Tutorial: Untersuchen riskanter Benutzer
Sicherheitsteams werden aufgefordert, die Benutzeraktivität über alle Dimensionen der Identitätsangriffsfläche hinweg zu überwachen, indem sie mehrere Sicherheitslösungen verwenden, die häufig nicht verbunden sind. Während viele Unternehmen jetzt Hunting-Teams haben, um Bedrohungen in ihren Umgebungen proaktiv zu identifizieren, kann es eine Herausforderung sein, zu wissen, worauf sie in der großen Menge an Daten achten müssen. Microsoft Defender for Cloud Apps entfällt die Notwendigkeit, komplexe Korrelationsregeln zu erstellen, und Sie können nach Angriffen suchen, die sich über Ihr Cloud- und lokales Netzwerk erstrecken.
Damit Sie sich auf die Benutzeridentität konzentrieren können, bietet Microsoft Defender for Cloud Apps Verhaltensanalysen für Benutzerentitäten (User Entity Behavior Analytics, UEBA) in der Cloud. UEBA kann durch die Integration mit Microsoft Defender for Identity auf Ihre lokale Umgebung erweitert werden. Danach erhalten Sie auch Kontext zur Benutzeridentität durch die native Integration in Active Directory.
Unabhängig davon, ob es sich bei Ihrem Trigger um eine Warnung handelt, die im Defender for Cloud Apps Dashboard angezeigt wird, oder ob Sie Über Informationen von einem Sicherheitsdienst eines Drittanbieters verfügen, beginnen Sie Ihre Untersuchung im Defender for Cloud Apps Dashboard, um ausführliche Informationen zu riskanten Benutzern zu erhalten.
In diesem Tutorial erfahren Sie, wie Sie Defender for Cloud Apps verwenden, um risikobehaftete Benutzer zu untersuchen:
Grundlegendes zur Bewertung der Untersuchungspriorität
Die Bewertung der Untersuchungspriorität ist eine Bewertung, die Defender for Cloud Apps jedem Benutzer gibt, um Ihnen mitzuteilen, wie riskant der Benutzer im Vergleich zu anderen Benutzern in Ihrer organization ist. Verwenden Sie die Bewertung der Untersuchungspriorität, um zu bestimmen, welche Benutzer zuerst untersucht werden sollen, und erkennen Sie sowohl böswillige Insider als auch externe Angreifer, die sich seitlich in Ihren Organisationen bewegen, ohne sich auf standardmäßige deterministische Erkennungen verlassen zu müssen.
Jeder Microsoft Entra Benutzer verfügt über eine dynamische Bewertung der Untersuchungspriorität, die ständig basierend auf aktuellem Verhalten und Auswirkungen aktualisiert wird, die aus Daten erstellt wurden, die von Defender for Identity und Defender for Cloud Apps ausgewertet wurden.
Defender for Cloud Apps erstellt Benutzerprofile für jeden Benutzer, basierend auf Analysen, die Sicherheitswarnungen und ungewöhnliche Aktivitäten im Laufe der Zeit, Peergruppen, erwartete Benutzeraktivitäten und die Auswirkungen eines bestimmten Benutzers auf die Unternehmens- oder Unternehmensressourcen berücksichtigen.
Aktivitäten, die für die Baseline eines Benutzers anomale sind, werden ausgewertet und bewertet. Nach Abschluss der Bewertung werden die proprietären dynamischen Peerberechnungen von Microsoft und maschinelles Lernen für die Benutzeraktivitäten ausgeführt, um die Untersuchungspriorität für jeden Benutzer zu berechnen.
Verstehen Sie sofort, wer die wirklich riskanten Benutzer sind, indem Sie nach der Bewertung der Untersuchungspriorität filtern, die geschäftlichen Auswirkungen jedes Benutzers direkt überprüfen und alle damit verbundenen Aktivitäten untersuchen – unabhängig davon, ob sie kompromittiert sind, Daten exfiltrieren oder als Insiderbedrohungen fungieren.
Defender for Cloud Apps verwendet Folgendes, um das Risiko zu messen:
Warnungsbewertung: Die Warnungsbewertung stellt die potenziellen Auswirkungen einer bestimmten Warnung auf jeden Benutzer dar. Die Warnungsbewertung basiert auf dem Schweregrad, den Auswirkungen der Benutzer, der Benutzerpopularität von Warnungen und allen Entitäten im organization.
