Självstudie: Undersöka riskfyllda användare

  • Artikel

Anteckning

Microsoft Defender for Cloud Apps är nu en del av Microsoft 365 Defender och kan nås via portalen på: https://security.microsoft.com. Microsoft 365 Defender korrelerar signaler från Microsoft Defender sviten mellan slutpunkter, identiteter, e-post och SaaS-appar för att tillhandahålla identifierings-, undersöknings- och kraftfulla svarsfunktioner på incidentnivå. Det förbättrar din driftseffektivitet med bättre prioritering och kortare svarstider som skyddar din organisation mer effektivt. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

Säkerhetsteamen uppmanas att övervaka användaraktivitet, misstänkt eller på annat sätt, i alla dimensioner av identitetsattackytan, med hjälp av flera säkerhetslösningar som ofta inte är anslutna. Även om många företag nu har jaktteam för att proaktivt identifiera hot i sina miljöer, kan det vara en utmaning att veta vad de ska leta efter i den stora mängden data. Microsoft Defender for Cloud Apps nu förenklar detta genom att ta bort behovet av att skapa komplexa korrelationsregler, och gör att du kan söka efter attacker som sträcker sig över molnet och det lokala nätverket.

För att hjälpa dig att fokusera på användaridentitet tillhandahåller Microsoft Defender for Cloud Apps UEBA (User Entity Behavioral Analytics) i molnet. Detta kan utökas till din lokala miljö genom att integrera med Microsoft Defender for Identity. När du har integrerat med Defender för identitet får du även kontext kring användaridentitet från den interna integreringen med Active Directory.

Oavsett om din utlösare är en avisering som du ser på instrumentpanelen för Defender för molnappar eller om du har information från en säkerhetstjänst från tredje part kan du starta din undersökning från Instrumentpanelen för Defender för Molnappar för att fördjupa dig i riskfyllda användare.

I den här självstudien får du lära dig hur du använder Defender för Cloud Apps för att undersöka riskfyllda användare:

Förstå prioritetspoängen för undersökningen

Prioritetspoängen för undersökningen är en poäng som Defender for Cloud Apps ger varje användare för att informera dig om hur riskabel en användare är i förhållande till andra användare i din organisation.

Använd prioritetspoängen Undersökning för att avgöra vilka användare som ska undersökas först. Defender för Cloud Apps skapar användarprofiler för varje användare baserat på analyser som tar tid, peer-grupper och förväntad användaraktivitet. Aktivitet som är avvikande för en användares baslinje utvärderas och poängsätts. När bedömning är klar körs Microsofts egna dynamiska peer-beräkningar och maskininlärning på användaraktiviteterna för att beräkna undersökningsprioriteten för varje användare.

Prioritetspoängen för undersökning ger dig möjlighet att identifiera både skadliga insiders och externa angripare som rör sig i sidled i dina organisationer, utan att behöva förlita dig på deterministiska standardidentifieringar.

Prioritetspoängen för undersökningen baseras på säkerhetsaviseringar, onormala aktiviteter och potentiella affärs- och tillgångseffekter som är relaterade till varje användare för att hjälpa dig att bedöma hur brådskande det är att undersöka varje specifik användare.

Om du väljer poängvärdet för en avisering eller en aktivitet kan du visa de bevis som förklarar hur Defender för Cloud Apps poängsatte aktiviteten.

Varje Azure AD användare har en dynamisk undersökningsprioritetspoäng som ständigt uppdateras baserat på det senaste beteendet och påverkan, som bygger på data som utvärderats från Defender för identitet och Defender för Cloud Apps. Du kan nu omedelbart förstå vilka de mest riskfyllda användarna är genom att filtrera efter prioritetspoäng för undersökning, kontrollera direkt vad deras affärspåverkan är och undersöka alla relaterade aktiviteter – oavsett om de komprometteras, exfiltrering av data eller fungerar som insiderhot.

Defender för Cloud Apps använder följande för att mäta risker:

  • Aviseringsbedömning
    Aviseringspoängen representerar den potentiella effekten av en specifik avisering för varje användare. Aviseringsbedömning baseras på allvarlighetsgrad, användarpåverkan, aviseringspopularitet för användare och alla entiteter i organisationen.

  • Aktivitetsbedömning
    Aktivitetspoängen avgör sannolikheten för att en specifik användare utför en viss aktivitet, baserat på beteendeinlärning av användaren och deras kollegor. Aktiviteter som identifieras som de mest onormala får de högsta poängen.

Fas 1: Anslut till de appar som du vill skydda

  1. Anslut minst en app för att Microsoft Defender for Cloud Apps med hjälp av API-anslutningsapparna. Vi rekommenderar att du börjar med att ansluta Office 365.
  2. Anslut ytterligare appar med hjälp av proxyn för att få kontroll över appen för villkorsstyrd åtkomst.

Fas 2: Identifiera de mest riskfyllda användarna

Så här identifierar du vilka dina mest riskfyllda användare är i Defender för Cloud Apps:

  1. I Microsoft 365 Defender portalen går du till Tillgångar och väljer Identiteter. Sortera tabellen efter undersökningsprioritet. En efter en går du till användarens sida för att undersöka dem.
    Undersökningsprioritetsnumret, som hittades bredvid användarnamnet, är en summa av alla användarens riskfyllda aktiviteter under den senaste veckan.

    Instrumentpanelen för de främsta användarna.

  2. Välj de tre punkterna till höger om användaren och välj Visa användarsida. Användarsida.

  3. Granska informationen på sidan Användare för att få en översikt över användaren och se om det finns punkter där användaren utförde aktiviteter som var ovanliga för användaren eller utfördes vid en ovanlig tidpunkt. Användarens poäng jämfört med organisationen representerar vilken percentil användaren befinner sig i baserat på deras rangordning i din organisation – hur höga de är i listan över användare som du bör undersöka i förhållande till andra användare i din organisation. Talet blir rött om en användare är i eller över den 90:e percentilen av riskfyllda användare i organisationen.
    På sidan Användare kan du besvara frågorna:

    • Vem är användaren?
      Titta i det vänstra fönstret för att få information om vem användaren är och vad som är känt om dem. Det här fönstret innehåller information om användarens roll i ditt företag och deras avdelning. Är användaren en DevOps-tekniker som ofta utför ovanliga aktiviteter som en del av sitt jobb? Är användaren en missnöjd anställd som just har skickats över för en befordran?

    • Är användaren riskabel?
      Kolla in överst i det högra fönstret så att du vet om det är värt att undersöka användaren. Vad är medarbetarens riskpoäng?

    • Vad är en risk för din organisation?
      Titta på listan i det nedre fönstret, som ger dig varje aktivitet och varje avisering som är relaterad till användaren för att hjälpa dig att börja förstå vilken typ av risk användaren representerar. I tidslinjen väljer du varje rad så att du kan öka detaljnivån djupare i själva aktiviteten eller aviseringen. Du kan också välja talet bredvid aktiviteten så att du kan förstå de bevis som påverkade själva poängen.

    • Vad är risken för andra tillgångar i din organisation?
      Välj fliken Laterala förflyttningsvägar för att förstå vilka vägar en angripare kan använda för att få kontroll över andra tillgångar i din organisation. Även om användaren som du undersöker till exempel har ett icke-känsligt konto kan en angripare använda anslutningar till kontot för att identifiera och försöka kompromettera känsliga konton i nätverket. Mer information finns i Använda laterala rörelsevägar.

Anteckning

Det är viktigt att komma ihåg att även om sidan Användare innehåller information om enheter, resurser och konton för alla aktiviteter, är prioriteringspoängen för undersökningen summan av alla riskfyllda aktiviteter och aviseringar under de senaste 7 dagarna.

Återställa användarpoäng

Om användaren undersöktes och ingen misstanke om intrång hittades, eller av någon anledning som du föredrar att återställa användarens prioritetspoäng för undersökningen, kan du återställa poängen manuellt.

  1. I Microsoft 365 Defender portalen går du till Tillgångar och väljer Identiteter.

  2. Välj de tre punkterna till höger om den undersökta användaren och välj Återställ prioritetspoäng för undersökning. Du kan också välja Visa användarsida och sedan välja Återställ undersökningsprioritetspoäng från de tre punkterna på sidan Användare.

    Anteckning

    Endast användare med en undersökningsprioritetspoäng som inte är noll kan återställas.

    Välj Länken Återställ prioritetspoäng för undersökning.

  3. I bekräftelsefönstret väljer du Återställ poäng.

    Välj knappen Återställ poäng.

Fas 3: Ytterligare undersöka användare

När du undersöker en användare baserat på en avisering eller om du har sett en avisering i ett externt system kan det finnas aktiviteter som ensamt kanske inte orsakar larm, men när Defender för Cloud Apps sammanställer dem tillsammans med andra aktiviteter kan aviseringen vara en indikation på en misstänkt händelse.

När du undersöker en användare vill du ställa följande frågor om de aktiviteter och aviseringar som du ser:

  • Finns det en affärsmotivering för den här medarbetaren att utföra dessa aktiviteter? Om någon från Marknadsföring till exempel har åtkomst till kodbasen, eller om någon från Utveckling har åtkomst till Finance-databasen, bör du följa upp med medarbetaren för att se till att detta var en avsiktlig och berättigad aktivitet.

  • Gå till aktivitetsloggen för att förstå varför den här aktiviteten fick höga poäng medan andra inte gjorde det. Du kan ange prioriteten Undersökning till Är inställd för att förstå vilka aktiviteter som är misstänkta. Du kan till exempel filtrera baserat på undersökningsprioritet för alla aktiviteter som har inträffat i Ukraina. Sedan kan du se om det fanns andra aktiviteter som var riskfyllda, där användaren anslöt från, och du kan enkelt pivotera till andra detaljnivå, till exempel senaste icke-avvikande molnaktiviteter och lokala aktiviteter, för att fortsätta din undersökning.

Fas 4: Skydda din organisation

Om din undersökning leder dig till slutsatsen att en användare har komprometterats följer du dessa steg för att minska risken.

  • Kontakta användaren – Med hjälp av användarkontaktinformationen som är integrerad med Defender för Molnappar från Active Directory kan du öka detaljnivån för varje avisering och aktivitet för att lösa användaridentiteten. Kontrollera att användaren är bekant med aktiviteterna.

  • Direkt från Microsoft 365 Defender portalen går du till sidan Identiteter, väljer de tre punkterna av den undersökta användaren och väljer om användaren ska logga in igen, stänga av användaren eller bekräfta att användaren har komprometterats.

  • När det gäller en komprometterad identitet kan du be användaren att återställa sitt lösenord och se till att lösenordet uppfyller riktlinjerna för bästa praxis för längd och komplexitet.

  • Om du ökar detaljnivån i en avisering och fastställer att aktiviteten inte borde ha utlöst en avisering går du till aktivitetslådan och väljer länken Skicka feedback till oss så att vi kan vara säkra på att finjustera vårt aviseringssystem med din organisation i åtanke.

  • När du har åtgärdat problemet stänger du aviseringen.

Se även

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du en supportbegäran.