Instrukcje: Badanie ryzyka

Usługa Identity Protection udostępnia organizacjom trzy raporty, których mogą używać do badania zagrożeń związanych z tożsamościami w swoim środowisku. Te raporty to ryzykowni użytkownicy, ryzykowne logowania i wykrycia ryzyka. Badanie zdarzeń jest kluczem do lepszego zrozumienia i zidentyfikowania słabych punktów w strategii zabezpieczeń.

Wszystkie trzy raporty umożliwiają pobieranie zdarzeń w formacie .CSV w celu dalszej analizy poza Azure Portal. Ryzykowni użytkownicy i ryzykowne raporty logowania umożliwiają pobieranie najnowszych 2500 wpisów, podczas gdy raport wykrywania ryzyka umożliwia pobieranie najnowszych 5000 rekordów.

Organizacje mogą korzystać z integracji z usługą Microsoft interfejs Graph API w celu agregowania danych z innymi źródłami, do których mogą mieć dostęp jako organizacja.

Trzy raporty znajdują się w Azure Portal>Azure Active Directory>Zabezpieczenia.

Każdy raport jest uruchamiany z listą wszystkich wykryć dla okresu wyświetlanego w górnej części raportu. Każdy raport umożliwia dodawanie lub usuwanie kolumn na podstawie preferencji administratora. Administratorzy mogą pobrać dane w .CSV lub . Format JSON. Raporty można filtrować przy użyciu filtrów w górnej części raportu.

Wybranie poszczególnych wpisów może spowodować włączenie większej liczby wpisów w górnej części raportu, takich jak możliwość potwierdzenia logowania jako naruszone lub bezpieczne, potwierdzenie naruszenia zabezpieczeń użytkownika lub odrzucenie ryzyka związanego z użytkownikiem.

Wybranie poszczególnych wpisów spowoduje rozwinięcie okna szczegółów poniżej wykryć. Widok szczegółów umożliwia administratorom badanie i podejmowanie akcji dotyczących każdego wykrywania.

Ryzykowni użytkownicy

Risky users report in the Azure portal

Dzięki informacjom dostarczonym przez raport ryzykownych użytkowników administratorzy mogą znaleźć:

  • Którzy użytkownicy są narażeni na ryzyko, zostali skorygowani lub zdymisjonowani?
  • Szczegółowe informacje o wykrywaniu
  • Historia wszystkich ryzykownych logań
  • Historia ryzyka

Administratorzy mogą następnie podejmować działania dotyczące tych zdarzeń. Administratorzy mogą wybrać:

  • Resetowanie hasła użytkownika
  • Potwierdzanie naruszenia zabezpieczeń użytkownika
  • Odrzucanie ryzyka związanego z użytkownikiem
  • Blokowanie użytkownikowi logowania
  • Dalsze badanie przy użyciu usługi Azure ATP

Ryzykowne logowania

Risky sign-ins report in the Azure portal

Raport ryzykownych logowań zawiera dane z możliwością filtrowania do ostatnich 30 dni (jeden miesiąc).

Korzystając z informacji dostarczonych przez raport ryzykownych logowań, administratorzy mogą znaleźć:

  • Które logowania są klasyfikowane jako zagrożone, potwierdzone naruszone, potwierdzone bezpieczne, odrzucone lub skorygowane.
  • W czasie rzeczywistym i zagregowane poziomy ryzyka skojarzone z próbami logowania.
  • Wyzwalane typy wykrywania
  • Zastosowane zasady dostępu warunkowego
  • Szczegóły uwierzytelniania wieloskładnikowego
  • Informacje o urządzeniu
  • Informacje o aplikacji
  • Informacje o lokalizacji

Administratorzy mogą następnie podejmować działania dotyczące tych zdarzeń. Administratorzy mogą wybrać:

  • Potwierdzanie naruszenia zabezpieczeń logowania
  • Potwierdzanie bezpiecznego logowania

Uwaga

Usługa Identity Protection ocenia ryzyko dla wszystkich przepływów uwierzytelniania— zarówno interakcyjnych, jak i nieinterakcyjnych. Raport dotyczący ryzykownych logowań pokazuje teraz logowania interakcyjne i nieinterakcyjne. Użyj filtru "Typ logowania", aby zmodyfikować ten widok.

Wykrycia ryzyka

Risk detections report in the Azure portal

Raport dotyczący wykrywania ryzyka zawiera dane z możliwością filtrowania do ostatnich 90 dni (trzy miesiące).

Dzięki informacjom dostarczonym przez raport wykrywania ryzyka administratorzy mogą znaleźć:

  • Informacje o każdym wykrywaniu ryzyka, w tym o typie.
  • Inne zagrożenia wyzwalane w tym samym czasie
  • Lokalizacja próby logowania
  • Połącz się z bardziej szczegółowymi informacjami z Microsoft Defender for Cloud Apps.

Administratorzy mogą następnie wrócić do raportu dotyczącego ryzyka lub logowań użytkownika w celu podjęcia działań na podstawie zebranych informacji.

Uwaga

Nasz system może wykryć, że zdarzenie ryzyka, które przyczyniło się do oceny ryzyka związanego z użytkownikiem ryzyka, było wynikiem fałszywie dodatnim lub że ryzyko użytkownika zostało skorygowane za pomocą wymuszania zasad, takich jak ukończenie monitu uwierzytelniania wieloskładnikowego lub bezpieczna zmiana hasła. W związku z tym nasz system odrzuci stan ryzyka, a szczegóły ryzyka "Potwierdzona sztuczna inteligencja została zatwierdzona do bezpiecznego logowania" pojawi się i nie będzie już przyczyniać się do ryzyka użytkownika.

Struktura badania

Organizacje mogą korzystać z poniższych struktur, aby rozpocząć badanie wszelkich podejrzanych działań. Badania mogą wymagać konwersacji z danym użytkownikiem, przejrzenia dzienników logowania lub przejrzenia dzienników inspekcji , aby wymienić kilka.

  1. Sprawdź dzienniki i sprawdź, czy podejrzane działanie jest normalne dla danego użytkownika.
    1. Przyjrzyj się wcześniejszym działaniom użytkownika, w tym co najmniej następującym właściwościom, aby sprawdzić, czy są one normalne dla danego użytkownika.
      1. Aplikacja
      2. Urządzenie — czy urządzenie jest zarejestrowane, czy zgodne?
      3. Lokalizacja — czy użytkownik podróżuje do innej lokalizacji, czy uzyskuje dostęp do urządzeń z wielu lokalizacji?
      4. Adres IP
      5. Ciąg agenta użytkownika
    2. Jeśli masz dostęp do innych narzędzi zabezpieczeń, takich jak Microsoft Sentinel, sprawdź odpowiednie alerty, które mogą wskazywać na większy problem.
  2. Skontaktuj się z użytkownikiem, aby potwierdzić, czy rozpoznaje logowanie. Metody, takie jak poczta e-mail lub Teams, mogą zostać naruszone.
    1. Potwierdź posiadane informacje, takie jak:
      1. Aplikacja
      2. Urządzenie
      3. Lokalizacja
      4. Adres IP

Badanie wykrywania analizy zagrożeń w usłudze Azure AD

Aby zbadać wykrywanie ryzyka analizy zagrożeń w usłudze Azure AD, wykonaj następujące kroki:

Jeśli zostanie wyświetlonych więcej informacji dotyczących wykrywania:

  1. Logowanie pochodziło z podejrzanego adresu IP:
    1. Sprawdź, czy adres IP pokazuje podejrzane zachowanie w danym środowisku.
    2. Czy adres IP generuje dużą liczbę błędów dla użytkownika lub zestawu użytkowników w katalogu?
    3. Czy ruch adresu IP pochodzi z nieoczekiwanego protokołu lub aplikacji, na przykład Exchange starszych protokołów?
    4. Jeśli adres IP odpowiada dostawcy usług w chmurze, wyklucz, że nie ma legalnych aplikacji dla przedsiębiorstw działających z tego samego adresu IP.
  2. To konto zostało zaatakowane przez spray hasła:
    1. Sprawdź, czy żaden inny użytkownik w twoim katalogu nie jest obiektem docelowym tego samego ataku.
    2. Czy inni użytkownicy mają logowania z podobnymi nietypowymi wzorcami widocznymi w wykrytym logowaniu w tym samym przedziale czasu? Ataki sprayowe haseł mogą wyświetlać nietypowe wzorce w:
      1. Ciąg agenta użytkownika
      2. Aplikacja
      3. Protokół
      4. Zakresy adresów IP/numerów ASN
      5. Czas i częstotliwość logowania

Następne kroki