Zelfstudie: Riskante gebruikers onderzoeken
Beveiligingsteams worden aangeroepen om gebruikersactiviteiten te bewaken, verdacht of anderszins, in alle dimensies van de kwetsbaarheid voor identiteitsaanvallen, met behulp van meerdere beveiligingsoplossingen die vaak niet zijn verbonden. Hoewel veel bedrijven nu opsporingsteams hebben om proactief bedreigingen in hun omgevingen te identificeren, kan het een uitdaging zijn om te weten wat er moet worden gezocht in de enorme hoeveelheid gegevens. Microsoft Defender voor Cloud Apps verwijdert de noodzaak om complexe correlatieregels te maken en kunt u zoeken naar aanvallen die zich in uw cloud en on-premises netwerk bevinden.
Om u te helpen focussen op gebruikersidentiteit, biedt Microsoft Defender voor Cloud Apps UEBA (User Entity Behavior Analytics) in de cloud. UEBA kan worden uitgebreid naar uw on-premises omgeving door te integreren met Microsoft Defender for Identity, waarna u ook context krijgt rond de gebruikersidentiteit van de systeemeigen integratie met Active Directory.
Of uw trigger nu een waarschuwing is die u ziet in het dashboard Defender voor Cloud Apps of dat u informatie van een beveiligingsservice van derden hebt, start uw onderzoek vanuit het dashboard Defender voor Cloud Apps om dieper in te gaan op riskante gebruikers.
In deze zelfstudie leert u hoe u Defender voor Cloud Apps gebruikt om riskante gebruikers te onderzoeken:
Inzicht in de prioriteitsscore van onderzoek
De prioriteitsscore voor onderzoek is een score die Defender voor Cloud Apps aan elke gebruiker geeft om u te laten weten hoe riskant de gebruiker is ten opzichte van andere gebruikers in uw organisatie. Gebruik de score voor onderzoekprioriteit om te bepalen welke gebruikers het eerst moeten onderzoeken, zowel kwaadwillende insiders als externe aanvallers die zich lateraal verplaatsen in uw organisaties, zonder dat ze hoeven te vertrouwen op standaarddeterministische detecties.
Elke Microsoft Entra-gebruiker heeft een dynamische prioriteitsscore voor onderzoek, die voortdurend wordt bijgewerkt op basis van recent gedrag en impact die is gebaseerd op gegevens die zijn geëvalueerd door Defender for Identity en Defender voor Cloud Apps.
Defender voor Cloud Apps bouwt gebruikersprofielen voor elke gebruiker op basis van analyses die beveiligingswaarschuwingen en abnormale activiteiten in de loop van de tijd overwegen, peergroepen, verwachte gebruikersactiviteit en het effect dat een specifieke gebruiker kan hebben op het bedrijf of bedrijfsmiddelen.
Activiteit die afwijkend is voor de basislijn van een gebruiker, wordt geëvalueerd en beoordeeld. Nadat het scoren is voltooid, worden de eigen dynamische peerberekeningen van Microsoft uitgevoerd op de gebruikersactiviteiten om de onderzoeksprioriteit voor elke gebruiker te berekenen.
Begrijp wie de echte meest riskante gebruikers direct zijn door te filteren op basis van de prioriteitsscore onderzoek, de zakelijke impact van elke gebruiker rechtstreeks te verifiëren en alle gerelateerde activiteiten te onderzoeken, ongeacht of ze worden gecompromitteerd, gegevens exfiltratie of optreden als bedreigingen van binnenuit.
Defender voor Cloud Apps gebruikt het volgende om risico's te meten:
Scoren van waarschuwingen: de waarschuwingsscore geeft de mogelijke impact van een specifieke waarschuwing voor elke gebruiker aan. Scoren van waarschuwingen is gebaseerd op ernst, gebruikersimpact, populariteit van waarschuwingen voor alle gebruikers en alle entiteiten in de organisatie.
Scoren van activiteit: De activiteitsscore bepaalt de waarschijnlijkheid van een specifieke gebruiker die een specifieke activiteit uitvoert, op basis van gedragsleer van de gebruiker en hun peers. Activiteiten geïdentificeerd als de meest abnormale ontvangst van de hoogste scores.
Selecteer de onderzoeksprioriteitsscore voor een waarschuwing of een activiteit om het bewijs te bekijken waarin wordt uitgelegd hoe Defender voor Cloud Apps de activiteit hebben beoordeeld.
Notitie
In augustus 2024 wordt de waarschuwing voor het verhogen van de prioriteitsscore onderzoek geleidelijk buiten gebruik gesteld van Microsoft Defender voor Cloud Apps. De prioriteitsscore voor onderzoek en de procedure die in dit artikel wordt beschreven, worden niet beïnvloed door deze wijziging.
Zie de tijdlijn voor het verhogen van de afschaffing van de onderzoeksprioriteitsscore voor meer informatie.
Fase 1: Verbinding maken met de apps die u wilt beveiligen
Verbind ten minste één app met Microsoft Defender voor Cloud Apps met behulp van de API-connectors. U wordt aangeraden eerst verbinding te maken met Microsoft 365.
Microsoft Entra ID-apps worden automatisch toegevoegd voor app-beheer voor voorwaardelijke toegang.
Fase 2: Belangrijkste riskante gebruikers identificeren
Ga als volgt te werk om te bepalen wie uw riskante gebruikers zich in Defender voor Cloud Apps bevinden:
Selecteer Identiteiten in de Microsoft Defender-portal onder Assets. Sorteer de tabel op onderzoeksprioriteit. Vervolgens gaat u één voor één naar de gebruikerspagina om deze te onderzoeken.
Het nummer van de onderzoeksprioriteit, dat naast de gebruikersnaam wordt gevonden, is een som van alle riskante activiteiten van de gebruiker in de afgelopen week.Selecteer de drie puntjes rechts van de gebruiker en kies De pagina Gebruiker weergeven.
Bekijk de informatie op de pagina met gebruikersgegevens om een overzicht van de gebruiker te krijgen en te zien of er punten zijn waarop de gebruiker activiteiten heeft uitgevoerd die ongebruikelijk waren voor die gebruiker of die op een ongebruikelijk tijdstip zijn uitgevoerd.
De score van de gebruiker vergeleken met de organisatie geeft aan in welk percentiel de gebruiker zich bevindt op basis van hun rangorde in uw organisatie: hoe hoog ze zijn in de lijst met gebruikers die u moet onderzoeken ten opzichte van andere gebruikers in uw organisatie. Het getal is rood als een gebruiker zich in of boven het 90e percentiel van riskante gebruikers in uw organisatie bevindt.
Op de pagina met gebruikersgegevens kunt u de volgende vragen beantwoorden:
Vraag | DETAILS |
---|---|
Wie is de gebruiker? | Zoek naar basisinformatie over de gebruiker en wat het systeem ervan weet, inclusief de rol van de gebruiker in uw bedrijf en hun afdeling. Is de gebruiker bijvoorbeeld een DevOps-engineer die vaak ongebruikelijke activiteiten uitvoert als onderdeel van hun taak? Of is de gebruiker een ontevreden werknemer die net is doorgegeven voor een promotie? |
Is de gebruiker riskant? | Wat is de risicoscore van de werknemer en is het de moeite waard om ze te onderzoeken? |
Wat is het risico dat de gebruiker aan uw organisatie presenteert? | Schuif omlaag om elke activiteit en waarschuwing met betrekking tot de gebruiker te onderzoeken om inzicht te krijgen in het type risico dat de gebruiker vertegenwoordigt. Selecteer in de tijdlijn elke regel om dieper in te zoomen op de activiteit of waarschuwing zelf. Selecteer het getal naast de activiteit, zodat u inzicht krijgt in het bewijs dat de score zelf heeft beïnvloed. |
Wat is het risico voor andere assets in uw organisatie? | Selecteer het tabblad Laterale verplaatsingspaden om te begrijpen welke paden een aanvaller kan gebruiken om controle te krijgen over andere assets in uw organisatie. Zelfs als de gebruiker die u onderzoekt een niet-gevoelig account heeft, kan een aanvaller verbindingen met het account gebruiken om gevoelige accounts in uw netwerk te detecteren en te misbruiken. Zie Laterale verplaatsingspaden gebruiken voor meer informatie. |
Notitie
Hoewel pagina's met gebruikersgegevens informatie bieden voor apparaten, resources en accounts voor alle activiteiten, bevat de prioriteitsscore voor onderzoek de som van alle riskante activiteiten en waarschuwingen in de afgelopen 7 dagen.
Gebruikersscore opnieuw instellen
Als de gebruiker is onderzocht en er geen vermoeden voor inbreuk is gevonden, of als u de prioriteitsscore voor onderzoek van de gebruiker om een andere reden opnieuw wilt instellen, dus handmatig als volgt:
Selecteer Identiteiten in de Microsoft Defender-portal onder Assets.
Selecteer de drie puntjes rechts van de onderzochte gebruiker en selecteer vervolgens De prioriteitsscore van onderzoek opnieuw instellen. U kunt ook de pagina Gebruiker weergeven selecteren en vervolgens De prioriteitsscore voor onderzoek opnieuw instellen selecteren op de drie puntjes op de pagina met gebruikersgegevens.
Notitie
Alleen gebruikers met een niet-nul onderzoeksprioriteitsscore kunnen opnieuw worden ingesteld.
Selecteer opnieuw instellen in het bevestigingsvenster.
Fase 3: Gebruikers verder onderzoeken
Sommige activiteiten zijn mogelijk niet zelf alarmerend, maar kunnen een indicatie zijn van een verdachte gebeurtenis wanneer ze worden samengevoegd met andere activiteiten.
Wanneer u een gebruiker onderzoekt, wilt u de volgende vragen stellen over de activiteiten en waarschuwingen die u ziet:
Is er een zakelijke reden voor deze werknemer om deze activiteiten uit te voeren? Als iemand van marketing bijvoorbeeld toegang heeft tot de codebasis of als iemand van ontwikkeling toegang heeft tot de financiële database, moet u contact opnemen met de werknemer om ervoor te zorgen dat dit een opzettelijke en gerechtvaardigde activiteit was.
Waarom kreeg deze activiteit een hoge score terwijl anderen dat niet deden? Ga naar het activiteitenlogboek en stel de prioriteit Onderzoek in op Is ingesteld om te begrijpen welke activiteiten verdacht zijn.
U kunt bijvoorbeeld filteren op basis van onderzoeksprioriteit voor alle activiteiten die zich in een specifiek geografisch gebied hebben voorgedaan. Vervolgens kunt u zien of er andere activiteiten waren die riskant waren, waar de gebruiker vandaan is verbonden en u eenvoudig kunt draaien naar andere inzoomen, zoals recente niet-ananomale cloud- en on-premises activiteiten, om uw onderzoek voort te zetten.
Fase 4: Uw organisatie beveiligen
Als uw onderzoek u leidt tot de conclusie dat een gebruiker is aangetast, gebruikt u de volgende stappen om het risico te beperken.
Neem contact op met de gebruiker. Met behulp van de contactgegevens van de gebruiker die is geïntegreerd met Defender voor Cloud Apps uit Active Directory, kunt u inzoomen op elke waarschuwing en activiteit om de gebruikersidentiteit op te lossen. Zorg ervoor dat de gebruiker bekend is met de activiteiten.
Selecteer rechtstreeks vanuit de Microsoft Defender-portal op de pagina Identiteiten de drie puntjes van de onderzochte gebruiker en kies of de gebruiker zich opnieuw moet aanmelden, de gebruiker moet onderbreken of de gebruiker moet bevestigen als gecompromitteerd.
In het geval van een aangetaste identiteit kunt u de gebruiker vragen om het wachtwoord opnieuw in te stellen, zodat het wachtwoord voldoet aan de aanbevolen richtlijnen voor lengte en complexiteit.
Als u inzoomt op een waarschuwing en vaststelt dat de activiteit geen waarschuwing heeft geactiveerd, selecteert u in de activiteitenlade de koppeling Feedback verzenden, zodat we ons zeker kunnen zijn om ons waarschuwingssysteem af te stemmen met uw organisatie.
Nadat u het probleem hebt opgelost, sluit u de waarschuwing.
Zie ook
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.