Postup: Šetření rizik

Microsoft Entra ID Protection poskytuje organizacím vytváření sestav, které můžou použít ke zkoumání rizik identit ve svém prostředí. Mezi tyto sestavy patří rizikové uživatele, rizikové přihlašování, identity rizikových úloh a detekce rizik. Zkoumání událostí je klíčem k lepšímu porozumění a identifikaci slabých bodů ve vaší strategii zabezpečení. Všechny tyto sestavy umožňují stahování událostí do . Formát CSV nebo integrace s jinými řešeními zabezpečení, jako je vyhrazený nástroj pro správu informací a událostí (SIEM) pro další analýzu. Organizace můžou také využít integraci rozhraní Microsoft Defender a rozhraní Microsoft Graph API k agregaci dat s jinými zdroji.

Navigace v sestavách

Sestavy rizik najdete v Centru pro správu Microsoft Entra v části Protection>Identity Protection. Můžete přejít přímo na sestavy nebo zobrazit souhrn důležitých přehledů v zobrazení řídicího panelu a přejít na odpovídající sestavy odtud.

Každá sestava se spustí se seznamem všech detekcí pro období zobrazené v horní části sestavy. Správci můžou volitelně filtrovat a přidávat nebo odebírat sloupce podle svých preferencí. Správci můžou data stáhnout do souboru . CSV nebo . Formát JSON pro další zpracování

Když správci vyberou jednu nebo více položek, zobrazí se v horní části sestavy možnosti pro potvrzení nebo zavření rizik. Výběrem jednotlivé rizikové události se otevře podokno s dalšími podrobnostmi, které vám pomůžou s vyšetřováním.

Sestava rizikových uživatelů

Sestavarizikových Rizikoví uživatelé by měli být vyšetřovaní a opravovaní, aby se zabránilo neoprávněnému přístupu k prostředkům. Doporučujeme začít s vysoce rizikovými uživateli z důvodu vysoké důvěry v ohrožení zabezpečení. Další informace o tom, jaké úrovně značí

Proč je uživatel rizikový?

Uživatel se stane rizikovým uživatelem, když:

• Mají jedno nebo více rizikových přihlášení.
• U svého účtu se zjistilo jedno nebo více rizik , jako jsou úniky přihlašovacích údajů.

Jak prozkoumat rizikové uživatele?

Pokud chcete zobrazit a prozkoumat rizikové uživatele, přejděte do sestavy Rizikových uživatelů a pomocí filtrů spravujte výsledky. V horní části stránky je možnost přidat další sloupce, jako je úroveň rizika, stav a podrobnosti o riziku.

Když správci vyberou jednotlivého uživatele, zobrazí se podokno Podrobností o rizikovém uživateli. Podrobnosti o rizikových uživatelích poskytují informace, jako jsou ID uživatele, umístění kanceláře, nedávné rizikové přihlášení, detekce, které nejsou propojené se znaménkem, a historii rizik. Karta Historie rizik zobrazuje události, které vedly ke změně rizika uživatele za posledních 90 dnů. Tento seznam obsahuje detekce rizik, které zvýšily riziko uživatele. Může také zahrnovat akce nápravy uživatele nebo správce, které snížily riziko uživatele; Uživatel například resetuje heslo nebo správce toto riziko zavře.

Pokud máte Copilot for Security, máte přístup ke souhrnu v přirozeném jazyce , včetně: proč byla úroveň rizika uživatele zvýšená, pokyny ke zmírnění a reakci a odkazy na další užitečné položky nebo dokumentaci.

Pomocí informací poskytovaných sestavou Rizikových uživatelů můžou správci zobrazit:

• Riziko uživatele, které bylo opravováno, zamítnuto nebo stále ohroženo a vyžaduje šetření
• Podrobnosti o detekcích
• Riziková přihlášení přidružená k danému uživateli
• Historie rizik

Provedení akce na úrovni uživatele platí pro všechna zjištění, která jsou aktuálně přidružená k danému uživateli. Správci můžou s uživateli provádět akce a zvolit:

