教學課程:調查有風險的使用者

  • 發行項

安全性作業小組會使用多個通常未連線的安全性解決方案,來挑戰監視用戶活動、可疑或跨身分識別攻擊面的所有維度。 雖然許多公司現在都有搜捕小組主動識別其環境中的威脅,但知道在大量數據中尋找什麼可能是一項挑戰。 適用於雲端的 Microsoft Defender 應用程式現在可藉由消除建立複雜相互關聯規則的需求來簡化此作業,並可讓您尋找跨越雲端和內部部署網路的攻擊。

為了協助您專注於使用者身分識別,適用於雲端的 Microsoft Defender Apps 會在雲端中提供使用者實體行為分析 (UEBA)。 這可以藉由與 適用於身分識別的 Microsoft Defender整合,擴充至您的內部部署環境。 在與適用於身分識別的 Defender 整合之後,您也會從與 Active Directory 的原生整合中取得使用者身分識別的內容。

無論您的觸發程式是您在 適用於雲端的 Defender Apps 儀錶板中看到的警示,還是您有來自第三方安全性服務的資訊,請從 適用於雲端的 Defender Apps 儀錶板開始調查,以深入探討有風險的使用者。

在本教學課程中,您將瞭解如何使用 適用於雲端的 Defender Apps 來調查有風險的使用者:

調查優先順序分數增加 - 淘汰時程表

我們將在 2024 年 7 月前逐步淘汰 適用於雲端的 Microsoft Defender Apps 的「調查優先順序分數增加」支援。

經過仔細分析和考慮,我們決定因為與此警示相關聯的誤判率很高而淘汰,我們發現該警示並未有效地為您的組織整體安全性做出貢獻。

我們的研究表明,這項功能沒有增加顯著價值,而且不符合我們在提供高品質、可靠安全性解決方案的戰略重點。

我們致力於持續改善我們的服務,並確保它們符合您的需求和期望。

對於想要繼續使用此警示的使用者,我們建議使用「進階搜捕」專用查詢:

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • 此仲裁是建議,使用它作為範本,並根據您的需求進行修改。

了解調查優先順序分數

調查優先順序分數是一個分數,適用於雲端的 Defender Apps 提供給每個使用者,讓您知道使用者與組織中其他用戶的相對風險。

使用調查優先順序分數來判斷要先調查的使用者。 適用於雲端的 Defender Apps 會根據需要時間、對等群組和預期用戶活動的分析,為每個使用者建置使用者配置檔。 會評估並評分使用者基準異常的活動。 評分完成後,Microsoft 專屬的動態對等計算和機器學習會在用戶活動上執行,以計算每個使用者的調查優先順序。

調查 優先順序分數 可讓您偵測惡意內部人員,以及在組織中橫向移動的外部攻擊者,而不需要依賴標準確定性偵測。

調查優先順序分數是根據安全性警示、異常活動,以及與每個使用者相關的潛在商務和資產影響,協助您評估調查每個特定使用者有多緊急。

如果您選取警示或活動的分數值,您可以檢視可說明 適用於雲端的 Defender 應用程式如何為活動評分的辨識項。

每個 Microsoft Entra 使用者都有動態調查優先順序分數,該分數會根據最近的行為和影響而持續更新,該分數是根據適用於身分識別的 Defender 和 適用於雲端的 Defender Apps 所評估的數據所建置。 您現在可以根據調查優先順序分數進行篩選、直接驗證其業務影響,以及調查所有相關活動 –他們是否遭到入侵、外泄數據或作為測試人員威脅,立即瞭解實際風險使用者是誰。

適用於雲端的 Defender Apps 會使用下列項目來測量風險:

  • 警示評分
    警示分數代表特定警示對每個用戶的潛在影響。 警示評分是以嚴重性、用戶影響、整個用戶和組織中所有實體的警示受歡迎程度為基礎。

  • 活動評分
    活動分數會根據使用者及其對等的行為學習,決定特定使用者執行特定活動的機率。 識別為最異常的活動會收到最高分數。

階段 1:連線 您要保護的應用程式

  1. 連線 至少一個應用程式,以使用 API 連接器 適用於雲端的 Microsoft Defender 應用程式。 建議您從連線 Microsoft 365 開始。
  2. 連線 使用 Proxy 來達成條件式存取應用程控的其他應用程式。

階段 2:識別具風險最高的使用者

若要識別您最有風險的用戶位於 適用於雲端的 Defender Apps:

  1. 在 Microsoft Defender 入口網站的 [資產] 底下,選取 [身分識別]。 依 調查優先順序排序數據表。 然後逐一移至其用戶頁面以調查他們。
    使用者名稱旁邊找到的調查優先順序號碼,是過去一周所有用戶風險活動的總和。

    熱門用戶儀錶板。

  2. 選取使用者右邊的三個點,然後選擇 [ 檢視使用者] 頁面用戶頁面。

  3. 檢閱 [使用者] 頁面中的資訊,以取得使用者的概觀,並查看使用者是否在異常時間執行活動。 與 組織 相比,使用者的分數代表使用者根據組織中的排名來表示該使用者的百分位數-相對於貴組織中的其他使用者,他們在使用者清單中應調查的頻率。 如果使用者位在組織中或超過第90個有風險的使用者百分位數,則數位會是紅色的。
    [使用者] 頁面可協助您回答問題:

    • 神秘 使用者嗎?
      查看左窗格,以取得使用者是誰的資訊,以及他們所知道的資訊。 此窗格提供您公司及其部門中使用者角色的相關信息。 使用者是 DevOps 工程師,他們經常在工作中執行不尋常的活動嗎? 使用者是否為剛經過晉陞的不滿員工?

    • 用戶有風險嗎?
      查看右窗格的頂端,讓您知道調查使用者是否值得您。 員工 的風險分數為何?

    • 使用者向貴組織呈現的風險為何?
      查看底部窗格中的清單,其中提供您每個活動,以及與使用者相關的每個警示,以協助您開始了解使用者所代表的風險類型。 在時間軸中,選取每一行,以便向下切入活動或警示本身。 您也可以選取活動旁邊的數位,以便了解影響分數本身的證據。

    • 貴組織中其他資產的風險為何?
      選取 [ 橫向動作路徑 ] 索引標籤,以了解攻擊者可用來控制組織中其他資產的路徑。 例如,即使您正在調查的使用者有非敏感性帳戶,攻擊者仍可使用該帳戶的連線來探索並嘗試入侵您網路中敏感性帳戶。 如需詳細資訊,請參閱 使用橫向動作路徑

注意

請務必記住,雖然 [使用者] 頁面會提供所有活動之裝置、資源和帳戶的資訊,但調查優先順序分數是過去 7 天內所有具風險活動和警示的總和。

重設用戶分數

如果使用者已調查且找不到入侵的懷疑,或基於任何您想要重設使用者調查優先順序分數的原因,您可以手動重設分數。

  1. 在 Microsoft Defender 入口網站的 [資產] 底下,選取 [身分識別]。

  2. 選取調查使用者右邊的三個點,然後選擇 [ 重設調查優先順序分數]。 您也可以選取 [ 檢視使用者] 頁面,然後從 [使用者] 頁面中 的三個點選取 [重設調查優先順序分數 ]。

    注意

    只有具有非零調查優先順序分數的使用者才能重設。

    選取 [重設調查優先順序分數] 連結。

  3. 在確認視窗中,選取 [ 重設分數]。

    選取 [重設分數] 按鈕。

階段 3:進一步調查使用者

當您根據警示調查使用者,或如果您在外部系統中看到警示時,可能會有一些活動可能不會導致警示,但當 適用於雲端的 Defender Apps 將它們與其他活動匯總時,警示可能是可疑事件的指示。

當您調查使用者時,您想要詢問有關您看到的活動和警示的這些問題:

  • 此員工是否有執行這些活動的商業理由? 例如,如果營銷人員正在存取程式代碼基底,或來自開發的人員存取 Finance 資料庫,您應該跟著員工進行追蹤,以確定這是刻意且合理的活動。

  • 移至活動 記錄 ,以了解為什麼此活動收到高分,而其他人則沒有。 您可以將 [調查優先順序] 設定[已設定] 以瞭解哪些活動可疑。 例如,您可以根據烏克蘭發生之所有活動的 [調查優先順序] 進行篩選。 然後,您可以看到是否有其他活動有風險,使用者從何處連線,而且您可以輕鬆地樞紐至其他向下切入,例如最近的非異常雲端和內部部署活動,以繼續調查。

階段 4:保護您的組織

如果您的調查會引導您得出使用者遭入侵的結論,請遵循下列步驟來降低風險。

  • 連絡使用者 – 使用與 Active Directory 適用於雲端的 Defender Apps 整合的使用者連絡資訊,您可以向下切入到每個警示和活動,以解決使用者身分識別。 請確定使用者熟悉活動。

  • 直接從 Microsoft Defender 入口網站的 [身 分識別] 頁面中,依調查的用戶選取三個點,然後選擇是否要求使用者再次登入、暫停使用者,或確認使用者遭到入侵。

  • 在遭入侵的身分識別案例中,您可以要求使用者重設其密碼,確定密碼符合長度和複雜度的最佳作法指導方針。

  • 如果您向下切入到警示,並判斷活動不應該觸發警示,請在 [活動選單] 中選取 [傳送意見 反應] 連結,以確保我們務必將警示系統微調到您的組織。

  • 補救問題之後,請關閉警示。

另請參閱

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證