Freigeben über

Erstellen Defender for Cloud Apps Richtlinien für die Anomalieerkennung

  • Artikel

Die Microsoft Defender for Cloud Apps Richtlinien zur Anomalieerkennung bieten sofort einsatzbereite Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning (ML), sodass Sie von Anfang an bereit sind, die erweiterte Bedrohungserkennung in Ihrer Cloudumgebung auszuführen. Da sie automatisch aktiviert werden, starten die neuen Richtlinien zur Anomalieerkennung sofort den Prozess der Erkennung und Sortierung von Ergebnissen und zielen auf zahlreiche Verhaltensanomalien für Ihre Benutzer und die Computer und Geräte ab, die mit Ihrem Netzwerk verbunden sind. Darüber hinaus machen die Richtlinien mehr Daten aus der Defender for Cloud Apps Erkennungs-Engine verfügbar, damit Sie den Untersuchungsprozess beschleunigen und laufende Bedrohungen eindämmen können.

Die Richtlinien für die Anomalieerkennung werden automatisch aktiviert, aber Defender for Cloud Apps hat einen anfänglichen Lernzeitraum von sieben Tagen, in dem nicht alle Warnungen zur Anomalieerkennung ausgelöst werden. Wenn anschließend Daten von Ihren konfigurierten API-Connectors gesammelt werden, wird jede Sitzung mit der Aktivität verglichen, zu der Benutzer aktiv waren, IP-Adressen, Geräte usw., die im letzten Monat erkannt wurden, und mit der Risikobewertung dieser Aktivitäten. Beachten Sie, dass es mehrere Stunden dauern kann, bis Daten von API-Connectors verfügbar sind. Diese Erkennungen sind Teil der heuristischen Anomalieerkennungs-Engine, die ein Profil für Ihre Umgebung erstellt und Warnungen in Bezug auf eine Baseline auslöst, die bei der Aktivität Ihres organization gelernt wurde. Diese Erkennungen verwenden auch Machine Learning-Algorithmen, die entwickelt wurden, um ein Profil für die Benutzer und das Anmeldemuster zu erstellen, um falsch positive Ergebnisse zu reduzieren.

Anomalien werden durch die Überprüfung der Benutzeraktivität erkannt. Das Risiko wird anhand von über 30 verschiedenen Risikoindikatoren bewertet, die wie folgt in Risikofaktoren gruppiert sind:

  • Riskante IP-Adresse
  • Anmeldefehler
  • Administratoraktivität
  • Inaktive Konten
  • Standort
  • Unmöglicher Ortswechsel
  • Geräte- und Benutzeragent
  • Aktivitätsrate

Basierend auf den Richtlinienergebnissen werden Sicherheitswarnungen ausgelöst. Defender for Cloud Apps sieht sich jede Benutzersitzung in Ihrer Cloud an und warnt Sie, wenn etwas passiert, das sich von der Baseline Ihrer organization oder von der regulären Aktivität des Benutzers unterscheidet.

Zusätzlich zu nativen Defender for Cloud Apps Warnungen erhalten Sie auch die folgenden Erkennungswarnungen basierend auf Informationen, die von Microsoft Entra ID Protection empfangen werden:

Diese Richtlinien werden auf der Seite Defender for Cloud Apps Richtlinien angezeigt und können aktiviert oder deaktiviert werden.

Anomalieerkennungsrichtlinien

Sie können die Richtlinien für die Anomalieerkennung im Microsoft Defender-Portal anzeigen, indem Sie zu Cloud-Apps ->Richtlinien ->Richtlinienverwaltung wechseln. Wählen Sie dann richtlinie für die Anomalieerkennung für den Richtlinientyp aus.

neue Richtlinien für die Anomalieerkennung.

