Microsoft Defender for Cloud Apps包括针对受攻击的用户、内部威胁、数据外泄和勒索软件活动的检测。 该服务使用异常情况检测、用户和实体行为分析 (UEBA) ,以及基于规则的活动检测来分析连接应用之间的用户活动。
云环境中未经授权的或意外更改可能会带来安全和操作风险。 例如,对关键公司资源的更改(例如运行公共网站或提供给客户的服务的服务器)可能会受到威胁。
Defender for Cloud Apps捕获和分析来自多个源的数据,以识别组织中的应用和用户活动。 此分析可让安全分析师了解云使用情况。 收集的数据是相关、标准化的,并丰富了威胁情报和位置详细信息,以提供对可疑活动的准确、一致的视图。
在优化检测之前,请配置以下数据源:
| 源 | 说明 |
|---|---|
| 活动日志 | 来自 API 连接应用的活动。 |
| 发现日志 | 从防火墙和代理流量日志中提取的活动,转发到Defender for Cloud Apps。 根据 云应用目录分析日志,根据 90 多个风险因素进行排名和评分。 |
| 代理日志 | 来自条件访问应用的活动控制应用。 |
通过设置筛选器和动态阈值来微调以下策略, (UEBA) 来训练其检测模型。 还可以设置抑制以减少常见的误报检测:
- 异常检测
- 云发现异常情况检测
- 基于规则的活动检测
了解如何优化用户活动检测,以识别真正的危害并减少大量误报检测导致的不必要的警报:
阶段 1:配置 IP 地址范围
- 设置 IP 范围以微调任何类型的可疑用户活动检测策略。
设置已知 IP 地址 有助于机器学习算法识别已知位置,并将其视为机器学习模型的一部分。 例如,添加 VPN 的 IP 地址范围可帮助模型正确分类此 IP 范围,并自动将其从不可能的行程检测中排除,因为 VPN 位置不表示该用户的真实位置。
注意
Defender for Cloud Apps跨服务使用 IP 范围,而不仅仅是用于检测。 IP 范围用于活动日志、条件访问等。 例如,通过标识物理办公室 IP 地址,可以自定义查看和调查日志和警报的方式。
查看异常情况检测警报
Defender for Cloud Apps包括一组异常情况检测警报,用于识别不同的安全方案。 连接相关 应用连接器后,它们将开始分析用户活动并生成警报。
首先熟悉 不同的检测策略。 确定你认为与组织最相关的顶级方案,并相应地优化策略。
阶段 2:优化异常情况检测策略
Defender for Cloud Apps包括为常见安全用例预配置的多个内置异常情况检测策略。 热门检测包括:
| 检测 | 说明 |
|---|---|
| 不可能的旅行 | 同一用户在不同位置的活动,时间段短于两个位置之间的预期行程时间。 |
| 来自不常见国家/地区的活动 | 来自用户最近未访问或从未访问过的位置的活动。 |
| 恶意软件检测 | 扫描云应用中的文件,并通过Microsoft的威胁情报引擎运行可疑文件,以检查它们是否与已知的恶意软件相关联。 |
| 勒索软件活动 | 上传到云端的文件有可能感染勒索软件。 |
| 来自可疑 IP 地址的活动 | 来自MICROSOFT标识为有风险的威胁情报的 IP 地址的活动。 |
| 可疑收件箱转发 | 检测用户收件箱中可疑的收件箱转发规则集。 |
| 异常的多个文件下载活动 | 检测在单一会话中的多文件下载活动,与学习到的基线对比,可以发现潜在的安全漏洞。 |
| 异常管理活动 | 检测在单一会话中的多个管理活动,与学习到的基线对比,可以发现潜在的安全漏洞。 |
注意
某些异常情况检测侧重于检测有问题的安全方案,而其他异常情况则有助于识别和调查不一定指示泄露的异常用户行为。 对于此类检测,可以使用Microsoft Defender XDR高级搜寻体验中提供的行为。
将策略范围限定为特定用户或组
将策略范围限定为特定用户有助于减少来自与组织无关的警报的干扰。 可以将 每个策略配置为包含或排除特定的用户和组,如以下示例所示:
-
攻击模拟
许多组织使用用户或组不断模拟攻击。 不断接收来自这些用户活动的警报会产生不必要的干扰。 设置策略以排除这些用户或组。 此操作可帮助机器学习模型识别这些用户并微调其动态阈值。 -
目标检测
你可能想要调查特定 VIP 用户组,例如管理员成员或首席体验官 (CXO) 组。 在这种情况下,请为要检测的活动创建一个策略,并选择仅包括你感兴趣的一组用户或组。
