Como investigar alertas de deteção de anomalias

Microsoft Defender para Aplicativos de Nuvem fornece alertas e deteções de segurança para atividades maliciosas. O objetivo deste guia é fornecer informações gerais e práticas sobre cada alerta, para ajudar com suas tarefas de investigação e correção. Neste guia estão informações gerais sobre as condições para disparar alertas. No entanto, é importante ter em atenção que, uma vez que as deteções de anomalias não sãondeterministas por natureza, só são acionadas quando existe um comportamento que se desvia da norma. Por fim, alguns alertas podem estar em pré-visualização, por isso, reveja regularmente a documentação oficial para obter status de alertas atualizados.

MITRE ATT&CK

Para explicar e tornar mais fácil mapear a relação entre os alertas de Defender para Aplicativos de Nuvem e a conhecida MITRE ATT&Matriz CK, categorizámos os alertas pela respetiva tática MITRE ATT&CK correspondente. Esta referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em utilização quando um alerta de Defender para Aplicativos de Nuvem é acionado.

Este guia fornece informações sobre como investigar e remediar alertas de Defender para Aplicativos de Nuvem nas seguintes categorias.

Classificações de alerta de segurança

Após uma investigação adequada, todos os alertas Defender para Aplicativos de Nuvem podem ser classificados como um dos seguintes tipos de atividade:

• Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
• Positivo verdadeiro benigno (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
• Falso positivo (FP): um alerta sobre uma atividade não amaliciou.

Etapas gerais de investigação

Deve utilizar as seguintes diretrizes gerais ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.

• Reveja a classificação de prioridade de investigação do utilizador e compare com o resto da organização. Isto irá ajudá-lo a identificar quais os utilizadores na sua organização que representam o maior risco.
• Se identificar um TP, reveja todas as atividades do utilizador para compreender o impacto.
• Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento e explore a origem e o âmbito do impacto. Por exemplo, reveja as seguintes informações do dispositivo de utilizador e compare com as informações conhecidas do dispositivo:
  • Sistema operativo e versão
  • Browser e versão
  • Endereço IP e local

Alertas de acesso inicial

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar obter uma posição inicial na sua organização.

Atividade a partir de endereço IP anónimo

Descrição

Atividade de um endereço IP que foi identificado como um endereço IP de proxy anónimo pela Microsoft Threat Intelligence ou pela sua organização. Estes proxies podem ser utilizados para ocultar o endereço IP de um dispositivo e podem ser utilizados para atividades maliciosas.

TP, B-TP ou FP?

Esta deteção utiliza um algoritmo de machine learning que reduz incidentes B-TP , como endereços IP com etiquetas incorretas que são amplamente utilizados pelos utilizadores na organização.

1. TP: se conseguir confirmar que a atividade foi efetuada a partir de um endereço IP anónimo ou TOR.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. B-TP: se um utilizador for conhecido por utilizar endereços IP anónimos no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

• Reveja todas as atividades e alertas do utilizador para obter outros indicadores de comprometimento. Por exemplo, se o alerta foi seguido por outro alerta suspeito, como uma transferência de ficheiro invulgar (por utilizador) ou um alerta de reencaminhamento de caixa de entrada suspeita , isso indica frequentemente que um atacante está a tentar exfiltrar dados.

Atividade de um país/região pouco frequente

Atividade de um país/região que pode indicar atividade maliciosa. Esta política cria perfis para o seu ambiente e aciona alertas quando a atividade é detetada a partir de uma localização que não foi recentemente ou nunca foi visitada por nenhum utilizador na organização.

A política pode ser confinada a um subconjunto de utilizadores ou pode excluir utilizadores conhecidos por viajar para localizações remotas.

Período de aprendizagem

A deteção de localizações anómalos requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada:

   1. Suspenda o utilizador, reponha a palavra-passe e identifique o momento certo para reativar a conta em segurança.
   2. Opcional: crie um manual de procedimentos com o Power Automate para contactar os utilizadores detetados como estando a ligar a partir de localizações pouco frequentes e os respetivos gestores, para verificar a respetiva atividade.

2. B-TP: se um utilizador for conhecido por estar nesta localização. Por exemplo, quando um utilizador viaja com frequência e está atualmente na localização especificada.

   Ação recomendada:

   1. Dispense o alerta e modifique a política para excluir o utilizador.
   2. Crie um grupo de utilizadores para viajantes frequentes, importe o grupo para Defender para Aplicativos de Nuvem e exclua os utilizadores deste alerta
   3. Opcional: crie um manual de procedimentos com o Power Automate para contactar os utilizadores detetados como estando a ligar a partir de localizações pouco frequentes e os respetivos gestores, para verificar a respetiva atividade.

Entender o escopo da violação

• Reveja que recurso pode ter sido comprometido, como potenciais transferências de dados.

