如何調查異常偵測警示

Microsoft Defender for Cloud Apps 提供惡意活動的安全性偵測和警示。 本指南的目的是提供您每個警示的一般和實用資訊，協助您進行調查和補救工作。 本指南包含觸發警示的一般條件資訊。 不過，請務必注意，由於異常偵測本質上是不具決定性的，因此只有在有偏離規範的行為時才會觸發。 最後，某些警示可能處於預覽狀態，因此請定期檢閱官方檔以取得更新的警示狀態。

MITRE ATT&CK

為了說明並讓您更輕鬆地對應 Defender for Cloud Apps 警示與熟悉的 MITRE ATT&CK 矩陣之間的關聯性，我們已依其對應的 MITRE ATT&CK 策略來分類警示。 這個額外的參考可讓您更輕鬆地瞭解觸發 Defender for Cloud Apps 警示時可能使用的可疑攻擊技術。

本指南提供下列類別中 Defender for Cloud Apps 警示調查和補救的相關信息。

安全性警示分類

在適當的調查之後，所有 Defender for Cloud Apps 警示都可以分類為下列其中一種活動類型：

• 確 (TP) ：已確認惡意活動的警示。
• 良性確 (B-TP) ：可疑但非惡意活動的警示，例如滲透測試或其他授權的可疑動作。
• 誤 (FP) ：非惡意活動的警示。

一般調查步驟

在調查任何類型的警示時，您應該使用下列一般指導方針，以便在套用建議的動作之前，更清楚地瞭解潛在威脅。

• 檢閱使用者 的調查優先順序分數 ，並與組織的其他部分進行比較。 這可協助您識別組織中的哪些使用者會造成最大的風險。
• 如果您識別 TP，請檢閱所有用戶的活動，以了解影響。
• 檢閱所有用戶活動以取得其他入侵指標，並探索影響的來源和範圍。 例如，檢閱下列使用者裝置資訊，並與已知的裝置資訊進行比較：
  • 操作系統和版本
  • 瀏覽器和版本
  • IP 位址和位置

初次存取警示

本節描述的警示指出惡意執行者可能嘗試取得組織中的初始據點。

來自匿名IP位址的活動

描述

來自已由Microsoft威脅情報或貴組織識別為匿名 Proxy IP 位址之IP位址的活動。 這些 Proxy 可用來隱藏裝置的 IP 位址，而且可能用於惡意活動。

TP、 B-TP 或 FP？

此偵測使用機器學習演算法來減少 B-TP 事件，例如組織中使用者廣泛使用的錯誤標記 IP 位址。

1. TP：如果您能夠確認活動是從匿名或 TOR IP 位址執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. B-TP：如果已知使用者在其職責範圍內使用匿名IP位址。 例如，當安全性分析師代表組織進行安全性或滲透測試時。

   建議動作：關閉警示。

了解入侵範圍

• 檢閱所有用戶活動和警示，以取得其他入侵指標。 例如，如果警示後面接著另一個可疑的警示，例如 使用者) 的異常檔案下載 ( 或 可疑的收件匣轉寄 警示，這通常表示攻擊者嘗試外流數據。

來自不常使用國家/地區的活動。

來自可能表示惡意活動的國家/地區活動。 此原則會分析您的環境，並在從組織中任何使用者最近未曾造訪或從未造訪過的活動偵測到活動時觸發警示。

原則可以進一步限定在使用者子集，或排除已知要前往遠端位置的使用者。

學習期間

偵測異常位置需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：

   1. 暫停使用者、重設其密碼，並找出安全地重新啟用帳戶的正確時間。
   2. 選擇性：使用 Power Automate 建立劇本，以連絡偵測到從不常使用的位置與其經理連線的使用者，以確認其活動。

2. B-TP：如果已知用戶位於此位置。 例如，當經常移動且目前位於指定位置的用戶時。

   建議的動作：

   1. 關閉警示並修改原則以排除使用者。
   2. 建立頻繁旅行的使用者群組、將群組匯入 Defender for Cloud Apps，並將使用者從此警示中排除
   3. 選擇性：使用 Power Automate 建立劇本，以連絡偵測到從不常使用的位置與其經理連線的使用者，以確認其活動。

