Cómo investigar alertas de detección de anomalías

Microsoft Defender for Cloud Apps proporciona detecciones de seguridad y alertas para actividades malintencionadas. El objetivo de esta guía es proporcionarle información general y práctica sobre las alertas para ayudarle con tareas de investigación y corrección. En esta guía se incluye información general sobre las condiciones para desencadenar alertas. Sin embargo, es importante tener en cuenta que, dado que las detecciones de anomalías no son deterministas por naturaleza, solo se activan cuando hay un comportamiento que se desvía de la norma. Por último, es posible que algunas alertas estén en versión preliminar, por lo que debe revisar periódicamente la documentación oficial para conocer el estado actualizado de la alerta.

MITRE ATT&CK

Para explicar y facilitar la asignación de la relación entre las alertas de Defender for Cloud Apps y la conocida matriz MITRE ATT&CK, hemos categorizado las alertas por su táctica de MITRE ATT&CK correspondiente. Esta referencia adicional facilita la comprensión de la técnica de ataques sospechosa potencialmente en uso cuando se desencadena una alerta de seguridad de Defender for Cloud Apps.

En esta guía se proporciona información sobre cómo investigar y corregir las alertas de Defender for Cloud Apps en las siguientes categorías.

Clasificaciones de alertas de seguridad

Después de una investigación adecuada, todas las alertas de Defender for Cloud Apps se pueden clasificar como uno de los siguientes tipos de actividad:

  • Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
  • Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
  • Falso positivo: una alerta sobre una actividad no malintencionada.

Investigaciones generales

Debe usar las siguientes directrices generales al investigar cualquier tipo de alerta para obtener una comprensión más clara de la posible amenaza antes de aplicar la acción recomendada.

  • Revise la puntuación de prioridad de investigacióndel del usuario y compárelo con el resto de la organización. Esto le ayudará a identificar qué usuarios de su organización suponen el mayor riesgo.
  • Si identifica un TP, revise todas las actividades del usuario para comprender el impacto.
  • Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el origen y el ámbito del impacto. Por ejemplo, revise la siguiente información del dispositivo del usuario y compárelo con la información que tiene del mismo:
    • Sistema operativo y versión
    • Explorador y versión
    • Dirección IP y ubicación

Alertas de acceso iniciales

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando obtener un punto de acceso inicial en su organización.

Actividad desde una dirección IP anónima

Descripción

Actividad de una dirección IP identificada como una dirección IP de proxy anónima por Microsoft Threat Intelligence o por su organización. Estos proxies se pueden usar para ocultar la dirección IP de un dispositivo y pueden usarse para actividades maliciosas.

¿TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que reduce los incidentes B-TP, como las direcciones IP mal etiquetadas que otros usuarios de la organización usan ampliamente.

  1. TP: si puede confirmar que la actividad se ha realizado desde una dirección IP anónima o TOR.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. B-TP: si se sabe que un usuario usa la dirección IP en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

Actividad desde un país poco frecuente

Actividad de un país o región que podría indicar actividad malintencionada. Esta directiva genera perfiles de su entorno y desencadena alertas cuando se detecta actividad desde una ubicación que no se ha visitado recientemente o que ningún usuario de la organización visitó nunca.

La directiva incluso se puede limitar a un subconjunto de usuarios o puede impedir que usuarios conocidos vayan a ubicaciones remotas.

Período de aprendizaje

La detección de ubicaciones anómalas requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada:

    1. Suspenda al usuario, restablezca su contraseña e identifique el momento adecuado para volver a habilitar la cuenta de forma segura.
    2. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios que se han detectado conectados desde ubicaciones poco frecuentes y sus administradores para comprobar su actividad.
  2. B-TP: si se sabe que un usuario está en esta ubicación. Por ejemplo, cuando un usuario viaja con frecuencia y se encuentra actualmente en la ubicación especificada.

    Acción recomendada:

    1. Descarte la alerta y modifique la directiva para excluir al usuario.
    2. Cree un grupo de usuarios que sean viajeros frecuentes, importe el grupo en Defender for Cloud Apps y excluya a los usuarios de esta alerta.
    3. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios que se han detectado conectados desde ubicaciones poco frecuentes y sus administradores para comprobar su actividad.

Comprender el ámbito de la vulneración

  • Revise qué recurso podría haberse visto comprometido, como las posibles descargas de datos.

