How To:調查風險

文章
08/25/2024

Microsoft Entra ID Protection 為組織提供了其可用於調查其環境中的身分識別風險的報告。這些報告包括風險性使用者、風險性登入、風險性工作負載身分識別，以及風險偵測。事件調查是深入了解並找出任何安全性策略弱點的關鍵。所有這些報告都允許在中下載事件。CSV 格式或與其他安全性解決方案整合，例如專用的安全性資訊和事件管理（SIEM）工具來進一步分析。組織也可以利用 Microsoft Defender 和 Microsoft Graph API 整合，與其他來源匯總數據。

瀏覽報告

風險報告位於 [保護>身分識別保護] 底下的 Microsoft Entra 系統管理中心。您可以直接流覽至報表，或在儀錶板檢視中檢視重要深入解析的摘要，然後從該處瀏覽至對應的報表。

顯示標識元保護儀錶板中高風險使用者小工具數目的螢幕快照。

每種報告啟動時，都會隨附報告頂端所示期間所有偵測的清單。系統管理員可以選擇性地根據其喜好設定來篩選和新增或移除數據行。系統管理員可以在中下載數據。CSV 或。用於進一步處理的 JSON 格式。

當系統管理員選取一或多個專案時，確認或關閉風險的選項會出現在報表頂端。選取個別風險事件會開啟一個窗格，其中包含更多詳細數據以協助調查。

具風險使用者報告

具風險的用戶報告包含目前或被視為有入侵風險的所有使用者。應調查並補救風險性使用者，以防未經授權的資源存取。我們建議從高風險用戶開始，因為高度信賴度遭入侵。深入瞭解層級所代表的內容

為什麼使用者會有風險？

使用者會在以下情況變成風險性使用者：

他們有一或多個風險性登入。
他們在帳戶上偵測到一或多個風險，例如認證外洩。

如何調查風險性使用者？

若要檢視和調查有風險的使用者，請流覽至 [具風險的使用者] 報告，並使用篩選來管理結果。頁面頂端有一個選項可新增其他數據行，例如風險層級、狀態和風險詳細數據。

當系統管理員選取個別使用者時，[具風險的使用者詳細數據] 窗格隨即出現。有風險的使用者詳細數據提供資訊，例如：使用者標識符、辦公室位置、最近有風險的登入、未連結至登入的偵測，以及風險歷程記錄。 [風險歷程記錄] 索引標籤會顯示過去90天內導致用戶風險變更的事件。此清單包含增加用戶風險的風險偵測。它也可以包含降低用戶風險的用戶或系統管理員補救動作;例如，使用者重設其密碼或系統管理員關閉風險。

如果您有 Copilot for Security，您可以存取自然語言的摘要，包括：為何提高用戶風險層級、如何減輕和回應的指引，以及其他實用專案或文件的連結。

透過 Risky 使用者報告提供的資訊，系統管理員可以檢視：

已補救、關閉或目前仍有風險且需要調查的用戶風險
關於偵測的詳細資料
與指定使用者相關聯的具風險登入
風險歷程記錄

對用戶層級採取動作會套用至目前與該使用者相關聯的所有偵測。系統管理員可以對用戶採取動作，並選擇：

重設密碼 - 此動作會撤銷使用者的目前工作階段。
確認使用者遭 入侵 - 此動作會以真正的正面方式執行。標識元保護會將用戶風險設定為高，並新增新的偵測，系統管理員確認使用者遭入侵。在採取補救步驟之前，系統會將用戶視為有風險。
確認使用者安全 - 此動作是在誤判時採取的。這樣做會移除此使用者的風險和偵測，並將其置於學習模式中，以重新學習使用屬性。您可以使用此選項來標示誤判。
關閉使用者風險 - 此動作會針對良性正面用戶風險採取。我們偵測到的這個用戶風險是真實的，但不是惡意的，就像已知滲透測試中偵測到的風險一樣。類似的用戶應該會繼續評估未來的風險。
封鎖使用者 - 如果攻擊者能夠存取密碼或能夠執行 MFA，此動作會封鎖使用者登入。
使用 Microsoft 365 Defender 進行調查 - 此動作會讓系統管理員前往 Microsoft Defender 入口網站，以允許系統管理員進一步調查。

具風險的登入報告

風險性登入報告包含最多過去 30 天 (一個月) 的可篩選資料。標識元保護會評估所有驗證流程的風險，無論是互動式還是非互動式流程。 Risky 登入報告會顯示互動式和非互動式登入。若要修改此檢視，請使用「登入類型」篩選條件。

透過 Risky 登入報告提供的資訊，系統管理員可以檢視：

有風險、已確認遭入侵、已確認安全、已關閉或補救的登入。
與登入嘗試相關聯的即時和彙總風險層級。
觸發的偵測類型
套用的條件式存取原則
MFA 詳細資料
裝置資訊
申請資訊
位置資訊

系統管理員可以對具風險的登入事件採取動作，並選擇：

確認登入遭 入侵 – 此動作會確認登入為真真。該登入會被視為有風險，直到採取修復步驟為止。 
確認登入安全 – 此動作會確認登入為誤判。未來不應將類似的登入視為有風險。 
關閉登入風險 – 此動作用於良性真陽性。我們偵測到的這個登入風險是真實的，但不是惡意，例如來自已核准應用程式所產生已知滲透測試或已知活動的登入風險。今後，應繼續對類似的登入進行風險評估。

若要深入瞭解何時採取上述每個動作，請參閱如何Microsoft使用我的風險意見反應

風險偵測報告

風險偵測報告包含最多過去 90 天 (3 個月) 的可篩選資料。

透過風險偵測報告提供的資訊，系統管理員可以找到：

每個風險偵測的相關信息
以 MITRE ATT&CK 架構為基礎的攻擊類型
同時觸發的其他風險
登入嘗試位置
從適用於雲端的 Microsoft Defender 應用程式連結至更多詳細資料。

接著，系統管理員可以選擇返回使用者的風險或登入報告，依據收集到的資訊採取行動。

注意

我們的系統可能會偵測到造成用戶風險分數的風險事件為誤判，或用戶風險因原則強制執行而補救，例如完成 MFA 提示或安全密碼變更。因此，我們的系統將會解除風險狀態，而「AI 已確認登入安全」的風險詳細數據將會浮出水面，且不會再造成用戶的風險。

初始分級

啟動初始分級時，建議您執行下列動作：

檢視 [標識符保護] 儀錶板，以根據環境中的偵測，將攻擊數目、高風險用戶數目和其他重要計量可視化。
請檢閱影響分析活頁簿，以了解環境中風險顯而易見的案例，並應啟用風險型存取原則來管理高風險使用者和登入。
將公司 VPN 和 IP 位址範圍新增至具名位置，以減少誤判。
請考慮為更新的組織旅遊報告建立已知的旅行者資料庫，並將其用於交叉參考旅遊活動。
檢閱記錄，識別具有相同特性的類似活動。此活動可能表示更多遭入侵的帳戶。
1. 如果有常見的特性，例如IP位址、地理位置、成功/失敗等，請考慮使用條件式存取原則來封鎖它們。
2. 檢閱哪些資源可能遭到入侵，包括潛在的數據下載或系統管理修改。
3. 透過條件式存取啟用自我補救原則
檢查使用者是否執行其他有風險的活動，例如從新位置下載大量檔案。此行為強烈表示可能遭到入侵。

如果您懷疑攻擊者可以模擬使用者，您應該要求使用者重設其密碼並執行 MFA 或封鎖使用者，並撤銷所有重新整理和存取令牌。

調查和風險補救架構

組織可以使用下列架構開始調查任何可疑活動。建議的第一個步驟是自我補救，如果是選項。自我補救可以透過自助式密碼重設或風險型條件式存取原則的補救流程進行。

如果自我補救不是選項，系統管理員必須補救風險。藉由叫用密碼重設來完成補救，要求使用者重新註冊 MFA、封鎖使用者，或根據案例撤銷用戶會話。下列流程圖顯示偵測到風險之後的建議流程：

一旦包含風險，可能需要進行更多調查，才能將風險標示為安全、遭入侵或予以關閉。若要得出自信的結論，可能需要：與有問題的用戶進行交談、檢閱登入記錄、檢閱稽核記錄，或查詢Log Analytics中的風險記錄。下列概述在此調查階段的建議動作：

檢查記錄，並驗證活動是否為指定的使用者正常運作。
1. 查看使用者的過去活動，包括下列屬性，以查看指定的使用者是否正常。
  1. 申請
  2. 裝置 - 裝置已註冊或符合規範嗎？
  3. 位置 - 使用者是否前往不同的位置，或從多個位置存取裝置？
  4. IP 位址
  5. 使用者代理程式字串
2. 如果您有其他安全性工具 (例如 Microsoft Sentinel) 的存取權，請檢查可能表示較嚴重問題的對應警示。
3. 可存取 Microsoft 365 Defender 的組織可以透過其他相關警示、事件和 MITRE ATT&CK 鏈結追蹤用戶風險事件。
  1. 若要從 Risky 使用者報告巡覽，請在 [具風險的使用者] 報告中選取使用者，然後在工具欄中選取省略號（...），然後選擇 [使用 Microsoft 365 Defender 調查]。
連絡使用者以確認他們是否辨識登入;不過，請考慮電子郵件或 Teams 等方法可能會遭到入侵。
1. 確認您擁有的資訊，例如：
  1. 時間戳記
  2. Application
  3. 裝置
  4. Location
  5. IP 位址
根據調查結果，將使用者或登入標示為已確認遭入侵、確認安全或解除風險。
設定風險型條件式存取原則，以防止類似的攻擊，或解決涵蓋範圍中的任何差距。

調查特定偵測

Microsoft Entra 威脅情報

若要調查Microsoft Entra Threat Intelligence 風險偵測，請根據 [風險偵測詳細數據] 窗格 [其他資訊] 字段中提供的資訊，遵循下列步驟：

登入來自可疑的 IP 位址：
1. 確認 IP 位址是否在您的環境中顯示可疑行為。
2. IP 是否對您目錄中的使用者或一組使用者產生大量失敗？
3. IP 的流量是否來自非預期的通訊協定或應用程式，例如 Exchange 舊版通訊協定？
4. 如果 IP 位址對應至雲端服務提供者，請確保沒有任何合法企業應用程式從相同的 IP 執行。
此帳戶是密碼噴濺攻擊的受害者：
1. 驗證目錄中其他使用者不是相同攻擊的目標。
2. 其他使用者是否有在相同時間範圍內偵測到的登入中發生類似的非典型模式登入？密碼噴灑攻擊可能會在下列情況中顯示不尋常的模式：
  1. 使用者代理程式字串
  2. 申請
  3. 通訊協定
  4. IP/ASN 的範圍
  5. 登入的時間和頻率
此偵測是由即時規則觸發：
1. 驗證目錄中其他使用者不是相同攻擊的目標。您可以使用指派給規則的 TI_RI_#### 編號來找到這項資訊。
2. 即時規則可防範 Microsoft 威脅情報所識別的新攻擊。如果您的目錄中有多個使用者是相同攻擊的目標，請在登入的其他屬性中調查異常模式。

調查非典型旅行偵測

如果您能夠確認活動不是由合法使用者執行：
1. 建議的動作：將登入標示為遭入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼，請封鎖使用者。
如果使用者已知在職責範圍內使用IP位址：
1. 建議的動作：確認登入為安全。
如果您能夠確認使用者最近已前往警示中詳述的目的地：
1. 建議的動作：確認登入為安全。
如果您能夠確認IP位址範圍來自獲批准的 VPN。
1. 建議的動作：確認登入為安全，並將 VPN IP 位址範圍新增至Microsoft Entra ID 和適用於雲端的 Microsoft Defender Apps 中的具名位置。

調查異常令牌和令牌簽發者異常偵測

如果您能夠使用風險警示、位置、應用程式、IP 位址、使用者代理程式或其他非預期特性的組合，確認活動不是由合法使用者執行：
1. 建議的動作：將登入標示為遭入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行，請封鎖使用者。
2. 建議的動作：設定風險型條件式存取原則以要求密碼重設、執行 MFA 或封鎖所有高風險登入的存取。
如果您能夠確認使用者預期的位置、應用程式、IP 位址、使用者代理程式或其他特性，而且沒有其他入侵指示：
1. 建議的動作：允許使用者使用風險型條件式存取原則進行自我補救，或讓系統管理員確認登入為安全。
如需令牌型偵測的進一步調查，請參閱部落格文章令牌策略：如何防止、偵測及回應雲端令牌竊取調查劇本。

調查可疑的瀏覽器偵測

瀏覽器通常不會由使用者或瀏覽器內的活動使用，與使用者通常的行為不符。
- 建議的動作：確認登入已遭入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行 MFA，請封鎖使用者。
- 建議的動作：設定風險型條件式存取原則以要求密碼重設、執行 MFA 或封鎖所有高風險登入的存取。

調查惡意IP位址偵測

如果您能夠確認活動不是由合法使用者執行：
1. 建議的動作：確認登入已遭入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌，請封鎖使用者。
2. 建議的動作：設定風險型條件式存取原則，以要求密碼重設，或對所有高風險登入執行 MFA。
如果使用者已知在職責範圍內使用IP位址：
1. 建議的動作：確認登入為安全。

調查密碼噴洒偵測

如果您能夠確認活動不是由合法使用者執行：
1. 建議的動作：將登入標示為遭入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌，請封鎖使用者。
如果使用者已知在職責範圍內使用IP位址：
1. 建議的動作：確認登入安全。
如果您能夠確認帳戶未遭入侵，而且不會看到帳戶的暴力密碼破解或密碼噴洒指標。
1. 建議的動作：允許使用者使用風險型條件式存取原則進行自我補救，或讓系統管理員確認登入為安全。

如需密碼噴洒風險偵測的進一步調查，請參閱密碼噴洒調查一文。

調查洩漏的認證偵測

如果此偵測識別出使用者的認證外洩：
- 建議的動作：確認使用者遭到入侵，如果尚未透過自我補救執行，請叫用密碼重設。如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌，請封鎖使用者。

分享方式：