Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender for Cloud Apps include rilevamenti per utenti compromessi, minacce insider, esfiltrazione dei dati e attività ransomware. Il servizio usa il rilevamento anomalie, l'analisi del comportamento degli utenti e delle entità (UEBA) e i rilevamenti di attività basati su regole per analizzare l'attività degli utenti nelle app connesse.
Modifiche non autorizzate o impreviste in un ambiente cloud possono introdurre rischi operativi e di sicurezza. Ad esempio, le modifiche apportate alle principali risorse aziendali, ad esempio i server che eseguono il sito Web pubblico o il servizio fornito ai clienti, possono essere compromesse.
Defender for Cloud Apps acquisisce e analizza i dati da diverse origini per identificare le attività dell'app e degli utenti nell'organizzazione. Questa analisi offre agli analisti della sicurezza visibilità dell'uso del cloud. I dati raccolti sono correlati, standardizzati e arricchiti con informazioni sulle minacce e dettagli sulla posizione, per fornire una visualizzazione accurata e coerente delle attività sospette.
Prima di ottimizzare i rilevamenti, configurare le origini dati seguenti:
| Origine | Descrizione |
|---|---|
| Log attività | Attività dalle app connesse all'API. |
| Log di individuazione | Attività estratte dal log del traffico del firewall e del proxy da inoltrare a Defender for Cloud Apps. I log vengono analizzati in base al catalogo di app cloud, classificati e valutati in base a più di 90 fattori di rischio. |
| Log proxy | Attività dalle app di controllo dell'accesso condizionale. |
Ottimizzare i criteri seguenti impostando filtri e soglie dinamiche (UEBA) per eseguire il training dei modelli di rilevamento. È anche possibile impostare le eliminazioni per ridurre i rilevamenti di falsi positivi comuni:
- Rilevamento delle anomalie
- Rilevamento anomalie dell'individuazione cloud
- Rilevamento attività basato su regole
Informazioni su come ottimizzare i rilevamenti delle attività degli utenti per identificare i veri compromessi e ridurre gli avvisi non necessari derivanti da grandi volumi di rilevamenti di falsi positivi:
Fase 1: Configurare gli intervalli di indirizzi IP
- Configurare gli intervalli IP per ottimizzare qualsiasi tipo di criteri di rilevamento delle attività utente sospette.
La configurazione di indirizzi IP noti consente agli algoritmi di Machine Learning di identificare le posizioni note e considerarle come parte dei modelli di Machine Learning. Ad esempio, l'aggiunta dell'intervallo di indirizzi IP della VPN consente al modello di classificare correttamente questo intervallo IP ed escluderlo automaticamente dai rilevamenti di viaggi impossibili, perché la posizione VPN non rappresenta la vera posizione dell'utente.
Nota
Defender for Cloud Apps usa intervalli IP nel servizio, non solo per i rilevamenti. Gli intervalli IP vengono usati nel log attività, nell'accesso condizionale e altro ancora. Ad esempio, l'identificazione degli indirizzi IP dell'ufficio fisico consente di personalizzare il modo in cui si visualizzano e analizzano i log e gli avvisi.
Esaminare gli avvisi di rilevamento anomalie
Defender for Cloud Apps include un set di avvisi di rilevamento anomalie per identificare diversi scenari di sicurezza. Iniziano a profilare l'attività utente e generano avvisi non appena si connettono i connettori di app pertinenti.
Per iniziare, acquisire familiarità con i diversi criteri di rilevamento. Assegnare priorità agli scenari principali che si ritiene più rilevanti per l'organizzazione e ottimizzare i criteri di conseguenza.
Fase 2: Ottimizzare i criteri di rilevamento anomalie
Defender for Cloud Apps include diversi criteri di rilevamento anomalie predefiniti preconfigurati per i casi d'uso comuni della sicurezza. I rilevamenti più diffusi includono:
| Rilevamento | Descrizione |
|---|---|
| Viaggio impossibile | Attività dello stesso utente in luoghi diversi in un periodo inferiore al tempo di spostamento previsto tra le due località. |
| Attività da paesi poco frequenti | Attività da una posizione che non è stata visitata di recente o non è mai stata visitata dall'utente. |
| Rilevare i software dannosi. | Analizza i file nelle app cloud ed esegue file sospetti tramite il motore di intelligence sulle minacce di Microsoft per verificare se sono associati a malware noto. |
| Attività ransomware | Caricamenti di file nel cloud che potrebbero essere stati infettati da ransomware. |
| Attività da indirizzi IP sospetti | Attività da un indirizzo IP identificato da Microsoft Threat Intelligence come rischioso. |
| Inoltro della posta in arrivo sospetto | Rileva le regole di inoltro sospetto della Posta in arrivo impostate nella Posta in arrivo di un utente. |
| Attività insolite di download di più file | Rileva attività di download di più file in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione. |
| Attività amministrative insolite | Rileva più attività amministrative in una sola sessione rispetto alla linea di base appresa, che potrebbe indicare un tentativo di violazione. |
Nota
Alcuni rilevamenti di anomalie si concentrano sul rilevamento di scenari di sicurezza problematici, mentre altri consentono di identificare e analizzare comportamenti anomali degli utenti che potrebbero non indicare necessariamente una compromissione. Per tali rilevamenti, è possibile usare comportamenti disponibili nell'esperienza di ricerca avanzata Microsoft Defender XDR.
Definire l'ambito dei criteri per utenti o gruppi specifici
I criteri di ambito per utenti specifici possono contribuire a ridurre il rumore dovuto agli avvisi non rilevanti per l'organizzazione. È possibile configurare ogni criterio per includere o escludere utenti e gruppi specifici, ad esempio negli esempi seguenti:
-
Simulazioni di attacchi
Molte organizzazioni usano un utente o un gruppo per simulare costantemente gli attacchi. Ricevere costantemente avvisi dalle attività di questi utenti crea rumore non necessario. Configurare i criteri per escludere questi utenti o gruppi. Questa azione consente ai modelli di Machine Learning di identificare questi utenti e ottimizzare le soglie dinamiche. -
Rilevamenti mirati
È possibile analizzare un gruppo specifico di utenti VIP, ad esempio i membri di un amministratore o un gruppo CXO (Chief Experience Officer). In questo caso, creare un criterio per le attività che si desidera rilevare e scegliere di includere solo il set di utenti o gruppi a cui si è interessati.
-
Simulazioni di attacchi
Ottimizzare i rilevamenti di accesso anomali
Gli avvisi risultanti da attività di accesso non riuscite potrebbero indicare che qualcuno sta tentando di indirizzare uno o più account utente.
Le credenziali compromesse sono una causa comune di acquisizione dell'account e attività non autorizzate. Il viaggio impossibile, l'attività da indirizzi IP sospetti e gli avvisi di rilevamento di paesi o aree geografiche poco frequenti consentono di individuare le attività che suggeriscono che un account è potenzialmente compromesso.
Ottimizzare la sensibilità del viaggio impossibileConfigurare il dispositivo di scorrimento di riservatezza che determina il livello di eliminazione applicato al comportamento anomalo prima di attivare un avviso di viaggio impossibile. Le organizzazioni interessate all'alta fedeltà devono prendere in considerazione l'aumento del livello di sensibilità. Se l'organizzazione ha molti utenti che viaggiano, prendere in considerazione l'abbassamento del livello di riservatezza per eliminare le attività dalle posizioni comuni di un utente apprese dalle attività precedenti. È possibile scegliere tra i livelli di riservatezza seguenti:
- Basso: eliminazioni di sistema, tenant e utenti
- Medio: eliminazioni di sistema e utenti
- Alto: solo le eliminazioni di sistema
Dove:
Tipo di eliminazione Descrizione Sistema Rilevamenti predefiniti che vengono sempre eliminati. Tenant Attività comuni basate su attività precedenti nel tenant. Ad esempio, l'eliminazione delle attività da un ISP in precedenza avvisato nell'organizzazione. Utente Attività comuni basate su attività precedenti dell’utente specifico. Ad esempio, eliminando le attività da una posizione comunemente usata dall'utente.
Fase 3: Ottimizzare i criteri di rilevamento anomalie dell'individuazione cloud
È possibile ottimizzare diversi criteri di rilevamento anomalie dell'individuazione cloud predefiniti o creare criteri personalizzati per identificare altri scenari che vale la pena analizzare. Questi criteri usano i log di individuazione cloud, con funzionalità di ottimizzazione incentrate sul comportamento anomalo delle app e sull'esfiltrazione dei dati.
Ottimizzare il monitoraggio dell'utilizzo
Impostare i filtri di utilizzo per controllare l'ambito e il periodo di attività per il rilevamento del comportamento anomalo. Ad esempio, ricevere avvisi per le attività anomale dai dipendenti di livello esecutivo.
Ottimizzare la riservatezza degli avvisi
Per ridurre gli avvisi non necessari, configurare la riservatezza degli avvisi. Usare il dispositivo di scorrimento di riservatezza per controllare il numero di avvisi ad alto rischio inviati ogni 1.000 utenti alla settimana. Le sensibilità più elevate richiedono una minore varianza per essere considerate un'anomalia e generare più avvisi. In generale, impostare la riservatezza bassa per gli utenti che non hanno accesso ai dati riservati.
Fase 4: Ottimizzare i criteri di rilevamento basato su regole (attività)
I criteri di rilevamento basati su regole integrano i criteri di rilevamento anomalie con i requisiti specifici dell'organizzazione. Creare criteri basati su regole usando uno dei modelli di criteri attività.
Se l'organizzazione non è presente in un determinato paese o area geografica, creare un criterio che rilevi le attività anomale da tale posizione. Per le organizzazioni con rami di grandi dimensioni in tale paese o area geografica, tali attività sono normali e non ha senso rilevare tali attività.
- Passare a Modelli>di criteri e impostare il filtro Tipo su Criteri attività. Configurare i filtri attività per rilevare comportamenti non normali per l'ambiente.
-
Ottimizzare il volume di attività
Scegliere il volume di attività necessario prima che il rilevamento generi un avviso. Se l'organizzazione non è presente in un paese o in un'area geografica, anche una singola attività è significativa e richiede un avviso. Un errore di accesso Single Sign-In potrebbe essere un errore umano e di interesse solo se si verificano molti errori in un breve periodo. -
Ottimizzare i filtri delle attività
Impostare i filtri necessari per rilevare il tipo di attività su cui si vuole inviare un avviso. Ad esempio, per rilevare l'attività da un paese o un'area geografica, usare il parametro Location . -
Ottimizzare gli avvisi
Per ridurre gli avvisi non necessari, impostare il limite di avvisi giornalieri.
Fase 5: Configurare gli avvisi
Nota
Microsoft ha deprecato la funzionalità Avvisi/SMS (sms) il 15 dicembre 2022. Per ricevere avvisi di testo, usare Microsoft Power Automate per l'automazione degli avvisi personalizzata. Per altre informazioni, vedere Integrare con Microsoft Power Automate per l'automazione degli avvisi personalizzata.
Per ricevere avvisi immediati in qualsiasi momento della giornata, scegliere di riceverli tramite posta elettronica.
È anche possibile che sia possibile analizzare gli avvisi nel contesto di altri avvisi attivati da altri prodotti nell'organizzazione. Questa analisi offre una visione olistica di una potenziale minaccia. Ad esempio, è possibile correlare tra eventi basati sul cloud e eventi locali per verificare se sono presenti altre prove attenuanti che confermano un attacco.
È possibile usare il Microsoft Power Automate per attivare l'automazione degli avvisi personalizzata. Quando viene attivato un avviso, è possibile:
- Configurare un playbook
- Creare un problema in ServiceNow
- Inviare un messaggio di posta elettronica di approvazione per eseguire un'azione di governance personalizzata quando viene attivato un avviso
Usare le linee guida seguenti per configurare gli avvisi:
-
Posta elettronica
Scegliere questa opzione per ricevere avvisi tramite posta elettronica. -
SIEM
Esistono diverse opzioni di integrazione SIEM, tra cui Microsoft Sentinel, Microsoft Graph API Sicurezza e altri SIEM generici. Scegliere l'integrazione più adatta alle proprie esigenze. -
Automazione di Power Automate
Creare i playbook di automazione necessari e impostarli come avviso del criterio sull'azione di Power Automate.
Fase 6: Analizzare e correggere
Per ottimizzare la protezione, configurare azioni di correzione automatiche per ridurre al minimo il rischio per l'organizzazione. I criteri consentono di applicare azioni di governance con gli avvisi in modo che il rischio per l'organizzazione venga ridotto anche prima di iniziare l'analisi. Il tipo di criterio determina le azioni disponibili, incluse azioni come la sospensione di un utente o il blocco dell'accesso alla risorsa richiesta.