Kurz: Zkoumání incidentů pomocí dat UEBA

Tento článek popisuje běžné metody a ukázkové postupy pro používání analýzy chování entit uživatelů (UEBA) v běžných pracovních postupech šetření.

Důležité

Funkce uvedené v tomto článku jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Požadavky

Před použitím dat UEBA ve vyšetřování musíte v Microsoft Sentinelu povolit analýzu chování uživatelů a entit (UEBA).

Asi týden po povolení UEBA začněte hledat strojově generované přehledy.

Vyhledání a zkoumání anomálií uživatelů na portálu Defender (Preview)

Na portálu Defender značka Anomálie UEBA identifikuje uživatele s anomáliemi, což usnadňuje stanovení priorit vyšetřování.

Sekce Nejvýraznější anomálie UEBA, zobrazená na bočním panelu uživatele a na záložce Přehled na stránce entity uživatele, zobrazuje tři nejvýraznější anomálie uživatele za posledních 30 dnů. Vyberte odkazy v dolní části tohoto oddílu, abyste mohli vyhledat všechny anomálie uživatele a zobrazit časovou osu událostí služby Sentinel.

Zkoumání uživatelských anomálií z incidentu

Pokud chcete prošetřit uživatele v incidentu, vyberte v grafu incidentu Go Hunt všechny uživatelské anomálie >, aby se načetly všechny anomálie související s uživatelem za posledních 30 dnů.

Další informace najdete v tématu Vyšetřování incidentů na portálu Microsoft Defenderu a na stránce entity Uživatele v programu Microsoft Defender.

Spouštění proaktivních rutinních vyhledávání dat entit

Doporučujeme spouštět pravidelné proaktivní vyhledávání na základě aktivity uživatelů a vytvářet příležitosti pro další analýzu.

Pomocí řešení Microsoft Sentinel UEBA Essentials můžete dotazovat data pro různé přehledy, například:

• Nejrizičí uživatelé s anomáliemi nebo připojenými incidenty
• Data o konkrétních uživatelích, abyste zjistili, jestli byl uživatel skutečně ohrožen nebo jestli existuje vnitřní hrozba na základě akcí, které se odchylují od profilu uživatele.

Zachyťte v sešitu UEBA jiné než rutinní akce a použijte je k vyhledání neobvyklých aktivit a potenciálně nevyhovujících postupů.

Prozkoumání neobvyklého přihlášení

Například následující kroky popisují vyšetřování uživatele, který se připojil k síti VPN, kterou nikdy předtím nepoužil, což představuje anomální aktivitu.

1. V oblasti Sešitů služby Sentinel vyhledejte a otevřete sešit Analýzy chování uživatelů a entit.

2. Vyhledejte konkrétní uživatelské jméno k prozkoumání a zvolte jeho jméno v tabulce Nejlepší uživatelé k prozkoumání.

3. Projděte si tabulky Rozpisu incidentů a anomálií a zobrazte si incidenty a anomálie přidružené k vybranému uživateli.

4. Při vyšetřování anomálie, například anomálie s názvem Anomalous Successful Logon, zkontrolujte podrobnosti uvedené v tabulce k prozkoumání. Příklad:

   Krok	Popis
   Všimněte si popisu vpravo.	Každá anomálie má popis s odkazem na další informace v znalostní báze MITRE ATT&CK. Příklad: Počáteční přístup Nežádoucí osoba se pokouší dostat do vaší sítě. Počáteční přístup se skládá z technik, které využívají různé vstupní vektory k získání počátečního opěrného bodu v síti. Mezi techniky používané k získání opory patří cílený spear phishing a zneužití slabin na veřejných webových serverech. Zápatí získaná prostřednictvím počátečního přístupu můžou umožňovat trvalý přístup, jako jsou platné účty a používání externích vzdálených služeb, nebo mohou být omezené kvůli změně hesel.
   Všimněte si textu ve sloupci Popis.	V řádku anomálií se posuňte doprava, abyste zobrazili další popis. Výběrem odkazu zobrazíte celý text. Příklad: Nežádoucí uživatelé mohou zcizit přihlašovací údaje konkrétního uživatele nebo účtu služby pomocí technik přístupu k přihlašovacím údajům nebo zaznamenat přihlašovací údaje dříve v procesu rekognoskace prostřednictvím sociálního inženýrství pro získání počátečního přístupu. APT33 například pro počáteční přístup použil platné účty. Následující dotaz vygeneruje výstup úspěšného přihlášení uživatele z nové geografické lokality, z které se ještě nikdy nepřipojil, a ani žádný z jeho kolegů.
   Poznamenej si data UsersInsights.	Posuňte se dále doprava na řádku anomálií, abyste zobrazili data přehledu uživatelů, jako je zobrazovaný název účtu a ID objektu účtu. Výběrem textu zobrazíte úplná data na pravé straně.
   Poznamenejte si data důkazů.	Posuňte se dále doprava na řádku anomálií a prohlédněte si data důkazů pro anomálii. Vyberte textové zobrazení úplných dat na pravé straně, například následující pole: - ActionUncommonlyPerformedByUser - Neobvykle vysoký objem akcí - Uživatel připojen poprvé ze země - CountryUncommonlyConnectedFromAmongPeers - PřipojeníPrvníhoUživatelePřesPoskytovateleInternetu - ISP Neobvykle Používané Mezi Kolegama - CountryUncommonlyConnectedFromInTenant - ISPUncommonlyUsedInTenant

Pomocí dat nalezených v sešitu Analýza chování uživatelů a entit určete, jestli je aktivita uživatele podezřelá a vyžaduje další akci.

Použití dat UEBA k analýze falešně pozitivních výsledků

Někdy je incident zachycený ve vyšetřování falešně pozitivní.

Běžným příkladem falešně pozitivního výsledku je detekce nemožné cestovní aktivity, například uživatel, který se přihlásil k aplikaci nebo portálu z New Yorku i Londýna během jedné hodiny. I když Microsoft Sentinel zaznamenává nemožné cestování jako anomálii, šetření s uživatelem může objasnit, že byla použita síť VPN s alternativním umístěním oproti tomu, kde se uživatel skutečně nacházel.

Analýza falešně pozitivních výsledků

Například u incidentu nemožné cesty po potvrzení uživatele, že se použila síť VPN, přejděte z incidentu na stránku entity uživatele. Pomocí zobrazených dat určete, jestli jsou zachycená umístění zahrnutá do běžně známých umístění uživatele.

Příklad:

Stránka entity uživatele je také propojená na stránku incidentu a na graf šetření.

Návod

Po potvrzení dat na stránce entity uživatele pro konkrétního uživatele přidruženého k incidentu přejděte do oblasti Vyhledávání služby Microsoft Sentinel a zjistěte, jestli se kolegové uživatele obvykle připojují ze stejných umístění. Pokud ano, tyto znalosti by ještě více podpořily argument pro falešný pozitiv.

V oblasti proaktivního vyhledávání spusťte dotaz pro přihlášení k neobvyklé geografické poloze. Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.

Vložení dat IdentityInfo do analytických pravidel (Public Preview)

Protože útočníci často používají vlastní účty uživatelů a služeb organizace, jsou data o těchto uživatelských účtech, včetně identifikace a oprávnění uživatele, zásadní pro analytiky v procesu šetření.

Vložte data z tabulky IdentityInfo a dolaďte svá analytická pravidla tak, aby vyhovovala vašim případům použití, snížila počet falešně pozitivních výsledků a urychlila proces šetření.

Příklad:

• Korelace událostí zabezpečení s tabulkou IdentityInfo v upozornění, které se aktivuje, pokud k serveru přistupuje někdo mimo IT oddělení:

  SecurityEvent
  | where EventID in ("4624","4672")
  | where Computer == "My.High.Value.Asset"
  | join kind=inner  (
      IdentityInfo
      | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID
  | where Department != "IT"
  

• Korelace protokolů přihlašování Microsoft Entra s tabulkou IdentityInfo v upozornění, které se aktivuje, pokud k aplikaci přistupuje někdo, kdo není členem konkrétní skupiny zabezpečení:

  SigninLogs
  | where AppDisplayName == "GitHub.Com"
  | join kind=inner  (
      IdentityInfo
      | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId
  | where GroupMembership !contains "Developers"
  

Tabulka IdentityInfo se synchronizuje s pracovním prostorem Microsoft Entra a vytvoří snímek dat profilu uživatele, jako jsou metadata uživatelů, informace o skupině a role Microsoft Entra přiřazené jednotlivým uživatelům. Další informace naleznete v tabulce IdentityInfo v referenčních informacích o rozšířeních UEBA.

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci Kusto:

• where – operátor
• operátor join
• Operátor shrnutí
• render – operátor
• operátor Sort
• iff() funkce
• ago() funkce
• now() funkce
• bin() funkce
• startofday() – funkce
• agregační funkce count()
• agregační funkce sum()

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací:

• Stručná referenční příručka ke KQL
• Výukové materiály pro Kusto Query Language

Identifikace útoků pomocí plošného rozesílání hesel a cíleného spear phishingu

Pokud není povoleno vícefaktorové ověřování (MFA), jsou přihlašovací údaje uživatelů zranitelné vůči útočníkům, kteří se snaží prolomit zabezpečení pomocí útoků typu stříkání hesel nebo cílených spear phishing pokusů.

Prozkoumání incidentu služby Password Spray pomocí přehledů UEBA

Pokud chcete například prošetřit incident typu password spray pomocí přehledů UEBA, můžete postupovat následujícími kroky:

1. V incidentu v levém dolním rohu vyberte Prozkoumat a zobrazte účty, počítače a další datové body, které by mohly být cílem útoku.

   Při procházení dat se může zobrazit účet správce s relativně velkým počtem neúspěšných přihlášení. I když je to podezřelé, nemusíte chtít účet omezit bez dalšího potvrzení.

2. Vyberte entitu uživatele pro správu na mapě a pak na pravé straně vyberte Přehledy , abyste našli další podrobnosti, například graf přihlášení v průběhu času.

3. Vpravo vyberte Informace a pak výběrem možnosti Zobrazit úplné podrobnosti přejděte na stránku entity uživatele a přejděte k dalším podrobnostem.

   Všimněte si například, zda se jedná o první incident s pokusem o rozstřik hesla, nebo sledujte historii přihlášení uživatele, abyste pochopili, zda byla selhání neobvyklá.

Návod

Můžete také spustit dotaz pro vyhledávání anomálního neúspěšného přihlášení, který monitoruje všechna anomální selhaná přihlášení v organizaci. Výsledky z dotazu použijte k zahájení vyšetřování možných útoků formou postřiku hesel.

Detonace adres URL (Veřejná ukázka)

Pokud v protokolech přijatých do Služby Microsoft Sentinel existují adresy URL, tyto adresy URL se automaticky detonují, aby se urychlil proces třídění.

Graf šetření obsahuje uzel pro detonovanou adresu URL a také následující podrobnosti:

• DetonationVerdict. Základní logická determinace z detonace. Například Špatný znamená, že stránka byla klasifikována jako hostující malware nebo phishingový obsah.
• DetonationFinalURL. Poslední pozorovaná adresa URL cílové stránky po všech přesměrováních z původní adresy URL.

Příklad:

Návod

Pokud v protokolech nevidíte adresy URL, zkontrolujte, jestli je protokolování adres URL, označované také jako protokolování hrozeb, povolené pro vaše zabezpečené webové brány, webové proxy servery, brány firewall nebo starší verze IDS/IPS.

Můžete také vytvořit vlastní protokoly pro kanál konkrétních adres URL, které vás zajímají, do Microsoft Sentinelu pro účely dalšího šetření.

Další kroky

Další informace o UEBA, vyšetřováních a hledání:

• Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu
• Referenční informace k jazyku UEBA pro Microsoft Sentinel
• Kurz: Vyšetřování incidentů pomocí Služby Microsoft Sentinel
• Vyhledávání hrozeb pomocí Služby Microsoft Sentinel