Como investigar alertas de detecção de anomalias
O Microsoft Defender para Aplicativos de Nuvem fornece detecções e alertas de segurança para atividades maliciosas. O propósito deste guia é fornecer informações gerais e práticas sobre cada alerta para ajudar com suas tarefas de investigação e correção. Este guia inclui informações gerais sobre as condições de acionamento dos alertas. No entanto, é importante notar que, como as detecções de anomalias são não deterministas por natureza, elas só são disparadas quando há um comportamento que se desvia da norma. Por fim, alguns alertas podem estar em versão preliminar, portanto, revise regularmente a documentação oficial para obter o status de alerta atualizado.
MITRE ATT&CK
Para explicar e facilitar o mapeamento do relacionamento entre os alertas do Defender para Aplicativos de Nuvem e a conhecida Matriz MITRE ATT&CK, categorizamos os alertas pela tática MITRE ATT&CK correspondente. Essa referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando um alerta do Defender para Aplicativos de Nuvem é disparado.
Este guia fornece informações sobre como investigar e corrigir os alertas do Defender para Aplicativos de Nuvem nas categorias a seguir.
Classificações dos alertas de segurança
Após a investigação adequada, todos os alertas do Defender para Aplicativos de Nuvem podem ser classificados como um dos tipos de atividade a seguir.
- Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
- Verdadeiro positivo benigno (B-TP): um alerta sobre uma atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada.
- Falso positivo (FP): um alerta sobre uma atividade não mal-intencionada.
Etapas gerais da investigação
Use as diretrizes gerais a seguir ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça em potencial antes de aplicar a ação recomendada.
- Revise a pontuação de prioridade de investigação do usuário e compare com o resto da organização. Isso ajudará você a identificar quais usuários na organização representam o maior risco.
- Se você identificar um TP, revise todas as atividades do usuário para entender o impacto.
- Analise toda a atividade do usuário em relação a outros indicadores de comprometimento e explore a fonte e o escopo do impacto. Por exemplo, revise as seguintes informações sobre o dispositivo do usuário e compare com as informações do dispositivo conhecido:
- Sistema operacional e versão
- Navegador e versão
- Endereço IP e localização
Alertas de acesso inicial
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando obter uma posição inicial em sua organização.
Atividade de um endereço IP anônimo
Descrição
Atividade de um endereço IP que tenha sido identificado como um endereço IP de proxy anônimo pelas Informações sobre ameaças da Microsoft ou pela sua organização. Esses proxies podem ser usados para ocultar o endereço IP de um dispositivo e podem ser usados para atividades mal-intencionadas.
TP, B-TP ou FP?
Essa detecção usa um algoritmo de aprendizado de máquina que reduz incidentes de B-TP, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.
TP: se puder confirmar que a atividade foi executada de um endereço IP anônimo ou TOR.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
B-TP: se um usuário for conhecido por usar um endereço IP anônimo no escopo de suas funções. Por exemplo, quando um analista de segurança realiza testes de penetração ou de segurança em nome da organização.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Revise todas as atividades do usuário e alertas para outros indicadores de comprometimento. Por exemplo, se o alerta foi seguido por outro alerta suspeito, como um Download de arquivo incomum (por usuário) ou um alerta de Encaminhamento suspeito da caixa de entrada, isso costuma indicar que um invasor está tentando exfiltrar dados.
Activity from infrequent country
Atividade de um país/região que pode indicar atividade maliciosa. Essa política traça o perfil do seu ambiente e dispara alertas quando a atividade é detectada de um local que não foi visitado recentemente ou nunca foi visitado por nenhum usuário na organização.
A política pode ter um escopo adicional para um subconjunto de usuários ou excluir usuários conhecidos por viajar para locais remotos.
Período de aprendizagem
Detectar locais anômalos requer um período inicial de aprendizado de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada:
- Suspenda o usuário, redefina a senha e identifique o momento certo para reativar a conta com segurança.
- Opcional: crie um guia estratégico usando o Power Automate para entrar em contato com usuários que foram detectados se conectando de locais pouco frequentes e com seus gerentes, a fim de verificar suas atividades.
B-TP: se você souber que um usuário está nesse local. Por exemplo, quando um usuário viaja com frequência e está atualmente no local especificado.
Ação recomendada:
- Ignore o alerta e modifique a política para excluir o usuário.
- Crie um grupo de usuários para viajantes frequentes, importe o grupo para o Defender para Aplicativos de Nuvem e exclua os usuários desse alerta.
- Opcional: crie um guia estratégico usando o Power Automate para entrar em contato com usuários que foram detectados se conectando de locais pouco frequentes e com seus gerentes, a fim de verificar suas atividades.
Entenda o escopo da violação
- Analise qual recurso pode ter sido comprometido, como possíveis downloads de dados.