• Resetování hesla – Tato akce odvolá aktuální relace uživatele.
• Potvrďte ohrožení zabezpečení uživatele – tato akce se provede u pravdivě pozitivních akcí. Ochrana ID nastaví riziko uživatele na vysoké a přidá novou detekci, správce potvrdil ohrožení zabezpečení uživatele. Uživatel se považuje za rizikové, dokud se nedočká nápravných kroků.
• Potvrďte bezpečnost uživatele – tato akce se provede u falešně pozitivních výsledků. Tím se odeberou rizika a detekce u tohoto uživatele a umístí ho do režimu učení, aby se znovu naučily vlastnosti využití. Tuto možnost můžete použít k označení falešně pozitivních výsledků.
• Zavření rizika uživatele – Tato akce se provádí u neškodného pozitivního rizika uživatele. Toto uživatelské riziko, které jsme zjistili, je skutečné, ale ne škodlivé, jako jsou ty ze známého penetračního testu. Podobným uživatelům by se mělo i nadále vyhodnocovat riziko.
• Blokovat uživatele – Tato akce blokuje přihlášení uživatele, pokud má útočník přístup k heslu nebo schopnost provádět vícefaktorové ověřování.
• Prošetření pomocí programu Microsoft 365 Defender – Tato akce provede správce na portálu Microsoft Defender, aby správce mohl další šetření.

Sestava rizikových přihlášení

Sestava rizikových přihlášení obsahuje filtrovatelná data po dobu až posledních 30 dnů (jeden měsíc). Ochrana ID vyhodnocuje riziko pro všechny toky ověřování bez ohledu na to, jestli je interaktivní nebo neinteraktivní. Sestava rizikových přihlášení zobrazuje interaktivní i neinteraktivní přihlášení. Chcete-li toto zobrazení upravit, použijte filtr typu přihlášení.

Díky informacím, které poskytuje sestava rizikových přihlášení, můžou správci zobrazit:

• Přihlášení, která jsou ohrožená, potvrzená ohrožení zabezpečení, potvrzená bezpečnost, zamítnutá nebo náprava.
• Úrovně rizika spojené s pokusy o přihlášení v reálném čase a agregované úrovně rizika
• Aktivované typy detekce
• Použité zásady podmíněného přístupu
• Podrobnosti vícefaktorového ověřování
• Informace o zařízení
• Application information (Informace o aplikaci)
• Informace o poloze

Správci můžou provádět akce s rizikovými událostmi přihlášení a zvolit:

• Potvrďte ohrožení zabezpečení přihlášení – tato akce potvrzuje, že přihlášení je pravdivě pozitivní. Přihlášení se považuje za rizikové, dokud se nedočká nápravných kroků. 
• Potvrďte bezpečné přihlášení – tato akce potvrzuje, že přihlášení je falešně pozitivní. Podobné přihlášení by se v budoucnu neměly považovat za rizikové. 
• Zavřít riziko přihlášení – tato akce se používá pro neškodné pravdivě pozitivní. Toto riziko přihlášení, které jsme zjistili, je reálné, ale ne škodlivé, jako jsou ty ze známého penetračního testu nebo známé aktivity vygenerované schválenou aplikací. Podobné přihlášení by se mělo dál vyhodnocovat z hlediska rizika.

Další informace o tom, kdy provést každou z těchto akcí, najdete v tématu Jak Microsoft používá mou zpětnou vazbu k rizikům.

Sestava detekce rizik

Sestava Detekce rizik obsahuje filtrovatelná data za posledních 90 dnů (tři měsíce).

Díky informacím, které poskytuje sestava detekce rizik, můžou správci najít:

• Informace o každé detekci rizik
• Typ útoku založený na rozhraní MITRE ATT&CK
• Další rizika aktivovaná současně
• Umístění pokusu o přihlášení
• Odkaz na další podrobnosti z Microsoft Defenderu for Cloud Apps

Správci se pak můžou vrátit k sestavě rizik uživatele nebo k přihlášení a provést akce na základě shromážděných informací.

Poznámka:

Náš systém může zjistit, že riziková událost, která přispěla ke skóre rizika uživatele, byla falešně pozitivní nebo se riziko uživatele opravilo vynucením zásad, jako je dokončení výzvy vícefaktorového ověřování nebo změna zabezpečeného hesla. Proto náš systém zavře stav rizika a podrobnosti o riziku "bezpečné přihlášení potvrzené AI" se zobrazí a už nebude přispívat k riziku uživatele.

Počáteční třídění

Při spuštění počátečního třídění doporučujeme následující akce:

1. Projděte si řídicí panel ochrany ID a vizualizovat počet útoků, počet vysoce rizikových uživatelů a další důležité metriky na základě detekcí ve vašem prostředí.
2. Projděte si sešit analýzy dopadu a seznamte se se scénáři, ve kterých je ve vašem prostředí zřejmé riziko, a zásady přístupu na základě rizik by měly být povolené ke správě vysoce rizikových uživatelů a přihlašování.
3. Přidejte podnikové sítě VPN a rozsahy IP adres do pojmenovaných umístění, abyste snížili falešně pozitivní výsledky.
4. Zvažte vytvoření známé databáze cestovatelů pro aktualizované sestavy cestovních cest organizace a jejich použití pro křížové cestovní aktivity.
5. Zkontrolujte protokoly a identifikujte podobné aktivity se stejnými vlastnostmi. Tato aktivita může značit ohroženější účty.
   1. Pokud existují běžné charakteristiky, jako jsou IP adresa, zeměpisná oblast, úspěch/selhání atd., zvažte jejich blokování pomocí zásad podmíněného přístupu.
   2. Zkontrolujte, které prostředky mohou být ohroženy, včetně potenciálních stahování dat nebo úprav správy.
   3. Povolení zásad samoobslužné nápravy prostřednictvím podmíněného přístupu
6. Zkontrolujte, jestli uživatel provedl jiné rizikové aktivity, například stažení velkého objemu souborů z nového umístění. Toto chování je silnou indikací možného ohrožení.

Pokud máte podezření, že útočník může uživatele zosobnit, měli byste vyžadovat, aby resetoval heslo a provedl vícefaktorové ověřování nebo zablokoval uživatele a odvolal všechny obnovovací a přístupové tokeny.

Rámec pro šetření a nápravu rizik

Organizace můžou k zahájení vyšetřování podezřelých aktivit použít následující architekturu. Doporučeným prvním krokem je samoobslužná náprava, pokud je to možnost. Samoobslužná náprava se může provést prostřednictvím samoobslužného resetování hesla nebo prostřednictvím toku nápravy zásad podmíněného přístupu na základě rizika.

Pokud možnost samoobslužné nápravy není, musí správce napravit riziko. Náprava se provádí vyvoláním resetování hesla, vyžadováním opětovného registrace uživatele pro vícefaktorové ověřování, blokováním uživatele nebo odvoláním uživatelských relací v závislosti na scénáři. Po zjištění rizika ukazuje následující vývojový diagram doporučený tok:

Jakmile je riziko obsaženo, může být potřeba další šetření, aby bylo riziko označit jako bezpečné, ohrožené nebo zamítnuté. Pokud chcete přijít na sebevědomý závěr, může být nutné: mít konverzaci s daným uživatelem, zkontrolovat protokoly přihlášení, zkontrolovat protokoly auditu nebo dotazovat protokoly rizik v Log Analytics. V této fázi šetření jsou popsané doporučené akce:

1. Zkontrolujte protokoly a ověřte, jestli je aktivita pro daného uživatele normální.
   1. Podívejte se na minulé aktivity uživatele, včetně následujících vlastností, abyste zjistili, jestli jsou pro daného uživatele normální.
      1. Aplikace
      2. Zařízení – Je zařízení zaregistrované nebo vyhovující?
      3. Umístění – Cestuje uživatel do jiného umístění nebo přistupuje k zařízením z více míst?
      4. IP adresa
      5. Řetězec uživatelského agenta
   2. Pokud máte přístup k dalším nástrojům zabezpečení, jako je Microsoft Sentinel, zkontrolujte odpovídající výstrahy, které by mohly znamenat větší problém.
   3. Organizace s přístupem k Programu Microsoft 365 Defender můžou sledovat událost rizik uživatelů prostřednictvím dalších souvisejících výstrah, incidentů a řetězu MITRE ATT&CK.
      1. Pokud chcete přejít ze sestavy Rizikových uživatelů, vyberte uživatele v sestavě rizikových uživatelů a na panelu nástrojů vyberte tři tečky (...) a pak zvolte Prozkoumat v programu Microsoft 365 Defender.
2. Spojte se s uživatelem a ověřte, jestli přihlášení rozpozná. Zvažte však metody, jako je e-mail nebo Teams, mohou být ohroženy.
   1. Potvrďte informace, které máte, například:
      1. Časové razítko
      2. Aplikace
      3. Zařízení
      4. Umístění
      5. IP adresa
3. V závislosti na výsledcích šetření označte uživatele nebo přihlášení jako potvrzené ohrožení zabezpečení, potvrzené bezpečné nebo zavření rizika.
4. Nastavte zásady podmíněného přístupu na základě rizik, abyste zabránili podobným útokům nebo vyřešili případné mezery v pokrytí.

Zkoumání konkrétních detekcí

Microsoft Entra Threat Intelligence

Pokud chcete prozkoumat detekci rizik Microsoft Entra Threat Intelligence, postupujte podle těchto kroků na základě informací uvedených v poli Další informace v podokně Podrobnosti detekce rizik:

1. Přihlášení bylo z podezřelé IP adresy:
   1. Ověřte, jestli IP adresa ve vašem prostředí zobrazuje podezřelé chování.
   2. Generuje IP adresa velký počet selhání pro uživatele nebo sadu uživatelů ve vašem adresáři?
   3. Pochází provoz IP adresy z neočekávaného protokolu nebo aplikace, například ze starších protokolů Exchange?
   4. Pokud IP adresa odpovídá poskytovateli cloudových služeb, vyloučíte, že ze stejné IP adresy nejsou spuštěné žádné legitimní podnikové aplikace.
2. Tento účet byl obětí útoku password spray:
   1. Ověřte, že cílem stejného útoku nejsou žádní jiní uživatelé ve vašem adresáři.
   2. Mají ostatní uživatelé přihlášení s podobnými atypickými vzory, které se zobrazují ve zjištěném přihlašování ve stejném časovém rámci? Útoky password spray můžou zobrazovat neobvyklé vzory v:
      1. Řetězec uživatelského agenta
      2. Aplikace
      3. Protokol
      4. Rozsahy IP adres /ASN
      5. Čas a frekvence přihlášení
3. Toto zjištění aktivovalo pravidlo v reálném čase:
   1. Ověřte, že cílem stejného útoku nejsou žádní jiní uživatelé ve vašem adresáři. Tyto informace najdete pomocí čísla TI_RI_#### přiřazeného pravidlu.
   2. Pravidla v reálném čase chrání před novými útoky identifikovanými inteligentními hrozbami Microsoftu. Pokud bylo cílem stejného útoku více uživatelů ve vašem adresáři, prozkoumejte neobvyklé vzory v jiných atributech přihlášení.

Vyšetřování detekce atypických cest

1. Pokud jste schopni potvrdit, že aktivita nebyla provedena legitimním uživatelem:
   1. Doporučená akce: Označte přihlášení jako ohrožené a vyvolejte resetování hesla, pokud ho ještě neprovádí samoobslužná náprava. Blokovat uživatele, pokud má útočník přístup k resetování hesla nebo provede vícefaktorové ověřování a resetuje heslo.
2. Pokud je uživateli známo, že používá IP adresu v rozsahu svých povinností:
   1. Doporučená akce: Potvrďte přihlášení jako bezpečné.
3. Pokud si můžete ověřit, že uživatel nedávno cestoval do cíle uvedeného v upozornění:
   1. Doporučená akce: Potvrďte přihlášení jako bezpečné.
4. Pokud si můžete ověřit, že rozsah IP adres pochází ze schválené sítě VPN.
   1. Doporučená akce: Potvrďte přihlášení jako bezpečné a přidejte rozsah IP adres VPN do pojmenovaných umístění v Microsoft Entra ID a Microsoft Defenderu for Cloud Apps.

Zkoumání neobvyklých detekcí anomálií tokenů a vystavitele tokenů

1. Pokud můžete ověřit, že aktivita nebyla provedena legitimním uživatelem pomocí kombinace upozornění na rizika, umístění, aplikace, IP adresy, uživatelského agenta nebo jiných charakteristik, které jsou pro uživatele neočekávané:
   1. Doporučená akce: Označte přihlášení jako ohrožené a vyvolejte resetování hesla, pokud ho ještě neprovádí samoobslužná náprava. Pokud má útočník přístup k resetování hesla nebo provedení, zablokujte uživatele.
   2. Doporučená akce: Nastavte zásady podmíněného přístupu na základě rizik, které vyžadují resetování hesla, provádějí vícefaktorové ověřování nebo blokují přístup pro všechna vysoce riziková přihlášení.
2. Pokud jste schopni potvrdit umístění, aplikaci, IP adresu, uživatelský agent nebo jiné charakteristiky, které jsou pro uživatele očekávané a neexistují žádné další informace o ohrožení zabezpečení:
   1. Doporučená akce: Povolí uživateli samoobslužnou nápravu pomocí zásad podmíněného přístupu na základě rizika nebo požádejte správce, aby potvrdil přihlášení jako bezpečné.
3. Další šetření detekcí založených na tokenech najdete v blogovém příspěvku o taktikách tokenů: Jak zabránit, zjistit a reagovat na krádež tokenů v cloudu playbook pro krádež tokenů.

Vyšetřování podezřelých detekcí prohlížeče

• Prohlížeč běžně nepoužívá uživatel ani aktivita v prohlížeči neodpovídá normálnímu chování uživatelů.
  • Doporučená akce: Potvrďte, že přihlášení bylo ohroženo, a pokud jste to ještě neprovedli samoobslužnou nápravou, vyvolejte resetování hesla. Pokud má útočník přístup k resetování hesla nebo provádí vícefaktorové ověřování, zablokujte uživatele.
  • Doporučená akce: Nastavte zásady podmíněného přístupu na základě rizik, které vyžadují resetování hesla, provádějí vícefaktorové ověřování nebo blokují přístup pro všechna vysoce riziková přihlášení.

Zkoumání detekcí škodlivých IP adres

1. Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem:
   1. Doporučená akce: Potvrďte, že přihlášení bylo ohroženo, a pokud jste to ještě neprovedli samoobslužnou nápravou, vyvolejte resetování hesla. Zablokujte uživatele, pokud má útočník přístup k resetování hesla, nebo provede vícefaktorové ověřování a resetuje heslo a odvolá všechny tokeny.
   2. Doporučená akce: Nastavte zásady podmíněného přístupu založené na riziku, které vyžadují resetování hesla nebo pro všechny vysoce rizikové přihlašování, nebo proveďte vícefaktorové ověřování.
2. Pokud je uživateli známo, že používá IP adresu v rozsahu svých povinností:
   1. Doporučená akce: Potvrďte přihlášení jako bezpečné.

Prošetřování detekcí služby Password Spray

1. Pokud si můžete ověřit, že aktivita nebyla provedena legitimním uživatelem:
   1. Doporučená akce: Označte přihlášení jako ohrožené a vyvolejte resetování hesla, pokud ho ještě neprovádí samoobslužná náprava. Zablokujte uživatele, pokud má útočník přístup k resetování hesla, nebo provede vícefaktorové ověřování a resetuje heslo a odvolá všechny tokeny.
2. Pokud je uživateli známo, že používá IP adresu v rozsahu svých povinností:
   1. Doporučená akce: Potvrďte bezpečné přihlášení.
3. Pokud si můžete ověřit, že účet není napadený, a neuvidíte žádné indikátory útoku hrubou silou ani indikátory rozprašovače hesel pro daný účet.
   1. Doporučená akce: Povolí uživateli samoobslužnou nápravu pomocí zásad podmíněného přístupu na základě rizika nebo požádejte správce, aby potvrdil přihlášení jako bezpečné.

Další šetření detekce rizik sprejů hesel najdete v článku Šetření password spray.

Vyšetřování detekcí nevracených přihlašovacích údajů

• Pokud tato detekce zjistila únik přihlašovacích údajů pro uživatele:
  • Doporučená akce: Potvrďte ohrožení zabezpečení uživatele a vyvolejte resetování hesla, pokud ho ještě neprovádí samoobslužná náprava. Zablokujte uživatele, pokud má útočník přístup k resetování hesla, nebo provede vícefaktorové ověřování a resetuje heslo a odvolá všechny tokeny.

Další kroky

• Náprava a odblokování uživatelů
• Dostupné zásady pro zmírnění rizik
• Povolení zásad rizik přihlašování a uživatelů