Regeln der Ebene 1 für ThreatSync+ SaaS — Microsoft 365

Gilt für: ThreatSync+ SaaS

Wenn Sie ThreatSync+ SaaS mit einer Microsoft 365-Integration erstmals einrichten, sind 10 der 12 Regeln der Ebene 1 standardmäßig aktiviert. Wir empfehlen Ihnen, diese Regeln während der ersten zwei Wochen der Microsoft 365-Überwachung zu kontrollieren und Ihre Regeln dann entsprechend der Anforderungen Ihrer Organisation anzupassen.

Jeder Abschnitt dieses Themas beinhaltet:

  • Beschreibung einer Regel der Ebene 1
  • Wie die Regel Bedrohungen erkennt
  • Wie Sie diese Regel anpassen können, damit sie in Ihrem Netzwerk effektiver wirkt

Beachten Sie für Details spezifischer Regeln der Ebene 1 die folgenden Abschnitte:

Anonyme Dateiaktivität

Ein anonymer Benutzer hat auf Dateien zugegriffen. Dabei könnte es sich um einen Angreifer handeln, der versucht, Ihre Daten zu verschlüsseln oder zu exfiltrieren.

Funktionsweise

Microsoft 365-Protokolle zeigen an, dass ein Benutzer über einen anonymen Link Zugriff auf eine für den öffentlichen Zugriff verfügbar gemachte Datei erhalten hat. Viele Benutzer erstellen anonyme Links, um anderen Personen einen einfachen Zugriff auf Dateien zu ermöglichen, ohne von ihnen zu verlangen, autorisierte Anmeldedaten zu nutzen und explizit Berechtigungen zu gewähren.

Wenn diese Links an nicht autorisierte Benutzer gelangen, können Daten kompromittiert werden.

Wenn Sie es Benutzern nicht gestatten, anonyme Links weiterzugeben, dann sollten Sie sofort auf diese Warnmeldung reagieren, die Person kontaktieren, die die Datei freigegeben hat, und eine Zugriffskontrolle erzwingen.

Anpassung

Wenn Sie es Benutzern immer erlauben, diese Arten von Links zu teilen, können Sie diese Regel deaktivieren. Wenn Sie es Benutzern gestatten wollen, spezifische Dateien zu teilen, dann passen Sie die Regel an, um spezifische Dateipfade auszuschließen.

Öffentlich gemachte interne Dateien

Diese Regel generiert Warnmeldungen, wenn interne Dateien für alle im Internet verfügbar gemacht werden, wodurch Dateien dem Risiko eines Angreifers ausgesetzt werden könnten, der eventuell versucht, Ihre Daten zu exfiltrieren.

Funktionsweise

Diese Regel generiert Warnmeldungen, wenn ein Benutzer einen anonymen Link für eine Datei erstellt. Dieser Link kann an andere weitergegeben werden, um einen anonymen Zugriff zuzulassen. Diese Warnmeldung hilft Ihnen, einen nicht autorisierten Zugriff zu beseitigen, bevor ein Angreifer Daten exfiltrieren kann.

Anpassung

Wenn Sie es spezifischen Teilen Ihrer Organisation erlauben, anonyme Links zu erstellen, dann können Sie sie von dieser Regel ausschließen. Wenn jeder in Ihrer Organisation anonyme Links erstellen darf, dann können Sie diese Regel deaktivieren.

Extern geteilte interne Dateien

Diese Regel generiert Warnmeldungen, wenn ein interner Benutzer in Ihrer Organisation interne Dateien mit einem externen Benutzer teilt. Ein externer Zugriff auf Ihre Daten könnte ein Risiko für die Organisation darstellen.

Funktionsweise

ThreatSync+ SaaS lernt die Benutzer in Ihrer Microsoft 365-Domäne kennen und kategorisiert sie als interne oder externe Benutzer. Wenn Sie Ihre SaaS-Integration mit Microsoft 365 einrichten, identifiziert ThreatSync+ SaaS interne Benutzer durch die von Ihnen konfigurierten Domänen. ThreatSync+ SaaS hält auch ähnliche Domänennamen für interne.

Wenn Ihre Domäne beispielsweise mycompany.com lautet, dann hält ThreatSync+ SaaS auch Benutzer in der Domäne mycompany.on.microsoft.com für interne Benutzer. Wenn ein interner Benutzer eine Datei oder einen Ordner in Microsoft 365 mit einem externen Benutzer teilt, dann generiert ThreatSync+ SaaS eine Regel-Warnmeldung mit Details zur geteilten Datei, wer sie geteilt hat und mit wem sie geteilt wurde.

Diese Regel erfordert eine Lernzeit, um interne Benutzer zu kategorisieren, die aus verschiedenen Domänen in Ihrer Organisation stammen können.

Anpassung

Wenn Sie zulassen, dass spezifische Dateien mit externen Domänen geteilt werden, dann können Sie Ausnahmen zur Regeldefinition hinzufügen.

Untersuchen Sie diese Warnmeldung, falls Ihre Organisation eine Regel hat, Dateien nicht mit externen Benutzern zu teilen. Führen Sie angemessene Maßnahmen durch, beispielsweise Blockieren des Benutzers oder Entfernen von Dateiberechtigungen.

Neue Zugriff-IP-Adresse

Diese Regel generiert eine Warnmeldung, wenn ein Benutzer eine Verbindung zu Ressourcen in Ihrem Netzwerk von einer neuen IP-Adresse aus herstellt. Dies könnte ein Zeichen für eine interne bösartige Aktivität oder eine Übernahme des Kontos sein.

Funktionsweise

Jedes Mal, wenn ein Benutzer sich bei einer Microsoft 365-Domäne anmeldet und eine Verbindung zu Ressourcen herstellt, lernt ThreatSync+ SaaS daraus und erstellt eine Baseline der IP-Adressen, von denen die Anfragen stammen. Wenn ThreatSync+ SaaS einen Benutzer identifiziert, der sich von einer IP-Adresse aus, von der sich der Benutzer noch nie angemeldet hat, mit einer Ressource verbindet, dann generiert ThreatSync+ SaaS diese Regel-Warnmeldung.

Anpassung

Diese Regel generiert Warnmeldungen, wenn Benutzer in Ihrer Organisation eine Verbindung zu Ressourcen von neuen Orten (beispielsweise einem Café oder einem Kundenstandort) aus herstellen. Diese Regel-Warnmeldung ist hilfreich, wenn sich Ihre Benutzer nur von einer begrenzten und konsistenten Reihe von IP-Adressen regelmäßig anmelden. Sie können diese Regel entweder deaktivieren oder Ausnahmen hinzufügen, um bestimmte Benutzergruppen auszuschließen.

Neuer Zugriffsort

Diese Regel generiert eine Warnmeldung, wenn ein Benutzer eine Verbindung zu Ressourcen in Ihrem Netzwerk von einem neuen Standort aus herstellt. Dies könnte ein Zeichen für eine interne bösartige Aktivität oder eine Übernahme des Kontos sein.

Funktionsweise

Wenn ein Benutzer sich bei einer Microsoft 365-Domäne anmeldet und eine Verbindung zu Ressourcen herstellt, lernt ThreatSync+ SaaS daraus und erstellt eine Baseline der geografischen Standorte, von denen die Anfragen stammen. Wenn ein Benutzer von einem Standort, von dem er sich noch nie zuvor angemeldet hat, eine Verbindung zu einer Ressource herstellt, dann generiert ThreatSync+ SaaS eine Regel-Warnmeldung.

