Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Defender for Cloud Apps sisältää vaarantuneita käyttäjiä koskevat tunnistukset, sisäpiiriuhat, tietojen suodattimet ja kiristyshaittaohjelmatoiminnot. Palvelu käyttää poikkeamien tunnistamista, käyttäjien ja entiteettien käyttäytymisanalytiikkaa (UEBA) sekä sääntöpohjaisia toiminnan tunnistuksia käyttäjien toiminnan analysoimiseksi yhdistetyissä sovelluksissa.
Pilviympäristön luvattomat tai odottamattomat muutokset voivat aiheuttaa suojausriskejä ja toiminnallisia riskejä. Esimerkiksi muutokset yrityksen keskeisiin resursseihin, kuten asiakkaille tarjoamaasi julkista verkkosivustoa tai palvelua käyttäviin palvelimiin, voivat vaarantua.
Defender for Cloud Apps tallentaa ja analysoi tietoja useista lähteistä tunnistaakseen sovelluksen ja käyttäjän toimet organisaatiossasi. Tämä analyysi antaa tietoturva-analyytikoille näkyvyyden pilvipalvelun käyttöön. Kerätyt tiedot korreloidaan, standardoidaan ja täydennetty uhkatiedeilla ja sijaintitiedeilla, jotta saadaan tarkka ja johdonmukainen näkymä epäilyttävistä toiminnoista.
Määritä ennen tunnistusten säätämistä seuraavat tietolähteet:
| Lähde | Kuvaus |
|---|---|
| Toimintoloki | Ohjelmointirajapintaan yhdistettyjen sovellusten toiminnot. |
| Etsintäloki | Palomuurista ja välityspalvelimen liikennelokista poimitut toiminnot, jotka lähetetään edelleen Defender for Cloud Apps. Lokit analysoidaan pilvisovellusluetteloa vasten, luokitellaan ja pisteytetään yli 90 riskitekijän perusteella. |
| Välityspalvelimen loki | Ehdollisen käyttöoikeussovelluksen hallintasovellusten toiminnot. |
Hienosäädä seuraavia käytäntöjä asettamalla suodattimia ja dynaamisia raja-arvoja (UEBA) niiden tunnistusmallien harjoittamiseksi. Voit myös määrittää tukahdutuksia, jotka vähentävät yleisiä vääriä positiivisia tunnistuksia:
- Poikkeamien tunnistaminen
- Pilvilöydön poikkeamien tunnistaminen
- Sääntöihin perustuvan toiminnan tunnistaminen
Lue, miten voit hienosäätää käyttäjän toiminnan tunnistuksia todellisten kompromissien tunnistamiseksi ja vähentää tarpeettomia ilmoituksia, jotka johtuvat suurista määristä vääriä positiivisia tunnistuksia:
Vaihe 1: IP-osoitealueiden määrittäminen
- Määritä IP-alueet minkä tahansa epäilyttävän käyttäjän toiminnan havaitsemiskäytännön hienosäätämiseksi.
Tunnettujen IP-osoitteiden määrittäminen auttaa koneoppimisen algoritmeja tunnistamaan tunnetut sijainnit ja pitämään niitä osana koneoppimismalleja. Jos esimerkiksi lisäät VPN:n IP-osoitealueen, malli luokittelee tämän IP-alueen oikein ja jättää sen automaattisesti pois mahdottomista matkustustunnistuksista, koska VPN-sijainti ei edusta käyttäjän todellista sijaintia.
Huomautus
Defender for Cloud Apps käyttää IP-osoitealueita koko palvelussa, ei vain tunnistuksia varten. IP-alueita käytetään esimerkiksi toimintolokissa ja ehdollisessa käyttötilassa. Voit esimerkiksi tunnistaa fyysiset Officen IP-osoitteet mukauttamalla tapaa, jolla tarkastelet ja tutkit lokeja ja ilmoituksia.
Poikkeamien tunnistamisilmoitusten tarkistaminen
Defender for Cloud Apps sisältää joukon poikkeamien tunnistusilmoituksia eri suojausskenaarioiden tunnistamiseksi. Ne alkavat profiloida käyttäjien toimia ja luovat hälytyksiä heti, kun yhdistät soveltuvat sovellusliittimet.
