Untersuchen von Warnungen zur Anomalieerkennung

Microsoft Defender for Cloud Apps bietet Sicherheitserkennungen und Warnungen für böswillige Aktivitäten. Der Zweck dieses Leitfadens besteht darin, Ihnen allgemeine und praktische Informationen zu den einzelnen Warnungen bereitzustellen, die Ihnen bei der Untersuchung und Behebung von Problemen helfen. Diese Anleitung enthält allgemeine Informationen zu den Bedingungen für das Auslösen von Warnungen. Es ist jedoch wichtig zu wissen, dass die Anomalieerkennung von Natur aus nicht deterministisch ist und nur dann ausgelöst wird, wenn ein von der Norm abweichendes Verhalten vorliegt. Einige Warnungen befinden sich möglicherweise noch in der Vorschauphase, daher sollten Sie sich regelmäßig in der offiziellen Dokumentation über den aktuellen Status der Warnungen informieren.

MITRE ATT&CK

Um die Beziehung zwischen Defender for Cloud Apps-Warnungen und der bekannten MITRE ATT&CK-Matrix zu erläutern und zu vereinfachen, haben wir die Warnmeldungen nach der entsprechenden MITRE ATT&CK-Taktik kategorisiert. Diese zusätzliche Referenz macht es einfacher, die mutmaßliche Angriffstechnik zu verstehen, die möglicherweise verwendet wird, wenn ein Defender for Cloud Apps-Alarm ausgelöst wird.

Dieser Leitfaden enthält Informationen zum Untersuchen und Beheben von Defender for Cloud Apps-Warnungen in den folgenden Kategorien.

Klassifizierungen von Sicherheitswarnungen

Nach einer gründlichen Untersuchung können alle Defender for Cloud Apps-Warnungen einem der folgenden Aktivitätstypen zugeordnet werden:

  • True Positive (TP): Eine Warnung zu einer bestätigten böswilligen Aktivität.
  • Gutartiges True Positives (B-TP): Eine Warnung zu verdächtigen, aber nicht bösartigen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
  • Falsch positives Ergebnis (FP): Eine Warnung zu einer nicht schädlichen Aktivität.

Allgemeine Untersuchungsschritte

Sie sollten die folgenden allgemeinen Richtlinien bei der Untersuchung jeder Art von Warnung anwenden, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlenen Maßnahmen ergreifen.

  • Überprüfen Sie den Wert der Untersuchungspriorität des Benutzers/der Benutzerin und vergleichen Sie ihn mit dem Rest der Organisation. Auf diese Weise können Sie ermitteln, welche Benutzer*innen in Ihrer Organisation das größte Risiko darstellen.
  • Wenn Sie ein TP identifizieren, überprüfen Sie alle Aktivitäten des Benutzers/der Benutzerin, um ein Verständnis der Auswirkungen zu erhalten.
  • Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren, und untersuchen Sie die Quelle und den Umfang der Auswirkungen. Überprüfen Sie beispielsweise die folgenden Benutzergeräteinformationen, und vergleichen Sie sie mit bekannten Geräteinformationen:
    • Betriebssystem und Version
    • Browser und Version
    • IP-Adresse und Standort

Warnungen Erstzugriffe

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur versuchen könnte, in Ihrem Unternehmen Fuß zu fassen.

Aktivität über anonyme IP-Adresse

Beschreibung

Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence oder Ihrer Organisation als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys können verwendet werden, um die IP-Adresse eines Geräts zu verbergen, und können für bösartige Aktivitäten verwendet werden.

TP, B-TP oder FP?

Die Erkennung nutzt einen Algorithmus für maschinelles Lernen, um B-TP-Vorfälle wie etwa falsch gekennzeichnete IP-Adressen zu reduzieren, die regelmäßig von anderen Benutzer*innen in der Organisation verwendet werden.

  1. TP: Wenn Sie bestätigen können, dass die Aktivität von einer anonymen oder TOR-IP-Adresse ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. B-PT: Wenn bekannt ist, dass ein*e Benutzer*in im Rahmen seiner/ihrer Tätigkeit anonyme IP-Adressen verwendet. Wenn beispielsweise ein*e Sicherheitsanalyst*in Sicherheits- oder Penetrationstests im Auftrag der Organisation durchführt.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

Aktivität aus seltenem Land

Aktivitäten aus einem Land/einer Region, die auf böswillige Aktivitäten hinweisen könnten. Diese Richtlinie erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Aktivitäten von einem Standort aus erkannt werden, der in letzter Zeit nicht oder noch nie von einem Benutzer im Unternehmen besucht wurde.

Die Richtlinie kann auf eine Untergruppe von Benutzer*innen beschränkt werden oder Benutzer*innen ausschließen, von denen bekannt ist, dass sie an entfernte Orte reisen.

Lernzeitraum

Für die Erkennung anomales Speicherorte ist ein anfänglicher Lernzeitraum von sieben Tagen erforderlich, in dem Warnungen für neue Standorte nicht ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Maßnahme:

    1. Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und identifizieren Sie den richtigen Zeitpunkt, um das Konto sicher wieder zu aktivieren.
    2. Optional: Erstellen Sie mithilfe von Power Automate ein Playbook, um Benutzer*innen, die sich von seltenen Standorten aus verbinden, und ihre Vorgesetzten zu kontaktieren, um ihre Aktivitäten zu überprüfen.
  2. B-TP: Wenn bekannt ist, dass sich ein*e Benutzer*in an diesem Ort befindet. Zum Beispiel ein*e Benutzer*in, der/die häufig reist und sich gerade an dem angegebenen Ort befindet.

    Empfohlene Maßnahme:

    1. Schließen Sie die Warnung, und ändern Sie die Richtlinie, um den/die Benutzer*in auszuschließen.
    2. Erstellen sie eine Benutzergruppe für häufige Reisende, importieren Sie die Gruppe in Defender for Cloud Apps, und schließen Sie die Benutzer*innen aus dieser Warnung aus.
    3. Optional: Erstellen Sie mithilfe von Power Automate ein Playbook, um Benutzer*innen, die sich von seltenen Standorten aus verbinden, und ihre Vorgesetzten zu kontaktieren, um ihre Aktivitäten zu überprüfen.

Verstehen des Umfangs der Verletzung

  • Überprüfen Sie, welche Ressource möglicherweise kompromittiert wurde, z. B. potenzielle Daten-Downloads.

Aktivität von verdächtigen IP-Adressen

Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence oder Ihrer Organisation als riskant identifiziert wurde. Es wurde festgestellt, dass diese IP-Adressen in böswillige Aktivitäten verwickelt sind, wie z. B. Passwort-Spray, Botnet Command and Control (C&C), und dass sie auf ein kompromittiertes Konto hindeuten könnten.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. B-TP: Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet: Wenn beispielsweise ein*e Sicherheitsanalyst*in Sicherheits- oder Penetrationstests im Auftrag der Organisation durchführt.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll, und suchen Sie nach Aktivitäten aus derselben IP-Adresse.
  2. Überprüfen Sie, welche Ressourcen möglicherweise kompromittiert wurden, z. B. mögliche Datendownloads oder administrative Änderungen.
  3. Erstellen Sie eine Gruppe für Sicherheitsanalysten, die diese Warnungen willentlich auslösen, und schließen Sie sie von der Richtlinie aus.

Unmöglicher Ortswechsel

Aktivitäten von demselben/derselben Benutzer*in an unterschiedlichen Orten innerhalb eines Zeitraums, der kürzer als die erwartete Reisezeit zwischen den beiden Standorten ist. Dies kann auf eine Verletzung der Anmeldedaten hindeuten, es ist aber auch möglich, dass der tatsächliche Standort des Benutzers/der Benutzerin verschleiert wird, z. B. durch die Verwendung eines VPN.

Um die Genauigkeit zu verbessern und nur dann zu alarmieren, wenn es starke Anzeichen für einen Verstoß gibt, legt Defender for Cloud Apps eine Basislinie für jeden Benutzer im Unternehmen fest und alarmiert nur, wenn ein ungewöhnliches Verhalten festgestellt wird. Die Richtlinie zum unmöglichen Ortswechsel kann auf Ihre Anforderungen abgestimmt werden.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Bei dieser Erkennung wird ein Algorithmus für maschinelles Lernen verwendet, der offensichtliche B-TP-Bedingungen ignoriert, z. B. wenn die IP-Adressen an beiden Orten als sicher eingestuft werden, der Ortswechsel als vertrauenswürdig eingestuft und von der Erkennung des unmöglichen Ortswechsels ausgeschlossen wird. Beispielsweise gelten beide Seiten als sicher, wenn sie unter als Unternehmen gekennzeichnet sind. Wird jedoch nur die IP-Adresse eines Ortes als sicher eingestuft, wird die Erkennung wie üblich ausgelöst.

  1. TP: Wenn Sie bestätigen können, dass der Ort in der Warnung zum unmöglichen Ortswechsel für den/die Benutzer*in unwahrscheinlich ist.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Unerkannter Ortswechsel des Benutzers/der Benutzerin): Wenn Sie bestätigen können, dass der Benutzer oder die Benutzerin sich vor Kurzem an dem in der Warnung genannten Ziel befunden hat. Zum Beispiel, wenn das Telefon eines/einer Benutzer*in, das sich im Flugmodus befindet, mit Diensten wie Exchange Online in Ihrem Unternehmensnetzwerk verbunden bleibt, während er/sie sich an einem anderen Ort befindet. Wenn der/die Benutzer*in am neuen Standort ankommt, stellt das Telefon eine Verbindung zu Exchange Online her und löst die Warnung zum unmöglichen Ortswechsel aus.

    Empfohlene Aktion: Schließen Sie die Warnung.

  3. FP (Nicht markiertes VPN): Wenn Sie bestätigen können, dass der IP-Adressbereich aus einem genehmigten VPN stammt:

    Empfohlene Aktion: Schließen Sie die Warnung, fügen Sie den IP-Adressbereich des VPN zu Defender for Cloud Apps hinzu, und markieren Sie den IP-Adressbereich des VPN.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll, um ein Verständnis für ähnliche Aktivitäten am gleichen Ort und mit derselben IP-Adresse zu erhalten.
  2. Wenn Sie feststellen, dass Benutzer*innen andere riskante Aktivitäten ausgeführt haben – z. B. das Herunterladen einer großen Anzahl von Dateien von einem neuen Speicherort –, ist dies ein deutlicher Hinweis auf eine mögliche Kompromittierung.
  3. Fügen Sie unternehmenseigene VPN- und IP-Adressbereiche hinzu.
  4. Erstellen Sie ein Playbook mit Power Automate und kontaktieren Sie den/die Vorgesetzte*n des Benutzers/der Benutzerin, um herauszufinden, ob der/die Benutzer*in rechtmäßig auf Reisen ist.
  5. Erwägen Sie die Erstellung einer Datenbank für Personen, die sich bekanntermaßen von unterschiedlichen Orten aus anmelden, mit minutengenauen Reiseberichten, und verwenden Sie die Datenbank zum Abgleich mit Reiseaktivitäten.

Irreführender OAuth-App-Name

Diese Erkennung identifiziert Apps mit Zeichen, die lateinischen Buchstaben ähneln, wie z. B. ausländische Buchstaben. Dies kann auf den Versuch hinweisen, eine bösartige App als bekannte und vertrauenswürdige App zu tarnen, damit die Angreifer*innen die Benutzer*innen zum Herunterladen ihrer bösartigen App verleiten können.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die App einen irreführenden Namen hat.

    Empfohlene Aktion: Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde, und, welchen Benutzer*innen der Zugriff gewährt wurde. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren.

Um den Zugriff auf die App zu sperren, wählen Sie auf der Registerkarte Google oder Salesforce auf der Seite App Governance in der Zeile, in der die zu sperrende App angezeigt wird, das Sperrsymbol. Sie können auswählen, ob Sie den Benutzer*innen mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung informiert die Nutzer darüber, dass die App deaktiviert ist und sie keinen Zugriff auf die verbundene App haben. Wenn Sie die Benutzer nicht informieren möchten, deaktivieren Sie Benutzer benachrichtigen, die dieser gesperrten App Zugriff erteilt haben im Dialogfeld. Es wird empfohlen, dass Sie die App-Benutzer*innen benachrichtigen, wenn Sie ihre App sperren möchten.

  1. FP: Wenn Sie bestätigen möchten, dass die App einen irreführenden Namen hat, aber eine legitime geschäftliche Verwendung in der Organisation hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

Irreführender Herausgebername für eine OAuth-App

Diese Erkennung identifiziert Apps mit Zeichen, die lateinischen Buchstaben ähneln, wie z. B. ausländische Buchstaben. Dies kann auf den Versuch hinweisen, eine bösartige App als bekannte und vertrauenswürdige App zu tarnen, damit die Angreifer*innen die Benutzer*innen zum Herunterladen ihrer bösartigen App verleiten können.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die App einen irreführenden Herausgebernamen hat.

    Empfohlene Aktion: Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde, und, welchen Benutzer*innen der Zugriff gewährt wurde. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren.

  2. FP: Wenn Sie bestätigen möchten, dass die App einen irreführenden Herausgebernamen hat, aber ein rechtmäßiger Herausgeber ist.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Wählen Sie auf der Registerkarte Google oder Salesforce auf der Seite App-Governance die App aus, um den App-Drawer zu öffnen, und wählen Sie dann Zugehörige Aktivität. Daraufhin wird die Seite Aktivitätsprotokoll geöffnet, die nach Aktivitäten gefiltert ist, die von der App ausgeführt wurden. Bedenken Sie, dass einige Apps Aktivitäten ausführen, die als Benutzeraktivitäten registriert werden. Diese Aktivitäten werden automatisch aus den Ergebnissen im Aktivitätsprotokoll herausgefiltert. Informationen zu weiteren Untersuchungen mit dem Aktivitätsprotokoll finden Sie unter Aktivitätsprotokoll.
  2. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und Herausgeber der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:
    • Apps mit einer geringen Anzahl von Downloads.
    • Apps mit einer niedrigen Bewertung oder negativen Kommentaren.
    • Apps mit einem verdächtigen Herausgeber oder einer verdächtigen Website.
    • Apps, die nicht vor Kurzem aktualisiert wurden. Das kann darauf hinweisen, dass die App nicht mehr unterstützt wird.
    • Apps mit irrelevanten Berechtigungen. Das kann darauf hinweisen, dass die App risikobehaftet ist.
  3. Wenn Sie die App immer noch für verdächtig halten, können Sie online nach dem App-Namen, dem Herausgeber und der URL suchen.

Ausführungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein bösartiger Akteur möglicherweise versucht, bösartigen Code in Ihrem Unternehmen auszuführen.

Mehrere Speicherlöschaktivitäten

Aktivitäten in einer einzigen Sitzung, die darauf hindeuten, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von Cloud-Speicher- oder Datenbank-Löschungen von Ressourcen wie Azure Blobs, AWS S3-Buckets oder Cosmos DB im Vergleich zu den gelernten Basiswerten durchgeführt hat. Dies kann auf einen versuchten Verstoß gegen Ihre Organisation hinweisen.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen möchten, dass die Löschungen nicht autorisiert wurden.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und prüfen Sie alle Geräte auf bösartige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen.

  2. FP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator berechtigt war, diese Löschvorgänge durchzuführen.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Wenden Sie sich an den/die Benutzer*in, und bestätigen Sie die Aktivität.
  2. Überprüfen Sie das Aktivitätsprotokoll auf andere Kompromittierungsindikatoren, und finden Sie heraus, wer die Änderung vorgenommen hat.
  3. Überprüfen Sie die Aktivitäten des Benutzers/der Benutzerin auf Änderungen an anderen Diensten.

Mehrere VM-Erstellungsaktivitäten

Aktivitäten in einer einzelnen Sitzung, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von VM-Erstellungsaktionen durchgeführt hat, verglichen mit der gelernten Baseline. Mehrere VM-Erstellungen in einer verletzten Cloudinfrastruktur könnten auf einen Versuch hinweisen, Cryptomining-Vorgänge innerhalb Ihrer Organisation auszuführen.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Um die Genauigkeit zu verbessern und nur dann einen Alarm auszulösen, wenn es starke Anzeichen für eine Sicherheitsverletzung gibt, wird bei dieser Erkennung für jede Umgebung im Unternehmen eine Baseline festgelegt, um B-TP-Vorfälle zu reduzieren, z. B. wenn ein Administrator rechtmäßig mehr VMs als die festgelegte Baseline erstellt hat, und nur dann einen Alarm auszulösen, wenn ein ungewöhnliches Verhalten festgestellt wird.

  • TP: Wenn Sie bestätigen können, dass die Erstellungsaktivitäten nicht von einem rechtmäßigen Benutzer durchgeführt wurden.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und prüfen Sie alle Geräte auf bösartige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen. Wenden Sie sich außerdem an den/die Benutzer*in, bestätigen Sie seine/ihre rechtmäßigen Handlungen, und stellen Sie sicher, dass Sie alle kompromittierten VMs deaktivieren oder löschen.

  • B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator berechtigt war, diese Erstellungsaktivitäten durchzuführen.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren.
  2. Überprüfen Sie die vom/von der Benutzer*in erstellten oder geänderten Ressourcen, und vergewissern Sie sich, dass sie mit den Richtlinien Ihrer Organisation übereinstimmen.

Verdächtige Erstellungsaktivität für Cloudregion (Vorschau)

Aktivitäten, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Ressourcenerstellungsaktion in einer ungewöhnlichen AWS-Region durchgeführt hat, verglichen mit der gelernten Baseline. Die Ressourcenerstellung in ungewöhnlichen Cloudregionen könnte auf einen Versuch hinweisen, eine schädliche Aktivität wie Cryptomining-Vorgänge innerhalb Ihrer Organisation auszuführen.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Um die Genauigkeit zu verbessern und nur dann einen Alarm auszulösen, wenn es starke Anzeichen für eine Sicherheitsverletzung gibt, wird mit dieser Erkennung eine Baseline für jede Umgebung im Unternehmen erstellt, um B-TP-Vorfälle zu reduzieren.

  • TP: Wenn Sie bestätigen können, dass die Erstellungsaktivitäten nicht von einem rechtmäßigen Benutzer durchgeführt wurden.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und prüfen Sie alle Geräte auf bösartige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen. Wenden Sie sich außerdem an den/die Benutzer*in, bestätigen Sie seine/ihre rechtmäßigen Handlungen, und stellen Sie sicher, dass Sie alle kompromittierten Cloudressourcen deaktivieren oder löschen.

  • B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator berechtigt war, diese Erstellungsaktivitäten durchzuführen.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren.
  2. Überprüfen Sie die erstellten Ressourcen, und vergewissern Sie sich, dass sie mit den Richtlinien Ihrer Organisation übereinstimmen.

Persistenzwarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, in Ihrem Unternehmen Fuß zu fassen.

Von gekündigtem Benutzer durchgeführte Aktivität

Die Aktivitäten gekündigter Benutzer*innen können darauf hinweisen, dass ein*e gekündigte*r Mitarbeiter*in, der/die noch Zugriff auf Unternehmensressourcen hat, versucht, eine bösartige Aktivität durchzuführen. Defender for Cloud Apps erstellt Profile von Benutzer*inen in der Organisation und löst eine Warnung aus, wenn ein*e gekündigte*r Benutzer*in eine Aktivität durchführt.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass der/die gekündigte Benutzer*in immer noch Zugang zu bestimmten Unternehmensressourcen hat und Aktivitäten ausführt.

    Empfohlene Aktion: Deaktivieren Sie den/die Benutzer*in.

  2. B-TP: Wenn Sie feststellen können, dass der/die Benutzer*in vorübergehend deaktiviert oder gelöscht und erneut registriert wurde.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Prüfen Sie HR-Datensätze, um zu bestätigen, dass der/die Benutzer*in gekündigt ist.
  2. Überprüfen Sie die Existenz des Microsoft Entra-Benutzerkontos.

    Hinweis

    Wenn Sie Microsoft Entra Connect verwenden, validieren Sie das lokale Active Directory-Objekt, und bestätigen Sie einen erfolgreichen Synchronisierungszyklus.

  3. Identifizieren Sie alle Apps, auf die der/die gekündigte Benutzer*in Zugriff hatte, und deaktivieren Sie die Konten.
  4. Aktualisieren der Außerbetriebnahmeverfahren.

Verdächtige Änderung des CloudTrail-Protokollierungsdiensts

Aktivitäten in einer einzigen Sitzung, die darauf hinweisen, dass ein*e Benutzer*in verdächtige Änderungen am AWS CloudTrail-Protokollierungsdienst vorgenommen hat. Dies kann auf einen versuchten Verstoß gegen Ihre Organisation hinweisen. Beim Deaktivieren von CloudTrail werden betriebstechnische Änderungen nicht mehr protokolliert. Angreifer*innen können böswillige Aktivitäten durchführen und dabei ein CloudTrail-Audit-Ereignis vermeiden, z. B. die Änderung eines S3-Buckets von privat auf öffentlich.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und machen Sie die CloudTrail-Aktivität rückgängig.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in den CloudTrail-Dienst legitim deaktiviert hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll auf andere Kompromittierungsindikatoren, und finden Sie heraus, wer die Änderung am CloudTrail-Dienst vorgenommen hat.
  2. Optional: Erstellen Sie mithilfe von Power Automate ein Playbook, um Benutzer*innen und ihre Vorgesetzten zu kontaktieren, um ihre Aktivitäten zu überprüfen.

Verdächtige E-Mail-Löschaktivität (durch Benutzer*innen)

Aktivitäten in einer einzigen Sitzung, die darauf hinweisen, dass ein*e Benutzer*in verdächtige E-Mail-Löschungen vorgenommen hat. Die Art der Löschung war die „harte Löschung“, bei der das E-Mail-Element gelöscht wird und nicht mehr im Postfach des Benutzers verfügbar ist. Die Löschung wurde von einer Verbindung aus vorgenommen, die ungewöhnliche Einstellungen wie ISP, Land/Region und Benutzer-Agent enthält. Dies kann auf eine versuchte Verletzung in Ihrer Organisation hinweisen, z. B. wenn Angreifer*innen versuchen, ihre Aktivitäten zu verschleiern, indem sie E-Mails im Zusammenhang mit Spam-Aktivitäten löschen.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in rechtmäßig eine Regel zum Löschen von Nachrichten erstellt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  • Überprüfen Sie alle Benutzeraktivitäten auf andere Indikatoren für eine Kompromittierung, z. B. die Warnung Verdächtige Weiterleitung des Posteingangs gefolgt von der Warnung Impossible Travel . Suchen nach:

    1. Neue SMTP-Weiterleitungsregeln wie folgt:
      • Überprüfen Sie auf bösartige Weiterleitungsregelnamen. Die Namen der Regeln können von einfachen Namen wie „Alle E-Mails weiterleiten“ und „Automatisch weiterleiten“ bis hin zu irreführenden Namen wie einem kaum sichtbaren „.“ reichen. Weiterleitungsregelnamen können sogar leer sein, und die Empfänger*innen der Weiterleitung können ein einzelnes E-Mail-Konto oder eine gesamte Liste sein. Bösartige Regeln können auch auf der Benutzeroberfläche ausgeblendet werden. Nachdem sie erkannt wurden, können Sie diesen hilfreichen Blogbeitrag verwenden, um ausgeblendete Regeln aus Postfächern zu löschen.
      • Wenn Sie eine nicht erkannte Weiterleitungsregel an eine unbekannte interne oder externe E-Mail-Adresse feststellen, können Sie davon ausgehen, dass das Posteingangskonto kompromittiert wurde.
    2. Neue Posteingangsregeln, wie „Alle löschen“, „Nachrichten in einen anderen Ordner verschieben“ oder solche mit verdeckten Namenskonventionen, z. B. „…“.
    3. Eine Zunahme der gesendeten E-Mails.

Verdächtige Regel zur Posteingangsänderung

Aktivitäten, die darauf hinweisen, dass ein*e Angreifer*in Zugriff auf den Posteingang eines Benutzers/einer Benutzerin erlangt und eine verdächtige Regel erstellt hat. Manipulationsregeln, wie z. B. das Löschen oder Verschieben von Nachrichten oder Ordnern aus dem Posteingang eines Benutzers, könnten ein Versuch sein, Informationen aus Ihrem Unternehmen zu exfiltrieren. Ebenso können sie auf den Versuch hindeuten, die Informationen, die Benutzer*innen sehen, zu manipulieren oder ihren Posteingang zur Verbreitung von Spam, Phishing-E-Mails oder Malware zu nutzen. Defender for Cloud Apps erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn im Posteingang eines Benutzers/einer Benutzerin verdächtige Regeln zur Manipulation des Posteingangs erkannt werden. Dies könnte darauf hindeuten, dass das Konto des Benutzers kompromittiert ist.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass eine bösartige Posteingangsregel erstellt wurde und das Konto kompromittiert wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und entfernen Sie die Weiterleitungsregel.

  2. FP: Wenn Sie bestätigen können, dass ein*e Benutzer*in rechtmäßig die Regel erstellt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf andere Indikatoren für eine Kompromittierung, z. B. die Warnung Verdächtige Weiterleitung des Posteingangs gefolgt von der Warnung Impossible Travel . Suchen nach:
    • Neue SMTP-Weiterleitungsregeln.
    • Neue Posteingangsregeln, wie „Alle löschen“, „Nachrichten in einen anderen Ordner verschieben“ oder solche mit verdeckten Namenskonventionen, z. B. „…“.
  2. Erfassen Sie die IP-Adresse und Standortinformationen für die Aktion.
  3. Überprüfen Sie die Aktivitäten, die von der IP-Adresse aus durchgeführt wurden, mit der die Regel erstellt wurde, um andere kompromittierte Benutzer*innen zu erkennen.

Warnungen zur Rechteausweitung

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur versuchen könnte, in Ihrem Unternehmen höhere Berechtigungen zu erlangen.

Ungewöhnliche Administratoraktivität (durch Benutzer)

Aktivitäten, die darauf hinweisen, dass ein Angreifer ein Benutzerkonto kompromittiert und administrative Aktionen durchgeführt hat, die für diesen Benutzer nicht üblich sind. Angreifer*innen können beispielsweise versuchen, die Sicherheitseinstellungen eines Benutzers/einer Benutzerin zu ändern, was für eine*n normale*n Benutzer*in relativ selten vorkommt. Defender for Cloud Apps erstellt einen Basisplan basierend auf dem Benutzerverhalten und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Administrator oder einer legitimen Administratorin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP: Wenn Sie bestätigen können, dass ein*e Administrator*in den ungewöhnlichen Umfang von Verwaltungsaktivitäten rechtmäßig durchgeführt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf andere Indikatoren für eine Kompromittierung wie Verdächtige Weiterleitung des Posteingangs oder Impossible Travel.
  2. Überprüfen Sie andere Konfigurationsänderungen, wie z. B. die Erstellung eines Benutzerkontos, das für die Persistenz verwendet werden könnte.

Benachrichtigungen zum Zugriff auf Anmeldeinformationen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur versuchen könnte, Kontonamen und Kennwörter von Ihrer Organisation zu stehlen.

Mehrere fehlerhafte Anmeldeversuche

Fehlgeschlagene Anmeldeversuche könnten auf einen Versuch hinweisen, ein Konto zu knacken. Fehlgeschlagene Anmeldungen können jedoch auch normales Verhalten sein. Zum Beispiel, wenn ein*e Benutzer*in versehentlich ein falsches Passwort eingegeben hat. Um Genauigkeit zu erreichen und nur dann einen Alarm auszulösen, wenn es starke Anzeichen für einen versuchten Einbruch gibt, legt Defender for Cloud Apps eine Basislinie der Anmeldegewohnheiten für jeden Benutzer im Unternehmen fest und löst nur dann einen Alarm aus, wenn ein ungewöhnliches Verhalten erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

Diese Richtlinie basiert auf dem Lernen des normalen Anmeldeverhaltens eines Benutzers. Wenn eine Abweichung von der Norm erkannt wird, wird eine Warnung ausgelöst. Wenn bei der Erkennung festgestellt wird, dass dasselbe Verhalten fortgesetzt wird, wird die Warnung nur einmal ausgelöst.

  1. TP (MFA schlägt fehl): Wenn Sie bestätigen können, dass MFA ordnungsgemäß funktioniert, kann dies ein Zeichen eines versuchten Brute-Force-Angriffs sein.

    Empfohlene Aktionen:

    1. Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.
    2. Suchen Sie die App, die die fehlgeschlagenen Authentifizierungen ausgeführt hat, und konfigurieren Sie sie neu.
    3. Suchen Sie nach anderen Benutzern, die zum Zeitpunkt der Aktivität angemeldet waren, da diese ebenfalls gefährdet sein könnten. Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.
  2. B-TP (MFA schlägt fehl): Wenn Sie bestätigen können, dass die Warnung durch ein Problem mit der MFA verursacht wurde.

    Empfohlene Aktion: Erstellen Sie mit Power Automate ein Playbook, um den Benutzer zu kontaktieren und zu prüfen, ob er Probleme mit MFA hat.

  3. B-TP (Falsch konfigurierte App): Wenn Sie bestätigen können, dass eine falsch konfigurierte App mehrfach versucht, mit abgelaufenen Anmeldedaten eine Verbindung zu einem Dienst herzustellen.

    Empfohlene Aktion: Schließen Sie die Warnung.

  4. B-TP (Passwort geändert): Wenn Sie bestätigen können, dass ein Benutzer vor kurzem sein Kennwort geändert hat, sich dies aber nicht auf die Anmeldeinformationen in den Netzwerkfreigaben ausgewirkt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

  5. B-TP (Sicherheitstest): Wenn Sie bestätigen können, dass ein Sicherheits- oder Penetrationstest von Sicherheitsanalyst*innen im Auftrag der Organisation durchgeführt wird.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf andere Indikatoren für eine Gefährdung, z. B. dass auf die Warnung eine der folgenden Warnungen folgt: Unmögliches Reisen, Aktivität über eine anonyme IP-Adresse oder Aktivität aus einem unregelmäßigen Land.
  2. Überprüfen Sie die folgenden Benutzergeräteinformationen, und vergleichen Sie sie mit bekannten Geräteinformationen:
    • Betriebssystem und Version
    • Browser und Version
    • IP-Adresse und Standort
  3. Identifizieren Sie die Quell-IP-Adresse oder den Speicherort, an dem der Authentifizierungsversuch aufgetreten ist.
  4. Stellen Sie fest, ob der/die Benutzer*in sein/ihr Passwort kürzlich geändert hat, und stellen Sie sicher, dass alle Anwendungen und Geräte das aktualisierte Passwort haben.

Ungewöhnliche Hinzufügung von Anmeldeinformationen zu einer OAuth-App

Diese Erkennung identifiziert die verdächtige Hinzufügung von privilegierten Anmeldeinformationen zu einer OAuth-App. Dies kann darauf hindeuten, dass ein Angreifer die App kompromittiert hat und sie für böswillige Aktivitäten verwendet.

Lernzeitraum

Um die Umgebung Ihres Unternehmens kennenzulernen, benötigen Sie einen Zeitraum von sieben Tagen, in dem Sie mit einer hohen Anzahl von Warnmeldungen rechnen können.

Ungewöhnlicher ISP für eine OAuth-App

Die Erkennung identifiziert eine OAuth-App, die eine Verbindung mit Ihrer Cloudanwendung über einen ISP herstellt, der für die App ungewöhnlich ist. Dies könnte darauf hindeuten, dass ein Angreifer versucht hat, eine legitime kompromittierte Anwendung zu verwenden, um bösartige Aktivitäten in Ihren Cloud-Anwendungen durchzuführen.

Lernzeitraum

Der Lernzeitraum für diese Erkennung beträgt 30 Tage.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass es sich bei der Aktivität nicht um eine rechtmäßige Aktivität der OAuth-App handelt oder dass dieser ISP nicht von der rechtmäßigen OAuth-App verwendet wird.

    Empfohlene Aktion: Widerrufen Sie alle Zugriffstoken der OAuth-App, und untersuchen Sie, ob ein*e Angreifer*in Zugriff auf das Generieren von OAuth-Zugriffstoken hat.

  2. FP: Wenn Sie bestätigen können, dass die Aktivität rechtmäßig von der echten OAuth-App durchgeführt wurde.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie die von der OAuth-App ausgeführten Aktivitäten.

  2. Untersuchen Sie, ob ein*e Angreifer*in Zugriff auf das Generieren von OAuth-Zugriffstoken hat.

Sammlungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Daten, die für sein Ziel von Interesse sind, von Ihrer Organisation zu sammeln.

Mehrere Aktivitäten zur Freigabe von Power BI-Berichten

Aktivitäten in einer einzigen Sitzung, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von Aktivitäten zur Freigabe von Berichten in Power BI durchgeführt hat, verglichen mit der gelernten Baseline. Dies kann auf einen versuchten Verstoß gegen Ihre Organisation hinweisen.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Entfernen Sie den Freigabezugriff aus Power BI. Wenn Sie bestätigen können, dass das Konto kompromittiert ist, sperren Sie den/die Benutzer*in, markieren Sie ihn/sie als gefährdet und setzen Sie sein/ihr Passwort zurück.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in eine geschäftliche Begründung für die Freigabe dieser Berichte hatte.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll, um ein besseres Verständnis für andere Aktivitäten zu erhalten, die vom Benutzer/von der Benutzerin ausgeführt werden. Schauen Sie sich die IP-Adresse, von der aus sie sich angemeldet haben, und die Gerätedetails an.
  2. Wenden Sie sich an Ihr Power BI-Team oder Ihr Informationsschutz-Team, um die Richtlinien für die interne und externe Freigabe von Berichten zu verstehen.

Verdächtige Freigabe von Power BI-Berichten

Aktivitäten, die darauf hinweisen, dass ein Benutzer einen Power BI-Bericht geteilt hat, der sensible Informationen enthalten könnte, werden mithilfe von NLP identifiziert, um die Metadaten des Berichts zu analysieren. Der Bericht wurde entweder mit einer externen E-Mail-Adresse geteilt, im Web veröffentlicht oder es wurde eine Momentaufnahme an eine extern abonnierte E-Mail-Adresse übermittelt. Dies kann auf einen versuchten Verstoß gegen Ihre Organisation hinweisen.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Entfernen Sie den Freigabezugriff aus Power BI. Wenn Sie bestätigen können, dass das Konto kompromittiert ist, sperren Sie den/die Benutzer*in, markieren Sie ihn/sie als gefährdet und setzen Sie sein/ihr Passwort zurück.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in eine geschäftliche Begründung für die Freigabe dieser Berichte hatte.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll, um ein besseres Verständnis für andere Aktivitäten zu erhalten, die vom Benutzer/von der Benutzerin ausgeführt werden. Schauen Sie sich die IP-Adresse, von der aus sie sich angemeldet haben, und die Gerätedetails an.
  2. Wenden Sie sich an Ihr Power BI-Team oder Ihr Informationsschutz-Team, um die Richtlinien für die interne und externe Freigabe von Berichten zu verstehen.

Ungewöhnliche Aktivität mit Identitätswechsel (durch Benutzer*innen)

Einige Softwareanwendungen bieten Optionen, mit denen Benutzer*innen die Identität anderer Benutzer*innen annehmen können. Beispielsweise geben E-Mail-Dienste ihren Benutzern die Möglichkeit, andere Benutzer zum Senden von E-Mails in ihrem Auftrag zu ermächtigen. Diese Aktivität wird häufig von Angreifer*innen verwendet, um Phishing-E-Mails zu erstellen und Informationen über Ihre Organisation zu extrahieren. Defender for Cloud Apps erstellt eine Baseline, die auf dem Verhalten des Benutzers/der Benutzerin basiert, und erzeugt eine Warnung, wenn eine ungewöhnliche Imitationsaktivität erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der/die Benutzer*in die ungewöhnlichen Aktivitäten oder mehr Aktivitäten als die festgelegte Baseline rechtmäßig durchgeführt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

  3. FP: Wenn Sie bestätigen können, dass Apps wie Microsoft Teams rechtmäßig die Identität des Benutzers/der Benutzerin angenommen haben.

    Empfohlene Aktion: Überprüfen Sie die Aktionen, und schließen Sie die Warnung bei Bedarf.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten und Warnungen auf zusätzliche Kompromittierungsindikatoren.
  2. Überprüfen Sie die Identitätswechselaktivitäten, um potenziell böswillige Aktivitäten zu identifizieren.
  3. Überprüfen Sie die Konfiguration des delegierten Zugriffs.

Exfiltrationswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Daten aus Ihrem Unternehmen zu stehlen.

Verdächtige Weiterleitung des Posteingangs

Aktivitäten, die darauf hinweisen, dass ein*e Angreifer*in Zugriff auf den Posteingang eines Benutzers/einer Benutzerin erlangt und eine verdächtige Regel erstellt hat. Manipulationsregeln, wie z. B. die Weiterleitung aller oder bestimmter E-Mails an ein anderes E-Mail-Konto, könnten ein Versuch sein, Informationen aus Ihrem Unternehmen zu exfiltrieren. Defender for Cloud Apps erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn im Posteingang eines Benutzers/einer Benutzerin verdächtige Regeln zur Manipulation des Posteingangs erkannt werden. Dies könnte darauf hindeuten, dass das Konto des Benutzers kompromittiert ist.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass eine bösartige Posteingangsweiterleitungsregel erstellt wurde und das Konto kompromittiert wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und entfernen Sie die Weiterleitungsregel.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in eine Weiterleitungsregel zu einem neuen oder persönlichen externen E-Mail-Konto aus legitimen Gründen erstellt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten auf zusätzliche Kompromittierungsindikatoren, z. B. ob auf die Warnung eine Warnung zum Unmöglichen Ortswechsel gefolgt ist. Suchen nach:

    1. Neue SMTP-Weiterleitungsregeln wie folgt:
      • Überprüfen Sie auf bösartige Weiterleitungsregelnamen. Die Namen der Regeln können von einfachen Namen wie „Alle E-Mails weiterleiten“ und „Automatisch weiterleiten“ bis hin zu irreführenden Namen wie einem kaum sichtbaren „.“ reichen. Weiterleitungsregelnamen können sogar leer sein, und die Empfänger*innen der Weiterleitung können ein einzelnes E-Mail-Konto oder eine gesamte Liste sein. Bösartige Regeln können auch auf der Benutzeroberfläche ausgeblendet werden. Nachdem sie erkannt wurden, können Sie diesen hilfreichen Blogbeitrag verwenden, um ausgeblendete Regeln aus Postfächern zu löschen.
      • Wenn Sie eine nicht erkannte Weiterleitungsregel an eine unbekannte interne oder externe E-Mail-Adresse feststellen, können Sie davon ausgehen, dass das Posteingangskonto kompromittiert wurde.
    2. Neue Posteingangsregeln, wie „Alle löschen“, „Nachrichten in einen anderen Ordner verschieben“ oder solche mit verdeckten Namenskonventionen, z. B. „…“.
  2. Überprüfen Sie die Aktivitäten, die von der IP-Adresse aus durchgeführt wurden, mit der die Regel erstellt wurde, um andere kompromittierte Benutzer*innen zu erkennen.

  3. Überprüfen Sie die Liste der weitergeleiteten Nachrichten mithilfe der Exchange Online-Nachrichtenverfolgung.

Ungewöhnlicher Dateidownload (durch Benutzer*innen)

Aktivitäten, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von Dateidownloads von einer Cloud-Speicherplattform durchgeführt hat, verglichen mit der gelernten Baseline. Dies kann auf einen Versuch hindeuten, Informationen über die Organisation zu erhalten. Defender for Cloud Apps erstellt einen Basisplan basierend auf dem Benutzerverhalten und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der/die Benutzer*in rechtmäßig mehr Dateidownloads durchgeführt hat als die festgelegte Baseline.

    Empfohlene Aktion: Schließen Sie die Warnung.

  3. FP (Softwaresynchronisierung): Wenn Sie bestätigen können, dass eine Software, z. B. OneDrive, mit einem externen Backup synchronisiert wurde, das die Warnung verursacht hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie die Downloadaktivitäten, und erstellen Sie eine Liste der heruntergeladenen Dateien.
  2. Überprüfen Sie die Sensitivität der heruntergeladenen Dateien mit dem/der Ressourcenbesitzer*in, und validieren Sie die Zugriffsebene.

Ungewöhnlicher Dateizugriff (durch Benutzer*innen)

Aktivitäten, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von Dateizugriffen in SharePoint oder OneDrive auf Dateien durchgeführt hat, die Finanzdaten oder Netzwerkdaten enthalten, verglichen mit der erlernten Baseline. Dies kann auf den Versuch hindeuten, Informationen über die Organisation zu erlangen, sei es zu finanziellen Zwecken oder für den Zugriff auf Zugangsdaten und seitliche Bewegungen. Defender for Cloud Apps erstellt einen Basisplan basierend auf dem Benutzerverhalten und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeitraum

Der Lernzeitraum hängt von der Aktivität des Benutzers/der Benutzerin ab. Im Allgemeinen liegt der Lernzeitraum zwischen 21 und 45 Tagen für die meisten Benutzer*innen.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der/die Benutzer*in rechtmäßig mehr Dateizugriffe durchgeführt hat als die festgelegte Baseline.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie die Zugriffsaktivitäten, und erstellen Sie eine Liste der Dateien, auf die zugegriffen wurde.
  2. Überprüfen Sie die Sensitivität der Dateien, auf die zugegriffen wurde, mit dem/der Ressourcenbesitzer*in, und validieren Sie die Zugriffsebene.

Ungewöhnliche Dateifreigabeaktivität (durch Benutzer*innen)

Aktivitäten, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von Dateifreigabeaktionen von einer Cloud-Speicherplattform durchgeführt hat, verglichen mit der gelernten Baseline. Dies kann auf einen Versuch hindeuten, Informationen über die Organisation zu erhalten. Defender for Cloud Apps erstellt einen Basisplan basierend auf dem Benutzerverhalten und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der/die Benutzer*in rechtmäßig mehr Dateifreigaben durchgeführt hat als die festgelegte Baseline.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie die Freigabeaktivitäten, und erstellen Sie eine Liste der freigegebenen Dateien.
  2. Überprüfen Sie die Sensitivität der freigegebenen Dateien mit dem/der Ressourcenbesitzer*in, und validieren Sie die Zugriffsebene.
  3. Erstellen Sie eine Dateirichtlinie für ähnliche Dokumente, um die zukünftige Freigabe vertraulicher Dateien zu erkennen.

Auswirkungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Ihre Systeme und Daten in Ihrem Unternehmen zu manipulieren, zu unterbrechen oder zu zerstören.

Mehrere Aktivitäten zum Löschen von VMs

Aktivitäten in einer einzelnen Sitzung, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Anzahl von VM-Löschungen durchgeführt hat, verglichen mit der gelernten Baseline. Mehrere VM-Löschungen könnten auf einen Versuch hindeuten, eine Umgebung zu beeinträchtigen oder zu zerstören. Es gibt jedoch viele normale Szenarien, in denen VMs gelöscht werden.

TP, B-TP oder FP?

Um die Genauigkeit zu verbessern und nur dann zu alarmieren, wenn es starke Anzeichen für eine Sicherheitsverletzung gibt, wird bei dieser Erkennung eine Baseline für jede Umgebung im Unternehmen erstellt, um B-TP-Vorfälle zu reduzieren und nur dann zu alarmieren, wenn ein ungewöhnliches Verhalten festgestellt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

  • TP: Wenn Sie bestätigen können, dass die Löschungen nicht autorisiert waren.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, setzen Sie sein/ihr Passwort zurück, und prüfen Sie alle Geräte auf bösartige Bedrohungen. Überprüfen Sie alle Benutzeraktivitäten auf andere Kompromittierungsindikatoren, und untersuchen Sie den Umfang der Auswirkungen.

  • B-TP: Wenn Sie nach Ihrer Untersuchung bestätigen können, dass der Administrator berechtigt war, diese Löschvorgänge durchzuführen.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Wenden Sie sich an den/die Benutzer*in, und bestätigen Sie die Aktivität.
  2. Überprüfen Sie alle Benutzeraktivitäten auf zusätzliche Kompromittierungsindikatoren, z. B. ob auf die Warnung eine der folgenden Warnungen folgt: Unmöglicher Ortswechsel, Aktivität über anonyme IP-Adresse oder Aktivität aus selten verwendetem Land.

Ransomware-Aktivität

Bei Ransomware handelt es sich um einen Cyberangriff, bei dem Angreifer*innen die Geräte ihrer Opfer sperren oder ihnen den Zugriff auf ihre Dateien verwehren, bis das Opfer ein Lösegeld zahlt. Ransomware kann durch eine schädliche freigegebene Datei oder ein kompromittiertes Netzwerk verbreitet werden. Defender for Cloud Apps nutzt Fachwissen bei der Sicherheitsforschung, Bedrohungsdaten und erlernte Verhaltensmuster, um Ransomware-Aktivitäten zu erkennen. Eine hohe Rate von Datei-Uploads oder Dateilöschungen könnte beispielsweise auf einen Verschlüsselungsprozess hindeuten, der bei Ransomware-Operationen üblich ist.

Mit dieser Erkennung wird eine Baseline für die normalen Arbeitsmuster der einzelnen Benutzer*innen in Ihrem Unternehmen geschaffen, z. B. wann bestimmte Benutzer*innen auf die Cloud zugreifen und was sie üblicherweise in der Cloud tun.