了解入侵範圍

• 檢閱哪些資源可能遭到入侵，例如可能的數據下載。

來自可疑 IP 位址的活動

來自已由Microsoft威脅情報或貴組織識別為有風險之IP位址的活動。 這些IP位址已識別為與惡意活動有關，例如執行密碼噴射、Botnet 命令和控制 (C&C) ，而且可能表示帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. B-TP：如果已知使用者在其職責範圍內使用IP位址。 例如，當安全性分析師代表組織進行安全性或滲透測試時。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱活動記錄，並搜尋來自相同IP位址的活動。
2. 檢閱哪些資源可能遭到入侵，例如可能的數據下載或系統管理修改。
3. 為安全性分析師建立一個群組，主動觸發這些警示，並將其從原則中排除。

不可能的移動

來自不同位置之相同用戶的活動，時間週期比兩個位置之間的預期行進時間短。 這可能表示認證缺口，不過，也可能遮罩用戶的實際位置，例如使用 VPN。

若要只在有強式缺口指示時才改善精確度和警示，Defender for Cloud Apps 在組織中的每個使用者上建立基準，並且只有在偵測到異常行為時才會發出警示。 不可能的旅遊原則可以根據您的需求進行微調。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

此偵測會使用機器學習演算法來忽略明顯的 B-TP 條件，例如當旅遊兩端的 IP 位址都被視為安全時，會信任該行進，並排除在觸發不可能的移動偵測之外。 例如，如果兩端 都標記為公司，則會將其視為安全。 不過，如果只將行進一端的IP位址視為安全，則會如常觸發偵測。

1. TP：如果您能夠確認使用者不太可能出現在不可能的移動警示中的位置。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (未偵測到的用戶移動) ：如果您能夠確認使用者最近已前往警示中詳述的目的地。 例如，如果處於飛航模式的用戶手機在前往不同位置時仍連線到公司網路上的 Exchange Online 等服務。 當使用者抵達新位置時，電話會連線到 Exchange Online 觸發不可能的移動警示。

   建議動作：關閉警示。

3. FP (未標記的 VPN) ：如果您能夠確認 IP 位址範圍來自獲批准的 VPN。

   建議的動作：關閉警示並將 VPN 的 IP 位址範圍新增至 Defender for Cloud Apps，然後使用它來標記 VPN 的 IP 位址範圍。

了解入侵範圍

1. 檢閱活動記錄，以瞭解相同位置和IP位址中的類似活動。
2. 如果您看到使用者執行其他有風險的活動，例如從新位置下載大量檔案，這會強烈指出可能遭到入侵。
3. 新增公司 VPN 和 IP 位址範圍。
4. 使用 Power Automate 建立劇本，並連絡使用者的管理員，以查看使用者是否合法地旅行。
5. 請考慮建立已知的旅遊者資料庫，最多可達組織旅遊報告的分鐘數，並使用它來交叉參考旅遊活動。

誤導 OAuth 應用程式名稱

此偵測會識別具有類似拉丁字母之字元的應用程式，例如外字母。 這可能表示嘗試將惡意應用程式設為已知且受信任的應用程式，讓攻擊者可以讓使用者下載其惡意應用程式。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認應用程式有誤導的名稱。

   建議動作：檢閱此應用程式要求的權限層級，以及哪些使用者已授予存取權。 根據您的調查，您可以選擇禁止存取此應用程式。

若要禁止存取應用程式，請在 [應用程式控管] 頁面上的 [Google] 或 [Salesforce] 索引標籤上，於您要禁止的應用程式出現的數據列上，選取 [禁止] 圖示。 - 您可以選擇是否要告訴使用者他們安裝並授權的應用程式已遭禁用。 通知可讓使用者知道應用程式已停用，而且他們將無法存取連線的應用程式。 如果您不想讓他們知道，請取消選取 [通知] 在對話框中 授與此禁用應用程式存取權的使用者 。 - 建議您讓應用程式使用者知道他們的應用程式即將禁止使用。

1. FP：如果您要確認應用程式有誤導的名稱，但在組織中有合法的商業用途。

   建議動作：關閉警示。

了解入侵範圍

• 請遵循教學課程，了解如何調查有風險的 OAuth 應用程式。

OAuth 應用程式的誤導發行者名稱

此偵測會識別具有類似拉丁字母之字元的應用程式，例如外字母。 這可能表示嘗試將惡意應用程式設為已知且受信任的應用程式，讓攻擊者可以讓使用者下載其惡意應用程式。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認應用程式具有誤導的發行者名稱。

   建議動作：檢閱此應用程式要求的權限層級，以及哪些使用者已授予存取權。 根據您的調查，您可以選擇禁止存取此應用程式。

2. FP：如果您要確認應用程式具有誤導的發行者名稱，但卻是合法的發行者。

   建議動作：關閉警示。

了解入侵範圍

1. 在 [應用程式控管] 頁面上的 [Google] 或 [Salesforce] 索引卷標上，選取要開啟 [應用程式] 選單的應用程式，然後選取 [相關活動]。 這會開啟針對應用程式所執行的活動篩選的活動 記錄 頁面。 請記住，某些應用程式會執行註冊為用戶已執行的活動。 這些活動會自動篩選出活動記錄中的結果。 如需使用活動記錄的進一步調查，請參閱 活動記錄。
2. 如果您懷疑應用程式可疑，建議您調查不同應用程式商店中的應用程式名稱和發行者。 檢查 App Store 時，請專注於下列類型的應用程式：
   • 下載次數較少的應用程式。
   • 評等低、分數或不正確批注的應用程式。
   • 具有可疑發行者或網站的應用程式。
   • 最近尚未更新的應用程式。 這可能表示不再支持的應用程式。
   • 具有不相關許可權的應用程式。 這可能表示應用程式有風險。
3. 如果您仍然懷疑應用程式可疑，您可以在線研究應用程式名稱、發行者和URL。

執行警示

本節描述指出惡意執行者可能嘗試在組織中執行惡意代碼的警示。

多個儲存空間刪除活動

單一會話中的活動，指出相較於學習到的基準，使用者從 Azure Blob、AWS S3 貯體或 Cosmos DB 等資源執行異常數目的雲端記憶體或資料庫刪除。 這可能表示已嘗試入侵您的組織。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您要確認刪除未經授權。

   建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。

2. FP：如果在調查之後，您能夠確認系統管理員已獲授權執行這些刪除活動。

   建議動作：關閉警示。

了解入侵範圍

1. 請連絡用戶並確認活動。
2. 檢閱活動記錄以取得其他入侵指標，並查看誰做了變更。
3. 檢閱該用戶的活動，以取得其他服務的變更。

多個 VM 建立活動

單一會話中的活動，表示相較於學習到的基準，用戶執行的 VM 建立動作數目不尋常。 在遭入侵的雲端基礎結構上建立多個 VM，可能表示嘗試從組織內執行密碼編譯採礦作業。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

為了只在有強式缺口指示時才改善精確度和警示，此偵測會在組織中的每個環境上建立基準，以減少 B-TP 事件，例如系統管理員合法建立的 VM 比已建立的基準還多，而且只有在偵測到異常行為時才會發出警示。

• TP：如果您能夠確認建立活動不是由合法的用戶執行。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。 此外，請連絡使用者、確認其合法動作，然後確定您停用或刪除任何遭入侵的 VM。

• B-TP：如果在調查之後，您能夠確認系統管理員已獲授權執行這些建立活動。

  建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標。
2. 檢閱使用者所建立或修改的資源，並確認它們符合您組織的原則。

雲端區域的可疑建立活動 (預覽)

活動表示相較於學習到的基準，使用者在不常見的AWS區域中執行不尋常的資源建立動作。 在不常見的雲端區域中建立資源可能表示嘗試執行惡意活動，例如組織內的密碼編譯採礦作業。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

為了只在有強式缺口指示時才改善精確度和警示，此偵測會在組織中的每個環境上建立基準，以減少 B-TP 事件。

• TP：如果您能夠確認建立活動不是由合法的用戶執行。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。 此外，請連絡使用者、確認其合法動作，然後確定您停用或刪除任何遭入侵的雲端資源。

• B-TP：如果在調查之後，您能夠確認系統管理員已獲授權執行這些建立活動。

  建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標。
2. 檢閱建立的資源，並確認它們符合您組織的原則。

