Oktatóanyag: Kockázatos felhasználók vizsgálata
A biztonsági műveleti csapatok számára kihívást jelent a felhasználói tevékenységek gyanús vagy egyéb módon történő monitorozása az identitástámadási felület minden dimenziójában, több olyan biztonsági megoldás használatával, amelyek gyakran nincsenek csatlakoztatva. Bár sok vállalat már rendelkezik olyan vadászcsapatokkal, amelyek proaktív módon azonosítják a környezetükben lévő fenyegetéseket, a hatalmas mennyiségű adat ismerete kihívást jelenthet. Felhőhöz készült Microsoft Defender Az alkalmazások nem igényelnek összetett korrelációs szabályokat, és lehetővé teszi a felhőben és a helyszíni hálózaton átívelő támadások keresését.
A felhasználói identitásra való összpontosítás érdekében a Felhőhöz készült Microsoft Defender Apps felhasználói entitás viselkedéselemzést (UEBA) biztosít a felhőben. Az UEBA kiterjeszthető a helyszíni környezetre a Microsoft Defender for Identity integrálásával, amely után a felhasználói identitás kontextusát is megismerheti az Active Directoryval való natív integrációból.
Függetlenül attól, hogy az eseményindító az Felhőhöz készült Defender Alkalmazások irányítópultján látható riasztás, vagy egy külső biztonsági szolgáltatástól származó információval rendelkezik, indítsa el a vizsgálatot az Felhőhöz készült Defender Alkalmazások irányítópultjáról, hogy alapos betekintést nyújtson a kockázatos felhasználókba.
Ebben az oktatóanyagban megtudhatja, hogyan használhatja a Felhőhöz készült Defender-alkalmazásokat a kockázatos felhasználók vizsgálatára:
A vizsgálat prioritási pontszámának ismertetése
A vizsgálat prioritási pontszáma egy olyan pontszám, amelyet Felhőhöz készült Defender Apps minden felhasználónak ad, hogy tudja, mennyire kockázatos a felhasználó a szervezet többi felhasználójához képest. A vizsgálat prioritási pontszámával meghatározhatja, hogy mely felhasználókat vizsgálja először, és észlelje a szervezetében oldalirányban mozgó rosszindulatú belső és külső támadókat anélkül, hogy standard determinisztikus észlelésekre kellene támaszkodnia.
Minden Microsoft Entra-felhasználó dinamikus vizsgálati prioritási pontszámmal rendelkezik, amely folyamatosan frissül a Defender for Identity és Felhőhöz készült Defender Apps által kiértékelt adatokból származó legutóbbi viselkedés és hatás alapján.
Felhőhöz készült Defender Az alkalmazások minden felhasználóhoz létrehoznak felhasználói profilokat olyan elemzések alapján, amelyek figyelembe veszik a biztonsági riasztásokat és a rendellenes tevékenységeket, a társcsoportokat, a várható felhasználói tevékenységeket, valamint azt, hogy az adott felhasználó milyen hatással lehet az üzleti vagy vállalati eszközökre.
A felhasználó alapkonfigurációjában rendellenes tevékenység kiértékelése és pontszáma történik. A pontozás befejezése után a Microsoft saját fejlesztésű dinamikus társszámításai és gépi tanulása a felhasználói tevékenységeken fut, hogy kiszámítsa az egyes felhasználók vizsgálati prioritását.
A vizsgálat prioritási pontszáma alapján történő szűréssel, az egyes felhasználók üzleti hatásának közvetlen ellenőrzésével és az összes kapcsolódó tevékenység vizsgálatával azonnal megismerheti, hogy kik a valódi kockázatos felhasználók– legyen szó biztonsági résekről, adatok kiszivárgása vagy belső fenyegetésként való működésről.
Felhőhöz készült Defender Alkalmazások a következőket használják a kockázat mérésére:
Riasztási pontozás: A riasztási pontszám egy adott riasztás lehetséges hatását jelzi az egyes felhasználókra. A riasztások pontozása a súlyosságon, a felhasználói hatásokon, a felhasználók és a szervezet összes entitásán alapuló riasztások népszerűségén alapul.
Tevékenység pontozása: A tevékenység pontszáma egy adott tevékenységet végző felhasználó valószínűségét határozza meg a felhasználó és a társuk viselkedési tanulása alapján. A legbülsőbbként azonosított tevékenységek kapják a legmagasabb pontszámot.
