Tutorial: Untersuchung von Risikobenutzern
Sicherheitsteams stehen vor der Herausforderung, Benutzeraktivitäten, verdächtig oder anderweitig, über alle Dimensionen der Identitätsangriffsoberfläche hinweg zu überwachen, und verwenden dabei mehrere Sicherheitslösungen, die häufig nicht verbunden sind. Während viele Unternehmen jetzt Suchteams haben, die Bedrohungen in ihren Umgebungen proaktiv identifizieren sollen, kann es eine Herausforderung sein zu wissen, wonach denn in der enormen Datenmenge gesucht werden soll. Mit Microsoft Defender for Cloud Apps müssen Sie keine komplexen Korrelationsregeln mehr erstellen und können nach Angriffen suchen, die sich über Ihr Cloud- und lokales Netzwerk erstrecken.
Damit Sie sich auf die Benutzeridentität konzentrieren können, bietet Microsoft Defender for Cloud Apps Verhaltensanalysen (User Entity Behavior Analytics, UEBA) in der Cloud. UEBA kann durch die Integration mit Microsoft Defender for Identity auf Ihre lokale Umgebung ausgeweitet werden. Durch die native Integration mit Active Directory erhalten Sie außerdem einen Kontext zur Benutzeridentität.
Unabhängig davon, ob Ihr Trigger eine Warnung ist, die Sie im Defender for Cloud Apps-Dashboard sehen, oder ob Sie Informationen von einem Sicherheitsdienst eines Drittanbieters haben, starten Sie Ihre Untersuchung über das Defender for Cloud Apps-Dashboard, um detaillierte Einblicke in riskante Benutzer zu erhalten.
In diesem Tutorial lernen Sie, wie Sie Defender for Cloud Apps verwenden, um Risikobenutzer zu untersuchen:
Grundlegendes zur Bewertung der Untersuchungspriorität
Die Investigation Priority Score ist ein Wert, den Defender for Cloud Apps jedem Benutzer zuweist, um Ihnen mitzuteilen, wie riskant der Benutzer im Vergleich zu anderen Benutzern in Ihrem Unternehmen ist. Verwenden Sie die Investigation Priority Score, um zu bestimmen, welche Benutzer zuerst untersucht werden sollen, um sowohl böswillige Insider als auch externe Angreifer zu erkennen, die sich seitlich in Ihrem Unternehmen bewegen, ohne sich auf deterministische Standarderkennungen verlassen zu müssen.
Jeder Microsoft Entra-Benutzer verfügt über einen dynamischen Investigation Priority Score, der auf der Grundlage des jüngsten Verhaltens und der Auswirkungen von Daten, die von Defender for Identity und Defender for Cloud Apps ausgewertet wurden, ständig aktualisiert wird.
Defender for Cloud Apps erstellt Benutzerprofile für jeden Benutzer auf der Grundlage von Analysen, die Sicherheitswarnungen und abnormale Aktivitäten im Laufe der Zeit, Peer-Gruppen, erwartete Benutzeraktivitäten und die Auswirkungen eines bestimmten Benutzers auf das Geschäft oder die Vermögenswerte des Unternehmens berücksichtigen.
Aktivitäten, die anomale Werte gegenüber dem Basisplan eines Benutzers sind, werden ausgewertet und bewertet. Nach Abschluss der Bewertung werden die proprietären dynamischen Peerberechnungen von Microsoft und maschinelles Lernen für die Benutzeraktivitäten ausgeführt, um die Untersuchungspriorität für jeden Benutzer zu berechnen.
Erkennen Sie sofort, wer die wirklichen Top-Risikobenutzer sind, indem Sie nach der Investigation Priority Score filtern, die geschäftlichen Auswirkungen jedes Benutzers direkt überprüfen und alle damit verbundenen Aktivitäten untersuchen – egal, ob sie kompromittiert sind, Daten exfiltrieren oder als Insider-Bedrohung agieren.
Defender for Cloud Apps verwendet Folgendes, um Risiken zu messen:
Alert-Scoring: Alert-Score stellt die potenziellen Auswirkungen eines bestimmten Alerts auf jeden Benutzer dar. Die Warnungsbewertung basiert auf Schweregrad, Benutzerwirkung, Warnungspopularität für Benutzer und allen Entitäten in der Organisation.
Activity-Scoring: Activity-Score bestimmt die Wahrscheinlichkeit, dass ein bestimmter Nutzer eine bestimmte Aktivität ausführt, basierend auf dem Lernverhalten des Nutzers und seiner Mitspieler. Aktivitäten, die als besonders anormal eingestuft werden, erhalten die höchste Bewertung.
Wählen Sie die Investigation Priority Score für eine Warnung oder eine Aktivität, um die Beweise anzuzeigen, die erklären, wie Defender for Cloud Apps die Aktivität bewertet hat.
Hinweis
Wir werden die Warnung Investigation Priority Score Increase von Microsoft Defender for Cloud Apps bis August 2024 schrittweise abschaffen. Die Investigation Priority Score und das in diesem Artikel beschriebene Verfahren sind von dieser Änderung nicht betroffen.
Weitere Informationen finden Sie unter Investigation Priority Score Increase Deprecation Timeline.
Phase 1: Verbinden für die Apps, die Sie schützen möchten
Verbinden Sie mindestens eine App mit Microsoft Defender for Cloud Apps mithilfe der API-Connectors. Es wird empfohlen, mit der Verbindung von Microsoft 365 zu beginnen.
Microsoft Entra ID-Apps werden automatisch für die App-Steuerung für bedingten Zugriff integriert.
Phase 2: Identifizieren der am meisten risikobehafteten Benutzer
So identifizieren Sie, wer Ihre riskanten Benutzer in Defender for Cloud Apps sind:
Wählen Sie im Microsoft Defender Portal unter Objekte die Option Identitäten aus. Sortieren Sie die Tabelle nach Untersuchungspriorität. Dann wechseln Sie einzeln zu ihrer Benutzerseite, um sie zu untersuchen.
Die Nummer der Untersuchungspriorität, die neben dem Benutzernamen gefunden wird, ist eine Summe aller riskanten Aktivitäten des Benutzers in der letzten Woche.Wählen Sie die drei Punkte rechts neben dem Benutzer und dann die Seite Benutzer anzeigen aus.
Überprüfen Sie die Informationen auf der Seite mit den Benutzerdetails, um sich einen Überblick über den Benutzer zu verschaffen und zu sehen, ob es Punkte gibt, an denen der Benutzer Aktivitäten durchgeführt hat, die für ihn ungewöhnlich waren oder zu einem ungewöhnlichen Zeitpunkt durchgeführt wurden.
Die Bewertung des Benutzers im Vergleich zur Organisation stellt dar, welches Quantil der Benutzer basierend auf ihrer Rangfolge in Ihrer Organisation ist – wie hoch sie in der Liste der Benutzer sind, die Sie untersuchen sollten, relativ zu anderen Benutzern in Ihrer Organisation. Die Zahl ist rot, wenn ein Benutzer im oder über dem 90. Perzentil der Risikobenutzer in Ihrer Organisation liegt.
Die Seite mit den Benutzerdetails hilft Ihnen bei der Beantwortung der folgenden Fragen:
Frage | Details |
---|---|
Wer ist der Benutzer? | Suchen Sie nach grundlegenden Informationen über den Benutzer und was das System über ihn weiß, einschließlich der Rolle des Benutzers in Ihrem Unternehmen und seiner Abteilung. Handelt es sich bei dem Benutzer beispielsweise um einen DevOps-Ingenieur, der im Rahmen seiner Arbeit häufig ungewöhnliche Aktivitäten durchführt? Oder ist der Benutzer ein verärgerter Mitarbeiter, der gerade für eine Beförderung übergangen wurde? |
Ist der Benutzer riskant? | Was ist die Risk Score des Mitarbeiters und lohnt sich eine Untersuchung? |
Was ist das Risiko, das der Benutzer für Ihre Organisation darstellt? | Scrollen Sie nach unten, um jede Aktivität und jede Warnung in Bezug auf den Benutzer zu untersuchen, um zu verstehen, welche Art von Risiko der Benutzer darstellt. Wählen Sie in der Zeitleiste jede Zeile aus, um die Aktivität oder die Meldung selbst genauer zu betrachten. Wählen Sie die Zahl neben der Aktivität aus, damit Sie die Beweise verstehen können, die die Bewertung selbst beeinflusst haben. |
Was ist das Risiko für andere Vermögenswerte in Ihrer Organisation? | Wählen Sie die RegisterkarteLateral Bewegungspfade aus, um zu verstehen, welche Pfade ein Angreifer verwenden kann, um die Kontrolle über andere Objekte in Ihrer Organisation zu erlangen. Selbst wenn der Benutzer, den Sie untersuchen, ein nicht sensibles Konto hat, kann ein Angreifer Verbindungen zu diesem Konto nutzen, um sensible Konten in Ihrem Netzwerk zu entdecken und zu kompromittieren. Weitere Informationen finden Sie unter Verwenden von Lateral Movement Paths. |
Hinweis
Während die Benutzerdetailseiten Informationen zu Geräten, Ressourcen und Konten über alle Aktivitäten hinweg liefern, enthält die Investigation Priority Score die Summe aller riskanten Aktivitäten und Warnungen der letzten 7 Tage.
Zurücksetzen der Benutzerbewertung
Wenn der Benutzer untersucht wurde und kein Verdacht auf eine Gefährdung besteht oder wenn Sie die Investigation Priority des Benutzers aus einem anderen Grund zurücksetzen möchten, gehen Sie folgendermaßen vor:
Wählen Sie im Microsoft Defender Portal unter Objekte die Option Identitäten aus.
Wählen Sie die drei Punkte rechts neben dem untersuchten Benutzer, und wählen Sie dann Reset Investigation Priority Score. Sie können auch Benutzerseite anzeigen und dann Reset Investigation Priority Score aus den drei Punkten auf der Seite mit den Benutzerdetails auswählen.
Hinweis
Nur Benutzer mit einer Prioritätsbewertung ohne Null können zurückgesetzt werden.
Klicken Sie im Bestätigungsfenster auf Schließen.
Phase 3: Weitere Untersuchung von Benutzern
Einige Aktivitäten sind für sich genommen vielleicht noch kein Grund zur Beunruhigung, können aber in Verbindung mit anderen Aktivitäten auf ein verdächtiges Ereignis hindeuten.
Wenn Sie einen Benutzer untersuchen, sollten Sie die folgenden Fragen zu den Aktivitäten und Warnungen stellen, die Sie sehen:
Gibt es eine geschäftliche Begründung für diesen Mitarbeiter, diese Aktivitäten auszuführen? Wenn beispielsweise jemand aus dem Marketing auf die Code-Basis oder jemand aus der Entwicklung auf die Finanzdatenbank zugreift, sollten Sie mit dem Mitarbeiter nachfassen, um sicherzustellen, dass es sich um eine absichtliche und gerechtfertigte Tätigkeit handelt.
Warum hat diese Aktivität eine hohe Score erhalten, während die bei anderen nicht der Fall war? Rufen Sie das Aktivitätsprotokoll auf und setzen Sie die Investigation Priority auf Is set, um zu verstehen, welche Aktivitäten verdächtig sind.
Sie können zum Beispiel auf der Grundlage von Investigation Priority nach allen Aktivitäten filtern, die in einem bestimmten geografischen Gebiet stattgefunden haben. Dann können Sie sehen, ob es andere Aktivitäten gab, die riskant waren, von wo aus sich der Benutzer verbunden hat, und Sie können leicht zu anderen Drill-Downs wechseln, z. B. zu den jüngsten nicht anomalen Cloud- und On-Premises-Aktivitäten, um Ihre Untersuchung fortzusetzen.
Phase 4: Schützen Sie Ihre Organisation
Wenn Ihre Untersuchung zu dem Schluss führt, dass ein Benutzer gefährdet ist, gehen Sie wie folgt vor, um das Risiko zu verringern.
Kontaktieren Sie den Benutzer - Mithilfe der Kontaktinformationen des Benutzers, die in Defender for Cloud Apps aus Active Directory integriert sind, können Sie jede Warnung und Aktivität aufschlüsseln, um die Identität des Benutzers zu klären. Stellen Sie sicher, dass der Benutzer von den Aktivitäten weiß.
Wählen Sie direkt über das Microsoft Defender Portal auf der Seite Identitäten die drei Punkte des untersuchten Benutzers aus, und wählen Sie aus, ob Sie den Benutzer zwingen sich erneut anzumelden, den Benutzer sperren oder den Benutzer als kompromittiert bestätigen .
Im Falle einer kompromittierten Identität können Sie den Benutzer bitten, sein Kennwort zurückzusetzen, und dabei sicherzustellen, dass das Kennwort den Best Practice-Richtlinien für Länge und Komplexität entspricht.
Wenn Sie einen Drilldown zu einer Warnung durchführen und feststellen, dass die Aktivität keine Warnung hätte auslösen sollen, wählen Sie in der Aktivitätsschublade den Link Feedback senden aus, damit wir sicher sein können, unser Benachrichtigungssystem mit Ihrer Organisation zu optimieren.
Nachdem Sie das Problem behoben haben, schließen Sie die Warnung.
Weitere Informationen
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.