Nasıl Yapılır: Riski araştırma

Kimlik Koruması, kuruluşlara ortamlarındaki kimlik risklerini araştırmak için kullanabileceği üç rapor sağlar. Bu raporlar riskli kullanıcılar, riskli oturum açma işlemleri ve risk algılamalarıdır. Güvenlik stratejinizdeki zayıf noktaları daha iyi anlamak ve tanımlamak için olayların araştırılması önemlidir.

Üç rapor da olayların Azure portal dışında daha fazla analiz için .CSV biçimde indirilmesini sağlar. Riskli kullanıcılar ve riskli oturum açma raporları en son 2500 girdinin indirilmesini sağlarken, risk algılama raporu en son 5000 kaydın indirilmesini sağlar.

Kuruluşlar, verileri kuruluş olarak erişebilecekleri diğer kaynaklarla toplamak için Microsoft Graph API tümleştirmelerinden yararlanabilir.

Üç rapor Azure portal>Azure Active Directory>Güvenliği'nde bulunur.

Her rapor, raporun en üstünde gösterilen dönem için tüm algılamaların listesiyle başlatılır. Her rapor, yönetici tercihine göre sütunların eklenmesine veya kaldırılmasına olanak tanır. Yöneticiler, .CSV veya içindeki verileri indirmeyi seçebilir. JSON biçimi. Raporlar, raporun üst kısmındaki filtreler kullanılarak filtrelenebilir.

Tek tek girişlerin seçilmesi, raporun üst kısmında güvenliği aşılmış veya güvenli olarak oturum açmayı onaylama, güvenliği aşılmış olarak bir kullanıcıyı onaylama veya kullanıcı riskini kapatma gibi daha fazla girişe olanak tanıyabilir.

Tek tek girişlerin seçilmesi, algılamaların altındaki ayrıntılar penceresini genişletir. Ayrıntılar görünümü, yöneticilerin her algılamayı araştırmasına ve üzerinde işlem yapmasına olanak tanır.

Riskli kullanıcılar

Azure portal riskli kullanıcılar raporu

Riskli kullanıcılar raporu tarafından sağlanan bilgilerle yöneticiler şunları bulabilir:

  • Hangi kullanıcılar risk altında, risk düzeltildi veya risk kapatıldı?
  • Algılamalar hakkındaki ayrıntılar
  • Tüm riskli oturum açma işlemleri geçmişi
  • Risk geçmişi

Yöneticiler daha sonra bu olaylar üzerinde işlem yapmayı seçebilir. Yöneticiler şunları seçebilir:

  • Kullanıcı parolasını sıfırlama
  • Kullanıcı güvenliğinin aşılmasına onay verme
  • Kullanıcı riskini kapatma
  • Kullanıcının oturum açmasını engelle
  • Azure ATP kullanarak daha fazla araştırma

Riskli oturum açma işlemleri

Azure portal riskli oturum açma işlemleri raporu

Riskli oturum açma işlemleri raporu, son 30 güne (bir ay) kadar filtrelenebilir veriler içerir.

Riskli oturum açma işlemleri raporu tarafından sağlanan bilgilerle yöneticiler şunları bulabilir:

  • Hangi oturum açma işlemleri risk altında olarak sınıflandırılır, güvenliği ihlal edilir, güvenli onaylanır, kapatılır veya düzeltilir.
  • Oturum açma girişimleriyle ilişkili gerçek zamanlı ve toplam risk düzeyleri.
  • Tetiklenen algılama türleri
  • Koşullu Erişim ilkeleri uygulandı
  • MFA ayrıntıları
  • Cihaz bilgileri
  • Uygulama bilgileri
  • Konum bilgileri

Yöneticiler daha sonra bu olaylar üzerinde işlem yapmayı seçebilir. Yöneticiler şunları seçebilir:

  • Oturum açma güvenliğinin aşılmasına onay verme
  • Oturum açmanın güvenli olduğunu onaylayın

Not

Kimlik Koruması, etkileşimli veya etkileşimli olmayan tüm kimlik doğrulama akışları için riski değerlendirir. Riskli oturum açma raporu artık hem etkileşimli hem de etkileşimli olmayan oturum açmaları gösterir. Bu görünümü değiştirmek için "oturum açma türü" filtresini kullanın.

Risk algılamaları

Azure portal risk algılama raporu

Risk algılama raporu, son 90 güne (üç ay) kadar filtrelenebilir veriler içerir.

Yöneticiler, risk algılama raporu tarafından sağlanan bilgilerle şunları bulabilir:

  • Tür de dahil olmak üzere her risk algılama hakkında bilgi.
  • Aynı anda tetiklenen diğer riskler
  • Oturum açma girişimi konumu
  • Microsoft Defender for Cloud Apps'dan daha fazla ayrıntıya bağlantı sağlayın.

Yöneticiler daha sonra toplanan bilgilere göre eylemde bulunabilmek için kullanıcının risk veya oturum açma raporuna geri dönmeyi seçebilir.

Not

Sistemimiz, risk kullanıcı risk puanına katkıda bulunan risk olayının hatalı pozitif olduğunu veya MFA istemini tamamlama veya parola değişikliğini güvenli hale getirmek gibi ilke uygulama ile kullanıcı riskinin düzeltildiğini algılayabilir. Bu nedenle sistemimiz risk durumunu kapatacak ve "AI doğrulamalı oturum açma güvenli" risk ayrıntıları ortaya çıkacak ve artık kullanıcının riskine katkıda bulunmayacak.

Araştırma çerçevesi

Kuruluşlar, herhangi bir şüpheli etkinlikle ilgili araştırmalarına başlamak için aşağıdaki çerçeveleri kullanabilir. Araştırmalarda söz konusu kullanıcıyla bir konuşma yapılması, oturum açma günlüklerinin gözden geçirilmesi veya denetim günlüklerinin gözden geçirilmesi gerekebilir.

  1. Günlükleri denetleyin ve şüpheli etkinliğin belirli bir kullanıcı için normal olup olmadığını doğrulayın.
    1. Kullanıcı için normal olup olmadığını görmek için en azından aşağıdaki özellikler de dahil olmak üzere kullanıcının geçmiş etkinliklerine bakın.
      1. Uygulama
      2. Cihaz - Cihaz kayıtlı mı yoksa uyumlu mu?
      3. Konum - Kullanıcı farklı bir konuma mı seyahat ediyor yoksa birden çok konumdan cihazlara mı erişiyor?
      4. IP Adresi
      5. Kullanıcı aracısı dizesi
    2. Microsoft Sentinel gibi diğer güvenlik araçlarına erişiminiz varsa, daha büyük bir soruna işaret eden ilgili uyarıları denetleyin.
  2. Oturum açmayı tanıyıp tanımadığını onaylamak için kullanıcıya ulaşın. E-posta veya Teams gibi yöntemlerin güvenliği aşılabilir.
    1. Aşağıdakiler gibi sahip olduğunuz bilgileri onaylayın:
      1. Uygulama
      2. Cihaz
      3. Konum
      4. IP Adresi

Azure AD tehdit bilgileri algılamalarını araştırma

Azure AD Tehdit Bilgileri risk algılamasını araştırmak için şu adımları izleyin:

Algılama için daha fazla bilgi gösteriliyorsa:

  1. Oturum açma şüpheli bir IP Adresinden yapıldı:
    1. IP adresinin ortamınızda şüpheli davranış gösterip göstermediğini onaylayın.
    2. IP, dizininizdeki bir kullanıcı veya kullanıcı kümesi için çok sayıda hata mı oluşturuyor?
    3. IP trafiği beklenmeyen bir protokolden mi yoksa uygulamadan mı geliyor, örneğin Exchange eski protokollerinden mi?
    4. IP adresi bir bulut hizmeti sağlayıcısına karşılık geliyorsa, aynı IP'den çalışan meşru kurumsal uygulamalar olmadığını dikkate alın.
  2. Bu hesap bir Parola spreyi tarafından saldırıya uğradı:
    1. Dizininizdeki diğer kullanıcıların aynı saldırının hedefi olmadığını doğrulayın.
    2. Algılanan oturum açmada aynı zaman çerçevesi içinde görülen benzer atipik desenlere sahip diğer kullanıcıların oturum açma işlemleri var mı? Parola spreyi saldırıları şu durumlarda olağan dışı desenler gösterebilir:
      1. Kullanıcı aracısı dizesi
      2. Uygulama
      3. Protokol
      4. IP/ASN aralıkları
      5. Oturum açmaların zamanı ve sıklığı

Sonraki adımlar