Como investigar alertas de deteção de anomalias
O Microsoft Defender for Cloud Apps fornece deteções de segurança e alertas para atividades maliciosas. O objetivo deste guia é fornecer-lhe informações gerais e práticas sobre cada alerta, para ajudar nas suas tarefas de investigação e remediação. Este guia inclui informações gerais sobre as condições de acionamento de alertas. No entanto, é importante notar que, como as deteções de anomalias são não determinísticas por natureza, elas só são desencadeadas quando há um comportamento que se desvia da norma. Por último, alguns alertas podem estar em pré-visualização, por isso reveja regularmente a documentação oficial para obter informações atualizadas sobre o estado dos alertas.
MITRE ATT&CK
Para explicar e facilitar o mapeamento da relação entre os alertas do Defender for Cloud Apps e a conhecida MITRE ATT&CK Matrix, categorizamos os alertas pela tática MITRE ATT&CK correspondente. Essa referência extra facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando um alerta do Defender for Cloud Apps é acionado.
Este guia fornece informações sobre como investigar e corrigir alertas do Defender for Cloud Apps nas categorias a seguir.
Classificações de alertas de segurança
Após uma investigação adequada, todos os alertas do Defender for Cloud Apps podem ser classificados como um dos seguintes tipos de atividade:
- Verdadeiro positivo (TP): Um alerta sobre uma atividade maliciosa confirmada.
- Benign true positive (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
- Falso positivo (FP): um alerta sobre uma atividade não maliciosa.
Medidas gerais de investigação
Você deve usar as seguintes diretrizes gerais ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.
- Analise a pontuação de prioridade de investigação do usuário e compare com o resto da organização. Isso ajudará você a identificar quais usuários em sua organização representam o maior risco.
- Se você identificar um TP, revise todas as atividades do usuário para entender o impacto.
- Analise toda a atividade do usuário em busca de outros indicadores de comprometimento e explore a fonte e o escopo do impacto. Por exemplo, revise as seguintes informações do dispositivo do usuário e compare com as informações do dispositivo conhecido:
- Sistema operacional e versão
- Navegador e versão
- Endereço IP e localização
Alertas de acesso inicial
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando ganhar uma posição inicial em sua organização.
Atividade do endereço IP anônimo
Descrição
Atividade de um endereço IP que tenha sido identificado como um endereço IP proxy anônimo pelo Microsoft Threat Intelligence ou pela sua organização. Esses proxies podem ser usados para ocultar o endereço IP de um dispositivo e podem ser usados para atividades maliciosas.
TP, B-TP ou FP?
Essa deteção usa um algoritmo de aprendizado de máquina que reduz incidentes B-TP , como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização.
TP: Se conseguir confirmar que a atividade foi realizada a partir de um endereço IP anónimo ou TOR.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
B-TP: Se um utilizador é conhecido por utilizar endereços IP anónimos no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise todas as atividades e alertas do usuário para outros indicadores de comprometimento. Por exemplo, se o alerta foi seguido por outro alerta suspeito, como um download de arquivo incomum (por usuário) ou um alerta de encaminhamento de caixa de entrada suspeito, isso geralmente indica que um invasor está tentando exfiltrar dados.
Atividade de país pouco frequente
Atividade de um país/região que possa indicar atividade maliciosa. Esta política traça o perfil do seu ambiente e dispara alertas quando é detetada atividade a partir de uma localização que não foi recentemente ou nunca foi visitada por qualquer utilizador na organização.
A política pode ter um escopo adicional para um subconjunto de usuários ou pode excluir usuários conhecidos por viajar para locais remotos.
Período de aprendizagem
A deteção de locais anômalos requer um período inicial de aprendizado de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada:
- Suspenda o usuário, redefina sua senha e identifique o momento certo para reativar a conta com segurança.
- Opcional: crie um manual usando o Power Automate para entrar em contato com usuários detetados como se conectando de locais pouco frequentes e seus gerentes para verificar suas atividades.
B-TP: Se um usuário é conhecido por estar neste local. Por exemplo, quando um usuário que viaja com frequência e está atualmente no local especificado.
Ação recomendada:
- Dispense o alerta e modifique a política para excluir o usuário.
- Crie um grupo de usuários para viajantes frequentes, importe o grupo para o Defender for Cloud Apps e exclua os usuários desse alerta
- Opcional: crie um manual usando o Power Automate para entrar em contato com usuários detetados como se conectando de locais pouco frequentes e seus gerentes para verificar suas atividades.
Compreender o âmbito da violação
- Analise qual recurso pode ter sido comprometido, como possíveis downloads de dados.