Atividade de endereços IP suspeitos
Atividade de um endereço IP que tenha sido identificado como arriscado pelas Informações sobre ameaças da Microsoft ou pela organização. Esses endereços IP foram identificados como estando envolvidos em atividades mal-intencionadas, como a execução de spray de senha, comando e controle de botnet (C&C), e podem indicar uma conta comprometida.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
B-TP: se um usuário for conhecido por usar o endereço IP no escopo de suas funções. Por exemplo, quando um analista de segurança realiza testes de penetração ou de segurança em nome da organização.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Revise o log de atividades e pesquise atividades do mesmo endereço IP.
- Analise qual recurso pode ter sido comprometido, como possíveis downloads de dados ou modificações administrativas.
- Crie um grupo para analistas de segurança que acionam voluntariamente esses alertas e exclua-os da política.
Viagem impossível
Atividade do mesmo usuário em locais diferentes, dentro de um período de tempo menor do que o tempo de viagem esperado entre os dois locais. Isso pode indicar uma violação de credencial, no entanto, também é possível que a localização real do usuário esteja mascarada, por exemplo, usando uma VPN.
Para melhorar a precisão e alertar apenas quando houver um forte indício de uma violação, o Defender para Aplicativos de Nuvem estabelece uma linha de base em cada usuário da organização e alertará apenas quando o comportamento incomum for detectado. A política de viagem impossível pode ser ajustada às suas necessidades.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
Essa detecção usa um algoritmo de aprendizado de máquina que ignora condições óbvias de B-TP, como quando os endereços IP em ambos os lados da viagem são considerados seguros. A viagem é considerada confiável e não aciona a detecção de viagem impossível. Por exemplo, ambos os lados serão considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a detecção será acionada normalmente.
TP: se puder confirmar que a localização no alerta de viagem impossível é improvável para o usuário.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (viagem de usuário não detectada): se puder confirmar que o usuário viajou recentemente para o destino mencionado e detalhado no alerta. Por exemplo, se o telefone de um usuário que está no modo avião permanecer conectado a serviços, como o Exchange Online, na sua rede corporativa enquanto viaja para um local diferente. Quando o usuário chega ao novo local, o telefone se conecta ao Exchange Online, acionando o alerta de viagem impossível.
Ação recomendada: ignorar o alerta.
FP (VPN sem marcação): se puder confirmar que o intervalo de endereços IP é de uma VPN sancionada.
Ação recomendada: ignorar o alerta e adicionar o intervalo de endereços IP da VPN ao Defender para Aplicativos de Nuvem e usá-lo para marcar o intervalo de endereços IP da VPN.
Entenda o escopo da violação
- Analise o log de atividades para entender atividades semelhantes no mesmo local e endereço IP.
- Se perceber que o usuário executou outras atividades suspeitas, como baixar um grande volume de arquivos de um novo local, isso é uma forte indicação de um possível comprometimento.
- Adicione intervalos de endereços IP e VPNs corporativos.
- Crie um guia estratégico usando o Power Automate e entre em contato com o gerente do usuário para ver se o usuário está mesmo viajando.
- Considere criar um banco de dados de viajantes conhecidos para relatórios de viagens organizacionais atualizados e usá-lo para fazer referência cruzada com as atividades de viagem.
Nome enganoso do aplicativo OAuth
Essa detecção identifica aplicativos com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isso pode indicar uma tentativa de disfarçar um aplicativo malicioso como um aplicativo conhecido e confiável para que os invasores enganem os usuários para que baixem seu aplicativo malicioso.
TP, B-TP ou FP?
TP: se puder confirmar que o aplicativo tem um nome enganoso.
Ação recomendada: revise o nível de permissão solicitado por esse aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso ao aplicativo.
Para proibir o acesso ao aplicativo, nas guias Google ou Salesforce, na página Governança de aplicativos, na linha em que o aplicativo que deseja banir aparece, selecione o ícone de banimento. - Você escolhe se deseja informar os usuários de que o aplicativo instalado e autorizado por eles foi banido. A notificação permite que os usuários saibam que o aplicativo está desabilitado e eles não terão acesso ao aplicativo conectado. Se não quiser que eles saibam, cancele a seleção de Notificar os usuários que concederam acesso a esse aplicativo vetado na caixa de diálogo. - Recomendamos informar os usuários do aplicativo de que seu uso está prestes a ser proibido.
FP: se for confirmar que o aplicativo tem um nome enganoso, mas tem um uso comercial legítimo na organização.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Siga o tutorial sobre como Investigar aplicativos OAuth suspeitos.
Nome enganoso do editor de um aplicativo OAuth
Essa detecção identifica aplicativos com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isso pode indicar uma tentativa de disfarçar um aplicativo malicioso como um aplicativo conhecido e confiável para que os invasores enganem os usuários para que baixem seu aplicativo malicioso.
TP, B-TP ou FP?
TP: se puder confirmar que o aplicativo tem um nome de fornecedor enganoso.
