共用方式為

教學課程:使用 UEBA) (行為分析偵測可疑使用者活動

Microsoft Defender for Cloud Apps 針對遭入侵的使用者、內部威脅、外洩、勒索軟體等,提供跨攻擊殺傷鏈結的最佳偵測。 我們的全面解決方案是透過結合多種偵測方法來實現的,包括異常、行為分析 (UEBA) ,以及基於規則的活動偵測,以提供使用者如何在您的環境中使用應用程式的廣泛視圖。

那麼為什麼檢測可疑行為很重要呢? 能夠改變您的雲端環境的使用者的影響可能很大,並直接影響您經營業務的能力。 例如,關鍵的公司資源(例如執行公用網站或您提供給客戶的服務的伺服器)可能會遭到入侵。

Defender for Cloud Apps 會使用從數個來源擷取的資料來分析資料,以擷取組織中的應用程式和使用者活動,讓您的安全性分析師能夠查看雲端使用情況。 收集的資料經過關聯、標準化,並透過威脅情報、位置和許多其他詳細資訊進行豐富,以提供可疑活動的準確、一致的視圖。

因此,若要充分發揮這些偵測的優點,請先確定您設定下列來源:

接下來,您想要調整原則。 下列原則可以透過設定篩選、動態臨界值 (UEBA) 來微調,以協助定型其偵測模型,以及隱藏以減少常見的誤判偵測:

  • 異常偵測
  • 雲端探索異常偵測
  • 以規則為基礎的活動偵測

在本教學課程中,您將瞭解如何調整使用者活動偵測,以識別真正的入侵,並減少因處理大量誤判偵測而產生的警示疲勞:

階段 1:設定 IP 位址範圍

在設定個別原則之前,建議先設定 IP 範圍,以便可用來微調任何類型的可疑使用者活動偵測原則。

由於 IP 位址資訊對於幾乎所有調查都至關重要,因此 設定已知 IP 位址 有助於我們的機器學習演算法識別已知位置並將其視為機器學習模型的一部分。 例如,新增 VPN 的 IP 位址範圍有助於模型正確分類此 IP 範圍,並自動將其排除在不可能的旅行偵測中,因為 VPN 位置不代表該使用者的真實位置。

注意事項

設定的 IP 範圍不限於偵測,而且會在整個 Defender for Cloud Apps 的活動記錄、條件式存取等區域中使用。設定範圍時,請記住這一點。 因此,例如,識別您的實體辦公室 IP 位址可讓您自訂記錄和警示的顯示和調查方式。

檢閱現成可用的異常偵測警示

Defender for Cloud Apps 包含一組異常偵測警示,以識別不同的安全性案例。 這些偵測會立即啟用,並會在連接相關 應用程式連接器 後立即開始分析使用者活動並產生警示。

首先,熟悉 不同的偵測原則,排定您認為與組織最相關的主要案例的優先順序,並據此調整原則。

階段 2:調整異常偵測原則

Defender for Cloud Apps 中提供了數個內建的異常偵測原則,這些原則已針對常見的安全性使用案例預先設定。 您應該花一些時間熟悉更常用的偵測,例如:

  • 不可能的移動
    同一使用者在不同位置的活動,在短於兩個位置之間的預期旅行時間的期間內。
  • 來自不常使用國家/地區的活動。
    來自使用者最近未造訪或從未造訪過的位置的活動。
  • 惡意程式碼偵測
    掃描雲端應用程式中的檔案,並透過 Microsoft 的威脅情報引擎執行可疑的檔案,以判斷它們是否與已知的惡意程式碼相關聯。
  • 勒索軟體活動
    檔案上傳到可能感染勒索軟體的雲端。
  • 來自可疑 IP 位址的活動
    來自 Microsoft 威脅情報識別為有風險的 IP 位址的活動。
  • 可疑收件匣轉寄
    偵測使用者收件匣上設定的可疑收件匣轉寄規則。
  • 異常的多個檔案下載活動
    依照學習的基準偵測單一工作階段中的多個檔案下載活動,這可能表示已嘗試的入侵。
  • 異常的行政活動
    依照學習的基準偵測單一工作階段中的多個系統管理活動,這可能表示已嘗試的入侵。

如需偵測及其作用的完整清單,請參閱 異常偵測原則

注意事項

雖然某些異常偵測主要著重於偵測有問題的安全案例,但其他異常偵測則可以協助識別和調查可能不一定表示入侵的異常使用者行為。 針對這類偵測,我們建立了另一種稱為 「行為」 的數據類型,可在 Microsoft Defender 全面偵測回應 進階搜捕體驗中使用。 如需詳細資訊,請參閱 行為

熟悉原則之後,您應該考慮如何針對組織的特定需求微調原則,以更妥善地鎖定您可能想要進一步調查的活動。

  1. 將原則範圍限定為特定使用者或群組

    將原則範圍限定為特定使用者,有助於減少與組織無關之警示的雜訊。 每個原則都可以 設定為包含或排除特定使用者和群組,例如下列範例:

    • 攻擊模擬
      許多組織使用使用者或群組來不斷模擬攻擊。 顯然,不斷接收來自這些用戶活動的警報是沒有意義的。 因此,您可以設定原則以排除這些使用者或群組。 這也有助於機器學習模型識別這些使用者,並據此微調其動態閾值。
    • 目標偵測
      您的組織可能有興趣調查特定的 VIP 使用者群組,例如管理員或 CXO 群組的成員。 在此案例中,您可以為要偵測的活動建立原則,並選擇只包含您感興趣的使用者或群組集。