持續性警示

本節描述的警示指出惡意執行者可能嘗試維護其在組織中的據點。

由已終止的使用者執行的活動

由已終止使用者執行的活動可能表示仍有公司資源存取權的已終止員工嘗試執行惡意活動。 Defender for Cloud Apps 分析組織中的使用者，並在終止的使用者執行活動時觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已終止的使用者仍可存取特定公司資源並正在執行活動。

   建議的動作：停用使用者。

2. B-TP：如果您能夠判斷使用者已暫時停用或已刪除並重新註冊。

   建議動作：關閉警示。

了解入侵範圍

1. 交叉參考 HR 記錄，以確認使用者已終止。
2. 驗證 Microsoft Entra 用戶帳戶是否存在。

   注意事項

   如果使用 Microsoft Entra Connect，請驗證 內部部署的 Active Directory 物件，並確認同步處理迴圈成功。

3. 識別已終止用戶有權存取並解除委任帳戶的所有應用程式。
4. 更新解除委任程式。

CloudTrail 記錄服務的可疑變更

單一會話中的活動，指出使用者對 AWS CloudTrail 記錄服務執行了可疑的變更。 這可能表示已嘗試入侵您的組織。 停用 CloudTrail 時，不會再記錄作業變更。 攻擊者可在避免 CloudTrail 稽核事件時執行惡意活動，例如將 S3 貯體從私人修改為公用。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、重設其密碼，以及反轉 CloudTrail 活動。

2. FP：如果您能夠確認使用者合法停用 CloudTrail 服務。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱活動記錄以取得其他入侵指標，並查看誰對 CloudTrail 服務進行了變更。
2. 選擇性：使用 Power Automate 建立劇本，以連絡使用者及其管理員以確認其活動。

使用者 (的可疑電子郵件刪除活動)

單一會話中的活動，指出使用者已執行可疑的電子郵件刪除。 刪除類型是「硬式刪除」類型，這會刪除電子郵件專案，且無法在使用者的信箱中使用。 刪除是從包含不常見喜好設定的連線進行，例如 ISP、國家/地區和使用者代理程式。 這可能表示已嘗試入侵您的組織，例如攻擊者嘗試刪除與垃圾郵件活動相關的電子郵件來遮罩作業。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP：如果您能夠確認使用者已合法建立規則來刪除訊息。

   建議動作：關閉警示。

了解入侵範圍

• 檢閱所有用戶活動，以取得其他入侵指標，例如 可疑收件匣轉寄 警示，後面接著 「不可能的移動」 警示。 尋找：

  1. 新的 SMTP 轉送規則，如下所示：
     • 檢查是否有惡意轉送規則名稱。 規則名稱可能會因簡單名稱而有所不同，例如「轉寄所有電子郵件」和「自動轉寄」，或是不常顯示的名稱。」 轉寄規則名稱甚至可以是空的，而且轉寄收件者可以是單一電子郵件帳戶或整個清單。 惡意規則也可以從使用者介面隱藏。 偵測到之後，您可以使用這篇實用的 部落格文章 ，說明如何從信箱中刪除隱藏的規則。
     • 如果您偵測到無法辨識的轉寄規則到未知的內部或外部電子郵件位址，您可以假設收件匣帳戶遭到入侵。
  2. 新的收件匣規則，例如「全部刪除」、「將訊息移至另一個資料夾」，或具有模糊命名慣例的規則，例如 “...”。
  3. 已傳送的電子郵件增加。

可疑的收件匣操作規則

活動指出攻擊者已取得使用者收件匣的存取權，並建立了可疑的規則。 從使用者的收件匣中刪除或移動訊息或資料夾等操作規則，可能會嘗試從您的組織外流資訊。 同樣地，它們可能表示嘗試操作使用者看到的資訊，或使用其收件匣來散發垃圾郵件、網路釣魚電子郵件或惡意代碼。 Defender for Cloud Apps 分析您的環境，並在使用者的收件匣上偵測到可疑的收件匣操作規則時觸發警示。 這可能表示用戶的帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已建立惡意收件匣規則，且帳戶遭到入侵。

