Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender for Cloud Apps включает в себя обнаружение скомпрометированных пользователей, внутренние угрозы, кражу данных и действия программ-шантажистов. Служба использует обнаружение аномалий, аналитику поведения пользователей и сущностей (UEBA) и обнаружение действий на основе правил для анализа активности пользователей в подключенных приложениях.
Несанкционированные или непредвиденные изменения в облачной среде могут привести к риску безопасности и эксплуатации. Например, изменения в ключевых корпоративных ресурсах, таких как серверы, на которых работает общедоступный веб-сайт или служба, которые вы предоставляете клиентам, могут быть скомпрометированы.
Defender for Cloud Apps собирает и анализирует данные из нескольких источников для выявления действий приложений и пользователей в организации. Этот анализ дает аналитикам безопасности представление об использовании облака. Собранные данные коррелируются, стандартизированы и обогащены сведениями об угрозах и местоположении, чтобы обеспечить точное и согласованное представление о подозрительных действиях.
Перед настройкой обнаружения настройте следующие источники данных:
| Источник | Описание |
|---|---|
| Журнал действий | Действия из приложений, подключенных к API. |
| Журнал обнаружения | Действия, извлеченные из журнала трафика брандмауэра и прокси-сервера, пересылаемые в Defender for Cloud Apps. Журналы анализируются по каталогу облачных приложений, ранжируются и оцениваются на основе более чем 90 факторов риска. |
| Журнал прокси-сервера | Действия из ваших приложений для управления приложениями условного доступа. |
Настройте следующие политики, задав фильтры и динамические пороговые значения (UEBA) для обучения моделей обнаружения. Кроме того, можно настроить подавления, чтобы уменьшить количество распространенных ложноположительных обнаружений:
- Обнаружение аномалий
- Обнаружение аномалий при обнаружении облачных ресурсов
- Обнаружение действий на основе правил
Узнайте, как настроить обнаружение действий пользователей для выявления истинных компрометации и уменьшения ненужных оповещений, которые возникают в результате большого объема ложноположительных обнаружений.
Этап 1. Настройка диапазонов IP-адресов
- Настройте диапазоны IP-адресов для точной настройки политик обнаружения подозрительных действий пользователей.
Настройка известных IP-адресов помогает алгоритмам машинного обучения определять известные расположения и рассматривать их как часть моделей машинного обучения. Например, добавление диапазона IP-адресов VPN помогает модели правильно классифицировать этот диапазон IP-адресов и автоматически исключить его из обнаружения невозможных поездок, так как расположение VPN не представляет истинное расположение этого пользователя.
Примечание.
Defender for Cloud Apps использует диапазоны IP-адресов во всей службе, а не только для обнаружений. Диапазоны IP-адресов используются в журнале действий, условном доступе и многом другом. Например, определение IP-адресов физических офисов позволяет настроить способ просмотра и изучения журналов и оповещений.
Просмотр оповещений об обнаружении аномалий
Defender for Cloud Apps включает набор оповещений об обнаружении аномалий для выявления различных сценариев безопасности. Они начинают профилировать действия пользователей и создавать оповещения сразу после подключения соответствующих соединителей приложений.
Начните с ознакомления с различными политиками обнаружения. Определите приоритеты основных сценариев, которые, по вашему мнению, наиболее актуальны для вашей организации, и настройте политики соответствующим образом.
Этап 2. Настройка политик обнаружения аномалий
Defender for Cloud Apps включает несколько встроенных политик обнаружения аномалий, которые предварительно настроены для распространенных вариантов использования безопасности. К популярным обнаружениям относятся:
| Обнаружение | Описание |
|---|---|
| Невозможное путешествие | Действия одного и того же пользователя в разных местах в течение периода, который короче ожидаемого времени перемещения между этими двумя расположениями. |
| Активность из необычной страны | Активность из местоположения, которое пользователь давно не посещал или не посещал никогда. |
| Обнаружение вредоносных программ | Сканирует файлы в облачных приложениях и запускает подозрительные файлы с помощью подсистемы аналитики угроз Майкрософт, чтобы проверка, связаны ли они с известными вредоносными программами. |
| Действие программ-шантажистов | Файлы, загружаемые в облако, которые могут быть заражены программой-вымогателем. |
| Действия с подозрительных IP-адресов | Действия с IP-адреса, который Microsoft Threat Intelligence определил как рискованные. |
| Подозрительная пересылка папки "Входящие" | Обнаруживает подозрительные правила пересылки входящих сообщений, установленные для почтового ящика пользователя. |
| Необычные действия по скачиванию нескольких файлов | Обнаруживает несколько случаев скачивания файлов в рамках одного сеанса по сравнению с изученным базовым уровнем, что может указывать на попытку компрометации. |
| Необычные административные действия | Обнаруживает несколько административных действий в одном сеансе в отношении полученного базового плана, что может указывать на попытку взлома. |
Примечание.
Некоторые обнаружения аномалий сосредоточены на обнаружении проблемных сценариев безопасности, в то время как другие помогают выявлять и исследовать аномальное поведение пользователей, которое не обязательно может указывать на компрометацию. Для таких обнаружений можно использовать Behaviors, доступный в возможностях расширенного поиска Microsoft Defender.
Область применения политик для определенных пользователей или групп
Определение политик для конкретных пользователей помогает снизить уровень шума от оповещений, которые не относятся к вашей организации. Каждую политику можно настроить для включения или исключения определенных пользователей и групп, например в следующих примерах:
-
Имитация атак
Многие организации используют пользователя или группу для постоянного моделирования атак. Постоянное получение оповещений от действий этих пользователей создает ненужный шум. Настройте политики, чтобы исключить этих пользователей или группы. Это действие помогает моделям машинного обучения идентифицировать этих пользователей и точно настраивать их динамические пороговые значения. -
Целевые обнаружения
Возможно, вам стоит проанализировать определённую группу VIP-пользователей, например членов группы администраторов или директоров по клиентскому опыту (CXO). В этом случае создайте политику для действий, которые вы хотите обнаружить, и включите в нее только интересующий вас набор пользователей или групп.
-
Имитация атак
Настройка обнаружения аномальных входов
Оповещения, возникающие в результате неудачных действий входа, могут указывать на то, что кто-то пытается нацелиться на одну или несколько учетных записей пользователей.
Скомпрометированные учетные данные являются распространенной причиной перехода на учетную запись и несанкционированных действий. Невозможные поездки, действия с подозрительных IP-адресов и редкие оповещения об обнаружении страны или региона помогают обнаруживать действия, предполагающие, что учетная запись потенциально скомпрометирована.
Настройка чувствительности невозможного перемещенияНастройте ползунок чувствительности , который определяет уровень подавления, применяемый к аномальному поведению, перед запуском предупреждения о невозможности перемещения. Организациям, заинтересованным в высокой точности, следует рассмотреть вопрос о повышении уровня конфиденциальности. Если в вашей организации много пользователей, которые часто путешествуют, рассмотрите возможность снизить уровень чувствительности, чтобы подавить действия из привычных местоположений пользователя, определённых на основе предыдущих действий. Вы можете выбрать один из следующих уровней конфиденциальности:
- Низкий уровень: подавление системы, клиента и пользователей
- Средний уровень: подавление системы и пользователей
- Высокий: только подавление системы
Где:
Тип подавления Описание Система Встроенные обнаружения, которые всегда подавляются. Тенант Часто выполняемые действия на основе предыдущих действий в организации. Например, подавление активности интернет-провайдера, о котором ранее поступало оповещение в вашей организации. Пользователь Распространенные действия на основе предыдущей активности конкретного пользователя. Например, подавление активности в местоположении, которое пользователь обычно использует.
Этап 3. Настройка политик обнаружения аномалий в облаке
Вы можете настроить несколько встроенных политик обнаружения аномалий в облаке или создать собственные политики, чтобы определить другие сценарии, которые стоит изучить. Эти политики используют журналы обнаружения облака с возможностями настройки , ориентированными на аномальное поведение приложения и кражу данных.
