Oktatóanyag: Kockázatos felhasználók vizsgálata
Fontos
2024 novemberétől megszűnik a kockázatos felhasználók Microsoft Defender for Cloud Apps támogatása. Ezért az ebben a cikkben bemutatott örökölt eljárás csak tájékoztatási célokra szolgál.
A biztonsági üzemeltetési csapatok számára kihívást jelent a felhasználói tevékenységek gyanús vagy egyéb módon történő monitorozása az identitástámadási felület minden dimenziójában, több olyan biztonsági megoldás használatával, amelyek gyakran nincsenek csatlakoztatva. Bár számos vállalat már rendelkezik vadászcsapatokkal, hogy proaktívan azonosítsák a környezetükben lévő fenyegetéseket, nagy mennyiségű adat ismeretében kihívást jelenthet, ha tudja, mit kell keresnie. Microsoft Defender for Cloud Apps megszünteti az összetett korrelációs szabályok létrehozásának szükségességét, és lehetővé teszi a felhőre és a helyszíni hálózatra kiterjedő támadások keresését.
Annak érdekében, hogy a felhasználói identitásra összpontosíthasson, Microsoft Defender for Cloud Apps a felhasználói entitások viselkedéselemzését (UEBA) biztosítja a felhőben. Az UEBA kiterjeszthető a helyszíni környezetre a Microsoft Defender for Identity integrálásával, amely után a felhasználói identitás kontextusát is megismerheti az Active Directoryval való natív integrációból.
Függetlenül attól, hogy az eseményindító az Defender for Cloud Apps irányítópulton megjelenő riasztás, vagy egy külső biztonsági szolgáltatástól származó információval rendelkezik, kezdje el a vizsgálatot az Defender for Cloud Apps irányítópulton, hogy részletesen megismerje a kockázatos felhasználókat.
Ebből az oktatóanyagból megtudhatja, hogyan használhatja a Defender for Cloud Apps a kockázatos felhasználók vizsgálatához:
A vizsgálat prioritási pontszámának megismerése
A vizsgálat prioritási pontszáma egy olyan pontszám, amelyet Defender for Cloud Apps ad minden felhasználónak, hogy tudja, mennyire kockázatos a felhasználó a szervezet többi felhasználójához képest. A vizsgálat prioritási pontszámával meghatározhatja, hogy mely felhasználókat kell először kivizsgálni, és észlelheti a szervezetében oldalirányúan mozgó rosszindulatú belső és külső támadókat anélkül, hogy szabványos determinisztikus észlelésekre kellene támaszkodnia.
Minden Microsoft Entra felhasználó dinamikus vizsgálati prioritási pontszámmal rendelkezik, amely folyamatosan frissül a Defender for Identity és a Defender for Cloud Apps által kiértékelt adatokból származó legutóbbi viselkedés és hatás alapján.
Defender for Cloud Apps minden felhasználóhoz létrehoz felhasználói profilokat az olyan elemzések alapján, amelyek figyelembe veszik a biztonsági riasztásokat és az idő múlásával járó rendellenes tevékenységeket, a társcsoportokat, a várható felhasználói tevékenységeket, valamint azt, hogy egy adott felhasználó milyen hatással lehet az üzleti vagy vállalati eszközökre.
A rendszer kiértékeli és pontozza a felhasználó alapkonfigurációjának rendellenes tevékenységeit. A pontozás befejezése után a Microsoft saját fejlesztésű dinamikus társszámításai és gépi tanulása a felhasználói tevékenységeken fut, hogy kiszámítsa az egyes felhasználók vizsgálati prioritását.
Azonnal megtudhatja, hogy kik a legnagyobb kockázatú felhasználók a Vizsgálat prioritási pontszáma alapján történő szűréssel, az egyes felhasználók üzleti hatásának közvetlen ellenőrzésével, valamint az összes kapcsolódó tevékenység vizsgálatával – akár feltörték, akár adatokat szűrtek ki, akár belső fenyegetésként viselkedtek.
Defender for Cloud Apps a kockázat mérésére a következőket használja:
Riasztások pontozása: A riasztási pontszám egy adott riasztás felhasználóra gyakorolt lehetséges hatását jelöli. A riasztások pontozása a súlyosságon, a felhasználói hatáson, a riasztások felhasználók közötti népszerűségén és a szervezet összes entitásán alapul.
Tevékenység pontozása: A tevékenység pontszáma a felhasználó és a társaik viselkedési tanulása alapján határozza meg, hogy egy adott felhasználó milyen valószínűséggel végez egy adott tevékenységet. A legbülsőbbként azonosított tevékenységek kapják a legmagasabb pontszámot.
Válassza ki egy riasztás vagy tevékenység vizsgálati prioritási pontszámát, hogy megtekintse azokat a bizonyítékokat, amelyekből megtudhatja, hogyan Defender for Cloud Apps pontozza a tevékenységet.
1. fázis: Csatlakozás a védeni kívánt alkalmazásokhoz
Csatlakozzon legalább egy alkalmazáshoz az API-összekötők használatával Microsoft Defender for Cloud Apps. Javasoljuk, hogy először csatlakoztassa a Microsoft 365-öt.
Microsoft Entra ID alkalmazások automatikusan elő vannak készítve a feltételes hozzáférésű alkalmazások vezérléséhez.
2. fázis: A kockázatos felhasználók azonosítása
Annak azonosítása, hogy kik a legkockázatosak a Defender for Cloud Apps:
A Microsoft Defender Portál Eszközök területén válassza az Identitások lehetőséget. Rendezze a táblát a Vizsgálat prioritása szerint. Ezután egyenként nyissa meg a felhasználói oldalt, és vizsgálja meg őket.
A vizsgálat prioritási száma, amely a felhasználónév mellett található, a felhasználó kockázatos tevékenységeinek összege az elmúlt héten.Kattintson a felhasználótól jobbra található három pontra, és válassza a Felhasználó megtekintése lap lehetőséget.
Tekintse át a felhasználó adatait tartalmazó lapon található információkat, és tekintse át a felhasználó áttekintését, és ellenőrizze, hogy vannak-e olyan pontok, ahol a felhasználó szokatlan vagy szokatlan időpontban végzett tevékenységeket.
A felhasználó szervezeti pontszáma a szervezethez képest azt jelzi, hogy a felhasználó milyen percentilisben van a szervezeten belüli rangsorolása alapján – milyen magas a vizsgált felhasználók listáján a szervezet többi felhasználójához képest. A szám piros, ha egy felhasználó a kockázatos felhasználók 90. percentilisében vagy felette van a szervezetben.
A felhasználói adatok lap a következő kérdések megválaszolásában nyújt segítséget:
Kérdés | Részletek |
---|---|
Ki a felhasználó? | Keressen alapvető részleteket a felhasználóról és arról, hogy mit tud róluk a rendszer, beleértve a felhasználó cégben és részlegében betöltött szerepét. Például a felhasználó egy DevOps-mérnök, aki gyakran szokatlan tevékenységeket végez a munkája részeként? Vagy a felhasználó egy elégedetlen alkalmazott, akit most adott át egy promócióra? |
Kockázatos a felhasználó? | Mi az alkalmazott kockázati pontszáma, és megéri a vizsgálat során? |
Milyen kockázatot jelent a felhasználó a szervezet számára? | Görgessen le a felhasználóhoz kapcsolódó összes tevékenység és riasztás vizsgálatához, hogy megismerje a felhasználó által képviselt kockázat típusát. Az ütemtervben jelölje ki az egyes sorokat, hogy mélyebben lefúrja magát a tevékenységet vagy a riasztást. Válassza ki a tevékenység melletti számot, hogy megértse a pontszámot befolyásoló bizonyítékokat. |
Milyen kockázattal jár a szervezet más eszközei? | Válassza az Oldalirányú mozgási útvonalak lapot annak megértéséhez, hogy a támadó milyen útvonalakat használhat a szervezet más eszközeinek irányításához. Ha például a vizsgált felhasználó nem érzéketlen fiókkal rendelkezik, a támadó a fiókkal létesített kapcsolatokkal felderítheti és megkísérelheti feltörni a hálózat bizalmas fiókjait. További információ: Oldalirányú mozgási útvonalak használata. |
Megjegyzés:
Bár a felhasználói adatokat tartalmazó lapok az összes tevékenységhez információt nyújtanak az eszközökről, erőforrásokról és fiókokról, a vizsgálat prioritási pontszáma tartalmazza az elmúlt 7 nap kockázatos tevékenységeinek és riasztásainak összegét .
Felhasználói pontszám alaphelyzetbe állítása
Ha a felhasználót kivizsgálták, és nem talált biztonsági sérülés gyanúját, vagy ha bármilyen más okból vissza szeretné állítani a felhasználó vizsgálati prioritási pontszámát, manuálisan az alábbiak szerint:
A Microsoft Defender Portál Eszközök területén válassza az Identitások lehetőséget.
Válassza a vizsgált felhasználótól jobbra található három pontot, majd válassza a Vizsgálat prioritási pontszámának alaphelyzetbe állítása lehetőséget. A Felhasználói oldal megtekintése , majd a Vizsgálat prioritási pontszámának alaphelyzetbe állítása lehetőséget is választhatja a felhasználói adatok lapon található három pontból.
Megjegyzés:
Csak a nem nulla vizsgálati prioritási pontszámmal rendelkező felhasználók állíthatók vissza.
A megerősítési ablakban válassza a Pontszám alaphelyzetbe állítása lehetőséget.
3. fázis: Felhasználók további vizsgálata
Előfordulhat, hogy egyes tevékenységek önmagukban nem okoznak riasztást, de más tevékenységekkel összesítve gyanús eseményre utalhatnak.
Egy felhasználó vizsgálatakor a következő kérdéseket szeretné feltenni a megjelenő tevékenységekkel és riasztásokkal kapcsolatban:
Van üzleti indok arra, hogy ez az alkalmazott elvégezhesse ezeket a tevékenységeket? Ha például a marketingből valaki hozzáfér a kódbázishoz, vagy valaki a fejlesztésből fér hozzá a pénzügyi adatbázishoz, akkor az alkalmazottal kell meggyőződnie arról, hogy ez szándékos és indokolt tevékenység volt.
Miért kapott magas pontszámot ez a tevékenység, míg mások nem? Nyissa meg a Tevékenységnaplót , és állítsa a Vizsgálat prioritásátAz értékre , hogy megértse, mely tevékenységek gyanúsak.
Szűrhet például egy adott földrajzi területen végrehajtott összes tevékenység vizsgálati prioritása alapján. Ezután láthatja, hogy voltak-e más kockázatos tevékenységek, amelyekből a felhasználó kapcsolódott, és a vizsgálat folytatásához könnyedén más részletezéseket is elvégezhet, például a legutóbbi nem anomális felhőbeli és helyszíni tevékenységeket.
4. fázis: A szervezet védelme
Ha a vizsgálat arra a következtetésre vezet, hogy egy felhasználó biztonsága sérült, az alábbi lépésekkel mérsékelheti a kockázatot.
Kapcsolatfelvétel a felhasználóval – Az Active Directory Defender for Cloud Apps integrált felhasználói kapcsolattartási adatainak használatával részletesen megvizsgálhatja az egyes riasztásokat és tevékenységeket a felhasználói identitás feloldásához. Győződjön meg arról, hogy a felhasználó ismeri a tevékenységeket.
Közvetlenül a Microsoft Defender Portál Identitások lapján válassza ki a vizsgált felhasználó három pontját, és adja meg, hogy a felhasználónak újra be kell-e jelentkeznie, fel kell függesztenie a felhasználót, vagy meg kell erősítenie, hogy sérült a felhasználó biztonsága.
Sérült identitás esetén megkérheti a felhasználót, hogy állítsa alaphelyzetbe a jelszavát, és győződjön meg arról, hogy a jelszó megfelel az ajánlott eljárásoknak a hosszra és az összetettségre vonatkozó irányelveknek.
Ha lehatol egy riasztásra, és megállapítja, hogy a tevékenységnek nem kellett volna riasztást aktiválnia, a Tevékenység fiókban válassza a Visszajelzés küldése hivatkozást, hogy biztosan finomhangolhassuk a riasztási rendszert a szervezet szem előtt tartásával.
A probléma megoldása után zárja be a riasztást.
Lásd még
Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.