   建議的動作：暫停使用者、重設其密碼，以及移除轉送規則。

2. FP：如果您能夠確認使用者合法地建立規則。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如 可疑收件匣轉寄 警示，後面接著 「不可能的移動」 警示。 尋找：
   • 新的 SMTP 轉送規則。
   • 新的收件匣規則，例如「全部刪除」、「將訊息移至另一個資料夾」，或具有模糊命名慣例的規則，例如 “...”。
2. 收集動作的IP位址和位置資訊。
3. 檢閱從用來建立規則的IP位址執行的活動，以偵測其他遭入侵的使用者。

許可權提升警示

本節描述的警示指出惡意執行者可能嘗試在組織中取得較高層級的許可權。

使用者) (不尋常的系統管理活動

活動指出攻擊者已入侵用戶帳戶，並執行該使用者不常見的系統管理動作。 例如，攻擊者可以嘗試變更使用者的安全性設定，這是一般用戶相當少見的作業。 Defender for Cloud Apps 根據用戶的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法的系統管理員執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP：如果您能夠確認系統管理員合法地執行不尋常的系統管理活動量。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如 可疑收件匣轉寄 或 不可能的移動。
2. 檢閱其他組態變更，例如建立可用於持續性的用戶帳戶。

認證存取警示

本節描述的警示指出惡意執行者可能嘗試從您的組織竊取帳戶名稱和密碼。

多次失敗的登入嘗試

失敗的登入嘗試可能表示嘗試入侵帳戶。 不過，失敗的登入也可以是正常行為。 例如，當使用者不小心輸入錯誤的密碼時。 若要達到精確度，並且只有在有強烈指示嘗試入侵時才會發出警示，Defender for Cloud Apps 為組織中的每個使用者建立登入習慣的基準，而且只會在偵測到異常行為時發出警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

此原則是以了解使用者的正常登入行為為基礎。 偵測到與標準的偏差時，會觸發警示。 如果偵測開始看到相同的行為持續發生，則只會引發一次警示。

1. TP (MFA 失敗) ：如果您能夠確認 MFA 正常運作，這可能是暴力密碼破解攻擊嘗試的徵兆。

   建議的動作：

   1. 暫停使用者、將用戶標示為遭入侵，然後重設其密碼。
   2. 尋找執行失敗驗證的應用程式並重新設定。
   3. 尋找在活動期間登入的其他用戶，因為他們可能也會遭到入侵。 暫停使用者、將用戶標示為遭入侵，然後重設其密碼。

2. B-TP (MFA 失敗) ：如果您能夠確認警示是由 MFA 問題所造成。

   建議的動作：使用 Power Automate 建立劇本以連絡使用者，並檢查他們是否有 MFA 問題。

3. B-TP (設定不當的應用程式) ：如果您能夠確認設定錯誤的應用程式嘗試使用過期的認證多次連線到服務。

   建議動作：關閉警示。

4. B-TP (密碼已變更) ：如果您能夠確認使用者最近已變更其密碼，但未影響網路共用的認證。

   建議動作：關閉警示。

5. B-TP (安全性測試) ：如果您能夠確認安全性分析師正在代表組織進行安全性或滲透測試。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如警示後面接著下列其中一個警示： 不可能的移動、 來自匿名IP位址的活動，或 來自不常使用的國家/地區的活動。
2. 檢閱下列使用者裝置資訊，並與已知的裝置資訊進行比較：
   • 操作系統和版本
   • 瀏覽器和版本
   • IP 位址和位置
3. 識別發生驗證嘗試的來源IP位址或位置。
4. 識別使用者最近是否變更了密碼，並確保所有應用程式和裝置都有更新的密碼。

異常地新增認證至 OAuth 應用程式

此偵測會識別 OAuth 應用程式中具有特殊許可權認證的可疑新增專案。 這可能表示攻擊者已入侵應用程式，並將其用於惡意活動。

學習期間

學習您組織的環境需要七天的期間，您可能會預期會有大量的警示。

OAuth 應用程式的異常 ISP

此偵測會識別從 ISP 連線到雲端應用程式的 OAuth 應用程式，該 ISP 對應用程式而言並不常見。 這可能表示攻擊者嘗試使用合法遭入侵的應用程式，在您的雲端應用程式上執行惡意活動。

學習期間

此偵測的學習期間為30天。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是 OAuth 應用程式的合法活動，或合法的 OAuth 應用程式未使用此 ISP。

   建議的動作：撤銷 OAuth 應用程式的所有存取令牌，並調查攻擊者是否有權產生 OAuth 存取令牌。

2. FP：如果您可以確認活動是由正版 OAuth 應用程式合法進行。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱 OAuth 應用程式所執行的活動。

2. 調查攻擊者是否有權產生 OAuth 存取令牌。

集合警示

本節說明警示，指出惡意執行者可能嘗試從貴組織收集其目標的相關數據。

多個 Power BI 報表共用活動

單一會話中的活動，指出相較於學習到的基準，使用者在Power BI中執行的共享報表活動數目異常。 這可能表示已嘗試入侵您的組織。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：從 Power BI 移除共用存取權。 如果您能夠確認帳戶遭到入侵，請暫停使用者、將用戶標示為遭入侵，然後重設其密碼。

2. FP：如果您能夠確認使用者有共用這些報告的商業理由。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱活動記錄，以進一步瞭解使用者所執行的其他活動。 查看其登入來源的IP位址和裝置詳細數據。
2. 請連絡您的Power BI小組或 資訊保護 小組，以瞭解在內部和外部共用報表的指導方針。

可疑的Power BI報表共用

指出用戶共用Power BI報表的活動，其中可能包含使用NLP來分析報表元數據所識別的敏感性資訊。 報表已與外部電子郵件地址共享、發佈至 Web，或是快照集已傳遞至外部訂閱的電子郵件位址。 這可能表示已嘗試入侵您的組織。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：從 Power BI 移除共用存取權。 如果您能夠確認帳戶遭到入侵，請暫停使用者、將用戶標示為遭入侵，然後重設其密碼。

2. FP：如果您能夠確認使用者有共用這些報告的商業理由。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱活動記錄，以進一步瞭解使用者所執行的其他活動。 查看其登入來源的IP位址和裝置詳細數據。
2. 請連絡您的Power BI小組或 資訊保護 小組，以瞭解在內部和外部共用報表的指導方針。

使用者 (的異常模擬活動)

在某些軟體中，有一些選項可讓其他用戶模擬其他使用者。 例如，電子郵件服務可讓使用者授權其他使用者代表他們傳送電子郵件。 攻擊者通常會使用此活動來建立網路釣魚電子郵件，以嘗試擷取貴組織的相關信息。 Defender for Cloud Apps 會根據用戶的行為建立基準，並在偵測到不尋常的模擬活動時建立活動。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (異常行為) ：如果您能夠確認使用者是否合法地執行不尋常的活動，或比建立的基準還多的活動。

   建議動作：關閉警示。

3. FP：如果您能夠確認 Teams 之類的應用程式是否合法地模擬使用者。

   建議的動作：檢閱動作，並視需要關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動和警示，以取得其他入侵指標。
2. 檢閱模擬活動以識別潛在的惡意活動。
3. 檢閱委派的存取設定。

外流警示

本節描述的警示指出惡意執行者可能嘗試從組織竊取數據。

可疑收件匣轉寄

活動指出攻擊者已取得使用者收件匣的存取權，並建立了可疑的規則。 操作規則，例如將所有或特定電子郵件轉寄至另一個電子郵件帳戶，可能會嘗試從您的組織外流資訊。 Defender for Cloud Apps 分析您的環境，並在使用者收件匣上偵測到可疑的收件匣操作規則時觸發警示。 這可能表示用戶的帳戶遭到入侵。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認已建立惡意收件匣轉寄規則，且帳戶遭到入侵。

   建議的動作：暫停使用者、重設其密碼，以及移除轉送規則。

2. FP：如果您能夠確認使用者基於合法原因，已建立轉送規則至新的或個人外部電子郵件帳戶。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動，以取得其他入侵指標，例如警示後面接著 「不可能的旅遊」 警示。 尋找：