Atividade de endereços de IP suspeitos

Atividade de um endereço IP que foi identificado como arriscado pela Microsoft Threat Intelligence ou pela sua organização. Estes endereços IP foram identificados como estando envolvidos em atividades maliciosas, tais como a execução de spray de palavra-passe, o comando e o controlo do botnet (C&C) e podem indicar uma conta comprometida.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. B-TP: se um utilizador for conhecido por utilizar o endereço IP no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o registo de atividades e procure atividades a partir do mesmo endereço IP.
2. Reveja que recurso pode ter sido comprometido, como potenciais transferências de dados ou modificações administrativas.
3. Crie um grupo para analistas de segurança que acionem voluntariamente estes alertas e os excluam da política.

Viagem Impossível

Atividade do mesmo utilizador em localizações diferentes num período de tempo mais curto do que o tempo de deslocação esperado entre as duas localizações. No entanto, isto pode indicar uma falha de segurança de credenciais. No entanto, também é possível que a localização real do utilizador seja mascarada, por exemplo, através de uma VPN.

Para melhorar a precisão e o alerta apenas quando existe uma forte indicação de uma falha de segurança, o Defender para Aplicativos de Nuvem estabelece uma linha de base em cada utilizador na organização e irá alertar apenas quando for detetado um comportamento invulgar. A política de viagens impossível pode ser ajustada aos seus requisitos.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

Esta deteção utiliza um algoritmo de machine learning que ignora condições B-TP óbvias, como quando os endereços IP de ambos os lados da viagem são considerados seguros, a viagem é fidedigna e excluída de acionar a Deteção de viagens impossível. Por exemplo, ambos os lados são considerados seguros se estiverem identificados como empresariais. No entanto, se o endereço IP de apenas um dos lados da viagem for considerado seguro, a deteção é acionada normalmente.

1. TP: se conseguir confirmar que a localização no alerta de viagem impossível é improvável para o utilizador.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Viagens de utilizador não detetadas): se conseguir confirmar que o utilizador viajou recentemente para o destino mencionado detalhadamente no alerta. Por exemplo, se o telemóvel de um utilizador que está no modo de avião permanecer ligado a serviços como Exchange Online na sua rede empresarial enquanto viaja para uma localização diferente. Quando o utilizador chega à nova localização, o telefone liga-se a Exchange Online acionando o alerta de viagem impossível.

   Ação recomendada: ignorar o alerta.

3. FP (VPN Não Agendada): se conseguir confirmar que o intervalo de endereços IP provém de uma VPN aprovada.

   Ação recomendada: dispense o alerta e adicione o intervalo de endereços IP da VPN para Defender para Aplicativos de Nuvem e, em seguida, utilize-o para etiquetar o intervalo de endereços IP da VPN.

Entender o escopo da violação

1. Reveja o registo de atividades para compreender atividades semelhantes na mesma localização e endereço IP.
2. Se vir que o utilizador realizou outras atividades de risco, como transferir um grande volume de ficheiros a partir de uma nova localização, esta seria uma forte indicação de um possível compromisso.
3. Adicione intervalos de VPN empresarial e Endereço IP.
4. Crie um manual de procedimentos com o Power Automate e contacte o gestor do utilizador para ver se o utilizador está legitimamente em viagem.
5. Considere criar uma base de dados de viajantes conhecida para relatórios de viagens organizacionais até ao minuto e utilizá-la para fazer referência cruzada à atividade de viagens.

Nome da aplicação OAuth enganador

Esta deteção identifica aplicações com carateres, como letras externas, que se assemelham a letras latinas. Isto pode indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os atacantes possam enganar os utilizadores para transferirem a sua aplicação maliciosa.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a aplicação tem um nome enganador.

   Ação recomendada: examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo.

Para proibir o acesso à aplicação, nos separadores Google ou Salesforce na página Governação de aplicações, na linha em que é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. - Pode optar por indicar aos utilizadores que a aplicação instalada e autorizada foi proibida. A notificação permite que os utilizadores saibam que a aplicação está desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. - Recomenda-se que informe os utilizadores da aplicação de que a aplicação está prestes a ser proibida de utilizar.

1. FP: se quiser confirmar que a aplicação tem um nome enganador, mas tem uma utilização comercial legítima na organização.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

• Siga o tutorial sobre como investigar aplicativos OAuth arriscados.

Nome do publicador enganador para uma aplicação OAuth

Esta deteção identifica aplicações com carateres, como letras externas, que se assemelham a letras latinas. Isto pode indicar uma tentativa de disfarçar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os atacantes possam enganar os utilizadores para transferirem a sua aplicação maliciosa.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a aplicação tem um nome de publicador enganador.

   Ação recomendada: examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo.

