Partilhar via

Tutorial: Detetar atividades suspeitas de utilizadores com análise comportamental (UEBA)

  • Artigo

Microsoft Defender for Cloud Apps fornece as melhores deteções de classe em toda a cadeia de eliminação de ataques para utilizadores comprometidos, ameaças internas, exfiltração, ransomware e muito mais. A nossa solução abrangente é obtida através da combinação de vários métodos de deteção, incluindo anomalias, análise comportamental (UEBA) e deteções de atividade baseadas em regras, para fornecer uma visão geral de como os seus utilizadores utilizam aplicações no seu ambiente.

Então por que é importante detetar comportamentos suspeitos? O impacto de um utilizador capaz de alterar o seu ambiente na cloud pode ser significativo e afetar diretamente a sua capacidade de gerir a sua empresa. Por exemplo, os principais recursos empresariais, como os servidores que executam o web site público ou o serviço que está a fornecer aos clientes, podem ficar comprometidos.

Ao utilizar dados capturados de várias origens, Defender for Cloud Apps analisa os dados para extrair atividades de aplicações e utilizadores na sua organização, dando visibilidade aos analistas de segurança sobre a utilização da cloud. Os dados recolhidos estão correlacionados, uniformizados e enriquecidos com informações sobre ameaças, localização e muitos outros detalhes para fornecer uma vista precisa e consistente das atividades suspeitas.

Assim, para compreender totalmente os benefícios destas deteções, primeiro certifique-se de que configura as seguintes origens:

Em seguida, vai querer ajustar as suas políticas. As seguintes políticas podem ser otimizadas ao definir filtros, limiares dinâmicos (UEBA) para ajudar a preparar os seus modelos de deteção e supressões para reduzir deteções falsas positivas comuns:

  • Deteção de anomalias
  • Deteção de anomalias da Cloud Discovery
  • Deteção de atividade baseada em regras

Neste tutorial, irá aprender a otimizar as deteções de atividade dos utilizadores para identificar verdadeiros compromissos e reduzir a fadiga dos alertas resultantes do processamento de grandes volumes de deteções de falsos positivos:

Fase 1: Configurar intervalos de endereços IP

Antes de configurar políticas individuais, é aconselhável configurar intervalos de IP para que estejam disponíveis para utilização na otimização de qualquer tipo de políticas suspeitas de deteção de atividade do utilizador.

Uma vez que as informações do endereço IP são cruciais para quase todas as investigações, a configuração de endereços IP conhecidos ajuda os nossos algoritmos de machine learning a identificar localizações conhecidas e a considerá-las como parte dos modelos de machine learning. Por exemplo, adicionar o intervalo de endereços IP da sua VPN ajudará o modelo a classificar corretamente este intervalo de IP e a excluê-lo automaticamente de deteções de viagens impossíveis porque a localização VPN não representa a localização verdadeira desse utilizador.

Nota: os intervalos de IP configurados não se limitam a deteções e são utilizados ao longo de Defender for Cloud Apps em áreas como atividades no registo de atividades, Acesso Condicional, etc. Tenha isto em atenção quando configurar os intervalos. Assim, por exemplo, identificar os seus endereços IP do escritório físicos permite-lhe personalizar a forma como os registos e alertas são apresentados e investigados.

Rever alertas de deteção de anomalias desativados

Defender for Cloud Apps inclui um conjunto de alertas de deteção de anomalias para identificar diferentes cenários de segurança. Estas deteções são automaticamente ativadas fora da caixa e começarão a criar perfis de atividade do utilizador e a gerar alertas assim que os conectores de aplicações relevantes estiverem ligados .

Comece por se familiarizar com as diferentes políticas de deteção, priorize os principais cenários que considera mais relevantes para a sua organização e ajuste as políticas em conformidade.

Fase 2: Otimizar políticas de deteção de anomalias

Estão disponíveis várias políticas de deteção de anomalias incorporadas em Defender for Cloud Apps pré-configuradas para casos de utilização de segurança comuns. Deve demorar algum tempo a familiarizar-se com as deteções mais populares, tais como:

  • Viagem impossível
    Atividades do mesmo utilizador em localizações diferentes num período mais curto do que o tempo de deslocação esperado entre as duas localizações.
  • Atividade do país com pouca frequência
    Atividade a partir de uma localização que não foi visitada recentemente ou nunca visitada pelo utilizador.
  • Deteção de software maligno
    Analisa ficheiros nas suas aplicações na cloud e executa ficheiros suspeitos através do motor de informações sobre ameaças da Microsoft para determinar se estão associados a software maligno conhecido.
  • Atividade de ransomware
    Carregamentos de ficheiros para a cloud que podem estar infetados com ransomware.
  • Atividade de endereços IP suspeitos
    Atividade de um endereço IP que foi identificado como arriscado pela Microsoft Threat Intelligence.
  • Reencaminhamento de caixa de entrada suspeito
    Deteta regras de reencaminhamento de caixas de entrada suspeitas definidas na caixa de entrada de um utilizador.
  • Atividades invulgares de transferência de múltiplos ficheiros
    Deteta várias atividades de transferência de ficheiros numa única sessão relativamente à linha de base aprendida, o que pode indicar uma tentativa de falha de segurança.
  • Atividades administrativas invulgares
    Deteta várias atividades administrativas numa única sessão relativamente à linha de base aprendida, o que pode indicar uma tentativa de falha de segurança.