Anpassung

Diese Regel generiert Warnmeldungen, wenn Benutzer in Ihrer Organisation eine Verbindung zu Ressourcen von neuen Standorten (beispielsweise einem Café oder einem Kundenstandort) aus herstellen. Diese Regel-Warnmeldung ist hilfreich, wenn sich Ihre Benutzer nur von einer begrenzten und konsistenten Reihe von geografischen Standorten regelmäßig anmelden. Sie können diese Regel entweder deaktivieren oder Ausnahmen hinzufügen, um bestimmte Benutzer auszuschließen.

Möglicher Versuch eines Brute-Force-Kontozugriffs

Diese Regel generiert Warnmeldungen, wenn ein Benutzer mehrmals vergeblich versucht, sich bei Ressourcen in Ihrem Netzwerk anzumelden.

Funktionsweise

ThreatSync+ SaaS überwacht fehlgeschlagene Anmeldeversuche bei Microsoft 365 und erstellt ständig eine Baseline akzeptabler, gutartiger Misserfolgsaktivität. Wenn die über einen Zeitraum von 30 Minuten gezählten fehlgeschlagenen Anmeldeversuche die Baseline übersteigen, generiert ThreatSync+ SaaS eine Warnmeldung.

Bösartige Benutzer lösen diese Regel aus, wenn sie Benutzernamen gestohlen und wiederholt versucht haben, sich mit unterschiedlichen Passwörtern anzumelden.

Anpassung

Wenn Sie möchten, dass weniger Warnmeldungen generiert werden, können Sie diese Regel anpassen und die Warnmeldungsempfindlichkeit an die Schweregradskala für Warnmeldungen in der Regelkonfiguration angleichen.

Wenn Sie die Skala auf einen höheren Wert setzen, ist die Erkennung weniger empfindlich und es werden weniger Warnmeldungen generiert. Weitere Informationen finden Sie unter Schweregradskala für Regel-Warnmeldungen bearbeiten.

Verdächtiger Zugriffsort

Diese Regel generiert eine Warnmeldung, wenn ein Benutzer eine Verbindung zu Ressourcen in Ihrem Netzwerk von einem verdächtigen Standort aus herstellt. Dies könnte ein Zeichen für eine interne bösartige Aktivität oder eine Übernahme des Kontos sein.

Funktionsweise

ThreatSync+ SaaS überwacht den Quell-Standort aller Benutzeranmeldungen und erstellt eine Baseline. Wenn ein Benutzer sich von einem Standort aus anmeldet, der erheblich vom Baseline-Standort abweicht, dann generiert ThreatSync+ SaaS eine Warnmeldung. Wenn ein Benutzer nicht ausreichend Aktivität hat, um eine zuverlässige Baseline zu generieren, dann nutzt ThreatSync+ SaaS stattdessen eine Baseline für die Organisation. Wenn dieser Benutzer sich von einem Standort aus anmeldet, der erheblich von anderen Benutzerstandorten abweicht, dann generiert ThreatSync+ SaaS eine Warnmeldung.

Anpassung

Wenn Sie möchten, dass weniger Warnmeldungen generiert werden, können Sie diese Regel anpassen und die Warnmeldungsempfindlichkeit an die Schweregradskala für Warnmeldungen in der Regelkonfiguration angleichen.

Wenn Sie die Skala auf einen höheren Wert setzen, ist die Erkennung weniger empfindlich und es werden weniger Warnmeldungen generiert. Weitere Informationen finden Sie unter Schweregradskala für Regel-Warnmeldungen bearbeiten.

Verdächtige Zugriffszeit

Diese Regel generiert eine Warnmeldung, wenn ein Benutzer eine Verbindung zu Ressourcen in Ihrem Netzwerk zu einer verdächtigen Zeit herstellt. Dies könnte ein Zeichen für eine interne bösartige Aktivität oder eine Übernahme des Kontos sein.

Funktionsweise

ThreatSync+ SaaS überwacht die Tageszeit und den Wochentag, zu denen ein Benutzer sich anmeldet, und erstellt eine Baseline. Wenn Benutzer-Logins erheblich von der Baseline abweichen, dann generiert ThreatSync+ SaaS eine Warnmeldung.

