Untersuchen von Anomalieerkennungswarnungen

Microsoft Defender for Cloud Apps bietet Sicherheitserkennungen und Warnungen für schädliche Aktivitäten. Der Zweck dieses Leitfadens ist es, Ihnen allgemeine und praktische Informationen zu jeder Benachrichtigung zu geben, um Sie bei Ihren Untersuchungs- und Behebungsaufgaben zu unterstützen. In diesem Leitfaden eingeschlossen sind allgemeine Informationen über die Bedingungen für das Auslösen von Benachrichtigungen. Es ist jedoch wichtig zu beachten, dass Anomalieerkennungen von Natur aus nicht deterministisch sind, sie nur ausgelöst werden, wenn ein Verhalten vorliegt, das von der Norm abweicht. Schließlich befinden sich einige Warnungen möglicherweise in der Vorschauphase. Lesen Sie daher regelmäßig die offizielle Dokumentation nach aktualisierten Warnungen status.

MITRE ATT&CK

Um die Beziehung zwischen Defender for Cloud Apps Warnungen und der vertrauten MITRE ATT&CK-Matrix zu erläutern und zu vereinfachen, haben wir die Warnungen nach ihrer entsprechenden MITRE ATT&CK-Taktik kategorisiert. Dieser zusätzliche Verweis erleichtert das Verständnis der technikverdächtigen Angriffe, die möglicherweise verwendet wird, wenn eine Defender for Cloud Apps Warnung ausgelöst wird.

Dieser Leitfaden enthält Informationen zum Untersuchen und Beheben von Defender for Cloud Apps Warnungen in den folgenden Kategorien.

Klassifizierungen der Sicherheitsbenachrichtigungen

Nach einer ordnungsgemäßen Untersuchung können alle Defender for Cloud Apps Warnungen als einer der folgenden Aktivitätstypen klassifiziert werden:

• True Positive (TP): Eine Warnung zu einer bestätigten schädlichen Aktivität.
• Gutartige wahr positive (B-TP): Eine Warnung bei verdächtigen, aber nicht schädlichen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
• Falsch positiv (False Positive, FP): Eine Warnung bei einer nicht bösartigen Aktivität.

Allgemeine Untersuchungsschritte

Sie sollten die folgenden allgemeinen Richtlinien verwenden, wenn Sie jede Art von Warnung untersuchen, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlene Aktion anwenden.

• Überprüfen Sie die Bewertung der Untersuchungspriorität des Benutzers, und vergleichen Sie sie mit dem Rest des organization. Auf diese Weise können Sie ermitteln, welche Benutzer in Ihrer organization das größte Risiko darstellen.
• Wenn Sie ein TP identifizieren, überprüfen Sie alle Aktivitäten des Benutzers, um ein Verständnis der Auswirkungen zu erhalten.
• Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren, und untersuchen Sie die Quelle und den Umfang der Auswirkungen. Überprüfen Sie beispielsweise die folgenden Benutzergeräteinformationen, und vergleichen Sie sie mit bekannten Geräteinformationen:
  • Betriebssystem und Version
  • Browser und Version
  • IP-Adresse und Standort

Benachrichtigungen beim Erstzugriff

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, einen ersten Fuß in Ihre organization zu bekommen.

Aktivität von anonymer IP-Adresse

Beschreibung

Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence oder Ihrem organization als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys können verwendet werden, um die IP-Adresse eines Geräts auszublenden, und sie können für schädliche Aktivitäten verwendet werden.

TP, B-TP oder FP?

Diese Erkennung verwendet einen Machine Learning-Algorithmus, der B-TP-Vorfälle reduziert, z. B. falsch markierte IP-Adressen, die von Benutzern im organization häufig verwendet werden.

1. TP: Wenn Sie bestätigen können, dass die Aktivität über eine anonyme oder TOR-IP-Adresse ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. B-TP: Wenn einem Benutzer bekannt ist, dass er anonyme IP-Adressen im Rahmen seiner Aufgaben verwendet. Beispielsweise, wenn ein Sicherheitsanalyst Sicherheits- oder Penetrationstests im Auftrag des organization durchführt.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

• Überprüfen Sie alle Benutzeraktivitäten und Warnungen auf andere Gefährdungsindikatoren. Wenn auf die Warnung beispielsweise eine weitere verdächtige Warnung folgte, z. B. ein ungewöhnlicher Dateidownload (nach Benutzer) oder eine Verdächtige Posteingangsweiterleitungswarnung , deutet dies häufig darauf hin, dass ein Angreifer versucht, Daten zu exfiltrieren.

Aktivität aus seltenem Land / seltener Region

Aktivität aus einem Land/einer Region, die auf schädliche Aktivitäten hinweisen könnte. Diese Richtlinie erstellt ein Profil für Ihre Umgebung und löst Warnungen aus, wenn Aktivitäten von einem Ort erkannt werden, der nicht vor kurzem oder nie von einem Benutzer im organization besucht wurde.

Die Richtlinie kann weiter auf eine Teilmenge von Benutzern festgelegt werden oder Benutzer ausschließen, die bekannt sind, dass sie zu Remotestandorten reisen.

Lernzeit

Das Erkennen anomaler Standorte erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion:

   1. Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und identifizieren Sie den richtigen Zeitpunkt, um das Konto sicher wieder zu aktivieren.
   2. Optional: Erstellen Sie ein Playbook mit Power Automate, um Benutzer zu kontaktieren, die von seltenen Standorten aus eine Verbindung hergestellt haben, und deren Vorgesetzten, um ihre Aktivitäten zu überprüfen.

2. B-TP: Wenn bekannt ist, dass sich ein Benutzer an diesem Speicherort befindet. Beispielsweise, wenn ein Benutzer, der häufig reist und sich derzeit am angegebenen Standort befindet.

   Empfohlene Aktion:

   1. Schließen Sie die Warnung, und ändern Sie die Richtlinie, um den Benutzer auszuschließen.
   2. Erstellen sie eine Benutzergruppe für Vielreisende, importieren Sie die Gruppe in Defender for Cloud Apps, und schließen Sie die Benutzer von dieser Warnung aus.
   3. Optional: Erstellen Sie ein Playbook mit Power Automate, um Benutzer zu kontaktieren, die von seltenen Standorten aus eine Verbindung hergestellt haben, und deren Vorgesetzten, um ihre Aktivitäten zu überprüfen.

Verständnis des Umfangs der Sicherheitsverletzung

• Überprüfen Sie, welche Ressource möglicherweise kompromittiert wurde, z. B. potenzielle Datendownloads.

Aktivität von verdächtigen IP-Adressen

Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence oder Ihrem organization als riskant identifiziert wurde. Diese IP-Adressen wurden als an böswilligen Aktivitäten wie der Durchführung von Kennwortsprays, Botnet-Befehlen und -Steuerungen (C&C) beteiligt und könnten auf ein kompromittiertes Konto hinweisen.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. B-TP: Wenn ein Benutzer bekannt ist, dass er die IP-Adresse im Rahmen seiner Aufgaben verwendet. Beispielsweise, wenn ein Sicherheitsanalyst Sicherheits- oder Penetrationstests im Auftrag des organization durchführt.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll, und suchen Sie nach Aktivitäten von derselben IP-Adresse.
2. Überprüfen Sie, welche Ressource möglicherweise kompromittiert wurde, z. B. potenzielle Datendownloads oder administrative Änderungen.
3. Erstellen Sie eine Gruppe für Sicherheitsanalysten, die diese Warnungen freiwillig auslösen, und schließen Sie sie aus der Richtlinie aus.

Unmögliches Reisen

Aktivität desselben Benutzers an unterschiedlichen Standorten innerhalb eines Zeitraums, der kürzer ist als die erwartete Reisezeit zwischen den beiden Standorten. Dies kann auf eine Verletzung der Anmeldeinformationen hindeuten. Es ist jedoch auch möglich, dass der tatsächliche Standort des Benutzers maskiert wird, z. B. mithilfe eines VPN.

Um die Genauigkeit und Warnung nur zu verbessern, wenn ein starker Hinweis auf eine Sicherheitsverletzung vorliegt, richtet Defender for Cloud Apps eine Baseline für jeden Benutzer im organization ein und warnt nur, wenn das ungewöhnliche Verhalten erkannt wird. Die unmögliche Reiserichtlinie kann auf Ihre Anforderungen abgestimmt werden.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Diese Erkennung verwendet einen Machine Learning-Algorithmus, der offensichtliche B-TP-Bedingungen ignoriert, z. B. wenn die IP-Adressen auf beiden Seiten der Reise als sicher angesehen werden, ist die Reise vertrauenswürdig und von der Auslösung der Erkennung unmöglicher Reisen ausgeschlossen. Beispielsweise gelten beide Seiten als sicher, wenn sie als Unternehmen gekennzeichnet sind. Wenn jedoch die IP-Adresse nur einer Seite der Reise als sicher gilt, wird die Erkennung normal ausgelöst.

1. TP: Wenn Sie bestätigen können, dass der Ort in der Warnung zu unmöglichen Reisen für den Benutzer unwahrscheinlich ist.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Undetected user travel): Wenn Sie bestätigen können, dass der Benutzer kürzlich zu dem in der Warnung beschriebenen Ziel gereist ist. Beispiel: Das Telefon eines Benutzers, das sich im Flugzeugmodus befindet, bleibt mit Diensten wie Exchange Online in Ihrem Unternehmensnetzwerk verbunden, während er an einen anderen Ort reist. Wenn der Benutzer am neuen Standort eintrifft, stellt das Telefon eine Verbindung mit Exchange Online löst die Warnung "Unmögliche Reise" aus.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

3. FP (Untagged VPN): Wenn Sie bestätigen können, dass der IP-Adressbereich von einem sanktionierten VPN stammt.

   Empfohlene Aktion: Schließen Sie die Warnung, fügen Sie den IP-Adressbereich des VPN zu Defender for Cloud Apps hinzu, und verwenden Sie ihn dann, um den IP-Adressbereich des VPN zu markieren.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll, um ein Verständnis für ähnliche Aktivitäten am gleichen Standort und an derselben IP-Adresse zu erhalten.
2. Wenn Sie sehen, dass der Benutzer andere riskante Aktivitäten ausgeführt hat, z. B. das Herunterladen einer großen Menge von Dateien von einem neuen Speicherort, wäre dies ein starker Hinweis auf eine mögliche Kompromittierung.
3. Fügen Sie Unternehmens-VPN- und IP-Adressbereiche hinzu.
4. Erstellen Sie mithilfe von Power Automate ein Playbook, und wenden Sie sich an den Vorgesetzten des Benutzers, um festzustellen, ob der Benutzer rechtmäßig unterwegs ist.
5. Erwägen Sie die Erstellung einer bekannten Traveler-Datenbank für bis zu den minutenlangen Reiseberichten der Organisation, und verwenden Sie sie, um auf Die Reiseaktivitäten zu verweisen.

Irreführender OAuth-App-Name

Diese Erkennung identifiziert Apps mit Zeichen, z. B. Fremdbuchstaben, die lateinischen Buchstaben ähneln. Dies kann auf den Versuch hinweisen, eine schädliche App als bekannte und vertrauenswürdige App zu tarnen, sodass Angreifer Benutzer zum Herunterladen ihrer schädlichen App täuschen können.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die App einen irreführenden Namen hat.

   Empfohlene Aktion: Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährten. Sie können basierend auf Ihrer Untersuchung entscheiden, den Zugriff auf diese App zu verbieten.

Um den Zugriff auf die App zu sperren, wählen Sie auf den Registerkarten Google oder Salesforce auf der Seite App-Governance in der Zeile, in der die zu sperrende App angezeigt wird, das Symbol "Sperren" aus. – Sie können auswählen, ob Sie benutzern mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung informiert Benutzer darüber, dass die App deaktiviert ist und sie keinen Zugriff auf die verbundene App haben. Wenn Sie dies nicht wissen möchten, deaktivieren Sie im Dialogfeld Benutzer benachrichtigen, die Zugriff auf diese gesperrte App gewährt haben . – Es wird empfohlen, die App-Benutzer darüber zu informieren, dass ihre App in Nächster Zeit für die Verwendung gesperrt wird.

1. FP: Wenn Sie bestätigen möchten, dass die App einen irreführenden Namen hat, aber eine legitime geschäftliche Verwendung im organization.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

• Folgen Sie dem Lernprogramm zur Untersuchung riskanter OAuth-Apps.

Irreführender Herausgebername für eine OAuth-App

Diese Erkennung identifiziert Apps mit Zeichen, z. B. Fremdbuchstaben, die lateinischen Buchstaben ähneln. Dies kann auf den Versuch hinweisen, eine schädliche App als bekannte und vertrauenswürdige App zu tarnen, sodass Angreifer Benutzer zum Herunterladen ihrer schädlichen App täuschen können.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die App über einen irreführenden Herausgebernamen verfügt.

   Empfohlene Aktion: Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährten. Sie können basierend auf Ihrer Untersuchung entscheiden, den Zugriff auf diese App zu verbieten.

2. FP: Wenn Sie bestätigen möchten, dass die App einen irreführenden Herausgebernamen hat, aber ein legitimer Herausgeber ist.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Wählen Sie auf den Registerkarten Google oder Salesforce auf der Seite App-Governance die App aus, um die App-Schublade zu öffnen, und wählen Sie dann Verwandte Aktivität aus. Dadurch wird die Seite Aktivitätsprotokoll geöffnet, die nach Aktivitäten gefiltert ist, die von der App ausgeführt werden. Beachten Sie, dass einige Apps Aktivitäten ausführen, die als von einem Benutzer ausgeführt registriert wurden. Diese Aktivitäten werden automatisch aus den Ergebnissen im Aktivitätsprotokoll herausgefiltert. Weitere Informationen zur Verwendung des Aktivitätsprotokolls finden Sie unter Aktivitätsprotokoll.
2. Wenn Sie vermuten, dass eine App verdächtig ist, empfehlen wir Ihnen, den Namen und Herausgeber der App in verschiedenen App-Stores zu untersuchen. Wenn Sie App-Stores überprüfen, konzentrieren Sie sich auf die folgenden Typen von Apps:
   • Apps mit einer geringen Anzahl von Downloads.
   • Apps mit einer niedrigen Bewertung oder Bewertung oder schlechte Kommentare.
   • Apps mit einem verdächtigen Herausgeber oder einer verdächtigen Website.
   • Apps, die in der letzten Zeit nicht aktualisiert wurden. Dies kann auf eine App hinweisen, die nicht mehr unterstützt wird.
   • Apps, die über irrelevante Berechtigungen verfügen. Dies kann darauf hindeuten, dass eine App riskant ist.
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den App-Namen, den Herausgeber und die URL online recherchieren.

Ausführungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, schädlichen Code in Ihrem organization auszuführen.

Mehrere Speicherlöschaktivitäten

Aktivitäten in einer einzelnen Sitzung, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Anzahl von Cloudspeicher- oder Datenbanklöschungen aus Ressourcen wie Azure-Blobs, AWS S3-Buckets oder Cosmos DB ausgeführt hat. Dies kann auf einen versuchten Verstoß gegen Ihre organization hinweisen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen möchten, dass die Löschungen nicht autorisiert waren.

   Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und überprüfen Sie alle Geräte auf böswillige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen.

2. FP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator zum Ausführen dieser Löschaktivitäten autorisiert war.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Wenden Sie sich an den Benutzer, und bestätigen Sie die Aktivität.
2. Überprüfen Sie das Aktivitätsprotokoll auf andere Gefährdungsindikatoren, und sehen Sie, wer die Änderung vorgenommen hat.
3. Überprüfen Sie die Aktivitäten dieses Benutzers auf Änderungen an anderen Diensten.

Mehrere VM-Erstellungsaktivitäten

Aktivitäten in einer einzelnen Sitzung, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Anzahl von VM-Erstellungsaktionen ausgeführt hat. Mehrere VM-Erstellungen in einer verletzten Cloudinfrastruktur können auf einen Versuch hindeuten, Kryptominingvorgänge in Ihrem organization auszuführen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Um die Genauigkeit und Warnung nur dann zu verbessern, wenn ein starker Hinweis auf eine Sicherheitsverletzung vorliegt, erstellt diese Erkennung eine Baseline für jede Umgebung im organization, um B-TP-Vorfälle zu reduzieren, z. B. wenn ein Administrator legitim mehr VMs erstellt hat als die festgelegte Baseline, und nur warnungen, wenn das ungewöhnliche Verhalten erkannt wird.

• TP: Wenn Sie bestätigen können, dass die Erstellungsaktivitäten nicht von einem legitimen Benutzer ausgeführt wurden.

  Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und überprüfen Sie alle Geräte auf böswillige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen. Wenden Sie sich darüber hinaus an den Benutzer, bestätigen Sie seine legitimen Aktionen, und stellen Sie dann sicher, dass Sie alle kompromittierten VMs deaktivieren oder löschen.

• B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator zum Ausführen dieser Erstellungsaktivitäten autorisiert wurde.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren.
2. Überprüfen Sie die vom Benutzer erstellten oder geänderten Ressourcen, und vergewissern Sie sich, dass sie den Richtlinien Ihrer organization entsprechen.

Verdächtige Erstellungsaktivität für Cloudregion (Vorschau)

Aktivitäten, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Aktion zur Ressourcenerstellung in einer ungewöhnlichen AWS-Region ausgeführt hat. Die Ressourcenerstellung in ungewöhnlichen Cloudregionen kann auf einen Versuch hinweisen, eine schädliche Aktivität wie Kryptominingvorgänge aus Ihrem organization auszuführen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Um die Genauigkeit und Warnung nur bei einem starken Hinweis auf eine Sicherheitsverletzung zu verbessern, erstellt diese Erkennung eine Baseline für jede Umgebung im organization, um B-TP-Vorfälle zu reduzieren.

• TP: Wenn Sie bestätigen können, dass die Erstellungsaktivitäten nicht von einem legitimen Benutzer ausgeführt wurden.

  Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und überprüfen Sie alle Geräte auf böswillige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen. Wenden Sie sich außerdem an den Benutzer, bestätigen Sie seine legitimen Aktionen, und stellen Sie dann sicher, dass Sie kompromittierte Cloudressourcen deaktivieren oder löschen.

• B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator zum Ausführen dieser Erstellungsaktivitäten autorisiert wurde.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren.
2. Überprüfen Sie die erstellten Ressourcen, und vergewissern Sie sich, dass sie den Richtlinien Ihrer organization entsprechen.

Persistenz-Benachrichtigungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, seinen Fuß in Ihrem organization zu behalten.

