Políticas de detecção de anomalias em segurança de aplicativo de nuvem do Office 365

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Gerenciamento de Segurança Avançada do Office 365 agora é Cloud App Security do Office 365.

Avaliação    >

Planejamento    >

Implantação    >

Utilização   

Começar avaliando

Iniciar o planejamento

Você está aqui!

Próxima etapa

Iniciar utilizando

Começando com o lançamento de segurança de aplicativo do Microsoft Cloud 116, Cloud App Security do Office 365 inclui vários anomalia predefinido detecção diretivas ("fora da caixa") que incluem o usuário e a análise de comportamento entidade (UEBA) e (ML) de aprendizado de máquina.

Para visualizar suas políticas de detecção de anomalias, escolha o controle > políticas.

Essas políticas de detecção de anomalias fornecem resultados imediatos, fornecendo detecções imediatas, vários problemas de comportamentos de direcionamento seus usuários e em computadores e dispositivos conectados à sua rede. Além disso, as novas diretivas expõem mais dados do mecanismo de detecção de segurança de aplicativo de nuvem para ajudá-lo a acelerar o processo de investigação e conter ameaças contínuas.

Como administrador global ou administrador de segurança, você pode revisar e, se necessário, revise as diretivas padrão que estão disponíveis com Cloud App Security do Office 365.

Neste artigo:

Importante: Há um período inicial de aprendizagem de sete (7) dias durante os quais alertas de comportamento anormais não são disparadas. O algoritmo de detecção de anomalias é otimizado para reduzir o número de alertas falsos.

Antes de começar

Verifique se:

Exibir suas políticas de detecção de anomalia

  1. Como administrador global ou administrador de segurança, vá para https://protection.office.com e entrar usando seu trabalho ou escola conta.

  2. No Centro de Conformidade e Segurança, escolha alertas > Gerenciar avançadas alertas.

  3. Escolha Ir para segurança de aplicativo do Office 365 nuvem.

    Isso o leva para a página de políticas de Cloud App Security do Office 365.

  4. Na lista tipo, escolha política de detecção de anomalias.

    Padrão da sua organização (ou existente) diretivas de detecção de anomalias são exibidas.

    Várias políticas de detecção de anomalias estão disponíveis por padrão em segurança de aplicativo de nuvem do Office 365

  5. Selecione uma política para examinar ou editar suas configurações.

  6. Selecione Atualizar para salvar as alterações.

Saiba mais sobre políticas de detecção de anomalia

Políticas de detecção de anomalias são habilitadas automaticamente; Entretanto, Cloud App Security do Office 365 tem um período inicial de aprendizagem de sete dias durante os quais anomalia nem todos os alertas de detecção são geradas. Depois disso, cada sessão é comparado com a atividade, quando os usuários eram ativos endereços IP, dispositivos, etc. detectado por mês passado e a pontuação de risco dessas atividades. Essas detecções fazem parte do mecanismo de detecção heurística anomalia que perfis de seu ambiente e dispara alertas relacionadas com uma linha de base que foi aprendeu na atividade da sua organização. Essas detecções também aproveitam algoritmos de aprendizado de máquina projetados para os usuários e padrões de log para reduzir os falsos positivos do perfil.

Problemas são detectados pela verificação atividade do usuário. O risco é avaliado examinando mais de 30 indicadores de risco diferentes, agrupados em vários fatores de risco, como endereço IP arriscado, falhas de login, atividade de administrador, contas inativas, local, impossível viagem, dispositivo e agente de usuário e taxa de atividade.

Alertas de segurança com base nos resultados da política, são disparados. Cloud App Security do Office 365 examina cada sessão do usuário no Office 365 e o alerta sempre que algo acontece diferente a partir da linha de base da sua organização ou atividade regular de um usuário.

A tabela a seguir descreve as diretivas de detecção de anomalias padrão, que fazem e como elas funcionam.

Nome de política de detecção de anomalia

Como funciona

Impossível viagem

Identifica duas atividades do usuário (é uma única ou várias sessões) provenientes locais geograficamente distantes dentro de um período de tempo menor que o tempo que ele teria levado o usuário passe da primeiro local para a segunda, indicando que uma diferente usuário está usando as mesmas credenciais. Esta detecção usa uma algoritmo que ignora óbvios "falsos positivos" contribuir para a condição de viagem impossível, como VPNs e locais regularmente usados por outros usuários na organização de aprendizado de máquina. A detecção tem um período inicial de aprendizagem de sete dias durante os quais ele aprende padrão de atividade de um novo usuário.