-
攻击模拟
优化异常登录检测
登录活动失败导致的警报可能表明有人正尝试以一个或多个用户帐户为目标。
凭据泄露是帐户接管和未经授权的活动的常见原因。 不可能的行程、来自可疑 IP 地址的活动以及不经常检测的国家或地区警报可帮助你发现表明帐户可能遭到入侵的活动。
优化不可能行程的敏感度配置敏感度滑块,用于在触发不可能的旅行警报之前确定应用于异常行为的抑制级别。 对高保真度感兴趣的组织应考虑提高敏感度级别。 如果组织有许多用户出差,请考虑降低敏感度级别,以禁止用户从以前活动中学到的常见位置的活动。 可以从以下敏感度级别中进行选择:
- 低:系统、租户和用户抑制
- 中等:系统和用户抑制
- 高:仅系统抑制
其中:
抑制类型 说明 系统 始终被抑制的内置检测。 租户 基于租户之前活动的常见活动。 例如,禁止来自以前在组织中发出警报的 ISP 的活动。 用户 基于特定用户之前活动的常见活动。 例如,禁止来自用户常用位置的活动。
阶段 3:优化云发现异常情况检测策略
可以微调多个内置的 云发现异常情况检测策略 ,或创建自己的策略来识别值得调查的其他方案。 这些策略使用云发现日志,其 优化功能 侧重于异常应用行为和数据外泄。
优化使用情况监视
设置使用情况筛选器以控制检测异常行为的范围和活动周期。 例如,接收来自高管级别员工的异常活动的警报。
优化警报敏感度
若要减少不必要的警报,请设置警报的敏感度。 使用敏感度滑块控制每 1,000 个用户每周发送的高风险警报数。 较高的敏感度需要较少的差异才能被视为异常并生成更多警报。 通常,为无法访问机密数据的用户设置低敏感度。
阶段 4:优化基于规则的检测 (活动) 策略
基于规则的检测策略 根据组织特定的要求补充异常情况检测策略。 使用活动策略模板之一创建基于规则的策略。
如果你的组织在特定国家或地区没有任何存在,请创建一个策略来检测来自该位置的异常活动。 对于在该国家或地区具有大型分支机构的组织,此类活动是正常的,检测此类活动没有意义。
- 转到 “策略策略>模板 ”,并将 “类型 筛选器”设置为 “活动策略”。 设置活动筛选器 以检测环境不正常的行为。
-
优化活动卷
选择检测引发警报之前所需的活动量。 如果你的组织在国家或地区没有存在,则即使单个活动也很重要,并且需要发出警报。 单一登录失败可能是人为错误,仅在短时间内出现许多故障时才感兴趣。 -
优化 活动筛选器
设置所需的筛选器,以检测要对其发出警报的活动类型。 例如,若要检测国家或地区的活动,请使用 Location 参数。 -
优化警报
若要减少不必要的警报,请设置 每日警报限制。
阶段 5:配置警报
注意
Microsoft于 2022 年 12 月 15 日弃用了警报/短信 (短信) 功能。 如果要接收文本警报,请使用 Microsoft Power Automate 进行自定义警报自动化。 有关详细信息,请参阅与自定义警报自动化Microsoft Power Automate集成。
若要在一天中的任何时间立即收到警报,请选择通过电子邮件接收警报。
你可能还希望能够分析组织中其他产品触发的其他警报的上下文中的警报。 此分析可让你全面了解潜在威胁。 例如,你可能希望关联基于云的事件和本地事件,以查看是否有任何其他缓解证据可以确认攻击。
可以使用Microsoft Power Automate触发自定义警报自动化。 触发警报时,可以:
- 设置 playbook
- 在 ServiceNow 中创建问题
- 触发警报时发送审批电子邮件以运行自定义治理操作
使用以下准则配置警报:
-
电子邮件
选择此选项可通过电子邮件接收警报。 -
SIEM
存在多个 SIEM 集成选项,包括Microsoft Sentinel、Microsoft Graph 安全性 API和其他泛型 SIEM。 选择最符合要求的集成。 -
Power Automate 自动化
创建所需的自动化 playbook,并将其设置为针对 Power Automate 操作的策略警报。
阶段 6:调查和修正
若要优化保护,请设置自动修正操作,以最大程度地降低组织的风险。 这些策略允许你对警报应用 治理操作 ,以便在开始调查之前降低组织的风险。 策略类型确定可用操作,包括暂停用户或阻止对所请求资源的访问等操作。