Tutorial: Detetar atividades suspeitas do usuário com análise comportamental (UEBA)
O Microsoft Defender for Cloud Apps fornece as melhores deteções em toda a cadeia de destruição de ataques para usuários comprometidos, ameaças internas, exfiltração, ransomware e muito mais. Nossa solução abrangente é alcançada através da combinação de vários métodos de deteção, incluindo anomalias, análise comportamental (UEBA) e deteções de atividade baseadas em regras, para fornecer uma visão ampla de como seus usuários usam aplicativos em seu ambiente.
Então, por que é importante detetar comportamentos suspeitos? O impacto de um usuário capaz de alterar seu ambiente de nuvem pode ser significativo e afetar diretamente sua capacidade de administrar seus negócios. Por exemplo, os principais recursos corporativos, como os servidores que executam seu site público ou serviço que você está fornecendo aos clientes, podem ser comprometidos.
Usando dados capturados de várias fontes, o Defender for Cloud Apps analisa os dados para extrair atividades de aplicativos e usuários em sua organização, dando aos analistas de segurança visibilidade sobre o uso da nuvem. Os dados coletados são correlacionados, padronizados e enriquecidos com inteligência de ameaças, localização e muitos outros detalhes para fornecer uma visão precisa e consistente de atividades suspeitas.
Portanto, para perceber completamente os benefícios dessas deteções, primeiro certifique-se de configurar as seguintes fontes:
- Registo de atividades
Atividades de seus aplicativos conectados à API. - Log de descoberta
Atividades extraídas de logs de tráfego de firewall e proxy que são encaminhados para o Defender for Cloud Apps. Os logs são analisados em relação ao catálogo de aplicativos na nuvem, classificados e pontuados com base em mais de 90 fatores de risco. - Log de proxy
Atividades das suas aplicações de controlo de aplicações de acesso condicional.
Em seguida, convém ajustar suas políticas. As políticas a seguir podem ser ajustadas definindo filtros, limites dinâmicos (UEBA) para ajudar a treinar seus modelos de deteção e supressões para reduzir deteções comuns de falsos positivos:
- Deteção de anomalias
- Deteção de anomalias na nuvem
- Deteção de atividade baseada em regras
Neste tutorial, você aprenderá como ajustar as deteções de atividade do usuário para identificar comprometimentos verdadeiros e reduzir a fadiga de alerta resultante do tratamento de grandes volumes de deteções de falsos positivos:
Fase 1: Configurar intervalos de endereços IP
Antes de configurar políticas individuais, é aconselhável configurar intervalos de IP para que estejam disponíveis para uso no ajuste fino de qualquer tipo de política de deteção de atividade suspeita do usuário.
Como as informações de endereço IP são cruciais para quase todas as investigações, a configuração de endereços IP conhecidos ajuda nossos algoritmos de aprendizado de máquina a identificar locais conhecidos e considerá-los como parte dos modelos de aprendizado de máquina. Por exemplo, adicionar o intervalo de endereços IP da sua VPN ajudará o modelo a classificar corretamente esse intervalo de IP e excluí-lo automaticamente das deteções de viagem impossíveis, porque a localização da VPN não representa a verdadeira localização desse usuário.
Nota: Os intervalos de IP configurados não se limitam a deteções e são usados em todo o Defender for Cloud Apps em áreas como atividades no registro de atividades, Acesso Condicional, etc. Tenha isso em mente ao configurar os intervalos. Assim, por exemplo, identificar os endereços IP do seu escritório físico permite-lhe personalizar a forma como os registos e alertas são apresentados e investigados.
Revisar alertas de deteção de anomalias prontos para uso
O Defender for Cloud Apps inclui um conjunto de alertas de deteção de anomalias para identificar diferentes cenários de segurança. Essas deteções são ativadas automaticamente e começarão a traçar o perfil da atividade do usuário e gerar alertas assim que os conectores relevantes do aplicativo forem conectados.
Comece por se familiarizar com as diferentes políticas de deteção, priorize os principais cenários que considera mais relevantes para a sua organização e ajuste as políticas em conformidade.
Fase 2: Ajustar as políticas de deteção de anomalias
Várias políticas integradas de deteção de anomalias estão disponíveis no Defender for Cloud Apps que são pré-configuradas para casos de uso de segurança comuns. Você deve reservar algum tempo para se familiarizar com as deteções mais populares, como:
- Viagens impossíveis
Atividades do mesmo usuário em locais diferentes dentro de um período mais curto do que o tempo de viagem esperado entre os dois locais. - Atividade de país pouco frequente
Atividade de um local que não foi visitado recentemente ou nunca foi visitado pelo usuário. - Deteção de malware
Analisa ficheiros nas suas aplicações na nuvem e executa ficheiros suspeitos através do motor de inteligência de ameaças da Microsoft para determinar se estão associados a malware conhecido. - Atividade de ransomware
Carrega ficheiros na nuvem que podem estar infetados com ransomware. - Atividade de endereços IP suspeitos
Atividade de um endereço IP que foi identificado como arriscado pelo Microsoft Threat Intelligence. - Reencaminhamento suspeito da caixa de entrada
Deteta regras suspeitas de encaminhamento da caixa de entrada definidas na caixa de entrada de um usuário. - Atividades incomuns de download de vários arquivos
Deteta várias atividades de download de arquivos em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. - Atividades administrativas incomuns
Deteta várias atividades administrativas em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.