Anpassung

Wenn Sie möchten, dass weniger Warnmeldungen generiert werden, können Sie diese Regel anpassen und die Warnmeldungsempfindlichkeit an die Schweregradskala für Warnmeldungen in der Regelkonfiguration angleichen.

Wenn Sie die Skala auf einen höheren Wert setzen, ist die Erkennung weniger empfindlich und es werden weniger Warnmeldungen generiert. Weitere Informationen finden Sie unter Schweregradskala für Regel-Warnmeldungen bearbeiten.

Verdächtige Rate der Dateiaktivität

Es wird eine verdächtige Rate bei Erstellen, Löschen oder Ändern von Dateien erkannt. Dies kann auftreten, wenn ein Angreifer Ihre Dateien mit Ransomware verschlüsselt oder Ihre Dateien exfiltriert.

Funktionsweise

ThreatSync+ SaaS überwacht die Dateiaktivität nach Benutzer und erstellt eine Baseline für jeden Benutzer, um eine große Bandbreite an Dateiaktivitäten zu überwachen. Wenn eine Benutzerdateiaktivität (Bearbeitung, Löschen oder Erstellen) von den aktuellen Baselines abweicht, generiert ThreatSync+ SaaS die Warnmeldung. Diese Regel kann helfen, laufende Ransomware-Angriffe zu verhindern.

Anpassung

Wenn Sie möchten, dass weniger Warnmeldungen generiert werden, können Sie diese Regel anpassen und die Warnmeldungsempfindlichkeit an die Schweregradskala für Warnmeldungen in der Regelkonfiguration angleichen.

Wenn Sie die Skala auf einen höheren Wert setzen, ist die Erkennung weniger empfindlich und es werden weniger Warnmeldungen generiert. Weitere Informationen finden Sie unter Schweregradskala für Regel-Warnmeldungen bearbeiten.

Es gibt verschiedene Möglichkeiten, diese Regel anzupassen, um sie auf spezifische Arten von Anomalien zu fokussieren oder Warnmeldungen so einzuschränken, dass sie spezifische Standorte, Dateien oder Benutzer einbeziehen oder ausschließen.

Da diese Regel Warnmeldungen für über 100 spezifische Arten von dateibezogenen Warnmeldungen generieren kann, ist es oft hilfreich, diese Regel in mehrere Regeldefinitionen zu unterteilen, die Warnmeldungen für verschiedene Arten von Dateiaktivitäten generieren. Sie können die Schweregradskala für Warnmeldungen oder andere Filter wie Standort oder Dateinamen für jede Regel anpassen.

Brute-Force-Versuch

Diese Regel generiert Warnmeldungen, wenn ein Benutzer mehrmals vergeblich versucht, sich bei Ressourcen in Ihrem Netzwerk anzumelden, und sich dann erfolgreich anmeldet.

Funktionsweise

ThreatSync+ SaaS überwacht fehlgeschlagene Anmeldeversuche bei Microsoft 365 und erstellt ständig eine Baseline akzeptabler, gutartiger Misserfolgsaktivität. Wenn die Anzahl der fehlgeschlagenen Anmeldeversuche während eines Zeitraums von 30 Minuten diese Baseline übersteigt, wird das Ereignis Hohe Rate fehlgeschlagener Anmeldeversuche generiert. ThreatSync+ SaaS lernt die geografischen Standorte, von denen die Anfragen stammen, kennen und erstellt daraus eine Baseline. Wenn ein Benutzer von einem Standort, von dem er sich noch nie zuvor angemeldet hat, eine Verbindung zu einer Ressource herstellt, dann generiert ThreatSync+ SaaS einen neuen Fernzugriff für ein Benutzer-Ereignis. Die Regel-Warnmeldung Brute-Force-Versuch wird ausgelöst, wenn im Zusammenhang mit dem Ereignis einer fehlgeschlagenen Anmeldung und einem neuen Fernzugriff für einen Benutzer eine erfolgreiche Anmeldung erkannt wird.

Bösartige Benutzer lösen diese Regel aus, wenn sie Benutzernamen gestohlen und wiederholt versucht haben, sich mit unterschiedlichen Passwörtern anzumelden.

Anpassung

Diese Regel generiert Warnmeldungen, wenn ein Angreifer sich nach mehreren fehlgeschlagenen Versuchen erfolgreich anmelden kann. Überprüfen Sie die Quell-IP-Adresse und die Benutzerinformationen der Regel-Warnmeldung. Wenn es sich nicht um einen legitimen Anmeldeversuch handelt, dann können Sie den Benutzer deaktivieren, eine Passwortänderung erzwingen oder Multi-Faktor-Authentifizierung (MFA) für den Benutzer hinzufügen.

Wir empfehlen Ihnen, auch andere für den betroffenen Benutzer generierte Regel-Warnmeldungen auf mögliche Datenexfiltration zu überprüfen, beispielsweise Extern geteilte interne Dateien, Verdächtige Rate der Dateiaktivität und Öffentlich gemachte interne Dateien.

Wenn diese Anmeldeversuche legitim sind, können Sie diese Regel bearbeiten und eine Ausnahme hinzufügen, die die Quell-IP-Adresse in die Ausnahmeliste aufnimmt.

Möglicher Passwort-Spraying-Versuch

Diese Regel generiert Warnmeldungen, wenn ein Angreifer versucht, Anmeldungen mit Brute Force auf Basis einer Liste von Benutzernamen mit Standardpasswörtern der Anwendung zu erzwingen.

Funktionsweise

Diese Regel überwacht fehlgeschlagene Anmeldeversuche, die für mehrere Benutzer während eines kurzen Zeitraums vom selben Standort und der Zielliste durchgeführt wurden.

Anpassung

Wenn diese Anmeldeversuche legitim sind, können Sie diese Regel bearbeiten und eine Ausnahme hinzufügen, die die Quell-IP-Adresse in die Ausnahmeliste aufnimmt.

Passwort-Spraying-Versuch

Diese Regel generiert Warnmeldungen, wenn ein Angreifer eine erfolgreiche Anmeldungen mit Brute Force auf Basis einer Liste von Benutzernamen mit Standardpasswörtern der Anwendung durchführt.

Funktionsweise

Diese Regel überwacht fehlgeschlagene und erfolgreiche Anmeldeversuche, die für mehrere Benutzer während eines kurzen Zeitraums von der Zielliste durchgeführt wurden.

Anpassung

Da der Angreifer sich nach dem Passwort-Spraying-Versuch erfolgreich bei einigen Konten angemeldet hat, müssen Sie die Quell-IP-Adresse und Benutzerinformationen der Regel-Warnmeldung überprüfen. Wenn es sich nicht um einen legitimen Anmeldeversuch handelt, dann können Sie den Benutzer deaktivieren, eine Passwortänderung erzwingen oder Multi-Faktor-Authentifizierung (MFA) für den Benutzer hinzufügen.

Wir empfehlen Ihnen, auch andere für den betroffenen Benutzer generierte Regel-Warnmeldungen auf mögliche Datenexfiltration zu überprüfen, beispielsweise Extern geteilte interne Dateien, Verdächtige Rate der Dateiaktivität und Öffentlich gemachte interne Dateien.

Wenn diese Anmeldeversuche legitim sind, können Sie diese Regel bearbeiten und eine Ausnahme hinzufügen, die die Quell-IP-Adresse in die Ausnahmeliste aufnimmt.

Ähnliche Themen

ThreatSync+ Regeln konfigurieren

ThreatSync+ Zonen verwalten

Regel-Feinabstimmung (Policy Tuning)

ThreatSync+ NDR Regeln der Ebene 1

ThreatSync+ Zonen verwalten