Microsoft Defender for Cloud Apps異常偵測政策提供開箱即用的使用者與實體行為分析 (UEBA) 與機器學習 (機器學習) ,讓您從一開始就能在雲端環境中執行進階威脅偵測。 由於這些政策是自動啟用的,新的異常偵測政策會立即啟動偵測與彙整結果的過程,針對使用者及連接網路的機器和裝置中發現的多種行為異常。 此外,政策還會揭露更多來自 Defender for Cloud Apps 偵測引擎的資料,幫助你加快調查流程並遏制持續威脅。
異常偵測政策會自動啟用,但 Defender for Cloud Apps 的初始學習期為七天,期間並非所有異常偵測警報都會被觸發。 之後,當你從設定的 API 連接器收集資料時,每個會話會與過去一個月內偵測到的活動、使用者活躍時間、IP 位址、裝置等,以及這些活動的風險分數做比較。 請注意,從 API 連接器取得資料可能需要數小時。 這些偵測是啟發式異常偵測引擎的一部分,該引擎會分析你的環境,並根據從組織活動中學習到的基線觸發警示。 這些偵測還使用機器學習演算法,設計用來分析使用者與登入模式,以減少誤報。
異常現象是透過掃描使用者活動來偵測的。 風險評估方式是檢視超過30個不同的風險指標,依風險因子分類,具體如下:
- 有風險的 IP 位址
- 登入失敗
- 系統管理員活動
- 非使用中的帳戶
- 位置
- 不可能的移動
- 裝置和使用者代理程式
- 活動率
根據政策結果,會觸發安全警示。 Defender for Cloud Apps 會檢視你雲端上的每個使用者會話,並在發生與組織基準或使用者日常活動不符的事件時提醒你。
重要事項
自 2025 年 6 月起,Microsoft Defender for Cloud Apps 開始將異常偵測政策轉換為動態威脅偵測模型。 此模型會自動調整偵測邏輯以適應不斷演變的威脅環境,保持偵測數據的即時性,無需手動設定或政策更新。 作為整體安全性改進的一部分,並為提供更準確及時的警示,數項舊有政策已被停用:
- 來自可疑 IP 位址的活動
- 可疑的收件匣操作規則
- 可疑的電子郵件刪除活動
- 來自匿名 IP 位址的活動
- 可疑收件匣轉寄。
- 對於 OAuth 應用程式來說,這 ISP 很不尋常。
- 使用者 ) (可疑檔案存取活動。
- 勒索軟體活動。
您將持續享有相同標準的保障,且不會中斷現有的安全保障。 你這邊不需要採取任何行動。
異常偵測原則
你可以在 Microsoft Defender 入口網站看到異常偵測政策,透過 Cloud Apps ->Policies ->Policy management。 然後選擇 異常偵測政策 作為政策類型。
以下異常偵測策略可供參考:
不可能的移動
此偵測能識別出兩個使用者活動 (於單一或多個) 會話中,且這些活動源自地理上較遠的地點,時間範圍比使用者從第一個地點移動到第二個地點的時間還短,表示不同使用者正在使用相同的憑證。 這種偵測使用機器學習演算法,忽略明顯導致無法旅行狀況的「誤報」,例如VPN及組織內其他使用者經常使用的地點。 偵測的初始學習期為七天,期間會學習新使用者的活動模式。 不可能旅行偵測能辨識兩個地點間異常且不可能的使用者活動。 這些活動應該足夠異常,足以被視為妥協的指標,並值得警示。 為了讓這個機制運作,偵測邏輯包含不同層級的抑制,以處理可能觸發誤判的情況,例如VPN活動,或雲端服務提供者未標示實體位置的活動。 靈敏度滑桿讓你可以影響演算法,並定義偵測邏輯的嚴格程度。 靈敏度越高,偵測邏輯中抑制的活動就越少。 透過這種方式,您可以根據覆蓋需求和信噪比目標調整偵測方式。
注意事項
- 當旅行兩端的 IP 位址都被視為安全且敏感度滑桿未設為 高時,旅行會被信任,並不會觸發不可能的旅行偵測。 例如,如果雙方都被 標記為企業,則被視為安全。 然而,如果只有旅行一側的 IP 位址被視為安全,偵測會照常觸發。
- 地點是依國家/地區層級計算。 這表示不會因為兩個行動來自同一國家/地區或鄰近國家/地區而發出警報。
來自不常使用國家/地區的活動。
此偵測會考量過去的活動位置,以判斷新的且不常見的位置。 異常偵測引擎儲存使用者先前使用過的地點資訊。 當某項活動發生在使用者最近未曾造訪或未曾造訪的地點時,會觸發警示。 為了減少誤報警報,偵測會抑制使用者共同偏好的連線。