  2. 調整異常登入偵測

    某些組織想要看到 登入活動失敗 所產生的警示,因為它們可能表示有人嘗試以一或多個使用者帳戶為目標。 另一方面,對用戶帳戶的暴力攻擊在雲中一直發生,組織無法阻止它們。 因此,較大的組織通常會決定只接收可疑登入活動的警示,以導致成功登入活動,因為它們可能代表真正的入侵。

    身分盜竊是入侵的主要來源,並為您的組織構成主要威脅媒介。 我們 不可能的旅行來自可疑 IP 位址的活動以及 不常見的國家/地區 偵測警示可協助您發現顯示帳戶可能遭到入侵的活動。

  3. 調整不可能旅行的敏感度設定敏感度滑桿,以決定在觸發不可能旅行警示之前套用至異常行為的抑制層級。 例如,對高保真度感興趣的組織應考慮提高靈敏度級別。 另一方面,如果您的組織有許多出差的使用者,請考慮降低敏感度層級,以隱藏從先前活動中學到的使用者一般位置的活動。 您可以從以下靈敏度級別中進行選擇:

    • 低:系統、租用戶和使用者隱藏
    • 媒介:系統和使用者隱藏
    • :僅系統抑制

    其中:

    抑制類型 描述
    系統 一律抑制的內建偵測。
    租用戶 根據租用戶中先前活動的一般活動。 例如,禁止來自組織中先前發出警示的 ISP 的活動。
    使用者 根據特定使用者先前活動的一般活動。 例如,隱藏使用者常用位置的活動。

階段 3:調整雲端探索異常偵測原則

就像異常偵測原則一樣,有數個內建的 雲端探索異常偵測原則 可供微調。 例如,當資料外流至未核准的應用程式時,[資料外流至未核准的應用程式] 原則會警示您,並預先設定了根據 Microsoft 在安全性欄位的經驗的設定。

不過,您可以微調內建原則或建立自己的原則,以協助您識別您可能有興趣調查的其他案例。 由於這些原則是以雲端探索記錄為基礎,因此它們具有不同的 微調功能 ,更著重於異常應用程式行為和資料外流。

  1. 調整使用量監視
    設定使用篩選器,以控制偵測異常行為的基準、範圍和活動期間。 例如,您可能想要接收與高階主管層級員工相關的異常活動警示。

  2. 調整警示敏感度
    若要防止警示疲勞,請設定警示的敏感度。 您可以使用敏感度滑桿來控制每週每 1,000 位使用者傳送的高風險警示數目。 較高的敏感度需要較少的變異數才能被視為異常並產生更多警示。 一般而言,請為無法存取機密資料的使用者設定低敏感度。

階段 4:調整規則型偵測 (活動) 原則

以規則為基礎的偵測原則 可讓您根據組織特定的需求來補充異常偵測原則。 我們建議使用其中一個活動原則範本建立規則型政策, (移至控制範本 (Control> Templates) 並將 [類型篩選條件] 設定為 [活動原則) ,然後將其設定為偵測不正常的行為。 例如,對於某些在特定國家/地區沒有任何存在的組織,建立原則來偵測來自該國家/地區的異常活動並發出警示可能是有意義的。 對於在該國家/地區擁有大型分支機構的其他人,來自該國家/地區的活動是正常的,而且偵測這類活動沒有意義。

  1. 調整活動量
    選擇偵測引發警示之前所需的活動量。 使用我們的國家/地區範例,如果您在某個國家/地區沒有存在,即使是單一活動也很重要,需要發出警示。 不過,單一登入失敗可能是人為錯誤,只有在短時間內發生許多失敗時才感興趣。
  2. 調整 活動篩選器
    設定您需要的篩選器,以偵測您要發出警示的活動類型。 例如,若要偵測來自國家/地區的活動,請使用 [位置] 參數。
  3. 調整警示
    為防止警報疲勞,請設置 每日警報限制

階段 5:設定警示

注意事項

自 2022 年 12 月 15 日起,警示/簡訊 (簡訊) 已被取代。 如果您想要接收文字警示,您應該使用 Microsoft Power Automate 進行自訂警示自動化。 如需詳細資訊,請參閱與 Microsoft Power Automate 整合以進行自訂警示自動化

您可以選擇以最適合您需求的格式和媒介接收警報。 若要在一天中的任何時間接收即時提醒,您可能更喜歡透過電子郵件接收提醒。

您可能也想要能夠在組織中其他產品所觸發的其他警示的內容中分析警示,以全面檢視潛在威脅。 例如,您可能想要在雲端式事件和內部部署事件之間建立關聯,以查看是否有任何其他緩解證據可以確認攻擊。

此外,您還可以使用我們與 Microsoft Power Automate 的集成來觸發自定義警報自動化。 例如,您可以設定教戰手冊、在 ServiceNow 中自動建立問題,或傳送核准電子郵件,以在觸發警示時執行自訂治理動作。

使用下列準則來設定警示:

  1. 電子郵件
    選擇此選項以透過電子郵件接收警示。
  2. SIEM 的
    有數個 SIEM 整合選項,包括 Microsoft SentinelMicrosoft Graph 安全性 API 和其他一般 SIEM。 選擇最符合您需求的整合。
  3. Power Automate 自動化
    建立您需要的自動化教戰手冊,並將其設定為原則對 Power Automate 動作的警示。

階段 6:調查和補救

太好了,您已經設定了策略並開始接收可疑活動警報。 你該怎麼做? 首先,您應該採取措施調查該活動。 例如,您可能想要查看指出 使用者已遭入侵的活動。

若要優化您的保護,您應該考慮設定自動補救動作,以將組織的風險降到最低。 我們的原則可讓您將 治理動作 結合套用至警示,以便在您開始調查之前降低組織的風險。 可用的動作由原則類型決定,包括暫停使用者或封鎖對所要求資源的存取等動作。

如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證

深入了解

  • Last updated on