Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Defender for Cloud Apps inkluderer oppdagelser for kompromitterte brukere, insidertrusler, dataeksfiltrering og løsepengevirusaktivitet. Tjenesten bruker avviksregistrering, analyse av bruker- og enhetsvirkemåte (UEBA) og regelbaserte aktivitetsgjenkjenninger for å analysere brukeraktivitet på tvers av tilkoblede apper.
Uautoriserte eller uventede endringer i et skymiljø kan føre til sikkerhets- og driftsrisiko. Endringer i viktige firmaressurser som for eksempel servere som kjører det offentlige nettstedet eller den offentlige tjenesten som du tilbyr kunder, kan bli kompromittert.
Defender for Cloud Apps registrerer og analyserer data fra flere kilder for å identifisere app- og brukeraktiviteter i organisasjonen. Denne analysen gir sikkerhetsanalytikerne dine innsyn i skybruk. De innsamlede dataene er korrelert, standardisert og beriket med detaljer om trusselintelligens og plassering, for å gi et nøyaktig, konsekvent syn på mistenkelige aktiviteter.
Konfigurer følgende datakilder før gjenkjenning av justeringer:
| Kilde | Beskrivelse |
|---|---|
| Aktivitetslogg | Aktiviteter fra API-tilkoblede apper. |
| Søkelogg | Aktiviteter som er trukket ut fra brannmuren og proxy-trafikkloggen som du videresender til Defender for Cloud Apps. Loggene analyseres mot katalogen til skyappen, rangeres og poengsums basert på mer enn 90 risikofaktorer. |
| Proxy-logg | Aktiviteter fra appkontrollappene for betinget tilgang. |
Finjuster følgende policyer ved å angi filtre og dynamiske terskler (UEBA) for å lære opp gjenkjenningsmodellene. Du kan også angi undertrykkelser for å redusere vanlige falske positive gjenkjenninger:
- Avviksregistrering
- Avviksregistrering i skyen
- Regelbasert aktivitetsgjenkjenning
Lær hvordan du justerer brukeraktivitetsregistreringer for å identifisere sanne kompromisser og redusere unødvendige varsler som kommer fra store mengder falske positive gjenkjenninger:
Fase 1: Konfigurere IP-adresseområder
- Konfigurer IP-områder for å finjustere alle typer mistenkelige policyer for gjenkjenning av brukeraktivitet.
Ved å konfigurere kjente IP-adresser kan maskinlæringsalgoritmer identifisere kjente plasseringer og vurdere dem som en del av maskinlæringsmodellene. Hvis du for eksempel legger til IP-adresseområdet til VPN-et, bidrar modellen til å klassifisere dette IP-området på riktig måte og automatisk utelate det fra umulige reiseregistreringer, fordi VPN-plasseringen ikke representerer den sanne plasseringen til denne brukeren.
Obs!
Defender for Cloud Apps bruker IP-områder på tvers av tjenesten, ikke bare for gjenkjenninger. IP-områder brukes i aktivitetsloggen, betinget tilgang og mer. Hvis du for eksempel identifiserer de fysiske OFFICE IP-adressene, kan du tilpasse måten du viser og undersøker logger og varsler på.
Se gjennom varsler for avviksregistrering
Defender for Cloud Apps inneholder et sett med varsler om avviksregistrering for å identifisere ulike sikkerhetsscenarioer. De begynner å profilere brukeraktivitet og genererer varsler så snart du kobler til de relevante appkoblingene.
Begynn med å gjøre deg kjent med de ulike gjenkjenningspolicyene. Prioriter de viktigste scenariene du tror er mest relevante for organisasjonen, og juster policyene tilsvarende.
