Tutorial: investigar usuários suspeitos.
As equipes de operações de segurança são desafiadas a monitorar a atividade do usuário, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, com várias soluções de segurança que muitas vezes não estão conectadas. Embora muitas empresas agora tenham equipes de busca para identificar proativamente ameaças em seus ambientes, saber o que procurar em toda a vasta quantidade de dados pode ser um desafio. O Microsoft Defender para Aplicativos de Nuvem elimina a necessidade de criar regras de correlação complexas, e permite que você procure ataques que se estendam por toda a sua nuvem e rede local.
Para ajudar você a se concentrar na identidade do usuário, o Microsoft Defender para Aplicativos de Nuvem fornece análise comportamental de entidade de usuário (UEBA) na nuvem. O UEBA pode ser estendido ao seu ambiente local integrando-se ao Microsoft Defender para Identidade, após o que você também obterá contexto em torno da identidade do usuário a partir de sua integração nativa com o Active Directory.
Se o gatilho é um alerta que você vê no painel do Defender para Aplicativos de Nuvem ou se você tem informações de um serviço de segurança de terceiros, inicie sua investigação no painel do Defender para Aplicativos de Nuvem a fim de se aprofundar em usuários suspeitos.
Neste tutorial, você aprenderá a usar o Defender para Aplicativos de Nuvem para investigar usuários suspeitos:
Noções básicas sobre a pontuação de prioridade da investigação
A pontuação de prioridade de investigação é uma pontuação que o Defender para Aplicativos de Nuvem fornece a cada usuário para sinalizar o quanto ele é suspeito em relação a outros usuários em sua organização. Use a pontuação de prioridade de investigação para determinar quais usuários devem ser investigados primeiro, detectando invasores internos mal-intencionados e externos que se movem lateralmente em suas organizações, sem precisar confiar em detecções determinísticas padrão.
Cada usuário do Microsoft Entra tem uma pontuação de prioridade de investigação dinâmica, que é constantemente atualizada com base no comportamento e impacto recentes, criada de dados avaliados do Defender para Identidade e do Defender para Aplicativos de Nuvem.
O Defender para Aplicativos de Nuvem cria perfis de usuário para cada usuário, com base em análises que consideram alertas de segurança e atividades anormais ao longo do tempo, grupos de pares, atividade esperada do usuário e o efeito que qualquer usuário específico pode ter nos ativos da empresa ou da empresa.
A atividade anômala para uma linha de base de um usuário é avaliada e pontuada. Após a conclusão da pontuação, os cálculos de pares dinâmicos proprietários da Microsoft e o aprendizado de máquina são executados nas atividades do usuário para calcular a prioridade da investigação para cada usuário.
Entenda imediatamente quem são os usuários suspeitos reais, filtrando de acordo com a pontuação de prioridade da Investigação, verificando diretamente o impacto nos negócios de cada usuário e investigando todas as atividades relacionadas, estejam elas comprometidas, exfiltrando dados ou agindo como ameaças internas.
O Defender para Aplicativos de Nuvem usa o seguinte para medir o risco:
Pontuação de alerta: a pontuação de alerta representa o possível impacto de um alerta específico em cada usuário. A pontuação de alerta é baseada na gravidade, no impacto do usuário, na popularidade do alerta entre os usuários e em todas as entidades da organização.
Pontuação de atividade: a pontuação determina a probabilidade de um usuário específico realizar uma determinada atividade, com base no aprendizado comportamental desse usuário e dos pares dele. As atividades identificadas como mais anormais recebem as pontuações mais altas.
Selecione a pontuação de prioridade de investigação para um alerta ou uma atividade para exibir as evidências que explicam como o Defender para Aplicativos de Nuvem pontuou a atividade.
Observação
Desativaremos gradualmente o suporte ao alerta Aumento da pontuação de prioridade de investigação do Microsoft Defender para Aplicativos de Nuvem até agosto de 2024. A pontuação de prioridade da investigação e o procedimento descrito neste artigo não são afetados por essa alteração.
Para obter mais informações, consulte Linha do tempo de aumento da pontuação de prioridade de investigação.
Fase 1: conectar-se aos aplicativos que você deseja proteger
Conecte pelo menos um aplicativo ao Microsoft Defender para Aplicativos de Nuvem usando os conectores de API. Recomendamos começar com a conexão do Microsoft 365.
Os aplicativos Microsoft Entra ID são automaticamente integrados para o Controle de Aplicativos de Acesso Condicional.
Fase 2: identificar os principais usuários suspeitos
Para identificar quem são os usuários mais arriscados no Defender para Aplicativos de Nuvem:
No Portal do Microsoft Defender, em Ativos, selecione Identidades. Classifique a tabela por prioridade de investigação. Então, um a um, vá para sua página de usuário para investigá-los.
O número de prioridade da investigação, encontrado ao lado do nome de usuário, é uma soma de todas as atividades arriscadas do usuário na última semana.Selecione os três pontos à direita do usuário e escolha Exibir página do usuário.
Analise as informações na página de detalhes do usuário para obter uma visão geral do usuário e conferir se há pontos em que o usuário executou atividades incomuns ou foram realizadas em um momento incomum.