Ação recomendada: revise o nível de permissão solicitado por esse aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso ao aplicativo.
FP: se for confirmar que o aplicativo tem um nome de fornecedor enganoso, mas é um fornecedor legítimo.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione o aplicativo para abrir a Gaveta de aplicativos e depois Atividade relacionada. A página do Log de atividades filtrada para as atividades executadas pelo aplicativo será aberta. Lembre-se de que alguns aplicativos realizam atividades que foram registradas como executadas por um usuário. Essas atividades são filtradas automaticamente e excluídas dos resultados no log de atividades. Para uma investigação adicional usando o log de atividades, confira Log de atividades.
- Se um aplicativo parecer suspeito, recomendamos investigar o nome e o fornecedor do aplicativo nas diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos tipos de aplicativos a seguir:
- Aplicativos com um número baixo de downloads.
- Aplicativos com uma classificação ou pontuação baixas ou comentários negativos.
- Aplicativos com um editor ou website suspeito.
- Aplicativos que não foram atualizados recentemente. Isso pode indicar um aplicativo que não tem mais suporte.
- Aplicativos com permissões irrelevantes. Isso pode indicar que um aplicativo é arriscado.
- Se o aplicativo ainda parecer suspeito, você poderá pesquisar online o fornecedor, a URL e o nome do aplicativo.
Alertas de execução
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando executar código mal-intencionado em sua organização.
Várias atividades de exclusão de armazenamento
Atividades em uma única sessão indicando que um usuário executou um número incomum de exclusões de banco de dados ou de armazenamento em nuvem de recursos como Blobs do Azure, buckets do AWS S3 ou Cosmos DB, quando comparadas à linha de base aprendida. Isso pode indicar uma tentativa de violação da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se for confirmar que as exclusões não foram autorizadas.
Ação recomendada: suspenda o usuário, redefina a senha e verifique se há ameaças maliciosas em todos os dispositivos. Analise toda a atividade do usuário para obter outros indicadores de comprometimento e explorar o escopo do impacto.
FP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a executar essas atividades de exclusão.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Entre em contato com o usuário e confirme a atividade.
- Revise o log de atividades para obter outros indicadores de comprometimento e ver quem fez a alteração.
- Analise as atividades desse usuário para verificar se há alterações em outros serviços.
Várias atividades de criação de VM
Atividades em uma única sessão indicando que um usuário executou um número incomum de ações de criação de VM em comparação com a linha de base aprendida. Várias criações de VM em uma infraestrutura de nuvem violada podem indicar uma tentativa de executar operações de criptomineração de dentro da organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
Para melhorar a precisão e alertar somente quando houver um forte indício de violação, essa detecção estabelece uma linha de base em cada ambiente da organização para reduzir incidentes B-TP, como um administrador que criou legitimamente mais VMs do que a linha de base estabelecida, e só alerta quando o comportamento incomum é detectado.
TP: se você puder confirmar que as atividades de criação não foram executadas por um usuário legítimo.
Ação recomendada: suspenda o usuário, redefina a senha e verifique se há ameaças maliciosas em todos os dispositivos. Analise toda a atividade do usuário para obter outros indicadores de comprometimento e explorar o escopo do impacto. Além disso, entre em contato com o usuário, confirme suas ações legítimas e certifique-se de desabilitar ou excluir todas as VMs comprometidas.
B-TP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a executar essas atividades de criação.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise toda a atividade do usuário para obter outros indicadores de comprometimento.
- Analise os recursos criados ou modificados pelo usuário e verifique se estão em conformidade com as políticas da organização.
Atividade de criação suspeita para região de nuvem (preview)
Atividades indicando que um usuário executou uma ação de criação de recursos incomum em uma região incomum da AWS, em comparação à linha de base aprendida. A criação de recursos em regiões incomuns da nuvem pode indicar uma tentativa de executar uma atividade maliciosa, como operações de criptomineração, de dentro da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
Para melhorar a precisão e alertar apenas quando há um forte indício de violação, essa detecção estabelece uma linha de base em cada ambiente da organização para reduzir os incidentes B-TP.
TP: se você puder confirmar que as atividades de criação não foram executadas por um usuário legítimo.
Ação recomendada: suspenda o usuário, redefina a senha e verifique se há ameaças maliciosas em todos os dispositivos. Analise toda a atividade do usuário para obter outros indicadores de comprometimento e explorar o escopo do impacto. Além disso, entre em contato com o usuário, confirme suas ações legítimas e certifique-se de desabilitar ou excluir todos os recursos de nuvem comprometidos.
B-TP: se, após a investigação, conseguir confirmar que o administrador foi autorizado a executar essas atividades de criação.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise toda a atividade do usuário para obter outros indicadores de comprometimento.
- Analise os recursos criados e verifique se estão em conformidade com as políticas da organização.