Fase 2: Justere policyer for avviksregistrering
Defender for Cloud Apps inneholder flere innebygde policyer for avviksregistrering som er forhåndskonfigurert for vanlige tilfeller av sikkerhetsbruk. Populære oppdagelser inkluderer:
| Oppdagelsen | Beskrivelse |
|---|---|
| Umulig reise | Aktiviteter fra samme bruker på forskjellige steder innenfor en periode som er kortere enn forventet reisetid mellom de to plasseringene. |
| Aktivitet fra sjeldent land | Aktivitet fra en plassering som ikke nylig eller aldri ble besøkt av brukeren. |
| Gjenkjenning av skadelig programvare | Skanner filer i skyappene dine og kjører mistenkelige filer gjennom Microsofts trusseletterretningsmotor for å kontrollere om de er knyttet til kjent skadelig programvare. |
| Løsepengevirusaktivitet | Filopplastinger til skyen som kan være infisert med løsepengevirus. |
| Aktivitet fra mistenkelige IP-adresser | Aktivitet fra en IP-adresse som Microsoft Trusselintelligens identifiserte som risikabelt. |
| Mistenkelig videresending av innboks | Oppdager mistenkelige innboks-videresendingsregler som er angitt i en brukers innboks. |
| Uvanlige nedlastingsaktiviteter for flere filer | Oppdager flere filnedlastingsaktiviteter i én enkelt økt med hensyn til den opprinnelige planen, noe som kan indikere et forsøk på brudd. |
| Uvanlige administrative aktiviteter | Oppdager flere administrative aktiviteter i én enkelt økt med hensyn til den opprinnelige planen som kan indikere et forsøk på brudd. |
Obs!
Noen avviksregistreringer fokuserer på å oppdage problematiske sikkerhetsscenarioer, mens andre bidrar til å identifisere og undersøke uregelmessig brukeratferd som kanskje ikke nødvendigvis indikerer et kompromiss. For slike oppdagelser kan du bruke Virkemåter som er tilgjengelig i Microsoft Defender XDR avansert jaktopplevelse.
Omfangspolicyer for bestemte brukere eller grupper
Omfang av policyer til bestemte brukere kan bidra til å redusere støy fra varsler som ikke er relevante for organisasjonen. Du kan konfigurere hver policy til å inkludere eller ekskludere bestemte brukere og grupper, for eksempel i følgende eksempler:
-
Angrepssimuleringer
Mange organisasjoner bruker en bruker eller en gruppe til å simulere angrep hele tiden. Stadig mottak av varsler fra disse brukernes aktiviteter skaper unødvendig støy. Konfigurer policyene til å utelate disse brukerne eller gruppene. Denne handlingen hjelper maskinlæringsmodeller med å identifisere disse brukerne og finjustere dynamiske terskler. -
Målrettede gjenkjenninger
Det kan være lurt å undersøke en bestemt gruppe VIP-brukere, for eksempel medlemmer av en administrator eller CXO-gruppe (Chief Experience Officer). I dette tilfellet kan du opprette en policy for aktivitetene du vil oppdage, og velge å bare inkludere settet med brukere eller grupper du er interessert i.
-
Angrepssimuleringer
Justere uregelmessige påloggingsregistreringer
Varsler som er et resultat av mislykkede påloggingsaktiviteter , kan indikere at noen prøver å målrette mot én eller flere brukerkontoer.
Kompromittert legitimasjon er en vanlig årsak til kontoovertakelse og uautorisert aktivitet. Den umulige reisen, aktiviteten fra mistenkelige IP-adresser og sjeldne varsler om land- eller områdegjenkjenning hjelper deg med å oppdage aktiviteter som tyder på at en konto potensielt er kompromittert.
Juster følsomheten for umulig reiseKonfigurer glidebryteren for følsomhet som bestemmer nivået av undertrykkelser som brukes på avvikende virkemåte før det utløses et umulig reisevarsel. Organisasjoner som er interessert i nøyaktig gjengivelse, bør vurdere å øke følsomhetsnivået. Hvis organisasjonen har mange brukere som reiser, bør du vurdere å senke følsomhetsnivået for å undertrykke aktiviteter fra en brukers vanlige plasseringer som er lært fra tidligere aktiviteter. Du kan velge blant følgende følsomhetsnivåer:
- Lav: System-, leier- og brukerundertrykkelser
- Middels: System- og brukerundertrykkelser
- Høy: Bare systemundertrykkelser
Hvor:
Undertrykkingstype Beskrivelse System Innebygde gjenkjenninger som alltid undertrykkes. Leier Vanlige aktiviteter basert på tidligere aktivitet i leieren. Du kan for eksempel undertrykke aktiviteter fra en Internett-bruker som tidligere har blitt varslet om i organisasjonen. Bruker Vanlige aktiviteter basert på tidligere aktivitet for den bestemte brukeren. Du kan for eksempel undertrykke aktiviteter fra en plassering som brukes ofte av brukeren.
Fase 3: Justere policyer for avviksregistrering i skyen
Du kan finjustere flere innebygde policyer for avviksregistrering i skyen eller opprette dine egne policyer for å identifisere andre scenarioer som er verdt å undersøke. Disse policyene bruker skysøklogger, med justeringsfunksjoner som fokuserer på uregelmessig appvirkemåte og datautfiltrering.