2. FP: Se quiser confirmar que a aplicação tem um nome de publicador enganador, mas é um publicador legítimo.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Nos separadores Google ou Salesforce na página Governação de aplicações, selecione a aplicação para abrir a Gaveta de aplicações e, em seguida, selecione Atividade relacionada. Esta ação abre a página Registo de atividades filtrada para atividades executadas pela aplicação. Tenha em atenção que algumas aplicações executam atividades registadas como tendo sido executadas por um utilizador. Estas atividades são automaticamente filtradas dos resultados no registo de atividades. Para uma investigação mais aprofundada com o registo de atividades, veja Registo de atividades.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o publicador da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicações com um número reduzido de transferências.
   • Aplicações com classificação baixa, pontuação ou comentários incorretos.
   • Aplicações com um publicador ou site suspeito.
   • Aplicativos que não foram atualizados recentemente. Isto pode indicar uma aplicação que já não é suportada.
   • Aplicações com permissões irrelevantes. Isto pode indicar que uma aplicação é arriscada.
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome da aplicação, o publicador e o URL online.

Alertas de execução

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar executar código malicioso na sua organização.

Múltiplas atividades de exclusão de armazenamento

Atividades numa única sessão que indicam que um utilizador efetuou um número invulgar de eliminações de bases de dados ou de armazenamento na cloud de recursos como blobs do Azure, registos do AWS S3 ou Cosmos DB quando comparado com a linha de base aprendida. Isto pode indicar uma tentativa de violação da sua organização.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: Se quiser confirmar que as eliminações não foram autorizadas.

   Ação recomendada: suspenda o utilizador, reponha a palavra-passe e analise todos os dispositivos quanto a ameaças maliciosas. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento e explore o âmbito do impacto.

2. FP: Se, após a investigação, conseguir confirmar que o administrador foi autorizado a realizar estas atividades de eliminação.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Contacte o utilizador e confirme a atividade.
2. Reveja o registo de atividades para obter outros indicadores de comprometimento e veja quem efetuou a alteração.
3. Reveja as atividades desse utilizador relativamente a alterações a outros serviços.

Várias atividades de criação de VM

Atividades numa única sessão que indicam que um utilizador efetuou um número invulgar de ações de criação de VMs em comparação com a linha de base aprendida. Várias criações de VMs numa infraestrutura de Cloud em falha podem indicar uma tentativa de executar operações de extração criptográficas a partir da sua organização.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

Para melhorar a precisão e o alerta apenas quando existe uma forte indicação de uma falha de segurança, esta deteção estabelece uma linha de base em cada ambiente na organização para reduzir os incidentes de B-TP , como um administrador que criou legitimamente mais VMs do que a linha de base estabelecida e alerta apenas quando for detetado um comportamento invulgar.

• TP: se conseguir confirmar que as atividades de criação não foram executadas por um utilizador legítimo.

  Ação recomendada: suspenda o utilizador, reponha a palavra-passe e analise todos os dispositivos quanto a ameaças maliciosas. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento e explore o âmbito do impacto. Além disso, contacte o utilizador, confirme as suas ações legítimas e, em seguida, certifique-se de que desativa ou elimina quaisquer VMs comprometidas.

• B-TP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a realizar estas atividades de criação.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento.
2. Reveja os recursos criados ou modificados pelo utilizador e verifique se estão em conformidade com as políticas da sua organização.

Atividade de criação suspeita para a região da cloud (pré-visualização)

Atividades que indicam que um utilizador efetuou uma ação de criação de recursos invulgar numa região invulgar do AWS quando comparada com a linha de base aprendida. A criação de recursos em regiões de cloud invulgares pode indicar uma tentativa de efetuar uma atividade maliciosa, como operações de extração criptográficas a partir da sua organização.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

Para melhorar a precisão e o alerta apenas quando existe uma forte indicação de uma falha de segurança, esta deteção estabelece uma linha de base em cada ambiente na organização para reduzir os incidentes de B-TP .

• TP: se conseguir confirmar que as atividades de criação não foram executadas por um utilizador legítimo.

  Ação recomendada: suspenda o utilizador, reponha a palavra-passe e analise todos os dispositivos quanto a ameaças maliciosas. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento e explore o âmbito do impacto. Além disso, contacte o utilizador, confirme as suas ações legítimas e, em seguida, certifique-se de que desativa ou elimina quaisquer recursos da cloud comprometidos.

• B-TP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a realizar estas atividades de criação.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento.
2. Reveja os recursos criados e verifique se estão em conformidade com as políticas da sua organização.

Alertas de persistência

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manter a sua posição de pé na sua organização.

Atividade realizada por usuário encerrado

A atividade realizada por um utilizador terminado pode indicar que um funcionário terminado que ainda tem acesso aos recursos da empresa está a tentar realizar uma atividade maliciosa. Defender para Aplicativos de Nuvem perfis de utilizadores na organização e aciona um alerta quando um utilizador terminado efetua uma atividade.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que o utilizador terminado ainda tem acesso a determinados recursos empresariais e está a realizar atividades.

   Ação recomendada: desative o utilizador.

2. B-TP: se conseguir determinar que o utilizador foi temporariamente desativado ou foi eliminado e novamente registado.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Referência cruzada de registos de RH para confirmar que o utilizador foi terminado.
2. Valide a existência da conta de utilizador Microsoft Entra.

   Observação

   Se estiver a utilizar o Microsoft Entra Connect, valide o objeto Active Directory local e confirme um ciclo de sincronização com êxito.

3. Identifique todas as aplicações às quais o utilizador terminado teve acesso e desativar as contas.
4. Atualizar procedimentos de desativação.

Alteração suspeita do serviço de registo cloudTrail

Atividades numa única sessão que indicam que um utilizador efetuou alterações suspeitas ao serviço de registo do CloudTrail do AWS. Isto pode indicar uma tentativa de violação da sua organização. Ao desativar o CloudTrail, as alterações operacionais já não são registadas. Um atacante pode realizar atividades maliciosas ao mesmo tempo que evita um evento de auditoria cloudTrail, como modificar um registo S3 de privado para público.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, reponha a palavra-passe e inverta a atividade CloudTrail.

2. FP: Se conseguir confirmar que o utilizador desativou legitimamente o serviço CloudTrail.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o registo de atividades para obter outros indicadores de comprometimento e veja quem fez a alteração ao serviço CloudTrail.
2. Opcional: crie um manual de procedimentos com o Power Automate para contactar os utilizadores e os respetivos gestores para verificar a respetiva atividade.

Atividade de eliminação de e-mail suspeita (por utilizador)

Atividades numa única sessão que indicam que um utilizador efetuou eliminações de e-mail suspeitas. O tipo de eliminação era o tipo de "eliminação dura", que elimina o item de e-mail e não está disponível na caixa de correio do utilizador. A eliminação foi efetuada a partir de uma ligação que inclui preferências invulgares, como ISP, país/região e agente de utilizador. Isto pode indicar uma tentativa de violação da sua organização, como atacantes que tentam mascarar as operações ao eliminar e-mails relacionados com atividades de spam.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP: Se conseguir confirmar que o utilizador criou legitimamente uma regra para eliminar mensagens.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

• Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento, como o alerta de reencaminhamento de caixa de entrada Suspeita seguido de um alerta de Viagem Impossível . Procure:

  1. Novas regras de reencaminhamento SMTP, da seguinte forma:
     • Verifique se existem nomes de regras de reencaminhamento malicioso. Os nomes de regras podem variar de nomes simples, como "Reencaminhar Todos os E-mails" e "Reencaminhar automaticamente" ou nomes enganadores, como um "". Os nomes das regras de reencaminhamento podem até estar vazios e o destinatário do reencaminhamento pode ser uma única conta de e-mail ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface de utilizador. Depois de detetada, pode utilizar esta mensagem de blogue útil sobre como eliminar regras ocultas das caixas de correio.
     • Se detetar uma regra de reencaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, pode assumir que a conta da caixa de entrada foi comprometida.
  2. Novas regras de caixa de entrada, como "eliminar tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".
  3. Um aumento nos e-mails enviados.

Regra de manipulação de caixa de entrada suspeita

Atividades que indicam que um atacante obteve acesso à caixa de entrada de um utilizador e criou uma regra suspeita. As regras de manipulação, como eliminar ou mover mensagens ou pastas da caixa de entrada de um utilizador, podem ser uma tentativa de exfiltrar informações da sua organização. Da mesma forma, podem indicar uma tentativa de manipular informações que um utilizador vê ou para utilizar a respetiva caixa de entrada para distribuir spam, e-mails de phishing ou software maligno. Defender para Aplicativos de Nuvem cria perfis no seu ambiente e aciona alertas quando são detetadas regras suspeitas de manipulação de caixa de entrada na caixa de entrada de um utilizador. Isto pode indicar que a conta do utilizador está comprometida.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que foi criada uma regra de caixa de entrada maliciosa e que a conta foi comprometida.

   Ação recomendada: suspenda o utilizador, reponha a palavra-passe e remova a regra de reencaminhamento.

2. FP: Se conseguir confirmar que um utilizador criou legitimamente a regra.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento, como o alerta de reencaminhamento de caixa de entrada Suspeita seguido de um alerta de Viagem Impossível . Procure:
   • Novas regras de reencaminhamento SMTP.
   • Novas regras de caixa de entrada, como "eliminar tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".
2. Recolha informações de localização e endereço IP para a ação.
3. Reveja as atividades executadas a partir do endereço IP utilizado para criar a regra para detetar outros utilizadores comprometidos.

