Kurz: Zkoumání rizikových uživatelů
Týmy pro provoz zabezpečení jsou vyzvány k monitorování aktivity uživatelů, podezřelého nebo jiného rozsahu, a to ve všech dimenzích útoku identit pomocí několika řešení zabezpečení, která se často nepřipojí. Zatímco řada společností má nyní týmy proaktivního vyhledávání, které aktivně identifikují hrozby ve svých prostředích, může být obtížné vědět, co hledat v obrovském množství dat. Microsoft Defender for Cloud Apps eliminuje potřebu vytvářet složitá pravidla korelace a umožňuje hledat útoky, které se budou nakládat napříč cloudovou a místní sítí.
Microsoft Defender for Cloud Apps vám pomůže zaměřit se na identitu uživatele, která poskytuje analýzu chování entit uživatelů (UEBA) v cloudu. UEBA je možné rozšířit do místního prostředí integrací s Microsoft Defenderem for Identity, po které také získáte kontext týkající se identity uživatele z nativní integrace se službou Active Directory.
Ať už je trigger výstrahou, kterou vidíte na řídicím panelu Defender for Cloud Apps, nebo jestli máte informace ze služby zabezpečení třetí strany, spusťte šetření z řídicího panelu Defender for Cloud Apps, abyste se podrobně podívali na rizikové uživatele.
V tomto kurzu se naučíte používat Defender for Cloud Apps ke zkoumání rizikových uživatelů:
Vysvětlení skóre priority šetření
Skóre priority šetření je skóre, které Defender for Cloud Apps dává každému uživateli, abyste věděli, jak je rizikový uživatel vzhledem k ostatním uživatelům ve vaší organizaci. Pomocí skóre priority šetření určete, kteří uživatelé se mají nejprve prošetřit, zjistit jak škodlivé účastníky programu Insider, tak externí útočníci, kteří se v organizacích pohybují později, aniž by museli spoléhat na standardní deterministické detekce.
Každý uživatel Microsoft Entra má skóre priority dynamického šetření, které se neustále aktualizuje na základě nedávného chování a dopadu vytvořeného z dat vyhodnocovaných z Defenderu for Identity a Defenderu pro Cloud Apps.
Defender for Cloud Apps vytváří profily uživatelů pro každého uživatele na základě analýz, které v průběhu času berou v úvahu výstrahy zabezpečení a neobvyklé aktivity, partnerské skupiny, očekávané aktivity uživatelů a vliv všech konkrétních uživatelů na obchodní nebo firemní prostředky.
Aktivita, která je neobvyklá pro směrný plán uživatele, se vyhodnotí a vyhodnotí a vyhodnotí. Po dokončení vyhodnocování se proprietární dynamické výpočty partnerského vztahu Microsoftu a strojové učení spouští na aktivitách uživatelů, aby vypočítaly prioritu šetření pro každého uživatele.
Seznamte se s tím, kdo jsou skutečně nejrizičí uživatelé okamžitě, filtrováním podle skóre priority šetření, přímým ověřením obchodního dopadu jednotlivých uživatelů a prošetřením všech souvisejících aktivit – ať už jsou ohroženi, exfiltrují data nebo fungují jako vnitřní hrozby.
Defender for Cloud Apps používá k měření rizika následující:
Vyhodnocování výstrahy: Skóre výstrahy představuje potenciální dopad konkrétní výstrahy na každého uživatele. Vyhodnocování výstrah je založené na závažnosti, dopadu na uživatele, oblíbenosti výstrah mezi uživateli a na všech entitách v organizaci.
Bodování aktivity: Skóre aktivity určuje pravděpodobnost konkrétního uživatele provádějícího konkrétní aktivitu na základě chování uživatele a jejich partnerských vztahů. Aktivity identifikované jako nejnormální obdrží nejvyšší skóre.
Výběrem skóre priority šetření pro výstrahu nebo aktivitu zobrazíte důkazy, které vysvětlují, jak Defender for Cloud Apps aktivitu vyhodnotil.
Poznámka:
Do srpna 2024 postupně vyřazujeme upozornění na zvýšení skóre priority šetření z Programu Microsoft Defender for Cloud Apps. Skóre priority šetření a postup popsaný v tomto článku nejsou touto změnou ovlivněny.
Další informace najdete v tématu Časové osy vyřazení skóre priority šetření.
Fáze 1: Připojení k aplikacím, které chcete chránit
Připojte aspoň jednu aplikaci k Microsoft Defenderu for Cloud Apps pomocí konektorů rozhraní API. Doporučujeme začít propojením Microsoftu 365.
Aplikace Microsoft Entra ID se automaticky nasadí pro řízení podmíněného přístupu k aplikacím.
Fáze 2: Identifikace nejčastějších rizikových uživatelů
Pokud chcete zjistit, kdo jsou vaši nejrizivější uživatelé v Defenderu for Cloud Apps:
Na portálu Microsoft Defender v části Prostředky vyberte Identity. Seřaďte tabulku podle priority šetření. Pak jeden po druhém přejděte na stránku uživatele a prozkoumejte je.
Číslo priority šetření, které se nachází vedle uživatelského jména, je součet všech rizikových aktivit uživatele za poslední týden.
Vyberte tři tečky napravo od uživatele a zvolte Zobrazit stránku Uživatele.
Projděte si informace na stránce s podrobnostmi o uživateli, abyste získali přehled o uživateli a zjistili, jestli existují body, ve kterých uživatel prováděl aktivity, které byly pro daného uživatele neobvyklé nebo byly provedeny v neobvyklé době.
Skóre uživatele v porovnání s organizací představuje, ve kterém percentilu se uživatel nachází na základě jejich hodnocení ve vaší organizaci – jak vysoká je na seznamu uživatelů, které byste měli prozkoumat vzhledem k ostatním uživatelům ve vaší organizaci. Číslo je červené, pokud je uživatel v 90. percentilu rizikových uživatelů ve vaší organizaci nebo vyšší.
Stránka s podrobnostmi o uživateli vám pomůže zodpovědět následující otázky:
| Otázka | Detaily |
|---|---|
| Kdo je uživatel? | Vyhledejte základní podrobnosti o uživateli a o tom, co o něm systém zná, včetně role uživatele ve vaší společnosti a jeho oddělení. Je uživatel například technik DevOps, který často provádí neobvyklé aktivity jako součást své práce? Nebo je uživatel nespokojeným zaměstnancem, který se právě dostal za povýšení? |
| Je uživatel rizikový? | Jaké je skóre rizika zaměstnance a stojí za to, když je prošetřujete? |
| Jaké riziko představuje uživatel ve vaší organizaci? | Posuňte se dolů a prozkoumejte jednotlivé aktivity a výstrahy související s uživatelem, abyste mohli začít rozumět typu rizika, které uživatel představuje. Na časové ose vyberte každý řádek, abyste mohli přejít k podrobnostem hlouběji do aktivity nebo samotné výstrahy. Vyberte číslo vedle aktivity, abyste pochopili důkazy, které ovlivnily samotné skóre. |
| Jaké je riziko pro ostatní prostředky ve vaší organizaci? | Pokud chcete zjistit, které cesty útočník může použít k získání kontroly nad jinými prostředky ve vaší organizaci, vyberte kartu Lateral movement paths( Lateral Movement Paths). I když má například uživatel, který zkoumáte, nesmyslný účet, může útočník pomocí připojení k účtu zjistit citlivé účty a pokusit se o ohrožení citlivých účtů ve vaší síti. Další informace naleznete v tématu Použití laterálních cest pohybu. |
Poznámka:
Zatímco stránky s podrobnostmi o uživateli poskytují informace o zařízeních, prostředcích a účtech napříč všemi aktivitami, skóre priority šetření zahrnuje součet všech rizikových aktivit a výstrah za posledních 7 dnů.
Resetování skóre uživatele
Pokud byl uživatel vyšetřen a nebyl nalezen žádný podezření na ohrožení, nebo pokud chcete resetovat skóre priority šetření uživatele z jakéhokoli jiného důvodu, takže ručně postupujte takto:
Na portálu Microsoft Defender v části Prostředky vyberte Identity.
Vyberte tři tečky napravo od vyšetřovaného uživatele a pak vyberte Resetovat skóre priority šetření. Můžete také vybrat Zobrazit stránku uživatele a pak vybrat Resetovat skóre priority šetření ze tří bodů na stránce s podrobnostmi o uživateli.
Poznámka:
Resetovat je možné pouze uživatele, kteří mají nenulové skóre priority šetření.
V potvrzovací okně vyberte Resetovat skóre.
Fáze 3: Další šetření uživatelů
Některé aktivity nemusí být samy o sobě příčinou poplachu, ale mohou být indikací podezřelé události při agregaci s jinými aktivitami.
Při prošetření uživatele chcete položit následující otázky týkající se aktivit a upozornění, které vidíte:
Existuje obchodní odůvodnění, proč by tento zaměstnanec mohl tyto aktivity provádět? Pokud například někdo z marketingu přistupuje k základu kódu nebo někdo z vývoje přistupuje k finanční databázi, měli byste postupovat s zaměstnancem a ujistit se, že se jedná o úmyslnou a odůvodněnou aktivitu.
Proč tato aktivita obdržela vysoké skóre, zatímco ostatní ne? Přejděte do protokolu aktivit a nastavte prioritušetření na Hodnotu Is set, abyste pochopili, které aktivity jsou podezřelé.
Můžete například filtrovat podle priority šetření pro všechny aktivity, ke kterým došlo v konkrétní geografické oblasti. Pak můžete zjistit, jestli byly rizikové další aktivity, ze kterých se uživatel připojil, a můžete snadno přejít k dalším podrobnostem, jako jsou nedávné neanomalické cloudové a místní aktivity, a pokračovat v šetření.
Fáze 4: Ochrana organizace
Pokud vás šetření povede k závěru, že je uživatel ohrožen, pomocí následujících kroků zmírněte riziko.
Obraťte se na uživatele – Pomocí kontaktních informací uživatele integrovaných s Defenderem pro Cloud Apps ze služby Active Directory můžete přejít k podrobnostem o jednotlivých výstrahách a aktivitách a vyřešit identitu uživatele. Ujistěte se, že je uživatel obeznámen s aktivitami.
Přímo na portálu Microsoft Defender na stránce Identities vyberte tři tečky od vyšetřovaného uživatele a zvolte, jestli se má uživatel znovu přihlásit, pozastavit ho nebo potvrdit, že je ohrožen.
V případě ohrožené identity můžete uživatele požádat o resetování hesla a zajistit, aby heslo splňovalo osvědčené postupy pro délku a složitost.
Pokud přejdete k podrobnostem výstrahy a zjistíte, že by aktivita neměla aktivovat upozornění, vyberte v zásuvce aktivity odkaz Poslat nám zpětnou vazbu, abychom měli jistotu, že náš systém upozornění vyladíme s ohledem na vaši organizaci.
Jakmile problém opravíte, zavřete výstrahu.
Viz také
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro