Del via

Selvstudium: Undersøg risikable brugere

  • Artikel

Vigtigt!

Fra og med november 2024 udgår understøttelsen af Microsoft Defender for Cloud Apps for udsatte brugere. Derfor er den ældre procedure, der præsenteres i denne artikel, kun beregnet til orientering.

Sikkerhedsteams bliver udfordret til at overvåge brugeraktivitet, mistænkelige eller på anden måde, på tværs af alle dimensioner af identitetsangrebsoverfladen ved hjælp af flere sikkerhedsløsninger, der ofte ikke er forbundet. Selvom mange virksomheder nu har jagtteams til proaktivt at identificere trusler i deres miljøer, kan det være en udfordring at vide, hvad de skal kigge efter på tværs af den enorme mængde data. Microsoft Defender for Cloud Apps fjerner behovet for at oprette komplekse korrelationsregler og giver dig mulighed for at søge efter angreb, der strækker sig over hele cloudmiljøet og netværket i det lokale miljø.

For at hjælpe dig med at fokusere på brugeridentitet leverer Microsoft Defender for Cloud Apps UEBA (user entity behavioral analytics) i cloudmiljøet. UEBA kan udvides til dit lokale miljø ved at integrere med Microsoft Defender for Identity, hvorefter du også får kontekst omkring brugeridentitet fra den oprindelige integration med Active Directory.

Uanset om udløseren er en besked, du kan se på det Defender for Cloud Apps dashboard, eller om du har oplysninger fra en tredjepartssikkerhedstjeneste, kan du starte din undersøgelse fra det Defender for Cloud Apps dashboard for at dykke dybt ned i risikable brugere.

I dette selvstudium lærer du, hvordan du bruger Defender for Cloud Apps til at undersøge risikable brugere:

Forstå scoren for undersøgelsesprioritet

Scoren for undersøgelsesprioriteten er en score, som Defender for Cloud Apps giver hver bruger for at fortælle dig, hvor risikabel brugeren er i forhold til andre brugere i din organisation. Brug prioritetsscoren for undersøgelsen til at afgøre, hvilke brugere der skal undersøges først, registrere både ondsindede insidere og eksterne angribere, der flytter side om side i din organisation, uden at være afhængige af standarddeterministiske registreringer.

Hver Microsoft Entra bruger har en dynamisk undersøgelsesprioritetsscore, som konstant opdateres baseret på den seneste funktionsmåde og indvirkning, der er baseret på data, der evalueres fra Defender for Identity og Defender for Cloud Apps.

Defender for Cloud Apps opretter brugerprofiler for hver bruger baseret på analyser, der betragter sikkerhedsbeskeder og unormale aktiviteter over tid, peergrupper, forventet brugeraktivitet og den effekt, som en bestemt bruger kan have på virksomhedens eller virksomhedens aktiver.

Aktivitet, der er unormal for en brugers oprindelige plan, evalueres og scores. Når scoringen er fuldført, køres Microsofts beskyttede dynamiske peer-beregninger og maskinel indlæring på brugeraktiviteterne for at beregne undersøgelsesprioriteten for hver bruger.

Forstå, hvem de virkelige mest risikable brugere er med det samme ved at filtrere i henhold til prioritetsscoren for undersøgelse, kontrollere hver enkelt brugers forretningsmæssige indvirkning direkte og undersøge alle relaterede aktiviteter – uanset om de er kompromitterede, eksfiltrerer data eller fungerer som insidertrusler.

Defender for Cloud Apps bruger følgende til at måle risikoen:

  • Score for besked: Beskedscoren repræsenterer den potentielle indvirkning af en bestemt besked for hver bruger. Score for beskeder er baseret på alvorsgrad, brugerpåvirkning, påmindelses popularitet på tværs af brugere og alle enheder i organisationen.

  • Aktivitetsscore: Aktivitetsscoren bestemmer sandsynligheden for, at en bestemt bruger udfører en bestemt aktivitet baseret på adfærdsbaseret læring af brugeren og vedkommendes peers. Aktiviteter, der er identificeret som de mest unormale, modtager de højeste scorer.

Vælg undersøgelsesprioritetsscoren for en besked eller en aktivitet for at få vist de beviser, der forklarer, hvordan Defender for Cloud Apps scorede aktiviteten.

Bemærk!

Vi udfaser gradvist beskeden om forøgelse af undersøgelsesprioriteten fra Microsoft Defender for Cloud Apps inden august 2024. Undersøgelsens prioritetsscore og den procedure, der er beskrevet i denne artikel, påvirkes ikke af denne ændring.

Du kan få flere oplysninger under Tidslinje for forøgelse af udfasning af undersøgelsesprioritetsscore.

Fase 1: Opret forbindelse til de apps, du vil beskytte

Opret forbindelse mellem mindst én app og Microsoft Defender for Cloud Apps ved hjælp af API-connectors. Vi anbefaler, at du starter med at oprette forbindelse til Microsoft 365.

Microsoft Entra ID apps onboardes automatisk til appkontrol med betinget adgang.

Fase 2: Identificer toprisikobrugere

Sådan identificerer du, hvem dine mest risikofulde brugere er i Defender for Cloud Apps:

  1. Vælg Identiteter i Microsoft Defender-portalen under Aktiver. Sortér tabellen efter prioriteten Undersøgelse. Gå derefter en efter en til brugerens side for at undersøge dem.
    Undersøgelsesprioritetsnummeret, der blev fundet ud for brugernavnet, er en sum af alle brugerens risikable aktiviteter i løbet af den sidste uge.

    Skærmbillede af dashboardet Topbrugere.

  2. Vælg de tre prikker til højre for brugeren, og vælg Siden Vis bruger.

    Skærmbillede af en side med brugeroplysninger.

  3. Gennemse oplysningerne på siden med brugeroplysninger for at få et overblik over brugeren, og se, om der er punkter, hvor brugeren udførte aktiviteter, der var usædvanlige for den pågældende bruger eller blev udført på et usædvanligt tidspunkt.

    Brugerens score sammenlignet med organisationen repræsenterer, hvilken fraktil brugeren er i baseret på vedkommendes rangering i din organisation – hvor høj vedkommende er på listen over brugere, du skal undersøge i forhold til andre brugere i din organisation. Tallet er rødt, hvis en bruger befinder sig i eller over 90. fraktil for risikable brugere på tværs af din organisation.

Siden med brugeroplysninger hjælper dig med at besvare følgende spørgsmål:

Spørgsmål Detaljer
Hvem er brugeren? Kig efter grundlæggende oplysninger om brugeren, og hvad systemet ved om dem, herunder brugerens rolle i din virksomhed og deres afdeling.

Er brugeren f.eks. devOps-tekniker, der ofte udfører usædvanlige aktiviteter som en del af deres job? Eller er brugeren en utilfreds medarbejder, der lige er blevet overgået til en forfremmelse?
Er brugeren risikabel? Hvad er medarbejderens risikoscore, og er det værd at undersøge dem?
Hvilken risiko udgør den bruger, der præsenterer for din organisation? Rul ned for at undersøge hver aktivitet og besked, der er relateret til brugeren, for at begynde at forstå den type risiko, som brugeren repræsenterer.

På tidslinjen skal du vælge hver linje for at gå længere ned i aktiviteten eller advare sig selv. Vælg tallet ud for aktiviteten, så du kan forstå de beviser, der påvirkede selve scoren.
Hvad er risikoen for andre aktiver i din organisation? Vælg fanen Tværgående bevægelsesstier for at forstå, hvilke stier en hacker kan bruge til at få kontrol over andre aktiver i din organisation.

Selvom den bruger, du undersøger, f.eks. har en konto, der ikke er følsom, kan en hacker bruge forbindelser til kontoen til at finde og forsøge at kompromittere følsomme konti i dit netværk.

Du kan få flere oplysninger under Brug tværgående bevægelsesstier.

Bemærk!

Selvom sider med brugeroplysninger indeholder oplysninger om enheder, ressourcer og konti på tværs af alle aktiviteter, inkluderer scoren for undersøgelsesprioriteten summen af alle risikable aktiviteter og beskeder i løbet af de seneste 7 dage.

Nulstil brugerscore

Hvis brugeren blev undersøgt, og der ikke blev fundet nogen mistanke om kompromis, eller hvis du vil nulstille brugerens prioritetsscore for undersøgelsen af andre årsager, så manuelt som følger:

  1. Vælg Identiteter i Microsoft Defender-portalen under Aktiver.

  2. Vælg de tre prikker til højre for den undersøgte bruger, og vælg derefter Nulstil score for undersøgelsesprioritet. Du kan også vælge Vis brugerside og derefter vælge Nulstil undersøgelsesprioritetsscore fra de tre prikker på siden med brugeroplysninger.

    Bemærk!

    Det er kun brugere med en prioritetsscore, der ikke er nul, der kan nulstilles.

    Skærmbillede af linket Nulstil undersøgelsesprioritetsscore.

  3. Vælg Nulstil score i bekræftelsesvinduet.

    Skærmbillede af knappen Nulstil score.

Fase 3: Undersøg brugerne yderligere

Nogle aktiviteter kan muligvis ikke være årsag til alarm alene, men kan være en indikation af en mistænkelig hændelse, når de samles sammen med andre aktiviteter.

Når du undersøger en bruger, vil du stille følgende spørgsmål om de aktiviteter og beskeder, du ser:

  • Er der en forretningsmæssig begrundelse for, at denne medarbejder kan udføre disse aktiviteter? Hvis en person fra marketing f.eks. har adgang til kodebasen, eller en person fra udvikling tilgår økonomidatabasen, skal du følge op på med medarbejderen for at sikre, at dette var en bevidst og berettiget aktivitet.

  • Hvorfor fik denne aktivitet en høj score, mens andre ikke fik det? Gå til aktivitetsloggen , og angiv prioriteten Undersøgelse til Er indstillet til at forstå, hvilke aktiviteter der er mistænkelige.

    Du kan f.eks. filtrere baseret på undersøgelsesprioriteten for alle aktiviteter, der fandt sted i et bestemt geografisk område. Derefter kan du se, om der var andre aktiviteter, der var risikable, hvor brugeren oprettede forbindelse fra, og du kan nemt pivotere til andre detailudledning, f.eks. de seneste ikke-anonyme skyaktiviteter og aktiviteter i det lokale miljø, for at fortsætte din undersøgelse.

Fase 4: Beskyt din organisation

Hvis din undersøgelse fører dig til den konklusion, at en bruger er kompromitteret, kan du bruge følgende trin til at afhjælpe risikoen.

  • Kontakt brugeren – ved hjælp af de brugerkontaktoplysninger, der er integreret med Defender for Cloud Apps fra Active Directory, kan du foretage detailudledning i hver besked og aktivitet for at løse brugeridentiteten. Sørg for, at brugeren har kendskab til aktiviteterne.

  • Direkte fra Microsoft Defender-portalen skal du på siden Identiteter vælge de tre prikker af den undersøgte bruger og vælge, om brugeren skal logge på igen, afbryde brugeren midlertidigt eller bekræfte, at brugeren er kompromitteret.

  • Hvis der er tale om en kompromitteret identitet, kan du bede brugeren om at nulstille sin adgangskode og sørge for, at adgangskoden opfylder retningslinjerne for bedste praksis for længde og kompleksitet.

  • Hvis du foretager detailudledning i en besked og finder ud af, at aktiviteten ikke skulle have udløst en besked, skal du i aktivitetsskuffen vælge linket Send os feedback , så vi kan være sikre på at finjustere vores alarmsystem med din organisation i tankerne.

  • Når du har løst problemet, skal du lukke beskeden.

Se også

Bedste praksis for beskyttelse af din organisation

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.