Alertas de escalamento de privilégios

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar obter permissões de nível superior na sua organização.

Atividade administrativa invulgar (por utilizador)

Atividades que indicam que um atacante comprometeu uma conta de utilizador e efetuou ações administrativas que não são comuns a esse utilizador. Por exemplo, um atacante pode tentar alterar uma definição de segurança para um utilizador, uma operação relativamente rara para um utilizador comum. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento do utilizador e aciona um alerta quando é detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um administrador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP: Se conseguir confirmar que um administrador executou legitimamente o volume invulgar de atividades administrativas.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento, como Reencaminhamento de caixa de entrada suspeito ou Viagem Impossível.
2. Reveja outras alterações de configuração, como criar uma conta de utilizador que possa ser utilizada para persistência.

Alertas de acesso a credenciais

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar nomes de conta e palavras-passe da sua organização.

Múltiplas tentativas de login malsucedidas

Tentativas de início de sessão falhadas podem indicar uma tentativa de violação de uma conta. No entanto, os inícios de sessão falhados também podem ser um comportamento normal. Por exemplo, quando um utilizador introduziu uma palavra-passe errada por engano. Para obter precisão e alerta apenas quando houver uma forte indicação de uma tentativa de falha de segurança, Defender para Aplicativos de Nuvem estabelece uma linha de base de hábitos de início de sessão para cada utilizador na organização e apenas alertará quando for detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

Esta política baseia-se na aprendizagem do comportamento normal de início de sessão de um utilizador. Quando é detetado um desvio da norma, é acionado um alerta. Se a deteção começar a ver que o mesmo comportamento continua, o alerta só é gerado uma vez.

1. TP (Falha na MFA): se conseguir confirmar que a MFA está a funcionar corretamente, pode ser um sinal de uma tentativa de ataque de força bruta.

   Ações recomendadas:

   1. Suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.
   2. Localize a aplicação que efetuou as autenticações falhadas e reconfigure-a.
   3. Procure outros utilizadores com sessão iniciada por volta da hora da atividade, uma vez que também podem estar comprometidos. Suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. B-TP (falha na MFA): se conseguir confirmar que o alerta é causado por um problema com a MFA.

   Ação recomendada: crie um manual de procedimentos com o Power Automate para contactar o utilizador e marcar se estiver a ter problemas com a MFA.

3. B-TP (aplicação configurada incorretamente): se conseguir confirmar que uma aplicação configurada incorretamente está a tentar ligar-se a um serviço várias vezes com credenciais expiradas.

   Ação recomendada: ignorar o alerta.

4. B-TP (Palavra-passe alterada): se conseguir confirmar que um utilizador alterou recentemente a palavra-passe, mas não afetou as credenciais nas partilhas de rede.

   Ação recomendada: ignorar o alerta.

5. B-TP (Teste de segurança): se conseguir confirmar que um teste de segurança ou penetração está a ser realizado por analistas de segurança em nome da organização.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento, como o alerta, seguido de um dos seguintes alertas: Viagem Impossível, Atividade a partir de endereço IP anónimo ou Atividade de país pouco frequente.
2. Reveja as seguintes informações do dispositivo do utilizador e compare com as informações conhecidas do dispositivo:
   • Sistema operativo e versão
   • Browser e versão
   • Endereço IP e local
3. Identifique o endereço IP de origem ou a localização onde ocorreu a tentativa de autenticação.
4. Identifique se o utilizador alterou recentemente a palavra-passe e certifique-se de que todas as aplicações e dispositivos têm a palavra-passe atualizada.

Adição incomum de credenciais a um aplicativo OAuth

Esta deteção identifica a adição suspeita de credenciais privilegiadas a uma aplicação OAuth. Isto pode indicar que um atacante comprometeu a aplicação e está a utilizá-la para atividades maliciosas.

Período de aprendizagem

Aprender o ambiente da sua organização requer um período de sete dias durante o qual poderá esperar um elevado volume de alertas.

ISP invulgar para uma aplicação OAuth

A deteção identifica uma aplicação OAuth que se liga à sua aplicação na cloud a partir de um ISP incomum para a aplicação. Isto pode indicar que um atacante tentou utilizar uma aplicação legítima comprometida para realizar atividades maliciosas nas suas aplicações na cloud.

Período de aprendizagem

O período de aprendizagem para esta deteção é de 30 dias.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não era uma atividade legítima da aplicação OAuth ou que este ISP não é utilizado pela aplicação OAuth legítima.

   Ação recomendada: revogue todos os tokens de acesso da aplicação OAuth e investigue se um atacante tem acesso para gerar tokens de acesso OAuth.

2. FP: Se puder confirmar que a atividade foi efetuada legitimamente pela aplicação OAuth genuína.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as atividades realizadas pela aplicação OAuth.

2. Investigue se um atacante tem acesso para gerar tokens de acesso OAuth.

Alertas de coleta

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher dados de interesse para o objetivo da sua organização.

Várias atividades de partilha de relatórios do Power BI

Atividades numa única sessão que indicam que um utilizador efetuou um número invulgar de atividades de relatórios de partilha no Power BI em comparação com a linha de base aprendida. Isto pode indicar uma tentativa de violação da sua organização.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: remova o acesso de partilha do Power BI. Se conseguir confirmar que a conta está comprometida, suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP: Se conseguir confirmar que o utilizador tinha uma justificação comercial para partilhar estes relatórios.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o registo de atividades para obter uma melhor compreensão das outras atividades realizadas pelo utilizador. Observe o endereço IP a partir do qual tem sessão iniciada e os detalhes do dispositivo.
2. Contacte a sua equipa do Power BI ou Proteção de Informações equipa para compreender as diretrizes para partilhar relatórios interna e externamente.

Partilha suspeita de relatórios do Power BI

Atividades que indicam que um utilizador partilhou um relatório do Power BI que pode conter informações confidenciais identificadas com NLP para analisar os metadados do relatório. O relatório foi partilhado com um endereço de e-mail externo, publicado na Web ou um snapshot foi entregue num endereço de e-mail subscrito externamente. Isto pode indicar uma tentativa de violação da sua organização.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: remova o acesso de partilha do Power BI. Se conseguir confirmar que a conta está comprometida, suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP: Se conseguir confirmar que o utilizador tinha uma justificação comercial para partilhar estes relatórios.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o registo de atividades para obter uma melhor compreensão das outras atividades realizadas pelo utilizador. Observe o endereço IP a partir do qual tem sessão iniciada e os detalhes do dispositivo.
2. Contacte a sua equipa do Power BI ou Proteção de Informações equipa para compreender as diretrizes para partilhar relatórios interna e externamente.

Atividade representada invulgar (pelo utilizador)

Em alguns softwares, existem opções para permitir que outros utilizadores representem outros utilizadores. Por exemplo, os serviços de e-mail permitem que os utilizadores autorizem outros utilizadores a enviar e-mails em seu nome. Esta atividade é frequentemente utilizada pelos atacantes para criar e-mails de phishing numa tentativa de extrair informações sobre a sua organização. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento do utilizador e cria uma atividade quando é detetada uma atividade de representação invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Comportamento invulgar): se conseguir confirmar que o utilizador executou legitimamente as atividades invulgares ou mais atividades do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

3. FP: se conseguir confirmar que as aplicações, como o Teams, representaram legitimamente o utilizador.

   Ação recomendada: reveja as ações e dispense o alerta, se necessário.

Entender o escopo da violação

1. Reveja todas as atividades e alertas do utilizador para obter indicadores adicionais de comprometimento.
2. Reveja as atividades de representação para identificar potenciais atividades maliciosas.
3. Reveja a configuração de acesso delegado.

Alertas de exfiltração

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar dados da sua organização.

Encaminhamento suspeito de caixa de entrada

Atividades que indicam que um atacante obteve acesso à caixa de entrada de um utilizador e criou uma regra suspeita. As regras de manipulação, como reencaminhar todos ou e-mails específicos para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização. Defender para Aplicativos de Nuvem cria perfis no seu ambiente e aciona alertas quando são detetadas regras suspeitas de manipulação de caixa de entrada na caixa de entrada de um utilizador. Isto pode indicar que a conta do utilizador está comprometida.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que foi criada uma regra de reencaminhamento de caixa de entrada maliciosa e que a conta foi comprometida.

   Ação recomendada: suspenda o utilizador, reponha a palavra-passe e remova a regra de reencaminhamento.

2. FP: Se conseguir confirmar que o utilizador criou uma regra de reencaminhamento para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja toda a atividade do utilizador para obter indicadores adicionais de comprometimento, como o alerta, seguido de um alerta de Viagem Impossível . Procure:

   1. Novas regras de reencaminhamento SMTP, da seguinte forma:
      • Verifique se existem nomes de regras de reencaminhamento malicioso. Os nomes de regras podem variar de nomes simples, como "Reencaminhar Todos os E-mails" e "Reencaminhar automaticamente" ou nomes enganadores, como um "". Os nomes das regras de reencaminhamento podem até estar vazios e o destinatário do reencaminhamento pode ser uma única conta de e-mail ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface de utilizador. Depois de detetada, pode utilizar esta mensagem de blogue útil sobre como eliminar regras ocultas das caixas de correio.
      • Se detetar uma regra de reencaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, pode assumir que a conta da caixa de entrada foi comprometida.
   2. Novas regras de caixa de entrada, como "eliminar tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".

2. Reveja as atividades executadas a partir do endereço IP utilizado para criar a regra para detetar outros utilizadores comprometidos.

3. Reveja a lista de mensagens reencaminhadas com Exchange Online controlo de mensagens.

Transferência de ficheiros invulgar (por utilizador)

Atividades que indicam que um utilizador efetuou um número invulgar de transferências de ficheiros a partir de uma plataforma de armazenamento na cloud em comparação com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento do utilizador e aciona um alerta quando é detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Comportamento invulgar): se puder confirmar que o utilizador executou legitimamente mais atividades de transferência de ficheiros do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

3. FP (Sincronização de software): se conseguir confirmar que o software, como o OneDrive, foi sincronizado com uma cópia de segurança externa que causou o alerta.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as atividades de transferência e crie uma lista de ficheiros transferidos.
2. Reveja a sensibilidade dos ficheiros transferidos com o proprietário do recurso e valide o nível de acesso.

Acesso invulgar a ficheiros (por utilizador)

Atividades que indicam que um utilizador efetuou um número invulgar de acessos a ficheiros no SharePoint ou no OneDrive a ficheiros que contêm dados financeiros ou dados de rede em comparação com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização, seja para fins financeiros ou para acesso a credenciais e movimento lateral. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento do utilizador e aciona um alerta quando é detetado um comportamento invulgar.

Período de aprendizagem

O período de aprendizagem depende da atividade do utilizador. Geralmente, o período de aprendizagem é entre 21 e 45 dias para a maioria dos utilizadores.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Comportamento invulgar): se conseguir confirmar que o utilizador executou legitimamente mais atividades de acesso a ficheiros do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as atividades de acesso e crie uma lista de ficheiros acedidos.
2. Reveja a sensibilidade dos ficheiros acedidos com o proprietário do recurso e valide o nível de acesso.

Atividade de partilha de ficheiros invulgar (por utilizador)

Atividades que indicam que um utilizador efetuou um número invulgar de ações de partilha de ficheiros a partir de uma plataforma de armazenamento na cloud em comparação com a linha de base aprendida. Isto pode indicar uma tentativa de obter informações sobre a organização. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento do utilizador e aciona um alerta quando é detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Comportamento invulgar): se conseguir confirmar que o utilizador executou legitimamente mais atividades de partilha de ficheiros do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as atividades de partilha e crie uma lista de ficheiros partilhados.
2. Reveja a confidencialidade dos ficheiros partilhados com o proprietário do recurso e valide o nível de acesso.
3. Crie uma política de ficheiros para documentos semelhantes para detetar a partilha futura de ficheiros confidenciais.

Alertas de impacto

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manipular, interromper ou destruir os seus sistemas e dados na sua organização.

Múltiplas atividades de exclusão de VM

Atividades numa única sessão que indicam que um utilizador efetuou um número invulgar de eliminações de VMs em comparação com a linha de base aprendida. Várias eliminações de VM podem indicar uma tentativa de interromper ou destruir um ambiente. No entanto, existem muitos cenários normais em que as VMs são eliminadas.

TP, B-TP ou FP?

Para melhorar a precisão e o alerta apenas quando existe uma forte indicação de uma falha de segurança, esta deteção estabelece uma linha de base em cada ambiente na organização para reduzir os incidentes de B-TP e alertar apenas quando for detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

• TP: se conseguir confirmar que as eliminações não foram autorizadas.

  Ação recomendada: suspenda o utilizador, reponha a palavra-passe e analise todos os dispositivos quanto a ameaças maliciosas. Reveja toda a atividade do utilizador para obter outros indicadores de comprometimento e explore o âmbito do impacto.

• B-TP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a realizar estas atividades de eliminação.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Contacte o utilizador e confirme a atividade.
2. Reveja toda a atividade do utilizador para obter indicadores adicionais de comprometimento, como o alerta, seguido de um dos seguintes alertas: Viagem Impossível, Atividade a partir de endereço IP anónimo ou Atividade de um país pouco frequente.

Atividade de ransomware

O ransomware é um ciberataque em que um atacante bloqueia as vítimas dos seus dispositivos ou impede-as de aceder aos seus ficheiros até que a vítima pague um resgate. O ransomware pode ser propagado por um ficheiro partilhado malicioso ou rede comprometida. Defender para Aplicativos de Nuvem utiliza conhecimentos de investigação de segurança, informações sobre ameaças e padrões comportamentais aprendidos para identificar a atividade de ransomware. Por exemplo, uma taxa elevada de carregamentos de ficheiros ou eliminações de ficheiros pode representar um processo de encriptação comum entre operações de ransomware.

Esta deteção estabelece uma linha de base dos padrões de trabalho normais de cada utilizador na sua organização, como quando o utilizador acede à cloud e o que normalmente faz na cloud.

