Поделиться через


Руководство. Изучение рискованных пользователей

Команды по операциям безопасности сталкиваются с проблемами мониторинга активности пользователей, подозрительных или других измерений области атак на удостоверение с помощью нескольких решений безопасности, которые часто не подключены. Хотя многие компании теперь имеют команды охоты на упреждающую идентификацию угроз в их средах, зная, что искать на большом количестве данных может быть проблемой. Microsoft Defender для облака Приложения удаляют необходимость создания сложных правил корреляции и позволяют искать атаки, охватывающие облачную и локальную сеть.

Чтобы помочь вам сосредоточиться на удостоверении пользователя, Microsoft Defender для облака Apps предоставляет аналитику поведения пользователей (UEBA) в облаке. UEBA можно расширить в локальную среду, интегрируя с Microsoft Defender для удостоверений, после чего вы также получите контекст вокруг удостоверения пользователя из собственной интеграции с Active Directory.

Указывает, является ли ваш триггер оповещением на панели мониторинга приложений Defender для облака или есть ли у вас информация из сторонней службы безопасности, запустите исследование с панели мониторинга Defender для облака Apps, чтобы глубоко ознакомиться с рискованными пользователями.

В этом руководстве вы узнаете, как использовать приложения Defender для облака для изучения рискованных пользователей:

Общие сведения о оценке приоритета исследования

Оценка приоритета исследования — это оценка, которая Defender для облака Apps предоставляет каждому пользователю возможность узнать, насколько рискен пользователь, относительно других пользователей в вашей организации. Используйте оценку приоритета исследования, чтобы определить, какие пользователи сначала расследуют, обнаруживая как вредоносных инсайдеров, так и внешних злоумышленников, перемещающихся позже в организации, без необходимости полагаться на стандартные детерминированные обнаружения.

Каждый пользователь Microsoft Entra имеет оценку приоритета динамического исследования, которая постоянно обновляется на основе недавнего поведения и влияния, созданного из данных, оцененных из Defender для удостоверений и Defender для облака приложений.

Defender для облака Приложения создают профили пользователей для каждого пользователя на основе аналитики, которая учитывает оповещения системы безопасности и ненормальные действия с течением времени, одноранговые группы, ожидаемые действия пользователей и влияние любого конкретного пользователя на бизнес или корпоративные активы.

Действие, которое является аномальным для базового плана пользователя, оценивается и оценивается. После завершения оценки собственные вычисления динамических одноранговых узлов Майкрософт и машинное обучение выполняются для действий пользователя, чтобы вычислить приоритет исследования для каждого пользователя.

Понять, кто реальные самые опасные пользователи сразу, фильтруя по оценке приоритета исследования, напрямую проверяя влияние каждого пользователя на бизнес, и расследуя все связанные действия , будь то скомпрометированные, эксфильтрованные данные или выступая в качестве внутренних угроз.

Defender для облака Приложения используют следующее для измерения риска:

  • Оценка оповещений. Оценка оповещений представляет собой потенциальное влияние определенного оповещения на каждого пользователя. Оценка оповещений основана на серьезности, влиянии пользователя, популярности оповещений для пользователей и всех сущностей в организации.

  • Оценка действий. Оценка активности определяет вероятность конкретного пользователя, выполняющего определенное действие, на основе обучения поведения пользователя и их одноранговых узлов. Действия, идентифицированные как самые ненормальные, получают самые высокие оценки.

Выберите оценку приоритета исследования для оповещения или действия, чтобы просмотреть доказательства, объясняющие, как Defender для облака Приложения забили действие.

Примечание.

К августу 2024 г. мы постепенно удаляем оповещение о повышении приоритета исследования с Microsoft Defender для облака Приложений. Оценка приоритета исследования и процедура, описанная в этой статье, не влияют на это изменение.

Дополнительные сведения см. в разделе "Оценка приоритета исследования" для увеличения срока нерекомендуемой шкалы.

Этап 1. Подключение к приложениям, которые вы хотите защитить

Подключите по крайней мере одно приложение к Microsoft Defender для облака Apps с помощью соединителей API. Мы рекомендуем начать с подключения Microsoft 365.

Приложения идентификатора Microsoft Entra автоматически подключены для управления условным доступом.

Этап 2. Определение наиболее рискованных пользователей

Чтобы определить, кто ваши самые рискованные пользователи находятся в Defender для облака приложениях:

  1. На портале Microsoft Defender в разделе "Активы" выберите "Удостоверения". Сортировка таблицы по приоритету исследования. Затем по одному перейдите на страницу пользователя, чтобы изучить их.
    Номер приоритета исследования, найденный рядом с именем пользователя, является суммой всех рискованных действий пользователя на прошлой неделе.

    Снимок экрана: панель мониторинга

  2. Выберите три точки справа от пользователя и выберите страницу "Просмотреть пользователя".

    Снимок экрана: страница сведений о пользователе.

  3. Просмотрите сведения на странице сведений о пользователе, чтобы получить обзор пользователя и узнать, есть ли точки, в которых пользователь выполнял действия, которые были необычными для этого пользователя или были выполнены в необычное время.

    Оценка пользователя по сравнению с организацией представляет процентиль, который пользователь находится в зависимости от их ранжирования в вашей организации — насколько высоко они находятся в списке пользователей, которые следует исследовать относительно других пользователей в вашей организации. Число красно, если пользователь находится в 90-м процентилье рискованных пользователей в вашей организации или выше.

Страница сведений о пользователе помогает ответить на следующие вопросы:

Вопрос Сведения
Кто является пользователем? Найдите основные сведения о пользователе и о том, что система знает о них, включая роль пользователя в вашей компании и их отделе.

Например, пользователь инженер DevOps, который часто выполняет необычные действия в рамках своей работы? Или же пользователь недовольный сотрудник, который только что прошел на повышение?
Является ли пользователь рискованным? Что такое оценка риска сотрудника, и стоит ли вам, расследуя их?
Какой риск представляет пользователь вашей организации? Прокрутите вниз, чтобы изучить каждое действие и оповещение, связанное с пользователем, чтобы начать понимание типа риска, который представляет пользователь.

На временной шкале выберите каждую строку, чтобы детализировать ее более глубоко в действии или оповещении. Выберите число рядом с действием, чтобы понять доказательства, влияющие на сам показатель.
Что такое риск для других ресурсов в вашей организации? Перейдите на вкладку "Пути бокового перемещения" , чтобы понять, какие пути злоумышленник может использовать для контроля над другими ресурсами в вашей организации.

Например, даже если у пользователя, расследуемого есть нечувствительная учетная запись, злоумышленник может использовать подключения к учетной записи для обнаружения и попытки компрометации конфиденциальных учетных записей в сети.

Дополнительные сведения см. в разделе "Использование путей бокового перемещения".

Примечание.

Хотя страницы сведений о пользователях предоставляют сведения для устройств, ресурсов и учетных записей во всех действиях, оценка приоритета исследования включает сумму всех рискованных действий и оповещений за последние 7 дней.

Сброс оценки пользователя

Если пользователь был расследован и никаких подозрений на компрометацию не найден или вы хотите сбросить оценку приоритета расследования пользователя по любой другой причине, поэтому вручную, как показано ниже:

  1. На портале Microsoft Defender в разделе "Активы" выберите "Удостоверения".

  2. Выберите три точки справа от расследованного пользователя, а затем выберите "Сброс оценки приоритета исследования". Вы также можете выбрать страницу "Просмотр пользователя", а затем выбрать оценку приоритета исследования сброса из трех точек на странице сведений о пользователе.

    Примечание.

    Можно сбросить только пользователей с ненулевым показателем приоритета исследования.

    Снимок экрана: ссылка на оценку приоритета для исследования сброса.

  3. В окне подтверждения выберите "Сбросить оценку".

    Снимок экрана: кнопка

Этап 3. Дальнейшее изучение пользователей

Некоторые действия могут не вызывать тревогу самостоятельно, но могут быть признаком подозрительного события при агрегации с другими действиями.

При изучении пользователя вы хотите задать следующие вопросы о действиях и оповещениях, которые вы видите:

  • Существует ли бизнес-обоснование для этого сотрудника для выполнения этих действий? Например, если кто-то из маркетинга обращается к базе кода или кто-то из разработчиков обращается к финансовой базе данных, следует следовать за сотрудником, чтобы убедиться, что это была преднамеренная и оправданная деятельность.

  • Почему эта активность получила высокую оценку, в то время как другие не сделали? Перейдите в журнал действий и задайте приоритет исследования, чтобы понять, какие действия подозрительны.

    Например, можно фильтровать на основе приоритета исследования для всех действий, произошедших в определенной географической области. Затем вы можете увидеть, были ли другие действия, которые были рискованными, где пользователь подключен, и вы можете легко перейти к другим детализациям, таким как последние ненамальные облачные и локальные действия, чтобы продолжить исследование.

Этап 4. Защита организации

Если исследование приводит к выводу о том, что пользователь скомпрометирован, выполните следующие действия, чтобы снизить риск.

  • Обратитесь к пользователю. Используя контактные данные пользователя, интегрированные с приложениями Defender для облака из Active Directory, вы можете детализировать каждое оповещение и действие для разрешения удостоверения пользователя. Убедитесь, что пользователь знаком с действиями.

  • Непосредственно на портале Microsoft Defender на странице удостоверений выберите три точки от расследованного пользователя и выберите, требуется ли пользователю повторно войти, приостановить работу пользователя или подтвердить, что пользователь скомпрометирован.

  • В случае скомпрометированного удостоверения можно попросить пользователя сбросить пароль, убедившись, что пароль соответствует рекомендациям по длине и сложности.

  • Если вы детализируете оповещение и определите, что действие не должно было активировать оповещение, в ящике действий выберите ссылку "Отправить нам отзыв ", чтобы мы могли точно настроить нашу систему оповещений с учетом вашей организации.

  • После устранения проблемы закройте оповещение.

См. также

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.