A kockázatok kivizsgálásának módja

Microsoft Entra ID-védelem jelentéskészítést biztosít a szervezeteknek az identitáskockázatok vizsgálatához a környezetükben. Ezek a jelentések közé tartoznak a kockázatos felhasználók, a kockázatos bejelentkezések, a kockázatos számítási feladatok identitásai és a kockázatészlelések. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Ezek a jelentések lehetővé teszik az események letöltését. CSV formátuma vagy integrációja más biztonsági megoldásokkal, például egy dedikált biztonsági információ- és eseménykezelési (SIEM) eszközzel a további elemzéshez. A szervezetek a Microsoft Defender és a Microsoft Graph API-integráció előnyeit is kihasználhatják az adatok más forrásokkal való összesítéséhez.

A jelentések navigálása

A kockázati jelentések a Microsoft Entra Felügyeleti központban, a Protection>Identity Protection alatt találhatók. Közvetlenül a jelentésekhez navigálhat, vagy megtekintheti a fontos megállapítások összegzését az irányítópult nézetben, és onnan navigálhat a megfelelő jelentésekhez.

Minden jelentés elindul a jelentés tetején látható időszakra vonatkozó összes észlelés listájával. A rendszergazdák igény szerint szűrhetnek és adhatnak hozzá vagy távolíthatnak el oszlopokat. A rendszergazdák letölthetik az adatokat a következő helyen: . CSV vagy . JSON formátum további feldolgozáshoz.

Ha a rendszergazdák kiválasztanak egy vagy több bejegyzést, a kockázatok megerősítésére vagy elvetésére vonatkozó beállítások a jelentés tetején jelennek meg. Ha kiválaszt egy egyéni kockázati eseményt, megnyílik egy panel, amely további részleteket tartalmaz a vizsgálatokhoz való segítségnyújtáshoz.

A kockázatos felhasználók jelentése

A kockázatos felhasználók jelentése magában foglalja az összes olyan felhasználót, akinek a fiókja jelenleg vagy veszélyeztetettnek minősült. A kockázatos felhasználókat ki kell vizsgálni és orvosolni kell az erőforrásokhoz való jogosulatlan hozzáférés megakadályozása érdekében. Javasoljuk, hogy a magas kockázatú felhasználókkal kezdjen, mert nagy a megbízhatósága a kompromisszumnak. További információ arról, hogy a szintek mit jeleznek

Mitől kockázatos egy felhasználó?

A felhasználó kockázatos felhasználóvá válik, ha:

• Legalább egy kockázatos bejelentkezésük van.
• Egy vagy több kockázatot észlelnek a fiókjukban, például a kiszivárgott hitelesítő adatokat.

Hogyan vizsgálhatja meg a kockázatos felhasználókat?

A kockázatos felhasználók megtekintéséhez és vizsgálatához lépjen a Kockázatos felhasználók jelentéshez, és használja a szűrőket az eredmények kezeléséhez. Az oldal tetején lehetőség van további oszlopok hozzáadására, például kockázati szint, állapot és kockázat részleteinek hozzáadására.

Amikor a rendszergazdák kiválasztanak egy felhasználót, megjelenik a Kockázatos felhasználó részletei panel. A kockázatos felhasználói adatok a következő információkat adják meg: felhasználói azonosító, irodai hely, legutóbbi kockázatos bejelentkezés, nem egy előzményhez kapcsolódó észlelések és kockázati előzmények. A Kockázatelőzmények lapon láthatók azok az események, amelyek az elmúlt 90 nap felhasználói kockázati változásához vezettek. Ez a lista olyan kockázatészleléseket tartalmaz, amelyek növelik a felhasználó kockázatát. Olyan felhasználói vagy rendszergazdai szervizelési műveleteket is tartalmazhat, amelyek csökkentik a felhasználó kockázatát; például egy felhasználó alaphelyzetbe állítja a jelszavát, vagy egy rendszergazda elveti a kockázatot.

Ha rendelkezik a Copilot for Security szolgáltatással, hozzáférhet egy természetes nyelven elérhető összefoglaláshoz, amely tartalmazza a felhasználói kockázati szint emelt szintű szintjét, útmutatást ad az enyhítéshez és a válaszadáshoz, valamint más hasznos elemekre vagy dokumentációkra mutató hivatkozásokat.

A Kockázatos felhasználók jelentés által biztosított információk birtokában a rendszergazdák a következő információkat tekinthetik meg:

• A szervizelt, elvetett vagy jelenleg veszélyben lévő felhasználói kockázat kivizsgálása szükséges
• Az észlelések részletei
• Egy adott felhasználóhoz társított kockázatos bejelentkezések
• Kockázati előzmények

A felhasználói szinten végzett műveletek az adott felhasználóhoz jelenleg társított összes észlelésre vonatkoznak. A rendszergazdák műveletet végezhetnek a felhasználókon, és a következő lehetőségek közül választhatnak:

• Jelszó alaphelyzetbe állítása – Ez a művelet visszavonja a felhasználó aktuális munkameneteit.
• Ellenőrizze, hogy a felhasználó sérült-e – Ez a művelet valódi pozitív eredményt ad . Az ID Protection magasra állítja a felhasználói kockázatot, és új észlelést ad hozzá, a rendszergazda megerősítette, hogy a felhasználó sérült. A felhasználót a szervizelési lépések végrehajtásáig kockázatosnak tekintjük.
• A felhasználó biztonságának megerősítése – Ez a művelet hamis pozitív értéken történik. Ezzel eltávolítja a felhasználóra vonatkozó kockázatokat és észleléseket, és tanulási módban helyezi el a használati tulajdonságok újratanulásához. Ezzel a beállítással hamis pozitív értékeket jelölhet meg.
• Felhasználói kockázat elvetése – Ez a művelet jóindulatú pozitív felhasználói kockázattal jár. Ez a felhasználói kockázat, amit észleltünk, valós, de nem rosszindulatú, mint egy ismert behatolási teszt. A kockázat továbbhaladásáért a hasonló felhasználókat továbbra is értékelni kell.
• Felhasználó letiltása – Ez a művelet megakadályozza, hogy a felhasználó bejelentkezhessen, ha a támadó hozzáfér a jelszóhoz, vagy képes az MFA végrehajtására.
• Vizsgálat a Microsoft 365 Defenderrel – Ez a művelet a rendszergazdákat a Microsoft Defender portálra viszi, hogy a rendszergazdák tovább vizsgálhassanak.

Kockázatos bejelentkezések jelentés

A kockázatos bejelentkezések jelentés az elmúlt 30 napra (egy hónapra) szűrhető adatokat tartalmaz. Az ID Protection kiértékeli az összes hitelesítési folyamat kockázatát, függetlenül attól, hogy interaktív vagy nem interaktív. A Kockázatos bejelentkezések jelentés az interaktív és a nem interaktív bejelentkezéseket is megjeleníti. A nézet módosításához használja a "bejelentkezési típus" szűrőt.

A Kockázatos bejelentkezések jelentés által biztosított információk birtokában a rendszergazdák megtekinthetik a következőt:

• Veszélyben lévő, megerősített, biztonságos, elutasított vagy szervizelt bejelentkezések.
• A bejelentkezési kísérletekhez kapcsolódó valós idejű és összesített kockázati szintek.
• Aktivált észlelési típusok
• Feltételes hozzáférési szabályzatok alkalmazása
• MFA részletei
• Eszközadatok
• Application information (Alkalmazásadatok)
• Helyadatok

A rendszergazdák műveletet végezhetnek a kockázatos bejelentkezési eseményeken, és a következő lehetőségek közül választhatnak:

• Győződjön meg arról, hogy a bejelentkezés sérült – Ez a művelet megerősíti, hogy a bejelentkezés valódi pozitív. A bejelentkezés kockázatosnak minősül, amíg meg nem történik a szervizelési lépések végrehajtása. 
• Erősítse meg a biztonságos bejelentkezést – Ez a művelet megerősíti, hogy a bejelentkezés hamis pozitív. A hasonló bejelentkezések a jövőben nem tekinthetők kockázatosnak. 
• Bejelentkezési kockázat elvetése – Ezt a műveletet jóindulatú valódi pozitív értékre használja a rendszer. Az észlelt bejelentkezési kockázat valós, de nem rosszindulatú, mint egy ismert behatolási teszt vagy egy jóváhagyott alkalmazás által létrehozott ismert tevékenység. A kockázat továbbhaladása érdekében a hasonló bejelentkezéseket továbbra is értékelni kell.

Ha többet szeretne megtudni arról, hogy mikor érdemes elvégezni ezeket a műveleteket, olvassa el a Microsoft kockázattal kapcsolatos visszajelzéseinek használatát ismertető témakört .

Kockázatészlelési jelentés

A kockázatészlelési jelentés az elmúlt 90 napra (három hónapra) szűrhető adatokat tartalmaz.

A Kockázatészlelési jelentés által biztosított információk alapján a rendszergazdák a következő információkat találják:

• Információk az egyes kockázatészlelésekről
• Támadás típusa a MITRE ATT&CK-keretrendszer alapján
• Egyidejűleg kiváltott egyéb kockázatok
• Bejelentkezési kísérlet helye
• A Felhőhöz készült Microsoft Defender-alkalmazások további részleteire mutató hivatkozás.