Aktivitätsbewertung: Die Aktivitätsbewertung bestimmt die Wahrscheinlichkeit, dass ein bestimmter Benutzer eine bestimmte Aktivität ausführt, basierend auf dem Verhaltenslernen des Benutzers und seiner Kollegen. Aktivitäten, die als die ungewöhnlichsten identifiziert werden, erhalten die höchsten Bewertungen.
Wählen Sie die Bewertung der Untersuchungspriorität für eine Warnung oder aktivität aus, um den Beweis anzuzeigen, der erläutert, wie Defender for Cloud Apps die Aktivität bewertet hat.
Hinweis
Die Warnung zur Erhöhung der Untersuchungsprioritätsbewertung wird von Microsoft Defender for Cloud Apps bis August 2024 schrittweise eingestellt. Die Bewertung der Untersuchungspriorität und das in diesem Artikel beschriebene Verfahren sind von dieser Änderung nicht betroffen.
Weitere Informationen finden Sie unter Untersuchungsprioritätsbewertung erhöhen Zeitleiste.
Phase 1: Herstellen einer Verbindung mit den Apps, die Sie schützen möchten
Verbinden Sie mindestens eine App mit Microsoft Defender for Cloud Apps mithilfe der API-Connectors. Es wird empfohlen, dass Sie zunächst eine Verbindung mit Microsoft 365 herstellen.
Microsoft Entra ID Apps werden automatisch für die App-Steuerung für bedingten Zugriff integriert.
Phase 2: Identifizieren der am häufigsten risikobehafteten Benutzer
So ermitteln Sie, wer ihre risikoreichsten Benutzer in Defender for Cloud Apps sind:
Wählen Sie im Microsoft Defender Portal unter Assets die Option Identitäten aus. Sortieren Sie die Tabelle nach Untersuchungspriorität. Wechseln Sie dann nacheinander zu ihrer Benutzerseite, um sie zu untersuchen.
Die Neben dem Benutzernamen gefundene Untersuchungsprioritätsnummer ist eine Summe aller riskanten Aktivitäten des Benutzers in der letzten Woche.
Wählen Sie die drei Punkte rechts neben dem Benutzer aus, und wählen Sie Benutzerseite anzeigen aus.
Überprüfen Sie die Informationen auf der Seite mit den Benutzerdetails, um einen Überblick über den Benutzer zu erhalten und festzustellen, ob es Punkte gibt, an denen der Benutzer Aktivitäten ausgeführt hat, die für diesen Benutzer ungewöhnlich waren oder zu einem ungewöhnlichen Zeitpunkt ausgeführt wurden.
Die Bewertung des Benutzers im Vergleich zum organization gibt an, in welchem Perzentil sich der Benutzer befindet, basierend auf seiner Rangfolge in Ihrem organization – wie hoch er in der Liste der Benutzer ist, die Sie untersuchen sollten, im Vergleich zu anderen Benutzern in Ihrer organization. Die Zahl ist rot, wenn sich ein Benutzer im 90. Perzentil der risikobehafteten Benutzer in Ihrem organization befindet oder darüber liegt.