Alertas de persistência
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando manter sua posição em sua organização.
Atividade realizada por usuário encerrado
A atividade executada por um usuário encerrado pode indicar que um funcionário demitido que ainda tem acesso a recursos corporativos está tentando executar uma atividade maliciosa. O Defender para Aplicativos de Nuvem traça o perfil dos usuários na organização e aciona um alerta quando um usuário encerrado executa uma atividade.
TP, B-TP ou FP?
TP: se puder confirmar que o usuário encerrado ainda tem acesso a determinados recursos corporativos e está executando atividades.
Ação recomendada: desabilitar o usuário.
B-TP: se puder determinar que o usuário foi temporariamente desabilitado ou excluído e registrado novamente.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Faça a referência cruzada dos registros de RH para confirmar se o usuário foi removido.
- Valide a existência da conta de usuário do Microsoft Entra.
Observação
Se estiver usando o Microsoft Entra Connect, valide o objeto do Active Directory local e confirme um ciclo de sincronização bem-sucedido.
- Identifique todos os aplicativos acessados pelo usuário encerrado e desative as contas.
- Atualize os procedimentos de desativação.
Alteração suspeita do serviço de registro em log do CloudTrail
Atividades em uma única sessão indicando que um usuário executou alterações suspeitas no serviço de registro em log do AWS CloudTrail. Isso pode indicar uma tentativa de violação da sua organização. Ao desabilitar o CloudTrail, as alterações operacionais não são mais registradas em log. Um invasor pode executar atividades maliciosas enquanto evita um evento de auditoria do CloudTrail, como modificar um bucket do S3 de privado para público.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, redefina a senha e reverta a atividade do CloudTrail.
FP: se puder confirmar que o usuário desabilitou legitimamente o serviço do CloudTrail.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Revise o log de atividades para obter outros indicadores de comprometimento e ver quem fez a alteração no serviço do CloudTrail.
- Opcional: crie um guia estratégico usando o Power Automate para entrar em contato com os usuários e seus gerentes para verificar suas atividades.
Atividade suspeita de exclusão de email (pelo usuário)
Atividades em uma única sessão indicando que um usuário executou exclusões suspeitas de email. O tipo de exclusão foi a "exclusão irreversível", que exclui o item do email e o deixa não disponível na caixa de entrada do usuário. A exclusão foi feita de uma conexão que inclui preferências incomuns, como ISP, país/região e agente de usuário. Isso pode indicar uma tentativa de violação da organização, como invasores tentando mascarar operações excluindo emails relacionados a atividades de spam.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP: se puder confirmar que o usuário criou legitimamente uma regra para excluir mensagens.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como o alerta Encaminhamento suspeito da caixa de entrada seguido de um alerta Viagem Impossível. Procurar:
- Novas regras de encaminhamento SMTP, da maneira mostrada a seguir:
- Verifique se há nomes de regras de encaminhamento maliciosas. Os nomes de regras podem variar de nomes simples, como "Encaminhar todos os emails" e "Encaminhar automaticamente", a nomes enganosos, como um "." pouco visível. Os nomes de regras de encaminhamento podem até estar vazios, e o destinatário do encaminhamento pode ser uma única conta de email ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface do usuário. Uma vez detectadas, você pode usar esta útil postagem no blog sobre como excluir regras ocultas de caixas de entrada.
- Se você detectar uma regra de encaminhamento não reconhecida para um endereço de email interno ou externo desconhecido, poderá presumir que a conta da caixa de entrada foi comprometida.
- Novas regras de caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, como "…".
- Um aumento nos emails enviados.
- Novas regras de encaminhamento SMTP, da maneira mostrada a seguir:
Regras de manipulação suspeita da caixa de entrada
Atividades indicando que um invasor obteve acesso à caixa de entrada de um usuário e criou uma regra suspeita. As regras de manipulação, como excluir ou mover mensagens ou pastas, da caixa de entrada de um usuário podem ser uma tentativa de exfiltrar informações da sua organização. Da mesma forma, elas podem indicar uma tentativa de manipular as informações vistas por um usuário ou usar a caixa de entrada para distribuir spam, emails de phishing ou malware. O Defender para Aplicativos de Nuvem traça o perfil do seu ambiente e aciona alertas quando regras de manipulação suspeita da caixa de entrada são detectadas na caixa de entrada de um usuário. Isso pode indicar que a conta de usuário está comprometida.
TP, B-TP ou FP?
TP: se puder confirmar que uma regra de caixa de entrada maliciosa foi criada e a conta foi comprometida.
Ação recomendada: suspenda o usuário, redefina a senha e remova a regra de encaminhamento.
FP: se puder confirmar que um usuário criou legitimamente a regra.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como o alerta Encaminhamento suspeito da caixa de entrada seguido de um alerta Viagem Impossível. Procure por:
- Novas regras de encaminhamento SMTP.
- Novas regras de caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, como "…".
- Colete informações de endereço IP e localização para a ação.
- Analise as atividades executadas no endereço IP usado para criar a regra, a fim de detectar outros usuários comprometidos.
Alertas de elevação de privilégio
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando obter permissões de nível superior em sua organização.
Atividade administrativa incomum (pelo usuário)
Atividades que indicam que um invasor comprometeu uma conta de usuário e executou ações administrativas que não são comuns para esse usuário. Por exemplo, um invasor pode tentar alterar uma configuração de segurança de um usuário, uma operação relativamente rara para um usuário comum. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento do usuário e aciona um alerta quando o comportamento incomum é detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um administrador legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP: se puder confirmar que um administrador executou legitimamente o volume incomum de atividades administrativas.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como Encaminhamento suspeito da caixa de entrada ou Viagem Impossível.
- Analise outras alterações de configuração, como a criação de uma conta de usuário que possa ser usada para persistência.
Alertas de acesso por credenciais
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando roubar nomes de contas e senhas de sua organização.
Várias tentativas de logon com falha
Tentativas de entrada com falha podem indicar uma tentativa de violação de uma conta. No entanto, logons com falha também podem ser um comportamento normal. Por exemplo, quando um usuário digitou uma senha errada por engano. Para atingir a precisão e alertar apenas quando houver um forte indício de uma tentativa de violação, o Defender para Aplicativos de Nuvem estabelece uma linha de base de hábitos de entrada de cada usuário da organização e alertará apenas quando o comportamento incomum for detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
Essa política baseia-se em aprender o comportamento normal de entrada de um usuário. Quando um desvio da norma é detectado, um alerta é acionado. Se a detecção perceber que o mesmo comportamento continua, o alerta será acionado apenas uma vez.
TP (falha de MFA): se puder confirmar que o MFA está funcionando corretamente, isso pode indicar uma tentativa de ataque de força bruta.
Ações recomendadas:
- Suspenda o usuário, marque-o como comprometido e redefina a senha.
- Localize o aplicativo que executou as autenticações com falha e reconfigure-o.
- Procure outros usuários conectados no momento da atividade, pois eles também podem estar comprometidos. Suspenda o usuário, marque-o como comprometido e redefina a senha.
B-TP (falha de MFA): se puder confirmar que o alerta é causado por um problema com o MFA.
Ação recomendada: crie um manual usando o Power Automate para entrar em contato com o usuário e verificar se ele está tendo problemas com a MFA.
B-TP (aplicativo configurado incorretamente): se puder confirmar que um aplicativo configurado incorretamente está tentando se conectar a um serviço várias vezes com credenciais vencidas.
Ação recomendada: ignorar o alerta.
B-TP (Senha alterada): se você puder confirmar que um usuário alterou sua senha recentemente, mas isso não afetou as credenciais nos compartilhamentos de rede.
Ação recomendada: ignorar o alerta.
B-TP (teste de segurança): se puder confirmar que um teste de penetração ou de segurança está sendo realizado por analistas de segurança em nome da organização.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise toda a atividade do usuário para outros indicadores de comprometimento, como o alerta é seguido por um dos seguintes alertas: Viagem Impossível, Atividade de um endereço IP anônimo ou Atividade de país/região pouco frequente.
- Analise as informações a seguir sobre o dispositivo do usuário e compare com as informações do dispositivo conhecido:
- Sistema operacional e versão
- Navegador e versão
- Endereço IP e localização
- Identifique o endereço IP de origem ou a localização de onde ocorreu a tentativa de autenticação.
- Identifique se o usuário alterou a senha recentemente e verifique se todos os aplicativos e dispositivos têm a senha atualizada.
Adição incomum de credenciais a um aplicativo OAuth
Essa detecção identifica a adição suspeita de credenciais privilegiadas a um aplicativo OAuth. Isso pode indicar que um invasor comprometeu o aplicativo e está usando ele para atividades mal-intencionadas.
Período de aprendizagem
Aprender o ambiente da sua organização requer um período de sete dias durante o qual você pode esperar um alto volume de alertas.
ISP incomum para um aplicativo OAuth
A detecção identifica um aplicativo OAuth que se conecta ao seu aplicativo de nuvem em um ISP incomum para o aplicativo. Isso pode indicar que um invasor tentou usar um aplicativo comprometido legítimo para executar atividades mal-intencionadas nos seus aplicativos de nuvem.
Período de aprendizagem
O período de aprendizado para essa detecção é de 30 dias.
TP, B-TP ou FP?
TP: se você puder confirmar que a atividade não foi uma atividade legítima do aplicativo OAuth ou que esse ISP não é usado pelo aplicativo OAuth legítimo.
Ação recomendada: revogue todos os tokens de acesso do aplicativo OAuth e investigue se um invasor tem acesso à geração de tokens de acesso OAuth.
FP: se puder confirmar que a atividade foi feita legitimamente pelo aplicativo OAuth autêntico.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
Analise as atividades realizadas pelo aplicativo OAuth.
Investigue se um invasor tem acesso à geração de tokens de acesso OAuth.
Alertas de coleção
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando coletar os dados de interesse para a meta dele de sua organização.
Várias atividades de compartilhamento de relatórios do Power BI
Atividades em uma única sessão indicando que um usuário executou um número incomum de atividades de compartilhamento de relatório no Power BI em comparação à linha de base aprendida. Isso pode indicar uma tentativa de violação da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: remova o acesso de compartilhamento do Power BI. Se puder confirmar que a conta está comprometida, suspenda o usuário, marque-o como comprometido e redefina a senha.
FP: se puder confirmar que o usuário teve uma justificativa comercial para compartilhar esses relatórios.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise o log de atividades para entender melhor outras atividades executadas pelo usuário. Observe o endereço IP do qual eles estão conectados e os detalhes do dispositivo.
- Entre em contato com sua equipe do Power BI ou da Proteção de Informações para entender as diretrizes de compartilhamento de relatórios interna e externamente.
Compartilhamento suspeito de relatório do Power BI
As atividades que indicam que um usuário compartilhou um relatório do Power BI que pode conter informações confidenciais identificadas usando a PNL para analisar os metadados do relatório. O relatório foi compartilhado com um endereço de e-mail externo, publicado na Web ou um instantâneo foi entregue a um endereço de e-mail inscrito externamente. Isso pode indicar uma tentativa de violação da sua organização.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: remova o acesso de compartilhamento do Power BI. Se puder confirmar que a conta está comprometida, suspenda o usuário, marque-o como comprometido e redefina a senha.
FP: se puder confirmar que o usuário teve uma justificativa comercial para compartilhar esses relatórios.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise o log de atividades para entender melhor outras atividades executadas pelo usuário. Observe o endereço IP do qual eles estão conectados e os detalhes do dispositivo.
- Entre em contato com sua equipe do Power BI ou da Proteção de Informações para entender as diretrizes de compartilhamento de relatórios interna e externamente.
Atividade de usurpação de identidade incomum (pelo usuário)
Em alguns softwares, há opções para permitir que os usuários usurpem a identidade de outros usuários. Por exemplo, os serviços de e-mail permitem que os usuários autorizem outros usuários a enviar e-mail em seu nome. Essa atividade é comumente usada por invasores para criar emails de phishing na tentativa de extrair informações sobre a organização. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento do usuário e uma atividade quando uma atividade de usurpação de identidade incomum é detectada.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (comportamento incomum): se puder confirmar que o usuário executou legitimamente as atividades incomuns ou mais atividades do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
FP: se puder confirmar que aplicativos, como o Teams, usurparam legitimamente da identidade do usuário.
Ação recomendada: analise as ações e ignore o alerta, se necessário.
Entenda o escopo da violação
- Analise todas as atividades e alertas do usuário para obter indicadores de comprometimento adicionais.
- Analise as atividades de usurpação de identidade para identificar possíveis atividades maliciosas.
- Analise a configuração de acesso delegado.
Alertas de exfiltração
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando roubar dados da sua organização.
Encaminhamento suspeito da caixa de entrada
Atividades indicando que um invasor obteve acesso à caixa de entrada de um usuário e criou uma regra suspeita. As regras de manipulação, como encaminhar todos ou emails específicos para outra conta de email, podem ser uma tentativa de exfiltrar informações da sua organização. O Defender para Aplicativos de Nuvem traça o perfil do seu ambiente e aciona alertas quando regras de manipulação suspeita da caixa de entrada são detectadas na caixa de entrada de um usuário. Isso pode indicar que a conta de usuário está comprometida.
TP, B-TP ou FP?
TP: se puder confirmar que uma regra de encaminhamento de caixa de entrada maliciosa foi criada e a conta foi comprometida.
Ação recomendada: suspenda o usuário, redefina a senha e remova a regra de encaminhamento.
FP: se puder confirmar que o usuário criou uma regra de encaminhamento para uma conta de email externa nova ou pessoal por motivos legítimos.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
Analise toda a atividade do usuário para obter indicadores de comprometimento adicionais, como o alerta que é seguido por um alerta de Viagem Impossível. Procurar:
- Novas regras de encaminhamento SMTP, da maneira mostrada a seguir:
- Verifique se há nomes de regras de encaminhamento maliciosas. Os nomes de regras podem variar de nomes simples, como "Encaminhar todos os emails" e "Encaminhar automaticamente", a nomes enganosos, como um "." pouco visível. Os nomes de regras de encaminhamento podem até estar vazios, e o destinatário do encaminhamento pode ser uma única conta de email ou uma lista inteira. As regras maliciosas também podem ser ocultadas da interface do usuário. Uma vez detectadas, você pode usar esta útil postagem no blog sobre como excluir regras ocultas de caixas de entrada.
- Se você detectar uma regra de encaminhamento não reconhecida para um endereço de email interno ou externo desconhecido, poderá presumir que a conta da caixa de entrada foi comprometida.
- Novas regras de caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, como "…".
- Novas regras de encaminhamento SMTP, da maneira mostrada a seguir:
Analise as atividades executadas no endereço IP usado para criar a regra, a fim de detectar outros usuários comprometidos.
Analise a lista de mensagens encaminhadas usando o rastreamento de mensagens do Exchange Online.
Download de arquivos incomum (pelo usuário)
Atividades indicando que um usuário realizou um número incomum de downloads de arquivos de uma plataforma de armazenamento em nuvem, em comparação à linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento do usuário e aciona um alerta quando o comportamento incomum é detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (comportamento incomum): se puder confirmar que o usuário executou legitimamente mais atividades de download de arquivos do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
FP (sincronização de software): se puder confirmar que o software, como o OneDrive, foi sincronizado com um backup externo que causou o alerta.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise as atividades de download e crie uma lista de arquivos baixados.
- Analise a confidencialidade dos arquivos baixados com o proprietário do recurso e valide o nível de acesso.
Acesso incomum a arquivos (pelo usuário)
Atividades indicando que um usuário executou um número incomum de acessos a arquivos no SharePoint ou no OneDrive, a arquivos que contêm dados financeiros ou de rede, em comparação à linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização, seja para propósitos financeiros ou para acesso a credenciais e movimentação lateral. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento do usuário e aciona um alerta quando o comportamento incomum é detectado.
Período de aprendizagem
O período de aprendizagem depende da atividade do usuário. Geralmente, o período de aprendizagem ocorre entre 21 e 45 dias para a maioria dos usuários.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (comportamento incomum): se puder confirmar que o usuário executou legitimamente mais atividades de acesso a arquivos do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise as atividades de acesso e crie uma lista de arquivos acessados.
- Analise a confidencialidade dos arquivos acessados com o proprietário do recurso e valide o nível de acesso.
Atividade de compartilhamento de arquivos incomum (pelo usuário)
Atividades indicando que um usuário executou um número incomum de ações de compartilhamento de arquivos de uma plataforma de armazenamento em nuvem, em comparação à linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento do usuário e aciona um alerta quando o comportamento incomum é detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (comportamento incomum): se puder confirmar que o usuário executou legitimamente mais atividades de compartilhamento de arquivos do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise as atividades de compartilhamento e crie uma lista de arquivos compartilhados.
- Analise a confidencialidade dos arquivos compartilhados com o proprietário do recurso e valide o nível de acesso.
- Crie uma política de arquivos para documentos semelhantes a fim de detectar o compartilhamento futuro de arquivos confidenciais.
Alertas de impacto
Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando manipular, interromper ou destruir seus sistemas e dados em sua organização.
Várias atividades de exclusão de VM
Atividades em uma única sessão indicando que um usuário executou um número incomum de exclusões de VM, em comparação à linha de base aprendida. Várias exclusões de VM podem indicar uma tentativa de interromper ou destruir um ambiente. No entanto, há muitos cenários normais em que as VMs são excluídas.
TP, B-TP ou FP?
Para melhorar a precisão e alertar apenas quando há um forte indício de violação, essa detecção estabelece uma linha de base em cada ambiente da organização para reduzir os incidentes B-TP e só alertar quando o comportamento incomum for detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP: se puder confirmar que as exclusões não foram autorizadas.
Ação recomendada: suspenda o usuário, redefina a senha e verifique se há ameaças maliciosas em todos os dispositivos. Analise toda a atividade do usuário para obter outros indicadores de comprometimento e explorar o escopo do impacto.
B-TP: se, após a investigação, você puder confirmar que o administrador foi autorizado a executar essas atividades de exclusão.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Entre em contato com o usuário e confirme a atividade.
- Analise toda a atividade do usuário para obter indicadores de comprometimento adicionais, como um alerta que é seguido por um destes alertas: Viagem Impossível, Atividade de um endereço IP anônimo ou Atividade de um país pouco frequente.
Atividade de ransomware
O ransomware é um ataque cibernético no qual um invasor bloqueia o acesso das vítimas aos dispositivos ou as impede de acessar os arquivos até que paguem um resgate. O ransomware pode ser espalhado por um arquivo compartilhado malicioso ou uma rede comprometida. O Defender para Aplicativos de Nuvem usa experiência em pesquisa de segurança, informações sobre ameaças e padrões comportamentais aprendidos para identificar atividades de ransomware. Por exemplo, uma alta taxa de uploads de arquivos, ou exclusões de arquivos, pode representar um processo de criptografia que é comum entre as operações de ransomware.
