Руководство. Анализ риска.

  • Статья

Защита идентификации предоставляет организациям отчеты, которые могут использовать для изучения рисков идентификации в их среде. Эти отчеты включают в себя рискованных пользователей, рискованных входов, удостоверений рабочих нагрузок и обнаружения рисков. Исследование событий является ключом к более глубокому пониманию и идентификации слабых точек в стратегии безопасности. Все эти отчеты позволяют загружать события в . Формат CSV или интеграция с другими решениями безопасности, такими как выделенное средство SIEM для дальнейшего анализа.

Организации могут воспользоваться преимуществами интеграции API Microsoft Graph для агрегирования данных с другими источниками, к которым у них может быть доступ в качестве организации.

Три отчета находятся в microsoft Entra admin center>Protection Identity Protection.>

Каждый отчет содержит список всех обнаружений за период, показанный в верхней части отчета. Каждый отчет допускает добавление или удаление столбцов в зависимости от предпочтений администратора. Администраторы могут выбрать загрузку данных в формате CSV или JSON. С помощью фильтров в верхней части отчета можно фильтровать данные в отчете.

При выборе отдельных записей в верхней части отчета могут появиться дополнительные записи, такие как возможность подтвердить вход в систему как скомпрометированный или надежный, подтвердить, что пользователь скомпрометирован, или отклонить пользовательский риск.

Выбор отдельных записей расширяет окно сведений под обнаружением. Детальный вид позволяет администраторам исследовать каждое обнаружение и выполнять соответствующие действия.

Пользователи, выполняющие рискованные действия

В отчете о рискованных пользователях перечислены все пользователи, учетные записи которых в настоящее время или рассматриваются как риск компрометации. Рискованные пользователи должны быть расследованы и исправлены, чтобы предотвратить несанкционированный доступ к ресурсам.

Что такое событие риска для пользователя?

Пользователь становится рискованным пользователем, когда:

  • У них есть один или несколько рискованных входов.
  • Существует один или несколько рисков, обнаруженных в учетной записи пользователя, например утечка учетных данных.

Как исследовать рискованных пользователей?

Чтобы просмотреть и исследовать рискованные входы пользователя, перейдите на вкладку "Последние рискованные входы" или ссылку "Пользователи, рискованные входы".

Чтобы просмотреть и исследовать риски в учетной записи пользователя, выберите вкладку "Обнаружения, не связанные с входом" или ссылку "Обнаружение рисков пользователя".

На вкладке "Журнал рисков" также отображаются все события, которые привели к изменению риска пользователя за последние 90 дней. Этот список включает в себя обнаружения рисков, которые увеличили риск пользователя и действия по исправлению администратора, которые снизили риск пользователя. Просмотрите его, чтобы понять, как изменился риск пользователя.

Снимок экрана: отчет о рискованных пользователях.

Информация, доступная в отчете о пользователях, выполняющих рискованные действия, поможет администратору найти следующие сведения:

  • какие пользователи являются рискованными, были ли риски исправлены или отклонены?
  • Детальные сведения об обнаружении
  • Все события рисков при входе
  • Журнал рисков

Затем администраторы могут предпринять действия с этими событиями. Администраторы могут:

Общие сведения о область

  1. Рассмотрите возможность создания известной базы данных путешественников для обновленных отчетов организации о путешествиях и их использования для перекрестной ссылки на поездки.
  2. Добавьте диапазоны корпоративных VPN-адресов и IP-адресов в именованные расположения, чтобы уменьшить ложные срабатывания.
  3. Просмотрите журналы, чтобы определить аналогичные действия с одинаковыми характеристиками. Это может быть признаком более скомпрометированных учетных записей.
    1. Если существуют распространенные характеристики, такие как IP-адрес, география, успешность и сбой и т. д., попробуйте заблокировать их с помощью политики условного доступа.
    2. Проверьте, какой ресурс может быть скомпрометирован, например потенциальные скачивание данных или административные изменения.
    3. Включение политик самостоятельного исправления с помощью условного доступа
  4. Если вы видите, что пользователь выполнил другие рискованные действия, например скачивание большого объема файлов из нового расположения, это сильный признак возможного компрометации.

Вход, представляющий риск

Снимок экрана: отчет о входе в рискованный режим.

Отчет о рискованных входах содержит фильтруемые данные за последние 30 дней (1 месяц).

Информация, доступная в отчете о пользователях, выполняющих рискованные входы в систему, поможет администратору найти следующие сведения:

  • какие операции входа считаются рискованными, скомпрометированными, подтверждены как надежные, отклонены или исправлены.
  • Уровни риска в режиме реального времени и накопленного риска, связанные с попытками входа.
  • Сработавшие типы обнаружения
  • Применение политик условного доступа
  • Сведения о многофакторной проверке подлинности (MFA)
  • Сведения об устройстве
  • Сведения о приложении
  • Сведения о расположении

Затем администраторы могут предпринять действия с этими событиями. Администраторы могут:

  • Подтвердить компрометацию входа
  • Подтвердить безопасный вход

Примечание.

Служба защиты идентификации оценивает степень риска для всех потоков аутентификации, как интерактивных, так и не интерактивных. Отчет о рискованных входах теперь включает как интерактивные, так и неинтерактивные случаи входа. Используйте фильтр "тип входа" для изменения этого представления.

Обнаружения рисков

Снимок экрана: отчет об обнаружении рисков.

Отчет об обнаружении потенциальных рисков содержит фильтруемые данные за последние 90 дней (3 месяца).

Информация, доступная в отчете об обнаружении рисков, поможет администратору найти следующие сведения:

  • сведения о каждом обнаружении рисков, включая тип.
  • Другие риски, активированные в то же время
  • Расположение попытки входа
  • Ссылка на дополнительные сведения из Microsoft Defender for Cloud Apps.

Затем администраторы могут вернуться к отчету о рисках или о входах пользователей для выполнения действий на основе собранных данных.

Примечание.

Наша система может обнаружить, что событие риска, внесенное в оценку риска пользователя, совершающего рискованные действия, было ложноположительным результатом или что риск пользователя был устранен путем применения политики, например путем ответа на запрос MFA или защищенной смены пароля. В этих случаях система отменит состояние риска, к событию будет добавлена строка описания "AI confirmed sign-in safe" (ИИ подтвердил безопасный вход) и это событие больше не будет влиять на риск пользователя.

Инфраструктура расследований

Организации могут использовать следующие платформы, чтобы начать расследование любых подозрительных действий. Среди прочего, для расследования могут потребоваться беседа с затронутым пользователем, проверка журналов входа в систему или журналов аудита.

  1. Проверьте журналы и убедитесь, является ли подозрительное действие нормальным для данного пользователя.
    1. Просмотрите прошлые действия пользователя, включая по крайней мере следующие свойства, чтобы узнать, является ли он нормальным для данного пользователя.
      1. Приложение
      2. Устройство — проверьте регистрацию и соответствие требованиям
      3. Расположение — проверьте, должен ли пользователь находиться в другом расположении или часто менять расположения
      4. IP-адрес
      5. строка агента пользователя;
    2. Если у вас есть доступ к другим средствам безопасности, таким как Microsoft Sentinel, проверьте наличие предупреждений, которые могут указывать на более крупные проблемы.
    3. Организации с доступом к Microsoft 365 Defender могут следовать событию риска пользователей через другие связанные оповещения и инциденты и цепочку MITRE ATT&CK.
      1. Выберите пользователя в отчете о рискованных пользователях.
      2. Выберите многоточие (...) на панели инструментов и выберите "Исследовать с помощью Microsoft 365 Defender".
  2. Свяжитесь с пользователем и узнайте, он ли выполнял подозрительную попытку входа. Многие методы проверки подлинности, например электронная почта и Teams, могут быть скомпрометированы.
    1. Убедитесь, что у вас есть такие сведения, как:
      1. Приложение
      2. Устройство
      3. Расположение
      4. IP-адрес

Внимание

Если вы подозреваете, что злоумышленник может олицетворить пользователя, сбросить пароль и выполнить MFA; Необходимо заблокировать пользователя и отозвать все маркеры обновления и доступа.

Изучение обнаружения аналитики угроз Microsoft Entra

Чтобы изучить обнаружение рисков Microsoft Entra Threat Intelligence, выполните следующие действия.

Для обнаружения может отображаться дополнительная информация.

  1. Вход был получен из подозрительного IP-адреса:
    1. убедитесь, что этот IP-адрес действительно можно считать подозрительным в вашей среде;
    2. создает ли этот IP-адрес большое число неудачных входов одного или нескольких пользователей в каталоге?
    3. поступает ли с этого IP-адреса трафик с необычным протоколом или от неожиданного приложения, например с устаревшим протоколом Exchange?
    4. если это IP-адрес поставщика облачных служб, проверьте отсутствие легальных корпоративных приложений, работающих с того же IP-адреса.
  2. Эта учетная запись была жертвой атаки с распыления паролем:
    1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге;
    2. проверьте наличие у других пользователей похожих нетипичных входов в течение того же периода; Атаки с распыления паролем могут отображать необычные шаблоны в:
      1. строка агента пользователя;
      2. Приложение
      3. Протокол
      4. диапазоны IP-адресов или ASN;
      5. время и частота входа в систему.
  3. Это обнаружение было активировано правилом в режиме реального времени:
    1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге; Это можно найти по номеру TI_RI_#### , назначенному правилу.
    2. Правила реального времени защищают от новых атак, определенных аналитикой угроз Майкрософт. Если несколько пользователей в каталоге были мишенью одной атаки, изучите необычные шаблоны в других атрибутах входа.

Изучение риска с помощью Microsoft 365 Defender

Организации, которые развернули Microsoft 365 Defender и Microsoft Defender для удостоверений получают дополнительные преимущества от сигналов защиты идентификации. Это значение происходит в виде расширенной корреляции с другими данными из других частей организации и дополнительных автоматизированных исследований и реагирования.

Снимок экрана: оповещения о рискованных пользователях на портале Microsoft 365 Defender.

В Microsoft 365 Defender Security Professionals и Администратор istrators могут подключаться к подозрительным действиям из таких областей, как:

  • Оповещения в Defender для удостоверений
  • Microsoft Defender для конечной точки
  • Microsoft Defender для облака
  • Microsoft Defender для облачных приложений

Дополнительные сведения о том, как исследовать подозрительные действия с помощью Microsoft 365 Defender, см. в статьях " Исследование ресурсов в Microsoft Defender для удостоверений и исследование инцидентов в Microsoft 365 Defender".

Дополнительные сведения об этих оповещениях и их структуре см. в статье "Общие сведения об оповещениях системы безопасности".

Состояние исследования

Когда сотрудники службы безопасности изучают риски в Microsoft 365 Defender и Defender для удостоверений, следующие состояния и причины возвращаются в защиту идентификации на портале и API.

Состояние Microsoft 365 Defender Классификация Microsoft 365 Defender состояние риска Защита идентификации Microsoft Entra Подробные сведения о рисках в Защита идентификации Microsoft Entra
Новый Ложный положительный результат Подтвержденные безопасные M365DAdminDismissedDetection
Новый Доброкачественные истинные положительные Подтвержденные безопасные M365DAdminDismissedDetection
Новый Истинноположительный результат Подтвержденные скомпрометированные M365DAdminDismissedDetection
Выполняется Не установлено Под угрозой
Выполняется Ложный положительный результат Подтвержденные безопасные M365DAdminDismissedDetection
Выполняется Доброкачественные истинные положительные Подтвержденные безопасные M365DAdminDismissedDetection
Выполняется Истинноположительный результат Подтвержденные скомпрометированные M365DAdminDismissedDetection
"Разрешено" Не установлено Отменено M365DAdminDismissedDetection
"Разрешено" Ложный положительный результат Подтвержденные безопасные M365DAdminDismissedDetection
"Разрешено" Доброкачественные истинные положительные Подтвержденные безопасные M365DAdminDismissedDetection
"Разрешено" Истинноположительный результат Исправленные M365DAdminDismissedDetection

Следующие шаги