   1. 新的 SMTP 轉送規則，如下所示：
      • 檢查是否有惡意轉送規則名稱。 規則名稱可能會因簡單名稱而有所不同，例如「轉寄所有電子郵件」和「自動轉寄」，或是不常顯示的名稱。」 轉寄規則名稱甚至可以是空的，而且轉寄收件者可以是單一電子郵件帳戶或整個清單。 惡意規則也可以從使用者介面隱藏。 偵測到之後，您可以使用這篇實用的 部落格文章 ，說明如何從信箱中刪除隱藏的規則。
      • 如果您偵測到無法辨識的轉寄規則到未知的內部或外部電子郵件位址，您可以假設收件匣帳戶遭到入侵。
   2. 新的收件匣規則，例如「全部刪除」、「將訊息移至另一個資料夾」，或具有模糊命名慣例的規則，例如 “...”。

2. 檢閱從用來建立規則的IP位址執行的活動，以偵測其他遭入侵的使用者。

3. 使用 Exchange Online 訊息追蹤來檢閱轉送的訊息清單。

使用者) 的異常檔案下載 (

活動指出，相較於所學到的基準，使用者從雲端儲存平臺執行的檔案下載次數異常。 這可能表示嘗試取得組織的相關信息。 Defender for Cloud Apps 會根據用戶的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (異常行為) ：如果您可以確認使用者合法執行的檔案下載活動比建立的基準還多。

   建議動作：關閉警示。

3. FP (軟體同步處理) ：如果您能夠確認 OneDrive 等軟體已與造成警示的外部備份同步。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱下載活動，並建立已下載的檔案清單。
2. 檢閱資源擁有者下載檔的敏感度，並驗證存取層級。

使用者 (的異常檔案存取)

活動指出，相較於所學到的基準，使用者在 SharePoint 或 OneDrive 中對包含財務數據或網路數據的檔案執行了不尋常的檔案存取數目。 這可能表示嘗試取得組織的相關信息，不論是基於財務目的，還是基於認證存取和橫向移動。 Defender for Cloud Apps 會根據用戶的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

學習期間取決於用戶的活動。 一般而言，大部分用戶的學習期間介於 21 到 45 天之間。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (異常行為) ：如果您可以確認使用者合法執行的檔案存取活動比建立的基準還多。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱存取活動，並建立存取的檔案清單。
2. 檢閱具有資源擁有者之存取檔案的敏感度，並驗證存取層級。

使用者) (的異常檔案共享活動

活動指出，相較於所學到的基準，使用者從雲端儲存平臺執行的檔案共享動作數目異常。 這可能表示嘗試取得組織的相關信息。 Defender for Cloud Apps 會根據用戶的行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (異常行為) ：如果您能夠確認使用者合法執行的檔案共享活動比建立的基準還多。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱共用活動並建立共用檔案清單。
2. 檢閱與資源擁有者共用檔案的敏感度，並驗證存取層級。
3. 建立類似檔的檔案原則，以偵測未來共用敏感性檔案。

影響警示

本節描述的警示指出惡意執行者可能嘗試操作、中斷或終結您組織中的系統和數據。

多次刪除 VM 活動

單一會話中的活動，指出相較於所學到的基準，用戶執行的 VM 刪除次數異常。 多次刪除 VM 可能表示嘗試中斷或終結環境。 不過，有許多一般案例會刪除 VM。

TP、 B-TP 或 FP？

為了只在有強式缺口指示時才改善精確度和警示，此偵測會在組織中的每個環境上建立基準，以減少 B-TP 事件，並且只在偵測到異常行為時發出警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

• TP：如果您能夠確認刪除未經授權。

  建議的動作：暫停使用者、重設其密碼，以及掃描所有裝置是否有惡意威脅。 檢閱所有用戶活動以取得其他入侵指標，並探索影響範圍。

• B-TP：如果在調查之後，您能夠確認系統管理員已獲授權執行這些刪除活動。

  建議動作：關閉警示。

了解入侵範圍

1. 請連絡用戶並確認活動。
2. 檢閱所有用戶活動以取得其他入侵指標，例如警示後面接著下列其中一個警示： 不可能的移動、 來自匿名IP位址的活動，或 來自不常使用的國家/地區的活動。

