Tutorial: Investigar utilizadores de risco
Nota
Microsoft Defender for Cloud Apps faz agora parte do Microsoft 365 Defender e pode ser acedido através do respetivo portal em: https://security.microsoft.com. Microsoft 365 Defender correlaciona sinais do conjunto de Microsoft Defender entre pontos finais, identidades, e-mail e aplicações SaaS para fornecer capacidades de deteção, investigação e resposta avançadas ao nível do incidente. Melhora a eficiência operacional com uma melhor atribuição de prioridades e tempos de resposta mais curtos que protegem a sua organização de forma mais eficaz. Para obter mais informações sobre estas alterações, veja Microsoft Defender for Cloud Apps no Microsoft 365 Defender.
As equipas de operações de segurança são desafiadas a monitorizar a atividade do utilizador, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, utilizando várias soluções de segurança que muitas vezes não estão ligadas. Embora muitas empresas tenham agora equipas de investigação para identificar proativamente ameaças nos seus ambientes, saber o que procurar em toda a grande quantidade de dados pode ser um desafio. Microsoft Defender for Cloud Apps agora simplifica isto ao eliminar a necessidade de criar regras de correlação complexas e permite-lhe procurar ataques que se estendem pela sua cloud e rede no local.
Para o ajudar a concentrar-se na identidade do utilizador, Microsoft Defender for Cloud Apps fornece análise comportamental de entidades do utilizador (UEBA) na cloud. Isto pode ser expandido para o seu ambiente no local através da integração com Microsoft Defender para Identidade. Depois de se integrar no Defender para Identidade, também irá obter contexto em torno da identidade do utilizador a partir da respetiva integração nativa com o Active Directory.
Se o acionador é um alerta que vê no dashboard do Defender para Aplicações na Cloud ou se tem informações de um serviço de segurança de terceiros, inicie a investigação a partir do dashboard do Defender para Aplicações na Cloud para aprofundar os utilizadores de risco.
Neste tutorial, irá aprender a utilizar o Defender para Aplicações na Cloud para investigar utilizadores de risco:
Compreender a classificação de prioridade da investigação
A classificação de prioridade de investigação é uma classificação que o Defender para Aplicações na Cloud dá a cada utilizador para que saiba o quão arriscado um utilizador é em relação a outros utilizadores na sua organização.
Utilize a classificação de prioridade investigação para determinar quais os utilizadores a investigar primeiro. O Defender para Cloud Apps cria perfis de utilizador para cada utilizador com base em análises que levam tempo, grupos de pares e atividade de utilizador esperada em consideração. A atividade anómalo à linha de base de um utilizador é avaliada e pontuada. Após a conclusão da classificação, os cálculos de peering dinâmicos proprietários da Microsoft e a aprendizagem automática são executados nas atividades do utilizador para calcular a prioridade de investigação para cada utilizador.
A classificação de prioridade investigação fornece-lhe a capacidade de detetar utilizadores internos maliciosos e atacantes externos a moverem-se lateralmente nas suas organizações, sem ter de depender de deteções deterministas padrão.
A classificação de prioridade da investigação baseia-se em alertas de segurança, atividades anormais e potencial impacto empresarial e de recursos relacionados com cada utilizador para o ajudar a avaliar a urgência de investigar cada utilizador específico.
Se selecionar o valor de classificação para um alerta ou uma atividade, pode ver as provas que explicam como o Defender para Aplicações na Cloud obteve a classificação da atividade.
Cada Azure AD utilizador tem uma classificação de prioridade de investigação dinâmica, que é constantemente atualizada com base no comportamento e impacto recentes, criada a partir de dados avaliados a partir do Defender para Identidade e Defender para Aplicações na Cloud. Agora, pode compreender imediatamente quem são os utilizadores mais arriscados, ao filtrar de acordo com a classificação de prioridade investigação, verificar diretamente qual é o impacto empresarial e investigar todas as atividades relacionadas, quer estejam comprometidas, exfiltrando dados ou agindo como ameaças internas.
O Defender para Aplicações na Cloud utiliza o seguinte para medir o risco:
Classificação de alertas
A classificação de alerta representa o impacto potencial de um alerta específico em cada utilizador. A classificação de alertas baseia-se na gravidade, no impacto do utilizador, na popularidade dos alertas entre utilizadores e em todas as entidades da organização.Classificação de atividade
A classificação de atividade determina a probabilidade de um utilizador específico realizar uma atividade específica, com base na aprendizagem comportamental do utilizador e dos respetivos pares. As atividades identificadas como as mais anormais recebem as classificações mais altas.
Fase 1: Ligar às aplicações que pretende proteger
- Ligue pelo menos uma aplicação a Microsoft Defender for Cloud Apps através dos conectores de API. Recomendamos que comece por ligar Office 365.
- Ligue aplicações adicionais com o proxy para obter o controlo de aplicações de acesso condicional.
Fase 2: Identificar os principais utilizadores de risco
Para identificar quem são os utilizadores mais arriscados no Defender para Cloud Apps:
No portal Microsoft 365 Defender, em Recursos, selecione Identidades. Ordene a tabela por Prioridade de investigação. Em seguida, um a um, aceda à página de utilizador para os investigar.
O número de prioridade da investigação, encontrado junto ao nome de utilizador, é uma soma de todas as atividades de risco do utilizador ao longo da última semana.
Selecione os três pontos à direita do utilizador e selecione Ver página Utilizador.
Reveja as informações na página Utilizador para obter uma descrição geral do utilizador e veja se existem pontos em que o utilizador realizou atividades invulgares para esse utilizador ou que foram executadas numa altura invulgar. A classificação do Utilizador em comparação com a organização representa o percentil em que o utilizador se encontra com base na respetiva classificação na sua organização – a altura da respetiva classificação na lista de utilizadores que deve investigar, relativamente a outros utilizadores na sua organização. O número será vermelho se um utilizador estiver dentro ou acima do percentil 90 de utilizadores de risco em toda a sua organização.
A página Utilizador ajuda-o a responder às perguntas:Quem é o utilizador?
Observe o painel esquerdo para obter informações sobre quem é o utilizador e o que é conhecido sobre os mesmos. Este painel fornece-lhe informações sobre a função do utilizador na sua empresa e no respetivo departamento. O utilizador é um engenheiro de DevOps que realiza frequentemente atividades invulgares como parte do seu trabalho? O utilizador é um funcionário descontente que acabou de ser transferido para uma promoção?O utilizador é arriscado?
Consulte a parte superior do painel direito para saber se vale a pena investigar o utilizador. Qual é a classificação de risco do funcionário?Qual é o risco que o utilizador apresenta à sua organização?
Observe a lista no painel inferior, que lhe fornece cada atividade e cada alerta relacionado com o utilizador para o ajudar a começar a compreender que tipo de risco o utilizador representa. Na linha cronológica, selecione cada linha para que possa desagregar mais aprofundadamente a atividade ou o alerta propriamente dito. Também pode selecionar o número junto à atividade para que possa compreender as provas que influenciaram a pontuação propriamente dita.Qual é o risco para outros recursos na sua organização?
Selecione o separador Caminhos de movimento lateral para compreender os caminhos que um atacante pode utilizar para obter o controlo de outros recursos na sua organização. Por exemplo, mesmo que o utilizador que está a investigar tenha uma conta não sensível, um atacante pode utilizar ligações à conta para detetar e tentar comprometer contas confidenciais na sua rede. Para obter mais informações, veja Utilizar Caminhos de Movimento Lateral.
Nota
É importante lembrar que, embora a página Utilizador forneça informações para dispositivos, recursos e contas em todas as atividades, a classificação de prioridade da investigação é a soma de todas as atividades e alertas de risco nos últimos 7 dias.
Repor classificação do utilizador
Se o utilizador tiver sido investigado e não tiver sido encontrada qualquer suspeita de comprometimento ou, por qualquer motivo, preferir repor a classificação de prioridade de investigação do utilizador, pode repor manualmente a classificação.
No portal Microsoft 365 Defender, em Recursos, selecione Identidades.
Selecione os três pontos à direita do utilizador investigado e selecione Repor classificação de prioridade de investigação. Também pode selecionar Ver página de utilizador e, em seguida, selecionar Repor classificação de prioridade de investigação a partir dos três pontos na página Utilizador.
Nota
Apenas os utilizadores com uma classificação de prioridade de investigação sem zero podem ser repostos.
Na janela de confirmação, selecione Repor classificação.
Fase 3: Investigar mais aprofundadamente os utilizadores
Quando investiga um utilizador com base num alerta ou se viu um alerta num sistema externo, podem existir atividades que por si só podem não ser motivo de alarme, mas quando o Defender para Cloud Apps os agrega juntamente com outras atividades, o alerta pode ser uma indicação de um evento suspeito.
Quando investiga um utilizador, quer fazer estas perguntas sobre as atividades e alertas que vê:
Existe alguma justificação comercial para este colaborador realizar estas atividades? Por exemplo, se alguém do Marketing estiver a aceder à base de código ou alguém do Development aceder à base de dados Finanças, deve acompanhar o funcionário para se certificar de que se trata de uma atividade intencional e justificada.
Aceda ao Registo de atividades para compreender por que motivo esta atividade recebeu uma classificação elevada, enquanto outras não. Pode definir a prioridade investigação como Está definida para compreender que atividades são suspeitas. Por exemplo, pode filtrar com base na Prioridade de investigação para todas as atividades ocorridas na Ucrânia. Em seguida, pode ver se havia outras atividades que eram arriscadas, a partir das quais o utilizador se ligou, e pode facilmente dinamizar para outras desagregações, como atividades recentes não anómalas na cloud e no local, para continuar a sua investigação.
Fase 4: Proteger a sua organização
Se a investigação o levar à conclusão de que um utilizador está comprometido, siga estes passos para mitigar o risco.
Contacte o utilizador – ao utilizar as informações de contacto do utilizador integradas no Defender para Aplicações na Cloud a partir do Active Directory, pode desagregar cada alerta e atividade para resolver a identidade do utilizador. Certifique-se de que o utilizador está familiarizado com as atividades.
Diretamente a partir do portal de Microsoft 365 Defender, na página Identidades, selecione os três pontos pelo utilizador investigado e escolha se pretende exigir que o utilizador inicie sessão novamente, suspenda o utilizador ou confirme que o utilizador está comprometido.
No caso de uma identidade comprometida, pode pedir ao utilizador para repor a palavra-passe, certificando-se de que a palavra-passe cumpre as diretrizes de melhores práticas para a duração e complexidade.
Se desagregar um alerta e determinar que a atividade não deveria ter acionado um alerta, na gaveta Atividade, selecione a ligação Enviar-nos comentários para que possamos ajustar o nosso sistema de alertas com a sua organização em mente.
Depois de remediar o problema, feche o alerta.
Ver também
Se tiver problemas, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.