Bedrohungen erkennen
Wenn Sie verstehen, wie Sie Daten vor versehentlicher Offenlegung schützen können, müssen Sie als nächstes den Schutz vor Cyberbedrohungen und Anomalien in Betracht ziehen, der eines der Elemente des Defender for Cloud Apps-Frameworks ist.
Microsoft Defender for Cloud Apps enthält sofort einsatzbereite Richtlinien zur Erkennung von Anomalien, die User and Entity Behavioral Analytics (UEBA) und maschinelles Lernen nutzen, um eine erweiterte Erkennung von Bedrohungen in Ihrer Cloud-Umgebung zu ermöglichen. Es ist wichtig zu beachten, dass Anomalieerkennungen von Natur aus nicht deterministisch sind. Diese Erkennungen werden nur ausgelöst, wenn es ein von der Norm abweichendes Verhalten gibt.
Obwohl Erkennungsrichtlinien für Anomalien automatisch aktiviert sind, wird Microsoft Defender for Cloud Apps die ersten sieben Tage dazu nutzen, Ihre Umgebung kennenzulernen. Es sieht sich IP-Adressen, Geräte und Speicherorte an, auf die Ihre Benutzer zugreifen, identifiziert, welche Apps und Dienste sie verwenden, und berechnet die Risikobewertung all dieser Aktivitäten. Dieser Prozess trägt zur Baseline bei, gegen die Ihre Umgebung und alle Benachrichtigungen verglichen werden. Die Erkennungsrichtlinien verwenden ebenfalls maschinelles Lernen, um ein Profil Ihrer Benutzer zu erstellen. Wenn Microsoft Defender for Cloud Apps Ihre Benutzer und ihre normalen Anmeldemuster erkennt, kann es helfen, falsch positive Ergebnisse zu reduzieren.
Anomalien werden erkannt, indem Benutzeraktivitäten überprüft und auf ihr Risiko hin bewertet werden. Das Risiko wird evaluiert, indem mehr als 30 verschiedene Indikatoren betrachtet werden, gruppiert nach folgenden Risikofaktoren:
- Riskante IP-Adresse
- Anmeldefehler
- Administratoraktivität
- Inaktive Konten
- Standort
- Unmöglicher Ortswechsel
- Geräte- und Benutzeragent
- Aktivitätsrate
Microsoft Defender for Cloud Apps sieht sich jede Benutzersitzung in Ihrer Cloud an und benachrichtigt Sie, wenn etwas geschieht, das von der Baseline Ihrer Organisation oder von den normalen Aktivitäten des Benutzers abweicht.
Überblick über Anomalie-Erkennungsrichtlinien
Die Anomalie-Erkennungsrichtlinien von Microsoft Defender for Cloud Apps sind zur Erkennung einer Vielzahl von Sicherheitsproblemen konfiguriert. Die beliebtesten sind:
- Unmöglicher Ortswechsel. Aktivitäten desselben Benutzers an verschiedenen Orten innerhalb eines Zeitraums, der kürzer ist als die erwartete Reisezeit zwischen den beiden Orten.
- Aktivität aus einem seltenem Land. Aktivität von einem Standort, der nicht kürzlich oder nie vom Benutzer oder von einem Benutzer in der Organisation besucht wurde.
- Schadsoftwareerkennung. Scannt Dateien in Ihren Cloud-Apps und lässt verdächtige Dateien durch das Threat Intelligence-Modul von Microsoft laufen, um festzustellen, ob sie mit bekannter Schadsoftware verbunden sind.
- Ransomware-Aktivität. Dateien, die in die Cloud hochgeladen werden, die möglicherweise mit Ransomware infiziert sind.
- Aktivität von verdächtigen IP-Adressen. Aktivität von einer IP-Adresse, die von Microsoft Threat Intelligence als riskant identifiziert wurde.
- Verdächtige Weiterleitung im Posteingang. Entdeckt verdächtige Posteingang-Weiterleitungsregeln im Posteingang eines Benutzers.
- Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien. Entdeckt Aktivitäten zum Herunterladen mehrere Dateien in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte.
- Ungewöhnliche administrative Aktivitäten. Entdeckt mehrfache administrative Aktivitäten in einer einzigen Sitzung in Bezug auf die erlernte Baseline, was auf eine versuchte Sicherheitsverletzung hinweisen könnte.
Konfigurieren einer Anomalie-Erkennungsrichtlinie
Nachdem Sie nun die Richtlinien zur Erkennung von Anomalien kennengelernt haben, lassen Sie uns eine Anomalie-Erkennungsrichtlinie konfigurieren, damit Sie die Schritte zum Einrichten und Konfigurieren für Ihre Umgebung sehen können. Eine Anomalie-Erkennungsrichtlinie versucht, ungewöhnliche Zunahmen bei der Nutzung von Cloud-Anwendungen zu entdecken. Sie betrachtet die Zunahme von heruntergeladenen Daten, hochgeladenen Daten, Transaktionen und Benutzern für jede Cloud-Anwendung. Dann wird jede Zunahmen gegen die Baseline für die Anwendung verglichen. Die extremsten Zunahmen lösen Sicherheitsbenachrichtigungen aus.