Para obter uma lista completa de deteções e o que elas fazem, consulte Políticas de deteção de anomalias.
Nota
Enquanto algumas das deteções de anomalias são focadas principalmente na deteção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar o comportamento anômalo do usuário que pode não necessariamente indicar um comprometimento. Para essas deteções, criamos outro tipo de dados chamado "comportamentos", que está disponível na experiência de caça avançada do Microsoft Defender XDR. Para obter mais informações, consulte Comportamentos.
Depois de estar familiarizado com as políticas, você deve considerar como deseja ajustá-las para os requisitos específicos da sua organização para direcionar melhor as atividades que você pode querer investigar mais.
Políticas de escopo para usuários ou grupos específicos
As políticas de escopo para usuários específicos podem ajudar a reduzir o ruído de alertas que não são relevantes para sua organização. Cada política pode ser configurada para incluir ou excluir usuários e grupos específicos, como nos exemplos a seguir:
- Simulações de ataque
Muitas organizações usam um usuário ou um grupo para simular ataques constantemente. Obviamente, não faz sentido receber constantemente alertas das atividades desses usuários. Portanto, você pode configurar suas políticas para excluir esses usuários ou grupos. Isso também ajuda os modelos de aprendizado de máquina a identificar esses usuários e ajustar seus limites dinâmicos de acordo. - Deteções direcionadas
Sua organização pode estar interessada em investigar um grupo específico de usuários VIP, como membros de um administrador ou grupo CXO. Nesse cenário, você pode criar uma política para as atividades que deseja detetar e optar por incluir apenas o conjunto de usuários ou grupos que você está interessado.
- Simulações de ataque
Ajustar deteções de início de sessão anómalas
Algumas organizações querem ver alertas resultantes de atividades de entrada com falha, pois podem indicar que alguém está tentando direcionar uma ou mais contas de usuário. Por outro lado, ataques de força bruta a contas de usuários ocorrem o tempo todo na nuvem e as organizações não têm como evitá-los. Portanto, organizações maiores geralmente decidem receber alertas apenas para atividades de entrada suspeitas que resultem em atividades de entrada bem-sucedidas, pois elas podem representar verdadeiros comprometimentos.
O roubo de identidade é uma fonte fundamental de comprometimento e representa um importante vetor de ameaça para sua organização. As nossas viagens impossíveis, a atividade de endereços IP suspeitos e os alertas pouco frequentes de deteções de país/região ajudam-no a descobrir atividades que sugerem que uma conta está potencialmente comprometida.
Sintonizar a sensibilidade de viagensimpossíveis Configure o controle deslizante de sensibilidade que determina o nível de supressões aplicadas ao comportamento anômalo antes de disparar um alerta de viagem impossível. Por exemplo, as organizações interessadas em alta fidelidade devem considerar aumentar o nível de sensibilidade. Por outro lado, se sua organização tiver muitos usuários que viajam, considere reduzir o nível de sensibilidade para suprimir atividades dos locais comuns de um usuário aprendidas com atividades anteriores. Você pode escolher entre os seguintes níveis de sensibilidade:
- Baixo: supressões de sistema, locatário e usuário
- Meio: Supressões do sistema e do usuário
- Alto: Apenas supressões do sistema
Em que:
Tipo de supressão Description Sistema Deteções incorporadas que são sempre suprimidas. Inquilino Atividades comuns baseadas em atividades anteriores no inquilino. Por exemplo, suprimir atividades de um ISP previamente alertado na sua organização. Utilizador Atividades comuns baseadas na atividade anterior do usuário específico. Por exemplo, suprimir atividades de um local que é comumente usado pelo usuário.
Fase 3: Ajuste as políticas de deteção de anomalias de descoberta na nuvem
Como as políticas de deteção de anomalias, há várias políticas internas de deteção de anomalias de descoberta na nuvem que você pode ajustar. Por exemplo, a política de exfiltração de dados para aplicações não autorizadas alerta-o quando os dados estão a ser exfiltrados para uma aplicação não autorizada e vem pré-configurada com definições baseadas na experiência da Microsoft no domínio da segurança.