勒索軟體活動

勒索軟體是一種網路攻擊，攻擊者會鎖定其裝置外的攻擊者，或阻止他們存取其檔案，直到犧牲者支付勒索為止。 勒索軟體可透過惡意共享檔案或遭入侵的網路散佈。 Defender for Cloud Apps 使用安全性研究專業知識、威脅情報和學習到的行為模式來識別勒索軟體活動。 例如，高比率的檔案上傳或檔案刪除，可能代表勒索軟體作業中常見的加密程式。

此偵測會建立貴組織中每個使用者正常運作模式的基準，例如當使用者存取雲端時，以及他們通常在雲端中執行的動作。

從您連線開始，Defender for Cloud Apps 自動化威脅偵測原則就會在背景中執行。 使用我們的安全性研究專業知識來識別反映組織中勒索軟體活動的行為模式，Defender for Cloud Apps 提供針對複雜勒索軟體攻擊的完整涵蓋範圍。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由用戶執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP (異常行為) ：用戶在短時間內合法地執行多個類似檔案的刪除和上傳活動。

   建議的動作：檢閱活動記錄並確認擴展名不可疑之後，請關閉警示。

3. FP (常見的勒索軟體擴展名) ：如果您能夠確認受影響檔案的擴充功能符合已知的勒索軟體擴充功能。

   建議的動作：連絡使用者並確認檔案安全，然後關閉警示。

了解入侵範圍

1. 檢閱活動記錄以取得其他入侵指標，例如大量下載或大量刪除檔案。
2. 如果您使用 適用於端點的 Microsoft Defender，請檢閱使用者的電腦警示，以查看是否偵測到惡意檔案。
3. 在活動記錄中搜尋惡意檔案上傳和共享活動。

使用者) (的異常檔案刪除活動

相較於學習到的基準，指出使用者執行不尋常的檔案刪除活動的活動。 這可能表示勒索軟體攻擊。 例如，攻擊者可以加密用戶的檔案並刪除所有原始版本，只留下可用來強制犧牲者支付勒索的加密版本。 Defender for Cloud Apps 會根據使用者的正常行為建立基準，並在偵測到異常行為時觸發警示。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何新位置觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認活動不是由合法使用者執行。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. FP：如果您能夠確認使用者合法執行的檔案刪除活動比建立的基準還多。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱刪除活動，並建立已刪除的檔案清單。 如有需要，請復原已刪除的檔案。
2. 選擇性地使用Power Automate 建立劇本，以連絡使用者及其管理員以驗證活動。

調查優先順序分數 (預覽)

系統會根據使用者的嚴重性、使用者影響和行為分析，為觸發警示的異常活動和活動提供分數。 分析是根據租使用者中的其他用戶來完成。

當特定使用者的調查優先順序分數大幅增加且異常增加時，將會觸發警示。

此警示可讓您偵測可能的缺口，其特性是活動不一定會觸發特定警示，但會累積到使用者的可疑行為。

學習期間

建立新用戶的活動模式需要 7 天的初始學習期間，在此期間不會針對任何分數增加觸發警示。

TP、 B-TP 或 FP？

1. TP：如果您能夠確認用戶的活動不合法。

   建議的動作：暫停使用者、將用戶標示為遭入侵，以及重設其密碼。

2. B-TP：如果您能夠確認用戶確實明顯偏離一般行為，但沒有潛在的缺口。

3. FP (異常行為) ：如果您能夠確認使用者是否合法地執行不尋常的活動，或比建立的基準還多的活動。

   建議動作：關閉警示。

了解入侵範圍

1. 檢閱所有用戶活動和警示，以取得其他入侵指標。

淘汰時間軸

我們將在 2024 年 8 月前逐漸淘汰調查優先順序分數增加警示 Microsoft Defender for Cloud Apps。

經過仔細分析和考慮之後，我們決定將其取代，因為與此警示相關聯的誤判率很高，我們發現這不會有效地影響組織的整體安全性。

我們的研究指出這項功能並未增加顯著的價值，而且與我們提供高品質可靠安全性解決方案的策略重點不一致。

我們致力於持續改善我們的服務，並確保它們符合您的需求和期望。

對於想要繼續使用此警示的人員，建議您改用下列進階搜捕查詢作為建議的範本。 根據您的需求修改查詢。

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

另請參閱