Actividad desde direcciones IP sospechosas

Actividad desde una dirección IP que se ha identificado como de riesgo en Inteligencia contra amenazas Microsoft o su organización. Se identificó que estas direcciones IP estaban involucradas en actividades maliciosas, como la difusión de contraseñas, el comando y control de botnets (C&C) y podrían indicar una cuenta comprometida.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. B-TP: si se sabe que un usuario usa la dirección IP en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad y busque actividades desde la misma dirección IP.
  2. Revise qué recurso podría haberse visto comprometido, como posibles descargas de datos o modificaciones administrativas.
  3. Cree un grupo para los analistas de seguridad que desencadenan voluntariamente estas alertas y exclúyalos de la directiva.

Viaje imposible

Actividad del mismo usuario en diferentes ubicaciones dentro de un periodo menor que el tiempo de desplazamiento esperado entre las dos ubicaciones. Esto puede indicar una infracción de credenciales, pero también es posible que la ubicación real del usuario esté enmascarada, por ejemplo, mediante una VPN.

Para mejorar la precisión y alertar solo cuando hay una indicación clara de una infracción, Defender for Cloud Apps establece una línea base en cada usuario de la organización y alertará solo cuando se detecte el comportamiento inusual. La directiva de viaje imposible se puede ajustar a sus requisitos.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que omite las condiciones B-TP evidentes, como cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye para que no desencadene la detección de viaje imposible. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de un solo lado del viaje se considera segura, la detección se desencadena como normal.

  1. TP: si puede confirmar que la ubicación de la alerta de viaje imposible es poco probable para el usuario.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (viaje del usuario no detectado): si puede confirmar que el usuario viajó recientemente al destino mencionado en la alerta Por ejemplo, si el teléfono de un usuario que está en modo avión permanece conectado a servicios como Exchange Online en la red corporativa mientras viaja a otra ubicación. Cuando el usuario llega a la nueva ubicación, el teléfono se conecta a Exchange Online y desencadena la alerta de viaje imposible.

    Acción recomendada: descartar la alerta.

  3. FP (VPN no etiquetada): si puede confirmar que el intervalo de direcciones IP procede de una VPN autorizada.

    Acción recomendada: descarte la alerta y agregue el intervalo de direcciones IP de la VPN a Defender for Cloud Apps y, después, úselo para etiquetar el intervalo de direcciones IP de la VPN.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad para conocer las actividades similares en la misma ubicación y dirección IP.
  2. Si observa que el usuario ha realizado otras actividades de riesgo, como descargar un gran volumen de archivos desde una nueva ubicación, se trataría de un indicador claro de un posible riesgo.
  3. Agregue intervalos de direcciones IP y VPN corporativas.
  4. Cree un cuaderno de estrategias con Power Automate y póngase en contacto con el administrador del usuario para ver si el usuario viaja legítimamente.
  5. Considere la posibilidad de crear una base de datos de viajeros conocidos para informes de viajes organizativos actualizados y usarlo para la actividad de viajes entre referencias.

Nombre engañoso de aplicación de OAuth

Esta detección identifica las aplicaciones con caracteres, como letras externas, que se asemejan a las letras latinas. Esto puede indicar un intento de ocultar una aplicación malintencionada como si fuera una conocida y de confianza para que los atacantes puedan engañar a los usuarios y estos descarguen su aplicación malintencionada.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que el nombre de la aplicación es engañoso.

    Acción recomendada: revise el nivel de permiso que solicita esta aplicación y qué usuarios han concedido el acceso. En función de la investigación, puede optar por prohibir el acceso a esta aplicación.

Para prohibir el acceso a la aplicación, en las pestañas Google o Salesforce de la página Gobernanza de aplicaciones, seleccione el icono de prohibición en la fila de la aplicación que quiera prohibir. - Puede elegir si quiere indicar a los usuarios que se ha prohibido la aplicación que han instalado y autorizado. La notificación informa a los usuarios de que la aplicación está deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo. - Se recomienda permitir que los usuarios de la aplicación sepan que se ha prohibido el uso de la aplicación.

  1. FP: si quiere confirmar que el nombre de la aplicación es engañoso, pero tiene un uso empresarial legítimo en la organización.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

Nombre engañoso de publicador para una aplicación de OAuth

Esta detección identifica las aplicaciones con caracteres, como letras externas, que se asemejan a las letras latinas. Esto puede indicar un intento de ocultar una aplicación malintencionada como si fuera una conocida y de confianza para que los atacantes puedan engañar a los usuarios y estos descarguen su aplicación malintencionada.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que el nombre del publicador de la aplicación es engañoso.

    Acción recomendada: revise el nivel de permiso que solicita esta aplicación y qué usuarios han concedido el acceso. En función de la investigación, puede optar por prohibir el acceso a esta aplicación.

  2. FP: si quiere confirmar que el nombre del publicador de la aplicación es engañoso, pero es un publicador legítimo.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. En las pestañas Google o Salesforce de la página Gobernanza de aplicaciones, seleccione la aplicación para abrir el cajón de aplicaciones y, a continuación, seleccione Actividad relacionada. Se abrirá la página Registro de actividad filtrada según las actividades que realiza la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades que se registran como si las hubiera hecho un usuario. Estas actividades se filtran automáticamente fuera de los resultados del registro de actividad. Para realizar una investigación más detallada con el registro de actividad, consulte Registro de actividad.
  2. Si una aplicación le resulta sospechosa, le recomendamos investigar el nombre y el editor de la aplicación en distintas tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
    • Aplicaciones con un número reducido de descargas.
    • Aplicaciones con una puntuación o clasificación baja o comentarios malos.
    • Aplicaciones con un editor o sitio web sospechoso.
    • Aplicaciones que no se han actualizado recientemente. Esto puede indicar que una aplicación ya no se admite.
    • Aplicaciones con permisos irrelevantes. Esto podría indicar que una aplicación es riesgosa.
  3. Si la aplicación sigue siendo sospechosa, puede investigar la dirección URL, el editor y el nombre de la aplicación en línea.

Alertas de ejecución

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando ejecutar código malintencionado en su organización.

Varias actividades de eliminación de almacenamiento

Actividades en una sola sesión que indican que un usuario ha realizado un número inusual de eliminaciones de base de datos o almacenamiento en la nube de recursos como blobs de Azure, cubos de AWS S3 o Cosmos DB en comparación con la línea base aprendida. Esto puede indicar un intento de vulneración de su organización.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si desea confirmar que las eliminaciones no están autorizadas.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

  2. FP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Póngase en contacto con el usuario y confirme la actividad.
  2. Revise el registro de actividad para ver otros indicadores de riesgo y quién ha realizado el cambio en el servicio de CloudTrail.
  3. Revise las actividades del usuario para ver los cambios en otros servicios.

Varias actividades de creación de máquinas virtuales

Actividades en una sola sesión que indican que un usuario ha realizado un número inusual de acciones de creación de máquinas virtuales en comparación con la línea base aprendida. Varias creaciones de máquinas virtuales en una infraestructura en la nube vulnerada podrían indicar un intento de ejecutar operaciones de criptominería desde dentro de su organización.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

Para mejorar la precisión y alertar solo cuando hay un indicio claro de una infracción, esta detección establece una línea de base en cada entorno de la organización para reducir los incidentes B-TP, como un administrador que creó legítimamente más máquinas virtuales que la línea de base establecida, y solo alerta cuando se detecta el comportamiento inusual.

  • TP: si puede confirmar que las actividades de creación no las realizó un usuario legítimo.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, debe ponerse en contacto con el usuario, confirmar sus acciones legítimas y, a continuación, asegurarse de deshabilitar o eliminar las máquinas virtuales en peligro.

  • B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
  2. Revise los recursos creados o modificados por el usuario y compruebe que cumplen las directivas de su organización.

Actividad de creación sospechosa para la región de nube (versión preliminar)

Actividades que indican que un usuario ha realizado una acción inusual de creación de recursos en una región de AWS poco común en comparación con la línea base aprendida. La creación de recursos en regiones de nube poco frecuentes podría indicar un intento de realizar una actividad malintencionada, como las operaciones de criptominería de datos de la organización.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

Para mejorar la precisión y alertar solo cuando hay un indicio claro de una infracción, esta detección establece una línea de base en cada entorno de la organización para reducir los incidentes B-TP.

  • TP: si puede confirmar que las actividades de creación no las realizó un usuario legítimo.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, debe ponerse en contacto con el usuario, confirmar sus acciones legítimas y, a continuación, asegurarse de deshabilitar o eliminar los recursos en la nube en peligro.

  • B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
  2. Revise los recursos creados y compruebe que cumplen las directivas de su organización.

Alertas de persistencia

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando mantener su punto de acceso en la organización.