Atividade do país raros

Considera-se passaram locais de atividade para determinar a novos e não frequentes locais. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usada pelos usuários na organização. Um alerta é disparado quando ocorre uma atividade de um local que você não recentemente ou nunca visitou pelo usuário ou por qualquer usuário na organização.

Atividade de endereços IP anônimos

Identifica que os usuários tenham sido ativos a partir de um endereço IP que foi identificado como um endereço IP de proxy anônimo. Esses proxies são usados por pessoas que deseja ocultar o endereço IP do seu dispositivo e podem ser usadas intenções maliciosas. Esta detecção usa uma algoritmo que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização de aprendizado de máquina.

Atividade de endereços IP suspeitos

Identifica que os usuários tenham sido ativos a partir de um endereço IP que foi identificado como arriscada pelo Microsoft ameaças Intelligence. Esses endereços IP estão envolvidos em atividades maliciosos, como Botnet C & C e podem indicar conta comprometida. Esta detecção usa uma algoritmo que reduz "falsos positivos", como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização de aprendizado de máquina.

Atividades incomuns (por usuário)

Identifica os usuários que executam atividades incomuns, tais como:

  • Vários downloads de arquivo

  • Atividades de compartilhamento de arquivos

  • Atividades de exclusão de arquivos

  • Atividades de representação

  • Atividades administrativas

Essas políticas procuram a atividades dentro de uma única sessão relacionadas com a linha de base aprendida, o que pode indicar em uma tentativa de violação. Essas detecções utilizam uma algoritmo que perfis de usuários logon padrão de aprendizado de máquina e reduz os falsos positivos. Essas detecções fazem parte do mecanismo de detecção heurística anomalia que perfis de seu ambiente e dispara alertas relacionadas com uma linha de base que foi aprendeu na atividade da sua organização.

Várias tentativas de login falhas

Identifica os usuários que falhou várias tentativas de logon em uma única sessão relacionadas com a linha de base aprendida, que poderia indicar em uma tentativa de violação.

Alertas de detecção de anomalias triagem

Como alertas chegam, você pode triagem os alertas rapidamente e determinar quais tratar primeiro. Ter o contexto para um alerta permite que você verá a imagem maior e determine se algo mal-intencionado realmente está acontecendo. Use o procedimento a seguir para começar a explorar um alerta:

  1. Como administrador global ou administrador de segurança, vá para https://protection.office.com e entrar usando seu trabalho ou escola conta.

  2. No Centro de Conformidade e Segurança, escolha alertas > Gerenciar avançadas alertas.

  3. Escolha Ir para segurança de aplicativo do Office 365 nuvem.

  4. Escolha alertas para exibir seus alertas.

  5. Para obter o contexto de um alerta, siga estas etapas:

    1. Escolha investigar > log de atividade.

    2. Selecione um item, como um usuário ou o endereço IP. Isso abre a registradora de obtenção de informações relevantes.

      No registro de atividades, você pode investigar um endereço IP.

    3. Na registradora ideias relevantes, clique em um comando disponível, como um ícone na seção Mostrar SEMELHANTE.

      Na registradora ideias relevantes, você pode clicar no ícone de relógio para ver as atividades realizadas dentro de uma atividade selecionada 48 horas

    4. Obtém ideias sobre o item selecionado por continuar explorar os detalhes de item.

Um alerta em várias falhas de logon pode realmente ser suspeito e pode indicar um ataque de força bruta potencial. No entanto, como um alerta também pode ser um erro de configuração do aplicativo, causando o alerta seja um positivo verdadeiro benigno. Se você vir um alerta de logon falhou várias atividades suspeitas adicionais, há uma probabilidade maior que uma conta for comprometida. Por exemplo, suponha que um alerta de múltiplo-Falha-login é seguido por atividade de um endereço IP de TOR e a atividade de viagem impossível, ambos os indicadores fortes do compromisso. Você ainda pode ver que o mesmo usuário realizada uma atividade de download em massa, que geralmente é um indicador do invasor realizar exfiltration de dados. Ele do coisas como que você pode explorar em Cloud App Security do Office 365 para exibir e triagem seus alertas e execute a ação onde necessário.

Próximas etapas

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×