Öğretici: Riskli kullanıcıları araştırma

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketindeki sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft Defender XDR. Daha fazla bilgi için bkz. Microsoft Defender XDR'de uygulamalar Bulut için Microsoft Defender.

Güvenlik operasyonları ekipleri genellikle bağlı olmayan birden çok güvenlik çözümü kullanarak kimlik saldırısı yüzeyinin tüm boyutlarında şüpheli veya başka bir şekilde kullanıcı etkinliklerini izlemekle zorlanıyor. Birçok şirket artık ortamlarındaki tehditleri proaktif bir şekilde belirlemek için tehdit avcılığı ekiplerine sahip olsa da, çok büyük miktarda veride ne arayabileceğini bilmek zor olabilir. Bulut için Microsoft Defender Uygulamaları artık karmaşık bağıntı kuralları oluşturma gereksinimini ortadan kaldırarak bunu basitleştirir ve bulut ve şirket içi ağınıza yayılan saldırıları aramanıza olanak tanır.

Bulut için Microsoft Defender Uygulamalar, kullanıcı kimliğine odaklanmanıza yardımcı olmak için bulutta kullanıcı varlığı davranış analizi (UEBA) sağlar. Bu, Kimlik için Microsoft Defender ile tümleştirilerek şirket içi ortamınıza genişletilebilir. Kimlik için Defender ile tümleştirdikten sonra, Active Directory ile yerel tümleştirmesinden kullanıcı kimliğiyle ilgili bağlam da elde edersiniz.

Tetikleyicinizin Bulut için Defender Uygulamalar panosunda gördüğünüz bir uyarı olup olmadığı veya üçüncü taraf bir güvenlik hizmetinden bilgi edinip edinmediğiniz fark etmeksizin, riskli kullanıcılara ayrıntılı bir bakış için araştırmanızı Bulut için Defender Uygulamalar panosundan başlatın.

Bu öğreticide, riskli kullanıcıları araştırmak için Bulut için Defender Uygulamalarını kullanmayı öğreneceksiniz:

Araştırma öncelik puanını anlama

Araştırma önceliği puanı, uygulamaların her kullanıcıya verdiği Bulut için Defender bir puandır ve bir kullanıcının kuruluşunuzdaki diğer kullanıcılara göre ne kadar riskli olduğunu size bildirir.

Önce hangi kullanıcıların araştırılmasını belirlemek için Araştırma öncelik puanını kullanın. Bulut için Defender Apps, zaman alan analizlere, eş gruplara ve beklenen kullanıcı etkinliğine göre her kullanıcı için kullanıcı profilleri oluşturur. Kullanıcının temeline anormal olan etkinlik değerlendirilir ve puanlanır. Puanlama tamamlandıktan sonra Microsoft'un özel dinamik eş hesaplamaları ve makine öğrenmesi, her kullanıcının araştırma önceliğini hesaplamak için kullanıcı etkinlikleri üzerinde çalıştırılır.

Araştırma öncelik puanı, standart belirlenimci algılamalara gerek kalmadan hem kötü niyetli insider'ları hem de kuruluşunuzda yayılı olarak hareket eden dış saldırganları algılamanızı sağlar.

Araştırma öncelik puanı, güvenlik uyarılarına, anormal etkinliklere ve her bir kullanıcıyı araştırmanın ne kadar acil olduğunu değerlendirmenize yardımcı olmak için her kullanıcıyla ilgili olası iş ve varlık etkisine dayanır.

Bir uyarı veya etkinlik için puan değerini seçerseniz, Bulut için Defender Uygulamaların etkinliği nasıl puanladığını açıklayan kanıtı görüntüleyebilirsiniz.

Her Azure AD kullanıcısı, Kimlik için Defender ve Bulut için Defender Uygulamaları'ndan değerlendirilen verilerden oluşturulan ve son davranış ve etki temelinde sürekli olarak güncelleştirilen dinamik bir araştırma öncelik puanına sahiptir. Artık Araştırma öncelik puanına göre filtreleme yaparak gerçek en riskli kullanıcıların kim olduğunu hemen anlayabilir, iş etkilerini doğrudan doğrulayabilir ve gizliliği ihlal edilip edilmedikleri, verileri açığa çıkardıkları veya içeriden tehdit olarak davrandıkları tüm ilgili etkinlikleri araştırabilirsiniz.

Bulut için Defender Uygulamaları, riski ölçmek için aşağıdakileri kullanır:

  • Uyarı puanlaması
    Uyarı puanı, belirli bir uyarının her kullanıcı üzerindeki olası etkisini temsil eder. Uyarı puanlaması önem derecesini, kullanıcı etkisini, kullanıcılar arasında uyarı popülerliğini ve kuruluştaki tüm varlıkları temel alır.

  • Etkinlik puanlaması
    Etkinlik puanı, kullanıcının ve eşlerinin davranışsal öğrenmesine bağlı olarak belirli bir kullanıcının belirli bir etkinliği gerçekleştirme olasılığını belirler. En anormal olarak tanımlanan etkinlikler en yüksek puanları alır.

1. Aşama: Korumak istediğiniz uygulamalara Bağlan

  1. API bağlayıcılarını kullanarak Bulut için Microsoft Defender Uygulamalarına en az bir uygulama Bağlan. Microsoft 365'i bağlayarak başlamanızı öneririz.
  2. Koşullu erişim uygulama denetimi elde etmek için ara sunucuyu kullanarak ek uygulamalar Bağlan.

2. Aşama: En riskli kullanıcıları belirleme

Bulut için Defender Uygulamalarında en riskli kullanıcılarınızın kim olduğunu belirlemek için:

  1. Microsoft Defender Portalı'nda Varlıklar'ın altında Kimlikler'i seçin. Tabloyu Araştırma önceliğine göre sıralayın. Ardından, bunları araştırmak için kullanıcı sayfalarına birer birer gidin.
    Kullanıcı adının yanında bulunan araştırma öncelik numarası, kullanıcının geçen haftaki tüm riskli etkinliklerinin toplamıdır.

    Top users dashboard.

  2. Kullanıcının sağındaki üç noktayı seçin ve Kullanıcı Sayfasını Görüntüle'yi seçin. User page.

  3. Kullanıcıya genel bir bakış elde etmek için Kullanıcı sayfasındaki bilgileri gözden geçirin ve kullanıcının bu kullanıcı için olağan dışı veya olağan dışı bir zamanda gerçekleştirilen etkinlikleri gerçekleştirdiği noktalar olup olmadığına bakın. Kullanıcının kuruluşla karşılaştırıldığında puanı, kuruluşunuzdaki derecelendirmesine göre kullanıcının hangi yüzdebirlik dilimde olduğunu gösterir. Bu puan, kuruluşunuzdaki diğer kullanıcılara göre, araştırmanız gereken kullanıcı listesinde ne kadar yüksek olduğunu gösterir. Bir kullanıcı kuruluşunuzdaki riskli kullanıcıların 90. yüzdebirlik diliminde veya üzerindeyse sayı kırmızı olur.
    Kullanıcı sayfası soruları yanıtlamanıza yardımcı olur:

    • Kullanıcı kim?
      Kullanıcının kim olduğu ve bunlar hakkında nelerin bilindiği hakkında bilgi almak için sol bölmeye bakın. Bu bölme, kullanıcının şirketinizdeki ve departmanındaki rolü hakkında bilgi sağlar. Kullanıcı, genellikle işinin bir parçası olarak olağan dışı etkinlikler gerçekleştiren bir DevOps mühendisi mi? Kullanıcı, promosyon için yeni devredilen, küçümsenmiş bir çalışan mı?

    • Kullanıcı riskli mi?
      Sağ bölmenin üst kısmına göz atarak kullanıcıyı araştırmanın sizin için değerli olup olmadığını öğrenin. Çalışanın risk puanı nedir?

    • Kullanıcı kuruluşunuza ne gibi bir risk sunar?
      Kullanıcının ne tür bir risk temsil ettiği hakkında bilgi edinmeye başlamanıza yardımcı olmak için alt bölmedeki listeye bakın. Zaman çizelgesinde her satırı seçerek etkinliğin veya uyarının daha ayrıntılı bir şekilde detayına gidebilirsiniz. Ayrıca etkinliğin yanındaki sayıyı seçerek puanın kendisini etkileyen kanıtı anlayabilirsiniz.

    • Kuruluşunuzdaki diğer varlıklar için risk nedir?
      Bir saldırganın kuruluşunuzdaki diğer varlıkların denetimini elde etmek için hangi yolları kullanabileceğini anlamak için Yanal hareket yolları sekmesini seçin. Örneğin, araştırdığınız kullanıcının hassas olmayan bir hesabı olsa bile, saldırgan ağınızdaki hassas hesapları bulmak ve güvenliğini aşmaya çalışmak için hesaba bağlantıları kullanabilir. Daha fazla bilgi için bkz . YanAl Hareket Yollarını Kullanma.

Dekont

Kullanıcı sayfası tüm etkinliklerde cihazlar, kaynaklar ve hesaplar için bilgi sağlarken, araştırma öncelik puanının son 7 gün içindeki tüm riskli etkinliklerin ve uyarıların toplamı olduğunu unutmayın.

Kullanıcı puanını sıfırla

Kullanıcı araştırılırsa ve herhangi bir risk şüphesi bulunmazsa veya herhangi bir nedenle kullanıcının araştırma öncelik puanını sıfırlamayı tercih ederseniz, puanı el ile sıfırlayabilirsiniz.

  1. Microsoft Defender Portalı'nda Varlıklar'ın altında Kimlikler'i seçin.

  2. Araştırılan kullanıcının sağındaki üç noktayı seçin ve Araştırma öncelik puanını sıfırla'yı seçin. Ayrıca Kullanıcı sayfasını görüntüle'yi ve ardından Kullanıcı sayfasındaki üç noktadan Araştırma öncelik puanını sıfırla'yı seçebilirsiniz.

    Dekont

    Yalnızca sıfır olmayan araştırma öncelik puanına sahip kullanıcılar sıfırlanabilir.

    Select Reset investigation priority score link.

  3. Onay penceresinde Puanı sıfırla'yı seçin.

    Select Reset score button.

3. Aşama: Kullanıcıları daha fazla araştırma

Bir kullanıcıyı uyarı temelinde araştırdığınızda veya bir dış sistemde uyarı gördüğünüzde, tek başına alarma neden olmayan etkinlikler olabilir, ancak Bulut için Defender Uygulamalar bunları diğer etkinliklerle birlikte topladığında, uyarı şüpheli bir olayın göstergesi olabilir.

Bir kullanıcıyı araştırırken, gördüğünüz etkinlikler ve uyarılar hakkında şu soruları sormak istersiniz:

  • Bu çalışanın bu etkinlikleri gerçekleştirmesi için bir iş gerekçesi var mı? Örneğin, Pazarlama'dan biri kod tabanına erişiyorsa veya Geliştirme'den biri Finans veritabanına erişiyorsa, bunun kasıtlı ve gerekçeli bir etkinlik olduğundan emin olmak için çalışanla birlikte çalışmanız gerekir.

  • Bu etkinliğin neden başkaları almamışken neden yüksek puan aldığını anlamak için Etkinlik günlüğüne gidin. Hangi etkinliklerin şüpheli olduğunu anlamak için Araştırma önceliğiniIs olarak ayarlayabilirsiniz . Örneğin, Ukrayna'da gerçekleşen tüm etkinlikler için Araştırma önceliğine göre filtreleyebilirsiniz. Daha sonra kullanıcının bağlandığı riskli başka etkinlikler olup olmadığını görebilir ve araştırmanıza devam etmek için son anormal olmayan bulut ve şirket içi etkinlikler gibi diğer detaya gitme işlemlerine kolayca dönebilirsiniz.

4. Aşama: Kuruluşunuzu koruma

Araştırmanız sizi bir kullanıcının gizliliğinin tehlikeye atıldığı sonucuna götürürse, riski azaltmak için bu adımları izleyin.

  • Kullanıcıya başvurun: Active Directory'den Bulut için Defender Uygulamaları ile tümleştirilmiş kullanıcı iletişim bilgilerini kullanarak, kullanıcı kimliğini çözümlemek için her uyarı ve etkinlikte detaya gidebilirsiniz. Kullanıcının etkinlikler hakkında bilgi sahibi olduğundan emin olun.

  • Doğrudan Microsoft Defender Portalı'ndaki Kimlikler sayfasında, araştırılan kullanıcının üç noktasını seçin ve kullanıcının yeniden oturum açmasını mı, kullanıcıyı askıya almasını mı yoksa güvenliği aşıldığını onaylamasını mı istediğinizi seçin.

  • Güvenliği aşılmış bir kimlik söz konusu olduğunda, kullanıcıdan parolasını sıfırlamasını isteyebilir ve parolanın uzunluk ve karmaşıklık için en iyi uygulama yönergelerini karşıladığından emin olabilirsiniz.

  • Bir uyarının detayına giderseniz ve etkinliğin uyarı tetiklememesi gerektiğini belirlerseniz, kuruluşunuzu göz önünde bulundurarak uyarı sistemimizde ince ayar yaptığımızdan emin olmak için Etkinlik çekmecesinde Bize geri bildirim gönder bağlantısını seçin.

  • Sorunu düzeltdikten sonra uyarıyı kapatın.

Ayrıca bkz.

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.