Giám sát an ninh và tuân thủ trong Microsft 365

Giám sát an ninh và tuân thủ là tính nă trong trung tâm bảo mật Microsoft 365 cung cấp cho khách hàng nội dung tóm tắt về tình trạng bảo vệ và bảo mật trên môi trường Microsoft 365.

Trung tâm bảo mật bao gồm phần Báo cáo có một loạt thẻ bao gồm nhiều lĩnh vực mà các nhà phân tích và quản trị viên bảo mật theo dõi như một phần của hoạt động hàng ngày của họ. Khi xem chi tiết, thẻ cung cấp các báo cáo chi tiết và, trong một số trường hợp, các tùy chọn quản lý.

1. Theo dõi và xem báo cáo trong trung tâm bảo mật Microsoft 365

Tùy chỉnh chế độ xem theo mặc định, thẻ được nhóm thành các loại sau:

  • Danh tính – tài khoản người dùng và thông tin đăng nhập
  • Dữ liệu – nội dung email và tài liệu
  • Thiết bị – máy tính, điện thoại di động và các thiết bị khác
  • Ứng dụng – chương trình và dịch vụ trực tuyến đính kèm

Chuyển sang Nhóm theo chủ đề, để sắp xếp lại các thẻ và nhóm chúng thành các mục sau:

  • Rủi ro – thẻ làm nổi bật các thực thể, chẳng hạn như tài khoản và thiết bị, có thể gặp rủi ro. Các thẻ này cũng nêu bật các nguồn rủi ro có thể xảy ra, như các chiến dịch đe dọa mới và các ứng dụng đám mây đặc quyền
  • Xu hướng phát hiện – thẻ làm nổi bật các phát hiện mối đe dọa mới, sự bất thường và vi phạm chính sách
  • Cấu hình và sức khỏe – thẻ bao gồm cấu hình và triển khai các điều khiển bảo mật, bao gồm cả trạng thái trên thiết bị cho các dịch vụ quản lý
  • Khác – tất cả các thẻ khác không được phân loại theo các chủ đề khác

2. Giám sát và báo cáo danh tính trong trung tâm bảo mật Microsoft 365

Bạn có thể theo dõi danh tính trong tổ chức của mình và theo dõi các hành vi đáng ngờ hoặc rủi ro. Trong danh mục Báo cáo danh tính, bạn có thể theo dõi:

  • Người dùng có sự bất thường được phát hiện nhiều nhất
  • Có bao nhiêu người dùng được báo cáo có nguy cơ bởi các chính sách truy cập có điều kiện
  • Số lượng quản trị viên toàn cầu trong tổ chức của bạn

Giám sát an ninh và tuân thủ

Đối với người dùng có các phát hiện cụ thể, bạn có thể khám phá cảnh báo cụ thể và điều tra trong Trung tâm bảo mật Microsoft Defender. Phát hiện bao gồm các bất thường như người dùng đăng nhập từ các địa điểm xa lạ.

3. Giám sát và báo cáo dữ liệu trong trung tâm bảo mật Microsoft 365

Danh mục Dữ liệu giúp theo dõi hoạt động của người dùng có thể dẫn đến tiết lộ dữ liệu trái phép. Đây là bản làm lại của các báo cáo chính sách DLP Office 365 hiện có cộng với báo cáo khớp chính sách DLP của bên thứ ba. Bạn có thể thấy:

  • Người dùng chia sẻ nhiều tệp nhất từ ứng dụng đám mây
  • Có bao nhiêu kết quả khớp chính sách DLP
  • Có bao nhiêu chính sách DLP ghi đè hoặc dương tính giả được báo cáo
  • Có bao nhiêu kết quả khớp chính sách DLP đã xảy ra trong các dịch vụ đám mây của bên thứ 3 thông qua Microsoft Cloud App Security

Giám sát an ninh và tuân thủ

4. Giám sát và báo cáo thiết bị trong trung tâm bảo mật Microsoft 365

Giữ thiết bị của bạn an toàn, cập nhật và phát hiện các mối đe dọa tiềm ẩn trong trung tâm bảo mật Microsoft 365.