Actividad realizada por el usuario cancelado

La actividad realizada por un usuario finalizado puede indicar que un empleado finalizado que todavía tiene acceso a los recursos corporativos está intentando realizar una actividad malintencionada. Defender for Cloud Apps genera perfiles de usuarios de la organización y desencadena una alerta cuando un usuario finalizado realiza una actividad.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que el usuario finalizado todavía tiene acceso a determinados recursos corporativos y está realizando actividades.

    Acción recomendada: deshabilite al usuario.

  2. B-TP: si puede determinar que el usuario se deshabilitó temporalmente o se eliminó y se volvió a registrar.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Consulte los registros de RR. HH. para confirmar que se trata de un usuario finalizado.
  2. Valide la existencia de la cuenta de usuario de Microsoft Entra.

    Nota:

    Si usa Microsoft Entra Connect, valide el objeto Active Directory local y confirme un ciclo de sincronización correcto.

  3. Identifique todas las aplicaciones a las que el usuario finalizado tuvo acceso y retire las cuentas.
  4. Actualice los procedimientos de retirada.

Cambio sospechoso del servicio de registro de CloudTrail

Actividades en una sola sesión que indican que un usuario ha realizado cambios sospechosos en el servicio de registro de AWS CloudTrail. Esto puede indicar un intento de vulneración de su organización. Al deshabilitar CloudTrail, los cambios operativos ya no se registran. Un atacante puede realizar actividades malintencionadas al evitar un evento de auditoría de CloudTrail, como cambiar un cubo de S3 de privado a público.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, restablezca su contraseña e invierta la actividad de CloudTrail.

  2. FP: si puede confirmar que el usuario deshabilitó el servicio de CloudTrail legítimamente.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad para ver otros indicadores de riesgo y quién ha realizado el cambio en el servicio de CloudTrail.
  2. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar su actividad.

Actividad sospechosa de eliminación de correo electrónico (por parte de un usuario)

Actividades en una sola sesión que indican que un usuario eliminó correo electrónico de forma sospechosa. La eliminación era del tipo "permanente", de modo que el elemento de correo electrónico se elimina y deja de estar disponible en el buzón del usuario. La eliminación se ha realizado desde una conexión que incluye preferencias poco frecuentes, como ISP, país o región y agente de usuario. Esto puede indicar un intento de vulneración de su organización, como los atacantes que intentan enmascarar las operaciones mediante la eliminación de correos electrónicos relacionados con las actividades de correo no deseado.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP: si puede confirmar que el usuario creó legítimamente una regla para eliminar mensajes.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

  • Revise toda la actividad del usuario en busca de otros indicadores de riesgo, como la alerta de Reenvío sospechoso desde la bandeja de entrada seguida de una alerta de Viaje imposible. Buscar:

    1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
      • Compruebe si hay nombres de reglas de reenvío malintencionados. Los nombres de regla pueden ser nombres simples, como "Reenviar todos los correos electrónicos" y "Reenviar automáticamente" o nombres engañosos, como un "." a penas visible. Los nombres de reglas de reenvío pueden estar vacíos, y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar de la interfaz de usuario. Una vez detectadas, puede usar esta entrada de blog útil sobre cómo eliminar reglas ocultas de buzones de correo.
      • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada está en peligro.
    2. Nuevas reglas de bandeja de entrada, como "eliminar todo" o "mover mensajes a otra carpeta", o reglas con convenciones de nomenclatura ocultas, como "...".
    3. Un aumento de los correos electrónicos enviados.

Regla de manipulación sospechosa de la bandeja de entrada

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como eliminar o mover mensajes o carpetas de la bandeja de entrada de un usuario, pueden ser un intento de filtrar información de su organización. Del mismo modo, pueden indicar un intento de manipular la información que un usuario ve o usar su bandeja de entrada para distribuir correo no deseado, correos electrónicos de suplantación de identidad o malware. Defender for Cloud Apps genera perfiles de su entorno y desencadena alertas cuando se detectan reglas de manipulación sospechosa de la bandeja de entrada de un usuario. Eso podría indicar que la cuenta del usuario está en peligro.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que se creó una regla de bandeja de entrada malintencionada y que la cuenta está en peligro.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y elimine la regla de reenvío.

  2. FP: si puede confirmar que un usuario creó legítimamente la regla.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

  1. Revise toda la actividad del usuario en busca de otros indicadores de riesgo, como la alerta de Reenvío sospechoso desde la bandeja de entrada seguida de una alerta de Viaje imposible. Busque:
    • Nuevas reglas de reenvío SMTP.
    • Nuevas reglas de bandeja de entrada, como "eliminar todo" o "mover mensajes a otra carpeta", o reglas con convenciones de nomenclatura ocultas, como "...".
  2. Recopile información de la ubicación y la dirección IP relativa a la acción.
  3. Revise las actividades realizadas desde la dirección IP usada para crear la regla para detectar otros usuarios en peligro.

Alertas de escalada de privilegios

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando obtener permisos de nivel superior en su organización.

Actividades inusuales administrativas (por usuario)

Actividades que indican que un atacante ha puesto en peligro una cuenta de usuario y ha realizado acciones administrativas que no son comunes para ese usuario. Por ejemplo, un atacante puede intentar cambiar la configuración de seguridad de un usuario, una operación relativamente rara para un usuario común. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un administrador legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP: si puede confirmar que un administrador ha realizado legítimamente el volumen inusual de actividades administrativas.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

  1. Revise toda la actividad del usuario en busca de otros indicadores de riesgo, como el Reenvío sospechoso desde la bandeja de entrada o el Viaje imposible.
  2. Revise otros cambios de configuración, como crear una cuenta de usuario que pueda usarse indefinidamente.

Alertas de acceso con credenciales

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando robar nombres de cuenta y contraseñas de su organización.

Varios intentos incorrectos de inicio de sesión

Los intentos fallidos de inicio de sesión podrían indicar un intento de vulnerar una cuenta. Sin embargo, también pueden ser un comportamiento normal. Por ejemplo, cuando un usuario escribe una contraseña incorrecta por error. Para lograr precisión y alertar solo cuando hay una indicación clara de intento de infracción, Defender for Cloud Apps establece una línea base de hábitos de inicio de sesión para cada usuario de la organización y alertará solo cuando se detecte el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

Esta directiva se basa en el aprendizaje del comportamiento normal de inicio de sesión de un usuario. Cuando se detecta una desviación de la norma, se desencadena una alerta. Si la detección comienza a ver que el mismo comportamiento continúa, la alerta solo se genera una vez.

  1. TP (error de MFA): si puede confirmar que MFA funciona correctamente, podría ser un signo de un intento de ataque por fuerza bruta.

    Acciones recomendadas:

    1. Suspenda al usuario, márquelo como en peligro y restablezca su contraseña.
    2. Busque la aplicación que ha realizado las autenticaciones fallidas y vuelva a configurarla.
    3. Busque otros usuarios que hayan iniciado sesión en el momento de la actividad, ya que también podrían estar comprometidos. Suspenda al usuario, márquelo como en peligro y restablezca su contraseña.
  2. B-TP (error de MFA): si puede confirmar que la alerta se debe a un problema con MFA.

    Acción recomendada: cree un cuaderno de estrategias con Power Automate para ponerse en contacto con el usuario y comprobar si tiene problemas con MFA.

  3. B-TP (aplicación configurada incorrectamente): si puede confirmar que una aplicación mal configurada intenta conectarse a un servicio varias veces con credenciales expiradas.

    Acción recomendada: descartar la alerta.

  4. B-TP (contraseña cambiada): si puede confirmar que un usuario ha cambiado recientemente su contraseña, pero no ha afectado a las credenciales en los recursos compartidos de red.

    Acción recomendada: descartar la alerta.

  5. B-TP (prueba de seguridad): si puede confirmar que los analistas de seguridad en nombre de la organización llevan a cabo una prueba de seguridad o penetración.

    Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

  1. Revise toda la actividad del usuario en busca de otros indicadores de riesgo, como que la alerta vaya seguida de una de las siguientes alertas: Viaje imposible, Actividad desde una dirección IP anónima o Actividad desde un país poco frecuente.
  2. Revise la siguiente información del dispositivo del usuario y compárelo con la información que tiene del mismo:
    • Sistema operativo y versión
    • Explorador y versión
    • Dirección IP y ubicación
  3. Identifique la dirección IP o la ubicación de origen donde se produjo el intento de autenticación.
  4. Identifique si el usuario cambió recientemente su contraseña y asegúrese de que todas las aplicaciones y los dispositivos tengan la contraseña actualizada.

Adición inusual de credenciales a una aplicación de OAuth

Esta detección identifica la adición sospechosa de credenciales con privilegios a una aplicación de OAuth. Esto puede indicar que un atacante ha puesto en peligro la aplicación y que la usa para actividades malintencionadas.

