Megosztás a következőn keresztül:


A kockázatok kivizsgálásának módja

Az Identity Protection jelentéskészítést biztosít a szervezeteknek az identitáskockázatok vizsgálatához a környezetükben. Ezek a jelentések közé tartoznak a kockázatos felhasználók, a kockázatos bejelentkezések, a kockázatos számítási feladatok identitásai és a kockázatészlelések. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Ezek a jelentések lehetővé teszik az események letöltését a következő helyen: . CSV formátuma vagy integrációja más biztonsági megoldásokkal, például dedikált SIEM-eszközzel a további elemzéshez.

A szervezetek kihasználhatják a Microsoft Graph API-integráció előnyeit az adatok más olyan forrásokkal való összesítéséhez, amelyekhez szervezetként hozzáférhetnek.

A három jelentés a Microsoft Entra Felügyeleti központ>Protection>Identity Protection szolgáltatásában található.

Minden jelentés elindul a jelentés tetején látható időszakra vonatkozó összes észlelés listájával. Minden jelentés lehetővé teszi az oszlopok hozzáadását vagy eltávolítását a rendszergazdai beállítások alapján. Rendszergazda istratorok dönthetnek úgy, hogy letöltik az adatokat. CSV vagy . JSON formátum. A jelentések a jelentés tetején található szűrőkkel szűrhetők.

Az egyes bejegyzések kiválasztása több bejegyzést is lehetővé tehet a jelentés tetején, például a bejelentkezés biztonságosként vagy biztonságosként való megerősítését, a felhasználó veszélyeztettként való megerősítését vagy a felhasználói kockázat megszüntetését.

Az egyes bejegyzések kijelölése egy részletablakot bont ki az észlelések alatt. A részletek nézet lehetővé teszi a rendszergazdák számára az egyes észlelések kivizsgálását és a műveletek végrehajtását.

Kockázatos felhasználók

A kockázatos felhasználókról szóló jelentés felsorolja az összes olyan felhasználót, akinek a fiókjai jelenleg vagy biztonsági kockázatnak vannak kitéve. A kockázatos felhasználókat ki kell vizsgálni és orvosolni kell az erőforrásokhoz való jogosulatlan hozzáférés megakadályozása érdekében.

Mitől kockázatos egy felhasználó?

A felhasználó kockázatos felhasználóvá válik, ha:

  • Legalább egy kockázatos bejelentkezésük van.
  • Egy vagy több kockázat észlelhető a felhasználó fiókjában, például a kiszivárgott hitelesítő adatok.

Hogyan vizsgálhatja meg a kockázatos felhasználókat?

A felhasználók kockázatos bejelentkezéseinek megtekintéséhez és kivizsgálásához válassza a "Legutóbbi kockázatos bejelentkezések" lapot vagy a "Kockázatos bejelentkezések felhasználók" hivatkozást.

A felhasználói fiók kockázatainak megtekintéséhez és vizsgálatához válassza a "Bejelentkezéshez nem kapcsolódó észlelések" lapot vagy a "Felhasználó kockázatészlelései" hivatkozást.

A Kockázatelőzmények lap az összes olyan eseményt is megjeleníti, amely az elmúlt 90 napban felhasználói kockázatváltozáshoz vezetett. Ez a lista olyan kockázatészleléseket tartalmaz, amelyek megnövelték a felhasználó kockázatát, és a rendszergazdai szervizelési műveleteket, amelyek csökkentették a felhasználó kockázatát. Tekintse meg a felhasználó kockázatának változását.

Képernyőkép a Kockázatos felhasználók jelentésről.

A kockázatos felhasználók jelentésében szereplő információk alapján a rendszergazdák a következő információkat találják:

  • Mely felhasználók vannak veszélyben, vannak-e elhárítva a kockázatok, vagy kizárták a kockázatokat?
  • Az észlelések részletei
  • Az összes kockázatos bejelentkezés előzményei
  • Kockázati előzmények

Rendszergazda istratorok ezután dönthetnek úgy, hogy műveletet hajtanak végre ezeken az eseményeken. Rendszergazda istratorok a következő lehetőségek közül választhatnak:

A hatókör ismertetése

  1. Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
  2. Adjon hozzá vállalati VPN- és IP-címtartományokat nevesített helyekhez a hamis pozitív értékek csökkentése érdekében.
  3. Tekintse át a naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez több feltört fiókra utalhat.
    1. Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani ezeket egy feltételes hozzáférési szabályzattal.
    2. Tekintse át, hogy melyik erőforrás sérült, például lehetséges adatletöltések vagy rendszergazdai módosítások.
    3. Önkiszolgáló szervizelési szabályzatok engedélyezése feltételes hozzáféréssel
  4. Ha azt látja, hogy a felhasználó más kockázatos tevékenységeket hajtott végre, például nagy mennyiségű fájlt tölt le egy új helyről, ez egy lehetséges kompromisszumra utal.

Kockázatos bejelentkezések

Képernyőkép a Kockázatos bejelentkezések jelentésről.

A kockázatos bejelentkezések jelentés az elmúlt 30 napra (egy hónapra) szűrhető adatokat tartalmaz.

A kockázatos bejelentkezési jelentés által biztosított információk birtokában a rendszergazdák a következő információkat találják:

  • Mely bejelentkezések minősülnek veszélyeztetettnek, megerősítettnek, biztonságosnak, elutasítottnak vagy szervizeltnek.
  • A bejelentkezési kísérletekhez kapcsolódó valós idejű és összesített kockázati szintek.
  • Aktivált észlelési típusok
  • Feltételes hozzáférési szabályzatok alkalmazása
  • MFA részletei
  • Eszközadatok
  • Application information (Alkalmazásadatok)
  • Helyadatok

Rendszergazda istratorok ezután dönthetnek úgy, hogy műveletet hajtanak végre ezeken az eseményeken. Rendszergazda istratorok a következő lehetőségek közül választhatnak:

  • Bejelentkezési biztonság megerősítése
  • Jogosult bejelentkezés megerősítése

Feljegyzés

Az Identity Protection kiértékeli az összes hitelesítési folyamat kockázatát, legyen az interaktív vagy nem interaktív. A kockázatos bejelentkezési jelentés mostantól interaktív és nem interaktív bejelentkezéseket is mutat. A nézet módosításához használja a "bejelentkezési típus" szűrőt.

Kockázatészlelések

Képernyőkép a Kockázatészlelések jelentésről.

A kockázatészlelési jelentés az elmúlt 90 napra (három hónapra) szűrhető adatokat tartalmaz.

A kockázatészlelési jelentés által biztosított információk birtokában a rendszergazdák a következő információkat találják:

  • Információk az egyes kockázatészlelésekről, beleértve a típust is.
  • Egyidejűleg kiváltott egyéb kockázatok
  • Bejelentkezési kísérlet helye
  • A Felhőhöz készült Microsoft Defender-alkalmazások további részleteire mutató hivatkozás.

Rendszergazda istratorok ezután dönthetnek úgy, hogy visszatérnek a felhasználó kockázati vagy bejelentkezési jelentéséhez, hogy az összegyűjtött információk alapján műveleteket hajtsanak végre.

Feljegyzés

Rendszerünk azt észlelheti, hogy a kockázati esemény, amely hozzájárult a kockázati felhasználói kockázati pontszámhoz, hamis pozitív volt, vagy a felhasználói kockázatot szabályzatkényszerítéssel, például MFA-kérés végrehajtásával vagy jelszó biztonságos megváltoztatásával orvosolták. Ezért a rendszer elveti a kockázati állapotot, és az "AI által megerősített bejelentkezés biztonságos" kockázati részlete felszínre kerül, és a továbbiakban nem járul hozzá a felhasználó kockázatához.

Vizsgálati keretrendszer

A szervezetek a következő keretrendszerek használatával kezdhetik meg a gyanús tevékenységek vizsgálatát. A vizsgálatokhoz szükség lehet a szóban forgó felhasználóval folytatott beszélgetésre, a bejelentkezési naplók áttekintésére vagy az auditnaplók áttekintésére, hogy néhányat említsünk .

  1. Ellenőrizze a naplókat, és ellenőrizze, hogy a gyanús tevékenység normális-e az adott felhasználó számára.
    1. Tekintse meg a felhasználó korábbi tevékenységeit, beleértve legalább az alábbi tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
      1. Alkalmazás
      2. Eszköz – Regisztrálva van vagy megfelel az eszköznek?
      3. Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
      4. IP-cím
      5. Felhasználói ügynök sztringje
    2. Ha rendelkezik hozzáféréssel más biztonsági eszközökhöz, például a Microsoft Sentinelhez, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
    3. A Microsoft 365 Defenderhez hozzáféréssel rendelkező szervezetek más kapcsolódó riasztások és incidensek, valamint a MITRE ATT&CK-lánc segítségével követhetik a felhasználói kockázati eseményeket.
      1. Válassza ki a felhasználót a Kockázatos felhasználók jelentésben.
      2. Jelölje ki a három pontot (...) az eszköztáron, majd válassza a Vizsgálat a Microsoft 365 Defenderrel lehetőséget.
  2. Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést. Az olyan módszerek, mint az e-mail vagy a Teams, sérülhetnek.
    1. Győződjön meg az ön által megadott adatokról, például:
      1. Alkalmazás
      2. Eszköz
      3. Hely
      4. IP-cím

Fontos

Ha azt gyanítja, hogy egy támadó megszemélyesítheti a felhasználót, alaphelyzetbe állíthatja a jelszavát, és MFA-t hajthat végre; tiltsa le a felhasználót, és vonja vissza az összes frissítési és hozzáférési jogkivonatot.

A Microsoft Entra fenyegetésintelligencia-észlelések vizsgálata

A Microsoft Entra Threat Intelligence kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket:

Ha további információ jelenik meg az észleléshez:

  1. A bejelentkezés gyanús IP-címről történt:
    1. Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
    2. Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
    3. Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
    4. Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.
  2. Ez a fiók jelszópermetes támadás áldozata volt:
    1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
    2. Vannak-e olyan bejelentkezések, amelyek hasonló atipikus mintákkal rendelkeznek az észlelt bejelentkezés során ugyanazon az időkereten belül? A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következőkben:
      1. Felhasználói ügynök sztringje
      2. Alkalmazás
      3. Protokoll
      4. IP-címek/ASN-tartományok
      5. Bejelentkezések időpontja és gyakorisága
  3. Ezt az észlelést egy valós idejű szabály aktiválta:
    1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezt a szabályhoz hozzárendelt TI_RI_#### szám tartalmazza.
    2. A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítése által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.

Kockázat vizsgálata a Microsoft 365 Defenderrel

A Microsoft 365 Defendert és a Microsoft Defender for Identity-t üzembe helyező szervezetek extra értéket kapnak az Identity Protection-jelekből. Ez az érték fokozott korreláció formájában jelenik meg a szervezet más részeiből származó más adatokkal, valamint extra automatizált vizsgálat és válasz formájában.

Képernyőkép egy kockázatos felhasználó riasztásairól a Microsoft 365 Defender portálon.

A Microsoft 365 Defender biztonsági szakemberei és Rendszergazda istratorai a következő területekről létesíthetnek kapcsolatot gyanús tevékenységekkel:

  • Riasztások a Defender for Identity szolgáltatásban
  • Microsoft Defender végponthoz
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

A Gyanús tevékenységek a Microsoft 365 Defenderrel való vizsgálatáról a Microsoft Defender eszközeinek vizsgálata identitáshoz és incidensek kivizsgálása a Microsoft 365 Defenderben című cikkben talál további információt.

Ezekről a riasztásokról és azok szerkezetéről további információt a biztonsági riasztások ismertetése című cikkben talál.

Vizsgálat állapota

Amikor a biztonsági személyzet megvizsgálja a Microsoft 365 Defender és a Defender for Identity kockázatait, a portálon és AZ API-kban a következő állapotokat és okokat adja vissza az Identity Protectionnek.

A Microsoft 365 Defender állapota Microsoft 365 Defender besorolás Microsoft Entra ID-védelem kockázati állapot Kockázat részletei a Microsoft Entra ID-védelem
Új Téves riasztás Megerősített biztonság M365DAdminDismissedDetection
Új Jóindulatú igaz pozitív Megerősített biztonság M365DAdminDismissedDetection
Új Valódi pozitív Megerősített biztonsági rés M365DAdminDismissedDetection
Folyamatban Nincs beállítva Kockázatos
Folyamatban Téves riasztás Megerősített biztonság M365DAdminDismissedDetection
Folyamatban Jóindulatú igaz pozitív Megerősített biztonság M365DAdminDismissedDetection
Folyamatban Valódi pozitív Megerősített biztonsági rés M365DAdminDismissedDetection
Feloldva Nincs beállítva Elvetve M365DAdminDismissedDetection
Feloldva Téves riasztás Megerősített biztonság M365DAdminDismissedDetection
Feloldva Jóindulatú igaz pozitív Megerősített biztonság M365DAdminDismissedDetection
Feloldva Valódi pozitív Kijavítva M365DAdminDismissedDetection

Következő lépések