4.1 Xem cảnh báo thiết bị

Nhận thông báo cập nhật về hoạt động vi phạm và các mối đe dọa khác trên thiết bị của bạn từ Microsoft Defender ATP (có sẵn với giấy phép E5). Trung tâm bảo mật Microsoft 365 giám sát hiệu quả các cảnh báo này ở mức cao bằng cách sử dụng quy trình làm việc ưa thích của bạn.

Mỗi cảnh báo ATP của Microsoft Defender có mức độ nghiêm trọng tương ứng, cao, trung bình, thấp hoặc thông tin cho thấy tác động tiềm tàng của nó đến mạng của bạn nếu không được giám sát.

Sử dụng thẻ mức độ nghiêm trọng cảnh báo Thiết bị để tập trung cụ thể vào các cảnh báo nghiêm trọng hơn và có thể yêu cầu phản hồi ngay lập tức. Từ thẻ này, bạn có thể xem thêm thông tin trên cổng thông tin Trung tâm bảo mật Microsoft Defender.

Giám sát an ninh và tuân thủ

4.1.2 Hiểu các nguồn cảnh báo

Microsoft Defender ATP tận dụng dữ liệu từ một loạt các cảm biến bảo mật và nguồn thông tin tình báo để tạo cảnh báo. Ví dụ: nó có thể sử dụng thông tin phát hiện từ Windows Defender Antivirus và phần mềm chống virus của bên thứ ba, cũng như thông tin về mối đe dọa tùy chỉnh của riêng bạn được cung cấp thông qua API dịch vụ web.

Thẻ nguồn phát hiện cảnh báo thiết bị hiển thị phân phối cảnh báo theo nguồn. Thẻ này có thể giúp bạn theo dõi hoạt động liên quan đến một số nguồn nhất định, đặc biệt là các nguồn tùy chỉnh của bạn. Bạn cũng có thể sử dụng điều này để tập trung vào các cảnh báo đến từ các cảm biến không được cấu hình để tự động chặn các hoạt động hoặc thành phần độc hại.

Giám sát an ninh và tuân thủ

Từ thẻ này, bạn có thể xem thêm thông tin trên cổng thông tin Trung tâm bảo mật Microsoft Defender.

4.1.3 Hiểu các loại mối đe dọa kích hoạt cảnh báo

Microsoft Defender ATP sắp xếp mỗi cảnh báo vào một danh mục đại diện cho một giai đoạn nhất định trong chuỗi tấn công hoặc một loại thành phần đe dọa. Ví dụ, hoạt động đe dọa được phát hiện có thể được phân loại thành chuyển động bên sau, để chỉ ra rằng hoạt động liên quan đến nỗ lực tiếp cận các thiết bị khác trên mạng và có khả năng xảy ra sau khi kẻ tấn công có được chỗ đứng ban đầu. Khi được phát hiện, một thành phần đe dọa có thể được phân loại rộng rãi là phần mềm độc hại của Cameron, hay cụ thể hơn là phần mềm ransomware,, thông tin xác thực, ăn cắp thông tin hay các loại phần mềm độc hại hoặc không mong muốn khác.

Thẻ danh mục mối đe dọa Thiết bị hiển thị phân phối cảnh báo vào các danh mục này. Bạn có thể sử dụng thông tin này để xác định hoạt động đe dọa, chẳng hạn như các hành vi trộm cắp thông tin, có thể có tác động đáng kể hơn so với các nỗ lực tại kỹ thuật xã hội, chẳng hạn. Bạn cũng có thể sử dụng điều này để theo dõi các mối đe dọa có khả năng phá hủy như ransomware.

Giám sát an ninh và tuân thủ

4.1.4 Giám sát cảnh báo hoạt động

Thẻ trạng thái cảnh báo Thiết bị cho biết số lượng cảnh báo chưa được giải quyết và có thể cần chú ý. Từ thẻ này, bạn có thể xem thêm thông tin trên cổng thông tin Trung tâm bảo mật Microsoft Defender.