Para obter uma lista completa das deteções e o que fazem, veja Políticas de deteção de anomalias.

Nota

Embora algumas das deteções de anomalias se concentrem principalmente na deteção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar comportamentos anómalos dos utilizadores que podem não indicar necessariamente um compromisso. Para essas deteções, criámos outro tipo de dados chamado "comportamentos" que está disponível na Microsoft Defender XDR experiência de investigação avançada. Para obter mais informações, veja Comportamentos.

Assim que estiver familiarizado com as políticas, deve considerar como pretende ajustá-las para os requisitos específicos da sua organização para melhor direcionar as atividades que poderá querer investigar mais aprofundadamente.

  1. Definir o âmbito de políticas para utilizadores ou grupos específicos

    As políticas de análise para utilizadores específicos podem ajudar a reduzir o ruído de alertas que não são relevantes para a sua organização. Cada política pode ser configurada para incluir ou excluir utilizadores e grupos específicos, como nos seguintes exemplos:

    • Simulações de ataques
      Muitas organizações utilizam um utilizador ou um grupo para simular ataques constantemente. Obviamente, não faz sentido receber constantemente alertas das atividades destes utilizadores. Por conseguinte, pode configurar as suas políticas para excluir estes utilizadores ou grupos. Isto também ajuda os modelos de machine learning a identificar estes utilizadores e a ajustar os respetivos limiares dinâmicos em conformidade.
    • Deteções direcionadas
      A sua organização poderá estar interessada em investigar um grupo específico de utilizadores VIP, como membros de um administrador ou grupo CXO. Neste cenário, pode criar uma política para as atividades que pretende detetar e optar por incluir apenas o conjunto de utilizadores ou grupos que lhe interessam.

  2. Otimizar deteções anómalos de início de sessão

    Algumas organizações querem ver alertas resultantes de atividades de início de sessão falhadas , pois podem indicar que alguém está a tentar direcionar uma ou mais contas de utilizador. Por outro lado, os ataques de força bruta a contas de utilizador ocorrem sempre na cloud e as organizações não têm forma de os impedir. Por conseguinte, as organizações maiores geralmente decidem receber apenas alertas para atividades suspeitas de início de sessão que resultam em atividades de início de sessão bem-sucedidas, uma vez que podem representar verdadeiros compromissos.

    O roubo de identidade é uma das principais fontes de comprometimento e representa um vetor de ameaças importante para a sua organização. As nossas viagens impossíveis, a atividade de endereços IP suspeitos e os alertas de deteções pouco frequentes de país/região ajudam-no a descobrir atividades que sugerem que uma conta está potencialmente comprometida.

  3. Ajustar a sensibilidade da viagem impossívelConfigure o controlo de deslize de confidencialidade que determina o nível de supressões aplicado a comportamentos anómalos antes de acionar um alerta de viagem impossível. Por exemplo, as organizações interessadas em alta fidelidade devem considerar aumentar o nível de confidencialidade. Por outro lado, se a sua organização tiver muitos utilizadores que viajam, considere reduzir o nível de confidencialidade para suprimir as atividades das localizações comuns de um utilizador aprendidas com atividades anteriores. Pode escolher entre os seguintes níveis de confidencialidade:

    • Baixa: supressões de sistema, inquilino e utilizador
    • Médio: supressões do sistema e do utilizador
    • Alta: apenas supressões do sistema

    Localização:

    Tipo de supressão Descrição
    Sistema Deteções incorporadas que são sempre suprimidas.
    Inquilino Atividades comuns com base na atividade anterior no inquilino. Por exemplo, suprimir atividades de um ISP anteriormente alertado na sua organização.
    Utilizador Atividades comuns baseadas na atividade anterior do utilizador específico. Por exemplo, suprimir atividades de uma localização que é normalmente utilizada pelo utilizador.

Fase 3: Otimizar as políticas de deteção de anomalias da cloud Discovery

Tal como as políticas de deteção de anomalias, existem várias políticas incorporadas de deteção de anomalias de deteção de cloud que pode ajustar. Por exemplo, a política Data exfiltration to unsanctioned apps alerts you when data is being exfiltrated to an unsanctioned app and comes preconfigured with settings based on Microsoft experience in the security field.

