Udostępnij za pośrednictwem


Samouczek: badanie ryzykownych użytkowników

Zespoły ds. operacji zabezpieczeń są kwestionowane w celu monitorowania aktywności użytkowników, podejrzanych lub w inny sposób we wszystkich wymiarach powierzchni ataków związanych z tożsamościami przy użyciu wielu rozwiązań zabezpieczeń, które często nie są połączone. Chociaż wiele firm ma teraz zespoły zajmujące się wyszukiwaniem zagrożeń, aby aktywnie identyfikować zagrożenia w swoich środowiskach, wiedza o tym, co należy szukać w ogromnej ilości danych, może stanowić wyzwanie. Microsoft Defender dla Chmury Apps eliminuje konieczność tworzenia złożonych reguł korelacji i umożliwia wyszukiwanie ataków obejmujących chmurę i sieć lokalną.

Aby ułatwić skoncentrowanie się na tożsamości użytkownika, usługa Microsoft Defender dla Chmury Apps udostępnia analizę behawioralną jednostek użytkownika (UEBA) w chmurze. Analizę UEBA można rozszerzyć na środowisko lokalne, integrując się z usługą Microsoft Defender for Identity, po czym uzyskasz również kontekst wokół tożsamości użytkownika z natywnej integracji z usługą Active Directory.

Niezależnie od tego, czy wyzwalacz jest alertem widocznym na pulpicie nawigacyjnym usługi Defender dla Chmury Apps, czy też masz informacje z usługi zabezpieczeń innej firmy, rozpocznij badanie z pulpitu nawigacyjnego usługi Defender dla Chmury Apps, aby dokładnie zapoznać się z ryzykownych użytkowników.

Z tego samouczka dowiesz się, jak używać aplikacji Defender dla Chmury do badania ryzykownych użytkowników:

Omówienie wyniku priorytetu badania

Wynik priorytetu badania to wynik, który Defender dla Chmury Apps daje każdemu użytkownikowi informacje o tym, jak ryzykowny jest użytkownik względem innych użytkowników w organizacji. Użyj oceny priorytetu badania, aby określić, którzy użytkownicy będą najpierw badać, wykrywać zarówno złośliwych testerów, jak i osoby atakujące zewnętrzne przenoszone później w organizacjach bez konieczności polegania na standardowych wykrywaniach deterministycznych.

Każdy użytkownik firmy Microsoft Entra ma dynamiczny wynik priorytetu badania, który jest stale aktualizowany w oparciu o ostatnie zachowanie i wpływ utworzony na podstawie danych ocenianych przez usługę Defender for Identity i Defender dla Chmury Apps.

Defender dla Chmury Apps tworzy profile użytkowników dla każdego użytkownika na podstawie analiz, które uwzględniają alerty zabezpieczeń i nietypowe działania w czasie, grupy równorzędne, oczekiwane działania użytkowników i wpływ, jaki może mieć konkretny użytkownik na zasoby biznesowe lub firmowe.

Działanie, które jest nietypowe dla punktu odniesienia użytkownika, jest oceniane i oceniane. Po zakończeniu oceniania zastrzeżone obliczenia dynamicznej komunikacji równorzędnej firmy Microsoft i uczenie maszynowe są uruchamiane na działaniach użytkownika w celu obliczenia priorytetu badania dla każdego użytkownika.

Dowiedz się, kto jest od razu największym ryzykownym użytkownikiem, filtrując według wyniku priorytetu badania, bezpośrednio weryfikując wpływ na działalność biznesową każdego użytkownika i badając wszystkie powiązane działania — niezależnie od tego, czy zostały naruszone, eksfiltrowane dane, czy działają jako zagrożenia wewnętrzne.

Defender dla Chmury Apps używa następujących elementów do mierzenia ryzyka:

  • Ocenianie alertów: wynik alertu reprezentuje potencjalny wpływ określonego alertu na każdego użytkownika. Ocenianie alertów jest oparte na ważności, wpływie użytkowników, popularności alertów wśród użytkowników i wszystkich jednostkach w organizacji.

  • Ocenianie działań: wynik działania określa prawdopodobieństwo określonego użytkownika wykonującego określone działanie na podstawie uczenia behawioralnego użytkownika i ich rówieśników. Działania zidentyfikowane jako najbardziej nietypowe otrzymują najwyższe wyniki.

Wybierz ocenę priorytetu badania dla alertu lub działania, aby wyświetlić dowody, które wyjaśniają, w jaki sposób aplikacja Defender dla Chmury ocenia działanie.

Uwaga

Stopniowo przechodzimy na emeryturę alertu o wzroście wskaźnika priorytetu badania z aplikacji Microsoft Defender dla Chmury do sierpnia 2024 r. Wynik priorytetu badania i procedura opisana w tym artykule nie mają wpływu na tę zmianę.

Aby uzyskać więcej informacji, zobacz Oś czasu wycofywania wskaźnika priorytetu badania.

Faza 1. Łączenie się z aplikacjami, które chcesz chronić

Połącz co najmniej jedną aplikację z usługą Microsoft Defender dla Chmury Apps przy użyciu łączników interfejsu API. Zalecamy rozpoczęcie od nawiązania połączenia z platformą Microsoft 365.

Aplikacje Microsoft Entra ID są automatycznie dołączane do kontroli aplikacji dostępu warunkowego.

Faza 2. Identyfikowanie najważniejszych ryzykownych użytkowników

Aby określić, kto najbardziej ryzykowni użytkownicy znajdują się w aplikacjach Defender dla Chmury:

  1. W witrynie Microsoft Defender Portal w obszarze Zasoby wybierz pozycję Tożsamości. Sortuj tabelę według priorytetu badania. Następnie jeden po drugim przejdź do strony użytkownika, aby je zbadać.
    Numer priorytetu badania, znaleziony obok nazwy użytkownika, jest sumą wszystkich ryzykownych działań użytkownika w ciągu ostatniego tygodnia.

    Zrzut ekranu przedstawiający pulpit nawigacyjny Wierzchołki użytkowników.

  2. Wybierz trzy kropki po prawej stronie użytkownika, a następnie wybierz pozycję Wyświetl stronę użytkownika.

    Zrzut ekranu przedstawiający stronę szczegółów użytkownika.

  3. Przejrzyj informacje na stronie szczegółów użytkownika, aby uzyskać przegląd użytkownika i sprawdzić, czy istnieją punkty, w których użytkownik wykonał działania, które były nietypowe dla tego użytkownika lub zostały wykonane w nietypowym czasie.

    Wynik użytkownika w porównaniu z organizacją reprezentuje, który percentyl użytkownika znajduje się w oparciu o ich klasyfikację w organizacji — jak wysoko znajdują się na liście użytkowników, które należy zbadać, względem innych użytkowników w organizacji. Liczba jest czerwona, jeśli użytkownik znajduje się w 90. percentylu ryzykownych użytkowników w całej organizacji.

Strona szczegółów użytkownika ułatwia udzielenie odpowiedzi na następujące pytania:

Pytanie Szczegóły
Kto jest użytkownikiem? Poszukaj podstawowych informacji o użytkowniku i o tym, co system o nich wie, w tym o roli użytkownika w firmie i ich dziale.

Czy na przykład użytkownik jest inżynierem DevOps, który często wykonuje nietypowe działania w ramach swojej pracy? Czy też użytkownik jest niezadowolonym pracownikiem, który właśnie przeszedł do promocji?
Czy użytkownik jest ryzykowny? Jaki jest wskaźnik ryzyka pracownika i czy warto go zbadać?
Jakie jest ryzyko, jakie użytkownik przedstawia twojej organizacji? Przewiń w dół, aby zbadać każde działanie i alert związany z użytkownikiem, aby rozpocząć zrozumienie typu ryzyka reprezentowanego przez użytkownika.

Na osi czasu wybierz każdy wiersz, aby przejść do szczegółów działania lub alertu. Wybierz liczbę obok działania, aby zrozumieć dowody, które miały wpływ na sam wynik.
Jakie jest ryzyko dla innych zasobów w organizacji? Wybierz kartę Ścieżki przenoszenia bocznego , aby zrozumieć, które ścieżki osoba atakująca może użyć do kontrolowania innych zasobów w organizacji.

Na przykład, nawet jeśli badany użytkownik ma konto niewrażliwe, osoba atakująca może użyć połączeń z kontem, aby odnaleźć poufne konta i spróbować naruszyć bezpieczeństwo poufnych kont w sieci.

Aby uzyskać więcej informacji, zobacz Use Lateral Movement Paths (Używanie ścieżek ruchu bocznego).

Uwaga

Chociaż strony szczegółów użytkownika zawierają informacje dotyczące urządzeń, zasobów i kont we wszystkich działaniach, wynik priorytetu badania obejmuje sumę wszystkich ryzykownych działań i alertów w ciągu ostatnich 7 dni.

Resetowanie wyniku użytkownika

Jeśli użytkownik został zbadany i nie znaleziono żadnych podejrzeń dotyczących naruszenia zabezpieczeń lub jeśli chcesz zresetować wynik priorytetu badania użytkownika z jakiegokolwiek innego powodu, więc ręcznie w następujący sposób:

  1. W witrynie Microsoft Defender Portal w obszarze Zasoby wybierz pozycję Tożsamości.

  2. Wybierz trzy kropki po prawej stronie badanego użytkownika, a następnie wybierz pozycję Resetuj wynik priorytetu badania. Możesz również wybrać pozycję Wyświetl stronę użytkownika, a następnie wybrać pozycję Resetuj wynik priorytetu badania z trzech kropek na stronie szczegółów użytkownika.

    Uwaga

    Można zresetować tylko użytkowników z oceną priorytetu badania niezerowego.

    Zrzut ekranu przedstawiający link Resetuj ocenę priorytetu badania.

  3. W oknie potwierdzenia wybierz pozycję Resetuj wynik.

    Zrzut ekranu przedstawiający przycisk Resetuj ocenę.

Faza 3. Dalsze badanie użytkowników

Niektóre działania mogą nie być przyczyną alarmu samodzielnie, ale mogą wskazywać na podejrzane zdarzenie w przypadku agregacji z innymi działaniami.

Podczas badania użytkownika chcesz zadać następujące pytania dotyczące wyświetlanych działań i alertów:

  • Czy istnieje uzasadnienie biznesowe dla tego pracownika do wykonania tych działań? Jeśli na przykład ktoś z działu marketingu uzyskuje dostęp do bazy kodu lub ktoś z programowania uzyskuje dostęp do bazy danych finansów, należy postępować zgodnie z pracownikiem, aby upewnić się, że jest to celowe i uzasadnione działanie.

  • Dlaczego to działanie otrzymało wysoki wynik, podczas gdy inne nie? Przejdź do dziennika aktywności i ustaw priorytet badania na Wartość Jest ustawiona, aby zrozumieć, które działania są podejrzane.

    Na przykład można filtrować na podstawie priorytetu badania dla wszystkich działań, które wystąpiły w określonym obszarze geograficznym. Następnie możesz sprawdzić, czy istnieją inne działania, które były ryzykowne, gdzie użytkownik nawiązał połączenie, i można łatwo przechylić się do innych szczegółów, takich jak ostatnie nieanomaliczne działania w chmurze i działania lokalne, aby kontynuować badanie.

Faza 4. Ochrona organizacji

Jeśli badanie prowadzi do wniosku, że bezpieczeństwo użytkownika zostało naruszone, wykonaj następujące kroki, aby ograniczyć ryzyko.

  • Skontaktuj się z użytkownikiem — korzystając z informacji kontaktowych użytkownika zintegrowanych z usługą Defender dla Chmury Apps z usługi Active Directory, możesz przejść do szczegółów poszczególnych alertów i działań w celu rozwiązania tożsamości użytkownika. Upewnij się, że użytkownik zna działania.

  • Bezpośrednio z witryny Microsoft Defender Portal na stronie Tożsamości wybierz trzy kropki przez badanego użytkownika i wybierz, czy użytkownik musi zalogować się ponownie, wstrzymać użytkownika lub potwierdzić naruszenie zabezpieczeń użytkownika.

  • W przypadku tożsamości z naruszonymi zabezpieczeniami możesz poprosić użytkownika o zresetowanie hasła, upewniając się, że hasło spełnia wytyczne dotyczące długości i złożoności.

  • Jeśli przejdziesz do szczegółów alertu i ustalisz, że działanie nie powinno wyzwolić alertu, w szufladzie Działania wybierz link Wyślij nam opinię , abyśmy mogli dokładnie dostosować nasz system zgłaszania alertów z twoją organizacją.

  • Po skorygowaniu problemu zamknij alert.

Zobacz też

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.