Giám sát an ninh và tuân thủ

4.1.5 Giám sát phân loại cảnh báo đã giải quyết

Khi giải quyết cảnh báo ATP của Microsoft Defender, nhân viên bảo mật của bạn có thể chỉ định liệu cảnh báo đã được xác minh là:

  • Một cảnh báo thực sự xác định hoạt động vi phạm thực tế hoặc các thành phần đe dọa
  • Một cảnh báo sai đã phát hiện không chính xác hoạt động bình thường

Thẻ phân loại cảnh báo thiết bị cho biết liệu cảnh báo đã giải quyết của bạn đã được phân loại là cảnh báo đúng hay sai. Từ thẻ này, bạn có thể xem thêm thông tin trên cổng thông tin Trung tâm bảo mật Microsoft Defender.

Lưu ý: Trong một số trường hợp, thông tin phân loại không có sẵn cho một số cảnh báo nhất định.

4.1.6 Giám sát xác định các cảnh báo đã giải quyết

Ngoài việc phân loại cảnh báo là đúng hay sai trong quá trình giải quyết, nhân viên an ninh của bạn có thể đưa ra quyết định, cho biết loại hoạt động bình thường hoặc độc hại được tìm thấy trong khi xác thực cảnh báo.

Thẻ xác định cảnh báo thiết bị hiển thị quyết định được cung cấp cho từng cảnh báo, cụ thể:

  • APT – mối đe dọa dai dẳng tiên tiến, chỉ ra rằng hoạt động được phát hiện hoặc thành phần đe dọa là một phần của vi phạm tinh vi được thiết kế để có chỗ đứng trong mạng bị ảnh hưởng
  • Phần mềm độc hại – tệp hoặc mã độc hại
  • Nhân viên an ninh – hoạt động bình thường được thực hiện bởi nhân viên an ninh
  • Kiểm tra bảo mật – hoạt động hoặc các thành phần được thiết kế để mô phỏng các mối đe dọa thực tế và dự kiến ​​sẽ kích hoạt các cảm biến bảo mật và tạo cảnh báo
  • Phần mềm không mong muốn – ứng dụng và phần mềm khác không được coi là độc hại, nhưng nếu không thì vi phạm chính sách hoặc tiêu chuẩn sử dụng được chấp nhận
  • Khác – bất kỳ quyết định nào khác không thuộc các loại được cung cấp

Từ thẻ này, bạn có thể xem thêm thông tin trong Trung tâm bảo mật Microsoft Defender.

Giám sát an ninh và tuân thủ

4.1.7 Hiểu thiết bị nào có nguy cơ

Bảo vệ thiết bị cho thấy mức độ rủi ro cho các thiết bị. Mức độ rủi ro dựa trên các yếu tố như loại và mức độ nghiêm trọng của cảnh báo trên thiết bị.

Giám sát an ninh và tuân thủ

4.2 Theo dõi và báo cáo trạng thái của các thiết bị được quản lý Intune

Các báo cáo sau đây chứa dữ liệu từ các thiết bị được đăng ký trong Intune. Dữ liệu từ các thiết bị không được kiểm soát không được bao gồm. Chỉ quản trị viên toàn cầu mới có thể xem các thẻ này.

Dữ liệu thiết bị đăng ký Intune bao gồm:

  • Tuân thủ thiết bị
  • Thiết bị có phần mềm độc hại hoạt động
  • Các loại phần mềm độc hại trên thiết bị
  • Phần mềm độc hại trên thiết bị
  • Thiết bị phát hiện phần mềm độc hại
  • Người dùng phát hiện phần mềm độc hại

4.2.1 Giám sát tuân thủ thiết bị

Tuân thủ thiết bị cho thấy có bao nhiêu thiết bị được đăng ký vào Intune tuân thủ các chính sách cấu hình.

Giám sát an ninh và tuân thủ

4.2.2 Khám phá các thiết bị có phát hiện phần mềm độc hại

Phát hiện phần mềm độc hại trên thiết bị cung cấp số lượng thiết bị đã đăng ký Intune với phần mềm độc hại chưa được giải quyết hoàn toàn do các hành động đang chờ xử lý. Khởi động lại, quét toàn bộ hoặc hành động thủ công của người dùng hoặc nếu hành động khắc phục không hoàn thành thành công.

Giám sát an ninh và tuân thủ

4.2.3 Hiểu các loại phần mềm độc hại được phát hiện

Các loại phần mềm độc hại trên thiết bị hiển thị các loại phần mềm độc hại khác nhau đã được phát hiện trên các thiết bị được đăng ký trong Intune. Bạn có thể điều tra từng loại trong trung tâm bảo mật Microsoft 365.

Giám sát an ninh và tuân thủ

4.2.4 Hiểu phần mềm độc hại cụ thể được phát hiện trên thiết bị của bạn

Phần mềm độc hại trên thiết bị cung cấp danh sách các phần mềm độc hại cụ thể được phát hiện trên thiết bị của bạn.

Giám sát an ninh và tuân thủ

4.2.5 Hiểu thiết bị nào có nhiều phần mềm độc hại nhất

Các thiết bị có phần mềm phát hiện phần mềm độc hại cho thấy thiết bị nào có phần mềm phát hiện phần mềm độc hại nhất. Trong trung tâm bảo mật Microsoft 365, bạn có thể điều tra xem phần mềm độc hại có hoạt động hay không, ai sử dụng thiết bị và trạng thái quản lý của nó trong Intune.

Giám sát an ninh và tuân thủ

4.2.6 Hiểu người dùng nào có thiết bị có phần mềm độc hại nhất

Người dùng có phần mềm phát hiện phần mềm độc hại cho thấy người dùng có thiết bị có phần mềm phát hiện phần mềm độc hại nhất. Trong trung tâm bảo mật Microsoft 365, bạn có thể xem có bao nhiêu thiết bị được chỉ định cho mỗi người dùng và thêm thông tin về từng thiết bị và loại phần mềm độc hại.

Giám sát an ninh và tuân thủ

4.3 Giám sát và quản lý việc phát hiện và phát hiện quy tắc ASR

Các quy tắc Tấn công Giảm bề mặt (ASR) giúp ngăn chặn các hành động và ứng dụng thường được sử dụng bởi phần mềm độc hại tìm kiếm khai thác để lây nhiễm máy. Các quy tắc này kiểm soát khi nào và làm thế nào thực thi có thể chạy. Ví dụ: bạn có thể ngăn JavaScript hoặc VBScript khởi chạy một tệp thực thi được tải xuống, chặn các lệnh gọi API Win32 từ macro Office hoặc chặn các quy trình chạy từ ổ USB.

Giám sát an ninh và tuân thủ

Thẻ quy tắc giảm bề mặt Tấn công cung cấp tổng quan về việc triển khai các quy tắc trên các thiết bị của bạn. Thanh trên cùng của thẻ hiển thị tổng số thiết bị đang ở các chế độ triển khai sau:

  • Chế độ chặn – thiết bị có ít nhất một quy tắc được định cấu hình để chặn hoạt động được phát hiện
  • Chế độ kiểm toán – các thiết bị không có quy tắc được đặt để chặn hoạt động được phát hiện, nhưng có ít nhất một quy tắc được đặt để kiểm tra hoạt động được phát hiện
  • Tắt – thiết bị có tất cả các quy tắc ASR đã tắt

Phần dưới của thẻ này hiển thị các cài đặt theo quy tắc trên các thiết bị của bạn. Mỗi thanh chỉ ra số lượng thiết bị được đặt để chặn hoặc phát hiện kiểm toán hoặc tắt hoàn toàn quy tắc.

4.3.1 Xem phát hiện ASR

Để xem thông tin chi tiết về phát hiện quy tắc ASR trong mạng của bạn, chọn Xem phát hiện trên thẻ quy tắc giảm bề mặt Tấn công. Tab Phát hiện trong trang báo cáo chi tiết sẽ mở ra.

Giám sát an ninh và tuân thủ

Biểu đồ ở đầu trang cho thấy các phát hiện theo thời gian xếp chồng các phát hiện bị chặn hoặc được kiểm toán. Bảng ở dưới cùng liệt kê các phát hiện gần đây nhất. Sử dụng thông tin sau trên bảng để hiểu bản chất của các phát hiện:

Tệp được phát hiện – tệp, thường là tập lệnh hoặc tài liệu, có nội dung kích hoạt hoạt động tấn công bị nghi ngờ

Quy tắc – tên mô tả các hoạt động tấn công quy tắc được thiết kế để bắt. Đọc về các quy tắc ASR hiện có

Ứng dụng nguồn – ứng dụng đã tải hoặc thực thi nội dung kích hoạt hoạt động tấn công đáng ngờ. Đây có thể là một ứng dụng hợp pháp, chẳng hạn như trình duyệt web, ứng dụng Office hoặc công cụ hệ thống như PowerShell

Nhà xuất bản – nhà cung cấp đã phát hành ứng dụng nguồn

4.3.2 Xem lại cài đặt quy tắc ASR của thiết bị

Trong trang báo cáo quy tắc giảm bề mặt Tấn công, hãy chuyển đến tab Cấu hình để xem lại cài đặt quy tắc cho từng thiết bị. Chọn một thiết bị để nhận thông tin chi tiết về việc mỗi quy tắc ở chế độ khối, chế độ kiểm toán hay tắt hoàn toàn.

Giám sát an ninh và tuân thủ

Microsoft Intune cung cấp chức năng quản lý cho các quy tắc ASR của bạn. Nếu bạn muốn cập nhật cài đặt của mình, hãy chọn Bắt đầu bên dưới Cấu hình thiết bị trong tab để mở quản lý thiết bị trên Intune.

4.3.4 Loại trừ các tệp khỏi quy tắc ASR

Trung tâm bảo mật Microsoft 365 thu thập tên của các tệp bạn có thể muốn loại trừ khỏi các phát hiện bằng các quy tắc giảm bề mặt tấn công. Bằng cách loại trừ các tệp, bạn có thể giảm phát hiện dương tính giả và tự tin hơn triển khai các quy tắc giảm bề mặt tấn công trong chế độ khối.

Các loại trừ được quản lý trên Microsoft Intune, nhưng trung tâm bảo mật Microsoft 365 cung cấp một công cụ phân tích để giúp bạn hiểu các tệp. Để bắt đầu thu thập tệp để loại trừ, hãy chuyển đến tab Thêm loại trừ trong trang báo cáo quy tắc giảm bề mặt Tấn công.

Giám sát an ninh và tuân thủ

Bảng liệt kê tất cả các tên tệp được phát hiện bởi các quy tắc giảm bề mặt tấn công của bạn. Bạn có thể chọn các tệp để xem xét tác động của việc loại trừ chúng:

  • Có bao nhiêu phát hiện ít hơn
  • Có bao nhiêu thiết bị ít hơn báo cáo phát hiện
  • Để có danh sách các tệp đã chọn có đường dẫn đầy đủ để loại trừ, hãy chọn Nhận đường dẫn loại trừ.

Nhật ký cho quy tắc ASR Đánh cắp thông tin xác thực từ hệ thống con cơ quan bảo mật cục bộ Windows (lsass.exe) chụp ứng dụng nguồn lsass.exe, một tệp hệ thống bình thường, làm tệp được phát hiện. Do đó, danh sách các đường dẫn loại trừ được tạo sẽ bao gồm tệp này. Để loại trừ tệp đã kích hoạt quy tắc này thay vì lsass.exe, hãy sử dụng đường dẫn đến ứng dụng nguồn thay vì tệp được phát hiện.

Để định vị ứng dụng nguồn, hãy chạy truy vấn săn nâng cao sau đây cho quy tắc cụ thể này (được xác định bởi quy tắc ID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2):

| where EventTime > ago(7d)

| where ActionType startswith “Asr”

| where AdditionalFields contains “9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2”

| project InitiatingProcessFolderPath, InitiatingProcessFileName

4.3.5 Kiểm tra các tệp để loại trừ

Trước khi loại trừ tệp khỏi ASR, chúng tôi khuyên bạn nên kiểm tra tệp để xác định xem nó có thực sự không độc hại hay không.

Để xem lại tệp, sử dụng trang thông tin tệp trên Trung tâm bảo mật Microsoft Defender. Trang này cung cấp thông tin phổ biến cũng như tỷ lệ phát hiện chống vi-rút VirusTotal. Bạn cũng có thể sử dụng trang để gửi tệp để phân tích sâu.

Để định vị tệp được phát hiện trong Trung tâm bảo mật Microsoft Defender, hãy tìm kiếm tất cả các phát hiện ASR bằng truy vấn săn nâng cao sau đây:

| where EventTime > ago(7d)

| where ActionType startswith “Asr”

| project FolderPath, FileName, SHA1, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessSHA1

Sử dụng SHA1 hoặc InitiatingProcessSHA1 trong kết quả để tìm kiếm tệp bằng thanh tìm kiếm chung trong Trung tâm bảo mật Microsoft Defender.

5. Giám sát và báo cáo ứng dụng trong trung tâm bảo mật Microsoft 365

Các báo cáo này cung cấp cái nhìn sâu sắc hơn về cách các ứng dụng đám mây đang được sử dụng trong tổ chức của bạn, bao gồm loại ứng dụng nào, mức độ rủi ro và cảnh báo của chúng.

5.1 Giám sát tài khoản email có nguy cơ

Bảo vệ email cho thấy các tài khoản email có nguy cơ. Bạn có thể nhấp vào tài khoản để điều tra thêm trong Trung tâm bảo mật Microsoft Defender.

Giám sát an ninh và tuân thủ

 

5.2 Giám sát quyền ứng dụng do người dùng cấp

Cloud App Security – Ứng dụng OAuth liệt kê các ứng dụng được phát hiện bởi Cloud App Security đã được người dùng cấp quyền. Danh mục rủi ro của Cloud App Security bao gồm hơn 16.000 ứng dụng được đánh giá bằng hơn 70 yếu tố rủi ro.

Các yếu tố rủi ro bắt đầu từ thông tin chung, chẳng hạn như nhà xuất bản ứng dụng, đến các biện pháp và kiểm soát bảo mật, chẳng hạn như liệu ứng dụng có hỗ trợ mã hóa khi nghỉ ngơi hay cung cấp nhật ký kiểm toán hoạt động của người dùng hay không.

Giám sát an ninh và tuân thủ

5.3 Giám sát tài khoản người dùng ứng dụng đám mây

Tài khoản ứng dụng đám mây để xem xét danh sách các tài khoản có thể cần chú ý.

Giám sát an ninh và tuân thủ

5.4 Hiểu ứng dụng đám mây nào được sử dụng

Các ứng dụng (danh mục) được khám phá cho thấy loại ứng dụng nào đang được sử dụng trong tổ chức của bạn và liên kết đến bảng điều khiển Cloud Discovery trong Cloud App Security.

Image No.23

5.5 Giám sát nơi người dùng truy cập ứng dụng đám mây

Vị trí hoạt động của ứng dụng đám mây cho thấy nơi người dùng đang truy cập ứng dụng đám mây.

Giám sát an ninh và tuân thủ

Theo dõi sức khỏe cho khối lượng công việc cơ sở hạ tầng

Sức khỏe cơ sở hạ tầng hiển thị cảnh báo trạng thái sức khỏe cho khối lượng công việc cơ sở hạ tầng trong Trung tâm bảo mật Azure.

Azure Security Center cung cấp quản lý bảo mật thống nhất và bảo vệ mối đe dọa tiên tiến trên toàn bộ khối lượng công việc tại chỗ và đám mây. Bạn có thể thu thập, tìm kiếm và phân tích dữ liệu bảo mật từ nhiều nguồn khác nhau, bao gồm tường lửa và các giải pháp đối tác khác.

Giám sát an ninh và tuân thủ

Bài viết thuộc về: Office365vietnam.info

Ý kiến của bạn:

This site uses Akismet to reduce spam. Learn how your comment data is processed.