Aloita tutustumalla erilaisiin tunnistuskäytäntöihin. Priorisoi tärkeimmät skenaariot, jotka ovat mielestäsi tärkeimpiä organisaatiollesi, ja hienosäädä käytäntöjä vastaavasti.
Vaihe 2: Poikkeamien tunnistuskäytäntöjen hienosäätäminen
Defender for Cloud Apps sisältää useita sisäisiä poikkeamien tunnistuskäytäntöjä, jotka on esimääritetty yleisiä suojauksen käyttötapauksia varten. Suosittuja tunnistuksia ovat muun muassa seuraavat:
| Havaitseminen | Kuvaus |
|---|---|
| Mahdoton matka | Saman käyttäjän aktiviteetit eri sijainneissa ajanjaksolla, joka on lyhyempi kuin odotettu matka-aika näiden kahden sijainnin välillä. |
| Aktiviteetti harvinaisesta maasta | Aktiviteetti sijainnista, jota käyttäjä ei ole hiljattain tai jossa hän ei ole koskaan käynyt. |
| Haittaohjelmien tunnistus | Skannaa tiedostot pilvisovelluksissasi ja suorittaa epäilyttäviä tiedostoja Microsoftin uhkatietomoduulin kautta tarkistaakseen, liittyvätkö ne tunnettuun haittaohjelmistoon. |
| Kiristyshaittaohjelmatoiminta | Tiedoston lataukset pilveen, joka saattaa tarttua kiristyshaittaohjelmiin. |
| Epäilyttävän IP-osoitteen toiminta | Toiminta IP-osoitteesta, jonka Microsoft Threat Intelligence tunnisti riskialttiiksi. |
| Epäilyttävä Saapuneet-kansion edelleenlähetys | Havaitsee epäilyttävät Saapuneet-kansion edelleenlähetyssäännöt, jotka on määritetty käyttäjän Saapuneet-kansioon. |
| Epätavalliset useiden tiedostojen lataustoiminnot | Havaitsee yhden istunnon aikana useita tiedostojen lataustoimintoja, jotka liittyvät opittuun perusaikatauluun, mikä voi olla merkki murtoyrityksestä. |
| Epätavalliset hallinnolliset toimet | Havaitsee yhden istunnon aikana useita järjestelmänvalvojan toimintoja, jotka liittyvät opittuun perusaikatauluun, mikä voi olla merkki murtoyrityksestä. |
Huomautus
Jotkin poikkeamien tunnistamiset keskittyvät ongelmallisten suojausskenaarioiden havaitsemiseen, kun taas toiset auttavat tunnistamaan ja tutkimaan epätavallista käyttäjän käyttäytymistä, joka ei välttämättä tarkoita kompromissia. Tällaisissa tunnistuksia varten voit käyttää käyttäytymismalleja, jotka ovat käytettävissä Microsoft Defender XDR kehittyneessä metsästyskokemuksessa.
Vaikutusaluekäytännöt tietyille käyttäjille tai ryhmille
Käytäntöjen määrittäminen tietyille käyttäjille voi auttaa vähentämään melua ilmoituksista, jotka eivät ole olennaisia organisaatiollesi. Voit määrittää kunkin käytännön sisältämään tai sulkemaan pois tiettyjä käyttäjiä ja ryhmiä, kuten seuraavissa esimerkeissä:
-
Hyökkäyssimulaatiot
Monet organisaatiot käyttävät käyttäjää tai ryhmää jatkuvasti hyökkäysten simulointiin. Ilmoitusten vastaanottaminen jatkuvasti näiden käyttäjien toiminnoista aiheuttaa tarpeetonta melua. Määritä käytäntösi siten, että nämä käyttäjät tai ryhmät jätetään pois. Tämän toiminnon avulla koneoppimismallit tunnistavat nämä käyttäjät ja hienosäätävät dynaamisia raja-arvoja. -
Kohdennetut tunnistuksia
Saatat haluta tutkia tiettyä VIP-käyttäjien ryhmää, kuten järjestelmänvalvojan tai CXO (Chief Experience Officer) -ryhmän jäseniä. Luo tässä tapauksessa käytäntö toiminnoille, jotka haluat tunnistaa, ja päätä sisällyttää vain haluamasi käyttäjät tai ryhmät.
-
Hyökkäyssimulaatiot
Poikkeamien kirjautumistunnistusten hienosäätäminen
Epäonnistuneet kirjautumistoiminnot saattavat merkitä sitä, että joku yrittää kohdistaa kohteita yhteen tai useampaan käyttäjätiliin.
Vaarantuneet tunnistetiedot ovat yleinen syy tilin haltuunottoon ja luvattomaan toimintaan. Mahdoton matka, toiminta epäilyttävistä IP-osoitteista ja harvinaiset maan tai alueen tunnistusilmoitukset auttavat sinua löytämään toimintoja, jotka viittaavat siihen, että tili saattaa vaarantua.
Viritä mahdottomien matkojenluottamuksellisuuttaMääritä luottamuksellisuusliukusäädin, joka määrittää poikkeavien käyttäytymisten vaimennuksen tason ennen mahdottoman matkahälytyksen käynnistämistä. Organisaatioiden, jotka ovat kiinnostuneita korkeasta uskollisuudesta, tulisi harkita luottamuksellisuustason nostamista. Jos organisaatiossasi on useita käyttäjiä, jotka matkustavat, harkitse luottamuksellisuustason alentamista estääksesi aiemmista toiminnoista opitut toiminnot käyttäjän yleisistä sijainneista. Voit valita seuraavista luottamuksellisuustasoista:
- Pieni: järjestelmän, vuokraajan ja käyttäjien evätys
- Keskitaso: Järjestelmän ja käyttäjien evätys
- Suuri: Vain järjestelmän vaimennukset
Jossa:
Vaimennustyyppi Kuvaus Järjestelmä Sisäiset tunnistuksia, jotka on aina estetty. Vuokraaja Yleiset toimet, jotka perustuvat vuokraajan aiempaan toimintoon. Voit esimerkiksi estää organisaatiossasi aiemmin ilmoitetun IsP:n toiminnot. Käyttäjä Yleisiä toimintoja, jotka perustuvat tietyn käyttäjän aiempaan toimintoon. Voit esimerkiksi estää toiminnot sijainnista, jota käyttäjä käyttää yleisesti.
Vaihe 3: Pilvietsintäpoikkeamien tunnistuskäytäntöjen hienosäätäminen
Voit hienosäätää useita sisäisiä pilvitietojen resurssienetsinnän poikkeamien tunnistuskäytäntöjä tai luoda omia käytäntöjäsi tunnistaaksesi muita skenaarioita, joita kannattaa tutkia. Nämä käytännöt käyttävät pilvitietojen etsintälokeja, joiden säätötoiminnot keskittyvät poikkeavien sovellusten toimintaan ja tietojen suodatustoimintoihin.
Käytön seurannan hienosäätäminen
Määritä käyttösuodattimet ohjaamaan käyttöaluetta ja toimintajaksoa poikkeavien toimintojen havaitsemiseksi. Voit esimerkiksi vastaanottaa ilmoitusten epänormaamista toiminnoista johtajatason työntekijöiltä.
Hälytyksen arkaluontoisuuden hienosäätäminen
Voit vähentää tarpeettomia ilmoituksia määrittämällä ilmoitusten luottamuksellisuusasetuksen. Luottamuksellisuusliukusäätimen avulla voit hallita lähetettyjen suuririskisten ilmoitusten määrää tuhatta käyttäjää kohti viikossa. Suuremmat herkkyydet edellyttävät vähemmän varianssia, jotta ne voidaan pitää poikkeavina ja luoda enemmän ilmoituksia. Yleensä sinun on määritettävä alhainen luottamuksellisuus käyttäjille, joilla ei ole pääsyä luottamuksellisiin tietoihin.
Vaihe 4: Sääntöihin perustuvien tunnistuskäytäntöjen (toimintojen) hienosäätäminen
Sääntöihin perustuvat tunnistuskäytännöt täydentävät poikkeamien tunnistuskäytäntöjä organisaatiokohtaisilla vaatimuksilla. Luo sääntöihin perustuvia käytäntöjä käyttämällä jotakin toimintokäytäntömallia.
Jos organisaatiollasi ei ole läsnäoloa tietyssä maassa tai tietyllä alueella, luo käytäntö, joka tunnistaa kyseisen sijainnin poikkeavat toiminnot. Organisaatioissa, joilla on suuria haaroja kyseisessä maassa tai kyseisellä alueella, tällaiset toiminnot ovat normaaleja, eikä tällaisten toimintojen havaitseminen ole järkevää.
- Siirrykäytäntökäytäntömalleihin> ja määritä Tyyppi-suodattimeksi Toimintakäytäntö. Määrittämällä toimintosuodattimia voit tunnistaa toimintoja, jotka eivät ole normaaleja ympäristössäsi.
-
Toiminnan äänenvoimakkuuden hienosäätäminen
Valitse aktiviteetin määrä, joka tarvitaan, ennen kuin tunnistaminen antaa ilmoituksen. Jos organisaatiollasi ei ole läsnäoloa maassa tai alueella, edes yksi toiminto on merkittävä ja antaa luvan hälytykseen. Kertakirjautumisvirhe voi olla inhimillinen virhe, ja se kiinnostaa vain, jos virheitä on useita lyhyessä ajassa. -
Toimintosuodattimien hienosäätäminen
Määritä suodattimet, joiden avulla tunnistat, millaisesta toiminnosta haluat saada ilmoituksen. Jos haluat esimerkiksi tunnistaa toimintaa maasta tai alueelta, käytä Location-parametria. -
Hälytysten virittäminen
Voit vähentää tarpeettomia ilmoituksia määrittämällä päivittäisen ilmoituksen rajoituksen.
Vaihe 5: Ilmoitusten määrittäminen
Huomautus
Microsoft tyhjensi Ilmoitukset/tekstiviestit (tekstiviestit) -ominaisuuden 15.12.2022. Jos haluat saada teksti-ilmoituksia, käytä Microsoft Power Automate mukautettujen ilmoitusten automatisointiin. Lisätietoja on artikkelissa Integrointi Microsoft Power Automate kanssa mukautettujen ilmoitusten automatisointia varten.
Jos haluat saada välittömät hälytykset milloin tahansa päivän aikana, valitse niiden vastaanottaminen sähköpostitse.
Haluat ehkä myös mahdollisuuden analysoida hälytyksiä muiden organisaatiosi muiden tuotteiden käynnistämien ilmoitusten yhteydessä. Tämä analyysi antaa kokonaisvaltaisen kuvan mahdollisesta uhasta. Saatat esimerkiksi haluta korreloida pilvipohjaisten ja paikallisten tapahtumien välillä nähdäksesi, onko olemassa muita lieventäviä todisteita, jotka vahvistavat hyökkäyksen.
Voit käynnistää mukautetun hälytysautomaation Microsoft Power Automate avulla. Kun ilmoitus käynnistetään, voit tehdä seuraavaa:
- Pelikirjan määrittäminen
- Ongelman luominen ServiceNow
- Lähetä hyväksyntäsähköpostiviesti mukautetun hallintotoiminnon suorittamiseksi, kun ilmoitus käynnistetään
Määritä hälytykset seuraavien ohjeiden mukaisesti:
-
Sähköposti
Valitse tämä vaihtoehto, jos haluat vastaanottaa ilmoituksia sähköpostitse. -
Siem reap
SieM-integrointivaihtoehtoja on useita, kuten Microsoft Sentinel, Microsoft Graph suojauksen ohjelmointirajapinta ja muita yleisiä SIEM-tyyppejä. Valitse integrointi, joka täyttää parhaiten vaatimuksesi. -
Power Automaten automaatio
Luo tarvitsemiasi automaation pelikirjoja ja määritä ne käytännön Ilmoitukseksi Power Automate -toiminnolle.
Vaihe 6: Tutki ja korjaa
Voit optimoida suojauksen määrittämällä automaattisia korjaustoimia, joilla voit minimoida organisaatiollesi aiheutuvan riskin. Käytäntöjen avulla voit soveltaa hallintotoimia ilmoituksista niin, että organisaatiollesi aiheutuva riski pienenee jo ennen kuin aloitat tutkinnan. Käytäntötyyppi määrittää käytettävissä olevat toiminnot, mukaan lukien toiminnot, kuten käyttäjän keskeyttäminen tai pyydetyn resurssin käytön estäminen.