Essa detecção estabelece uma linha de base dos padrões normais de trabalho de cada usuário na organização, como quando o usuário acessa a nuvem e o que normalmente faz na nuvem.
As políticas de detecção de ameaças automatizadas do Defender para Aplicativos de Nuvem iniciam a execução em segundo plano no momento em que você se conecta. Usando nossa experiência em pesquisa de segurança para identificar padrões comportamentais que refletem a atividade de ransomware na nossa organização, o Defender para Aplicativos de Nuvem fornece cobertura abrangente contra ataques sofisticados de ransomware.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se você puder confirmar que a atividade não foi executada pelo usuário.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP (comportamento incomum): o usuário realizou legitimamente várias atividades de exclusão e upload de arquivos semelhantes em um curto período de tempo.
Ação recomendada: depois de revisar o registro de atividades e confirmar que as extensões de arquivo não são suspeitas, descarte o alerta.
FP (extensão de arquivo de ransomware comum): se você puder confirmar que as extensões dos arquivos afetados são uma correspondência para uma extensão de ransomware conhecida.
Ação recomendada: entre em contato com o usuário e confirme se os arquivos são seguros e, em seguida, ignore o alerta.
Entenda o escopo da violação
- Revise o log de atividades para obter outros indicadores de comprometimento, como download em massa ou exclusão em massa de arquivos.
- Se você estiver usando o Microsoft Defender para Ponto de Extremidade, analise os alertas do computador do usuário para ver se arquivos maliciosos foram detectados.
- No log de atividades, pesquise se há atividades de upload e compartilhamento de arquivos maliciosos.
Atividade incomum de exclusão de arquivos (pelo usuário)
Atividades indicando que um usuário executou uma atividade incomum de exclusão de arquivos, em comparação à linha de base aprendida. Isso pode indicar um ataque de ransomware. Por exemplo, um invasor pode criptografar os arquivos de um usuário e excluir todos os originais, deixando apenas as versões criptografadas que podem ser usadas para coagir a vítima a pagar um resgate. O Defender para Aplicativos de Nuvem cria uma linha de base que considera o comportamento normal do usuário e aciona um alerta quando o comportamento incomum é detectado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são disparados para novos locais.
TP, B-TP ou FP?
TP: se puder confirmar que a atividade não foi executada por um usuário legítimo.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
FP: se puder confirmar que o usuário executou legitimamente mais atividades de exclusão de arquivos do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise as atividades de exclusão e crie uma lista de arquivos excluídos. Se necessário, recupere os arquivos excluídos.
- Opcionalmente, crie um guia estratégico usando o Power Automate para entrar em contato com os usuários e seus gerentes a fim de verificar a atividade.
Aumento da pontuação de prioridade de investigação (preview)
Atividades anômalas e atividades que acionaram alertas recebem pontuações com base na gravidade, no impacto do usuário e na análise comportamental do usuário. A análise é feita com base em outros usuários nos locatários.
Quando houver um aumento significativo e anômalo na pontuação de prioridade de investigação de um determinado usuário, o alerta será acionado.
Esse alerta permite detectar possíveis violações caracterizadas por atividades que não necessariamente acionam alertas específicos, mas se acumulam em um comportamento suspeito para o usuário.
Período de aprendizagem
Estabelecer um padrão de atividade para um novo usuário requer um período inicial de aprendizado de sete dias, durante o qual os alertas não são acionados para aumentos de pontuação.
TP, B-TP ou FP?
TP: se puder confirmar que as atividades do usuário não são legítimas.
Ação recomendada: suspenda o usuário, marque-o como comprometido e redefina a senha.
B-TP: se puder confirmar que o usuário realmente se desviou significativamente do comportamento habitual, mas não há nenhuma violação em potencial.
FP (comportamento incomum): se puder confirmar que o usuário executou legitimamente as atividades incomuns ou mais atividades do que a linha de base estabelecida.
Ação recomendada: ignorar o alerta.
Entenda o escopo da violação
- Analise todas as atividades e alertas do usuário para obter indicadores de comprometimento adicionais.
Linha do tempo da depreciação
Desativaremos gradualmente o suporte ao alerta Aumento da pontuação de prioridade de investigação do Microsoft Defender para Aplicativos de Nuvem até agosto de 2024.
Após uma análise e consideração cuidadosas, decidimos desativá-lo devido à alta taxa de falsos positivos associados a esse alerta, que descobrimos que não estava contribuindo efetivamente para a segurança geral de sua organização.
Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico em fornecer soluções de segurança confiáveis e de alta qualidade.
Estamos comprometidos em melhorar continuamente nossos serviços e garantir que eles atendam às suas necessidades e expectativas.
Para aqueles que desejam continuar usando este alerta, sugerimos usar a seguinte consulta de busca avançada como um modelo sugerido. Modifique a consulta com base em suas necessidades.
let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores