如何:调查风险

  • 项目

标识保护服务为组织提供了可用于在其环境中调查标识风险的报告功能。 这些报告包括风险用户风险登录风险工作负载标识风险检测。 事件调查是深入了解和找出安全策略中任何弱点的关键。 所有这些报告都允许以 .CSV 格式下载事件或与其他安全解决方案(例如专用 SIEM 工具)集成以进行进一步分析。

组织可利用 Microsoft Graph API 集成,将数据与其可能有权作为组织访问的其他来源聚合在一起。

这三个报告位于 Microsoft Entra 管理中心>“保护”>“标识保护”中。

每个报表启动时,报表顶部都有一个列表来显示该时间段内的所有检测。 每个报表都允许根据管理员偏好添加或删除列。 管理员可选择以 .CSV 或 .JSON 格式下载数据。 使用报表顶部的筛选器可筛选报表。

选择单个条目时,系统可能会启用报表顶部的更多条目,例如确认登录是已泄露还是安全的功能、确认用户是否遭到入侵的功能,或消除用户风险的功能。

选择单个条目后,将展开检测下方的“详细信息”窗口。 管理员可通过“详细信息”视图调查每次检测并采取相应行动。

有风险用户

风险用户报告会列出帐户现在或过去被认为是存在泄露风险的所有用户。 应对风险用户进行调查和修正,防止有人未经授权访问资源。

用户为什么会面临风险?

当出现以下情况时,用户变为风险用户:

  • 用户存在一次或多次风险登录。
  • 在用户的帐户上检测到一项或多项风险,例如凭据泄露。

如何调查风险用户?

若要查看和调查用户的风险登录,请选择“最近的风险登录”选项卡或“用户风险登录”链接。

若要查看和调查用户帐户的风险,请选择“未链接到登录的检测”选项卡或“用户的风险检测”链接。

“风险历史记录”选项卡还会显示过去 90 天内导致用户风险更改的所有事件。 此列表包含增加了用户风险的风险检测,以及降低了用户风险的管理员修正操作。 查看此列表,了解用户风险的变化情况。

风险用户报告的屏幕截图。

通过风险用户报表提供的信息,管理员可找出:

  • 哪些用户面临风险、其风险是否已得到修正,或其风险已被消除?
  • 有关检测的详细信息
  • 所有风险登录的历史记录
  • 风险历史记录

然后,管理员可选择对这些事件执行操作。 管理员可选择:

了解范围

  1. 考虑创建一个已知的异常位置登录数据库来更新组织的异常位置报告,并使用它来交叉引用异常位置活动。
  2. 将公司 VPN 和 IP 地址范围添加到指定位置以减少误报。
  3. 查看日志以识别具有相同特征的类似活动。 这可能表明有更多帐户遭到入侵。
    1. 如果存在共同特征(如 IP 地址、地理位置、成功/失败等),考虑使用条件访问策略阻止这些特征。
    2. 检查哪些资源可能已遭到入侵,如潜在的数据下载或管理修改。
    3. 通过条件访问启用自我修复策略
  4. 如果发现用户执行了其他危险活动,例如从新位置下载大量文件,则强烈表明可能存在入侵。

有风险的登录

风险登录报告的屏幕截图。

风险登录报告最多包含过去 30 天(1 个月)的可筛选数据。

通过风险登录报表提供的信息,管理员可找出:

  • 哪些登录被归类为存在风险、确认已泄露、确认安全、已消除或已修正。
  • 与登录尝试关联的实时风险级别和聚合风险级别。
  • 触发的检测类型
  • 应用的条件访问策略
  • MFA 详细信息
  • 设备信息
  • 应用程序信息
  • 位置信息

然后,管理员可选择对这些事件执行操作。 管理员可选择:

  • 确认登录是否已泄露
  • 确认登录是否安全

注意

无论身份验证流是否是交互式的,标识保护服务都会评估所有身份验证流的风险。 风险登录报表现在显示交互式和非交互式登录。使用“登录类型”筛选器来修改此视图。

风险检测

风险检测报告的屏幕截图。

风险检测报告最多包含过去 90 天(3 个月)的可筛选数据。

通过风险检测报表提供的信息,管理员可找出:

  • 每项风险检测的相关信息,包括类型。
  • 同时触发的其他风险
  • 尝试登录的位置
  • 从 Microsoft Defender for Cloud Apps 链接到更多详细信息。

然后,管理员可选择返回到用户的风险或登录报表,根据收集到的信息采取措施。

注意

我们的系统可能会检测到影响风险用户风险评分的风险事件为误报,或者通过实施策略(如完成 MFA 提示或安全密码更改)修正了用户风险。 因此,我们的系统将消除风险状态,“AI 确认登录安全”的风险详细信息将会出现,并将不再影响用户风险。

调查框架

组织可以使用以下框架开始对任何可疑活动的调查。 调查可能需要与相关用户进行对话、查看登录日志审核日志等。

  1. 检查日志并验证可疑活动对于给定用户而言是否正常。
    1. 查看用户的过往活动(至少需包括以下属性),以判断它们对于给定用户而言是否正常。
      1. 应用程序
      2. 设备 - 设备是否已注册或合规?
      3. 位置 - 用户是否前往其他地点,或者是否从多个位置访问设备?
      4. IP 地址
      5. 用户代理字符串
    2. 如果你有权访问 Microsoft Sentinel 等其他安全工具,请检查对应的警报,因为它们可能指示更大的问题。
    3. 有权访问 Microsoft 365 Defender 的组织可以通过其他相关警报和事件,以及 MITRE ATT&CK 链跟踪用户风险事件。
      1. 在“风险用户”报告中选择用户。
      2. 选择工具栏中的省略号 (...),然后选择“使用 Microsoft 365 Defender 进行调查”。
  2. 联系用户以确认他们是否认可登录。 电子邮件或 Teams 等方法可能会遭到入侵。
    1. 确认你的信息,例如:
      1. 应用程序
      2. 设备
      3. 位置
      4. IP 地址

重要

如果怀疑攻击者可以模拟用户、重置密码并执行 MFA;应该阻止用户并撤销所有刷新和访问令牌。

调查 Microsoft Entra 威胁情报检测

要调查 Microsoft Entra 威胁情报风险检测,请遵循以下步骤:

如果显示详细检测信息:

  1. 登录来自可疑的 IP 地址:
    1. 确认 IP 地址是否在你的环境中显示可疑行为。
    2. 此 IP 是否为目录中的一位用户或一组用户产生了大量故障?
    3. 此 IP 的流量是否来自意外的协议或应用程序,例如 Exchange 旧版协议?
    4. 如果此 IP 地址与云服务提供商相对应,则排除没有合法的企业应用程序从同一 IP 运行。
  2. 该帐户是密码喷射攻击的受害者:
    1. 验证目录中没有其他用户是同一攻击的目标。
    2. 在同一时间范围内,其他用户的登录是否具有在检测到的登录中出现的类似非典型模式? 密码喷射攻击可能会在以下方面显示异常模式:
      1. 用户代理字符串
      2. 应用程序
      3. 协议
      4. IP/ASN 范围
      5. 登录时间和频率
  3. 此检测是由实时规则触发的:
    1. 验证目录中没有其他用户是同一攻击的目标。 可以通过分配给该规则的 TI_RI_#### 编号找到。
    2. 实时规则可抵御 Microsoft 威胁情报识别出的新攻击。 如果目录中的多个用户是同一攻击的目标,请调查登录的其他属性中的异常模式。

使用 Microsoft 365 Defender 调查风险

已经部署了 Microsoft 365 DefenderMicrosoft Defender for Identity 的组织可从“标识保护”信号中获得更多价值。 更多的价值体现在与组织其他部分的其他数据的关联程度更高,以及更多的自动化调查和响应

显示 Microsoft 365 Defender 门户中提醒存在风险用户的警报的屏幕截图。

在 Microsoft 365 Defender 中,安全专业人员和管理员可以从以下区域连接到可疑活动:

  • Microsoft Defender for Identity 中的警报
  • 用于终结点的 Microsoft Defender
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

有关如何使用 Microsoft 365 Defender 调查可疑活动的更多信息,请参阅文章《在 Microsoft Defender for Identity 中调查资产》和《在 Microsoft 365 Defender 中调查事件》。

有关此类警报及其结构的详细信息,请参阅文章《了解安全警报》。

调查状态

当安全人员在 Microsoft 365 Defender 和 Microsoft Defender for Identity 中调查风险时,以下状态和原因会返回到门户和 API 中的“标识保护”。

Microsoft 365 Defender 状态 Microsoft 365 Defender 分类 Microsoft Entra ID 保护风险状态 Microsoft Entra ID 保护中的风险详细信息
新建 假正 已确认安全 M365DAdminDismissedDetection
新建 良性真警报 已确认安全 M365DAdminDismissedDetection
新建 真正 已确认遭入侵 M365DAdminDismissedDetection
正在进行 未设置 存在风险
正在进行 假正 已确认安全 M365DAdminDismissedDetection
正在进行 良性真警报 已确认安全 M365DAdminDismissedDetection
正在进行 真正 已确认遭入侵 M365DAdminDismissedDetection
已解决 未设置 已消除 M365DAdminDismissedDetection
已解决 假正 已确认安全 M365DAdminDismissedDetection
已解决 良性真警报 已确认安全 M365DAdminDismissedDetection
已解决 真正 已修正 M365DAdminDismissedDetection

后续步骤