Tutorial: Investigar usuários arriscados

As equipes de operações de segurança são desafiadas a monitorar a atividade do usuário, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, usando várias soluções de segurança que muitas vezes não estão conectadas. Embora muitas empresas agora tenham equipes de caça para identificar proativamente ameaças em seus ambientes, saber o que procurar na vasta quantidade de dados pode ser um desafio. O Microsoft Defender for Cloud Apps agora simplifica isso, eliminando a necessidade de criar regras de correlação complexas e permite que você procure ataques que abrangem sua nuvem e rede local.

Para ajudá-lo a se concentrar na identidade do usuário, o Microsoft Defender for Cloud Apps fornece análise comportamental de entidade do usuário (UEBA) na nuvem. Isso pode ser estendido ao seu ambiente local integrando-se ao Microsoft Defender for Identity. Depois de integrar com o Defender for Identity, você também ganhará contexto em torno da identidade do usuário a partir de sua integração nativa com o Ative Directory.

Se o gatilho é um alerta que você vê no painel do Defender for Cloud Apps ou se você tem informações de um serviço de segurança de terceiros, inicie sua investigação a partir do painel do Defender for Cloud Apps para se aprofundar em usuários arriscados.

Neste tutorial, você aprenderá a usar o Defender for Cloud Apps para investigar usuários arriscados:

• Ligue-se às aplicações que pretende proteger
• Identificar os utilizadores com maior risco
• Investigar mais os utilizadores
• Proteja a sua organização

Aumento da pontuação de prioridade da investigação - Cronograma de substituição

Até julho de 2024, desativaremos gradualmente o suporte a "Aumento da pontuação de prioridade de investigação" do Microsoft Defender for Cloud Apps.

Após cuidadosa análise e consideração, decidimos desvalorizá-lo devido à elevada taxa de falsos positivos associados a este alerta, que descobrimos não estar a contribuir de forma eficaz para a segurança geral da sua organização.

Nossa pesquisa indicou que esse recurso não estava agregando valor significativo e não estava alinhado com nosso foco estratégico no fornecimento de soluções de segurança confiáveis e de alta qualidade.

Estamos empenhados em melhorar continuamente os nossos serviços e garantir que vão ao encontro das suas necessidades e expectativas.

Para aqueles que desejam continuar a usar este alerta, sugerimos usar a consulta dedicada "Advanced Hunting":

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

• Esta é uma sugestão, use-a como modelo e modifique de acordo com as suas necessidades.

Compreender a pontuação de prioridade da investigação

A pontuação de prioridade de investigação é uma pontuação que o Defender for Cloud Apps dá a cada usuário para que você saiba o quão arriscado um usuário é em relação a outros usuários em sua organização.

Use a pontuação de prioridade Investigação para determinar quais usuários investigar primeiro. O Defender for Cloud Apps cria perfis de usuário para cada usuário com base em análises que levam em consideração tempo, grupos de pares e atividade esperada do usuário. A atividade que é anômala para a linha de base de um usuário é avaliada e pontuada. Após a conclusão da pontuação, os cálculos de pares dinâmicos proprietários da Microsoft e o aprendizado de máquina são executados nas atividades do usuário para calcular a prioridade de investigação para cada usuário.

A pontuação de prioridade Investigação oferece a capacidade de detetar tanto internos mal-intencionados quanto invasores externos que se movem lateralmente em suas organizações, sem ter que confiar em deteções determinísticas padrão.

A pontuação de prioridade de investigação é baseada em alertas de segurança, atividades anormais e potencial impacto nos negócios e ativos relacionados a cada usuário para ajudá-lo a avaliar o quão urgente é investigar cada usuário específico.

Se você selecionar o valor de pontuação para um alerta ou uma atividade, poderá visualizar as evidências que explicam como o Defender for Cloud Apps pontuou a atividade.

Cada usuário do Microsoft Entra tem uma pontuação de prioridade de investigação dinâmica, que é constantemente atualizada com base no comportamento e impacto recentes, construída a partir de dados avaliados do Defender for Identity e do Defender for Cloud Apps. Agora você pode entender imediatamente quem são os usuários reais de maior risco, filtrando de acordo com a pontuação de prioridade da investigação, verificando diretamente qual é o impacto deles nos negócios e investigando todas as atividades relacionadas, sejam elas comprometidas, exfiltrando dados ou agindo como ameaças internas.

O Defender for Cloud Apps usa o seguinte para medir o risco:

• Pontuação de alertas
  A pontuação de alerta representa o impacto potencial de um alerta específico em cada usuário. A pontuação de alertas é baseada na gravidade, no impacto do usuário, na popularidade do alerta entre os usuários e em todas as entidades da organização.

• Pontuação da atividade
  A pontuação da atividade determina a probabilidade de um usuário específico realizar uma atividade específica, com base na aprendizagem comportamental do usuário e de seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais elevadas.

Fase 1: Ligar às aplicações que pretende proteger

1. Conecte pelo menos um aplicativo ao Microsoft Defender for Cloud Apps usando os conectores de API. Recomendamos que você comece conectando o Microsoft 365.
2. Conecte aplicativos adicionais usando o proxy para obter controle de aplicativo de acesso condicional.

Fase 2: Identificar os utilizadores de maior risco

Para identificar quem são seus usuários mais arriscados no Defender for Cloud Apps:

1. No Portal do Microsoft Defender, em Ativos, selecione Identidades. Classifique a tabela por prioridade de investigação. Em seguida, um a um, vá para sua página de usuário para investigá-los.
   O número de prioridade de investigação, encontrado ao lado do nome de usuário, é uma soma de todas as atividades de risco do usuário na última semana.

   

2. Selecione os três pontos à direita do usuário e escolha Exibir página do usuário.

3. Revise as informações na página Usuário para obter uma visão geral do usuário e ver se há pontos em que o usuário realizou atividades que eram incomuns para esse usuário ou foram realizadas em um momento incomum. A pontuação do usuário em comparação com a organização representa em qual percentil o usuário está com base em sua classificação na organização - quão alto ele está na lista de usuários que você deve investigar, em relação a outros usuários em sua organização. O número será vermelho se um usuário estiver dentro ou acima do percentil 90 de usuários arriscados em toda a sua organização.
   A página Utilizador ajuda-o a responder às perguntas:

   • Quem é o utilizador?
     Observe o painel esquerdo para obter informações sobre quem é o usuário e o que se sabe sobre ele. Este painel fornece informações sobre a função do usuário em sua empresa e seu departamento. O usuário é um engenheiro de DevOps que muitas vezes realiza atividades incomuns como parte de seu trabalho? O usuário é um funcionário descontente que acabou de ser preterido para uma promoção?

   • O usuário é arriscado?
     Confira a parte superior do painel direito para saber se vale a pena investigar o usuário. Qual é a pontuação de risco do funcionário?

   • Qual é o risco que o usuário apresenta para sua organização?
     Observe a lista no painel inferior, que fornece cada atividade e cada alerta relacionado ao usuário para ajudá-lo a começar a entender que tipo de risco o usuário representa. Na linha do tempo, selecione cada linha para que você possa detalhar a atividade ou o próprio alerta. Você também pode selecionar o número ao lado da atividade para que você possa entender as evidências que influenciaram a pontuação em si.

   • Qual é o risco para outros ativos na sua organização?
     Selecione a guia Caminhos de movimento lateral para entender quais caminhos um invasor pode usar para obter o controle de outros ativos em sua organização. Por exemplo, mesmo que o usuário que você está investigando tenha uma conta não confidencial, um invasor pode usar conexões com a conta para descobrir e tentar comprometer contas confidenciais em sua rede. Para obter mais informações, consulte Usar caminhos de movimento lateral.

Nota

É importante lembrar que, embora a página Usuário forneça informações para dispositivos, recursos e contas em todas as atividades, a pontuação de prioridade de investigação é a soma de todas as atividades de risco e alertas nos últimos 7 dias.

Redefinir a pontuação do usuário

Se o usuário foi investigado e nenhuma suspeita de comprometimento foi encontrada, ou por qualquer motivo você prefere redefinir a pontuação de prioridade de investigação do usuário, você pode redefinir manualmente a pontuação.

1. No Portal do Microsoft Defender, em Ativos, selecione Identidades.

2. Selecione os três pontos à direita do usuário investigado e escolha Redefinir pontuação de prioridade da investigação. Também pode selecionar Ver página de utilizador e, em seguida, selecionar Repor pontuação de prioridade de investigação a partir dos três pontos na página Utilizador.

   Nota

   Somente usuários com uma pontuação de prioridade de investigação diferente de zero podem ser redefinidos.

   

3. Na janela de confirmação, selecione Redefinir pontuação.

   

Fase 3: Investigar mais os utilizadores

Quando você investiga um usuário com base em um alerta ou se viu um alerta em um sistema externo, pode haver atividades que, por si só, podem não ser motivo de alarme, mas quando o Defender for Cloud Apps as agrega com outras atividades, o alerta pode ser uma indicação de um evento suspeito.

Ao investigar um usuário, você deseja fazer estas perguntas sobre as atividades e alertas que você vê:

• Existe alguma justificativa empresarial para que esse funcionário realize essas atividades? Por exemplo, se alguém do Marketing estiver acessando a base de código, ou alguém do Desenvolvimento acessar o banco de dados de Finanças, você deve acompanhar o funcionário para se certificar de que essa foi uma atividade intencional e justificada.

• Vá para o registro de atividades para entender por que essa atividade recebeu uma pontuação alta enquanto outras não. Você pode definir a prioridade Investigação como Está definida para entender quais atividades são suspeitas. Por exemplo, você pode filtrar com base na prioridade de investigação para todas as atividades que ocorreram na Ucrânia. Em seguida, você pode ver se havia outras atividades que eram arriscadas, de onde o usuário se conectou, e você pode facilmente pivotar para outras detalhamentos, como nuvem não anômala recente e atividades locais, para continuar sua investigação.

Fase 4: Proteja sua organização

Se a sua investigação o levar à conclusão de que um utilizador está comprometido, siga estes passos para reduzir o risco.

• Entre em contato com o usuário – Usando as informações de contato do usuário integradas ao Defender for Cloud Apps do Ative Directory, você pode detalhar cada alerta e atividade para resolver a identidade do usuário. Verifique se o usuário está familiarizado com as atividades.

• Diretamente no Portal do Microsoft Defender, na página Identidades , selecione os três pontos do usuário investigado e escolha se deseja exigir que o usuário entre novamente, suspenda o usuário ou confirme o usuário como comprometido.

• No caso de uma identidade comprometida, você pode pedir ao usuário para redefinir sua senha, certificando-se de que a senha atenda às diretrizes de práticas recomendadas para comprimento e complexidade.

• Se você detalhar um alerta e determinar que a atividade não deveria ter disparado um alerta, na gaveta de atividades, selecione o link Envie-nos comentários para que possamos ter certeza de ajustar nosso sistema de alertas com sua organização em mente.

• Depois de corrigir o problema, feche o alerta.

Consulte também

Práticas recomendadas para proteger sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.