Sie können Filter einrichten, um das Monitoring Ihrer Anwendungsnutzung anzupassen. Filter umfassen einen Anwendungsfilter, ausgewählte Datenansichten und ein ausgewähltes Startdatum. Sie können auch die Empfindlichkeit einstellen, mit der Sie festlegen können, wie viele Benachrichtigungen die Richtlinie auslösen soll.
Feineinstellung von Anomalie-Erkennungsrichtlinien zur Unterdrückung oder Anzeige von Benachrichtigungen
Obwohl Anomalie-Erkennungen nur dann auslösen, wenn etwas außerhalb der Norm passiert, sind sie immer noch anfällig für falsch positive Ereignisse. Zu viele falsch positive Ereignisse können zu einer Ermüdung hinsichtlich Benachrichtigungen führen, und Sie riskieren, die wichtigen Benachrichtigungen im Rauschen zu übersehen. Um Warnungsgeräusche zu vermeiden, können Sie die Erkennungslogik in jeder Richtlinie so optimieren, dass sie verschiedene Unterdrückungsebenen enthält, um Szenarien zu beheben, die falsch positive Ergebnisse auslösen können, z. B. VPN-Aktivitäten.
Wenn Sie eine Anomalie-Erkennungsrichtlinien erstellen oder bearbeiten, legen Sie deren Empfindlichkeit entsprechend der Art der benötigten Abdeckung fest. Eine höhere Empfindlichkeit verwendet strengere Algorithmen der Erkennungslogik. So können Sie Ihre Erkennungsstrategien für jede Richtlinie anpassen.
Bevor Sie Ihre Richtlinien feinabstimmen, sollten Sie die Optionen für die Unterdrückung von Benachrichtigungen verstehen. Es gibt drei Typen von Unterdrückungen:
| Unterdrückungstyp | Description |
|---|---|
| System | Eingebaute Entdeckungen, die immer unterdrückt werden. |
| Mandant | Häufige Aktivitäten, die auf der früheren Aktivität des Mandanten basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem ISP, für die zuvor in Ihrer Organisation eine Warnung ausgelöst wurde. |
| Benutzer | Häufige Aktivitäten, die auf der früheren Aktivität des bestimmten Benutzers basieren. Beispielsweise das Unterdrücken von Aktivitäten von einem Speicherort, der häufig vom Benutzer verwendet wird. |
Die Empfindlichkeitsstufen wirken sich unterschiedlich auf die Unterdrückungstypen aus:
| Empfindlichkeitsstufe | Betroffene Unterdrückungstypen |
|---|---|
| Niedrig | System, Mandant und Benutzer |
| Mittel | System und Benutzer |
| Hoch | Nur System |
Sie können auch konfigurieren, ob bei Benachrichtigungen für Aktivitäten aus unregelmäßigen Ländern/Regionen, anonymen IP-Adressen, verdächtigen IP-Adressen und unmöglichen Ortswechseln die fehlgeschlagenen und erfolgreichen Anmeldungen oder nur die erfolgreichen Anmeldungen analysiert werden sollen.
Anpassen des Bereichs für die Anomalie-Erkennungsrichtlinie an Benutzer und Gruppen
Für jede Anomalie-Erkennungsrichtlinie kann ein unabhängiger Bereich eingestellt werden, damit sie nur für die Benutzer oder Gruppen angewendet wird, die Sie in der Richtlinie einschließen und ausschließen wollen. Beispielsweise können Sie die Erkennung von Aktivitäten aus seltenen Ländern/Regionen so festlegen, dass ein bestimmter Benutzer ignoriert wird, der häufig reist.
So legen Sie den Bereich einer Anomalie-Erkennungsrichtlinie fest:
Melden Sie sich über Ihren Browser beim Microsoft Defender for Cloud Apps-Portal an.
Wählen Sie Steuerung>Richtlinien aus, und legen Sie den Filter Typ auf Anomalie-Erkennungsrichtlinie fest.
Wählen Sie die Richtlinie aus, die Sie einschränken möchten.
Ändern Sie unter Bereich die Dropdown-Liste von der Standardeinstellung Alle Benutzer und Gruppen auf Bestimmte Benutzer und Gruppen.
Wählen Sie Einschließen aus, um die Benutzer und Gruppen anzugeben, für die diese Richtlinie gilt. Alle Benutzer und Gruppen, die hier nicht ausgewählt sind, werden nicht als Bedrohung angesehen und werden keine Benachrichtigungen erzeugen.
Wählen Sie Ausschließen, um Benutzer anzugeben, für welche diese Richtlinie nicht angewendet wird. Alle hier ausgewählten Benutzer werden nicht als Bedrohung angesehen und werden keine Benachrichtigungen erzeugen, selbst wenn sie Mitglieder von Gruppen sind, die unter Einschließen ausgewählt sind.
Wenn Sie die Änderungen am Bereich abgeschlossen haben, wählen Sie Aktualisieren, um die Änderung zu committen.
