Security

Microsoft Sentinel UEBA udvider AWS-detektion

3 min læsning

Resumé

Microsoft Sentinel UEBA tilføjer nu mere avanceret adfærdsanalyse til AWS CloudTrail-data og giver sikkerhedsteams indbygget kontekst som førstegangsgeografi, usædvanlig ISP, usædvanlige handlinger og unormal mængde af operationer. Opdateringen hjælper forsvarsteams med hurtigere at opdage mistænkelig AWS-aktivitet og reducerer behovet for komplekse KQL-baselines og manuel berigelse.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft udvider Microsoft Sentinel UEBA for at styrke AWS-trusselsdetektion med mere avanceret adfærdsanalyse. For security operations-teams, der administrerer hybride miljøer og multi-cloud-miljøer, er dette vigtigt, fordi AWS CloudTrail-hændelser nu kommer med indbygget kontekst, som kan fremskynde undersøgelser og forbedre kvaliteten af detektionen.

I stedet for at være afhængige af komplekse KQL-forespørgsler, statiske tærskler eller manuelt vedligeholdte baselines kan forsvarsteams bruge forudberegnede UEBA-indsigter til hurtigere at identificere mistænkelig adfærd i AWS-aktivitet.

Hvad er nyt i Microsoft Sentinel UEBA til AWS

Microsoft har tilføjet bredere UEBA-understøttelse på tværs af multi-cloud- og identitetsdatakilder, herunder AWS, GCP, Okta og flere godkendelseslogge. Specifikt for AWS omfatter de vigtigste forbedringer:

  • Flere AWS-adfærdsberigelser for CloudTrail-hændelser ved indtagelse
  • Binære indsigter såsom:
    • Førstegangsgeografi
    • Usædvanlig ISP
    • Usædvanlig handling
    • Unormal mængde af operationer
  • Understøttelse af BehaviorAnalytics-tabellen for AWS-aktivitet, som viser indsigter om bruger, enhed og aktivitet
  • Anomalies-tabellen med seks indbyggede AWS-anomalidetektioner fra Microsofts machine learning-modeller
  • Defender portal-integration til at vise UEBA-anomalier på brugerenhedssider og i hændelsesgrafer

Microsoft omtaler denne tilgang som binary feature stacking, hvor analytikere kombinerer simple sand/falsk-baserede adfærdsindikatorer for hurtigt at opdage angriberaktivitet, som ellers kunne falde i ét med normale AWS-operationer.

Hvorfor dette er vigtigt for sikkerhedsteams

AWS-undersøgelser afhænger ofte af rå CloudTrail-logge og brugerdefineret logik for at afgøre, om adfærd faktisk er mistænkelig. Den proces kan være tidskrævende og dyr, især i cloud-miljøer, der ændrer sig hurtigt.

Med Sentinel UEBA får administratorer og analytikere:

  • Hurtigere triagering af AWS-advarsler
  • Mindre afhængighed af manuelt udviklede KQL-baselines
  • Bedre kontekst for både menneskelige og ikke-menneskelige identiteter
  • Mere ensartet anomalidetektion på tværs af hybride miljøer og multi-cloud-miljøer

Opdateringen er især nyttig for SOC-teams, der vil reducere alert fatigue og samtidig forbedre synligheden i risikable AWS-handlinger som usædvanlige logons, ændringer i IAM-privilegier eller tidligere usete user agents.

Vigtige implementeringsdetaljer

AWS-adfærdskonteksten vises i to primære tabeller:

BehaviorAnalytics

Dette er den primære undersøgelsesflade for UEBA-beriget AWS-aktivitet. Den omfatter felter som EventSource, ActivityType og ActionType samt dynamiske indsigtfelter som UserInsights, DeviceInsights og ActivityInsights.

Anomalies

Denne tabel indeholder Microsofts fortrænede anomalidetektioner til AWS. Poster omfatter:

  • MITRE ATT&CK-mappinger
  • AnomalyScore
  • AnomalyReasons
  • Relaterede adfærdsberigelser

Hvad IT- og sikkerhedsadministratorer bør gøre nu

  • Gennemgå nuværende AWS CloudTrail-detektioner i Sentinel
  • Identificer analytics-regler, der er afhængige af tung baseline-logik
  • Test UEBA-berigelser i tabellerne BehaviorAnalytics og Anomalies
  • Brug hunting-workflows i Defender portal til hurtigere at undersøge brugeranomalier
  • Opdater SOC-playbooks, så de udnytter den forudberegnede AWS-adfærdskontekst

For organisationer, der sikrer AWS sammen med Microsoft-miljøer, kan denne opdatering forenkle detection engineering og forbedre effektiviteten i responsen.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Relaterede indlæg

Security

Microsoft AI-forsvar mod nye AI-trusler

Microsoft siger, at AI accelererer, hvordan sårbarheder findes og udnyttes, hvilket forkorter den tid, forsvarere har til at reagere. Som svar udvider virksomheden AI-drevet sårbarhedsopdagelse, exposure management og Defender-baserede beskyttelser, samtidig med at den varsler en ny multi-model scanningsløsning til kunder i juni 2026.

Security

{{Microsoft Defender opdager infiltrerende IT-medarbejdere}}

{{Microsoft har beskrevet detektionsstrategier til at identificere trusselsaktører med tilknytning til Nordkorea, som udgiver sig for at være eksterne IT-ansættelser for at infiltrere organisationer. Vejledningen fokuserer på at korrelere signaler fra HR SaaS, identitet, e-mail, conferencing og Microsoft 365, så sikkerheds- og HR-teams kan opdage mistænkelige kandidater før og efter onboarding.}}

Security

Opportunistiske cyberangreb: Microsofts designguide

Microsoft opfordrer organisationer til at gøre opportunistiske cyberangreb sværere ved at fjerne legitimationsoplysninger, reducere offentlige angrebsflader og standardisere sikre platformsmønstre. Vejledningen er især relevant for teams, der kører Azure-, Dynamics 365- og Power Platform-arbejdsbelastninger i stor skala, hvor inkonsistente arkitekturer og eksponerede hemmeligheder kan gøre lateral bevægelse lettere for angribere.

Security

Cross-tenant Teams-efterligning: angrebs-playbook

Microsoft har beskrevet en menneskestyret indtrængningskæde, hvor angribere bruger cross-tenant Microsoft Teams-chats til at udgive sig for helpdesk-medarbejdere og narre brugere til at give fjernadgang via værktøjer som Quick Assist. Kampagnen er vigtig, fordi den kombinerer legitimt samarbejde, fjernsupport og admin-værktøjer for at muliggøre lateral bevægelse, vedvarende adgang og dataeksfiltrering, mens det ligner normal IT-aktivitet.

Security

Microsoft Defender predictive shielding stopper AD-angreb

Microsoft beskrev, hvordan Defenders predictive shielding kan inddæmme kompromittering af Active Directory-domæner ved at begrænse eksponerede konti med høje rettigheder, før angribere kan genbruge stjålne legitimationsoplysninger. Funktionen hjælper sikkerhedsteams med at reducere lateral movement og lukke reaktionsgabet under hurtigt udviklende identitetsangreb.

Security

Sapphire Sleet macOS-indtrængen: vigtig Defender-indsigt

Microsoft Threat Intelligence beskrev en macOS-fokuseret kampagne fra Sapphire Sleet, der bruger social engineering og falske softwareopdateringer i stedet for at udnytte sårbarheder. Angrebskæden er afhængig af, at brugeren selv starter AppleScript og Terminal-eksekvering for at omgå indbyggede macOS-beskyttelser, hvilket gør lagdelt sikkerhed, brugerbevidsthed og endpoint-detektion særligt vigtigt.