Principy výstrah zabezpečení

Výstrahy zabezpečení v programu Microsoft Defender for Identity vysvětlují jasný jazyk a grafiku, které podezřelé aktivity byly identifikovány ve vaší síti a aktéři a počítače zapojené do hrozeb. Výstrahy jsou ohodnocené podle závažnosti, barevně kódované, aby bylo možné je snadno vizuálně filtrovat a uspořádat podle fáze hrozeb. Každé upozornění je navržené tak, aby vám pomohlo rychle pochopit, co se děje ve vaší síti. Seznamy důkazů výstrah obsahují přímé odkazy na zúčastněné uživatele a počítače, které vám pomůžou usnadnit a přímo provést šetření.

V tomto článku se dozvíte o struktuře výstrah zabezpečení Defenderu for Identity a o tom, jak je používat.

• Struktura výstrah zabezpečení
• Klasifikace výstrah zabezpečení
• Kategorie výstrah zabezpečení
• Rozšířené šetření výstrah zabezpečení
• Související entity
• Defender for Identity a NNR (překlad síťových ip adres)

Struktura výstrah zabezpečení

Každá výstraha zabezpečení Defenderu for Identity zahrnuje scénář výstrahy. Toto je řetězec událostí souvisejících s tímto upozorněním v chronologickém pořadí a další důležité informace související s výstrahou.

Na stránce upozornění můžete:

• Správa upozornění – změna stavu, přiřazení a klasifikace výstrahy Tady můžete také přidat komentář.

• Export – stažení podrobné excelové sestavy pro analýzu

• Propojení upozornění na jiný incident – propojení výstrahy s novým existujícím incidentem

  

Další informace o výstrahách najdete v tématu Zkoumání výstrah v XDR v programu Microsoft Defender.

Klasifikace výstrah zabezpečení

Po řádném šetření je možné všechny výstrahy zabezpečení služby Defender for Identity klasifikovat jako jeden z následujících typů aktivit:

• Pravdivě pozitivní (TP):: Škodlivá akce zjištěná defenderem pro identitu.

• Neškodné pravdivě pozitivní (B-TP):: Akce zjištěná programem Defender for Identity, která je skutečná, ale ne škodlivá, například penetrační test nebo známá aktivita generovaná schválenou aplikací.

• Falešně pozitivní (FP): Falešný poplach, což znamená, že k aktivitě nedošlo.

Je výstraha zabezpečení tp, B-TP nebo FP.

Pro každou výstrahu položte následující otázky, abyste určili klasifikaci výstrah a mohli se rozhodnout, co dělat dál:

1. Jak běžná je tato konkrétní výstraha zabezpečení ve vašem prostředí?
2. Aktivovaly výstrahy stejné typy počítačů nebo uživatelů? Například servery se stejnou rolí nebo uživateli ze stejné skupiny nebo oddělení? Pokud byly počítače nebo uživatelé podobné, můžete se rozhodnout ho vyloučit, abyste se vyhnuli dalším dalším výstrahám FP.

Poznámka:

Zvýšení výstrah stejného typu obvykle snižuje úroveň podezřelých a důležitých výstrah. U opakovaných výstrah ověřte konfigurace a pomocí podrobností a definic výstrah zabezpečení přesně zjistěte, co se děje, které opakování aktivují.

Kategorie výstrah zabezpečení

Výstrahy zabezpečení defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze typického řetězce kybernetických útoků. Další informace o jednotlivých fázích a výstrahách navržených k detekci jednotlivých útoků najdete na následujících odkazech:

• Upozornění na rekognoskaci
• Upozornění na ohrožené přihlašovací údaje
• Upozornění laterálního pohybu
• Výstrahy před dominantní doménou
• Upozornění exfiltrace

Rozšířené šetření výstrah zabezpečení

Pokud chcete získat další podrobnosti o výstrahě zabezpečení, vyberte Možnost Exportovat na stránce s podrobnostmi výstrahy a stáhněte si podrobnou sestavu upozornění aplikace Excel.

Stažený soubor obsahuje souhrnné podrobnosti o výstraze na první kartě, včetně:

• Titulek
• Popis
• Čas zahájení (UTC)
• Koncový čas (UTC)
• Závažnost – nízká/střední/vysoká
• Stav – otevřená/uzavřená
• Čas aktualizace stavu (UTC)
• Zobrazit v prohlížeči

Zobrazí se všechny zúčastněné entity, včetně účtů, počítačů a prostředků, oddělených jejich rolí. Podrobnosti se poskytují pro zdrojovou, cílovou nebo napadenou entitu v závislosti na upozornění.

Většina karet zahrnuje následující data na entitu:

• Název

• Detaily

• Typ

• SamName

• Zdrojový počítač

• Zdrojový uživatel (pokud je k dispozici)

• Domain Controllers

• Přístup k prostředku: čas, počítač, název, podrobnosti, typ, služba.

• Související entity: ID, typ, název, jedinečný json entity, json jedinečného profilu entity

• Všechny nezpracované aktivity zachycené defenderem for Identity Sensors související s výstrahou (aktivitami sítě nebo událostí), včetně:

  • Síťové aktivity
  • Aktivity událostí

Některé výstrahy mají další karty, například podrobnosti o:

• Útoky na účty, když podezřelý útok použil hrubou silou.
• Servery DNS (Domain Name System), když podezření na útok zahrnovalo rekognoskaci mapování sítě (DNS).

Příklad:

Související entity

V každé výstraze poskytuje poslední karta Související entity. Související entity jsou všechny entity zapojené do podezřelé aktivity bez oddělení "role", kterou hrály v upozornění. Každá entita má dva soubory JSON, jedinečný json entity a json profilu jedinečné entity. Pomocí těchto dvou souborů JSON se dozvíte více o entitě a pomůžete vám s prošetřením výstrahy.

Jedinečný soubor JSON entity

Zahrnuje data Defender for Identity získané ze služby Active Directory o účtu. To zahrnuje všechny atributy, jako je Rozlišující název, SID, LockoutTime a PasswordExpiryTime. U uživatelských účtů zahrnuje data, jako jsou Oddělení, Pošta a Telefon Number. Pro účty počítačů zahrnuje data, jako jsou OperatingSystem, IsDomainController a DnsName.

Soubor JSON s jedinečným profilem entity

Zahrnuje všechny objekty Data Defender for Identity profilované v entitě. Defender for Identity používá aktivity sítě a událostí zachycené k získání informací o uživatelích a počítačích prostředí. Defender for Identity profiles relevant information per entity. Tyto informace přispívají k funkcím ochrany defenderu pro identifikaci hrozeb.

Jak se dají informace o službě Defender for Identity použít při vyšetřování?

Šetření může být podle potřeby podrobně popsáno. Tady je několik nápadů, jak prozkoumat použití dat, která poskytuje Defender for Identity.

• Zkontrolujte, jestli všichni související uživatelé patří do stejné skupiny nebo oddělení.
• Sdílejí související uživatelé prostředky, aplikace nebo počítače?
• Je účet aktivní, i když už vypršela jeho hodnota PasswordExpiryTime?

Defender for Identity a NNR (překlad síťových ip adres)

Funkce detekce identity v programu Defender for Identity spoléhají na aktivní překlad názvů sítě (NNR) k překladu IP adres na počítače ve vaší organizaci. Pomocí NNR dokáže Defender for Identity korelovat mezi nezpracovanou aktivitou (obsahující IP adresy) a příslušnými počítači, které jsou součástí každé aktivity. Na základě nezpracovaných aktivit defender for Identity profiluje entity, včetně počítačů, a generuje výstrahy.

Data NNR jsou zásadní pro detekci následujících výstrah:

• Podezření na krádež identity (pass-the-ticket)
• Podezřelý útok DCSync (replikace adresářových služeb)
• Rekognoskace mapování sítě (DNS)

Pomocí informací NNR uvedených na kartě Síťové aktivity v sestavě pro stažení výstrahy určete, jestli je výstraha FP. V případě výstrahy FP je běžné mít jistotu, že výsledek NNR bude mít nízkou spolehlivost.

Data sestavy ke stažení se zobrazí ve dvou sloupcích:

• Zdrojový/cílový počítač

  • Jistota – jistota s nízkým rozlišením může znamenat nesprávné rozlišení názvů.

• Zdrojový/cílový počítač

  • Metoda řešení – poskytuje metody NNR používané k překladu IP adresy do počítače v organizaci.

Další informace o tom, jak pracovat s výstrahami zabezpečení v programu Defender for Identity, najdete v tématu Práce s výstrahami zabezpečení.

Související obsah

• Prozkoumání uživatele
• Prozkoumání počítače
• Práce s laterálními cestami pohybu
• Podívejte se na fórum Defender for Identity!