Aktivität, die vom gekündigten Benutzer ausgeführt wurde

Aktivitäten, die von einem beendeten Benutzer ausgeführt werden, können darauf hindeuten, dass ein gekündigter Mitarbeiter, der noch Zugriff auf Unternehmensressourcen hat, versucht, eine schädliche Aktivität auszuführen. Defender for Cloud Apps Profile für Benutzer im organization und löst eine Warnung aus, wenn ein beendeter Benutzer eine Aktivität ausführt.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass der beendete Benutzer weiterhin Zugriff auf bestimmte Unternehmensressourcen hat und Aktivitäten ausführt.

   Empfohlene Aktion: Deaktivieren Sie den Benutzer.

2. B-TP: Wenn Sie feststellen können, dass der Benutzer vorübergehend deaktiviert oder gelöscht und erneut registriert wurde.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Querverweis auf PERSONALdatensätze, um zu bestätigen, dass der Benutzer beendet wurde.
2. Überprüfen Sie, ob das Microsoft Entra Benutzerkonto vorhanden ist.

   Hinweis

   Wenn Sie Microsoft Entra Connect verwenden, überprüfen Sie das lokales Active Directory-Objekt, und bestätigen Sie einen erfolgreichen Synchronisierungszyklus.

3. Identifizieren Sie alle Apps, auf die der beendete Benutzer Zugriff hatte, und setzen Sie die Konten außer Betrieb.
4. Außerbetriebnahmeprozeduren aktualisieren.

Verdächtige Änderung des CloudTrail-Protokollierungsdiensts

Aktivitäten in einer einzelnen Sitzung, die angeben, dass ein Benutzer verdächtige Änderungen am AWS CloudTrail-Protokollierungsdienst vorgenommen hat. Dies kann auf einen versuchten Verstoß gegen Ihre organization hinweisen. Beim Deaktivieren von CloudTrail werden betriebsbezogene Änderungen nicht mehr protokolliert. Ein Angreifer kann schädliche Aktivitäten ausführen und gleichzeitig ein CloudTrail-Überwachungsereignis vermeiden, z. B. das Ändern eines S3-Buckets von privat in öffentlich.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Anhalten des Benutzers, Zurücksetzen des Kennworts und Rückgängigmachen der CloudTrail-Aktivität.

2. FP: Wenn Sie bestätigen können, dass der Benutzer den CloudTrail-Dienst rechtmäßig deaktiviert hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll auf andere Gefährdungsindikatoren, und sehen Sie, wer die Änderung am CloudTrail-Dienst vorgenommen hat.
2. Optional: Erstellen Sie ein Playbook mit Power Automate, um Benutzer und deren Manager zu kontaktieren, um ihre Aktivitäten zu überprüfen.

Verdächtige E-Mail-Löschaktivität (nach Benutzer)

Aktivitäten in einer einzelnen Sitzung, die darauf hinweisen, dass ein Benutzer verdächtige E-Mail-Löschungen ausgeführt hat. Der Löschtyp war der Typ "Hard Delete", wodurch das E-Mail-Element gelöscht und nicht im Postfach des Benutzers verfügbar ist. Der Löschvorgang erfolgte über eine Verbindung, die ungewöhnliche Einstellungen wie ISP, Land/Region und Benutzer-Agent enthält. Dies kann auf einen versuchten Verstoß gegen Ihre organization hindeuten, z. B. auf Angreifer, die versuchen, Vorgänge zu maskieren, indem sie E-Mails im Zusammenhang mit Spamaktivitäten löschen.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP: Wenn Sie bestätigen können, dass der Benutzer rechtmäßig eine Regel zum Löschen von Nachrichten erstellt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

• Überprüfen Sie alle Benutzeraktivitäten auf andere Anzeichen für eine Gefährdung, z. B. die Warnung verdächtige Posteingangsweiterleitung , gefolgt von einer Unmöglichen Reisewarnung . Suchen Sie nach:

  1. Neue SMTP-Weiterleitungsregeln wie folgt:
     • Suchen Sie nach Namen bösartiger Weiterleitungsregeln. Regelnamen können von einfachen Namen wie "Alle E-Mails weiterleiten" und "Automatisch weiterleiten" oder betrügerischen Namen wie einem kaum sichtbaren "." variieren. Weiterleitungsregelnamen können sogar leer sein, und der Weiterleitungsempfänger kann ein einzelnes E-Mail-Konto oder eine ganze Liste sein. Böswillige Regeln können auch auf der Benutzeroberfläche ausgeblendet werden. Nach der Erkennung können Sie diesen hilfreichen Blogbeitrag zum Löschen ausgeblendeter Regeln aus Postfächern verwenden.
     • Wenn Sie eine unbekannte Weiterleitungsregel an eine unbekannte interne oder externe E-Mail-Adresse erkennen, können Sie davon ausgehen, dass das Posteingangskonto kompromittiert wurde.
  2. Neue Posteingangsregeln wie "alle löschen", "Nachrichten in einen anderen Ordner verschieben" oder solche mit obskuren Namenskonventionen, z. B. "...".
  3. Ein Anstieg der gesendeten E-Mails.

Verdächtige Posteingangsbearbeitungsregel

Aktivitäten, die darauf hinweisen, dass ein Angreifer Zugriff auf den Posteingang eines Benutzers erlangt und eine verdächtige Regel erstellt hat. Manipulationsregeln wie das Löschen oder Verschieben von Nachrichten oder Ordnern aus dem Posteingang eines Benutzers können ein Versuch sein, Informationen aus Ihrem organization zu exfiltrieren. Auf ähnliche Weise können sie auf einen Versuch hinweisen, Informationen zu manipulieren, die einem Benutzer angezeigt werden, oder ihren Posteingang zum Verteilen von Spam, Phishing-E-Mails oder Schadsoftware zu verwenden. Defender for Cloud Apps Profile für Ihre Umgebung und löst Warnungen aus, wenn verdächtige Posteingangsbearbeitungsregeln im Posteingang eines Benutzers erkannt werden. Dies kann darauf hindeuten, dass das Konto des Benutzers kompromittiert ist.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass eine schädliche Posteingangsregel erstellt und das Konto kompromittiert wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und entfernen Sie die Weiterleitungsregel.

2. FP: Wenn Sie bestätigen können, dass ein Benutzer die Regel rechtmäßig erstellt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf andere Anzeichen für eine Gefährdung, z. B. die Warnung verdächtige Posteingangsweiterleitung , gefolgt von einer Unmöglichen Reisewarnung . Suchen Sie nach:
   • Neue SMTP-Weiterleitungsregeln.
   • Neue Posteingangsregeln wie "alle löschen", "Nachrichten in einen anderen Ordner verschieben" oder solche mit obskuren Namenskonventionen, z. B. "...".
2. Sammeln Sie IP-Adresse und Standortinformationen für die Aktion.
3. Überprüfen Sie aktivitäten, die über die IP-Adresse ausgeführt werden, die zum Erstellen der Regel verwendet wurde, um andere kompromittierte Benutzer zu erkennen.

Warnungen zur Rechteausweitung

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Berechtigungen auf höherer Ebene in Ihrem organization zu erhalten.

Ungewöhnliche administrative Aktivität (nach Benutzer)

Aktivitäten, die angeben, dass ein Angreifer ein Benutzerkonto kompromittiert und Administrative Aktionen ausgeführt hat, die für diesen Benutzer nicht üblich sind. Beispielsweise kann ein Angreifer versuchen, eine Sicherheitseinstellung für einen Benutzer zu ändern, ein Vorgang, der für einen gängigen Benutzer relativ selten ist. Defender for Cloud Apps erstellt eine Baseline basierend auf dem Verhalten des Benutzers und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Administrator ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP: Wenn Sie bestätigen können, dass ein Administrator das ungewöhnliche Volumen an administrativen Aktivitäten rechtmäßig ausgeführt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf andere Anzeichen für eine Gefährdung, z. B . verdächtige Posteingangsweiterleitung oder Unmögliches Reisen.
2. Überprüfen Sie andere Konfigurationsänderungen, z. B. das Erstellen eines Benutzerkontos, das zur Persistenz verwendet werden kann.

Zugriffswarnungen für Anmeldeinformationen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Kontonamen und Kennwörter aus Ihrem organization zu stehlen.

Mehrere fehlgeschlagene Anmeldeversuche

Fehlgeschlagene Anmeldeversuche können auf einen Versuch hinweisen, ein Konto zu verletzen. Fehlgeschlagene Anmeldungen können jedoch auch normales Verhalten sein. Beispielsweise, wenn ein Benutzer versehentlich ein falsches Kennwort eingegeben hat. Um Genauigkeit und Warnungen nur zu erreichen, wenn ein starker Hinweis auf eine versuchte Sicherheitsverletzung vorliegt, legt Defender for Cloud Apps eine Baseline der Anmeldegewohnheiten für jeden Benutzer im organization fest und warnt nur, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Diese Richtlinie basiert auf dem Erlernen des normalen Anmeldeverhaltens eines Benutzers. Wenn eine Abweichung von der Norm erkannt wird, wird eine Warnung ausgelöst. Wenn bei der Erkennung erkannt wird, dass dasselbe Verhalten fortgesetzt wird, wird die Warnung nur einmal ausgelöst.

1. TP (MFA schlägt fehl): Wenn Sie bestätigen können, dass die MFA ordnungsgemäß funktioniert, könnte dies ein Anzeichen für einen versuchten Brute-Force-Angriff sein.

   Empfohlene Aktionen:

   1. Halten Sie den Benutzer an, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.
   2. Suchen Sie die App, die die fehlgeschlagenen Authentifizierungen ausgeführt hat, und konfigurieren Sie sie neu.
   3. Suchen Sie nach anderen Benutzern, die zum Zeitpunkt der Aktivität angemeldet sind, da sie möglicherweise ebenfalls kompromittiert sind. Halten Sie den Benutzer an, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. B-TP (MFA-Fehler): Wenn Sie bestätigen können, dass die Warnung durch ein Problem mit der MFA verursacht wurde.

   Empfohlene Aktion: Erstellen Sie mithilfe von Power Automate ein Playbook, um den Benutzer zu kontaktieren und zu überprüfen, ob Probleme mit der MFA auftreten.

3. B-TP (Falsch konfigurierte App): Wenn Sie bestätigen können, dass eine falsch konfigurierte App versucht, mehrmals mit abgelaufenen Anmeldeinformationen eine Verbindung mit einem Dienst herzustellen.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

4. B-TP (Kennwort geändert): Wenn Sie bestätigen können, dass ein Benutzer kürzlich sein Kennwort geändert hat, dies aber keine Auswirkungen auf Die Anmeldeinformationen für Netzwerkfreigaben hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

5. B-TP (Sicherheitstest): Wenn Sie bestätigen können, dass ein Sicherheits- oder Penetrationstest von Sicherheitsanalysten im Auftrag des organization durchgeführt wird.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf andere Anzeichen einer Gefährdung, z. B. auf die Warnung folgt eine der folgenden Warnungen: Unmögliche Reise, Aktivität von anonymer IP-Adresse oder Aktivität aus seltenen Ländern.
2. Überprüfen Sie die folgenden Benutzergeräteinformationen, und vergleichen Sie sie mit bekannten Geräteinformationen:
   • Betriebssystem und Version
   • Browser und Version
   • IP-Adresse und Standort
3. Identifizieren Sie die Quell-IP-Adresse oder den Speicherort, an dem der Authentifizierungsversuch stattgefunden hat.
4. Ermitteln Sie, ob der Benutzer kürzlich sein Kennwort geändert hat, und stellen Sie sicher, dass alle Apps und Geräte über das aktualisierte Kennwort verfügen.

Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App

Diese Erkennung identifiziert das verdächtige Hinzufügen privilegierter Anmeldeinformationen zu einer OAuth-App. Dies kann darauf hindeuten, dass ein Angreifer die App kompromittiert hat und sie für schädliche Aktivitäten verwendet.

Lernzeit

Das Erlernen der Umgebung Ihrer organization erfordert einen Zeitraum von sieben Tagen, in dem Sie möglicherweise eine große Anzahl von Warnungen erwarten.

Ungewöhnlicher ISP für eine OAuth-App

Die Erkennung identifiziert eine OAuth-App, die eine Verbindung mit Ihrer Cloudanwendung von einem ISP herstellt, der für die App ungewöhnlich ist. Dies kann darauf hindeuten, dass ein Angreifer versucht hat, eine legitime kompromittierte App zu verwenden, um schädliche Aktivitäten in Ihren Cloudanwendungen auszuführen.