Настройка мониторинга использования
Задайте фильтры использования для управления областью действия и периодом активности при обнаружении аномального поведения. Например, получать оповещения об аномальных действиях от сотрудников исполнительного уровня.
Настройка чувствительности оповещений
Чтобы уменьшить количество ненужных оповещений, настройте чувствительность оповещений. Используйте ползунок конфиденциальности для управления количеством оповещений с высоким риском, отправляемых на 1000 пользователей в неделю. При более высокой чувствительности меньшее отклонение считается аномалией и приводит к генерации большего числа оповещений. Как правило, установите низкую чувствительность для пользователей, у которых нет доступа к конфиденциальным данным.
Этап 4. Настройка политик обнаружения (действий) на основе правил
Политики обнаружения на основе правил дополняют политики обнаружения аномалий требованиями организации. Создайте политики на основе правил с помощью одного из шаблонов политики действий.
Если ваша организация не имеет присутствия в определенной стране или регионе, создайте политику, которая обнаруживает аномальные действия из этого расположения. Для организаций с крупными филиалами в этой стране или регионе такие действия являются нормальными, и обнаружить такие действия не имеет смысла.
- Перейдите в раздел Политики>Шаблоны политик и задайте для фильтра Типзначение Политика действий. Настройте фильтры действий для обнаружения поведения, которое не является нормальным для вашей среды.
-
Настройте громкость активности
Выберите объем действий, необходимых до того, как обнаружение вызовет оповещение. Если ваша организация не имеет присутствия в стране или регионе, даже одно действие имеет большое значение и требует оповещения. Единичный сбой входа может быть результатом человеческой ошибки и представляет интерес только в том случае, если за короткий промежуток времени происходит много таких сбоев. -
Настройка фильтров действий
Задайте фильтры, необходимые для определения типа действий, о которых вы хотите оповещать. Например, чтобы обнаружить действия из страны или региона, используйте параметр Location . -
Настройка оповещений
Чтобы уменьшить количество ненужных оповещений, установите ограничение на ежедневное количество оповещений.
Этап 5. Настройка оповещений
Примечание.
15 декабря 2022 г. корпорация Майкрософт не рекомендует использовать функцию оповещений и SMS (текстовые сообщения). Если вы хотите получать текстовые оповещения, используйте Microsoft Power Automate для автоматизации пользовательских оповещений. Дополнительные сведения см. в статье Интеграция с Microsoft Power Automate для автоматизации пользовательских оповещений.
Чтобы получать немедленное оповещение в любое время суток, выберите получение их по электронной почте.
Вам также может потребоваться возможность анализа оповещений в контексте других оповещений, активированных другими продуктами в вашей организации. Этот анализ дает целостное представление о потенциальной угрозе. Например, может потребоваться сопоставить события в облаке и локальной среде, чтобы узнать, есть ли другие доказательства, подтверждающие атаку.
Вы можете использовать Microsoft Power Automate для активации пользовательской автоматизации оповещений. При активации оповещения можно:
- Настроить плейбук
- Создание проблемы в ServiceNow
- Отправка сообщения электронной почты об утверждении для запуска настраиваемого действия управления при активации оповещения
Для настройки оповещений используйте следующие рекомендации.
-
Электронная почта
Выберите этот параметр для получения оповещений по электронной почте. -
SIEM
Существует несколько вариантов интеграции SIEM, включая Microsoft Sentinel, Microsoft Graph API безопасности и другие универсальные SIEM. Выберите интеграцию, которая лучше всего соответствует вашим требованиям. -
Автоматизация с Power Automate
Создайте необходимые сценарии автоматизации и назначьте действие Power Automate в качестве оповещения политики.
Этап 6. Исследование и исправление
Чтобы оптимизировать защиту, настройте автоматические действия по исправлению, чтобы свести к минимуму риск для вашей организации. Политики позволяют применять действия по управлению с оповещениями, чтобы снизить риск для вашей организации еще до начала исследования. Тип политики определяет доступные действия, включая такие действия, как приостановка пользователя или блокировка доступа к запрошенным ресурсам.