Kockázat kivizsgálása

A Microsoft Entra ID Protection számos kockázati jelentést biztosít, amelyek a környezet identitáskockázatainak vizsgálatára használhatók. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Az ID Protection-jelentések archiválhatók tárolásra, vagy integrálhatók a biztonsági információ- és eseménykezelési (SIEM) eszközökkel a további elemzéshez. A szervezetek a Microsoft Defender, a Microsoft Sentinel és a Microsoft Graph API-integráció előnyeit is kihasználhatják az adatok más forrásokkal való összesítéséhez.

A környezet kockázatának vizsgálatára számos módon van lehetőség, és még több részletet is figyelembe kell venni a vizsgálat során. Ez a cikk egy keretrendszert biztosít az első lépésekhez, és felvázolja a leggyakoribb forgatókönyveket és a javasolt műveleteket.

Előfeltételek

• A Microsoft Entra ID P2 vagy Microsoft Entra Suite licencre van szükség a Microsoft Entra ID Protection funkcióihoz való teljes hozzáféréshez.
• A globális olvasó a kockázati jelentések megtekintéséhez szükséges legkevésbé kiemelt szerepkör.
• A Jelentések olvasója a bejelentkezési és naplózási naplók megtekintéséhez szükséges legkevésbé kiemelt szerepkör.

Kezdeti osztályozás

A kezdeti osztályozás indításakor a következő műveleteket javasoljuk:

1. Tekintse át az ID Protection irányítópultot a támadások számának, a magas kockázatú felhasználók számának és más fontos metrikáknak a környezetbeli észlelések alapján történő megjelenítéséhez.

2. Tekintse át a kockázati jelentéseket a legutóbbi kockázatos felhasználók, bejelentkezések vagy észlelések részleteinek vizsgálatához.

3. Tekintse át az hatáselemzési munkafüzetet , hogy megismerje azokat a forgatókönyveket, amelyekben a kockázat nyilvánvaló a környezetben, és milyen kockázatalapú hozzáférési szabályzatokat kell engedélyezni a magas kockázatú felhasználók és bejelentkezések kezeléséhez.

4. Tekintse át a bejelentkezési naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez a tevékenység több feltört fiókra utalhat.

   1. Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani őket egy feltételes hozzáférési szabályzattal.
   2. Tekintse át, hogy mely erőforrások kerülhetnek veszélybe, beleértve a lehetséges adatletöltéseket vagy a felügyeleti módosításokat.
   3. Önálló hibajavítási szabályzatok engedélyezése feltételes hozzáférés révén.

5. A Microsoft Purview insider kockázatkezelési szolgáltatásával ellenőrizheti, hogy a felhasználó más kockázatos tevékenységeket hajtott-e végre, például nagy mennyiségű fájlt tölt le egy új helyről. Ez a viselkedés erős jelzése egy lehetséges kompromisszumnak.

Ha azt gyanítja, hogy egy támadó megszemélyesítheti a felhasználót, akkor a felhasználónak vissza kell állítania a jelszavát, el kell végeznie az MFA-t, vagy le kell tiltani a felhasználót, és vissza kell vonnia az összes frissítési és hozzáférési jogkivonatot.

Vizsgálati és kockázat-szervizelési keretrendszer

A szervezetek a következő keretrendszer használatával vizsgálhatják a gyanús tevékenységeket. A kockázat észlelésekor az ajánlott első lépés az önműködő szervizelés, ha ez egy lehetőség. Az önjavítás történhet önkiszolgáló jelszó-visszaállítással vagy egy kockázatalapú feltételes hozzáférési szabályzat szervizelési folyamatával.

Ha az önkiszolgáló szervizelés nem megoldás, a rendszergazdának orvosolnia kell a kockázatot. A szervizelés egy jelszó-visszaállítás meghívásával történik, amely megköveteli, hogy a felhasználó regisztrálja újra az MFA-t, blokkolja a felhasználót, vagy visszavonja a felhasználói munkameneteket. Az alábbi folyamatábra a kockázat észlelése után javasolt folyamatot mutatja be:

A kockázat megfékezése után további vizsgálatra lehet szükség annak megállapítására, hogy a kockázat biztonságosnak, veszélyeztetettnek minősül-e vagy elutasítható.

1. Ellenőrizze a bejelentkezési naplókat, és ellenőrizze, hogy a tevékenység normális-e az adott felhasználó számára.

   1. Tekintse meg a felhasználó korábbi tevékenységeit, beleértve a következő tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
      • Alkalmazás – A felhasználó gyakran használja az alkalmazást?
      • Eszköz – Az eszköz regisztrálva van vagy megfelel az előírásoknak?
      • Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
      • IP-cím
      • Felhasználói ügynök karakterlánc

2. Vizsgálja meg más biztonsági eszközök használatát, ahol elérhető.

   • Ha rendelkezik Microsoft Sentinelnel, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
   • Ha Microsoft Defender XDR-sel rendelkezik, más kapcsolódó riasztásokkal és incidensekkel követheti a felhasználói kockázati eseményeket.
   • A Microsoft Defender XDR-ben a Microsoft Sentinelen keresztüli MITRE ATT&CK-lánc is szolgáltathat elemzéseket. A Microsoft Defender portálon keresse meg az Incidensek > riasztások riasztásait>>, és állítsa a Terméknév szűrőt AAD Identity Protectionre a Microsoft Entra ID Protection riasztásainak megkereséséhez.

3. Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést; ne feledje azonban, hogy az e-mailek vagy a Teams biztonsága sérülhet.

   1. Győződjön meg az ön által megadott adatokról, például:
      • Időbélyegző
      • Alkalmazás
      • Eszköz
      • Helyszín
      • IP-cím

4. A vizsgálat eredményeitől függően jelölje meg a felhasználót vagy a bejelentkezést igazoltan sérültnek, biztonságosnak, vagy zárja be a kockázatot.

5. Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a hasonló támadások megelőzése vagy a lefedettség hiányosságainak elhárítása érdekében.

Adott észlelések vizsgálata

Bizonyos kockázatészlelésekhez speciális vizsgálati lépések szükségesek. Az alábbi szakaszok a leggyakoribb kockázatészleléseket és az ajánlott műveleteket ismertetik.

Microsoft Entra fenyegetésintelligencia

A Microsoft Entra fenyegetésfelderítési kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket a Kockázatészlelés részletei panel "további információ" mezőjében megadott információk alapján:

• Ha a bejelentkezés gyanús IP-címről történt:

  1. Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
  2. Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
  3. Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
  4. Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.

• A fiók jelszavas spray-támadás áldozata volt

  1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
  2. Állapítsa meg, hogy a többi felhasználónak vannak-e hasonló atipikus mintázatú bejelentkezései az észlelt bejelentkezésben ugyanazon az időkereten belül. A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következő esetekben:
     • Felhasználói ügynök sztringje
     • Alkalmazás
     • Protokoll
     • IP-címek/ASN-tartományok
     • Bejelentkezések időpontja és gyakorisága

• Az észlelést valós idejű szabály aktiválta

  1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezek az információk a szabályhoz rendelt TI_RI_#### számmal azonosíthatók.
  2. A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítési kutatása által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.

Atipikus utazási észlelések

• Ha megerősíti, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
  1. Jelölje meg a bejelentkezést feltörtként, és indítsa el a jelszó-visszaállítást, ha még nem végezte el az önálló helyreállítást.
  2. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához és a jelszó alaphelyzetbe állításához.
• Ha ismert, hogy egy felhasználó a feladatai során használja az IP-címet, erősítse meg, hogy a bejelentkezés biztonságos.
• Ha megerősíti, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott, erősítse meg a bejelentkezést biztonságosként.
• Ha megerősíti, hogy az IP-címtartomány egy engedélyezett VPN-ből származik, erősítse meg a bejelentkezést biztonságosként, és adja hozzá a VPN IP-címtartományt a Microsoft Entra ID és a Microsoft Defender for Cloud Apps névvel ellátott helyekhez.

Rendellenes azonosító és azonosító kibocsátó anomália detektálása

• Ha megerősíti, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre kockázatriasztás, hely, alkalmazás, IP-cím, felhasználói ügynök vagy más, a felhasználó számára váratlan jellemzők kombinációjával:

  1. Jelölje meg a bejelentkezést feltörtként, és indítsa el a jelszó-visszaállítást, ha még nem végezte el az önálló helyreállítást.
  2. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy végrehajtásához.
  3. Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a jelszó-visszaállítás, az MFA végrehajtása vagy a hozzáférés blokkolása érdekében az összes magas kockázatú bejelentkezéshez.

• Ha megerősíti, hogy a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más jellemzők a felhasználó elvárásainak megfelelnek, és nincsenek más kompromisszum jelei, engedélyezze, hogy a felhasználó egy kockázatalapú feltételes hozzáférési szabályzattal önmaga kezelje a problémát, vagy egy rendszergazda erősítse meg a bejelentkezést biztonságosként.

A jogkivonat-alapú észlelések további vizsgálatához tekintse meg a jogkivonat-taktikákat ismertető blogbejegyzést : Hogyan előzheti meg, észlelheti és válaszolhatja meg a felhőbeli tokenlopásokat a tokenlopási vizsgálati forgatókönyvben.

Gyanús böngészőészlelések

Ez az észlelés azt jelzi, hogy a felhasználó gyakran nem használja a böngészőt, vagy a böngészőn belüli tevékenység nem felel meg a felhasználó normál viselkedésének.

• Ellenőrizze, hogy a bejelentkezés kompromittált-e, és kezdeményezzen jelszócserét, ha eddig még nem történt önálló intézkedés. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához.
• Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a jelszó-visszaállítás, az MFA végrehajtása vagy a hozzáférés blokkolása érdekében az összes magas kockázatú bejelentkezéshez.

Rosszindulatú IP-címek észlelése

• Ha megerősíti, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:

  1. Ellenőrizze, hogy a bejelentkezés kompromittált-e, és kezdeményezzen jelszócserét, ha eddig még nem történt önálló intézkedés.
  2. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
  3. Állítson be kockázatalapú feltételes hozzáférési szabályzatokat , hogy jelszó-visszaállítást igényeljenek, vagy MFA-t hajtsanak végre minden magas kockázatú bejelentkezéshez.

• Ha megerősíti, hogy a felhasználó a feladataik körében használja az IP-címet, győződjön meg arról, hogy a bejelentkezés biztonságos.

Jelszófeltörési támadások észlelése

A jelszópermetészlelés azt jelenti, hogy a Microsoft megfigyelte, hogy egy támadó permetező támadást hajt végre, és sikeresen érvényesíti a hitelesítő adatokat a bérlő egy felhasználója ellen. Előfordulhat, hogy a spray-támadás több bérlőn is megcélozza a felhasználókat – az észlelés csak azokban a bérlőkben aktiválódik, ahol a jelszóegyeztetés sikeres volt. A sikertelen permetezési kísérletek nem okoznak észlelést.

• Ha megerősíti, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:

  1. Jelölje meg a bejelentkezést feltörtként, és indítsa el a jelszó-visszaállítást, ha még nem végezte el az önálló helyreállítást.
  2. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.

• Ha megerősíti, hogy a felhasználó a feladataik körében használja az IP-címet, győződjön meg arról, hogy a bejelentkezés biztonságos.

• Ha megerősíti, hogy a fiók nincs feltörve, és nem lát sem brute force támadásokra, sem jelszóspray észlelésekre utaló jeleket a fiókon:

  1. Engedélyezze a felhasználónak, hogy önállóan megoldja a problémát egy kockázatalapú feltételes hozzáférési házirenddel, vagy hogy egy rendszergazda biztonságosnak minősítse a bejelentkezést.
  2. Győződjön meg arról, hogy Microsoft Entra intelligens zárolási megfelelően van konfigurálva a fiók szükségtelen zárolásának elkerülése érdekében.

A jelszóspray-kockázat észlelésének további vizsgálatához tekintse meg a Jelszóspray-vizsgálat című cikket.

Kiszivárgott hitelesítő adatok észlelése

A kiszivárgott hitelesítő adatok észlelése mindig magas kockázattal jár, mert igazolt hitelesítőadat-expozíciót jelentenek. Ha ez az észlelés aktiválódik, azonnal vizsgálja meg.

Ha ez az észlelés kiszivárgott hitelesítő adatot talált egy felhasználó számára:

1. Az expozíció hatókörének felmérése. Tekintse át a felhasználó kockázati előzményeit és bejelentkezési naplóit annak megállapításához, hogy a kiszivárgott hitelesítő adatokat jogosulatlan hozzáféréshez használták-e. Keresse meg a korrelált bejelentkezési kockázati eseményeket, például ismeretlen helyekről érkező bejelentkezéseket, névtelen IP-címeket vagy atipikus utazásokat.
2. Ellenőrizze, hogy a jelszó már megváltozott-e. Ellenőrizze, hogy a felhasználó módosította-e a jelszavát a szivárgás észlelése után. A Microsoft Entra feltételes hozzáférési szabályzat által aktivált felhőalapú jelszó-visszaállítás teljes mértékben elhárítja az észlelés felhasználói kockázatát. Ha a jelszó megváltoztatva volt, a kockázat már csökkenthetett. Ha nem, ellenőrizze, hogy a felhasználó sérült-e, és kezdeményezheti a jelszó-visszaállítást.
3. Letilthatja a hozzáférést, ha egy támadó aktív. Ha a bejelentkezési naplók jogosulatlan hozzáférést mutatnak, vagy ha a támadónak lehetősége van a jelszó alaphelyzetbe állítására vagy az MFA végrehajtására, tiltsa le a felhasználót, állítsa alaphelyzetbe a jelszót, és vonja vissza az összes frissítési jogkivonatot. A munkamenetek visszavonása kritikus fontosságú, ha az aktív kompromisszumra utaló bizonyítékok vannak.
4. Tekintse át az oldalirányú mozgást. Ellenőrizze a felhasználó legutóbbi tevékenységeit a jogosultságok eszkalálásának, az új alkalmazásregisztrációknak, a postaládaszabály-módosításoknak vagy a feltörést követő tevékenységekre utaló bizalmas erőforrásokhoz való hozzáférésnek a jelzésére.
5. Csatlakoztatott fiókok ellenőrzése. Ha a felhasználó újra felhasználja a jelszavakat különböző szolgáltatások esetén, tekintse a hitelesítő adatokat sérültnek a bérlőn kívül is. Azt tanácsolja a felhasználónak, hogy módosítsa a jelszavakat más olyan szolgáltatásokban, ahol ugyanazt a hitelesítő adatot használják.

A jövőbeli kockázatok mérséklése

• A hamis pozitív értékek csökkentése érdekében adjon hozzá vállalati VPN-eket és IP-címtartományokat a feltételes hozzáférési szabályzatok nevesített helyeihez .
• Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
• Visszajelzés küldése az ID Protectionben az észlelési pontosság javítása és a hamis pozitív értékek csökkentése érdekében.

Következő lépések

• Felhasználók szervizelése és tiltásának feloldása
• A kockázatok csökkentésére rendelkezésre álló szabályzatok
• Bejelentkezési és felhasználói kockázati szabályzatok engedélyezése