No entanto, pode ajustar as políticas incorporadas ou criar as suas próprias políticas para o ajudar a identificar outros cenários que possa estar interessado em investigar. Uma vez que estas políticas são baseadas em registos de deteção da cloud, têm diferentes capacidades de otimização mais focadas no comportamento anómalo da aplicação e na transferência de dados não autorizada.

  1. Otimizar a monitorização de utilização
    Defina os filtros de utilização para controlar a linha de base, o âmbito e o período de atividade para detetar comportamentos anómalos. Por exemplo, poderá querer receber alertas para atividades anómalas relacionadas com funcionários de nível executivo.

  2. Otimizar a sensibilidade dos alertas
    Para evitar fadiga de alertas, configure a sensibilidade dos alertas. Pode utilizar o controlo de deslize de confidencialidade para controlar o número de alertas de alto risco enviados por 1000 utilizadores por semana. As sensibilidades mais elevadas requerem menos variância para serem consideradas uma anomalia e gerar mais alertas. Em geral, defina baixa sensibilidade para os utilizadores que não têm acesso a dados confidenciais.

Fase 4: Otimizar políticas de deteção (atividade) baseadas em regras

As políticas de deteção baseadas em regras permitem-lhe complementar políticas de deteção de anomalias com requisitos específicos da organização. Recomendamos que crie políticas baseadas em regras com um dos nossos modelos de Política de atividade (aceda aModelos de Controlo> e defina o filtro Tipo como Política de atividade) e, em seguida, configure-os para detetar comportamentos que não são normais para o seu ambiente. Por exemplo, para algumas organizações que não têm qualquer presença num determinado país/região, pode fazer sentido criar uma política que detete as atividades anómalas desse país/região e alerte sobre as mesmas. Para outros, que têm grandes ramos nesse país/região, as atividades desse país/região seriam normais e não faria sentido detetar tais atividades.

  1. Ajustar o volume de atividade
    Escolha o volume de atividade necessário antes de a deteção emitir um alerta. Utilizando o nosso exemplo de país/região, se não tiver presença num país/região, até mesmo uma única atividade é significativa e justifica um alerta. No entanto, uma falha de início de sessão único pode ser um erro humano e apenas de interesse se existirem muitas falhas num curto espaço de tempo.
  2. Otimizar filtros de atividade
    Defina os filtros necessários para detetar o tipo de atividade em que pretende alertar. Por exemplo, para detetar atividade a partir de um país/região, utilize o parâmetro Localização .
  3. Otimizar alertas
    Para evitar fadiga de alertas, defina o limite de alertas diários.

Fase 5: Configurar alertas

Nota

Desde 15 de dezembro de 2022, os Alertas/SMS (mensagens sms) foram preteridos. Se quiser receber alertas de texto, deve utilizar o Microsoft Power Automate para automatização de alertas personalizada. Para obter mais informações, veja Integrar com o Microsoft Power Automate para automatização de alertas personalizada.

Pode optar por receber alertas no formato e meio que mais se adequam às suas necessidades. Para receber alertas imediatos a qualquer altura do dia, pode preferir recebê-los por e-mail.

Também poderá querer que a capacidade de analisar alertas no contexto de outros alertas acionados por outros produtos na sua organização lhe dê uma visão holística de uma potencial ameaça. Por exemplo, poderá querer correlacionar entre eventos baseados na cloud e no local para ver se existem outras provas mitigadoras que possam confirmar um ataque.

Além disso, também pode acionar a automatização de alertas personalizada com a nossa integração com o Microsoft Power Automate. Por exemplo, pode configurar um manual de procedimentos para criar automaticamente um problema no ServiceNow ou enviar um e-mail de aprovação para executar uma ação de governação personalizada quando um alerta é acionado.

Utilize as seguintes diretrizes para configurar os alertas:

  1. E-mail
    Selecione esta opção para receber alertas por e-mail.
  2. SIEM
    Existem várias opções de integração de SIEM, incluindo Microsoft Sentinel, Microsoft Graph API de Segurança e outros SIEMs genéricos. Escolha a integração que melhor cumpre os seus requisitos.
  3. Automatização do Power Automate
    Crie os manuais de procedimentos de automatização necessários e defina-os como o alerta da política para a ação do Power Automate.

Fase 6: Investigar e remediar

Ótimo, configurou as suas políticas e começou a receber alertas de atividades suspeitas. O que deve fazer em relação a eles? Para começar, deve tomar medidas para investigar a atividade. Por exemplo, poderá querer analisar atividades que indiquem que um utilizador foi comprometido.

Para otimizar a proteção, deve considerar a configuração de ações de remediação automática para minimizar o risco para a sua organização. As nossas políticas permitem-lhe aplicar ações de governação em conjunto aos alertas para que o risco para a sua organização seja reduzido mesmo antes de começar a investigar. As ações disponíveis são determinadas pelo tipo de política, incluindo ações como suspender um utilizador ou bloquear o acesso ao recurso pedido.

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.

Saiba mais