Die automatischen Bedrohungserkennungsrichtlinien von Defender for Cloud Apps laufen im Hintergrund, sobald Sie eine Verbindung herstellen. Defender for Cloud Apps nutzt unsere Expertise in der Sicherheitsforschung, um Verhaltensmuster zu erkennen, die Ransomware-Aktivitäten in unserer Organisation widerspiegeln, und bietet so einen umfassenden Schutz vor ausgeklügelten Ransomware-Angriffen.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht vom Benutzer durchgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP (Ungewöhnliches Verhalten): Der/die Benutzer*in führte rechtmäßig mehrere Lösch- und Upload-Aktivitäten ähnlicher Dateien in einem kurzen Zeitraum durch.

    Empfohlene Aktion: Nachdem Sie das Aktivitätsprotokoll überprüft haben und sich vergewissert haben, dass die Dateierweiterungen nicht verdächtig sind, schließen Sie die Warnung aus.

  3. FP (Gemeinsame Ransomware-Dateierweiterung): Wenn Sie bestätigen können, dass die Erweiterungen der betroffenen Dateien mit einer bekannten Ransomware-Erweiterung übereinstimmen.

    Empfohlene Aktion: Wenden Sie sich an den/die Benutzer*in, und bestätigen Sie, dass die Dateien sicher sind, und schließen Sie dann die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie das Aktivitätsprotokoll auf andere Kompromittierungsindikatoren wie Massendownload oder Massenlöschung von Dateien.
  2. Wenn Sie Microsoft Defender for Endpoint verwenden, überprüfen Sie die Computerwarnungen des Benutzers/der Benutzerin, um festzustellen, ob bösartige Dateien entdeckt wurden.
  3. Durchsuchen Sie das Aktivitätsprotokoll nach bösartigen Dateiupload- und -freigabeaktivitäten.

Ungewöhnliche Dateilöschungsaktivität (durch Benutzer*innen)

Aktivitäten, die darauf hinweisen, dass ein*e Benutzer*in eine ungewöhnliche Dateilöschaktivität im Vergleich zur erlernten Basislinie durchgeführt hat. Dies kann auf einen Ransomware-Angriff hinweisen. Beispielsweise kann ein Angreifer die Dateien eines Benutzers verschlüsseln und alle Originale löschen, sodass nur die verschlüsselten Versionen übrig bleiben, mit denen das Opfer zur Zahlung eines Lösegelds gezwungen werden kann. Defender for Cloud Apps erstellt eine Baseline basierend auf dem normalen Benutzerverhalten und löst eine Warnung aus, wenn das ungewöhnliche Verhalten erkannt wird.

Lernzeitraum

Um das Aktivitätsmuster eines neuen Benutzers zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für neue Standorte ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. FP: Wenn Sie bestätigen können, dass der/die Benutzer*in rechtmäßig mehr Dateilöschungen durchgeführt hat als die festgelegte Baseline.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie die Löschaktivitäten, und erstellen Sie eine Liste der gelöschten Dateien. Falls erforderlich, stellen Sie die gelöschten Dateien wieder her.
  2. Erstellen Sie optional mithilfe von Power Automate ein Playbook, um Benutzer*innen und ihre Vorgesetzten zu kontaktieren, um die Aktivitäten zu überprüfen.

Bewertung der Untersuchungspriorität erhöht (Vorschau)

Anomale Aktivitäten und Aktivitäten, die Warnungen ausgelöst haben, werden auf der Grundlage von Schweregrad, Auswirkungen auf Benutzer*innen und Verhaltensanalyse der Benutzer*innen bewertet. Die Analyse erfolgt basierend auf anderen Benutzer*innen in den Mandanten.

Bei einem signifikanten und anormalen Anstieg der Bewertung der Untersuchungspriorität eines bestimmten Benutzers/einer bestimmten Benutzerin wird die Warnung ausgelöst.

Diese Warnung ermöglicht es, potenzielle Verstöße zu erkennen, die durch Aktivitäten gekennzeichnet sind, die nicht unbedingt spezifische Warnungen auslösen, sich aber zu einem verdächtigen Verhalten für den/die Benutzer*in summieren.

Lernzeitraum

Um das Aktivitätsmuster neuer Benutzer*innen zu etablieren, ist eine anfängliche Lernphase von sieben Tagen erforderlich, in der keine Alarme für Erhöhungen der Bewertung ausgelöst werden.

TP, B-TP oder FP?

  1. TP: Wenn Sie bestätigen können, dass die Aktivitäten des Benutzers/der Benutzerin nicht rechtmäßig sind.

    Empfohlene Aktion: Sperren Sie den/die Benutzer*in, kennzeichnen Sie ihn/sie als kompromittiert und setzen Sie sein/ihr Passwort zurück.

  2. B-TP: Wenn Sie bestätigen können, dass das Benutzerverhalten tatsächlich erheblich vom üblichen Verhalten abweicht, aber kein potenzieller Verstoß vorliegt.

  3. FP (Ungewöhnliches Verhalten): Wenn Sie bestätigen können, dass der/die Benutzer*in die ungewöhnlichen Aktivitäten oder mehr Aktivitäten als die festgelegte Baseline rechtmäßig durchgeführt hat.

    Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

  1. Überprüfen Sie alle Benutzeraktivitäten und Warnungen auf zusätzliche Kompromittierungsindikatoren.

Zeitachse für die Einstellung

Wir werden die Warnung Investigation Priority Score Increase von Microsoft Defender for Cloud Apps bis August 2024 schrittweise abschaffen.

Nach sorgfältiger Analyse und Abwägung haben wir uns entschlossen, diese Warnung abzuschaffen, da sie eine hohe Rate an False Positives aufwies und unserer Meinung nach nicht effektiv zur allgemeinen Sicherheit Ihres Unternehmens beitrug.

Unsere Nachforschungen ergaben, dass diese Funktion keinen nennenswerten Mehrwert brachte und nicht mit unserer strategischen Ausrichtung auf die Bereitstellung hochwertiger, zuverlässiger Sicherheitslösungen übereinstimmte.

Wir sind bestrebt, unsere Dienstleistungen ständig zu verbessern und sicherzustellen, dass sie Ihren Bedürfnissen und Erwartungen entsprechen.

Für diejenigen, die diese Meldung weiterhin verwenden möchten, empfehlen wir, stattdessen die folgende erweiterte Hunting-Abfrage als Vorlage zu verwenden. Ändern Sie die Abfrage entsprechend Ihren Bedürfnissen.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Weitere Informationen