Kurz: Zkoumání rizikových uživatelů
Týmy pro operace zabezpečení mají za úkol monitorovat aktivitu uživatelů, podezřelou nebo jinou, napříč všemi dimenzemi prostoru pro útoky na identitu, a to pomocí několika řešení zabezpečení, která často nejsou propojená. I když má teď mnoho společností týmy proaktivního vyhledávání, které ve svých prostředích aktivně identifikují hrozby, může být obtížné vědět, co hledat v obrovském množství dat. Microsoft Defender for Cloud Apps eliminuje nutnost vytvářet složitá pravidla korelace a umožňuje hledat útoky, které se zasahují do vaší cloudové i místní sítě.
Abyste se mohli soustředit na identitu uživatelů, Microsoft Defender for Cloud Apps poskytuje analýzu chování entit uživatelů (UEBA) v cloudu. UEBA je možné rozšířit do místního prostředí integrací s Microsoft Defender for Identity, po které také získáte kontext týkající se identity uživatele z jeho nativní integrace se službou Active Directory.
Ať už je triggerem výstraha, kterou vidíte na řídicím panelu Defender for Cloud Apps, nebo jestli máte informace od bezpečnostní služby třetí strany, začněte šetřením z řídicího panelu Defender for Cloud Apps a podrobně se seznamte s rizikovými uživateli.
V tomto kurzu se naučíte používat Defender for Cloud Apps k vyšetřování rizikových uživatelů:
Skóre priority šetření je skóre, které Defender for Cloud Apps dává každému uživateli, aby vám v porovnání s ostatními uživateli ve vaší organizaci dali vědět, jak je daný uživatel rizikový. Pomocí skóre priority šetření můžete určit, kteří uživatelé se mají prošetřit jako první, a zjistit jak škodlivé účastníky programu Insider, tak externí útočníky pohybující se laterálně ve vaší organizaci, aniž byste museli spoléhat na standardní deterministické detekce.
Každý uživatel Microsoft Entra má dynamické skóre priority šetření, které se neustále aktualizuje na základě nedávného chování a dopadu vytvořeného na základě dat vyhodnocených z Defenderu for Identity a Defender for Cloud Apps.
Defender for Cloud Apps sestavuje profily uživatelů pro každého uživatele na základě analýz, které berou v úvahu výstrahy zabezpečení a neobvyklé aktivity v průběhu času, skupiny partnerů, očekávané aktivity uživatelů a vliv konkrétního uživatele na firemní nebo firemní prostředky.
Aktivita, která je neobvyklá oproti standardním hodnotám uživatele, se vyhodnotí a vyhodnotí. Po dokončení bodování se pro aktivity uživatelů spustí proprietární dynamické výpočty a strojové učení microsoftu, aby se vypočítala priorita šetření pro každého uživatele.
Seznamte se s tím, kdo jsou skuteční nejvíce rizikoví uživatelé, a to filtrováním podle skóre priority šetření, přímým ověřením obchodního dopadu jednotlivých uživatelů a prošetřením všech souvisejících aktivit – ať už jsou ohroženi, exfiltrují data nebo se chovají jako insiderské hrozby.
Defender for Cloud Apps používá k měření rizika následující:
Vyhodnocování výstrah: Skóre výstrahy představuje potenciální dopad konkrétní výstrahy na každého uživatele. Vyhodnocování výstrah je založené na závažnosti, dopadu na uživatele, oblíbenosti výstrah mezi uživateli a všech entitách v organizaci.
Bodování aktivit: Skóre aktivity určuje pravděpodobnost konkrétního uživatele, který provede určitou aktivitu, na základě učení uživatele a jeho vrstevníků. Aktivity identifikované jako nejvíce neobvyklé získají nejvyšší skóre.
Vyberte skóre priority vyšetřování pro výstrahu nebo aktivitu a zobrazte důkazy, které vysvětlují, jak Defender for Cloud Apps aktivitu ohodnocené.
Poznámka
Upozornění na zvýšení priority vyšetřování z Microsoft Defender for Cloud Apps postupně vyřazujeme do srpna 2024. Tato změna nemá vliv na skóre priority šetření ani na postup popsaný v tomto článku.
Další informace najdete v tématu Časová osa vyřazení zvýšení skóre priority šetření.
Připojte aspoň jednu aplikaci k Microsoft Defender for Cloud Apps pomocí konektorů rozhraní API. Doporučujeme začít připojením Microsoftu 365.
Microsoft Entra ID aplikace se automaticky onboardují pro řízení podmíněného přístupu aplikací.
Pokud chcete zjistit, v Defender for Cloud Apps jsou nejrizivější uživatelé:
Na portálu Microsoft Defender v části Prostředky vyberte Identity. Seřaďte tabulku podle priority šetření. Potom jeden po druhém přejdete na stránku uživatele a prošetříte je.
Číslo priority šetření, které se nachází vedle uživatelského jména, je součet všech rizikových aktivit uživatele za poslední týden.Vyberte tři tečky napravo od uživatele a zvolte Zobrazit stránku uživatele.
Projděte si informace na stránce s podrobnostmi o uživateli, abyste získali přehled o uživateli a zjistili, jestli v nějakých bodech uživatel prováděl aktivity, které byly pro daného uživatele neobvyklé nebo byly provedeny v neobvyklé době.
Skóre uživatele v porovnání s organizací představuje, ve kterém percentilu se uživatel nachází, na základě jeho hodnocení ve vaší organizaci – jak vysoký je v seznamu uživatelů, které byste měli prozkoumat, vzhledem k ostatním uživatelům ve vaší organizaci. Číslo je červené, pokud je uživatel v 90. percentilu rizikových uživatelů ve vaší organizaci nebo nad tím.
Stránka s podrobnostmi o uživateli vám pomůže odpovědět na následující otázky:
Otázka | Podrobnosti |
---|---|
Kdo je uživatel? | Vyhledejte základní podrobnosti o uživateli a o tom, co o nich systém ví, včetně role uživatele ve vaší společnosti a jeho oddělení. Je například uživatel inženýrem DevOps, který často provádí neobvyklé aktivity v rámci své práce? Nebo je uživatel nespokojený zaměstnanec, který byl právě předán na povýšení? |
Je uživatel rizikový? | Jaké je rizikové skóre zaměstnance a stojí za to, abyste ho prošetřovali? |
Jaká rizika uživatel představuje pro vaši organizaci? | Posuňte se dolů a prozkoumejte jednotlivé aktivity a výstrahy související s uživatelem, abyste mohli začít chápat typ rizika, které uživatel představuje. Na časové ose vyberte jednotlivé řádky a přejděte k podrobnostem o samotné aktivitě nebo upozornění. Vyberte číslo vedle aktivity, abyste pochopili důkazy, které ovlivnily samotné skóre. |
Jaká jsou rizika pro další prostředky ve vaší organizaci? | Pokud chcete zjistit, které cesty může útočník použít k získání kontroly nad dalšími prostředky ve vaší organizaci, vyberte kartu Cesty k laterálnímu pohybu . I když má například uživatel, který zkoumáte, nesmyslný účet, může útočník pomocí připojení k účtu zjistit citlivé účty ve vaší síti a pokusit se o jeho ohrožení. Další informace najdete v tématu Použití cest laterálního pohybu. |
Poznámka
I když stránky s podrobnostmi o uživateli poskytují informace o zařízeních, prostředcích a účtech napříč všemi aktivitami, skóre priority šetření zahrnuje součet všech rizikových aktivit a výstrah za posledních 7 dnů.
Pokud byl uživatel vyšetřen a nebylo zjištěno žádné podezření na ohrožení zabezpečení, nebo pokud chcete resetovat skóre priority šetření uživatele z nějakého jiného důvodu, tak ručně následujícím způsobem:
Na portálu Microsoft Defender v části Prostředky vyberte Identity.
Vyberte tři tečky napravo od prověřovaného uživatele a pak vyberte Resetovat skóre priority šetření. Můžete také vybrat Zobrazit stránku uživatele a pak ze tří bodů na stránce s podrobnostmi o uživateli vybrat Resetovat skóre priority šetření .
Poznámka
Resetovat je možné pouze uživatele s nenulovým skóre priority šetření.
V potvrzovacím okně vyberte Resetovat skóre.
Některé aktivity nemusí být samy o sobě příčinou poplachu, ale při agregaci s jinými aktivitami můžou značit podezřelou událost.
Když prošetřujete uživatele, chcete se zeptat na následující otázky týkající se aktivit a upozornění, která se vám zobrazují:
Má tento zaměstnanec nějaké obchodní odůvodnění k provádění těchto aktivit? Pokud například někdo z marketingu přistupuje k základu kódu nebo někdo z vývoje přistupuje k finanční databázi, měli byste se obrátit na zaměstnance a ujistit se, že se jedná o úmyslnou a oprávněnou aktivitu.
Proč tato aktivita získala vysoké skóre, zatímco ostatní ne? Přejděte do protokolu aktivit a nastavte prioritu šetření na Nastaveno , abyste zjistili, které aktivity jsou podezřelé.
Můžete například filtrovat podle priority šetření pro všechny aktivity, ke kterým došlo v konkrétní geografické oblasti. Pak můžete zjistit, jestli byly nějaké další rizikové aktivity, odkud se uživatel připojil, a můžete snadno přejít k dalším podrobnostem, jako jsou nedávné neanomalózní cloudové a místní aktivity, a pokračovat ve vyšetřování.
Pokud vaše šetření povede k závěru, že uživatel je ohrožen, pomocí následujících kroků zmírněte riziko.
Kontaktování uživatele – Pomocí kontaktních informací uživatele integrovaných s Defender for Cloud Apps ze služby Active Directory můžete přejít k podrobnostem jednotlivých výstrah a aktivit a vyřešit tak identitu uživatele. Ujistěte se, že je uživatel obeznámen s aktivitami.
Přímo na portálu Microsoft Defender vyberte na stránce Identity tři tečky od prověřovaného uživatele a zvolte, jestli chcete vyžadovat, aby se uživatel znovu přihlásil, pozastavil ho nebo potvrdil, že je napadený.
V případě ohrožené identity můžete uživatele požádat, aby si resetoval heslo a zajistil, že heslo splňuje osvědčené postupy týkající se délky a složitosti.
Pokud přejdete k podrobnostem výstrahy a zjistíte, že aktivita upozornění neměla aktivovat, vyberte v zásuvce Aktivita odkaz Poslat nám svůj názor , abychom měli jistotu, že náš systém upozornění vyladíme s ohledem na vaši organizaci.
Po odstranění problému výstrahu zavřete.
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.