Atividade de endereços IP suspeitos
Atividade de um endereço IP que tenha sido identificado como arriscado pelo Microsoft Threat Intelligence ou pela sua organização. Esses endereços IP foram identificados como envolvidos em atividades maliciosas, como a execução de spray de senha, comando e controle de botnet (C&C), e podem indicar uma conta comprometida.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
B-TP: Se um utilizador é conhecido por utilizar o endereço IP no âmbito das suas funções. Por exemplo, quando um analista de segurança realiza testes de segurança ou penetração em nome da organização.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Reveja o registo de atividades e procure atividades a partir do mesmo endereço IP.
- Analise qual recurso pode ter sido comprometido, como possíveis downloads de dados ou modificações administrativas.
- Crie um grupo para analistas de segurança acionando voluntariamente esses alertas e exclua-os da política.
Viagem impossível
Atividade do mesmo usuário em locais diferentes dentro de um período de tempo mais curto do que o tempo de viagem esperado entre os dois locais. Isso pode indicar uma violação de credencial, no entanto, também é possível que a localização real do usuário seja mascarada, por exemplo, usando uma VPN.
Para melhorar a precisão e alertar apenas quando houver um forte indício de uma violação, o Defender for Cloud Apps estabelece uma linha de base sobre cada usuário na organização e alertará somente quando o comportamento incomum for detetado. A política de viagem impossível pode ser ajustada às suas necessidades.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
Essa deteção usa um algoritmo de aprendizado de máquina que ignora condições B-TP óbvias, como quando os endereços IP em ambos os lados da viagem são considerados seguros, a viagem é confiável e excluída de acionar a deteção de viagem impossível. Por exemplo, ambos os lados são considerados seguros se forem marcados como corporativos. No entanto, se o endereço IP de apenas um lado da viagem for considerado seguro, a deteção é acionada normalmente.
TP: Se você conseguir confirmar que a localização no alerta de viagem impossível é improvável para o usuário.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Viagem de usuário não detetada): Se você puder confirmar que o usuário viajou recentemente para o destino mencionado detalhado no alerta. Por exemplo, se o telefone de um usuário que está no modo avião permanecer conectado a serviços como o Exchange Online em sua rede corporativa enquanto viaja para um local diferente. Quando o usuário chega ao novo local, o telefone se conecta ao Exchange Online acionando o alerta de viagem impossível.
Ação recomendada: Dispense o alerta.
FP (VPN não marcada): Se você conseguir confirmar que o intervalo de endereços IP é de uma VPN sancionada.
Ação recomendada: dispense o alerta e adicione o intervalo de endereços IP da VPN ao Defender for Cloud Apps e, em seguida, use-o para marcar o intervalo de endereços IP da VPN.
Compreender o âmbito da violação
- Revise o registro de atividades para obter uma compreensão de atividades semelhantes no mesmo local e endereço IP.
- Se você vir que o usuário realizou outras atividades arriscadas, como baixar um grande volume de arquivos de um novo local, isso seria um forte indício de um possível comprometimento.
- Adicione VPNs corporativas e intervalos de endereços IP.
- Crie um manual usando o Power Automate e entre em contato com o gerente do usuário para ver se o usuário está viajando legitimamente.
- Considere a possibilidade de criar um banco de dados de viajantes conhecido para relatórios de viagem organizacionais de até um minuto e usá-lo para fazer referência cruzada à atividade de viagem.
Nome enganoso do aplicativo OAuth
Essa deteção identifica aplicativos com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isso pode indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo conhecido e confiável para que os invasores possam enganar os usuários para que baixem seu aplicativo mal-intencionado.
TP, B-TP ou FP?
TP: Se você conseguir confirmar que o aplicativo tem um nome enganoso.
Ação recomendada: Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo.
Para proibir o acesso ao aplicativo, nas guias Google ou Salesforce na página Governança do aplicativo, na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. - Você pode escolher se quer dizer aos usuários que o aplicativo que eles instalaram e autorizaram foi banido. A notificação permite que os usuários saibam que o aplicativo está desativado e que eles não terão acesso ao aplicativo conectado. Se você não quiser que eles saibam, desmarque Notificar os usuários que concederam acesso a esse aplicativo banido na caixa de diálogo. - É recomendável que você informe aos usuários do aplicativo que seu aplicativo está prestes a ser banido de uso.
FP: Se você confirmar que o aplicativo tem um nome enganoso, mas tem um uso comercial legítimo na organização.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Siga o tutorial sobre como investigar aplicativos OAuth arriscados.
Nome de editor enganoso para um aplicativo OAuth
Essa deteção identifica aplicativos com caracteres, como letras estrangeiras, que se assemelham a letras latinas. Isso pode indicar uma tentativa de disfarçar um aplicativo mal-intencionado como um aplicativo conhecido e confiável para que os invasores possam enganar os usuários para que baixem seu aplicativo mal-intencionado.
TP, B-TP ou FP?
TP: Se você conseguir confirmar que o aplicativo tem um nome de editor enganoso.
Ação recomendada: Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo.
FP: Se você confirmar que o aplicativo tem um nome de editor enganoso, mas é um editor legítimo.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione o aplicativo para abrir a gaveta de aplicativos e selecione Atividade relacionada. Isso abre a página Registro de atividades filtrada para atividades realizadas pelo aplicativo. Lembre-se de que alguns aplicativos executam atividades registradas como tendo sido executadas por um usuário. Essas atividades são filtradas automaticamente dos resultados no registro de atividades. Para obter mais investigação usando o log de atividades, consulte Registro de atividades.
- Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o editor da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
- Aplicações com um baixo número de downloads.
- Aplicações com uma classificação ou pontuação baixa ou comentários negativos.
- Aplicações com um editor ou Web site suspeito.
- Aplicações que não foram atualizadas recentemente. Isso pode indicar um aplicativo que não é mais suportado.
- Aplicações com permissões irrelevantes. Isso pode indicar que um aplicativo é arriscado.
- Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome, o editor e o URL da aplicação online.
Alertas de execução
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando executar código mal-intencionado em sua organização.
Várias atividades de exclusão de armazenamento
Atividades em uma única sessão indicando que um usuário executou um número incomum de armazenamento em nuvem ou exclusões de banco de dados de recursos como blobs do Azure, buckets do AWS S3 ou Cosmos DB quando comparado à linha de base aprendida. Isso pode indicar uma tentativa de violação da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se você for confirmar que as exclusões não foram autorizadas.
Ação recomendada: suspenda o usuário, redefina sua senha e verifique todos os dispositivos em busca de ameaças maliciosas. Analise toda a atividade do usuário em busca de outros indicadores de comprometimento e explore o escopo do impacto.
FP: Se, após a investigação, você puder confirmar que o administrador foi autorizado a realizar essas atividades de exclusão.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Entre em contato com o usuário e confirme a atividade.
- Revise o registro de atividades para outros indicadores de comprometimento e veja quem fez a alteração.
- Analise as atividades desse usuário para verificar se há alterações em outros serviços.
Várias atividades de criação de VM
Atividades em uma única sessão indicando que um usuário executou um número incomum de ações de criação de VM em comparação com a linha de base aprendida. Várias criações de VM em uma infraestrutura de nuvem violada podem indicar uma tentativa de executar operações de mineração de criptografia de dentro da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
Para melhorar a precisão e alertar apenas quando há uma forte indicação de uma violação, essa deteção estabelece uma linha de base em cada ambiente da organização para reduzir incidentes B-TP , como um administrador criou legitimamente mais VMs do que a linha de base estabelecida, e só alerta quando o comportamento incomum é detetado.
TP: Se você puder confirmar que as atividades de criação não foram realizadas por um usuário legítimo.
Ação recomendada: suspenda o usuário, redefina sua senha e verifique todos os dispositivos em busca de ameaças maliciosas. Analise toda a atividade do usuário em busca de outros indicadores de comprometimento e explore o escopo do impacto. Além disso, entre em contato com o usuário, confirme suas ações legítimas e, em seguida, certifique-se de desativar ou excluir todas as VMs comprometidas.
B-TP: Se, após a sua investigação, você puder confirmar que o administrador foi autorizado a realizar essas atividades de criação.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Analise toda a atividade do usuário para outros indicadores de comprometimento.
- Analise os recursos criados ou modificados pelo usuário e verifique se eles estão em conformidade com as políticas da sua organização.
Atividade de criação suspeita para região de nuvem (visualização)
Atividades que indicam que um usuário executou uma ação de criação de recursos incomum em uma região incomum da AWS em comparação com a linha de base aprendida. A criação de recursos em regiões de nuvem incomuns pode indicar uma tentativa de executar uma atividade maliciosa, como operações de mineração de criptografia de dentro da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
Para melhorar a precisão e alertar apenas quando há um forte indício de uma violação, essa deteção estabelece uma linha de base em cada ambiente da organização para reduzir os incidentes B-TP .
TP: Se você puder confirmar que as atividades de criação não foram realizadas por um usuário legítimo.
Ação recomendada: suspenda o usuário, redefina sua senha e verifique todos os dispositivos em busca de ameaças maliciosas. Analise toda a atividade do usuário em busca de outros indicadores de comprometimento e explore o escopo do impacto. Além disso, entre em contato com o usuário, confirme suas ações legítimas e, em seguida, certifique-se de desativar ou excluir quaisquer recursos de nuvem comprometidos.
B-TP: Se, após a sua investigação, você puder confirmar que o administrador foi autorizado a realizar essas atividades de criação.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Analise toda a atividade do usuário para outros indicadores de comprometimento.
- Analise os recursos criados e verifique se eles estão em conformidade com as políticas da sua organização.
Alertas de persistência
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando manter sua posição na sua organização.
Atividade realizada pelo usuário encerrado
A atividade executada por um usuário demitido pode indicar que um funcionário demitido que ainda tem acesso aos recursos corporativos está tentando executar uma atividade mal-intencionada. O Defender for Cloud Apps cria perfis de usuários na organização e dispara um alerta quando um usuário encerrado executa uma atividade.
TP, B-TP ou FP?
TP: Se você puder confirmar que o usuário encerrado ainda tem acesso a determinados recursos corporativos e está realizando atividades.
Ação recomendada: desativar o usuário.
B-TP: Se você puder determinar que o usuário foi temporariamente desativado ou foi excluído e registrado novamente.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Referência cruzada de registros de RH para confirmar que o usuário foi encerrado.
- Valide a existência da conta de usuário do Microsoft Entra.
Nota
Se estiver usando o Microsoft Entra Connect, valide o objeto do Ative Directory local e confirme um ciclo de sincronização bem-sucedido.
- Identifique todos os aplicativos aos quais o usuário encerrado teve acesso e descomissione as contas.
- Atualizar os procedimentos de desmantelamento.
Alteração suspeita do serviço de registro em log do CloudTrail
Atividades em uma única sessão indicando que um usuário executou alterações suspeitas no serviço de registro em log do AWS CloudTrail. Isso pode indicar uma tentativa de violação da sua organização. Ao desativar o CloudTrail, as alterações operacionais não são mais registradas. Um invasor pode executar atividades maliciosas enquanto evita um evento de auditoria do CloudTrail, como modificar um bucket do S3 de privado para público.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspender o usuário, redefinir sua senha e reverter a atividade do CloudTrail.
FP: Se você puder confirmar que o usuário desativou legitimamente o serviço CloudTrail.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise o registro de atividades para ver outros indicadores de comprometimento e veja quem fez a alteração no serviço CloudTrail.
- Opcional: crie um manual usando o Power Automate para entrar em contato com usuários e seus gerentes para verificar suas atividades.
Atividade suspeita de exclusão de e-mail (por usuário)
Atividades em uma única sessão indicando que, um usuário executou exclusões de e-mail suspeitas. O tipo de exclusão foi o tipo "exclusão forçada", que torna o item de e-mail excluído e não disponível na caixa de correio do usuário. A exclusão foi feita a partir de uma conexão que inclui preferências incomuns, como ISP, país/região e agente do usuário. Isso pode indicar uma tentativa de violação da sua organização, como invasores que tentam mascarar operações excluindo e-mails relacionados a atividades de spam.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP: Se você conseguir confirmar que o usuário criou legitimamente uma regra para excluir mensagens.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como o alerta de encaminhamento de caixa de entrada suspeito seguido de um alerta de viagem impossível . Procure:
- Novas regras de encaminhamento SMTP, como se segue:
- Verifique se há nomes de regras de encaminhamento mal-intencionados. Os nomes das regras podem variar de nomes simples, como "Encaminhar todos os e-mails" e "Encaminhar automaticamente", ou nomes enganosos, como um "." pouco visível. Os nomes das regras de encaminhamento podem até estar vazios e o destinatário do reencaminhamento pode ser uma única conta de e-mail ou uma lista inteira. Regras maliciosas também podem ser ocultadas da interface do usuário. Uma vez detetado, você pode usar esta postagem de blog útil sobre como excluir regras ocultas de caixas de correio.
- Se você detetar uma regra de encaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, poderá presumir que a conta da caixa de entrada foi comprometida.
- Novas regras da caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".
- Um aumento nos e-mails enviados.
- Novas regras de encaminhamento SMTP, como se segue:
Regra de manipulação suspeita da caixa de entrada
Atividades que indicam que um invasor obteve acesso à caixa de entrada de um usuário e criou uma regra suspeita. Regras de manipulação, como excluir ou mover mensagens ou pastas da caixa de entrada de um usuário, podem ser uma tentativa de exfiltrar informações da sua organização. Da mesma forma, eles podem indicar uma tentativa de manipular informações que um usuário vê ou usar sua caixa de entrada para distribuir spam, e-mails de phishing ou malware. O Defender for Cloud Apps cria perfis do seu ambiente e dispara alertas quando regras suspeitas de manipulação da caixa de entrada são detetadas na caixa de entrada de um usuário. Isso pode indicar que a conta do usuário está comprometida.
TP, B-TP ou FP?
TP: Se você conseguir confirmar que uma regra de caixa de entrada maliciosa foi criada e a conta foi comprometida.
Ação recomendada: suspenda o usuário, redefina sua senha e remova a regra de encaminhamento.
FP: Se você conseguir confirmar que um usuário criou a regra legitimamente.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como o alerta de encaminhamento de caixa de entrada suspeito seguido de um alerta de viagem impossível . Procurar:
- Novas regras de encaminhamento SMTP.
- Novas regras da caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".
- Colete informações de endereço IP e localização para a ação.
- Analise as atividades realizadas a partir do endereço IP usado para criar a regra para detetar outros usuários comprometidos.
Alertas de escalonamento de privilégios
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando obter permissões de nível mais alto em sua organização.
Atividade administrativa incomum (por usuário)
Atividades que indicam que um invasor comprometeu uma conta de usuário e executou ações administrativas que não são comuns para esse usuário. Por exemplo, um invasor pode tentar alterar uma configuração de segurança para um usuário, uma operação que é relativamente rara para um usuário comum. O Defender for Cloud Apps cria uma linha de base com base no comportamento do usuário e dispara um alerta quando o comportamento incomum é detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um administrador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP: Se você puder confirmar que um administrador executou legitimamente o volume incomum de atividades administrativas.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise toda a atividade do usuário para outros indicadores de comprometimento, como encaminhamento de caixa de entrada suspeito ou viagem impossível.
- Analise outras alterações de configuração, como a criação de uma conta de usuário que possa ser usada para persistência.
Alertas de acesso a credenciais
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando roubar nomes de conta e senhas da sua organização.
Várias tentativas de login com falha
Tentativas de início de sessão falhadas podem indicar uma tentativa de violação de uma conta. No entanto, logins com falha também podem ser um comportamento normal. Por exemplo, quando um usuário digitou uma senha errada por engano. Para obter precisão e alerta apenas quando há um forte indício de uma tentativa de violação, o Defender for Cloud Apps estabelece uma linha de base de hábitos de login para cada usuário na organização e só alertará quando o comportamento incomum for detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
Esta política baseia-se na aprendizagem do comportamento normal de início de sessão de um utilizador. Quando um desvio da norma é detetado, um alerta é disparado. Se a deteção começar a ver que o mesmo comportamento continua, o alerta é disparado apenas uma vez.
TP (MFA falha): Se você conseguir confirmar que o MFA está funcionando corretamente, isso pode ser um sinal de uma tentativa de ataque de força bruta.
Ações recomendadas:
- Suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
- Encontre o aplicativo que executou as autenticações com falha e reconfigure-o.
- Procure outros usuários conectados na época da atividade, pois eles também podem estar comprometidos. Suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
B-TP (MFA falha): Se você conseguir confirmar que o alerta é causado por um problema com MFA.
Ação recomendada: crie um manual usando o Power Automate para entrar em contato com o usuário e verificar se ele está tendo problemas com MFA.
B-TP (aplicativo configurado incorretamente): se você puder confirmar que um aplicativo configurado incorretamente está tentando se conectar a um serviço várias vezes com credenciais expiradas.
Ação recomendada: Dispense o alerta.
B-TP (Palavra-passe alterada): Se conseguir confirmar que um utilizador alterou recentemente a palavra-passe, mas isso não afetou as credenciais nas partilhas de rede.
Ação recomendada: Dispense o alerta.
B-TP (Teste de segurança): Se você puder confirmar que um teste de segurança ou penetração está sendo conduzido por analistas de segurança em nome da organização.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Analise toda a atividade do usuário em busca de outros indicadores de comprometimento, como o alerta é seguido por um dos seguintes alertas: Impossível de viajar, Atividade de endereço IP anônimo ou Atividade de país pouco frequente.
- Analise as seguintes informações do dispositivo do usuário e compare com as informações do dispositivo conhecido:
- Sistema operacional e versão
- Navegador e versão
- Endereço IP e localização
- Identifique o endereço IP de origem ou o local onde ocorreu a tentativa de autenticação.
- Identifique se o usuário alterou recentemente sua senha e verifique se todos os aplicativos e dispositivos têm a senha atualizada.
Adição incomum de credenciais a um aplicativo OAuth
Essa deteção identifica a adição suspeita de credenciais privilegiadas a um aplicativo OAuth. Isso pode indicar que um invasor comprometeu o aplicativo e está usando-o para atividades maliciosas.
Período de aprendizagem
Aprender o ambiente da sua organização requer um período de sete dias durante o qual você pode esperar um alto volume de alertas.
ISP incomum para um aplicativo OAuth
A deteção identifica um aplicativo OAuth que se conecta ao seu aplicativo na nuvem a partir de um ISP que é incomum para o aplicativo. Isso pode indicar que um invasor tentou usar um aplicativo comprometido legítimo para executar atividades maliciosas em seus aplicativos na nuvem.
Período de aprendizagem
O período de aprendizagem para esta deteção é de 30 dias.
TP, B-TP ou FP?
TP: Se você puder confirmar que a atividade não era uma atividade legítima do aplicativo OAuth ou que este ISP não é usado pelo aplicativo OAuth legítimo.
Ação recomendada: revogue todos os tokens de acesso do aplicativo OAuth e investigue se um invasor tem acesso à geração de tokens de acesso OAuth.
FP: Se você puder confirmar que a atividade foi feita legitimamente pelo aplicativo OAuth genuíno.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
Analise as atividades realizadas pelo aplicativo OAuth.
Investigue se um invasor tem acesso à geração de tokens de acesso OAuth.
Alertas de recolha
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando coletar dados de interesse para seu objetivo da sua organização.
Várias atividades de compartilhamento de relatório do Power BI
Atividades em uma única sessão indicando que um usuário executou um número incomum de atividades de relatório de compartilhamento no Power BI quando comparado à linha de base aprendida. Isso pode indicar uma tentativa de violação da sua organização.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Remova o acesso de compartilhamento do Power BI. Se você conseguir confirmar que a conta está comprometida, suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP: Se você puder confirmar que o usuário tinha uma justificativa comercial para compartilhar esses relatórios.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise o registro de atividades para obter uma melhor compreensão de outras atividades realizadas pelo usuário. Observe o endereço IP a partir do qual eles estão conectados e os detalhes do dispositivo.
- Entre em contato com sua equipe do Power BI ou equipe de Proteção de Informações para entender as diretrizes para compartilhar relatórios interna e externamente.
Compartilhamento suspeito de relatórios do Power BI
Atividades que indicam que um usuário compartilhou um relatório do Power BI que pode conter informações confidenciais identificadas usando a PNL para analisar os metadados do relatório. O relatório foi compartilhado com um endereço de e-mail externo, publicado na Web ou um instantâneo foi entregue a um endereço de e-mail inscrito externamente. Isso pode indicar uma tentativa de violação da sua organização.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: Remova o acesso de compartilhamento do Power BI. Se você conseguir confirmar que a conta está comprometida, suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP: Se você puder confirmar que o usuário tinha uma justificativa comercial para compartilhar esses relatórios.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise o registro de atividades para obter uma melhor compreensão de outras atividades realizadas pelo usuário. Observe o endereço IP a partir do qual eles estão conectados e os detalhes do dispositivo.
- Entre em contato com sua equipe do Power BI ou equipe de Proteção de Informações para entender as diretrizes para compartilhar relatórios interna e externamente.
Atividade personificada incomum (por usuário)
Em alguns softwares, existem opções para permitir que outros usuários se passem por outros usuários. Por exemplo, os serviços de e-mail permitem que os usuários autorizem outros usuários a enviar e-mails em seu nome. Essa atividade é comumente usada por invasores para criar e-mails de phishing na tentativa de extrair informações sobre sua organização. O Defender for Cloud Apps cria uma linha de base com base no comportamento do usuário e cria uma atividade quando uma atividade de representação incomum é detetada.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Comportamento incomum): Se você for capaz de confirmar que o usuário executou legitimamente as atividades incomuns, ou mais atividades do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
FP: Se conseguir confirmar que aplicações, como o Teams, se fizeram passar legitimamente pelo utilizador.
Ação recomendada: revise as ações e descarte o alerta, se necessário.
Compreender o âmbito da violação
- Revise todas as atividades e alertas do usuário para obter indicadores adicionais de comprometimento.
- Analise as atividades de falsificação de identidade para identificar possíveis atividades maliciosas.
- Revise a configuração de acesso delegado.
Alertas de exfiltração
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando roubar dados da sua organização.
Reencaminhamento suspeito da caixa de entrada
Atividades que indicam que um invasor obteve acesso à caixa de entrada de um usuário e criou uma regra suspeita. Regras de manipulação, como encaminhar todos ou e-mails específicos para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização. O Defender for Cloud Apps cria perfis do seu ambiente e dispara alertas quando regras suspeitas de manipulação da caixa de entrada são detetadas na caixa de entrada de um usuário. Isso pode indicar que a conta do usuário está comprometida.
TP, B-TP ou FP?
TP: Se você conseguir confirmar que uma regra de encaminhamento de caixa de entrada mal-intencionada foi criada e a conta foi comprometida.
Ação recomendada: suspenda o usuário, redefina sua senha e remova a regra de encaminhamento.
FP: Se você puder confirmar que o usuário criou uma regra de encaminhamento para uma conta de e-mail externa nova ou pessoal por motivos legítimos.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
Revise toda a atividade do usuário para obter indicadores adicionais de comprometimento, como o alerta é seguido por um alerta de Viagem Impossível . Procure:
- Novas regras de encaminhamento SMTP, como se segue:
- Verifique se há nomes de regras de encaminhamento mal-intencionados. Os nomes das regras podem variar de nomes simples, como "Encaminhar todos os e-mails" e "Encaminhar automaticamente", ou nomes enganosos, como um "." pouco visível. Os nomes das regras de encaminhamento podem até estar vazios e o destinatário do reencaminhamento pode ser uma única conta de e-mail ou uma lista inteira. Regras maliciosas também podem ser ocultadas da interface do usuário. Uma vez detetado, você pode usar esta postagem de blog útil sobre como excluir regras ocultas de caixas de correio.
- Se você detetar uma regra de encaminhamento não reconhecida para um endereço de e-mail interno ou externo desconhecido, poderá presumir que a conta da caixa de entrada foi comprometida.
- Novas regras da caixa de entrada, como "excluir tudo", "mover mensagens para outra pasta" ou aquelas com convenções de nomenclatura obscuras, por exemplo "...".
- Novas regras de encaminhamento SMTP, como se segue:
Analise as atividades realizadas a partir do endereço IP usado para criar a regra para detetar outros usuários comprometidos.
Analise a lista de mensagens encaminhadas usando o controle de mensagens do Exchange Online.
Download de arquivo incomum (por usuário)
Atividades que indicam que um usuário realizou um número incomum de downloads de arquivos de uma plataforma de armazenamento em nuvem em comparação com a linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização. O Defender for Cloud Apps cria uma linha de base com base no comportamento do usuário e dispara um alerta quando o comportamento incomum é detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Comportamento incomum): Se você puder confirmar que o usuário executou legitimamente mais atividades de download de arquivos do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
FP (Sincronização de software): se conseguir confirmar que o software, como o OneDrive, foi sincronizado com uma cópia de segurança externa que causou o alerta.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise as atividades de download e crie uma lista de arquivos baixados.
- Revise a sensibilidade dos arquivos baixados com o proprietário do recurso e valide o nível de acesso.
Acesso incomum a arquivos (por usuário)
Atividades que indicam que um usuário executou um número incomum de acessos a arquivos no SharePoint ou no OneDrive a arquivos que contêm dados financeiros ou dados de rede em comparação com a linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização, seja para fins financeiros ou para acesso a credenciais e movimentação lateral. O Defender for Cloud Apps cria uma linha de base com base no comportamento do usuário e dispara um alerta quando o comportamento incomum é detetado.
Período de aprendizagem
O período de aprendizagem depende da atividade do utilizador. Geralmente, o período de aprendizagem é entre 21 e 45 dias para a maioria dos usuários.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Comportamento incomum): Se você puder confirmar que o usuário executou legitimamente mais atividades de acesso a arquivos do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise as atividades de acesso e crie uma lista de arquivos acessados.
- Revise a sensibilidade dos arquivos acessados com o proprietário do recurso e valide o nível de acesso.
Atividade de compartilhamento de arquivos incomum (por usuário)
Atividades que indicam que um usuário executou um número incomum de ações de compartilhamento de arquivos de uma plataforma de armazenamento em nuvem em comparação com a linha de base aprendida. Isso pode indicar uma tentativa de obter informações sobre a organização. O Defender for Cloud Apps cria uma linha de base com base no comportamento do usuário e dispara um alerta quando o comportamento incomum é detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Comportamento incomum): Se você puder confirmar que o usuário executou legitimamente mais atividades de compartilhamento de arquivos do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise as atividades de compartilhamento e crie uma lista de arquivos compartilhados.
- Revise a sensibilidade dos arquivos compartilhados com o proprietário do recurso e valide o nível de acesso.
- Crie uma política de arquivos para documentos semelhantes para detetar compartilhamentos futuros de arquivos confidenciais.
Alertas de impacto
Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando manipular, interromper ou destruir seus sistemas e dados em sua organização.
Várias atividades de VM de exclusão
Atividades em uma única sessão indicando que um usuário executou um número incomum de exclusões de VM em comparação com a linha de base aprendida. Várias exclusões de VM podem indicar uma tentativa de interromper ou destruir um ambiente. No entanto, há muitos cenários normais em que as VMs são excluídas.
TP, B-TP ou FP?
Para melhorar a precisão e alertar apenas quando há um forte indício de uma violação, essa deteção estabelece uma linha de base em cada ambiente da organização para reduzir os incidentes B-TP e alertar apenas quando o comportamento incomum for detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP: Se você puder confirmar que as exclusões não foram autorizadas.
Ação recomendada: suspenda o usuário, redefina sua senha e verifique todos os dispositivos em busca de ameaças maliciosas. Analise toda a atividade do usuário em busca de outros indicadores de comprometimento e explore o escopo do impacto.
B-TP: Se, após a investigação, você puder confirmar que o administrador estava autorizado a realizar essas atividades de exclusão.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Entre em contato com o usuário e confirme a atividade.
- Revise toda a atividade do usuário para indicadores adicionais de comprometimento, como o alerta é seguido por um dos seguintes alertas: Impossível de viajar, Atividade de endereço IP anônimo ou Atividade de país pouco frequente.
Atividade de ransomware
O ransomware é um ciberataque em que um atacante bloqueia as vítimas dos seus dispositivos ou bloqueia-as de aceder aos seus ficheiros até que a vítima pague um resgate. O ransomware pode ser espalhado por um ficheiro partilhado malicioso ou por uma rede comprometida. O Defender for Cloud Apps usa experiência em pesquisa de segurança, inteligência contra ameaças e padrões comportamentais aprendidos para identificar a atividade de ransomware. Por exemplo, uma alta taxa de uploads ou exclusões de arquivos pode representar um processo de criptografia comum entre as operações de ransomware.
