We’re making some changes to the default Microsoft Defender for Cloud Apps threat protection policies. 

[When this will happen:]

Beginning May 28, 2023, policies that are generating “behaviors” in Microsoft 365 Defender advanced hunting will be disabled from generating alerts. The policies will continue generating “behaviors” regardless of being enabled or disabled in the tenant’s configuration.

[How this will affect your organization:]

The following policies will be disabled by default:

• Impossible travel activity
• Activity from infrequent country
• Mass delete
• Multiple failed login attempts
• Mass download
• Suspicious administrative activity
• Suspicious Power BI report sharing
• Mass share
• Suspicious OAuth app file download activities
• Multiple Power BI report sharing activities
• Suspicious impersonated activity
• Multiple delete VM activities
• Multiple VM creation activities
• Unusual addition of credentials to an OAuth app

The disablement of the policies is happening because they are now sent as “behaviors”, a new data type that represent them better than alerts. Now that Microsoft Defender for Cloud Apps is a part of Microsoft 365 Defender XDR, those signals can be enriched and correlated with other signals and trigger alerts when the correlation indicates threats with higher confidence. You will still have ways to create alerts that apply to the policies logic, by re-enabling the policies manually, or by creating Microsoft 365 Defender advanced hunting custom detection on the relevant behaviors.

With the transition to “behaviors” we also introduce more security-scenarios focused detections that will be available in Microsoft 365 Defender, that will cover high confidence scenarios out of the scenarios that were covered by some of the detections, together with new detections that will cover more scenarios such as suspicious activities done by risky users, crypto-mining patterns and business email compromise (BEC) attacks, and provide the next level of cloud applications out of-the-box-threat protection.

Behaviors will also generate alerts and correlate to relevant incidents in Microsoft 365 Defender if there is a relevant trigger, such as an alert generated on a same user in a short period of time.

More information about “behaviors”, including how to query and create custom detections out of them can be found in this documentation.

In later phases in the future Microsoft Defender for Cloud Apps is also expected to shift from policy-based out-of-the-box threat detections to a cloud-managed detections model that will provide higher agility and ability to respond faster and more accurate to evolving threats.

Note: Re-enabling the policies will be relevant only as long as policies exist, as a transition phase before full cloud-managed threat detection model that is expected to be implemented in the future, with no concrete date at the moment (prior notification will be sent before the change happens).

[What you need to do to prepare:]

When this change takes effect, you will need to re-evaluate the out-of-the-box policies above and understand how you want to consume them. Our recommendation would be to keep them disabled and create custom detections or re-enable policies after May 29, 2023, only if you have specific detections that are relevant to your tenant to be consumed as alerts and not as behaviors.

For more information, please visit this documentation.

既定のクラウド アプリ用 Microsoft Defender 脅威保護ポリシーにいくつかの変更を加えています。 

[これが起こるとき:]

2023 年 5 月 28 日以降、Microsoft 365 Defender の高度な捜索で “動作” を生成しているポリシーは、アラートの生成から無効になります。ポリシーは、テナントの構成で有効または無効になっているかどうかに関係なく、引き続き “動作” を生成します。

[これが組織に与える影響:]

次のポリシーは既定で無効になります。

• 不可能な旅行活動
• 頻度の低い国からの活動
• 一括削除
• 複数のログイン試行の失敗
• 一括ダウンロード
• 疑わしい管理アクティビティ
• 不審な Power BI レポートの共有
• マスシェア
• 不審な OAuth アプリ ファイルのダウンロード アクティビティ
• 複数の Power BI レポート共有アクティビティ
• 不審ななりすましアクティビティ
• 複数の VM 削除アクティビティ
• 複数の VM 作成アクティビティ
• OAuth アプリへの資格情報の異常な追加

ポリシーの無効化は、ポリシーがアラートよりも優れたデータ型である「動作」として送信されるようになったために発生しています。Microsoft Defender for Cloud Apps が Microsoft 365 Defender XDR の一部になったため、これらのシグナルをエンリッチして他のシグナルと関連付け、相関関係が脅威の信頼性が高い場合にアラートをトリガーできます。ポリシーを手動で再度有効にするか、関連する動作に対してMicrosoft 365 Defender 高度なハンティングカスタム検出を作成することで、ポリシーロジックに適用されるアラートを作成する方法は引き続きあります。

“動作” への移行に伴い、Microsoft 365 Defender で使用できるセキュリティ シナリオに重点を置いた検出も導入され、一部の検出でカバーされたシナリオのうち、信頼度の高いシナリオをカバーし、危険なユーザーによって行われた疑わしいアクティビティ、暗号マイニング パターン、ビジネス メール侵害 (BEC) 攻撃など、より多くのシナリオをカバーする新しい検出も導入します。 また、すぐに使用できる次のレベルのクラウド アプリケーションを提供します。

動作はアラートも生成し、短期間に同じユーザーに対して生成されたアラートなど、関連するトリガーがある場合は、Microsoft 365 Defender の関連するインシデントに関連付けられます。

「動作」のクエリやカスタム検出の作成方法など、”動作” の詳細については、 このドキュメントを参照してください。

将来の後のフェーズでは、Microsoft Defender for Cloud Apps は、ポリシー ベースのすぐに使用できる脅威検出から、進化する脅威に迅速かつ正確に対応するためのより高い俊敏性と機能を提供するクラウド管理の検出モデルに移行することも期待されています。

手記： ポリシーの再有効化は、ポリシーが存在する限り、将来実装される予定の完全なクラウド管理の脅威検出モデルの前の移行フェーズとしてのみ関連し、現時点では具体的な日付はありません (変更が発生する前に事前通知が送信されます)。

[準備するために必要なこと:]

この変更が有効になったら、上記のすぐに使用できるポリシーを再評価し、それらをどのように使用するかを理解する必要があります。2023 年 5 月 29 日以降は、動作としてではなくアラートとして消費されるテナントに関連する特定の検出がある場合にのみ、それらを無効にしてカスタム検出を作成するか、ポリシーを再度有効にすることをお勧めします。

詳細については、 このドキュメントを参照してください。