Die folgenden Richtlinien zur Anomalieerkennung sind verfügbar:

Unmöglicher Ortswechsel

    • Diese Erkennung identifiziert zwei Benutzeraktivitäten (in einer einzelnen oder mehreren Sitzungen), die von geografisch entfernten Standorten stammen, innerhalb eines Zeitraums, der kürzer ist als die Zeit, die der Benutzer für die Reise vom ersten Standort zum zweiten gedauert hätte, was darauf hinweist, dass ein anderer Benutzer dieselben Anmeldeinformationen verwendet. Bei dieser Erkennung wird ein Machine Learning-Algorithmus verwendet, der offensichtliche "falsch positive Ergebnisse" ignoriert, die zu der unmöglichen Reisebedingung beitragen, z. B. VPNs und Orte, die regelmäßig von anderen Benutzern im organization verwendet werden. Die Erkennung hat einen anfänglichen Lernzeitraum von sieben Tagen, in dem sie das Aktivitätsmuster eines neuen Benutzers lernt. Die Erkennung unmöglicher Reisen identifiziert ungewöhnliche und unmögliche Benutzeraktivitäten zwischen zwei Standorten. Die Aktivität sollte ungewöhnlich genug sein, um als Indikator für eine Kompromittierung und als warnungswürdig angesehen zu werden. Damit dies funktioniert, umfasst die Erkennungslogik verschiedene Unterdrückungsebenen, um Szenarien zu behandeln, die falsch positive Ergebnisse auslösen können, z. B. VPN-Aktivitäten oder Aktivitäten von Cloudanbietern, die keinen physischen Standort angeben. Mit dem Empfindlichkeitsschieberegler können Sie den Algorithmus beeinflussen und definieren, wie streng die Erkennungslogik ist. Je höher die Empfindlichkeitsstufe ist, desto weniger Aktivitäten werden als Teil der Erkennungslogik unterdrückt. Auf diese Weise können Sie die Erkennung an Ihre Abdeckungsanforderungen und Ihre SNR-Ziele anpassen.

      Hinweis

      • Wenn die IP-Adressen auf beiden Seiten der Reise als sicher gelten und der Empfindlichkeitsschieberegler nicht auf Hoch festgelegt ist, wird die Reise vertrauenswürdig und von der Auslösung der Erkennung unmöglicher Reisen ausgeschlossen. Beispielsweise gelten beide Seiten als sicher, wenn sie als Unternehmen gekennzeichnet sind. Wenn jedoch die IP-Adresse nur einer Seite der Reise als sicher gilt, wird die Erkennung normal ausgelöst.
      • Die Standorte werden auf Länder-/Regionsebene berechnet. Dies bedeutet, dass es keine Warnungen für zwei Aktionen geben wird, die aus demselben Land/derselben Region oder aus angrenzenden Ländern/Regionen stammen.

Aktivität aus seltenem Land / seltener Region

  • Bei dieser Erkennung werden vergangene Aktivitätsstandorte berücksichtigt, um neue und seltene Speicherorte zu ermitteln. Das Anomalieerkennungsmodul speichert Informationen zu vorherigen Speicherorten, die vom Benutzer verwendet wurden. Eine Warnung wird ausgelöst, wenn eine Aktivität von einem Ort aus auftritt, der nicht vor kurzem oder nie vom Benutzer besucht wurde. Um falsch positive Warnungen zu reduzieren, unterdrückt die Erkennung Verbindungen, die durch allgemeine Benutzereinstellungen gekennzeichnet sind.

Schadsoftwareerkennung

Diese Erkennung identifiziert schädliche Dateien in Ihrem Cloudspeicher, unabhängig davon, ob sie von Ihren Microsoft-Apps oder Apps von Drittanbietern stammen. Microsoft Defender for Cloud Apps verwendet die Threat Intelligence von Microsoft, um zu erkennen, ob bestimmte Dateien, die risiken heuristischen Heuristiken entsprechen, wie Dateityp und Freigabeebene, mit bekannten Schadsoftwareangriffen verbunden sind und potenziell böswillig sind. Diese Richtlinie ist standardmäßig deaktiviert. Nachdem schädliche Dateien erkannt wurden, können Sie eine Liste der infizierten Dateien anzeigen. Wählen Sie den Namen der Schadsoftwaredatei in der Dateischublade aus, um einen Malware-Bericht zu öffnen, der Ihnen Informationen über die Art der Schadsoftware bereitstellt, mit der die Datei infiziert ist.

Verwenden Sie diese Erkennung, um Dateiuploads und -downloads in Echtzeit mit Sitzungsrichtlinien zu steuern.

Dateisandboxing

Durch die Aktivierung von Dateisandkasten werden Dateien, die gemäß ihren Metadaten und basierend auf proprietären Heuristiken potenziell riskant sind, auch in einer sicheren Umgebung in die Sandbox eingescannt. Die Sandboxüberprüfung erkennt möglicherweise Dateien, die nicht basierend auf Threat Intelligence-Quellen erkannt wurden.

Defender for Cloud Apps unterstützt die Erkennung von Schadsoftware für die folgenden Apps:

  • Box
  • Dropbox
  • Google Workspace

Hinweis

  • Das proaktive Sandboxing erfolgt in Drittanbieteranwendungen (Box, Dropbox usw.). In OneDrive und SharePoint werden Dateien als Teil des Diensts selbst gescannt und in die Sandbox eingeteilt.
  • In Box, Dropbox und Google Workspace blockiert Defender for Cloud Apps die Datei nicht automatisch, aber die Blockierung kann gemäß den Funktionen der App und der vom Kunden festgelegten Konfiguration der App erfolgen.
  • Wenn Sie nicht sicher sind, ob eine erkannte Datei wirklich schadsoftware oder falsch positiv ist, wechseln Sie zur Seite Microsoft Security Intelligence unterhttps://www.microsoft.com/wdsi/filesubmission, und übermitteln Sie die Datei zur weiteren Analyse.

Aktivität von anonymen IP-Adressen

  • Diese Erkennung identifiziert, dass Benutzer von einer IP-Adresse aus aktiv waren, die als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys werden von Personen verwendet, die die IP-Adresse ihres Geräts verbergen möchten, und können für böswillige Absichten verwendet werden. Bei dieser Erkennung wird ein Machine Learning-Algorithmus verwendet, der "falsch positive Ergebnisse" reduziert, z. B. falsch markierte IP-Adressen, die häufig von Benutzern im organization verwendet werden.

Ransomware-Aktivität

  • Defender for Cloud Apps seine Ransomware-Erkennungsfunktionen mit Anomalieerkennung erweitert, um eine umfassendere Abdeckung vor komplexen Ransomware-Angriffen zu gewährleisten. Mit unserer Sicherheitsforschungsexpertise, um Verhaltensmuster zu identifizieren, die Ransomware-Aktivitäten widerspiegeln, Defender for Cloud Apps einen ganzheitlichen und robusten Schutz gewährleistet. Wenn Defender for Cloud Apps z. B. eine hohe Rate von Dateiuploads oder Dateilöschaktivitäten erkennt, kann dies einen ungünstigen Verschlüsselungsprozess darstellen. Diese Daten werden in den Protokollen gesammelt, die von verbundenen APIs empfangen werden, und dann mit erlernten Verhaltensmustern und Threat Intelligence kombiniert, z. B. bekannten Ransomware-Erweiterungen. Weitere Informationen dazu, wie Defender for Cloud Apps Ransomware erkennt, finden Sie unter Schützen Ihrer organization vor Ransomware.

Aktivität, die vom gekündigten Benutzer ausgeführt wurde

  • Mit dieser Erkennung können Sie erkennen, wann ein gekündigter Mitarbeiter weiterhin Aktionen für Ihre SaaS-Apps ausführt. Da die Daten zeigen, dass das größte Risiko einer Insider-Bedrohung von Mitarbeitern ausgeht, die zu schlechten Bedingungen gegangen sind, ist es wichtig, die Aktivitäten von gekündigten Mitarbeitern auf Konten im Auge zu behalten. Manchmal, wenn Mitarbeiter ein Unternehmen verlassen, werden ihre Konten von Unternehmens-Apps entfernt, aber in vielen Fällen behalten sie weiterhin Zugriff auf bestimmte Unternehmensressourcen. Dies ist noch wichtiger, wenn privilegierte Konten in Betracht gezogen werden, da der potenzielle Schaden, den ein ehemaliger Administrator anrichten kann, von Natur aus größer ist. Diese Erkennung nutzt die Defender for Cloud Apps Möglichkeit, das Benutzerverhalten appübergreifend zu überwachen, was die Identifizierung der regelmäßigen Aktivitäten des Benutzers, die Tatsache, dass das Konto gelöscht wurde, und die tatsächliche Aktivität in anderen Apps ermöglicht. Beispielsweise kann ein Mitarbeiter, dessen Microsoft Entra Konto gelöscht wurde, aber weiterhin Zugriff auf die AWS-Infrastruktur des Unternehmens hat, große Schäden verursachen.

Die Erkennung sucht nach Benutzern, deren Konten in Microsoft Entra ID gelöscht wurden, führt aber weiterhin Aktivitäten auf anderen Plattformen wie AWS oder Salesforce aus. Dies ist besonders für Benutzer relevant, die ein anderes Konto (nicht ihr primäres Konto für einmaliges Anmelden) zum Verwalten von Ressourcen verwenden, da diese Konten häufig nicht gelöscht werden, wenn ein Benutzer das Unternehmen verlässt.

Aktivität von verdächtigen IP-Adressen

  • Diese Erkennung identifiziert, dass Benutzer über eine IP-Adresse aktiv waren, die von Microsoft Threat Intelligence als riskant identifiziert wurde. Diese IP-Adressen sind an schädlichen Aktivitäten beteiligt, z. B. der Durchführung von Kennwortsprays, Botnet C&C, und können auf ein kompromittiertes Konto hinweisen. Bei dieser Erkennung wird ein Machine Learning-Algorithmus verwendet, der "falsch positive Ergebnisse" reduziert, z. B. falsch markierte IP-Adressen, die häufig von Benutzern im organization verwendet werden.

Verdächtige Weiterleitung im Posteingang

  • Diese Erkennung sucht nach verdächtigen E-Mail-Weiterleitungsregeln, z. B. wenn ein Benutzer eine Posteingangsregel erstellt hat, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.

Hinweis

Defender for Cloud Apps sie nur über jede Weiterleitungsregel benachrichtigt, die basierend auf dem typischen Verhalten für den Benutzer als verdächtig identifiziert wird.

Verdächtige Posteingangsmanipulationsregeln

  • Diese Erkennung erstellt ein Profil für Ihre Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern im Posteingang eines Benutzers festgelegt werden. Dies kann darauf hindeuten, dass das Konto des Benutzers kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und dass das Postfach verwendet wird, um Spam oder Schadsoftware in Ihrem organization zu verteilen.

Verdächtige E-Mail-Löschaktivität (Vorschau)

  • Diese Richtlinie erstellt ein Profil für Ihre Umgebung und löst Warnungen aus, wenn ein Benutzer verdächtige E-Mail-Löschaktivitäten in einer einzigen Sitzung ausführt. Diese Richtlinie kann darauf hinweisen, dass die Postfächer eines Benutzers durch potenzielle Angriffsvektoren wie die Befehls- und Steuerungskommunikation (C&C/C2) über E-Mail kompromittiert werden können.

Hinweis

Defender for Cloud Apps ist in Microsoft Defender XDR integriert, um Schutz für Exchange Online zu bieten, einschließlich URL-Detonation, Malware-Schutz und mehr. Sobald Defender für Microsoft 365 aktiviert ist, werden Warnungen im Defender for Cloud Apps Aktivitätsprotokoll angezeigt.

Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien

  • Überprüft die OAuth-Apps, die mit Ihrer Umgebung verbunden sind, und löst eine Warnung aus, wenn eine App mehrere Dateien von Microsoft SharePoint oder Microsoft OneDrive auf eine weise herunterlädt, die für den Benutzer ungewöhnlich ist. Dies kann darauf hindeuten, dass das Benutzerkonto kompromittiert ist.

Ungewöhnlicher ISP für einen OAuth-App

  • Diese Richtlinie erstellt ein Profil für Ihre Umgebung und löst Warnungen aus, wenn eine OAuth-App von einem ungewöhnlichen ISP eine Verbindung mit Ihren Cloudanwendungen herstellt. Diese Richtlinie kann darauf hinweisen, dass ein Angreifer versucht hat, eine legitime kompromittierte App zu verwenden, um schädliche Aktivitäten in Ihren Cloudanwendungen auszuführen.

Ungewöhnliche Aktivitäten (nach Benutzer)

Diese Erkennungen identifizieren Benutzer, die Folgendes ausführen:

  • Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien
  • Ungewöhnliche Dateifreigabeaktivitäten
  • Ungewöhnliche Dateilöschaktivitäten
  • Ungewöhnliche Aktivitäten im Identitätswechsel
  • Ungewöhnliche administrative Aktivitäten
  • Ungewöhnliche Power BI-Berichtsfreigabeaktivitäten (Vorschau)
  • Ungewöhnliche Aktivitäten zur Erstellung mehrerer VMs (Vorschau)
  • Ungewöhnliche Aktivitäten zum Löschen mehrerer Speicher (Vorschau)
  • Ungewöhnliche Region für Cloudressource (Vorschau)
  • Ungewöhnlicher Dateizugriff

Diese Richtlinien suchen nach Aktivitäten innerhalb einer einzelnen Sitzung in Bezug auf die gelernte Baseline, die auf einen Sicherheitsverletzungsversuch hindeuten könnte. Diese Erkennungen nutzen einen Machine Learning-Algorithmus, der ein Profil für das Anmeldemuster der Benutzer erstellt und falsch positive Ergebnisse reduziert. Diese Erkennungen sind Teil der heuristischen Anomalieerkennungs-Engine, die ein Profil für Ihre Umgebung erstellt und Warnungen in Bezug auf eine Baseline auslöst, die bei der Aktivität Ihres organization gelernt wurde.

Mehrere fehlgeschlagene Anmeldeversuche

  • Diese Erkennung identifiziert Benutzer, bei denen mehrere Anmeldeversuche in einer einzelnen Sitzung in Bezug auf die gelernte Baseline fehlgeschlagen sind, was auf einen Sicherheitsverletzungsversuch hinweisen kann.

Mehrere VM-Löschaktivitäten

  • Diese Richtlinie erstellt ein Profil für Ihre Umgebung und löst Warnungen aus, wenn Benutzer mehrere virtuelle Computer in einer einzigen Sitzung löschen, relativ zur Baseline in Ihrem organization. Dies kann auf einen versuchten Verstoß hinweisen.

Aktivieren der automatisierten Governance

Sie können automatisierte Korrekturaktionen für Warnungen aktivieren, die von Richtlinien zur Anomalieerkennung generiert werden.

  1. Wählen Sie auf der Seite Richtlinien den Namen der Erkennungsrichtlinie aus .
  2. Legen Sie im geöffneten Fenster Richtlinie zur Anomalieerkennung bearbeiten unter Governanceaktionen die gewünschten Korrekturaktionen für jede verbundene App oder für alle Apps fest.
  3. Wählen Sie Aktualisieren aus.

Optimieren von Richtlinien für die Anomalieerkennung

So beeinflussen Sie die Anomalieerkennungs-Engine, um Warnungen gemäß Ihren Vorlieben zu unterdrücken oder anzuzeigen:

  • In der Richtlinie Unmögliche Reise können Sie den Vertraulichkeitsschieberegler festlegen, um die Ebene des anomalen Verhaltens zu bestimmen, das vor dem Auslösen einer Warnung erforderlich ist. Wenn Sie sie beispielsweise auf "niedrig" oder "mittel" festlegen, werden "Impossible Travel"-Warnungen von den allgemeinen Standorten eines Benutzers unterdrückt, und wenn Sie sie auf "Hoch" festlegen, werden solche Warnungen angezeigt. Sie können aus den folgenden Vertraulichkeitsstufen wählen:

