Esercitazione: Analizzare gli utenti rischiosi

  • Articolo

I team addetti alle operazioni di sicurezza devono monitorare l'attività dell'utente, sospetta o diversamente, in tutte le dimensioni della superficie di attacco di identità, usando più soluzioni di sicurezza che spesso non sono connesse. Anche se molte aziende hanno ora team di ricerca per identificare in modo proattivo le minacce nei propri ambienti, sapere cosa cercare in tutta la grande quantità di dati può essere una sfida. Microsoft Defender per il cloud App ora semplifica questa operazione eliminando la necessità di creare regole di correlazione complesse e consente di cercare attacchi che si estendono attraverso la rete cloud e locale.

Per concentrarsi sull'identità utente, Microsoft Defender per il cloud App fornisce analisi del comportamento dell'entità utente (UEBA) nel cloud. Questa operazione può essere estesa all'ambiente locale tramite l'integrazione con Microsoft Defender per identità. Dopo l'integrazione con Defender per identità, si otterrà anche il contesto relativo all'identità utente dall'integrazione nativa con Active Directory.

Indipendentemente dal fatto che il trigger sia un avviso visualizzato nel dashboard delle app Defender per il cloud o che si disponga di informazioni da un servizio di sicurezza di terze parti, avviare l'indagine dal dashboard delle app Defender per il cloud per approfondire gli utenti rischiosi.

In questa esercitazione si apprenderà come usare Defender per il cloud App per analizzare gli utenti rischiosi:

Aumento del punteggio di priorità dell'indagine - Sequenza temporale di deprecazione

Il supporto "Aumento del punteggio di priorità di indagine" verrà gradualmente ritirato dalle app di Microsoft Defender per il cloud entro luglio 2024.

Dopo un'attenta analisi e considerazione, è stato deciso di deprecarlo a causa dell'elevato tasso di falsi positivi associati a questo avviso, che non è stato rilevato contribuisce in modo efficace alla sicurezza complessiva dell'organizzazione.

La nostra ricerca ha indicato che questa funzionalità non ha aggiunto valore significativo e non è stata allineata al nostro obiettivo strategico sulla fornitura di soluzioni di sicurezza affidabili e di alta qualità.

Ci impegniamo a migliorare costantemente i nostri servizi e a garantire che soddisfino le vostre esigenze e aspettative.

Per coloro che desiderano continuare a usare questo avviso, è consigliabile usare una query dedicata "Ricerca avanzata":

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • Questa query è un suggerimento, usarla come modello e modificarla in base alle esigenze.

Comprendere il punteggio di priorità dell'indagine

Il punteggio di priorità dell'indagine è un punteggio Defender per il cloud App assegna a ogni utente per comunicare in che modo un utente è rischioso rispetto ad altri utenti dell'organizzazione.

Usare il punteggio di priorità indagine per determinare gli utenti da analizzare per primi. Defender per il cloud Le app compilano i profili utente per ogni utente in base all'analisi che richiedono tempo, gruppi peer e attività utente previste in considerazione. L'attività anomala alla baseline di un utente viene valutata e valutata. Al termine dell'assegnazione dei punteggi, i calcoli peer dinamici proprietari di Microsoft e l'apprendimento automatico vengono eseguiti sulle attività utente per calcolare la priorità di indagine per ogni utente.

Il punteggio di priorità di indagine offre la possibilità di rilevare utenti malintenzionati e utenti malintenzionati esterni che si spostano in un secondo momento nelle organizzazioni, senza dover fare affidamento sui rilevamenti deterministici standard.

Il punteggio di priorità dell'indagine si basa su avvisi di sicurezza, attività anomale e potenziale impatto aziendale e asset correlati a ogni utente per valutare quanto sia urgente analizzare ogni utente specifico.

Se si seleziona il valore del punteggio per un avviso o un'attività, è possibile visualizzare l'evidenza che spiega come Defender per il cloud App ha ottenuto il punteggio dell'attività.

Ogni utente di Microsoft Entra ha un punteggio di priorità di indagine dinamico, che viene costantemente aggiornato in base al comportamento e all'impatto recenti, basato sui dati valutati da Defender per identità e Defender per il cloud Apps. È ora possibile capire immediatamente chi sono i principali utenti a rischio, filtrando in base al punteggio di priorità di indagine, verificando direttamente l'impatto aziendale e analizzando tutte le attività correlate, sia che siano compromesse, esfiltrando i dati o fungendo da minacce interne.

Defender per il cloud App usa quanto segue per misurare il rischio:

  • Assegnazione dei punteggi degli avvisi
    Il punteggio di avviso rappresenta il potenziale impatto di un avviso specifico per ogni utente. L'assegnazione dei punteggi degli avvisi si basa sulla gravità, sull'impatto dell'utente, sulla popolarità degli avvisi tra gli utenti e su tutte le entità dell'organizzazione.

  • Assegnazione dei punteggi delle attività
    Il punteggio di attività determina la probabilità di un utente specifico che esegue un'attività specifica, in base all'apprendimento comportamentale dell'utente e dei colleghi. Le attività identificate come più anomale ricevono i punteggi più alti.

Fase 1: Connessione alle app da proteggere

  1. Connessione almeno un'app per Microsoft Defender per il cloud app usando i connettori API. È consigliabile iniziare connettendo Microsoft 365.
  2. Connessione app aggiuntive usando il proxy per ottenere il controllo delle app per l'accesso condizionale.

Fase 2: Identificare gli utenti più rischiosi

Per identificare gli utenti più rischiosi in app Defender per il cloud:

  1. In Asset del portale di Microsoft Defender selezionare Identità. Ordinare la tabella in base alla priorità Di indagine. Quindi passare alla pagina utente per esaminarli.
    Il numero di priorità di indagine, trovato accanto al nome utente, è una somma di tutte le attività rischiose dell'utente nell'ultima settimana.

    Dashboard utenti principali.

  2. Selezionare i tre puntini a destra dell'utente e scegliere Visualizza pagina utente. Pagina utente.

  3. Esaminare le informazioni nella pagina Utente per ottenere una panoramica dell'utente e verificare se sono presenti punti in cui l'utente ha eseguito attività insolite per l'utente o eseguite in un momento insolito. Il punteggio dell'utente rispetto all'organizzazione rappresenta il percentile in base alla posizione dell'utente nell'organizzazione, ovvero l'altezza degli utenti da analizzare rispetto ad altri utenti dell'organizzazione. Il numero sarà rosso se un utente si trova al di sopra del 90° percentile degli utenti rischiosi nell'organizzazione.
    La pagina Utente consente di rispondere alle domande seguenti:

    • Chi è l'utente?
      Esaminare il riquadro sinistro per ottenere informazioni su chi è l'utente e su cosa è noto. Questo riquadro fornisce informazioni sul ruolo dell'utente nella società e nel reparto. L'utente è un tecnico DevOps che spesso esegue attività insolite come parte del proprio lavoro? L'utente è un dipendente scontento che è appena passato per una promozione?

    • L'utente è rischioso?
      Controllare la parte superiore del riquadro destro in modo da sapere se vale la pena esaminare l'utente. Qual è il punteggio di rischio del dipendente?

    • Qual è il rischio che l'utente presenti all'organizzazione?
      Esaminare l'elenco nel riquadro inferiore, che fornisce ogni attività e ogni avviso correlato all'utente per iniziare a comprendere il tipo di rischio rappresentato dall'utente. Nella sequenza temporale selezionare ogni riga in modo da poter eseguire il drill-down più in profondità dell'attività o dell'avviso stesso. È anche possibile selezionare il numero accanto all'attività in modo da poter comprendere l'evidenza che ha influenzato il punteggio stesso.

    • Qual è il rischio per altri asset dell'organizzazione?
      Selezionare la scheda Percorsi di spostamento laterale per comprendere i percorsi che un utente malintenzionato può usare per ottenere il controllo di altri asset nell'organizzazione. Ad esempio, anche se l'utente che si sta analizzando ha un account non sensibile, un utente malintenzionato può usare le connessioni all'account per individuare e tentare di compromettere gli account sensibili nella rete. Per altre informazioni, vedere Usare percorsi di spostamento laterale.

Nota

È importante ricordare che, mentre la pagina Utente fornisce informazioni per dispositivi, risorse e account in tutte le attività, il punteggio di priorità di indagine è la somma di tutte le attività rischiose e gli avvisi negli ultimi 7 giorni.

Reimpostare il punteggio utente

Se l'utente è stato analizzato e non è stato trovato alcun sospetto di compromissione o per qualsiasi motivo si preferisce reimpostare il punteggio di priorità di indagine dell'utente, è possibile reimpostare manualmente il punteggio.

  1. In Asset del portale di Microsoft Defender selezionare Identità.

  2. Selezionare i tre puntini a destra dell'utente analizzato e scegliere Reimposta punteggio di priorità dell'indagine. È anche possibile selezionare Visualizza pagina utente e quindi selezionare Reimposta punteggio di priorità indagine dai tre puntini nella pagina Utente.

    Nota

    È possibile reimpostare solo gli utenti con un punteggio di priorità di indagine diverso da zero.

    Selezionare Reimposta il collegamento Reset investigation priority score (Reimposta punteggio priorità indagine).

  3. Nella finestra di conferma selezionare Reimposta punteggio.

    Selezionare Il pulsante Reimposta punteggio.

Fase 3: Analizzare ulteriormente gli utenti

Quando si esamina un utente in base a un avviso o se è stato visualizzato un avviso in un sistema esterno, potrebbero esserci attività che da sole potrebbero non essere causa di allarme, ma quando Defender per il cloud App le aggrega insieme ad altre attività, l'avviso potrebbe essere un'indicazione di un evento sospetto.

Quando si esamina un utente, si vogliono porre queste domande sulle attività e gli avvisi visualizzati:

  • C'è una giustificazione aziendale per questo dipendente per eseguire queste attività? Ad esempio, se un utente di Marketing accede alla codebase o un utente di Sviluppo accede al database Finance, è necessario rivolgersi al dipendente per assicurarsi che si trattasse di un'attività intenzionale e giustificata.

  • Passare al log attività per comprendere il motivo per cui questa attività ha ricevuto un punteggio elevato mentre altri non lo hanno fatto. È possibile impostare la priorità Di indagine su È impostata per comprendere quali attività sono sospette. Ad esempio, è possibile filtrare in base alla priorità indagine per tutte le attività che si sono verificate in Ucraina. È quindi possibile verificare se sono presenti altre attività rischiose, da cui l'utente è connesso ed è possibile passare facilmente ad altri drill-down, ad esempio le recenti attività cloud non anomale e locali, per continuare l'indagine.

Fase 4: Proteggere l'organizzazione

Se l'indagine ti porta alla conclusione che un utente è compromesso, segui questi passaggi per attenuare il rischio.

  • Contattare l'utente: usando le informazioni di contatto dell'utente integrate con Defender per il cloud App da Active Directory, è possibile eseguire il drill-down in ogni avviso e attività per risolvere l'identità utente. Assicurarsi che l'utente abbia familiarità con le attività.

  • Direttamente dal portale di Microsoft Defender, nella pagina Identità selezionare i tre puntini dall'utente analizzato e scegliere se richiedere all'utente di accedere di nuovo, sospendere l'utente o confermare l'utente come compromesso.

  • Nel caso di un'identità compromessa, è possibile chiedere all'utente di reimpostare la password, assicurandosi che la password soddisfi le linee guida sulle procedure consigliate per la lunghezza e la complessità.

  • Se si esegue il drill-down in un avviso e si determina che l'attività non dovrebbe aver attivato un avviso, nel pannello Attività selezionare il collegamento Invia commenti e suggerimenti in modo che sia possibile ottimizzare il sistema di avvisi tenendo presente l'organizzazione.

  • Dopo aver risolto il problema, chiudere l'avviso.

Vedi anche

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.