Lernzeit

Der Lernzeitraum für diese Erkennung beträgt 30 Tage.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität keine legitime Aktivität der OAuth-App war oder dass dieser ISP nicht von der legitimen OAuth-App verwendet wird.

   Empfohlene Aktion: Widerrufen Sie alle Zugriffstoken der OAuth-App, und untersuchen Sie, ob ein Angreifer Zugriff auf das Generieren von OAuth-Zugriffstoken hat.

2. FP: Wenn Sie bestätigen können, dass die Aktivität rechtmäßig von der originalen OAuth-App durchgeführt wurde.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Aktivitäten, die von der OAuth-App ausgeführt werden.

2. Untersuchen Sie, ob ein Angreifer Zugriff auf das Generieren von OAuth-Zugriffstoken hat.

Sammlungsbenachrichtigungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Daten von Interesse für sein Ziel aus Ihrem organization zu sammeln.

Freigabeaktivitäten für mehrere Power BI-Berichte

Aktivitäten in einer einzelnen Sitzung, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Anzahl von Freigabeberichtsaktivitäten in Power BI ausgeführt hat. Dies kann auf einen versuchten Verstoß gegen Ihre organization hinweisen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Entfernen Sie den Freigabezugriff aus Power BI. Wenn Sie bestätigen können, dass das Konto kompromittiert wurde, sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP: Wenn Sie bestätigen können, dass der Benutzer eine geschäftliche Begründung für die Freigabe dieser Berichte hatte.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll, um ein besseres Verständnis für andere Aktivitäten zu erhalten, die vom Benutzer ausgeführt werden. Sehen Sie sich die IP-Adresse an, von der aus sie angemeldet sind, und die Gerätedetails.
2. Wenden Sie sich an Ihr Power BI-Team oder Information Protection Team, um die Richtlinien für die interne und externe Freigabe von Berichten zu verstehen.

Freigabe verdächtiger Power BI-Berichte

Aktivitäten, die angeben, dass ein Benutzer einen Power BI-Bericht freigegeben hat, der möglicherweise vertrauliche Informationen enthält, die mithilfe von NLP identifiziert wurden, um die Metadaten des Berichts zu analysieren. Der Bericht wurde entweder mit einer externen E-Mail-Adresse geteilt, im Web veröffentlicht, oder ein Momentaufnahme an eine extern abonnierte E-Mail-Adresse übermittelt wurde. Dies kann auf einen versuchten Verstoß gegen Ihre organization hinweisen.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Entfernen Sie den Freigabezugriff aus Power BI. Wenn Sie bestätigen können, dass das Konto kompromittiert wurde, sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP: Wenn Sie bestätigen können, dass der Benutzer eine geschäftliche Begründung für die Freigabe dieser Berichte hatte.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll, um ein besseres Verständnis für andere Aktivitäten zu erhalten, die vom Benutzer ausgeführt werden. Sehen Sie sich die IP-Adresse an, von der aus sie angemeldet sind, und die Gerätedetails.
2. Wenden Sie sich an Ihr Power BI-Team oder Information Protection Team, um die Richtlinien für die interne und externe Freigabe von Berichten zu verstehen.

Ungewöhnliche Identitätswechselaktivität (nach Benutzer)

In einigen Software gibt es Optionen, mit denen andere Benutzer die Identität anderer Benutzer annehmen können. E-Mail-Dienste ermöglichen es Benutzern beispielsweise, andere Benutzer zum Senden von E-Mails in ihrem Namen zu autorisieren. Diese Aktivität wird häufig von Angreifern verwendet, um Phishing-E-Mails zu erstellen, um Informationen über Ihre organization zu extrahieren. Defender for Cloud Apps erstellt eine Baseline basierend auf dem Verhalten des Benutzers und eine Aktivität, wenn eine ungewöhnliche Identitätswechselaktivität erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der Benutzer die ungewöhnlichen Aktivitäten oder mehr Aktivitäten als die festgelegte Baseline rechtmäßig ausgeführt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

3. FP: Wenn Sie bestätigen können, dass Apps wie Teams den Benutzer rechtmäßig angenommen haben.

   Empfohlene Aktion: Überprüfen Sie die Aktionen, und schließen Sie die Warnung bei Bedarf.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten und Warnungen auf zusätzliche Gefährdungsindikatoren.
2. Überprüfen Sie die Identitätswechselaktivitäten, um potenzielle schädliche Aktivitäten zu identifizieren.
3. Überprüfen Sie die Konfiguration des delegierten Zugriffs.

Exfiltrationswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Daten aus Ihrem organization zu stehlen.

Verdächtige Weiterleitung im Posteingang

Aktivitäten, die darauf hinweisen, dass ein Angreifer Zugriff auf den Posteingang eines Benutzers erlangt und eine verdächtige Regel erstellt hat. Manipulationsregeln, z. B. das Weiterleiten aller oder bestimmter E-Mails an ein anderes E-Mail-Konto, können ein Versuch sein, Informationen aus Ihrem organization zu exfiltrieren. Defender for Cloud Apps Profile für Ihre Umgebung und löst Warnungen aus, wenn verdächtige Posteingangsbearbeitungsregeln im Posteingang eines Benutzers erkannt werden. Dies kann darauf hindeuten, dass das Konto des Benutzers kompromittiert ist.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass eine schädliche Posteingangsweiterleitungsregel erstellt wurde und das Konto kompromittiert wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und entfernen Sie die Weiterleitungsregel.

2. FP: Wenn Sie bestätigen können, dass der Benutzer aus legitimen Gründen eine Weiterleitungsregel an ein neues oder persönliches externes E-Mail-Konto erstellt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten auf zusätzliche Gefährdungsindikatoren, z. B. auf die Warnung folgt eine Unmögliche Reisewarnung . Suchen Sie nach:

   1. Neue SMTP-Weiterleitungsregeln wie folgt:
      • Suchen Sie nach Namen bösartiger Weiterleitungsregeln. Regelnamen können von einfachen Namen wie "Alle E-Mails weiterleiten" und "Automatisch weiterleiten" oder betrügerischen Namen wie einem kaum sichtbaren "." variieren. Weiterleitungsregelnamen können sogar leer sein, und der Weiterleitungsempfänger kann ein einzelnes E-Mail-Konto oder eine ganze Liste sein. Böswillige Regeln können auch auf der Benutzeroberfläche ausgeblendet werden. Nach der Erkennung können Sie diesen hilfreichen Blogbeitrag zum Löschen ausgeblendeter Regeln aus Postfächern verwenden.
      • Wenn Sie eine unbekannte Weiterleitungsregel an eine unbekannte interne oder externe E-Mail-Adresse erkennen, können Sie davon ausgehen, dass das Posteingangskonto kompromittiert wurde.
   2. Neue Posteingangsregeln wie "alle löschen", "Nachrichten in einen anderen Ordner verschieben" oder solche mit obskuren Namenskonventionen, z. B. "...".

2. Überprüfen Sie aktivitäten, die über die IP-Adresse ausgeführt werden, die zum Erstellen der Regel verwendet wurde, um andere kompromittierte Benutzer zu erkennen.

3. Überprüfen Sie die Liste der weitergeleiteten Nachrichten mithilfe Exchange Online Nachrichtennachverfolgung.

Ungewöhnlicher Dateidownload (nach Benutzer)

Aktivitäten, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Anzahl von Dateidownloads von einer Cloudspeicherplattform durchgeführt hat. Dies kann auf einen Versuch hinweisen, Informationen über die organization zu erhalten. Defender for Cloud Apps erstellt eine Baseline basierend auf dem Verhalten des Benutzers und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der Benutzer rechtmäßig mehr Dateidownloadaktivitäten ausgeführt hat als die festgelegte Baseline.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

3. FP (Softwaresynchronisierung): Wenn Sie bestätigen können, dass Software, z. B. OneDrive, mit einer externen Sicherung synchronisiert wurde, die die Warnung verursacht hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Downloadaktivitäten, und erstellen Sie eine Liste der heruntergeladenen Dateien.
2. Überprüfen Sie die Vertraulichkeit der heruntergeladenen Dateien beim Ressourcenbesitzer, und überprüfen Sie die Zugriffsebene.

Ungewöhnlicher Dateizugriff (nach Benutzer)

Aktivitäten, die angeben, dass ein Benutzer eine ungewöhnliche Anzahl von Dateizugriffen in SharePoint oder OneDrive auf Dateien ausgeführt hat, die Finanz- oder Netzwerkdaten im Vergleich zur gelernten Baseline enthalten. Dies kann auf einen Versuch hinweisen, Informationen über die organization zu erhalten, sei es für finanzielle Zwecke oder für den Zugriff auf Anmeldeinformationen und laterale Bewegung. Defender for Cloud Apps erstellt eine Baseline basierend auf dem Verhalten des Benutzers und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Der Lernzeitraum hängt von der Aktivität des Benutzers ab. Im Allgemeinen liegt der Lernzeitraum für die meisten Benutzer zwischen 21 und 45 Tagen.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der Benutzer legitim mehr Dateizugriffsaktivitäten ausgeführt hat als die festgelegte Baseline.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Zugriffsaktivitäten, und erstellen Sie eine Liste der Dateien, auf die zugegriffen wird.
2. Überprüfen Sie die Vertraulichkeit der Dateien, auf die zugegriffen wird, mit dem Ressourcenbesitzer, und überprüfen Sie die Zugriffsebene.

Ungewöhnliche Dateifreigabeaktivität (nach Benutzer)

Aktivitäten, die angeben, dass ein Benutzer im Vergleich zu den gelernten Baselines eine ungewöhnliche Anzahl von Dateifreigabeaktionen von einer Cloudspeicherplattform ausgeführt hat. Dies kann auf einen Versuch hinweisen, Informationen über die organization zu erhalten. Defender for Cloud Apps erstellt eine Baseline basierend auf dem Verhalten des Benutzers und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der Benutzer rechtmäßig mehr Dateifreigabeaktivitäten ausgeführt hat als die festgelegte Baseline.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Freigabeaktivitäten, und erstellen Sie eine Liste der freigegebenen Dateien.
2. Überprüfen Sie die Vertraulichkeit der freigegebenen Dateien beim Ressourcenbesitzer, und überprüfen Sie die Zugriffsebene.
3. Erstellen Sie eine Dateirichtlinie für ähnliche Dokumente, um die zukünftige Freigabe vertraulicher Dateien zu erkennen.

Auswirkungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Ihre Systeme und Daten in Ihrem organization zu manipulieren, zu unterbrechen oder zu zerstören.

Mehrere VM-Löschaktivitäten

Aktivitäten in einer einzelnen Sitzung, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Anzahl von VM-Löschungen ausgeführt hat. Mehrere VM-Löschungen können auf einen Versuch hinweisen, eine Umgebung zu stören oder zu zerstören. Es gibt jedoch viele normale Szenarien, in denen VMs gelöscht werden.

TP, B-TP oder FP?

Um die Genauigkeit und Warnung nur bei einem starken Hinweis auf eine Sicherheitsverletzung zu verbessern, erstellt diese Erkennung eine Baseline für jede Umgebung im organization, um B-TP-Vorfälle zu reduzieren und nur warnungen, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

• TP: Wenn Sie bestätigen können, dass die Löschungen nicht autorisiert wurden.

  Empfohlene Aktion: Sperren Sie den Benutzer, setzen Sie sein Kennwort zurück, und überprüfen Sie alle Geräte auf böswillige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Gefährdungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen.

• B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator zum Ausführen dieser Löschaktivitäten autorisiert wurde.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Wenden Sie sich an den Benutzer, und bestätigen Sie die Aktivität.
2. Überprüfen Sie alle Benutzeraktivitäten auf zusätzliche Anzeichen für eine Gefährdung, z. B. auf die Warnung folgt eine der folgenden Warnungen: Unmögliche Reise, Aktivität von anonymer IP-Adresse oder Aktivität aus seltenen Ländern.

Ransomware-Aktivität

Ransomware ist ein Cyberangriff, bei dem ein Angreifer Opfer von ihren Geräten sperrt oder sie daran hindert, auf ihre Dateien zuzugreifen, bis das Opfer ein Lösegeld zahlt. Ransomware kann durch eine schädliche freigegebene Datei oder ein kompromittiertes Netzwerk verbreitet werden. Defender for Cloud Apps nutzt Sicherheitsforschungswissen, Threat Intelligence und erlernte Verhaltensmuster, um Ransomware-Aktivitäten zu identifizieren. Beispielsweise kann eine hohe Rate von Dateiuploads oder Dateilöschungen einen Verschlüsselungsprozess darstellen, der bei Ransomware-Vorgängen üblich ist.

Diese Erkennung erstellt eine Baseline der normalen Arbeitsmuster jedes Benutzers in Ihrem organization, z. B. wann der Benutzer auf die Cloud zugreift und was er häufig in der Cloud tut.

Die Defender for Cloud Apps Richtlinien für die automatische Bedrohungserkennung werden im Hintergrund ausgeführt, sobald Sie eine Verbindung herstellen. Mit unserer Sicherheitsforschungskompetenz, um Verhaltensmuster zu identifizieren, die Ransomware-Aktivitäten in unserem organization widerspiegeln, bietet Defender for Cloud Apps umfassende Abdeckung vor komplexen Ransomware-Angriffen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht vom Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP (Ungewöhnliches Verhalten): Der Benutzer hat rechtmäßig mehrere Lösch- und Uploadaktivitäten ähnlicher Dateien in kurzer Zeit ausgeführt.

   Empfohlene Aktion: Nachdem Sie das Aktivitätsprotokoll überprüft und bestätigt haben, dass die Dateierweiterungen nicht verdächtig sind, schließen Sie die Warnung.

3. FP (Common ransomware file extension): Wenn Sie in der Lage sind zu bestätigen, dass die Erweiterungen der betroffenen Dateien eine Übereinstimmung mit einer bekannten Ransomware-Erweiterung sind.

   Empfohlene Aktion: Wenden Sie sich an den Benutzer, und vergewissern Sie sich, dass die Dateien sicher sind, und schließen Sie dann die Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll auf andere Gefährdungsindikatoren wie massenhaftes Herunterladen oder Massenlöschen von Dateien.
2. Wenn Sie Microsoft Defender for Endpoint verwenden, überprüfen Sie die Computerwarnungen des Benutzers, um festzustellen, ob schädliche Dateien erkannt wurden.
3. Durchsuchen Sie das Aktivitätsprotokoll nach schädlichen Dateiupload- und Freigabeaktivitäten.

Ungewöhnliche Dateilöschaktivität (nach Benutzer)

Aktivitäten, die angeben, dass ein Benutzer im Vergleich zur gelernten Baseline eine ungewöhnliche Dateilöschaktivität ausgeführt hat. Dies kann auf Ransomware-Angriff hinweisen. Beispielsweise kann ein Angreifer die Dateien eines Benutzers verschlüsseln und alle Originale löschen, sodass nur die verschlüsselten Versionen übrig bleiben, die verwendet werden können, um das Opfer zur Zahlung eines Lösegelds zu erpressen. Defender for Cloud Apps erstellt eine Baseline, die auf dem normalen Verhalten des Benutzers basiert, und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. FP: Wenn Sie bestätigen können, dass der Benutzer rechtmäßig mehr Dateilöschaktivitäten ausgeführt hat als die festgelegte Baseline.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Löschaktivitäten, und erstellen Sie eine Liste der gelöschten Dateien. Stellen Sie bei Bedarf die gelöschten Dateien wieder her.
2. Erstellen Sie optional ein Playbook mit Power Automate, um Benutzer und deren Vorgesetzte zu kontaktieren, um die Aktivität zu überprüfen.

Erhöhung der Untersuchungsprioritätsbewertung (Vorschau)

Anomale Aktivitäten und Aktivitäten, die Warnungen ausgelöst haben, erhalten Bewertungen basierend auf dem Schweregrad, den Auswirkungen des Benutzers und der Verhaltensanalyse des Benutzers. Die Analyse erfolgt basierend auf anderen Benutzern in den Mandanten.

Wenn die Bewertung der Untersuchungspriorität eines bestimmten Benutzers erheblich und anormal erhöht wird, wird die Warnung ausgelöst.

Diese Warnung ermöglicht die Erkennung potenzieller Sicherheitsverletzungen, die durch Aktivitäten gekennzeichnet sind, die nicht notwendigerweise bestimmte Warnungen auslösen, sondern zu einem verdächtigen Verhalten für den Benutzer anhäufen.

Lernzeit

Das Einrichten des Aktivitätsmusters eines neuen Benutzers erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem keine Warnungen für eine Bewertungserhöhung ausgelöst werden.

TP, B-TP oder FP?

1. TP: Wenn Sie bestätigen können, dass die Aktivitäten des Benutzers nicht legitim sind.

   Empfohlene Aktion: Sperren Sie den Benutzer, markieren Sie den Benutzer als kompromittiert, und setzen Sie sein Kennwort zurück.

2. B-TP: Wenn Sie bestätigen können, dass der Benutzer tatsächlich deutlich vom üblichen Verhalten abgewichen ist, aber keine potenzielle Sicherheitsverletzung vorliegt.

3. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der Benutzer die ungewöhnlichen Aktivitäten oder mehr Aktivitäten als die festgelegte Baseline rechtmäßig ausgeführt hat.

   Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle Benutzeraktivitäten und Warnungen auf zusätzliche Gefährdungsindikatoren.

veraltete Zeitleiste

Die Warnung zur Erhöhung der Untersuchungsprioritätsbewertung wird von Microsoft Defender for Cloud Apps bis August 2024 schrittweise eingestellt.

Nach sorgfältiger Analyse und Überlegung haben wir beschlossen, sie aufgrund der hohen Rate falsch positiver Ergebnisse im Zusammenhang mit dieser Warnung als veraltet zu kennzeichnen, die nicht effektiv zur Gesamtsicherheit Ihrer organization beigetragen hat.

Unsere Untersuchungen ergaben, dass dieses Feature keinen signifikanten Mehrwert darstellte und nicht auf unsere strategische Ausrichtung auf die Bereitstellung hochwertiger, zuverlässiger Sicherheitslösungen ausgerichtet war.

Wir sind bestrebt, unsere Dienstleistungen kontinuierlich zu verbessern und sicherzustellen, dass sie Ihren Anforderungen und Erwartungen entsprechen.

Für diejenigen, die diese Warnung weiterhin verwenden möchten, empfehlen wir, stattdessen die folgende Erweiterte Hunting-Abfrage als vorgeschlagene Vorlage zu verwenden. Ändern Sie die Abfrage entsprechend Ihren Anforderungen.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Siehe auch