Security

Microsoft Sentinel UEBA širi AWS detekciju

3 min čitanja

Sažetak

Microsoft Sentinel UEBA sada donosi bogatiju bihevioralnu analitiku za AWS CloudTrail podatke, pružajući bezbednosnim timovima ugrađeni kontekst kao što su prva geografska lokacija, neuobičajen ISP, neobične radnje i abnormalan obim operacija. Ovo ažuriranje pomaže timovima za odbranu da brže otkriju sumnjive AWS aktivnosti i smanjuje potrebu za složenim KQL baseline pravilima i ručnim obogaćivanjem podataka.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft proširuje Microsoft Sentinel UEBA kako bi unapredio AWS detekciju pretnji bogatijom bihevioralnom analitikom. Za timove bezbednosnih operacija koji upravljaju hibridnim i multi-cloud okruženjima, ovo je važno jer AWS CloudTrail događaji sada stižu sa ugrađenim kontekstom koji može ubrzati istrage i poboljšati kvalitet detekcije.

Umesto oslanjanja na složene KQL upite, statične pragove ili ručno održavane baseline modele, timovi za odbranu mogu koristiti unapred izračunate UEBA uvide da brže identifikuju sumnjivo ponašanje u AWS aktivnostima.

Šta je novo u Microsoft Sentinel UEBA za AWS

Microsoft je dodao širu UEBA podršku za multi-cloud i izvore identitetskih podataka, uključujući AWS, GCP, Okta i dodatne authentication logove. Konkretno za AWS, ključna unapređenja uključuju:

  • Više AWS bihevioralnih obogaćivanja za CloudTrail događaje u trenutku unosa
  • Binarne uvide kao što su:
    • Prva geografska lokacija
    • Neuobičajen ISP
    • Neobična radnja
    • Abnormalan obim operacija
  • Podršku za tabelu BehaviorAnalytics za AWS aktivnosti, sa uvidima o korisniku, uređaju i aktivnosti
  • Tabelu Anomalies sa šest ugrađenih AWS detekcija anomalija iz Microsoft machine learning modela
  • Defender portal integraciju za prikaz UEBA anomalija na stranicama korisničkih entiteta i u grafovima incidenata

Microsoft ovaj pristup naziva binary feature stacking, gde analitičari kombinuju jednostavne tačno/netačno bihevioralne indikatore kako bi brzo uočili aktivnosti napadača koje bi se inače mogle stopiti sa normalnim AWS operacijama.

Zašto je ovo važno za bezbednosne timove

AWS istrage se često oslanjaju na sirove CloudTrail logove i prilagođenu logiku kako bi se utvrdilo da li je neko ponašanje zaista sumnjivo. Taj proces može biti dugotrajan i skup, posebno u cloud okruženjima koja se brzo menjaju.

Uz Sentinel UEBA, administratori i analitičari dobijaju:

  • Bržu trijažu AWS upozorenja
  • Manje oslanjanja na ručno kreirane KQL baseline modele
  • Bolji kontekst i za ljudske i za neljudske identitete
  • Dosledniju detekciju anomalija kroz hibridna i multi-cloud okruženja

Ovo ažuriranje je posebno korisno za SOC timove koji žele da smanje zamor od upozorenja, uz bolju vidljivost rizičnih AWS radnji kao što su neuobičajene prijave, promene IAM privilegija ili ranije neviđeni user agent obrasci.

Ključni detalji implementacije

AWS bihevioralni kontekst pojavljuje se u dve glavne tabele:

BehaviorAnalytics

Ovo je glavna površina za istragu UEBA-obogaćenih AWS aktivnosti. Uključuje polja kao što su EventSource, ActivityType i ActionType, kao i dinamička polja sa uvidima poput UserInsights, DeviceInsights i ActivityInsights.

Anomalies

Ova tabela sadrži Microsoft unapred obučene detekcije anomalija za AWS. Zapisi uključuju:

  • MITRE ATT&CK mapiranja
  • AnomalyScore
  • AnomalyReasons
  • Povezana bihevioralna obogaćivanja

Šta IT i bezbednosni administratori treba sledeće da urade

  • Pregledajte trenutne AWS CloudTrail detekcije u Sentinel
  • Identifikujte analytics pravila koja se oslanjaju na složenu baseline logiku
  • Testirajte UEBA obogaćivanja u tabelama BehaviorAnalytics i Anomalies
  • Koristite Defender portal hunting tokove rada za brže istraživanje korisničkih anomalija
  • Ažurirajte SOC playbook procese kako biste iskoristili unapred izračunat AWS bihevioralni kontekst

Za organizacije koje štite AWS uz Microsoft okruženja, ovo ažuriranje može pojednostaviti detection engineering i poboljšati efikasnost odgovora.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Povezani članci

Security

{{Microsoft AI odbrana za nove AI pretnje}}

{{Microsoft navodi da AI ubrzava pronalaženje i iskorišćavanje ranjivosti, skraćujući vreme koje branioci imaju za odgovor. Kao odgovor, kompanija proširuje otkrivanje ranjivosti uz pomoć AI, upravljanje izloženošću i zaštite zasnovane na Defender-u, uz najavu novog multi-model rešenja za skeniranje za korisnike u junu 2026.}}

Security

Detekcija lažnih IT radnika uz Microsoft Defender

Microsoft je predstavio strategije detekcije za prepoznavanje aktera pretnji povezanih sa Severnom Korejom koji se predstavljaju kao udaljeni IT kandidati kako bi se infiltrirali u organizacije. Smernice su usmerene na povezivanje signala iz HR SaaS sistema, identiteta, e-pošte, konferencijskih alata i Microsoft 365 kako bi bezbednosni i HR timovi mogli da uoče sumnjive kandidate pre i posle zaposlenja.

Security

Sprečavanje opportunistic cyberattacks po Microsoftu

Microsoft poziva organizacije da otežaju opportunistic cyberattacks uklanjanjem akreditiva, smanjenjem javno izloženih attack surface tačaka i standardizacijom bezbednih platformskih obrazaca. Smernice su posebno relevantne za timove koji u velikom obimu koriste Azure, Dynamics 365 i Power Platform, gde nedosledne arhitekture i izložene tajne mogu napadačima olakšati lateralno kretanje.

Security

Cross-tenant Teams lažno predstavljanje napad

Microsoft je detaljno opisao lanac upada kojim upravljaju napadači, u kome koriste cross-tenant Microsoft Teams ćaskanja da se predstave kao helpdesk osoblje i prevare korisnike da odobre udaljeni pristup kroz alate kao što je Quick Assist. Ova kampanja je značajna jer kombinuje legitimne alate za saradnju, udaljenu podršku i administraciju kako bi omogućila lateral movement, persistence i data exfiltration, dok sve izgleda kao uobičajena IT aktivnost.

Security

{{Microsoft Defender predictive shielding zaustavlja AD napade}}

Microsoft je objavio kako Defender predictive shielding može da obuzda kompromitaciju Active Directory domena ograničavanjem izloženih naloga sa visokim privilegijama pre nego što napadači ponovo iskoriste ukradene akreditive. Ova mogućnost pomaže bezbednosnim timovima da smanje lateralno kretanje i zatvore jaz u odgovoru tokom brzih identity napada.

Security

Sapphire Sleet macOS upad: ključni Defender uvidi

Microsoft Threat Intelligence je objavio detalje kampanje usmerene na macOS koju sprovodi Sapphire Sleet, a koja koristi social engineering i lažna ažuriranja softvera umesto iskorišćavanja ranjivosti. Lanac napada se oslanja na pokretanje AppleScript i Terminal komandi od strane korisnika kako bi zaobišao nativne macOS zaštite, što dodatno naglašava važnost slojevite odbrane, obuke korisnika i endpoint detekcije.