Juster bruksovervåking
Angi bruksfiltrene for å kontrollere omfanget og aktivitetsperioden for å oppdage uregelmessig virkemåte. Du kan for eksempel motta varsler om uregelmessige aktiviteter fra ansatte på ledernivå.
Stille inn varslingsfølsomhet
Hvis du vil redusere unødvendige varsler, konfigurerer du følsomheten til varsler. Bruk glidebryteren for følsomhet til å kontrollere antall varsler med høy risiko som sendes per 1000 brukere per uke. Høyere følsomhet krever mindre varians for å bli vurdert som et avvik og generere flere varsler. Generelt sett kan du angi lav følsomhet for brukere som ikke har tilgang til konfidensielle data.
Fase 4: Justere regelbaserte gjenkjenningspolicyer (aktivitetspolicyer)
Regelbaserte gjenkjenningspolicyer utfyller policyer for avviksregistrering med organisasjonsspesifikke krav. Opprett regelbaserte policyer ved hjelp av én av aktivitetspolicymalene.
Hvis organisasjonen ikke har noen tilstedeværelse i et bestemt land eller område, kan du opprette en policy som oppdager avvikende aktiviteter fra denne plasseringen. For organisasjoner med store grener i landet eller området er slike aktiviteter normale, og det er ikke fornuftig å oppdage slike aktiviteter.
- Gå tilpolicypolicymaler>, og angi typefilteret til aktivitetspolicy. Konfigurer aktivitetsfiltre for å oppdage virkemåter som ikke er normale for miljøet ditt.
-
Justere aktivitetsvolum
Velg aktivitetsvolumet som kreves før gjenkjenningen utløser et varsel. Hvis organisasjonen ikke har noen tilstedeværelse i et land eller område, er selv én enkelt aktivitet viktig og garanterer et varsel. En enkelt påloggingsfeil kan være menneskelig feil og bare av interesse hvis det er mange feil på kort tid. -
Justere aktivitetsfiltre
Angi filtrene du trenger for å finne aktivitetstypen du vil varsle om. Hvis du for eksempel vil oppdage aktivitet fra et land eller område, bruker du plasseringsparameteren. -
Stille inn varsler
Hvis du vil redusere unødvendige varsler, angir du den daglige varslingsgrensen.
Fase 5: Konfigurere varsler
Obs!
Microsoft avskrev funksjonen Varsler/SMS (tekstmeldinger) 15. desember 2022. Hvis du vil motta tekstvarsler, kan du bruke Microsoft Power Automate til egendefinert varslingsautomatisering. Hvis du vil ha mer informasjon, kan du se Integrere med Microsoft Power Automate for egendefinert varslingsautomatisering.
Hvis du vil få umiddelbare varsler når som helst på dagen, velger du å motta dem via e-post.
Du vil kanskje også ha muligheten til å analysere varsler i konteksten til andre varsler som utløses av andre produkter i organisasjonen. Denne analysen gir deg et helhetlig syn på en potensiell trussel. Du vil for eksempel kanskje koordinere mellom skybaserte og lokale hendelser for å se om det finnes andre begrensende bevis som bekrefter et angrep.
Du kan bruke Microsoft Power Automate til å utløse egendefinert varslingsautomatisering. Når et varsel utløses, kan du:
- Konfigurere en strategiplan
- Opprette et problem i ServiceNow
- Sende en godkjennings-e-post for å kjøre en egendefinert styringshandling når et varsel utløses
Bruk følgende retningslinjer for å konfigurere varslene:
-
E-post
Velg dette alternativet for å motta varsler via e-post. -
SIEM
Det finnes flere alternativer for SIEM-integrering, inkludert Microsoft Sentinel, Microsoft Graph Sikkerhets-API og andre generiske SIEMer. Velg integreringen som best oppfyller kravene dine. -
Power Automate-automatisering
Opprett automatiseringsspillebøkene du trenger, og angi den som policyvarselet for Handlingen Power Automate.
Fase 6: Undersøke og utbedre
Hvis du vil optimalisere beskyttelsen, kan du konfigurere automatiske utbedringshandlinger for å minimere risikoen for organisasjonen. Policyene lar deg bruke styringshandlinger med varslene, slik at risikoen for organisasjonen reduseres selv før du begynner å undersøke. Policytypen bestemmer de tilgjengelige handlingene, inkludert handlinger som midlertidig stansing av en bruker eller blokkering av tilgang til den forespurte ressursen.