    • Niedrig: System-, Mandanten- und Benutzerunterdrückungen

    • Mittel: System- und Benutzerunterdrückungen

    • Hoch: Nur Systemunterdrückungen

      Dabei gilt:

      Unterdrückungstyp Description
      System Eingebaute Entdeckungen, die immer unterdrückt werden.
      Mandant Häufige Aktivitäten, die auf der früheren Aktivität des Mandanten basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem ISP, für die zuvor in Ihrem organization eine Warnung ausgelöst wurde.
      Benutzer Häufige Aktivitäten, die auf der früheren Aktivität des bestimmten Benutzers basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem Speicherort, der häufig vom Benutzer verwendet wird.

Hinweis

Warnungen zu unmöglichen Reisen, Aktivitäten aus seltenen Ländern/Regionen, Aktivitäten von anonymen IP-Adressen und Aktivität von verdächtigen IP-Adressen gelten nicht für fehlgeschlagene Anmeldungen und nicht interaktive Anmeldungen.

Richtlinien für die Bereichsanomalieerkennung

Für jede Anomalie-Erkennungsrichtlinie kann ein unabhängiger Bereich eingestellt werden, damit sie nur für die Benutzer oder Gruppen angewendet wird, die Sie in der Richtlinie einschließen und ausschließen wollen. Sie können beispielsweise die Erkennung von Aktivitäten aus unregelmäßigen Ländern so einstellen, dass ein bestimmter Benutzer ignoriert wird, der häufig auf Reisen ist.

So legen Sie den Bereich einer Anomalie-Erkennungsrichtlinie fest:

  1. Navigieren Sie im Microsoft Defender-Portal zu Cloud-Apps ->Richtlinien ->Richtlinienverwaltung. Wählen Sie dann richtlinie für die Anomalieerkennung für den Richtlinientyp aus.

  2. Wählen Sie die Richtlinie aus, die Sie einschränken möchten.

  3. Ändern Sie unter Bereich die Dropdownliste von der Standardeinstellung Alle Benutzer und Gruppen in Bestimmte Benutzer und Gruppen.

  4. Wählen Sie Einschließen aus, um die Benutzer und Gruppen anzugeben, für die diese Richtlinie gilt. Benutzer oder Gruppen, die hier nicht ausgewählt sind, werden nicht als Bedrohung betrachtet und generieren keine Warnung.

  5. Wählen Sie Ausschließen aus, um Benutzer anzugeben, für die diese Richtlinie nicht gilt. Alle hier ausgewählten Benutzer werden nicht als Bedrohung betrachtet und generieren keine Warnung, selbst wenn sie Mitglieder von Gruppen sind, die unter Einschließen ausgewählt sind.

    Bereich für die Anomalieerkennung.

Warnungen zur Erkennung von Anomalien bei der Selektierung

Sie können die verschiedenen Warnungen, die von den neuen Richtlinien für die Anomalieerkennung ausgelöst werden, schnell selektieren und entscheiden, welche zuerst berücksichtigt werden müssen. Dazu benötigen Sie den Kontext für die Warnung, damit Sie das ganze Bild sehen und verstehen können, ob tatsächlich etwas Böswilliges geschieht.

  1. Im Aktivitätsprotokoll können Sie eine Aktivität öffnen, um die Aktivitätsschublade anzuzeigen. Wählen Sie Benutzer aus, um die Registerkarte "Benutzererkenntnisse" anzuzeigen. Diese Registerkarte enthält Informationen wie die Anzahl von Warnungen, Aktivitäten und deren Verbindung, was für eine Untersuchung wichtig ist.

    Anomalieerkennungswarnung.

  2. Bei schadsoftwareinfizierten Dateien können Sie, nachdem Dateien erkannt wurden, eine Liste der infizierten Dateien anzeigen. Wählen Sie den Namen der Schadsoftwaredatei in der Dateischublade aus, um einen Malware-Bericht zu öffnen, der Ihnen Informationen über diese Art von Schadsoftware bereitstellt, mit der die Datei infiziert ist.

Webinar zum Bedrohungsschutz

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.