A rendszergazdák ezután dönthetnek úgy, hogy visszatérnek a felhasználó kockázati vagy bejelentkezési jelentéséhez, hogy műveleteket hajtsanak végre az összegyűjtött információk alapján.

Feljegyzés

Rendszerünk azt észlelheti, hogy a felhasználói kockázati pontszámhoz hozzájáruló kockázati esemény hamis pozitív volt, vagy a felhasználói kockázat elhárítása szabályzatkényszerítéssel történt, például MFA-kérés végrehajtása vagy jelszó biztonságos módosítása. Ezért a rendszerünk elutasítja a kockázati állapotot, és a "AI által megerősített bejelentkezés biztonságos" kockázati részlete felszínre kerül, és a továbbiakban nem járul hozzá a felhasználó kockázatához.

Kezdeti osztályozás

A kezdeti osztályozás indításakor a következő műveleteket javasoljuk:

1. Tekintse át az ID Protection irányítópultot a támadások számának, a magas kockázatú felhasználók számának és más fontos metrikáknak a környezetbeli észlelések alapján történő megjelenítéséhez.
2. Tekintse át a hatáselemzési munkafüzetet, és ismerje meg azokat a forgatókönyveket, amelyekben a kockázat nyilvánvaló a környezetben, és a kockázatalapú hozzáférési szabályzatokat engedélyezni kell a magas kockázatú felhasználók és bejelentkezések kezeléséhez.
3. Adjon hozzá vállalati VPN-eket és IP-címtartományokat nevesített helyekhez a hamis pozitív értékek csökkentése érdekében.
4. Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
5. Tekintse át a naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez a tevékenység több feltört fiókra utalhat.
   1. Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani őket egy feltételes hozzáférési szabályzattal.
   2. Tekintse át, hogy mely erőforrások kerülhetnek veszélybe, beleértve a lehetséges adatletöltéseket vagy a felügyeleti módosításokat.
   3. Önkiszolgáló szervizelési szabályzatok engedélyezése feltételes hozzáféréssel
6. Ellenőrizze, hogy a felhasználó más kockázatos tevékenységeket hajtott-e végre, például nagy mennyiségű fájlt tölt le egy új helyről. Ez a viselkedés erős jelzése egy lehetséges kompromisszumnak.

Ha azt gyanítja, hogy egy támadó megszemélyesítheti a felhasználót, akkor a felhasználónak vissza kell állítania a jelszavát, el kell végeznie az MFA-t, vagy le kell tiltani a felhasználót, és vissza kell vonnia az összes frissítési és hozzáférési jogkivonatot.

Vizsgálati és kockázat-szervizelési keretrendszer

A szervezetek a következő keretrendszer használatával kezdhetik meg a gyanús tevékenységek vizsgálatát. Az ajánlott első lépés az önműködő szervizelés, ha ez egy lehetőség. Az önjavítás történhet önkiszolgáló jelszó-visszaállítással vagy egy kockázatalapú feltételes hozzáférési szabályzat szervizelési folyamatával.

Ha az önkiszolgáló szervizelés nem megoldás, a rendszergazdának orvosolnia kell a kockázatot. A szervizelés egy jelszó-visszaállítás meghívásával történik, amely megköveteli a felhasználótól, hogy regisztrálja újra az MFA-t, blokkolja a felhasználót, vagy állítsa vissza a felhasználói munkameneteket a forgatókönyvtől függően. Az alábbi folyamatábra a kockázat észlelése után javasolt folyamatot mutatja be:

A kockázat megfékezése után további vizsgálatra lehet szükség a kockázat biztonságosként való megjelöléséhez, feltöréséhez vagy elutasításához. Ahhoz, hogy biztos következtetést vonjon le, szükség lehet a következőre: beszélgetésre van szükség a szóban forgó felhasználóval, áttekinteni a bejelentkezési naplókat, áttekinteni az auditnaplókat, vagy lekérdezni a kockázati naplókat a Log Analyticsben. A vizsgálat ezen szakaszában az alábbi javasolt műveleteket vázolja fel:

1. Ellenőrizze a naplókat, és ellenőrizze, hogy a tevékenység normális-e az adott felhasználó számára.
   1. Tekintse meg a felhasználó korábbi tevékenységeit, beleértve a következő tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
      1. Alkalmazás
      2. Eszköz – Regisztrálva van vagy megfelel az eszköznek?
      3. Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
      4. IP-cím
      5. Felhasználói ügynök sztringje
   2. Ha rendelkezik hozzáféréssel más biztonsági eszközökhöz, például a Microsoft Sentinelhez, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
   3. A Microsoft 365 Defenderhez hozzáféréssel rendelkező szervezetek más kapcsolódó riasztásokkal, incidensekkel és a MITRE ATT&CK-láncgal követhetik a felhasználói kockázati eseményeket.
      1. A Kockázatos felhasználók jelentésből való navigáláshoz jelölje ki a felhasználót a Kockázatos felhasználók jelentésben, és válassza ki a három pontot (...) az eszköztáron, majd válassza a Vizsgálat a Microsoft 365 Defenderrel lehetőséget.
2. Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést; azonban fontolja meg, hogy az olyan módszerek, mint az e-mail vagy a Teams biztonsága sérülhet.
   1. Győződjön meg az ön által megadott adatokról, például:
      1. Időbélyegző
      2. Alkalmazás
      3. Eszköz
      4. Hely
      5. IP-cím
3. A vizsgálat eredményeitől függően jelölje meg a felhasználót vagy a bejelentkezést igazoltan sérültnek, biztonságosnak, vagy zárja be a kockázatot.
4. Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a hasonló támadások megelőzése vagy a lefedettség hiányosságainak elhárítása érdekében.

Adott észlelések vizsgálata

Microsoft Entra fenyegetésintelligencia

A Microsoft Entra Threat Intelligence kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket a Kockázatészlelés részletei panel "további információ" mezőjében megadott információk alapján:

1. A bejelentkezés gyanús IP-címről történt:
   1. Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
   2. Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
   3. Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
   4. Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.
2. Ez a fiók jelszópermetes támadás áldozata volt:
   1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
   2. Vannak-e olyan bejelentkezések, amelyek hasonló atipikus mintákkal rendelkeznek az észlelt bejelentkezés során ugyanazon az időkereten belül? A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következő esetekben:
      1. Felhasználói ügynök sztringje
      2. Alkalmazás
      3. Protokoll
      4. IP-címek/ASN-tartományok
      5. Bejelentkezések időpontja és gyakorisága
3. Ezt az észlelést egy valós idejű szabály aktiválta:
   1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezek az információk a szabályhoz rendelt TI_RI_#### számmal találhatók.
   2. A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítése által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.

Atipikus utazási észlelések vizsgálata

1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
   1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához és a jelszó alaphelyzetbe állításához.
2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
   1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
3. Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott:
   1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
4. Ha meg tudja erősíteni, hogy az IP-címtartomány egy engedélyezett VPN-ből származik.
   1. Javasolt művelet: Győződjön meg arról, hogy a bejelentkezés biztonságos, és adja hozzá a VPN IP-címtartományt a Microsoft Entra id és Felhőhöz készült Microsoft Defender Apps névvel ellátott helyekhez.

Rendellenes jogkivonat és tokenkibocsátó anomáliadetektálásának vizsgálata

1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre a kockázati riasztások, a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más, a felhasználó számára váratlan jellemzők kombinációjával:
   1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy végrehajtásához.
   2. Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.
2. Ha meg tudja erősíteni a helyet, az alkalmazást, az IP-címet, a felhasználói ügynököt vagy más jellemzőket a felhasználó számára, és nincsenek más biztonsági jelek:
   1. Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.
3. A jogkivonat-alapú észlelések további vizsgálatához tekintse meg a jogkivonat-taktikákat ismertető blogbejegyzést : Hogyan előzheti meg, észlelheti és válaszolhatja meg a felhőbeli tokenlopásokat a tokenlopási vizsgálati forgatókönyvben.

Gyanús böngészőészlelések vizsgálata

• A böngészőt gyakran nem használja a felhasználó vagy a böngészőn belüli tevékenység nem egyezik a felhasználók szokásos viselkedésével.
  • Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához.
  • Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.

Rosszindulatú IP-címek észlelésének vizsgálata

1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
   1. Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
   2. Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás megköveteléséhez vagy az MFA végrehajtásához minden magas kockázatú bejelentkezéshez.
2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
   1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.

Jelszópermet-észlelések vizsgálata

1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
   1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
   1. Ajánlott művelet: Erősítse meg a biztonságos bejelentkezést.
3. Ha meg tudja erősíteni, hogy a fiók nem sérült, és nem lát találgatásos vagy jelszópermet jelzőt a fiókon.
   1. Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.

A jelszóspray-kockázat észlelésének további vizsgálatához tekintse meg a Jelszóspray-vizsgálat című cikket.

Kiszivárgott hitelesítő adatok észlelésének vizsgálata

• Ha ez az észlelés kiszivárgott hitelesítő adatot talált egy felhasználó számára:
  • Javasolt művelet: Ellenőrizze, hogy a felhasználó sérült-e, és ha még nem hajtotta végre önjavítással, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.

Következő lépések

• Felhasználók szervizelése és tiltásának feloldása
• A kockázatok csökkentésére rendelkezésre álló szabályzatok
• Bejelentkezési és felhasználói kockázati szabályzatok engedélyezése