A biztonsági riasztások ismertetése

A Microsoft Defender for Identity biztonsági riasztásai egyértelmű nyelven és grafikusan ismertetik, hogy mely gyanús tevékenységeket azonosították a hálózaton, valamint a fenyegetésekben érintett szereplőket és számítógépeket. A riasztások súlyosságra vannak osztályozva, színkóddal vannak elosztva, hogy könnyen vizuálisan szűrhessenek, és fenyegetési fázis szerint rendszerezhetőek legyenek. Minden riasztás célja, hogy segítsen gyorsan megérteni, mi történik a hálózaton. A riasztási bizonyítékok listája közvetlen hivatkozásokat tartalmaz az érintett felhasználókra és számítógépekre, hogy megkönnyítse és közvetlenebbé tegye a vizsgálatot.

Ebben a cikkben megismerheti a Defender for Identity biztonsági riasztásainak struktúráját és azok használatát.

• Biztonsági riasztások struktúrája
• Biztonsági riasztások besorolása
• Biztonsági riasztások kategóriái
• Speciális biztonsági riasztások vizsgálata
• Kapcsolódó entitások
• Defender identitáshoz és NNR-hez (hálózati névfeloldás)

Biztonsági riasztások struktúrája

Minden Defender for Identity biztonsági riasztás tartalmaz egy riasztási történetet. Ez a riasztáshoz kapcsolódó események láncolata időrendben, valamint a riasztással kapcsolatos egyéb fontos információk.

A riasztási lapon a következő műveleteket végezheti el:

• Riasztás kezelése – a riasztás állapotának, hozzárendelésének és besorolásának módosítása. Megjegyzést itt is hozzáadhat.

• Exportálás – részletes Excel-jelentés letöltése elemzéshez

• Riasztás csatolása egy másik incidenshez – riasztás csatolása egy új meglévő incidenshez

  

A riasztásokkal kapcsolatos további információkért lásd: Riasztások vizsgálata a Microsoft Defender XDR-ben.

Biztonsági riasztások besorolása

A megfelelő vizsgálatot követően az összes Defender for Identity biztonsági riasztás a következő tevékenységtípusok egyikének minősíthető:

• Valódi pozitív (TP): A Defender for Identity rosszindulatú műveletet észlelt.

• Jóindulatú valódi pozitív (B-TP): A Defender for Identity által észlelt, valós, de nem rosszindulatú művelet, például egy jóváhagyott alkalmazás által létrehozott behatolási teszt vagy ismert tevékenység.

• Hamis pozitív (FP): Hamis riasztás, ami azt jelenti, hogy a tevékenység nem történt meg.

A biztonsági riasztás TP, B-TP vagy FP

Minden riasztás esetében tegye fel a következő kérdéseket a riasztás besorolásának meghatározásához, és segítsen eldönteni, hogy mi a következő lépés:

1. Milyen gyakori ez az adott biztonsági riasztás a környezetben?
2. Azonos típusú számítógépek vagy felhasználók aktiválták a riasztást? Például ugyanazzal a szerepkörrel rendelkező kiszolgálók, vagy ugyanahhoz a csoporthoz/részleghez tartozó felhasználók? Ha a számítógépek vagy a felhasználók hasonlóak voltak, akkor dönthet úgy, hogy kizárja a további FP-riasztások elkerülése érdekében.

Feljegyzés

Az azonos típusú riasztások növekedése általában csökkenti a riasztás gyanús/fontossági szintjét. Ismétlődő riasztások esetén ellenőrizze a konfigurációkat, és a biztonsági riasztások részleteinek és definícióinak használatával pontosan tudja, hogy mi történik az ismétléseket kiváltó eseményekkel.

Biztonsági riasztások kategóriái

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, például egy tipikus kibertámadási gyilkossági láncban látható fázisokra. További információ az egyes fázisokról és az egyes támadások észlelésére tervezett riasztásokról az alábbi hivatkozások használatával:

• Felderítési riasztások
• Sérült hitelesítő adatokra vonatkozó riasztások
• Oldalirányú mozgásra vonatkozó riasztások
• Tartományi dominancia riasztásai
• Kiszűrési riasztások

Speciális biztonsági riasztások vizsgálata

Ha további részleteket szeretne megtudni egy biztonsági riasztásról, válassza az Exportálás a riasztás részletei lapon lehetőséget a részletes Excel-riasztási jelentés letöltéséhez.

A letöltött fájl az első lapon található riasztás összesítő adatait tartalmazza, beleértve a következőket:

• Cím
• Leírás
• Kezdés időpontja (UTC)
• Befejezési idő (UTC)
• Súlyosság – Alacsony/Közepes/Magas
• Állapot – Megnyitás/lezárás
• Állapotfrissítés időpontja (UTC)
• Megtekintés böngészőben

Az összes érintett entitás, beleértve a fiókokat, a számítógépeket és az erőforrásokat is, a szerepkörük szerint van elválasztva. A riasztástól függően a forrás, a cél vagy a támadott entitás adatai is meg vannak adva.

A legtöbb lap entitásonként a következő adatokat tartalmazza:

• Név

• Részletek

• Típus

• SamName

• Forrásszámítógép

• Forrásfelhasználó (ha van)

• Tartományvezérlők

• Elért erőforrás: idő, számítógép, név, részletek, típus, szolgáltatás.

• Kapcsolódó entitások: azonosító, típus, név, egyedi entitás Json, egyedi entitásprofil Json

• A Defender for Identity Sensors által a riasztáshoz (hálózati vagy eseménytevékenységekhez) kapcsolódó összes nyers tevékenység, beleértve a következőket:

  • Hálózati tevékenységek
  • Eseménytevékenységek

Egyes riasztások további lapokkal rendelkeznek, például a következőkre vonatkozó részletekkel:

• Megtámadták a fiókokat, amikor a feltételezett támadás brute Force-t használt.
• A dns-kiszolgálók, amikor a feltételezett támadás hálózatleképezési felderítést (DNS) vont maga után.

Példa:

Kapcsolódó entitások

Minden riasztásban az utolsó lap a kapcsolódó entitásokat tartalmazza. A kapcsolódó entitások mind olyan entitások, amelyek gyanús tevékenységben vesznek részt, anélkül, hogy különválasztanák a riasztásban játszott "szerepkört". Mindegyik entitás két Json-fájllal rendelkezik, az Egyedi entitás json és az Egyedi entitásprofil Json fájllal. Ezzel a két Json-fájllal többet tudhat meg az entitásról, és segíthet a riasztás kivizsgálásában.

Egyedi entitás Json-fájlja

Tartalmazza az Active Directoryból a fiókról tanult data Defender for Identity-t. Ez magában foglalja az összes attribútumot, például a megkülönböztető nevet, a SID-t, a LockoutTime-t és a PasswordExpiryTime-t. A felhasználói fiókokhoz olyan adatok tartoznak, mint a Részleg, a Posta és a Telefon Number. A számítógépfiókok olyan adatokat tartalmaznak, mint az OperatingSystem, az IsDomainController és a DnsName.

Egyedi entitásprofil Json-fájlja

Tartalmazza az entitáson profilozott összes data Defender for Identity-t. A Defender for Identity a rögzített hálózati és eseménytevékenységeket használja a környezet felhasználóinak és számítógépeinek megismeréséhez. A Defender for Identity-profilok entitásonként releváns információkat tartalmaznak. Ezek az információk hozzájárulnak a Defender for Identity fenyegetésazonosítási képességeihez.

Hogyan használhatom a Defender for Identity adatait egy vizsgálatban?

A vizsgálatok igény szerint részletesek lehetnek. Íme néhány ötlet a Defender for Identity által biztosított adatok felhasználásának vizsgálatára.

• Ellenőrizze, hogy az összes kapcsolódó felhasználó ugyanahhoz a csoporthoz vagy részleghez tartozik-e.
• A kapcsolódó felhasználók megosztják az erőforrásokat, alkalmazásokat vagy számítógépeket?
• Aktív egy fiók annak ellenére, hogy a PasswordExpiryTime már át lett adva?

Defender identitáshoz és NNR-hez (hálózati névfeloldás)

A Defender identitásészlelési képességei aktív hálózati névfeloldással (NNR) oldják fel az IP-címeket a szervezet számítógépein. Az NNR használatával a Defender for Identity képes korrelálni a nyers tevékenységek (IP-címeket tartalmazó) és az egyes tevékenységekben érintett érintett számítógépek között. A nyers tevékenységek alapján a Defender identitásprofil-entitások, beleértve a számítógépeket is, és riasztásokat hoz létre.

Az NNR-adatok kulcsfontosságúak a következő riasztások észleléséhez:

• Személyazonosság-lopás gyanúja (pass-the-ticket)
• DCSync-támadás gyanúja (címtárszolgáltatások replikálása)
• Hálózatleképezés felderítése (DNS)

A riasztás letöltési jelentés Hálózati tevékenységek lapján megadott NNR-információk segítségével állapítsa meg, hogy a riasztás FP-e. FP-riasztások esetén gyakori, hogy az NNR-nek alacsony megbízhatósági eredményt ad.

A jelentésadatok letöltése két oszlopban jelenik meg:

• Forrás-/célszámítógép

  • Bizonyosság – az alacsony felbontású bizonyosság helytelen névfeloldásra utalhat.

• Forrás-/célszámítógép

  • Megoldási módszer – az IP-címnek a szervezet számítógépére történő feloldásához használt NNR-metódusokat biztosítja.

A Defender for Identity biztonsági riasztásainak használatáról további információt a biztonsági riasztások használata című témakörben talál.

Kapcsolódó tartalom

• Felhasználó vizsgálata
• Számítógép vizsgálata
• Oldalirányú mozgási útvonalak használata
• Tekintse meg a Defender for Identity fórumot!