Período de aprendizaje

El aprendizaje del entorno de su organización requiere un período de siete días durante el cual puede esperar un gran volumen de alertas.

ISP inusual para una aplicación de OAuth

La detección identifica una aplicación de OAuth que se conecta a la aplicación en la nube desde un ISP que es poco común para la aplicación. Esto podría indicar que un atacante intentó usar una aplicación legítima en peligro para realizar actividades malintencionadas en las aplicaciones en la nube.

Período de aprendizaje

El período de aprendizaje de esta detección es de 30 días.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que la actividad no era una actividad legítima de la aplicación OAuth o que este ISP no lo utiliza la aplicación OAuth legítima.

    Acción recomendada: revoque todos los tokens de acceso de la aplicación de OAuth e investigue si un atacante tiene acceso para generar tokens de acceso de OAuth.

  2. FP: si puede confirmar que la actividad se ha realizado legítimamente mediante la aplicación de OAuth original.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise las actividades realizadas por la aplicación de OAuth.

  2. Investigue si un atacante tiene acceso para generar tokens de acceso de OAuth.

Alertas de recopilación

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando recopilar datos de interés de su organización para lograr su objetivo.

Actividades de uso compartido de varios informes de Power BI

Actividades en una sola sesión que indican que un usuario ha realizado un número inusual de actividades de informe de recursos compartidos en Power BI en comparación con la línea base aprendida. Esto puede indicar un intento de vulneración de su organización.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendadas: elimine el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, márquelo como en peligro y restablezca su contraseña.

  2. FP: si puede confirmar que el usuario tenía una justificación comercial para compartir estos informes.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad para comprender mejor otras actividades realizadas por el usuario. Fíjese en la dirección IP desde la que han iniciado sesión y en los detalles del dispositivo.
  2. Póngase en contacto con los equipos de Power BI o Protección de información para comprender las directrices para compartir informes interna y externamente.

Uso compartido de informe de Power BI sospechoso

Actividades que indican que un usuario compartió un informe de Power BI que podría contener información confidencial identificada mediante NLP para analizar los metadatos del informe. El informe se ha compartido con una dirección de correo electrónico externa, se ha publicado en la web o se ha entregado una instantánea a una dirección de correo electrónico suscrita externamente. Esto puede indicar un intento de vulneración de su organización.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendadas: elimine el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, márquelo como en peligro y restablezca su contraseña.

  2. FP: si puede confirmar que el usuario tenía una justificación comercial para compartir estos informes.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad para comprender mejor otras actividades realizadas por el usuario. Fíjese en la dirección IP desde la que han iniciado sesión y en los detalles del dispositivo.
  2. Póngase en contacto con los equipos de Power BI o Protección de información para comprender las directrices para compartir informes interna y externamente.

Actividad inusual de suplantación de identidad (por parte de un usuario)

Algunos programas de software cuentan con opciones que permiten a otros usuarios suplantar a otros usuarios. Por ejemplo, los servicios de correo electrónico permiten que un usuario autorice a otros a enviar correos electrónicos en su nombre. Los atacantes suelen usar esta actividad para crear correos electrónicos de suplantación de identidad (phishing) en un intento de extraer información sobre su organización. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y crea una actividad cuando se detecta una actividad de suplantación inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente las actividades inusuales o más actividades de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

  3. FP: si puede confirmar que algunas aplicaciones, como Teams, suplantan legítimamente al usuario.

    Acción recomendada: revise las acciones y descarte la alerta si es necesario.

Comprender el ámbito de la vulneración

  1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.
  2. Revise las actividades de suplantación para identificar posibles actividades malintencionadas.
  3. Revise la configuración de acceso delegado.

Alertas de exfiltración

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando robar datos de su organización.

Reenvío sospechoso desde la bandeja de entrada

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como reenviar todos los correos electrónicos o correos electrónicos específicos a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de su organización. Defender for Cloud Apps genera perfiles de su entorno y desencadena alertas cuando se detectan reglas de manipulación sospechosa de la bandeja de entrada de un usuario. Eso podría indicar que la cuenta del usuario está en peligro.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que se creó una regla reenvío de bandeja de entrada malintencionada y que la cuenta está en peligro.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y elimine la regla de reenvío.

