Tutorial: Erkennen verdächtiger Benutzeraktivitäten mit Verhaltensanalysen (UEBA)

Microsoft Defender for Cloud Apps umfasst Erkennungen für kompromittierte Benutzer, Insider-Bedrohungen, Datenexfiltration und Ransomware-Aktivitäten. Der Dienst verwendet Anomalieerkennung, Benutzer- und Entitätsverhaltensanalyse (UEBA) sowie regelbasierte Aktivitätserkennungen, um Benutzeraktivitäten in verbundenen Apps zu analysieren.

Nicht autorisierte oder unerwartete Änderungen in einer Cloudumgebung können Sicherheits- und Betriebsrisiken mit sich bringen. Beispielsweise können Änderungen an wichtigen Unternehmensressourcen wie den Servern, auf denen Ihre öffentliche Website oder Der Dienst ausgeführt wird, die Sie kundenseitig bereitstellen, kompromittiert werden.

Defender for Cloud Apps erfasst und analysiert Daten aus verschiedenen Quellen, um App- und Benutzeraktivitäten in Ihrem organization zu identifizieren. Diese Analyse bietet Ihren Sicherheitsanalysten Einblick in die Cloudnutzung. Die gesammelten Daten sind korreliert, standardisiert und mit Threat Intelligence- und Standortdetails angereichert, um eine genaue und konsistente Ansicht verdächtiger Aktivitäten zu bieten.

Konfigurieren Sie vor dem Optimieren der Erkennungen die folgenden Datenquellen:

Quelle Beschreibung
Aktivitätsprotokoll Aktivitäten aus Ihren mit der API verbundenen Apps.
Ermittlungsprotokoll Aktivitäten, die aus dem Protokoll des Firewall- und Proxydatenverkehrs extrahiert wurden und an Defender for Cloud Apps weitergeleitet werden. Die Protokolle werden mit dem Cloud-App-Katalog abgeglichen, eingestuft und anhand von mehr als 90 Risikofaktoren bewertet.
Proxyprotokoll Aktivitäten aus Ihren Apps für die App-Steuerung für bedingten Zugriff.

Optimieren Sie die folgenden Richtlinien, indem Sie Filter und dynamische Schwellenwerte (UEBA) festlegen, um ihre Erkennungsmodelle zu trainieren. Sie können auch Unterdrückungen festlegen, um häufige falsch positive Erkennungen zu reduzieren:

  • Anomalieerkennung
  • Cloud Discovery-Anomalieerkennung
  • Regelbasierte Aktivitätserkennung

Erfahren Sie, wie Sie Erkennungen von Benutzeraktivitäten optimieren, um echte Kompromittierungen zu identifizieren und unnötige Warnungen zu reduzieren, die sich aus großen Mengen falsch positiver Erkennungen ergeben:

Phase 1: Konfigurieren von IP-Adressbereichen

  • Richten Sie IP-Adressbereiche ein, um jede Art von Richtlinien zur Erkennung verdächtiger Benutzeraktivitäten zu optimieren.

Durch das Einrichten bekannter IP-Adressen können Machine Learning-Algorithmen bekannte Speicherorte identifizieren und als Teil der Machine Learning-Modelle betrachten. Wenn Sie beispielsweise den IP-Adressbereich Ihres VPN hinzufügen, kann das Modell diesen IP-Adressbereich ordnungsgemäß klassifizieren und automatisch von unmöglichen Reiseerkennungen ausschließen, da der VPN-Standort nicht den tatsächlichen Standort dieses Benutzers darstellt.

Hinweis

Defender for Cloud Apps verwendet IP-Adressbereiche im gesamten Dienst, nicht nur für Erkennungen. IP-Bereiche werden im Aktivitätsprotokoll, im bedingten Zugriff usw. verwendet. Durch die Identifizierung Ihrer physischen Büro-IP-Adressen können Sie beispielsweise die Art und Weise anpassen, wie Sie Protokolle und Warnungen anzeigen und untersuchen.

Überprüfen von Anomalieerkennungswarnungen

Defender for Cloud Apps enthält eine Reihe von Warnungen zur Anomalieerkennung, um verschiedene Sicherheitsszenarien zu identifizieren. Sie beginnen mit der Profilerstellung für Benutzeraktivitäten und generieren Warnungen, sobald Sie die relevanten App-Connectors verbinden.

Machen Sie sich zunächst mit den verschiedenen Erkennungsrichtlinien vertraut. Priorisieren Sie die wichtigsten Szenarien, die Ihrer Meinung nach für Ihre organization am relevantesten sind, und optimieren Sie die Richtlinien entsprechend.

Phase 2: Optimieren von Richtlinien für die Anomalieerkennung

Defender for Cloud Apps enthält mehrere integrierte Richtlinien zur Anomalieerkennung, die für häufige Sicherheitsanwendungsfälle vorkonfiguriert sind. Häufige Erkennungen sind:

Erkennung Beschreibung
Unmögliches Reisen Aktivitäten desselben Benutzers an verschiedenen Orten innerhalb eines Zeitraums, der kürzer ist als die erwartete Reisezeit zwischen den beiden Orten.
Aktivität aus seltenen Ländern Aktivität von einem Ort, der nicht kürzlich oder nie vom Benutzer besucht wurde.
Schadsoftwareerkennung Scannt Dateien in Ihren Cloud-Apps und führt verdächtige Dateien über die Threat Intelligence-Engine von Microsoft aus, um zu überprüfen, ob sie mit bekannter Schadsoftware verknüpft sind.
Ransomware-Aktivität Dateien, die in die Cloud hochgeladen werden, die möglicherweise mit Ransomware infiziert sind.
Aktivität von verdächtigen IP-Adressen Aktivität von einer IP-Adresse, die Von Microsoft Threat Intelligence als riskant identifiziert wurde.
Verdächtige Postfachweiterleitung Entdeckt verdächtige Posteingang-Weiterleitungsregeln im Posteingang eines Benutzers.
Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien Erkennt das Herunterladen mehrerer Dateien innerhalb einer einzelnen Sitzung im Vergleich zur erlernten Baseline, was auf einen versuchten Sicherheitsverstoß hindeuten könnte.
Ungewöhnliche administrative Aktivitäten Entdeckt mehrfache administrative Aktivitäten in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte.

Hinweis

Einige Anomalieerkennungen konzentrieren sich auf die Erkennung problematischer Sicherheitsszenarien, während andere dazu beitragen, anomales Benutzerverhalten zu identifizieren und zu untersuchen, das möglicherweise nicht unbedingt auf eine Gefährdung hindeutet. Für solche Erkennungen können Sie Verhaltensweisen verwenden, die in der Microsoft Defender erweiterten Bedrohungssuche verfügbar sind.

  1. Richtlinien auf bestimmte Benutzer oder Gruppen anwenden

    Das Eingrenzen von Richtlinien auf bestimmte Benutzer kann dazu beitragen, das Rauschen von Warnungen zu reduzieren, die für Ihre organization nicht relevant sind. Sie können jede Richtlinie so konfigurieren, dass bestimmte Benutzer und Gruppen eingeschlossen oder ausgeschlossen werden, z. B. in den folgenden Beispielen:

    • Angriffssimulationen
      Viele Organisationen verwenden einen Benutzer oder eine Gruppe, um Angriffe ständig zu simulieren. Wenn sie ständig Warnungen von den Aktivitäten dieser Benutzer erhalten, entsteht unnötiges Rauschen. Richten Sie Ihre Richtlinien ein, um diese Benutzer oder Gruppen auszuschließen. Diese Aktion hilft Machine Learning-Modellen, diese Benutzer zu identifizieren und ihre dynamischen Schwellenwerte zu optimieren.
    • Gezielte Erkennungen
      Möglicherweise möchten Sie eine bestimmte Gruppe von VIP-Benutzern untersuchen, z. B. Mitglieder eines Administrators oder einer CXO-Gruppe (Chief Experience Officer). Erstellen Sie in diesem Fall eine Richtlinie für die Aktivitäten, die Sie erkennen möchten, und wählen Sie aus, nur die Gruppe von Benutzern oder Gruppen einzuschließen, an denen Sie interessiert sind.
  2. Optimieren von anomalen Anmeldeerkennungen

    Warnungen, die sich aus fehlgeschlagenen Anmeldeaktivitäten ergeben, können darauf hindeuten, dass jemand versucht, ein oder mehrere Benutzerkonten als Ziel zu verwenden.

    Kompromittierte Anmeldeinformationen sind eine häufige Ursache für Kontoübernahmen und nicht autorisierte Aktivitäten. Die Warnungen zu unmöglichen Reisen, Aktivitäten von verdächtigen IP-Adressen und seltenen Landes- oder Regionserkennungen helfen Ihnen, Aktivitäten zu erkennen, die darauf hindeuten, dass ein Konto potenziell kompromittiert ist.

  3. Empfindlichkeit von Impossible Travel anpassenKonfigurieren Sie den Empfindlichkeitsschieberegler, der bestimmt, wie stark anomales Verhalten unterdrückt wird, bevor eine Impossible-Travel-Warnung ausgelöst wird. Organisationen, die an hoher Genauigkeit interessiert sind, sollten erwägen, die Vertraulichkeitsstufe zu erhöhen. Wenn Ihre Organisation viele Benutzer hat, die viel reisen, sollten Sie in Erwägung ziehen, die Empfindlichkeitsstufe zu senken, um Aktivitäten von den häufigen Standorten eines Benutzers zu unterdrücken, die anhand vorheriger Aktivitäten erlernt wurden. Sie können aus den folgenden Vertraulichkeitsstufen wählen:

    • Niedrig: System-, Mandanten- und Benutzerunterdrückungen
    • Mittel: System- und Benutzerunterdrückungen
    • Hoch: Nur systemseitige Unterdrückungen

    Dabei gilt:

    Unterdrückungstyp Beschreibung
    System Integrierte Erkennungen, die immer unterdrückt werden.
    Mandant Häufige Aktivitäten, die auf der früheren Aktivität des Mandanten basieren. Beispielsweise das Unterdrücken von Aktivitäten eines ISP, über den in Ihrer Organisation zuvor bereits eine Warnung ausgegeben wurde.
    Benutzer Häufige Aktivitäten, die auf der früheren Aktivität des bestimmten Benutzers basieren. Beispielsweise das Ausblenden von Aktivitäten von einem Ort, den der Benutzer häufig verwendet.

Phase 3: Optimieren von Richtlinien zur Erkennung von Anomalien für Cloud Discovery

Sie können mehrere integrierte Richtlinien zur Erkennung von Anomalien in der Cloud discovery optimieren oder eigene Richtlinien erstellen, um andere Szenarien zu identifizieren, die es wert sind, untersucht zu werden. Diese Richtlinien verwenden Cloud Discovery-Protokolle mit Optimierungsfunktionen , die sich auf anomales App-Verhalten und Datenexfiltration konzentrieren.

Nutzungsüberwachung anpassen

Legen Sie die Verwendungsfilter fest, um den Umfang und den Aktivitätszeitraum zur Erkennung anomalen Verhaltens zu steuern. Erhalten Sie z. B. Warnungen für anomale Aktivitäten von Mitarbeitern auf Führungsebene.

Optimieren der Warnungsempfindlichkeit

Um unnötige Warnungen zu reduzieren, legen Sie die Empfindlichkeit der Warnungen fest. Verwenden Sie den Empfindlichkeitsregler, um die Anzahl der Warnmeldungen mit hohem Risiko festzulegen, die pro 1.000 Benutzer pro Woche gesendet werden. Höhere Empfindlichkeiten erfordern eine geringere Varianz, um als Anomalie betrachtet zu werden und mehr Warnungen zu generieren. Legen Sie im Allgemeinen eine geringe Vertraulichkeit für Benutzer fest, die keinen Zugriff auf vertrauliche Daten haben.

Phase 4: Optimierung von Richtlinien zur regelbasierten Erkennung (Aktivitäten)

Regelbasierte Erkennungsrichtlinien ergänzen Anomalieerkennungsrichtlinien um organisationsspezifische Anforderungen. Erstellen Sie regelbasierte Richtlinien mithilfe einer der Aktivitätsrichtlinienvorlagen.

Wenn Ihre Organisation in einem bestimmten Land oder einer bestimmten Region nicht vertreten ist, erstellen Sie eine Richtlinie, die anomalische Aktivitäten in diesem Land bzw. dieser Region erkennt. Für Organisationen mit großen Niederlassungen in diesem Land oder dieser Region sind solche Aktivitäten normal, und es ist nicht sinnvoll, solche Aktivitäten zu erkennen.