No entanto, você pode ajustar as políticas internas ou criar suas próprias políticas para ajudá-lo a identificar outros cenários que você pode estar interessado em investigar. Como essas políticas são baseadas em logs de descoberta na nuvem, elas têm diferentes recursos de ajuste mais focados no comportamento anômalo do aplicativo e na exfiltração de dados.
Ajuste o monitoramento de uso
Defina os filtros de uso para controlar a linha de base, o escopo e o período de atividade para detetar comportamentos anômalos. Por exemplo, você pode querer receber alertas para atividades anômalas relacionadas a funcionários de nível executivo.Sintonizar a sensibilidade do alerta
Para evitar fadiga de alerta, configure a sensibilidade dos alertas. Você pode usar o controle deslizante de sensibilidade para controlar o número de alertas de alto risco enviados por 1.000 usuários por semana. Sensibilidades mais altas requerem menos variância para serem consideradas uma anomalia e gerar mais alertas. Em geral, defina baixa sensibilidade para usuários que não têm acesso a dados confidenciais.
Fase 4: Ajustar políticas de deteção (atividade) baseadas em regras
As políticas de deteção baseadas em regras oferecem a capacidade de complementar as políticas de deteção de anomalias com requisitos específicos da organização. Recomendamos a criação de políticas baseadas em regras usando um de nossos modelos de política de atividade (vá para Modelos de controle>e defina o filtro Tipo como Política de atividade) e, em seguida, configurando-as para detetar comportamentos que não são normais para seu ambiente. Por exemplo, para algumas organizações que não têm presença em um determinado país/região, pode fazer sentido criar uma política que detete as atividades anômalas desse país/região e alerte sobre elas. Para outros, que têm grandes filiais nesse país/região, as atividades desse país/região seriam normais e não faria sentido detetar tais atividades.
- Ajustar o volume de atividade
Escolha o volume de atividade necessário antes que a deteção gere um alerta. Usando nosso exemplo de país/região, se você não tem presença em um país/região, até mesmo uma única atividade é significativa e merece um alerta. No entanto, uma falha de login único pode ser um erro humano e apenas de interesse se houver muitas falhas em um curto período. - Ajustar filtros de atividade
Defina os filtros necessários para detetar o tipo de atividade sobre a qual deseja alertar. Por exemplo, para detetar a atividade de um país/região, use o parâmetro Location . - Sintonizar alertas
Para evitar fadiga de alerta, defina o limite de alerta diário.
Fase 5: Configurar alertas
Nota
Desde 15 de dezembro de 2022, os Alertas/SMS (mensagens de texto) foram preteridos. Se você gostaria de receber alertas de texto, você deve usar o Microsoft Power Automate para automação de alertas personalizados. Para obter mais informações, consulte Integrar com o Microsoft Power Automate para automação de alertas personalizados.
Pode optar por receber alertas no formato e meio que mais se adequa às suas necessidades. Para receber alertas imediatos a qualquer hora do dia, pode preferir recebê-los por e-mail.
Você também pode querer a capacidade de analisar alertas no contexto de outros alertas acionados por outros produtos em sua organização para fornecer uma visão holística de uma ameaça potencial. Por exemplo, você pode querer correlacionar entre eventos baseados na nuvem e no local para ver se há alguma outra evidência atenuante que possa confirmar um ataque.
Além disso, você também pode acionar a automação de alertas personalizados usando nossa integração com o Microsoft Power Automate. Por exemplo, você pode configurar um playbook, criar automaticamente um problema no ServiceNow ou enviar um e-mail de aprovação para executar uma ação de governança personalizada quando um alerta for acionado.
Use as seguintes diretrizes para configurar seus alertas:
- E-mail
Escolha esta opção para receber alertas por e-mail. - SIEM
Há várias opções de integração SIEM, incluindo Microsoft Sentinel, Microsoft Graph Security API e outros SIEMs genéricos. Escolha a integração que melhor atende às suas necessidades. - Automação Power Automate
Crie os playbooks de automação necessários e defina-os como o alerta da política para a ação Power Automatic.
Fase 6: Investigar e remediar
Ótimo, você configurou suas políticas e começou a receber alertas de atividades suspeitas. O que você deve fazer a respeito deles? Para começar, você deve tomar medidas para investigar a atividade. Por exemplo, você pode querer examinar atividades que indicam que um usuário foi comprometido.
Para otimizar sua proteção, você deve considerar a configuração de ações de correção automática para minimizar o risco para sua organização. Nossas políticas permitem que você aplique ações de governança em conjunto aos alertas para que o risco para sua organização seja reduzido antes mesmo de começar a investigar. As ações disponíveis são determinadas pelo tipo de política, incluindo ações como suspender um usuário ou bloquear o acesso ao recurso solicitado.
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.
Mais informações
- Experimente o nosso guia interativo: Detete ameaças e faça a gestão de alertas com o Microsoft Defender for Cloud Apps