Tutorial: investigar usuários suspeitos.

  • Artigo

As equipes de operações de segurança são desafiadas a monitorar a atividade do usuário, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, com várias soluções de segurança que muitas vezes não estão conectadas. Embora muitas empresas agora tenham equipes de busca para identificar proativamente ameaças em seus ambientes, saber o que procurar em toda a vasta quantidade de dados pode ser um desafio. O Microsoft Defender para Aplicativos de Nuvem agora simplifica isso, eliminando a necessidade de criar regras de correlação complexas, e permite que você procure ataques que se estendam por toda a sua nuvem e rede local.

Para ajudar você a se concentrar na identidade do usuário, o Microsoft Defender para Aplicativos de Nuvem fornece análise comportamental de entidade de usuário (UEBA) na nuvem. Isso pode ser estendido ao seu ambiente local integrando-se ao Microsoft Defender para Identidade. Depois de se integrar ao Defender para identidade, você também ganhará contexto em torno da identidade do usuário a partir de sua integração nativa com o Active Directory.

Se o gatilho é um alerta que você vê no painel do Defender para Aplicativos de Nuvem ou se você tem informações de um serviço de segurança de terceiros, inicie sua investigação no painel do Defender para Aplicativos de Nuvem a fim de se aprofundar em usuários suspeitos.

Neste tutorial, você aprenderá a usar o Defender para Aplicativos de Nuvem com o objetivo de investigar usuários suspeitos:

Aumento da pontuação de prioridade da investigação – Linha do tempo de depreciação

Desativaremos gradualmente o suporte ao "Aumento da pontuação de prioridade de investigação" do Microsoft Defender para Aplicativos na Nuvem até julho de 2024.

Após uma análise e consideração cuidadosas, decidimos desativá-lo devido à alta taxa de falsos positivos associados a esse alerta, que descobrimos que não estava contribuindo efetivamente para a segurança geral de sua organização.

Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico em fornecer soluções de segurança confiáveis e de alta qualidade.

Estamos comprometidos em melhorar continuamente nossos serviços e garantir que eles atendam às suas necessidades e expectativas.

Para aqueles que desejam continuar usando este alerta, sugerimos usar a consulta dedicada "Busca avançada":

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • Esta é uma sugestão; use-a como modelo e modifique com base em suas necessidades.

Noções básicas sobre a pontuação de prioridade da investigação

A pontuação de prioridade de investigação é uma pontuação que o Defender para Aplicativos de Nuvem fornece a cada usuário para sinalizar o quanto ele é suspeito é em relação a outros usuários em sua organização.

Use a pontuação de prioridade da investigação para determinar quais usuários devem ser investigados primeiro. O Defender para Aplicativos de Nuvem cria perfis de usuário para cada usuário com base em análises que levam em consideração tempo, grupos de pares e atividades esperadas do usuário. A atividade anômala para uma linha de base de um usuário é avaliada e pontuada. Após a conclusão da pontuação, os cálculos de pares dinâmicos proprietários da Microsoft e o aprendizado de máquina são executados nas atividades do usuário para calcular a prioridade da investigação para cada usuário.

A pontuação de prioridade de investigação fornece a capacidade de detectar invasores internos mal-intencionados e externos que se movem lateralmente em suas organizações, sem precisar confiar em detecções determinísticas padrão.

A pontuação de prioridade da investigação é baseada em alertas de segurança, atividades anormais e impacto potencial nos negócios e ativos relacionados a cada usuário para ajudar você a avaliar o quão urgente é investigar cada usuário específico.

Se você selecionar o valor de pontuação para um alerta ou uma atividade, poderá exibir as evidências que explicam como o Defender para Aplicativos de Nuvem pontuou a atividade.

Cada usuário do Microsoft Entra tem uma pontuação de prioridade de investigação dinâmica, que é constantemente atualizada com base no comportamento e impacto recentes, criada a partir de dados avaliados do Defender para Identidade e do Defender para Aplicativos de Nuvem. Agora você pode entender imediatamente quem são os usuários reais mais arriscados, filtrando de acordo com a pontuação de prioridade da Investigação, verificar diretamente qual é o impacto de seus negócios e investigar todas as atividades relacionadas, estejam elas comprometidas, exfiltrando dados ou agindo como ameaças internas.

O Defender para Aplicativos de Nuvem usa o seguinte para medir o risco:

  • Pontuação de alerta
    A pontuação de alerta representa o possível impacto de um alerta específico em cada usuário. A pontuação de alerta é baseada na gravidade, no impacto do usuário, na popularidade do alerta entre os usuários e em todas as entidades da organização.

  • Pontuação de atividades
    A pontuação determina a probabilidade de um usuário específico realizar uma determinada atividade, com base no aprendizado comportamental desse usuário e dos colegas dele. As atividades identificadas como mais anormais recebem as pontuações mais altas.

Fase 1: conectar-se aos aplicativos que você deseja proteger

  1. Conecte pelo menos um aplicativo ao Microsoft Defender para Aplicativos de Nuvem usando os conectores de API. Recomendamos começar com a conexão do Microsoft 365.
  2. Conecte aplicativos adicionais usando o proxy para obter Controle de Aplicativos de Acesso Condicional.

Fase 2: identificar os principais usuários suspeitos

Para identificar quem são os usuários mais arriscados no Defender para Aplicativos de Nuvem:

  1. No Portal do Microsoft Defender, em Ativos, selecione Identidades. Classifique a tabela por prioridade de investigação. Então, um a um, vá para sua página de usuário para investigá-los.
    O número de prioridade da investigação, encontrado ao lado do nome de usuário, é uma soma de todas as atividades arriscadas do usuário na última semana.

    Painel superior de usuários.

  2. Selecione os três pontos à direita do usuário e escolha Exibir página do usuário. Página de usuário.

  3. Analise as informações na página Usuário para obter uma visão geral do usuário e conferir se há pontos em que o usuário executou atividades incomuns ou foram realizadas em um momento incomum. A pontuação do usuário em comparação com a organização representa em qual percentil o usuário está com base em sua classificação em sua organização - quão alto eles estão na lista de usuários que você deve investigar, em relação a outros usuários em sua organização. O número estará vermelho se um usuário estiver no percentil 90 ou acima dele de usuários suspeitos em toda a organização.
    A página Usuário ajuda a responder às perguntas:

    • Quem é o usuário?
      Observe o painel esquerdo, que contém informações sobre quem é o usuário e o que se sabe sobre ele. Esse painel fornece informações sobre a função de usuário na empresa e no departamento. O usuário é um Engenheiro de DevOps que muitas vezes executa atividades incomuns como parte de seu trabalho? O usuário é um funcionário descontente que não foi o escolhido para uma promoção?

    • O usuário é suspeito?
      Confira a parte superior do painel direito para saber se vale a pena investigar o usuário. Qual é a pontuação de risco do funcionário?

    • Qual é o risco que o usuário representa para a organização?
      Observe a lista no painel inferior, que fornece cada atividade e cada alerta relacionado ao usuário para ajudar você a começar a entender que tipo de risco o usuário representa. Na linha do tempo, selecione cada linha para que você possa fazer drill down mais profundamente a atividade ou o próprio alerta. Também é possível selecionar o número ao lado da atividade para que você possa entender as evidências que influenciaram a pontuação em si.

    • Qual é o risco para outros ativos na organização?
      Selecione a guia Caminhos de movimento lateral para entender quais caminhos um invasor pode usar para obter o controle de outros ativos em sua organização. Por exemplo, mesmo que o usuário que você está investigando tenha uma conta não confidencial, um invasor pode usar conexões com essa conta para descobrir e tentar comprometer contas confidenciais em sua rede. Para obter mais informações, consulte Usar caminhos de movimento lateral.

Observação

É importante lembrar que, embora a página Usuário forneça informações relacionadas a dispositivos, recursos e contas em todas as atividades, a pontuação de prioridade de investigação é a soma de todas as atividades e alertas de risco nos últimos sete dias.

Redefinir a pontuação do usuário

Se o usuário foi investigado e nenhuma suspeita de comprometimento foi encontrada, ou por qualquer motivo você prefere redefinir a pontuação de prioridade de investigação do usuário, você pode redefinir manualmente a pontuação.

  1. No Portal do Microsoft Defender, em Ativos, selecione Identidades.

  2. Selecione os três pontos à direita do usuário investigado e escolha Redefinir pontuação de prioridade de investigação. Também é possível selecionar Exibir página de usuário e, em seguida, selecionar Redefinir pontuação de prioridade de investigação nos três pontos na página do Usuário.

    Observação

    Somente os usuários com uma pontuação de prioridade de investigação diferente de zero podem ser redefinidos.

    Selecione o link Redefinir pontuação de prioridade de investigação.

  3. Na janela de confirmação, selecione Redefinir pontuação.

    Selecione o botão Redefinir pontuação.

Fase 3: investigar mais os usuários

Quando você investiga um usuário com base em um alerta ou se viu um alerta em um sistema externo, pode haver atividades que, por si só, podem não ser motivo de alarme, mas quando o Defender para Aplicativos de Nuvem as agrega junto com outras atividades, o alerta pode ser uma indicação de um evento suspeito.

Ao investigar um usuário, faça estas perguntas sobre as atividades e alertas que você vê:

  • Existe alguma justificativa comercial para que esse funcionário exercer essas atividades? Por exemplo, se alguém do Marketing está acessando a base de código, ou alguém do Desenvolvimento acessa o banco de dados Finanças, é necessário acompanhar o funcionário para se certificar de que essa foi uma atividade intencional e justificada.

  • Acesse o log de atividades para entender por que essa atividade recebeu uma pontuação alta enquanto outras não. É possível definir a prioridade da investigação como É definida para entender quais atividades são suspeitas. Por exemplo, você pode filtrar com base na prioridade Investigação para todas as atividades que ocorreram na Ucrânia. Em seguida, você pode ver se havia outras atividades que eram arriscadas, de onde o usuário se conectou, e você pode facilmente mudar para outros detalhes, como atividades locais e de nuvem não anômalas recentes, para continuar sua investigação.

Fase 4: proteger a sua organização

Se a investigação levar à conclusão de que um usuário está comprometido, siga estas etapas para mitigar o risco.

  • Entre em contato com o usuário – Usando as informações de contato do usuário integradas ao Defender para Aplicativos de Nuvem do Active Directory, você pode detalhar cada alerta e atividade para resolver a identidade do usuário. Verifique se o usuário está familiarizado com as atividades.

  • Diretamente do Portal do Microsoft Defender, na página Identidades, selecione os três pontos pelo usuário investigado e escolha se deseja exigir que o usuário entre novamente, suspenda o usuário ou confirme o usuário como comprometido.

  • No caso de uma identidade comprometida, você pode pedir ao usuário para redefinir sua senha, certificando-se de que a senha atenda às diretrizes de melhores práticas para comprimento e complexidade.

  • Se você fizer drill down de um alerta e determinar que a atividade não deveria ter disparado um alerta, na gaveta Atividade, selecione o link Envie-nos comentários para que possamos ter certeza de ajustar nosso sistema de alertas com sua organização em mente.

  • Depois de corrigir o problema, feche o alerta.

Confira também

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.