A pontuação do usuário em comparação com a organização representa em qual percentil o usuário está com base em sua classificação em sua organização - quão alto eles estão na lista de usuários que você deve investigar, em relação a outros usuários em sua organização. O número fica vermelho se um usuário estiver no percentil 90 ou acima dele de usuários suspeitos em toda a organização.
A página de detalhes do usuário ajuda você a responder às seguintes perguntas:
Pergunta | Detalhes |
---|---|
Quem é o usuário? | Procure detalhes básicos sobre o usuário e o que o sistema sabe sobre ele, incluindo o papel do usuário em sua empresa e seu departamento. Por exemplo, o usuário é um Engenheiro de DevOps que muitas vezes executa atividades incomuns como parte de seu trabalho? Ou o usuário é um funcionário descontente que não foi o escolhido para uma promoção? |
O usuário é suspeito? | Qual é a pontuação de risco do funcionário e vale a pena investigá-lo? |
Qual é o risco que o usuário representa para a organização? | Role para baixo para investigar cada atividade e alerta relacionado ao usuário para começar a entender o tipo de risco que o usuário representa. Na linha do tempo, selecione cada linha para fazer drill down mais profundamente a atividade ou o próprio alerta. Selecione o número ao lado da atividade para que você possa entender as evidências que influenciaram a pontuação em si. |
Qual é o risco para outros ativos na organização? | Selecione a guia Caminhos de movimento lateral para entender quais caminhos um invasor pode usar para obter o controle de outros ativos em sua organização. Por exemplo, mesmo que o usuário que você está investigando tenha uma conta não confidencial, um invasor pode usar conexões com essa conta para descobrir e tentar comprometer contas confidenciais em sua rede. Para obter mais informações, consulte Usar caminhos de movimento lateral. |
Observação
Enquanto as páginas de detalhes do usuário forneçam informações relacionadas a dispositivos, recursos e contas em todas as atividades, a pontuação de prioridade de investigação inclui a soma de todas as atividades e alertas de risco nos últimos sete dias.
Redefinir a pontuação do usuário
Se o usuário tiver sido investigado e nenhuma suspeita de comprometimento tiver sido encontrada, ou se você quiser redefinir a pontuação de prioridade de investigação do usuário por qualquer outro motivo, redefina manualmente desta forma:
No Portal do Microsoft Defender, em Ativos, selecione Identidades.
Selecione os três pontos à direita do usuário investigado e selecione Redefinir pontuação de prioridade de investigação. Também é possível selecionar Exibir página de usuário e, em seguida, selecionar Redefinir pontuação de prioridade de investigação nos três pontos na página de detalhes do usuário.
Observação
Somente os usuários com uma pontuação de prioridade de investigação diferente de zero podem ser redefinidos.
Na janela de confirmação, selecione Redefinir pontuação.
Fase 3: investigar mais os usuários
Algumas atividades podem não ser motivo de alarme por si só, mas podem ser uma indicação de um evento suspeito quando agregadas a outras atividades.
Ao investigar um usuário, faça as perguntas a seguir sobre as atividades e alertas que você vê:
Existe alguma justificativa comercial para que esse funcionário exercer essas atividades? Por exemplo, se alguém do marketing está acessando a base de código, ou alguém do desenvolvimento acessa o banco de dados de finanças, é necessário acompanhar o funcionário para se certificar de que essa foi uma atividade intencional e justificada.
Por que essa atividade recebeu uma pontuação alta enquanto outras não? Acesse o Log de atividades e defina a Prioridade de investigação como Está definida para compreender quais atividades são suspeitas.
Por exemplo, você pode filtrar com base na Prioridade da investigação para todas as atividades que ocorreram em uma área geográfica específica. Em seguida, você pode ver se havia outras atividades que eram arriscadas, de onde o usuário se conectou, e você pode facilmente mudar para outros detalhes, como atividades locais e de nuvem não anômalas recentes, para continuar sua investigação.
Fase 4: proteger a sua organização
Se a investigação levar à conclusão de que um usuário está comprometido, use as etapas a seguir para mitigar o risco.
Entre em contato com o usuário – usando as informações de contato do usuário integradas ao Defender para Aplicativos de Nuvem do Active Directory, você pode detalhar cada alerta e atividade para resolver a identidade do usuário. Verifique se o usuário está familiarizado com as atividades.
Diretamente do Portal do Microsoft Defender, na página Identidades, selecione os três pontos pelo usuário investigado e escolha se deseja exigir que o usuário entre novamente, suspenda o usuário ou confirme o usuário como comprometido.
No caso de uma identidade comprometida, você pode pedir ao usuário para redefinir sua senha, certificando-se de que a senha atenda às diretrizes de melhores práticas para comprimento e complexidade.
Se você fizer drill down de um alerta e determinar que a atividade não deveria ter disparado um alerta, na gaveta Atividade, selecione o link Envie-nos comentários para que possamos ter certeza de ajustar nosso sistema de alertas com sua organização em mente.
Depois de corrigir o problema, feche o alerta.
Confira também
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.