Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender for Cloud Apps omvat detecties voor gecompromitteerde gebruikers, interne bedreigingen, gegevensexfiltratie en ransomware-activiteit. De service maakt gebruik van anomaliedetectie, analyse van gebruikers- en entiteitsgedrag (UEBA) en op regels gebaseerde activiteitsdetecties om gebruikersactiviteit in verbonden apps te analyseren.
Niet-geautoriseerde of onverwachte wijzigingen in een cloudomgeving kunnen beveiligings- en operationele risico's met zich meebrengen. Wijzigingen in belangrijke bedrijfsresources, zoals de servers waarop uw openbare website wordt uitgevoerd of de service die u aan klanten levert, kunnen bijvoorbeeld worden aangetast.
Defender for Cloud Apps legt gegevens uit verschillende bronnen vast en analyseert deze om app- en gebruikersactiviteiten in uw organisatie te identificeren. Deze analyse geeft uw beveiligingsanalisten inzicht in het gebruik van de cloud. De verzamelde gegevens worden gecorreleerd, gestandaardiseerd en verrijkt met bedreigingsinformatie en locatiegegevens, om een nauwkeurige, consistente weergave van verdachte activiteiten te bieden.
Voordat u detecties afstemt, configureert u de volgende gegevensbronnen:
| Source | Beschrijving |
|---|---|
| Activiteitenlogboek | Activiteiten van uw api-verbonden apps. |
| Detectielogboek | Activiteiten die zijn geëxtraheerd uit het logboek van firewall- en proxyverkeer dat u doorstuurt naar Defender for Cloud Apps. De logboeken worden geanalyseerd op basis van de cloud-app-catalogus, gerangschikt en beoordeeld op basis van meer dan 90 risicofactoren. |
| Proxylogboek | Activiteiten van uw app voor voorwaardelijke toegang beheren apps. |
Stem het volgende beleid af door filters en dynamische drempelwaarden (UEBA) in te stellen om hun detectiemodellen te trainen. U kunt ook onderdrukkingen instellen om veelvoorkomende fout-positieve detecties te verminderen:
- Anomaliedetectie
- Detectie van anomalie in clouddetectie
- Detectie van activiteit op basis van regels
Meer informatie over het afstemmen van detecties van gebruikersactiviteiten om echte compromissen te identificeren en onnodige waarschuwingen te verminderen die het gevolg zijn van grote hoeveelheden fout-positieve detecties:
Fase 1: IP-adresbereiken configureren
- IP-bereiken instellen om elk type detectiebeleid voor verdachte gebruikersactiviteiten af te stemmen.
Door bekende IP-adressen in te stellen , kunnen machine learning-algoritmen bekende locaties identificeren en deze beschouwen als onderdeel van de machine learning-modellen. Als u bijvoorbeeld het IP-adresbereik van uw VPN toevoegt, kan het model dit IP-bereik correct classificeren en automatisch uitsluiten van onmogelijke reisdetecties omdat de VPN-locatie niet de werkelijke locatie van die gebruiker vertegenwoordigt.
Opmerking
Defender for Cloud Apps gebruikt IP-bereiken in de hele service, niet alleen voor detecties. IP-bereiken worden gebruikt in het activiteitenlogboek, Voorwaardelijke toegang en meer. Als u bijvoorbeeld uw fysieke IP-adressen van uw kantoor identificeert, kunt u de manier aanpassen waarop u logboeken en waarschuwingen bekijkt en onderzoekt.
Waarschuwingen voor anomaliedetectie bekijken
Defender for Cloud Apps bevat een set anomaliedetectiewaarschuwingen om verschillende beveiligingsscenario's te identificeren. Ze gaan gebruikersactiviteiten profileeren en waarschuwingen genereren zodra u de relevante app-connectors verbindt.
Begin door vertrouwd te raken met de verschillende detectiebeleidsregels. Geef prioriteit aan de belangrijkste scenario's die volgens u het meest relevant zijn voor uw organisatie en stem het beleid dienovereenkomstig af.
Fase 2: anomaliedetectiebeleid afstemmen
Defender for Cloud Apps bevat verschillende ingebouwde beleidsregels voor anomaliedetectie die vooraf zijn geconfigureerd voor veelvoorkomende beveiligingsgebruiksscenario's. Populaire detecties zijn onder andere:
| Detectie | Beschrijving |
|---|---|
| Onmogelijk reizen | Activiteiten van dezelfde gebruiker op verschillende locaties binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties. |
| Activiteit uit onregelmatig land | Activiteit vanaf een locatie die niet recent of nooit is bezocht door de gebruiker. |
| Malwaredetectie | Scant bestanden in uw cloud-apps en voert verdachte bestanden uit via de bedreigingsinformatie-engine van Microsoft om te controleren of ze zijn gekoppeld aan bekende malware. |
| Ransomware-activiteit | Bestand wordt geüpload naar de cloud die mogelijk is geïnfecteerd met ransomware. |
| Activiteit van verdachte IP-adressen | Activiteit van een IP-adres dat door Microsoft Threat Intelligence als riskant is geïdentificeerd. |
| Verdacht doorsturen van postvak IN | Detecteert verdachte regels voor het doorsturen van postvak IN die zijn ingesteld op het Postvak IN van een gebruiker. |
| Ongebruikelijke activiteiten voor het downloaden van meerdere bestanden | Detecteert meerdere activiteiten voor het downloaden van bestanden in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk. |
| Ongebruikelijke beheeractiviteiten | Detecteert meerdere beheeractiviteiten in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk. |
Opmerking
Sommige anomaliedetecties zijn gericht op het detecteren van problematische beveiligingsscenario's, terwijl andere helpen bij het identificeren en onderzoeken van afwijkend gebruikersgedrag dat mogelijk niet noodzakelijkerwijs wijst op een inbreuk. Voor dergelijke detecties kunt u Behaviors gebruiken, dat beschikbaar is in de Microsoft Defender XDR geavanceerde opsporingservaring.
Bereikbeleid voor specifieke gebruikers of groepen
Het bereik van beleidsregels voor specifieke gebruikers kan helpen ruis te verminderen van waarschuwingen die niet relevant zijn voor uw organisatie. U kunt elk beleid configureren om specifieke gebruikers en groepen op te nemen of uit te sluiten, zoals in de volgende voorbeelden:
-
Aanvalssimulaties
Veel organisaties gebruiken een gebruiker of een groep om voortdurend aanvallen te simuleren. Het voortdurend ontvangen van waarschuwingen van de activiteiten van deze gebruikers zorgt voor onnodige ruis. Stel uw beleid in om deze gebruikers of groepen uit te sluiten. Met deze actie kunnen machine learning-modellen deze gebruikers identificeren en hun dynamische drempelwaarden verfijnen. -
Gerichte detecties
U kunt een specifieke groep VIP-gebruikers onderzoeken, zoals leden van een beheerder of CXO-groep (Chief Experience Officer). In dit geval maakt u een beleid voor de activiteiten die u wilt detecteren en kiest u ervoor om alleen de set gebruikers of groepen op te nemen waarin u geïnteresseerd bent.
-
Aanvalssimulaties
Afwijkende aanmeldingsdetecties afstemmen
Waarschuwingen die het gevolg zijn van mislukte aanmeldingsactiviteiten , kunnen erop wijzen dat iemand een of meer gebruikersaccounts probeert te targeten.
Gecompromitteerde referenties zijn een veelvoorkomende oorzaak van accountovername en niet-geautoriseerde activiteiten. De onmogelijke reizen, activiteiten van verdachte IP-adressen en onregelmatige land- of regiodetectiewaarschuwingen helpen u bij het detecteren van activiteiten die suggereren dat een account mogelijk is gecompromitteerd.
Gevoeligheid van onmogelijk reizenafstemmenConfigureer de gevoeligheidsschuifregelaar die het niveau van onderdrukkingen bepaalt dat wordt toegepast op afwijkend gedrag voordat een onmogelijke reiswaarschuwing wordt geactiveerd. Organisaties die geïnteresseerd zijn in hoge kwaliteit, moeten overwegen het gevoeligheidsniveau te verhogen. Als uw organisatie veel gebruikers heeft die reizen, kunt u overwegen om het gevoeligheidsniveau te verlagen om activiteiten te onderdrukken van de gemeenschappelijke locaties van een gebruiker die zijn geleerd van eerdere activiteiten. U kunt kiezen uit de volgende gevoeligheidsniveaus:
- Laag: onderdrukkingen van systeem, tenant en gebruikers
- Gemiddeld: Systeem- en gebruikersonderdrukkingen
- Hoog: alleen systeemonderdrukkingen
Waarbij:
Onderdrukkingstype Beschrijving Systeem Ingebouwde detecties die altijd worden onderdrukt. Tenant Algemene activiteiten op basis van eerdere activiteiten in de tenant. Bijvoorbeeld het onderdrukken van activiteiten van een internetprovider die eerder is gewaarschuwd in uw organisatie. Gebruiker Algemene activiteiten op basis van eerdere activiteiten van de specifieke gebruiker. Bijvoorbeeld activiteiten onderdrukken vanaf een locatie die vaak door de gebruiker wordt gebruikt.
Fase 3: Anomaliedetectiebeleid voor clouddetectie afstemmen
U kunt verschillende ingebouwde beleidsregels voor detectie van afwijkingen in de cloud verfijnen of uw eigen beleid maken om andere scenario's te identificeren die het onderzoeken waard zijn. Deze beleidsregels maken gebruik van clouddetectielogboeken, met afstemmingsmogelijkheden die zich richten op afwijkend app-gedrag en gegevensexfiltratie.
Gebruikscontrole afstemmen
Stel de gebruiksfilters in om het bereik en de activiteitsperiode voor het detecteren van afwijkend gedrag te bepalen. Ontvang bijvoorbeeld waarschuwingen voor afwijkende activiteiten van werknemers op leidinggevend niveau.
Gevoeligheid van waarschuwingen afstemmen
Stel de gevoeligheid van waarschuwingen in om onnodige waarschuwingen te verminderen. Gebruik de schuifregelaar gevoeligheid om het aantal waarschuwingen met een hoog risico te bepalen dat per 1000 gebruikers per week wordt verzonden. Hogere gevoeligheden vereisen minder variantie om als een anomalie te worden beschouwd en meer waarschuwingen te genereren. Over het algemeen stelt u een lage gevoeligheid in voor gebruikers die geen toegang hebben tot vertrouwelijke gegevens.
Fase 4: Beleid voor detectie (activiteit) op basis van regels afstemmen
Op regels gebaseerd detectiebeleid vormt een aanvulling op anomaliedetectiebeleid met organisatiespecifieke vereisten. Maak beleidsregels op basis van regels met behulp van een van de beleidssjablonen voor activiteiten.
Als uw organisatie niet aanwezig is in een bepaald land of bepaalde regio, maakt u een beleid waarmee de afwijkende activiteiten vanaf die locatie worden gedetecteerd. Voor organisaties met grote filialen in dat land of die regio zijn dergelijke activiteiten normaal en is het niet zinvol om dergelijke activiteiten te detecteren.
- Ga naarBeleidssjablonen voor beleid> en stel het filter Type in op Activiteitenbeleid. Activiteitenfilters instellen om gedrag te detecteren dat niet normaal is voor uw omgeving.
-
Activiteitsvolume afstemmen
Kies het vereiste activiteitsvolume voordat de detectie een waarschuwing genereert. Als uw organisatie geen aanwezigheid heeft in een land of regio, is zelfs één activiteit significant en is een waarschuwing vereist. Een fout met eenmalige aanmelding kan een menselijke fout zijn en is alleen van belang als er veel fouten zijn in een korte periode. -
Activiteitsfilters afstemmen
Stel de filters in die u nodig hebt om het type activiteit te detecteren waarvoor u wilt waarschuwen. Gebruik bijvoorbeeld de parameter Locatie om activiteiten uit een land of regio te detecteren. -
Waarschuwingen afstemmen
Als u onnodige waarschuwingen wilt verminderen, stelt u de dagelijkse waarschuwingslimiet in.
Fase 5: waarschuwingen configureren
Opmerking
Microsoft heeft de functie Waarschuwingen/sms-berichten (sms-berichten) op 15 december 2022 afgeschaft. Als u tekstwaarschuwingen wilt ontvangen, gebruikt u Microsoft Power Automate voor aangepaste waarschuwingsautomatisering. Zie Integreren met Microsoft Power Automate voor aangepaste waarschuwingsautomatisering voor meer informatie.
Als u op elk moment van de dag direct waarschuwingen wilt ontvangen, kiest u ervoor om ze per e-mail te ontvangen.
Mogelijk wilt u ook waarschuwingen analyseren in de context van andere waarschuwingen die worden geactiveerd door andere producten in uw organisatie. Deze analyse geeft u een holistische weergave van een potentiële bedreiging. U kunt bijvoorbeeld een correlatie tussen cloudgebaseerde en on-premises gebeurtenissen maken om te zien of er ander beperkend bewijs is dat een aanval bevestigt.
U kunt de Microsoft Power Automate gebruiken om aangepaste waarschuwingsautomatisering te activeren. Wanneer een waarschuwing wordt geactiveerd, kunt u het volgende doen:
- Een playbook instellen
- Een probleem maken in ServiceNow
- Een goedkeuringsmail verzenden om een aangepaste governance-actie uit te voeren wanneer een waarschuwing wordt geactiveerd
Gebruik de volgende richtlijnen om uw waarschuwingen te configureren:
-
E-mail
Kies deze optie om waarschuwingen per e-mail te ontvangen. -
SIEM
Er zijn verschillende SIEM-integratieopties, waaronder Microsoft Sentinel, Microsoft Graph beveiligings-API en andere algemene SIEM's. Kies de integratie die het beste aan uw vereisten voldoet. -
Power Automate-automatisering
Maak de automatiserings-playbooks die u nodig hebt en stel deze in als waarschuwing van het beleid voor Power Automate-actie.
Fase 6: Onderzoeken en herstellen
Als u uw beveiliging wilt optimaliseren, stelt u automatische herstelacties in om het risico voor uw organisatie te minimaliseren. Met het beleid kunt u governanceacties toepassen met de waarschuwingen, zodat het risico voor uw organisatie wordt verminderd voordat u begint met onderzoeken. Het beleidstype bepaalt de beschikbare acties, inclusief acties zoals het onderbreken van een gebruiker of het blokkeren van de toegang tot de aangevraagde resource.