  2. FP: si puede confirmar que el usuario creó una regla de reenvío en una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise toda la actividad del usuario para ver indicadores adicionales de peligro, como, por ejemplo, que la alerta vaya seguida de una alerta de viaje imposible. Buscar:

    1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
      • Compruebe si hay nombres de reglas de reenvío malintencionados. Los nombres de regla pueden ser nombres simples, como "Reenviar todos los correos electrónicos" y "Reenviar automáticamente" o nombres engañosos, como un "." a penas visible. Los nombres de reglas de reenvío pueden estar vacíos, y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar de la interfaz de usuario. Una vez detectadas, puede usar esta entrada de blog útil sobre cómo eliminar reglas ocultas de buzones de correo.
      • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada está en peligro.
    2. Nuevas reglas de bandeja de entrada, como "eliminar todo" o "mover mensajes a otra carpeta", o reglas con convenciones de nomenclatura ocultas, como "...".
  2. Revise las actividades realizadas desde la dirección IP usada para crear la regla para detectar otros usuarios en peligro.

  3. Revise la lista de mensajes reenviados mediante el seguimiento de mensajes de Exchange Online.

Descarga inusual de archivos (por parte del usuario)

Actividades que indican que un usuario ha realizado un número inusual de descargas de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de descarga de archivos de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

  3. FP (sincronización de software): si puede confirmar que el software, como, por ejemplo, OneDrive, se ha sincronizado con una copia de seguridad externa y eso ha provocado la alerta.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise las actividades de descarga y cree una lista de archivos descargados.
  2. Revise la confidencialidad de los archivos descargados con el propietario del recurso y valide el nivel de acceso.

Acceso inusual a archivos (por parte del usuario)

Actividades que indican que un usuario ha realizado un número inusual de accesos en SharePoint o OneDrive a archivos que contienen datos financieros o de red en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización, ya sea con fines financieros o para acceder a credenciales y movimiento lateral. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El período de aprendizaje depende de la actividad del usuario. Por lo general, el período de aprendizaje está comprendido entre 21 y 45 días para la mayoría de los usuarios.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de acceso a archivos de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise las actividades de acceso y cree una lista de los archivos a los que se accede.
  2. Revise la confidencialidad de los archivos a los que se accede con el propietario del recurso y valide el nivel de acceso.

Actividad inusual de uso compartido de archivos (por parte del usuario)

Actividades que indican que un usuario ha realizado un número inusual de acciones de uso compartido de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de uso compartido de archivos de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise las actividades de uso compartido y cree una lista de los archivos compartidos.
  2. Revise la confidencialidad de los archivos compartidos con el propietario del recurso y valide el nivel de acceso.
  3. Cree una directiva de archivo para documentos similares a fin de detectar el uso compartido de archivos confidenciales en el futuro.

Alertas de impacto

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando manipular, interrumpir o destruir los sistemas y datos de su organización.

Varias actividades de eliminación de VM

Actividades en una sola sesión que indican que un usuario ha realizado un número inusual de eliminaciones de máquinas virtuales en comparación con la línea base aprendida. Varias eliminaciones de máquinas virtuales podrían indicar un intento de interrumpir o destruir un entorno. Sin embargo, hay muchos escenarios normales en los que se eliminan las máquinas virtuales.

¿TP, B-TP o FP?

Para mejorar la precisión y alertar solo cuando hay un claro indicio de una infracción, esta detección establece una línea de base en cada entorno de la organización para reducir los incidentes B-TP y alertar solo cuando se detecta un comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

  • TP: si puede confirmar que las eliminaciones no estaban autorizadas.

    Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

  • B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Póngase en contacto con el usuario y confirme la actividad.
  2. Revise toda la actividad del usuario para ver indicadores adicionales de peligro, como, por ejemplo, que la alerta vaya seguida de una de las siguientes alertas: Viaje imposible, Actividad desde una dirección IP anónima o Actividad desde un país poco frecuente.

Actividad de ransomware

El ransomware es un ciberataque en el que un atacante bloquea a las víctimas fuera de sus dispositivos o les impide acceder a sus archivos hasta que la víctima paga un rescate. El ransomware puede propagarse mediante un archivo compartido malintencionado o una red en peligro. Defender for Cloud Apps utiliza la experiencia en investigación de seguridad, la inteligencia contra amenazas y los patrones de comportamiento aprendidos para identificar la actividad de ransomware. Por ejemplo, una alta tasa de carga o eliminación de archivos podría representar un proceso de cifrado común entre las operaciones de ransomware.

Esta detección establece una línea base de los patrones de trabajo normales de cada usuario de su organización, como cuándo un usuario accede a la nube y lo que suele hacer en la nube.

Las directivas de detección de amenazas automatizadas de Defender for Cloud Apps inician su ejecución en segundo plano desde el momento en que se conecta. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware en nuestra organización, Defender for Cloud Apps proporciona una cobertura completa contra ataques sofisticados de ransomware.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que la actividad no la realizó el usuario.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP (comportamiento inusual): el usuario ha realizado legítimamente varias actividades de eliminación y carga de archivos similares en un breve período de tiempo.

    Acción recomendada: después de revisar el registro de actividad y confirmar que las extensiones de archivo no son sospechosas, descarte la alerta.

  3. FP (extensión de archivo de ransomware común): si puede confirmar que las extensiones de los archivos afectados coinciden con una extensión de ransomware conocida.

    Acción recomendada: póngase en contacto con el usuario y confirme que los archivos están seguros y, a continuación, descarte la alerta.

Comprender el ámbito de la vulneración

  1. Revise el registro de actividad para ver otros indicadores de riesgo, como la descarga o la eliminación masiva de archivos.
  2. Si usa Microsoft Defender para punto de conexión, revise las alertas del equipo del usuario para ver si se han detectado archivos malintencionados.
  3. Busque en el registro de actividad actividades malintencionadas de carga y uso compartido de archivos.

Actividad inusual de eliminación de archivos (por parte del usuario)

Actividades que indican que un usuario ha realizado un número inusual de actividades de eliminación de archivos en comparación con la línea base aprendida. Esto puede indicar un ataque de ransomware. Por ejemplo, un atacante puede cifrar los archivos de un usuario y eliminar todos los originales, dejando solo las versiones cifradas, que se pueden usar para coaccionar a la víctima a pagar un rescate. Defender for Cloud Apps crea una línea base basada en el comportamiento normal del usuario y desencadena una alerta cuando se detecta un comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual no se activan alertas para ninguna ubicación nueva.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. FP: si puede confirmar que el usuario ha realizado legítimamente más actividades de eliminación de archivos de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise las actividades de eliminación y cree una lista de los archivos eliminados. Si es necesario, recupere los archivos eliminados.
  2. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar la actividad.

Aumento de la puntuación de prioridad de investigación (versión preliminar)

Las actividades anómalas y las actividades que desencadenan alertas reciben puntuaciones en función de la gravedad, el impacto del usuario y el análisis de comportamiento del usuario. El análisis se realiza en función de otros usuarios de los inquilinos.

Cuando hay un aumento significativo y anómalo en la puntuación de prioridad de investigación de un usuario determinado, se desencadenará la alerta.

Esta alerta permite detectar posibles infracciones que se caracterizan por actividades que no desencadenan necesariamente alertas específicas, sino que se acumulan en un comportamiento sospechoso para el usuario.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días, durante el cual no se desencadenan alertas para ningún aumento en la puntuación.

¿TP, B-TP o FP?

  1. TP: si puede confirmar que las actividades del usuario no son legítimas.

    Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

  2. B-TP: si puede confirmar que el usuario se desvía significativamente del comportamiento habitual, pero no hay ninguna vulneración posible.

  3. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente las actividades inusuales o más actividades de lo que establece la línea base.

    Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración

  1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.

Línea del tiempo de la obsoletización

Vamos a retirar gradualmente la alerta de Aumento de la puntuación de prioridad de investigación de Microsoft Defender for Cloud Apps para agosto de 2024.

Tras analizarlo y estudiarlo en profundidad, hemos decidido retirar este servicio por el alto porcentaje de falsos positivos asociados a esta alerta. Hemos descubierto que esto no ha contribuido eficazmente a la seguridad general de la organización.

Tras investigarlo, nos dimos cuenta de que esta función no aportaba ningún valor significativo y no se armonizaba con nuestro objetivo estratégico de ofrecer soluciones de seguridad fiables y de alta calidad.

Estamos siempre comprometidos a mejorar nuestros servicios y a garantizar que se cubran sus necesidades y expectativas.

Para aquellos que deseen seguir usando esta alerta, se recomienda usar la siguiente consulta de búsqueda avanzada en su lugar como una plantilla sugerida. Modifique la consulta en función de sus necesidades.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Consulte también