Válassza ki egy riasztás vagy egy tevékenység vizsgálati prioritási pontszámát, hogy megtekintse azokat a bizonyítékokat, amelyek azt vizsgálják, hogy Felhőhöz készült Defender Alkalmazások hogyan értékelték a tevékenységet.
Feljegyzés
2024 augusztusára fokozatosan visszavonulunk a vizsgálati prioritási pontszámok Felhőhöz készült Microsoft Defender-alkalmazások riasztásától. A jelen cikkben ismertetett vizsgálati prioritási pontszámot és eljárást ez a változás nem érinti.
További információ: A vizsgálati prioritás pontszáma növeli az elavulás idővonalát.
1. fázis: Csatlakozás a védeni kívánt alkalmazásokhoz
Csatlakozás legalább egy alkalmazást az ALKALMAZÁSOK API-összekötőkkel való Felhőhöz készült Microsoft Defender. Javasoljuk, hogy kezdje a Microsoft 365 csatlakoztatásával.
Csatlakozás más, proxyt használó alkalmazásokat a feltételes hozzáférésű alkalmazások vezérlésének megvalósításához.
2. fázis: A legkockázatosabb felhasználók azonosítása
Annak azonosítása, hogy kik a legkockázatosabb felhasználók az Felhőhöz készült Defender-alkalmazásokban:
A Microsoft Defender portál Eszközök területén válassza az Identitások lehetőséget. Rendezze a táblázatot vizsgálati prioritás szerint. Ezután egyenként nyissa meg a felhasználói oldalt, és vizsgálja meg őket.
A felhasználónév mellett található vizsgálati prioritási szám a felhasználó múlt heti kockázatos tevékenységeinek összegzése.
Jelölje ki a felhasználótól jobbra található három elemet, és válassza a Felhasználó megtekintése lap lehetőséget.
Tekintse át a felhasználó adatait tartalmazó lapon található információkat, hogy áttekintést kapjon a felhasználóról, és ellenőrizze, hogy vannak-e olyan pontok, ahol a felhasználó szokatlan vagy szokatlan időpontban végzett tevékenységeket.
A felhasználónak a szervezethez viszonyított pontszáma azt jelzi, hogy a felhasználó milyen százalékban van a szervezetében elfoglalt rangsora alapján – milyen magas a vizsgált felhasználók listájában a szervezet többi felhasználójához képest. A szám piros, ha egy felhasználó a kockázatos felhasználók 90. percentilisében van vagy annál magasabb a szervezeten belül.
A felhasználói adatok lap a következő kérdések megválaszolásában nyújt segítséget:
| Kérdés | Részletek |
|---|---|
| Ki a felhasználó? | Keresse meg a felhasználóval kapcsolatos alapvető részleteket, és hogy a rendszer mit tud róluk, beleértve a felhasználó vállalatban és részlegében betöltött szerepét is. Például a felhasználó devOps-mérnök, aki gyakran végez szokatlan tevékenységeket a munkájuk részeként? Vagy a felhasználó egy elégedetlen alkalmazott, aki most lett átadva egy promócióra? |
| Kockázatos a felhasználó? | Mi az alkalmazott kockázati pontszáma, és megéri a vizsgálatuk során? |
| Milyen kockázatot jelent a felhasználó a szervezetnek? | Görgessen le a felhasználóhoz kapcsolódó összes tevékenység és riasztás vizsgálatához, hogy megismerje a felhasználó által képviselt kockázat típusát. Az ütemtervben jelölje ki az egyes sorokat, hogy mélyebben részletezhesse magát a tevékenységet vagy a riasztást. Válassza ki a tevékenység melletti számot, hogy megértse a pontszámot befolyásoló bizonyítékokat. |
| Milyen kockázattal jár a szervezet többi objektuma? | Az Oldalirányú mozgási útvonalak lapon megismerheti, hogy a támadó milyen útvonalakat használhat a szervezet más eszközeinek irányításához. Ha például a vizsgált felhasználó nem érzéketlen fiókkal rendelkezik, a támadók a fiók kapcsolataival felderíthetik és megkísérelhetik feltörni a hálózat bizalmas fiókjait. További információ: Oldalirányú mozgási útvonalak használata. |
Feljegyzés
Bár a felhasználói adatok oldalai minden tevékenységre vonatkozóan információt nyújtanak az eszközökről, erőforrásokról és fiókokról, a vizsgálati prioritási pontszám tartalmazza az összes kockázatos tevékenység és riasztás összegét az elmúlt 7 napban.
Felhasználói pontszám visszaállítása
Ha a felhasználót kivizsgálták, és nem merült fel biztonsági rés gyanúja, vagy ha bármilyen más okból szeretné visszaállítani a felhasználó vizsgálati prioritási pontszámát, akkor manuálisan az alábbiak szerint:
A Microsoft Defender portál Eszközök területén válassza az Identitások lehetőséget.
Válassza ki a vizsgált felhasználótól jobbra található három pontot, majd válassza a Vizsgálat prioritási pontszámának alaphelyzetbe állítása lehetőséget. A felhasználói oldal megtekintése lehetőséget is választhatja, majd a Felhasználói adatok lapon található három pontból válassza a Vizsgálat prioritási pontszámának alaphelyzetbe állítása lehetőséget.
Feljegyzés
Csak a nem nulla vizsgálati prioritású pontszámmal rendelkező felhasználók állíthatók vissza.
A megerősítést kérő ablakban válassza a Pontszám visszaállítása lehetőséget.
3. fázis: A felhasználók további vizsgálata
Előfordulhat, hogy egyes tevékenységek önmagukban nem okoznak riasztást, de gyanús eseményre utalhatnak, ha más tevékenységekkel vannak összesítve.
Egy felhasználó vizsgálatakor a következő kérdéseket szeretné feltenni a megjelenő tevékenységekkel és riasztásokkal kapcsolatban:
Van üzleti indoka ennek az alkalmazottnak ezeknek a tevékenységeknek a elvégzésére? Ha például a marketingből valaki hozzáfér a kódbázishoz, vagy valaki a fejlesztésből fér hozzá a pénzügyi adatbázishoz, akkor az alkalmazottal kell gondoskodnia arról, hogy szándékos és indokolt tevékenységről van-e szó.
Miért kapott magas pontszámot ez a tevékenység, míg mások nem? Nyissa meg a tevékenységnaplót , és állítsa be a Vizsgálati prioritásta Gyanús tevékenységek megismeréséhez.
Szűrhet például egy adott földrajzi területen végzett összes tevékenység vizsgálati prioritása alapján. Ezután láthatja, hogy voltak-e más kockázatos tevékenységek, amelyekből a felhasználó kapcsolódott, és könnyedén áttérhet más részletezésekre, például a legutóbbi nem anomális felhőbeli és helyszíni tevékenységekre a vizsgálat folytatásához.
4. fázis: A szervezet védelme
Ha a vizsgálat arra a következtetésre vezet, hogy egy felhasználó biztonsága sérül, a kockázat csökkentéséhez kövesse az alábbi lépéseket.
Lépjen kapcsolatba a felhasználóval – Az Active Directory Felhőhöz készült Defender-alkalmazásaival integrált felhasználói kapcsolattartási adatok használatával részletezheti az egyes riasztásokat és tevékenységeket a felhasználói identitás feloldásához. Győződjön meg arról, hogy a felhasználó ismeri a tevékenységeket.
Közvetlenül a Microsoft Defender portál Identitások lapján válassza ki a vizsgált felhasználó három pontját, és döntse el, hogy a felhasználónak újra be kell-e jelentkeznie, fel kell függesztenie a felhasználót, vagy meg kell erősítenie, hogy a felhasználó sérült.
Sérült identitás esetén megkérheti a felhasználót, hogy állítsa alaphelyzetbe a jelszavát, és győződjön meg arról, hogy a jelszó megfelel az ajánlott eljárásokra vonatkozó irányelveknek a hosszúság és az összetettség szempontjából.
Ha részletez egy riasztást, és megállapítja, hogy a tevékenységnek nem kellett volna riasztást aktiválnia, a Tevékenység fiókban válassza a Visszajelzés küldése hivatkozást, hogy biztosan finomhangolhassuk a riasztási rendszert a szervezetével.
A probléma megoldása után zárja be a riasztást.
Lásd még
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: