Dela via


Självstudie: Undersöka riskfyllda användare

Säkerhetsteamen uppmanas att övervaka användaraktivitet, misstänkt eller på annat sätt, i alla dimensioner av identitetsattackytan, med hjälp av flera säkerhetslösningar som ofta inte är anslutna. Även om många företag nu har jaktteam för att proaktivt identifiera hot i sina miljöer, kan det vara en utmaning att veta vad de ska leta efter över den stora mängden data. Microsoft Defender för molnet Apps tar bort behovet av att skapa komplexa korrelationsregler och gör att du kan söka efter attacker som sträcker sig över molnet och det lokala nätverket.

För att hjälpa dig att fokusera på användaridentitet tillhandahåller Microsoft Defender för molnet Apps användarentitetsbeteendeanalys (UEBA) i molnet. UEBA kan utökas till din lokala miljö genom att integrera med Microsoft Defender för identitet, varefter du även får kontext kring användaridentitet från den interna integreringen med Active Directory.

Oavsett om utlösaren är en avisering som visas på instrumentpanelen Defender för molnet Apps eller om du har information från en säkerhetstjänst från tredje part kan du starta din undersökning från instrumentpanelen Defender för molnet Apps för att fördjupa dig i riskfyllda användare.

I den här självstudien lär du dig hur du använder Defender för molnet Apps för att undersöka riskfyllda användare:

Förstå prioritetspoängen för undersökning

Prioritetspoängen för undersökning är en poäng som Defender för molnet appar ger varje användare för att informera dig om hur riskabel användaren är i förhållande till andra användare i din organisation. Använd prioritetspoängen för undersökning för att avgöra vilka användare som ska undersöka först, identifiera både skadliga insiders och externa angripare som rör sig i sidled i dina organisationer, utan att behöva förlita sig på vanliga deterministiska identifieringar.

Varje Microsoft Entra-användare har en dynamisk undersökningsprioritetspoäng som ständigt uppdateras baserat på det senaste beteendet och påverkan som skapats från data som utvärderats från Defender för identitet och Defender för molnet Apps.

Defender för molnet Apps skapar användarprofiler för varje användare, baserat på analys som beaktar säkerhetsaviseringar och onormala aktiviteter över tid, peer-grupper, förväntad användaraktivitet och vilken effekt en specifik användare kan ha på företagets tillgångar.

Aktivitet som är avvikande till en användares baslinje utvärderas och poängsätts. När poängsättningen är klar körs Microsofts proprietära dynamiska peer-beräkningar och maskininlärning på användaraktiviteterna för att beräkna undersökningsprioriteten för varje användare.

Förstå vilka de verkligt mest riskfyllda användarna är direkt genom att filtrera efter prioritetspoäng för undersökning, direkt verifiera varje användares affärspåverkan och undersöka alla relaterade aktiviteter – oavsett om de komprometteras, exfiltrering av data eller fungerar som insiderhot.

Defender för molnet Apps använder följande för att mäta risker:

  • Aviseringsbedömning: Aviseringspoängen representerar den potentiella effekten av en specifik avisering för varje användare. Aviseringsbedömning baseras på allvarlighetsgrad, användarpåverkan, aviseringspopularitet för användare och alla entiteter i organisationen.

  • Aktivitetsbedömning: Aktivitetspoängen avgör sannolikheten för att en specifik användare utför en specifik aktivitet, baserat på beteendeinlärning av användaren och deras kamrater. Aktiviteter som identifieras som de mest onormala får de högsta poängen.

Välj undersökningsprioritetspoängen för en avisering eller en aktivitet för att visa de bevis som förklarar hur Defender för molnet Apps poängsatte aktiviteten.

Kommentar

Vi drar gradvis tillbaka aviseringen Om prioritetsökning för undersökning från Microsoft Defender för molnet-appar i augusti 2024. Prioritetspoängen för undersökningen och proceduren som beskrivs i den här artikeln påverkas inte av den här ändringen.

Mer information finns i Tidslinje för utfasning av utfasning av undersökningsprioritetspoäng.

Fas 1: Anslut till de appar som du vill skydda

  1. Anslut minst en app för att Microsoft Defender för molnet Appar med hjälp av API-anslutningsappar. Vi rekommenderar att du börjar med att ansluta Microsoft 365.

  2. Anslut andra appar som använder proxyn för att uppnå appkontroll för villkorsstyrd åtkomst.

Fas 2: Identifiera de mest riskfyllda användarna

Så här identifierar du vilka dina mest riskfyllda användare är i Defender för molnet Apps:

  1. I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter. Sortera tabellen efter undersökningsprioritet. En efter en går du till användarens sida för att undersöka dem.
    Undersökningsprioritetsnumret, som hittades bredvid användarnamnet, är en summa av alla användarens riskfyllda aktiviteter under den senaste veckan.

    Skärmbild av instrumentpanelen För de främsta användarna.

  2. Välj de tre punkterna till höger om användaren och välj Sidan Visa användare.

    Skärmbild av sidan med användarinformation.

  3. Granska informationen på sidan med användarinformation för att få en översikt över användaren och se om det finns punkter där användaren utförde aktiviteter som var ovanliga för användaren eller utfördes vid en ovanlig tidpunkt.

    Användarens poäng jämfört med organisationen representerar vilken percentil användaren befinner sig i baserat på deras rangordning i din organisation – hur högt de står på listan över användare som du bör undersöka i förhållande till andra användare i din organisation. Talet är rött om en användare är i eller över den 90:e percentilen av riskfyllda användare i organisationen.

Sidan med användarinformation hjälper dig att besvara följande frågor:

Fråga Details
Vem är användaren? Leta efter grundläggande information om användaren och vad systemet vet om dem, inklusive användarens roll i ditt företag och deras avdelning.

Är användaren till exempel en DevOps-tekniker som ofta utför ovanliga aktiviteter som en del av sitt jobb? Eller är användaren en missnöjd anställd som just har skickats över för en befordran?
Är användaren riskabel? Vad är medarbetarens riskpoäng och är det värt att undersöka dem?
Vad är risken för att användaren presenterar för din organisation? Rulla ned för att undersöka varje aktivitet och avisering som är relaterad till användaren för att börja förstå vilken typ av risk användaren representerar.

I tidslinjen väljer du varje rad för att öka detaljnivån i själva aktiviteten eller aviseringen. Välj talet bredvid aktiviteten så att du kan förstå de bevis som påverkade själva poängen.
Vad är risken för andra tillgångar i din organisation? Välj fliken Laterala förflyttningsvägar för att förstå vilka vägar en angripare kan använda för att få kontroll över andra tillgångar i organisationen.

Även om den användare som du undersöker till exempel har ett meningslöst konto kan en angripare använda anslutningar till kontot för att identifiera och försöka kompromettera känsliga konton i nätverket.

Mer information finns i Använda laterala rörelsevägar.

Kommentar

Användarinformationssidor ger information för enheter, resurser och konton för alla aktiviteter, men prioritetspoängen för undersökning innehåller summan av alla riskfyllda aktiviteter och aviseringar under de senaste 7 dagarna.

Återställ användarpoäng

Om användaren undersöktes och ingen misstanke om intrång hittades, eller om du vill återställa användarens prioritetspoäng för undersökningen av någon annan anledning, så manuellt enligt följande:

  1. I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter.

  2. Välj de tre punkterna till höger om den undersökta användaren och välj sedan Återställ prioritetspoäng för undersökning. Du kan också välja Visa användarsida och sedan välja Återställ prioritetspoäng för undersökning från de tre punkterna på sidan med användarinformation.

    Kommentar

    Endast användare med en undersökningsprioritetspoäng som inte är noll kan återställas.

    Skärmbild av länken Återställ prioritetspoäng för undersökning.

  3. I bekräftelsefönstret väljer du Återställ poäng.

    Skärmbild av knappen Återställ poäng.

Fas 3: Undersöka användare ytterligare

Vissa aktiviteter kan inte orsaka oro på egen hand, men kan vara en indikation på en misstänkt händelse när den sammanställs med andra aktiviteter.

När du undersöker en användare vill du ställa följande frågor om de aktiviteter och aviseringar som du ser:

  • Finns det en affärsmotivering för den här medarbetaren att utföra dessa aktiviteter? Om någon från marknadsföring till exempel har åtkomst till kodbasen, eller om någon från utveckling kommer åt ekonomidatabasen, bör du följa upp med medarbetaren för att se till att detta var en avsiktlig och motiverad aktivitet.

  • Varför fick den här aktiviteten höga poäng medan andra inte gjorde det? Gå till aktivitetsloggen och ange Prioritet för undersökning till Är inställd för att förstå vilka aktiviteter som är misstänkta.

    Du kan till exempel filtrera baserat på undersökningsprioritet för alla aktiviteter som har inträffat i ett visst geografiskt område. Sedan kan du se om det fanns andra aktiviteter som var riskfyllda, där användaren anslöt från, och du kan enkelt pivotera till andra detaljnivå, till exempel de senaste icke-anomala molnaktiviteterna och lokala aktiviteter, för att fortsätta undersökningen.

Fas 4: Skydda din organisation

Om din undersökning leder dig till slutsatsen att en användare har komprometterats använder du följande steg för att minska risken.

  • Kontakta användaren – Med hjälp av användarkontaktinformationen som är integrerad med Defender för molnet-appar från Active Directory kan du öka detaljnivån för varje avisering och aktivitet för att lösa användaridentiteten. Kontrollera att användaren är bekant med aktiviteterna.

  • Direkt från Microsoft Defender-portalen går du till sidan Identiteter och väljer de tre punkterna av den undersökta användaren och väljer om användaren ska behöva logga in igen, stänga av användaren eller bekräfta att användaren är komprometterad.

  • När det gäller en komprometterad identitet kan du be användaren att återställa sitt lösenord och se till att lösenordet uppfyller riktlinjerna för bästa praxis för längd och komplexitet.

  • Om du ökar detaljnivån i en avisering och fastställer att aktiviteten inte ska ha utlöst en avisering väljer du länken Skicka feedback i aktivitetslådan så att vi kan finjustera vårt aviseringssystem med din organisation i åtanke.

  • När du har åtgärdat problemet stänger du aviseringen.

Se även

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.