkennungen können Sie Verhaltensweisen verwenden, die im Microsoft Defender XDR erweiterten Hunting-Benutzeroberfläche verfügbar sind.
Bereich von Richtlinien für bestimmte Benutzer oder Gruppen
Das Eingrenzen von Richtlinien auf bestimmte Benutzer kann dazu beitragen, das Rauschen von Warnungen zu reduzieren, die für Ihre organization nicht relevant sind. Sie können jede Richtlinie so konfigurieren, dass bestimmte Benutzer und Gruppen eingeschlossen oder ausgeschlossen werden, z. B. in den folgenden Beispielen:
-
Angriffssimulationen
Viele Organisationen verwenden einen Benutzer oder eine Gruppe, um Angriffe ständig zu simulieren. Wenn sie ständig Warnungen von den Aktivitäten dieser Benutzer erhalten, entsteht unnötiges Rauschen. Richten Sie Ihre Richtlinien ein, um diese Benutzer oder Gruppen auszuschließen. Diese Aktion hilft Machine Learning-Modellen, diese Benutzer zu identifizieren und ihre dynamischen Schwellenwerte zu optimieren. -
Gezielte Erkennungen
Möglicherweise möchten Sie eine bestimmte Gruppe von VIP-Benutzern untersuchen, z. B. Mitglieder eines Administrators oder einer CXO-Gruppe (Chief Experience Officer). Erstellen Sie in diesem Fall eine Richtlinie für die Aktivitäten, die Sie erkennen möchten, und wählen Sie aus, nur die Gruppe von Benutzern oder Gruppen einzuschließen, an denen Sie interessiert sind.
-
Angriffssimulationen
Optimieren von anomalen Anmeldeerkennungen
Warnungen, die sich aus fehlgeschlagenen Anmeldeaktivitäten ergeben, können darauf hindeuten, dass jemand versucht, ein oder mehrere Benutzerkonten als Ziel zu verwenden.
Kompromittierte Anmeldeinformationen sind eine häufige Ursache für Kontoübernahmen und nicht autorisierte Aktivitäten. Die Warnungen zu unmöglichen Reisen, Aktivitäten von verdächtigen IP-Adressen und seltenen Landes- oder Regionserkennungen helfen Ihnen, Aktivitäten zu erkennen, die darauf hindeuten, dass ein Konto potenziell kompromittiert ist.
Optimieren der Empfindlichkeit von unmöglichem ReisenKonfigurieren Sie den Empfindlichkeitsschieberegler , der den Grad der Unterdrückungen bestimmt, die auf anomales Verhalten angewendet werden, bevor eine Warnung zur unmöglichen Reise ausgelöst wird. Organisationen, die an hoher Genauigkeit interessiert sind, sollten erwägen, die Vertraulichkeitsstufe zu erhöhen. Wenn Ihr organization viele Benutzer hat, die reisen, sollten Sie erwägen, die Vertraulichkeitsstufe zu verringern, um Aktivitäten von den allgemeinen Speicherorten eines Benutzers zu unterdrücken, die aus vorherigen Aktivitäten gelernt wurden. Sie können aus den folgenden Vertraulichkeitsstufen wählen:
- Niedrig: System-, Mandanten- und Benutzerunterdrückungen
- Mittel: System- und Benutzerunterdrückungen
- Hoch: Nur Systemunterdrückungen
Dabei gilt:
Unterdrückungstyp Description System Eingebaute Entdeckungen, die immer unterdrückt werden. Mandant Häufige Aktivitäten, die auf der früheren Aktivität des Mandanten basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem ISP, für die zuvor in Ihrem organization eine Warnung ausgelöst wurde. Benutzer Häufige Aktivitäten, die auf der früheren Aktivität des bestimmten Benutzers basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem Speicherort, der häufig vom Benutzer verwendet wird.
Phase 3: Optimieren von Richtlinien zur Erkennung von Anomalien in der Cloudermittlung
Sie können mehrere integrierte Richtlinien zur Erkennung von Anomalien in der Cloud discovery optimieren oder eigene Richtlinien erstellen, um andere Szenarien zu identifizieren, die es wert sind, untersucht zu werden. Diese Richtlinien verwenden Cloud Discovery-Protokolle mit Optimierungsfunktionen , die sich auf anomales App-Verhalten und Datenexfiltration konzentrieren.
Optimieren der Nutzungsüberwachung
Legen Sie die Verwendungsfilter fest, um den Bereich und den Aktivitätszeitraum für die Erkennung anomales Verhalten zu steuern. Erhalten Sie z. B. Warnungen für anomale Aktivitäten von Mitarbeitern auf Führungsebene.
Optimieren der Warnungsempfindlichkeit
Um unnötige Warnungen zu reduzieren, richten Sie die Vertraulichkeit von Warnungen ein. Verwenden Sie den Vertraulichkeitsschieberegler, um die Anzahl von Warnungen mit hohem Risiko zu steuern, die pro 1.000 Benutzer pro Woche gesendet werden. Höhere Empfindlichkeiten erfordern eine geringere Varianz, um als Anomalie betrachtet zu werden und mehr Warnungen zu generieren. Legen Sie im Allgemeinen eine geringe Vertraulichkeit für Benutzer fest, die keinen Zugriff auf vertrauliche Daten haben.
Phase 4: Optimieren von Richtlinien für die regelbasierte Erkennung (Aktivität)
Richtlinien für die regelbasierte Erkennung ergänzen Richtlinien zur Anomalieerkennung mit organization spezifischen Anforderungen. Erstellen Sie regelbasierte Richtlinien mithilfe einer der Aktivitätsrichtlinienvorlagen.
Wenn Ihr organization in einem bestimmten Land oder einer bestimmten Region nicht vorhanden ist, erstellen Sie eine Richtlinie, die die anomalen Aktivitäten von diesem Standort aus erkennt. Für Organisationen mit großen Niederlassungen in diesem Land oder dieser Region sind solche Aktivitäten normal, und es ist nicht sinnvoll, solche Aktivitäten zu erkennen.
- Wechseln Sie zu Richtlinien>Richtlinienvorlagen, und legen Sie den Filter Typ auf Aktivitätsrichtlinie fest. Richten Sie Aktivitätsfilter ein, um Verhaltensweisen zu erkennen, die für Ihre Umgebung nicht normal sind.
-
Optimieren des Aktivitätsvolumens
Wählen Sie das erforderliche Aktivitätsvolumen aus, bevor die Erkennung eine Warnung auslöst. Wenn Ihr organization in einem Land oder einer Region nicht vorhanden ist, ist selbst eine einzelne Aktivität von Bedeutung und erfordert eine Warnung. Ein Fehler bei der einmaligen Anmeldung kann ein menschlicher Fehler sein und nur dann von Interesse sein, wenn innerhalb kurzer Zeit viele Fehler auftreten. -
Optimieren von Aktivitätsfiltern
Legen Sie die Filter fest, die Sie benötigen, um den Typ der Aktivität zu erkennen, für die Sie warnungen möchten. Um beispielsweise Aktivitäten aus einem Land oder einer Region zu erkennen, verwenden Sie den Parameter Location . -
Optimieren von Warnungen
Um unnötige Warnungen zu reduzieren, legen Sie das tägliche Warnungslimit fest.
Phase 5: Konfigurieren von Warnungen
Hinweis
Microsoft hat das Feature Warnungen/SMS (SMS) am 15. Dezember 2022 eingestellt. Wenn Sie Textwarnungen empfangen möchten, verwenden Sie Microsoft Power Automate für die benutzerdefinierte Warnungsautomatisierung. Weitere Informationen finden Sie unter Integrieren mit Microsoft Power Automate für die automatisierung von benutzerdefinierten Warnungen.
Um zu jeder Tageszeit sofortige Benachrichtigungen zu erhalten, wählen Sie aus, diese per E-Mail zu erhalten.
Sie möchten auch die Möglichkeit haben, Warnungen im Kontext anderer Warnungen zu analysieren, die von anderen Produkten in Ihrem organization ausgelöst werden. Diese Analyse bietet Ihnen einen ganzheitlichen Überblick über eine potenzielle Bedrohung. Sie können beispielsweise zwischen cloudbasierten und lokalen Ereignissen korrelieren, um festzustellen, ob es andere mildernde Beweise gibt, die einen Angriff bestätigen.
Sie können die Microsoft Power Automate verwenden, um eine benutzerdefinierte Warnungsautomatisierung auszulösen. Wenn eine Warnung ausgelöst wird, haben Sie folgende Möglichkeiten:
- Einrichten eines Playbooks
- Erstellen eines Problems in ServiceNow
- Senden einer Genehmigungs-E-Mail zum Ausführen einer benutzerdefinierten Governanceaktion, wenn eine Warnung ausgelöst wird
Verwenden Sie die folgenden Richtlinien, um Ihre Warnungen zu konfigurieren:
-
E-Mail
Wählen Sie diese Option aus, um Benachrichtigungen per E-Mail zu erhalten. -
SIEM
Es gibt mehrere SIEM-Integrationsoptionen, darunter Microsoft Sentinel, Microsoft Graph Sicherheits-API und andere generische SIEMs. Wählen Sie die Integration aus, die Ihren Anforderungen am besten entspricht. -
Power Automate-Automatisierung
Erstellen Sie die benötigten Automatisierungs-Playbooks, und legen Sie sie als Warnung der Richtlinie auf Power Automate-Aktion fest.
Phase 6: Untersuchen und Korrigieren
Um Ihren Schutz zu optimieren, richten Sie automatische Korrekturaktionen ein, um das Risiko für Ihre organization zu minimieren. Mit den Richtlinien können Sie Governanceaktionen mit den Warnungen anwenden, sodass das Risiko für Ihre organization reduziert wird, noch bevor Sie mit der Untersuchung beginnen. Der Richtlinientyp bestimmt die verfügbaren Aktionen, einschließlich Aktionen wie das Anhalten eines Benutzers oder das Blockieren des Zugriffs auf die angeforderte Ressource.