  1. Wechseln Sie zu Richtlinien>Richtlinienvorlagen, und legen Sie den Filter Typ auf Aktivitätsrichtlinie fest. Richten Sie Aktivitätsfilter ein, um Verhaltensweisen zu erkennen, die für Ihre Umgebung nicht normal sind.
  2. Optimieren des Aktivitätsvolumens
    Wählen Sie das erforderliche Aktivitätsvolumen aus, bevor die Erkennung eine Warnung auslöst. Wenn Ihr organization in einem Land oder einer Region nicht vorhanden ist, ist selbst eine einzelne Aktivität von Bedeutung und erfordert eine Warnung. Ein Fehler bei der einmaligen Anmeldung kann ein menschlicher Fehler sein und nur dann von Interesse sein, wenn innerhalb kurzer Zeit viele Fehler auftreten.
  3. Optimieren von Aktivitätsfiltern
    Legen Sie die Filter fest, die Sie benötigen, um den Typ der Aktivität zu erkennen, für die Sie warnungen möchten. Um beispielsweise Aktivitäten aus einem Land oder einer Region zu erkennen, verwenden Sie den Parameter Location .
  4. Warnungen anpassen
    Um unnötige Warnungen zu reduzieren, legen Sie das tägliche Warnungslimit fest.

Phase 5: Konfigurieren von Warnungen

Hinweis

Microsoft hat die Funktion Warnungen/SMS (Textnachrichten) am 15. Dezember 2022 als veraltet markiert. Wenn Sie Textwarnungen empfangen möchten, verwenden Sie Microsoft Power Automate für die benutzerdefinierte Warnungsautomatisierung. Weitere Informationen finden Sie unter Integrieren mit Microsoft Power Automate für die automatisierung von benutzerdefinierten Warnungen.

Um zu jeder Tageszeit sofortige Benachrichtigungen zu erhalten, wählen Sie aus, diese per E-Mail zu erhalten.

Sie möchten auch die Möglichkeit haben, Warnungen im Kontext anderer Warnungen zu analysieren, die von anderen Produkten in Ihrem organization ausgelöst werden. Diese Analyse bietet Ihnen einen ganzheitlichen Überblick über eine potenzielle Bedrohung. Sie können beispielsweise zwischen cloudbasierten und lokalen Ereignissen korrelieren, um festzustellen, ob es andere mildernde Beweise gibt, die einen Angriff bestätigen.

Sie können die Microsoft Power Automate verwenden, um eine benutzerdefinierte Warnungsautomatisierung auszulösen. Wenn eine Warnung ausgelöst wird, haben Sie folgende Möglichkeiten:

  • Richten Sie ein Playbook ein
  • Erstellen eines Problems in ServiceNow
  • Senden einer Genehmigungs-E-Mail zum Ausführen einer benutzerdefinierten Governanceaktion, wenn eine Warnung ausgelöst wird

Verwenden Sie die folgenden Richtlinien, um Ihre Warnungen zu konfigurieren:

  1. E-Mail
    Wählen Sie diese Option aus, um Benachrichtigungen per E-Mail zu erhalten.
  2. SIEM
    Es gibt mehrere SIEM-Integrationsoptionen, darunter Microsoft Sentinel, Microsoft Graph Sicherheits-API und andere generische SIEMs. Wählen Sie die Integration aus, die Ihren Anforderungen am besten entspricht.
  3. Power Automate-Automatisierung
    Erstellen Sie die benötigten Automatisierungs-Playbooks, und legen Sie sie als Warnung der Richtlinie auf Power Automate-Aktion fest.

Phase 6: Untersuchen und Korrigieren

Um Ihren Schutz zu optimieren, richten Sie automatische Korrekturaktionen ein, um das Risiko für Ihre organization zu minimieren. Mit den Richtlinien können Sie Governanceaktionen mit den Warnungen anwenden, sodass das Risiko für Ihre organization reduziert wird, noch bevor Sie mit der Untersuchung beginnen. Der Richtlinientyp bestimmt die verfügbaren Aktionen, einschließlich Aktionen wie das Anhalten eines Benutzers oder das Blockieren des Zugriffs auf die angeforderte Ressource.