Essa deteção estabelece uma linha de base dos padrões normais de trabalho de cada usuário em sua organização, como quando o usuário acessa a nuvem e o que eles normalmente fazem na nuvem.
As políticas automatizadas de deteção de ameaças do Defender for Cloud Apps começam a ser executadas em segundo plano a partir do momento em que você se conecta. Usando nossa experiência em pesquisa de segurança para identificar padrões comportamentais que refletem a atividade de ransomware em nossa organização, o Defender for Cloud Apps oferece cobertura abrangente contra ataques sofisticados de ransomware.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se você conseguir confirmar que a atividade não foi realizada pelo usuário.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP (Comportamento incomum): O usuário executou legitimamente várias atividades de exclusão e upload de arquivos semelhantes em um curto período de tempo.
Ação recomendada: depois de revisar o registro de atividades e confirmar que as extensões de arquivo não são suspeitas, ignore o alerta.
FP (Common ransomware file extension): Se conseguir confirmar que as extensões dos ficheiros afetados correspondem a uma extensão ransomware conhecida.
Ação recomendada: Entre em contato com o usuário e confirme se os arquivos estão seguros e, em seguida, descarte o alerta.
Compreender o âmbito da violação
- Revise o registro de atividades para outros indicadores de comprometimento, como download em massa ou exclusão em massa de arquivos.
- Se estiver a utilizar o Microsoft Defender for Endpoint, reveja os alertas do computador do utilizador para ver se foram detetados ficheiros maliciosos.
- Pesquise no registro de atividades por atividades maliciosas de upload e compartilhamento de arquivos.
Atividade de exclusão de arquivo incomum (por usuário)
Atividades que indicam que um usuário executou uma atividade de exclusão de arquivo incomum quando comparada à linha de base aprendida. Isso pode indicar um ataque de ransomware. Por exemplo, um invasor pode criptografar os arquivos de um usuário e excluir todos os originais, deixando apenas as versões criptografadas que podem ser usadas para coagir a vítima a pagar um resgate. O Defender for Cloud Apps cria uma linha de base com base no comportamento normal do usuário e dispara um alerta quando o comportamento incomum é detetado.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período de aprendizado inicial de sete dias, durante o qual os alertas não são acionados para novos locais.
TP, B-TP ou FP?
TP: Se conseguir confirmar que a atividade não foi realizada por um utilizador legítimo.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
FP: Se você puder confirmar que o usuário executou legitimamente mais atividades de exclusão de arquivos do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise as atividades de exclusão e crie uma lista de arquivos excluídos. Se necessário, recupere os arquivos excluídos.
- Opcionalmente, crie um manual usando o Power Automate para entrar em contato com os usuários e seus gerentes para verificar a atividade.
Aumento da pontuação de prioridade da investigação (pré-visualização)
Atividades anômalas e atividades que dispararam alertas recebem pontuações com base na gravidade, impacto do usuário e análise comportamental do usuário. A análise é feita com base em outros usuários nos locatários.
Quando houver um aumento significativo e anômalo na pontuação de prioridade de investigação de um determinado usuário, o alerta será acionado.
Esse alerta permite detetar possíveis violações que são caracterizadas por atividades que não necessariamente disparam alertas específicos, mas se acumulam para um comportamento suspeito para o usuário.
Período de aprendizagem
Estabelecer um novo padrão de atividade do usuário requer um período inicial de aprendizado de sete dias, durante o qual os alertas não são acionados para qualquer aumento de pontuação.
TP, B-TP ou FP?
TP: Se você puder confirmar que as atividades do usuário não são legítimas.
Ação recomendada: suspenda o usuário, marque o usuário como comprometido e redefina sua senha.
B-TP: Se você for capaz de confirmar que o usuário realmente se desviou significativamente do comportamento habitual, mas não há nenhuma violação potencial.
FP (Comportamento incomum): Se você for capaz de confirmar que o usuário executou legitimamente as atividades incomuns, ou mais atividades do que a linha de base estabelecida.
Ação recomendada: Dispense o alerta.
Compreender o âmbito da violação
- Revise todas as atividades e alertas do usuário para obter indicadores adicionais de comprometimento.
Cronograma de descontinuação
Estamos desativando gradualmente o alerta de aumento de pontuação de prioridade Investigação do Microsoft Defender for Cloud Apps até agosto de 2024.
Após cuidadosa análise e consideração, decidimos desvalorizá-lo devido à elevada taxa de falsos positivos associados a este alerta, que descobrimos não estar a contribuir de forma eficaz para a segurança geral da sua organização.
Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico em fornecer soluções de segurança confiáveis e de alta qualidade.
Estamos empenhados em melhorar continuamente os nossos serviços e garantir que eles satisfazem as suas necessidades e expectativas.
Para aqueles que desejam continuar usando esse alerta, sugerimos usar a seguinte consulta de caça avançada como um modelo sugerido. Modifique a consulta com base nas suas necessidades.
let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores