A kockázatok kivizsgálásának módja
Microsoft Entra ID-védelem jelentéskészítést biztosít a szervezeteknek az identitáskockázatok vizsgálatához a környezetükben. Ezek a jelentések közé tartoznak a kockázatos felhasználók, a kockázatos bejelentkezések, a kockázatos számítási feladatok identitásai és a kockázatészlelések. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Ezek a jelentések lehetővé teszik az események letöltését. CSV formátuma vagy integrációja más biztonsági megoldásokkal, például egy dedikált biztonsági információ- és eseménykezelési (SIEM) eszközzel a további elemzéshez. A szervezetek a Microsoft Defender és a Microsoft Graph API-integráció előnyeit is kihasználhatják az adatok más forrásokkal való összesítéséhez.
A jelentések navigálása
A kockázati jelentések a Microsoft Entra Felügyeleti központban, a Protection>Identity Protection alatt találhatók. Közvetlenül a jelentésekhez navigálhat, vagy megtekintheti a fontos megállapítások összegzését az irányítópult nézetben, és onnan navigálhat a megfelelő jelentésekhez.
Minden jelentés elindul a jelentés tetején látható időszakra vonatkozó összes észlelés listájával. A rendszergazdák igény szerint szűrhetnek és adhatnak hozzá vagy távolíthatnak el oszlopokat. A rendszergazdák letölthetik az adatokat a következő helyen: . CSV vagy . JSON formátum további feldolgozáshoz.
Ha a rendszergazdák kiválasztanak egy vagy több bejegyzést, a kockázatok megerősítésére vagy elvetésére vonatkozó beállítások a jelentés tetején jelennek meg. Ha kiválaszt egy egyéni kockázati eseményt, megnyílik egy panel, amely további részleteket tartalmaz a vizsgálatokhoz való segítségnyújtáshoz.
A kockázatos felhasználók jelentése
A kockázatos felhasználók jelentése magában foglalja az összes olyan felhasználót, akinek a fiókja jelenleg vagy veszélyeztetettnek minősült. A kockázatos felhasználókat ki kell vizsgálni és orvosolni kell az erőforrásokhoz való jogosulatlan hozzáférés megakadályozása érdekében. Javasoljuk, hogy a magas kockázatú felhasználókkal kezdjen, mert nagy a megbízhatósága a kompromisszumnak. További információ arról, hogy a szintek mit jeleznek
Mitől kockázatos egy felhasználó?
A felhasználó kockázatos felhasználóvá válik, ha:
- Legalább egy kockázatos bejelentkezésük van.
- Egy vagy több kockázatot észlelnek a fiókjukban, például a kiszivárgott hitelesítő adatokat.
Hogyan vizsgálhatja meg a kockázatos felhasználókat?
A kockázatos felhasználók megtekintéséhez és vizsgálatához lépjen a Kockázatos felhasználók jelentéshez, és használja a szűrőket az eredmények kezeléséhez. Az oldal tetején lehetőség van további oszlopok hozzáadására, például kockázati szint, állapot és kockázat részleteinek hozzáadására.
Amikor a rendszergazdák kiválasztanak egy felhasználót, megjelenik a Kockázatos felhasználó részletei panel. A kockázatos felhasználói adatok a következő információkat adják meg: felhasználói azonosító, irodai hely, legutóbbi kockázatos bejelentkezés, nem egy előzményhez kapcsolódó észlelések és kockázati előzmények. A Kockázatelőzmények lapon láthatók azok az események, amelyek az elmúlt 90 nap felhasználói kockázati változásához vezettek. Ez a lista olyan kockázatészleléseket tartalmaz, amelyek növelik a felhasználó kockázatát. Olyan felhasználói vagy rendszergazdai szervizelési műveleteket is tartalmazhat, amelyek csökkentik a felhasználó kockázatát; például egy felhasználó alaphelyzetbe állítja a jelszavát, vagy egy rendszergazda elveti a kockázatot.
Ha rendelkezik a Copilot for Security szolgáltatással, hozzáférhet egy természetes nyelven elérhető összefoglaláshoz, amely tartalmazza a felhasználói kockázati szint emelt szintű szintjét, útmutatást ad az enyhítéshez és a válaszadáshoz, valamint más hasznos elemekre vagy dokumentációkra mutató hivatkozásokat.
A Kockázatos felhasználók jelentés által biztosított információk birtokában a rendszergazdák a következő információkat tekinthetik meg:
- A szervizelt, elvetett vagy jelenleg veszélyben lévő felhasználói kockázat kivizsgálása szükséges
- Az észlelések részletei
- Egy adott felhasználóhoz társított kockázatos bejelentkezések
- Kockázati előzmények
A felhasználói szinten végzett műveletek az adott felhasználóhoz jelenleg társított összes észlelésre vonatkoznak. A rendszergazdák műveletet végezhetnek a felhasználókon, és a következő lehetőségek közül választhatnak:
- Jelszó alaphelyzetbe állítása – Ez a művelet visszavonja a felhasználó aktuális munkameneteit.
- Ellenőrizze, hogy a felhasználó sérült-e – Ez a művelet valódi pozitív eredményt ad . Az ID Protection magasra állítja a felhasználói kockázatot, és új észlelést ad hozzá, a rendszergazda megerősítette, hogy a felhasználó sérült. A felhasználót a szervizelési lépések végrehajtásáig kockázatosnak tekintjük.
- A felhasználó biztonságának megerősítése – Ez a művelet hamis pozitív értéken történik. Ezzel eltávolítja a felhasználóra vonatkozó kockázatokat és észleléseket, és tanulási módban helyezi el a használati tulajdonságok újratanulásához. Ezzel a beállítással hamis pozitív értékeket jelölhet meg.
- Felhasználói kockázat elvetése – Ez a művelet jóindulatú pozitív felhasználói kockázattal jár. Ez a felhasználói kockázat, amit észleltünk, valós, de nem rosszindulatú, mint egy ismert behatolási teszt. A kockázat továbbhaladásáért a hasonló felhasználókat továbbra is értékelni kell.
- Felhasználó letiltása – Ez a művelet megakadályozza, hogy a felhasználó bejelentkezhessen, ha a támadó hozzáfér a jelszóhoz, vagy képes az MFA végrehajtására.
- Vizsgálat a Microsoft 365 Defenderrel – Ez a művelet a rendszergazdákat a Microsoft Defender portálra viszi, hogy a rendszergazdák tovább vizsgálhassanak.
Kockázatos bejelentkezések jelentés
A kockázatos bejelentkezések jelentés az elmúlt 30 napra (egy hónapra) szűrhető adatokat tartalmaz. Az ID Protection kiértékeli az összes hitelesítési folyamat kockázatát, függetlenül attól, hogy interaktív vagy nem interaktív. A Kockázatos bejelentkezések jelentés az interaktív és a nem interaktív bejelentkezéseket is megjeleníti. A nézet módosításához használja a "bejelentkezési típus" szűrőt.
A Kockázatos bejelentkezések jelentés által biztosított információk birtokában a rendszergazdák megtekinthetik a következőt:
- Veszélyben lévő, megerősített, biztonságos, elutasított vagy szervizelt bejelentkezések.
- A bejelentkezési kísérletekhez kapcsolódó valós idejű és összesített kockázati szintek.
- Aktivált észlelési típusok
- Feltételes hozzáférési szabályzatok alkalmazása
- MFA részletei
- Eszközadatok
- Application information (Alkalmazásadatok)
- Helyadatok
A rendszergazdák műveletet végezhetnek a kockázatos bejelentkezési eseményeken, és a következő lehetőségek közül választhatnak:
- Győződjön meg arról, hogy a bejelentkezés sérült – Ez a művelet megerősíti, hogy a bejelentkezés valódi pozitív. A bejelentkezés kockázatosnak minősül, amíg meg nem történik a szervizelési lépések végrehajtása.
- Erősítse meg a biztonságos bejelentkezést – Ez a művelet megerősíti, hogy a bejelentkezés hamis pozitív. A hasonló bejelentkezések a jövőben nem tekinthetők kockázatosnak.
- Bejelentkezési kockázat elvetése – Ezt a műveletet jóindulatú valódi pozitív értékre használja a rendszer. Az észlelt bejelentkezési kockázat valós, de nem rosszindulatú, mint egy ismert behatolási teszt vagy egy jóváhagyott alkalmazás által létrehozott ismert tevékenység. A kockázat továbbhaladása érdekében a hasonló bejelentkezéseket továbbra is értékelni kell.
Ha többet szeretne megtudni arról, hogy mikor érdemes elvégezni ezeket a műveleteket, olvassa el a Microsoft kockázattal kapcsolatos visszajelzéseinek használatát ismertető témakört .
Kockázatészlelési jelentés
A kockázatészlelési jelentés az elmúlt 90 napra (három hónapra) szűrhető adatokat tartalmaz.
A Kockázatészlelési jelentés által biztosított információk alapján a rendszergazdák a következő információkat találják:
- Információk az egyes kockázatészlelésekről
- Támadás típusa a MITRE ATT&CK-keretrendszer alapján
- Egyidejűleg kiváltott egyéb kockázatok
- Bejelentkezési kísérlet helye
- A Felhőhöz készült Microsoft Defender-alkalmazások további részleteire mutató hivatkozás.
A rendszergazdák ezután dönthetnek úgy, hogy visszatérnek a felhasználó kockázati vagy bejelentkezési jelentéséhez, hogy műveleteket hajtsanak végre az összegyűjtött információk alapján.
Feljegyzés
Rendszerünk azt észlelheti, hogy a felhasználói kockázati pontszámhoz hozzájáruló kockázati esemény hamis pozitív volt, vagy a felhasználói kockázat elhárítása szabályzatkényszerítéssel történt, például MFA-kérés végrehajtása vagy jelszó biztonságos módosítása. Ezért a rendszerünk elutasítja a kockázati állapotot, és a "AI által megerősített bejelentkezés biztonságos" kockázati részlete felszínre kerül, és a továbbiakban nem járul hozzá a felhasználó kockázatához.
Kezdeti osztályozás
A kezdeti osztályozás indításakor a következő műveleteket javasoljuk:
- Tekintse át az ID Protection irányítópultot a támadások számának, a magas kockázatú felhasználók számának és más fontos metrikáknak a környezetbeli észlelések alapján történő megjelenítéséhez.
- Tekintse át a hatáselemzési munkafüzetet, és ismerje meg azokat a forgatókönyveket, amelyekben a kockázat nyilvánvaló a környezetben, és a kockázatalapú hozzáférési szabályzatokat engedélyezni kell a magas kockázatú felhasználók és bejelentkezések kezeléséhez.
- Adjon hozzá vállalati VPN-eket és IP-címtartományokat nevesített helyekhez a hamis pozitív értékek csökkentése érdekében.
- Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
- Tekintse át a naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez a tevékenység több feltört fiókra utalhat.
- Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani őket egy feltételes hozzáférési szabályzattal.
- Tekintse át, hogy mely erőforrások kerülhetnek veszélybe, beleértve a lehetséges adatletöltéseket vagy a felügyeleti módosításokat.
- Önkiszolgáló szervizelési szabályzatok engedélyezése feltételes hozzáféréssel
- Ellenőrizze, hogy a felhasználó más kockázatos tevékenységeket hajtott-e végre, például nagy mennyiségű fájlt tölt le egy új helyről. Ez a viselkedés erős jelzése egy lehetséges kompromisszumnak.
Ha azt gyanítja, hogy egy támadó megszemélyesítheti a felhasználót, akkor a felhasználónak vissza kell állítania a jelszavát, el kell végeznie az MFA-t, vagy le kell tiltani a felhasználót, és vissza kell vonnia az összes frissítési és hozzáférési jogkivonatot.
Vizsgálati és kockázat-szervizelési keretrendszer
A szervezetek a következő keretrendszer használatával kezdhetik meg a gyanús tevékenységek vizsgálatát. Az ajánlott első lépés az önműködő szervizelés, ha ez egy lehetőség. Az önjavítás történhet önkiszolgáló jelszó-visszaállítással vagy egy kockázatalapú feltételes hozzáférési szabályzat szervizelési folyamatával.
Ha az önkiszolgáló szervizelés nem megoldás, a rendszergazdának orvosolnia kell a kockázatot. A szervizelés egy jelszó-visszaállítás meghívásával történik, amely megköveteli a felhasználótól, hogy regisztrálja újra az MFA-t, blokkolja a felhasználót, vagy állítsa vissza a felhasználói munkameneteket a forgatókönyvtől függően. Az alábbi folyamatábra a kockázat észlelése után javasolt folyamatot mutatja be:
A kockázat megfékezése után további vizsgálatra lehet szükség a kockázat biztonságosként való megjelöléséhez, feltöréséhez vagy elutasításához. Ahhoz, hogy biztos következtetést vonjon le, szükség lehet a következőre: beszélgetésre van szükség a szóban forgó felhasználóval, áttekinteni a bejelentkezési naplókat, áttekinteni az auditnaplókat, vagy lekérdezni a kockázati naplókat a Log Analyticsben. A vizsgálat ezen szakaszában az alábbi javasolt műveleteket vázolja fel:
- Ellenőrizze a naplókat, és ellenőrizze, hogy a tevékenység normális-e az adott felhasználó számára.
- Tekintse meg a felhasználó korábbi tevékenységeit, beleértve a következő tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
- Alkalmazás
- Eszköz – Regisztrálva van vagy megfelel az eszköznek?
- Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
- IP-cím
- Felhasználói ügynök sztringje
- Ha rendelkezik hozzáféréssel más biztonsági eszközökhöz, például a Microsoft Sentinelhez, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
- A Microsoft 365 Defenderhez hozzáféréssel rendelkező szervezetek más kapcsolódó riasztásokkal, incidensekkel és a MITRE ATT&CK-láncgal követhetik a felhasználói kockázati eseményeket.
- A Kockázatos felhasználók jelentésből való navigáláshoz jelölje ki a felhasználót a Kockázatos felhasználók jelentésben, és válassza ki a három pontot (...) az eszköztáron, majd válassza a Vizsgálat a Microsoft 365 Defenderrel lehetőséget.
- Tekintse meg a felhasználó korábbi tevékenységeit, beleértve a következő tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
- Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést; azonban fontolja meg, hogy az olyan módszerek, mint az e-mail vagy a Teams biztonsága sérülhet.
- Győződjön meg az ön által megadott adatokról, például:
- Időbélyegző
- Alkalmazás
- Eszköz
- Hely
- IP-cím
- Győződjön meg az ön által megadott adatokról, például:
- A vizsgálat eredményeitől függően jelölje meg a felhasználót vagy a bejelentkezést igazoltan sérültnek, biztonságosnak, vagy zárja be a kockázatot.
- Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a hasonló támadások megelőzése vagy a lefedettség hiányosságainak elhárítása érdekében.
Adott észlelések vizsgálata
Microsoft Entra fenyegetésintelligencia
A Microsoft Entra Threat Intelligence kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket a Kockázatészlelés részletei panel "további információ" mezőjében megadott információk alapján:
- A bejelentkezés gyanús IP-címről történt:
- Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
- Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
- Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
- Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.
- Ez a fiók jelszópermetes támadás áldozata volt:
- Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
- Vannak-e olyan bejelentkezések, amelyek hasonló atipikus mintákkal rendelkeznek az észlelt bejelentkezés során ugyanazon az időkereten belül? A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következő esetekben:
- Felhasználói ügynök sztringje
- Alkalmazás
- Protokoll
- IP-címek/ASN-tartományok
- Bejelentkezések időpontja és gyakorisága
- Ezt az észlelést egy valós idejű szabály aktiválta:
- Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezek az információk a szabályhoz rendelt TI_RI_#### számmal találhatók.
- A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítése által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.
Atipikus utazási észlelések vizsgálata
- Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
- Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához és a jelszó alaphelyzetbe állításához.
- Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
- Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
- Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott:
- Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
- Ha meg tudja erősíteni, hogy az IP-címtartomány egy engedélyezett VPN-ből származik.
- Javasolt művelet: Győződjön meg arról, hogy a bejelentkezés biztonságos, és adja hozzá a VPN IP-címtartományt a Microsoft Entra id és Felhőhöz készült Microsoft Defender Apps névvel ellátott helyekhez.
Rendellenes jogkivonat és tokenkibocsátó anomáliadetektálásának vizsgálata
- Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre a kockázati riasztások, a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más, a felhasználó számára váratlan jellemzők kombinációjával:
- Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy végrehajtásához.
- Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.
- Ha meg tudja erősíteni a helyet, az alkalmazást, az IP-címet, a felhasználói ügynököt vagy más jellemzőket a felhasználó számára, és nincsenek más biztonsági jelek:
- Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.
- A jogkivonat-alapú észlelések további vizsgálatához tekintse meg a jogkivonat-taktikákat ismertető blogbejegyzést : Hogyan előzheti meg, észlelheti és válaszolhatja meg a felhőbeli tokenlopásokat a tokenlopási vizsgálati forgatókönyvben.
Gyanús böngészőészlelések vizsgálata
- A böngészőt gyakran nem használja a felhasználó vagy a böngészőn belüli tevékenység nem egyezik a felhasználók szokásos viselkedésével.
- Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához.
- Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.
Rosszindulatú IP-címek észlelésének vizsgálata
- Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
- Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
- Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás megköveteléséhez vagy az MFA végrehajtásához minden magas kockázatú bejelentkezéshez.
- Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
- Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
Jelszópermet-észlelések vizsgálata
- Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
- Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
- Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
- Ajánlott művelet: Erősítse meg a biztonságos bejelentkezést.
- Ha meg tudja erősíteni, hogy a fiók nem sérült, és nem lát találgatásos vagy jelszópermet jelzőt a fiókon.
- Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.
A jelszóspray-kockázat észlelésének további vizsgálatához tekintse meg a Jelszóspray-vizsgálat című cikket.
Kiszivárgott hitelesítő adatok észlelésének vizsgálata
- Ha ez az észlelés kiszivárgott hitelesítő adatot talált egy felhasználó számára:
- Javasolt művelet: Ellenőrizze, hogy a felhasználó sérült-e, és ha még nem hajtotta végre önjavítással, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.