A Defender para Aplicativos de Nuvem as políticas de deteção de ameaças automatizadas começam a ser executadas em segundo plano a partir do momento em que se liga. Ao utilizar os nossos conhecimentos de investigação de segurança para identificar padrões comportamentais que refletem a atividade de ransomware na nossa organização, Defender para Aplicativos de Nuvem fornece uma cobertura abrangente contra ataques de ransomware sofisticados.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada pelo utilizador.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP (Comportamento invulgar): o utilizador executou legitimamente várias atividades de eliminação e carregamento de ficheiros semelhantes num curto espaço de tempo.

   Ação recomendada: depois de rever o registo de atividades e confirmar que as extensões de ficheiro não são suspeitas, dispense o alerta.

3. FP (extensão de ficheiro de ransomware comum): se conseguir confirmar que as extensões dos ficheiros afetados correspondem a uma extensão de ransomware conhecida.

   Ação recomendada: contacte o utilizador e confirme se os ficheiros estão seguros e, em seguida, dispense o alerta.

Entender o escopo da violação

1. Reveja o registo de atividades para obter outros indicadores de comprometimento, como transferência em massa ou eliminação em massa, de ficheiros.
2. Se estiver a utilizar Microsoft Defender para Ponto de Extremidade, reveja os alertas do computador do utilizador para ver se foram detetados ficheiros maliciosos.
3. Pesquise no registo de atividades atividades de carregamento e partilha de ficheiros maliciosos.

Atividade de eliminação de ficheiros invulgar (por utilizador)

Atividades que indicam que um utilizador efetuou uma atividade de eliminação de ficheiros invulgar em comparação com a linha de base aprendida. Isto pode indicar um ataque de ransomware. Por exemplo, um atacante pode encriptar os ficheiros de um utilizador e eliminar todos os originais, deixando apenas as versões encriptadas que podem ser utilizadas para coagir a vítima a pagar um resgate. Defender para Aplicativos de Nuvem cria uma linha de base com base no comportamento normal do utilizador e aciona um alerta quando é detetado um comportamento invulgar.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias durante o qual os alertas não são acionados para novas localizações.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que a atividade não foi efetuada por um utilizador legítimo.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. FP: Se conseguir confirmar que o utilizador executou legitimamente mais atividades de eliminação de ficheiros do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as atividades de eliminação e crie uma lista de ficheiros eliminados. Se necessário, recupere os ficheiros eliminados.
2. Opcionalmente, crie um manual de procedimentos com o Power Automate para contactar os utilizadores e os respetivos gestores para verificar a atividade.

Aumento da classificação de prioridade da investigação (pré-visualização)

As atividades anómalas e as atividades que acionaram alertas recebem classificações com base na gravidade, no impacto do utilizador e na análise comportamental do utilizador. A análise é feita com base noutros utilizadores nos inquilinos.

Quando ocorrer um aumento significativo e anómalo na classificação de prioridade de investigação de um determinado utilizador, o alerta será acionado.

Este alerta permite detetar potenciais violações que são caracterizadas por atividades que não acionam necessariamente alertas específicos, mas acumulam-se num comportamento suspeito para o utilizador.

Período de aprendizagem

Estabelecer o padrão de atividade de um novo utilizador requer um período de aprendizagem inicial de sete dias, durante o qual os alertas não são acionados para qualquer aumento de classificação.

TP, B-TP ou FP?

1. TP: se conseguir confirmar que as atividades do utilizador não são legítimas.

   Ação recomendada: suspenda o utilizador, marque o utilizador como comprometido e reponha a palavra-passe.

2. B-TP: se conseguir confirmar que esse utilizador se desviou significativamente do comportamento habitual, mas não existe nenhuma potencial falha.

3. FP (Comportamento invulgar): se conseguir confirmar que o utilizador executou legitimamente as atividades invulgares ou mais atividades do que a linha de base estabelecida.

   Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja todas as atividades e alertas do utilizador para obter indicadores adicionais de comprometimento.

Preterição linha do tempo

Vamos descontinuar gradualmente o alerta de aumento da classificação de prioridade de investigação de Microsoft Defender para Aplicativos de Nuvem até agosto de 2024.

Após uma análise cuidadosa e consideração, decidimos preteri-lo devido à elevada taxa de falsos positivos associados a este alerta, que descobrimos não estar a contribuir eficazmente para a segurança geral da sua organização.

A nossa pesquisa indicou que esta funcionalidade não estava a adicionar valor significativo e não estava alinhada com o nosso foco estratégico na entrega de soluções de segurança fiáveis e de alta qualidade.

Estamos empenhados em melhorar continuamente os nossos serviços e garantir que eles satisfaçam as suas necessidades e expectativas.

Para quem pretende continuar a utilizar este alerta, sugerimos que utilize a seguinte consulta de investigação avançada como um modelo sugerido. Modifique a consulta com base nas suas necessidades.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Confira também