惡意軟體偵測
這項偵測能辨識你雲端儲存中的惡意檔案,無論是來自 Microsoft 應用程式還是第三方應用程式。 Microsoft Defender for Cloud Apps 利用 Microsoft 的威脅情報來辨識某些符合風險的檔案,例如檔案類型與分享等級等啟發式方法,是否與已知惡意軟體攻擊相關,且可能具有惡意。 此內建原則預設為停用。 偵測到惡意檔案後,你就能看到一個 感染檔案清單。 在檔案抽屜中選擇惡意軟體檔名,即可開啟惡意軟體報告,提供該檔案被感染的惡意軟體類型資訊。
利用此偵測功能即時控制檔案上傳與下載,並使用會話政策。
檔案沙盒
透過啟用檔案沙箱,根據其元資料及專有啟發式理論可能有風險的檔案,也能在安全的環境中進行沙盒掃描。 沙盒掃描可能會偵測到根據威脅情報來源未被偵測到的檔案。
Defender for Cloud Apps 支援以下應用程式的「檔案沙盒」惡意軟體偵測:
- Box
- Dropbox
- Google Workspace
注意事項
- 主動沙盒會在第三方應用程式中進行, (Box、 Dropbox 等 ) 。 在 OneDrive 和 SharePoint 中,檔案會被掃描並沙盒化,作為服務本身的一部分。
- 在 Box、Dropbox 和 Google Workspace 中,Defender for Cloud Apps 不會自動封鎖檔案,但可能會根據應用程式的功能及客戶設定來執行封鎖。
- 如果你不確定偵測到的檔案是真正的惡意軟體還是誤判,請前往 Microsoft 安全情報頁面https://www.microsoft.com/wdsi/filesubmission提交檔案以供進一步分析。
來自匿名 IP 位址的活動
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並將 TOR IP 位址與匿名代理活動重新命名為活動。 如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此偵測可識別用戶來自已識別為匿名代理IP的IP位址。 這些代理工具被想要隱藏裝置 IP 位址的人使用,且可能被用於惡意意圖。 此偵測利用機器學習演算法減少「誤報」,例如組織中廣泛使用的錯誤標籤 IP 位址。
勒索軟體活動
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並重新命名為上傳至 {Application} 的勒索軟體支付指令檔案。 如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
Defender for Cloud Apps 擴展了其勒索軟體偵測能力,加入異常偵測,確保對複雜勒索軟體攻擊有更全面的防護。 憑藉我們的安全研究專業知識,識別反映勒索軟體活動的行為模式,Defender for Cloud Apps 確保全面且穩健的防護。 若 Defender for Cloud Apps 偵測到例如檔案上傳率高或檔案刪除行為,可能代表惡意加密程序。 這些資料會被收集在連接 API 的日誌中,然後與學習到的行為模式和威脅情報結合,例如已知的勒索軟體擴充功能。 欲了解更多關於 Defender for Cloud Apps 如何偵測勒索軟體的資訊,請參閱「保護您的組織免受勒索軟體侵害」。
由已終止的使用者執行的活動
這項偵測功能讓您能夠辨識被解僱員工何時仍在您的 SaaS 應用程式上執行操作。 由於數據顯示,內部威脅的最大風險來自於因關係不愉快離職的員工,因此密切關注被解僱員工帳戶的動態非常重要。 有時候,員工離職時,他們的帳戶會被企業應用程式取消配置,但在許多情況下,他們仍保有對某些企業資源的存取權。 這點在考慮特權帳號時更為重要,因為前管理員可能造成的損害本質上更大。 這項偵測利用 Defender for Cloud Apps 監控用戶跨應用程式行為的能力,能辨識使用者的日常活動、帳號是否已被刪除,以及其他應用程式的實際活動。 例如,一名員工的 Microsoft Entra 帳號被刪除,但仍能存取企業 AWS 基礎設施,這有可能造成大規模損害。
偵測會偵測那些帳號在 Microsoft Entra ID 中被刪除,但仍在其他平台如 AWS 或 Salesforce 執行活動的使用者。 這對於使用其他帳號 (非主要單一登入帳) 號來管理資源的使用者尤其重要,因為這些帳號通常不會在使用者離職時被刪除。
來自可疑 IP 位址的活動
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並重新命名為「成功登入」來自可疑 IP 位址,並改名為「活動」來自一個與密碼噴射的關聯 IP 位址。
如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此偵測可識別使用者來自 Microsoft 威脅情報認定為風險的 IP 位址。 這些 IP 位址涉及惡意行為,例如執行密碼噴射、殭屍網路 C&C,並可能顯示帳號已被入侵。 此偵測利用機器學習演算法減少「誤報」,例如組織中廣泛使用的錯誤標籤 IP 位址。
可疑收件匣轉寄
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並更名為第三方應用程式所建立的可疑郵件轉寄規則。
如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此偵測會偵測可疑的郵件轉寄規則,例如使用者建立收件匣規則,將所有郵件副本轉寄至外部地址。
注意事項
Defender for Cloud Apps 只會根據使用者的典型行為,針對被認定為可疑的轉發規則發出警示。
可疑的收件匣操作規則
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用並遷移至新的動態模型。 如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此偵測會分析您的環境,並在使用者收件匣中設定可疑規則刪除或移動訊息或資料夾時觸發警示。 這可能表示使用者帳號遭到入侵,郵件被刻意隱藏,且信箱被用來在組織內散布垃圾郵件或惡意軟體。
可疑郵件刪除活動 (預覽)
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並更名為可疑郵件刪除活動。
如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此政策會分析您的環境,並在使用者在同一次會話中執行可疑郵件刪除行為時觸發警示。 此政策可能表示使用者的信箱可能因潛在攻擊途徑而遭到攻擊,例如透過電子郵件進行指揮與控制通訊(C&C/C2 () )。
注意事項
Defender for Cloud Apps 與 Microsoft Defender 全面偵測回應整合,為 Exchange Online 提供保護,包括 URL 爆炸、惡意軟體防護等。 啟用 Defender for Microsoft 365 後,你會開始在 Defender for Cloud Apps 活動日誌中看到警示。
可疑的 OAuth 應用程式檔案下載活動
掃描連接於您環境中的 OAuth 應用程式,當應用程式以使用者不尋常的方式從 Microsoft SharePoint 或 Microsoft OneDrive 下載多個檔案時,會觸發警示。 這可能表示使用者帳號已被入侵。
OAuth 應用程式中不尋常的 ISP
注意事項
作為持續改進 Defender for Cloud Apps 警示威脅防護功能的一部分,此政策已被停用,遷移至新的動態模型,並重新命名為來自未知 ISP 的 OAuth 應用程式活動。
如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
此政策會分析你的環境,當 OAuth 應用程式連接來自不常見 ISP 的雲端應用程式時,會觸發警示。 此政策可能表示攻擊者試圖利用合法被入侵的應用程式對您的雲端應用程式進行惡意活動。
使用者) (的異常活動
這些偵測可識別執行以下行為的使用者:
- 不尋常的多重檔案下載活動
- 不尋常的檔案分享活動
- 異常檔案刪除活動
- 不尋常的冒充行為
- 特殊行政活動
- 不尋常的 Power BI 報告分享活動 (預覽)
- 預覽 (多重虛擬機建立活動)
- 不尋常的多重儲存刪除活動 (預覽)
- 雲端資源 (預覽) 的特殊區域
注意事項
作為持續改進Defender for Cloud Apps警示威脅防護功能的一部分,標題為「可疑檔案存取活動 (使用者) 」的政策已被停用,並遷移至新的動態模型,並更名為可疑檔案存取,表示來自不信任的 ISP 與帶有惡意 IP 指示的使用者代理的橫向移動及可疑檔案存取。 如果您先前已為此政策設定治理行動或電子郵件通知,您可以隨時在 Microsoft Defender 入口網站>的雲端應用程式>政策管理頁面重新啟用。
這些政策會根據所學到的基準,在單一會話中尋找活動,這可能在入侵嘗試時有所指示。 這些偵測利用機器學習演算法,分析使用者登入模式並減少誤報。 這些偵測是啟發式異常偵測引擎的一部分,該引擎會分析你的環境,並根據從組織活動中學習到的基線觸發警示。
多次失敗的登入嘗試
此偵測能識別在單一會話中多次嘗試登入失敗的用戶,該基準可能顯示是否曾嘗試入侵。
多次刪除 VM 活動
此政策會針對您的環境進行設定,並在使用者在同一會話中刪除多台虛擬機時,相較於組織的基準值觸發警示。 這可能暗示有人試圖入侵。
啟用自動化治理
你可以啟用對異常偵測政策所產生警報的自動修復行動。
- 在政策頁面選擇偵測政策名稱。
- 在開啟的 「編輯異常偵測政策」 視窗中,治理 行動 設定你想要的每個連接應用程式或所有應用程式的修復行動。
- 選取 [更新]。
調整異常偵測政策
要影響異常偵測引擎,依照您的偏好抑制或顯示警報:
在「不可能旅行」政策中,你可以設定靈敏度滑桿,來判斷在觸發警報前所需的異常行為程度。 例如,如果你設定為低或中,它會抑制來自使用者常見位置的「不可能旅行」警報;而設為高,則會顯示這類警報。 你可以從以下靈敏度等級中選擇:
- 低級:系統、租戶及使用者抑制
- 媒介:系統與使用者抑制
- 高:只有系統壓制
其中:
| 抑制類型 | 描述 |
|---|---|
| 系統 | 一律抑制的內建偵測。 |
| 租用戶 | 根據租用戶中先前活動的一般活動。 例如,壓制先前被組織中警示的 ISP 活動。 |
| 使用者 | 根據特定使用者先前活動的一般活動。 例如,從使用者常用的位置抑制活動。 |
注意事項
不可能旅行、來自罕見國家/地區的活動、匿名 IP 位址的活動,以及可疑 IP 位址的活動,對於登入失敗或非互動式登入,警示不會生效。
範圍異常偵測策略
每個異常偵測原則都可以有獨立範圍,因此只會套用到您想要在原則中納入和排除的使用者和群組。 例如,您可以將來自不常使用國家/地區的活動偵測設定為忽略經常移動的特定使用者。
若要設定異常偵測原則的範圍:
在 Microsoft Defender 入口網站,請前往雲端應用程式 ->政策 ->政策管理。 然後選擇 異常偵測政策 作為政策類型。
選取想要設定範圍的原則。
在 範圍中,將下拉選單從預設的 「所有使用者與群組」改為 「特定使用者與群組」。
選擇 包含 以指定此政策將適用的使用者與群組。 未被選中的使用者或群組不會被視為威脅,也不會產生警示。
選擇 「排除 」以指定不適用此政策的使用者。 這裡被選中的用戶不會被視為威脅,也不會產生 警報,即使他們是被納入的群組成員。
分流異常偵測警示
您可以快速分流新異常偵測政策觸發的各種警示,並決定哪些需要優先處理。 要做到這點,你需要有警示的上下文,這樣你才能看到整體情況,並判斷是否真的有惡意事件發生。
在 活動日誌中,你可以開啟一個活動來顯示活動抽屜。 選擇 使用者 以查看使用者洞察標籤。這個分頁包含警報數量、活動數量及其連結來源等資訊,這些資訊在調查中非常重要。
對於被惡意軟體感染的檔案,偵測到檔案後,你可以看到被 感染檔案的清單。 在檔案抽屜中選擇惡意軟體檔名,即可開啟惡意軟體報告,提供該檔案被感染的惡意軟體類型資訊。
Related videos
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單