Auf der Seite mit den Benutzerdetails können Sie die folgenden Fragen beantworten:
| Frage | Details |
|---|---|
| Wer ist der Benutzer? | Suchen Sie nach grundlegenden Details über den Benutzer und was das System über sie weiß, einschließlich der Rolle des Benutzers in Ihrem Unternehmen und seiner Abteilung. Ist der Benutzer beispielsweise ein DevOps-Techniker, der im Rahmen seiner Arbeit häufig ungewöhnliche Aktivitäten ausführt? Oder ist der Benutzer ein verärgerter Mitarbeiter, der gerade für eine Promotion übergeben wurde? |
| Ist der Benutzer riskant? | Wie lautet die Risikobewertung des Mitarbeiters, und lohnt es sich, sie zu untersuchen? |
| Welches Risiko stellt der Benutzer für Ihre organization dar? | Scrollen Sie nach unten, um die einzelnen Aktivitäten und Warnungen im Zusammenhang mit dem Benutzer zu untersuchen, um den Typ des Risikos zu verstehen, das der Benutzer darstellt. Wählen Sie im Zeitleiste jede Zeile aus, um einen Detaillierteren Drilldown zur Aktivität oder Warnung selbst durchzuführen. Wählen Sie die Zahl neben der Aktivität aus, damit Sie die Beweise verstehen können, die die Bewertung selbst beeinflusst haben. |
| Welches Risiko besteht für andere Vermögenswerte in Ihrem organization? | Wählen Sie die Registerkarte Lateral Movement-Pfade aus, um zu verstehen, welche Pfade ein Angreifer verwenden kann, um die Kontrolle über andere Ressourcen in Ihrem organization zu erlangen. Selbst wenn der von Ihnen untersuchte Benutzer beispielsweise über ein nicht sensibles Konto verfügt, kann ein Angreifer Verbindungen mit dem Konto verwenden, um vertrauliche Konten in Ihrem Netzwerk zu ermitteln und zu kompromittieren. Weitere Informationen finden Sie unter Verwenden von Lateral Movement-Pfaden. |
Hinweis
Während Benutzerdetailseite Informationen zu Geräten, Ressourcen und Konten für alle Aktivitäten bereitstellen, umfasst die Bewertung der Untersuchungspriorität die Summe aller riskanten Aktivitäten und Warnungen in den letzten 7 Tagen.
Zurücksetzen der Benutzerbewertung
Wenn der Benutzer untersucht wurde und kein Verdacht auf Kompromittierung gefunden wurde, oder wenn Sie die Bewertung der Untersuchungspriorität des Benutzers aus einem anderen Grund zurücksetzen möchten, so manuell wie folgt:
Wählen Sie im Microsoft Defender Portal unter Assets die Option Identitäten aus.
Wählen Sie die drei Punkte rechts neben dem untersuchten Benutzer und dann Bewertung der Untersuchungspriorität zurücksetzen aus. Sie können auch Benutzerseite anzeigen und dann auf den drei Punkten auf der Seite mit den Benutzerdetails die Option Untersuchungsprioritätsbewertung zurücksetzen auswählen.
Hinweis
Nur Benutzer mit einer Untersuchungsprioritätsbewertung ungleich Null können zurückgesetzt werden.
Wählen Sie im Bestätigungsfenster Bewertung zurücksetzen aus.
Phase 3: Weitere Untersuchung von Benutzern
Einige Aktivitäten sind möglicherweise nicht allein grund für Alarme, können aber ein Hinweis auf ein verdächtiges Ereignis sein, wenn sie mit anderen Aktivitäten aggregiert werden.
Wenn Sie einen Benutzer untersuchen, sollten Sie die folgenden Fragen zu den Angezeigten Aktivitäten und Warnungen stellen:
Gibt es eine geschäftliche Rechtfertigung für diesen Mitarbeiter, diese Aktivitäten auszuführen? Wenn beispielsweise jemand aus dem Marketing auf die Codebasis zugreift oder jemand aus der Entwicklung auf die Finanzdatenbank zugreift, sollten Sie sich an den Mitarbeiter wenden, um sicherzustellen, dass dies eine beabsichtigte und gerechtfertigte Aktivität war.
Warum hat diese Aktivität eine hohe Bewertung erhalten, während andere dies nicht getan haben? Wechseln Sie zum Aktivitätsprotokoll , und legen Sie die Untersuchungspriorität auf Ist festgelegt fest , um zu verstehen, welche Aktivitäten verdächtig sind.
Sie können beispielsweise nach der Untersuchungspriorität für alle Aktivitäten filtern, die in einem bestimmten geografischen Gebiet aufgetreten sind. Anschließend können Sie sehen, ob es andere Aktivitäten gab, die riskant waren und von denen aus der Benutzer eine Verbindung hergestellt hat, und Sie können ganz einfach zu anderen Drilldowns wechseln, z. B. kürzliche nichtanomale Cloud- und lokale Aktivitäten, um Ihre Untersuchung fortzusetzen.
Phase 4: Schützen Ihrer organization
Wenn Ihre Untersuchung zu dem Schluss führt, dass ein Benutzer kompromittiert ist, führen Sie die folgenden Schritte aus, um das Risiko zu verringern.
Benutzer kontaktieren– Mithilfe der benutzerkontaktinformationen, die in Defender for Cloud Apps aus Active Directory integriert sind, können Sie einen Drilldown in jede Warnung und Aktivität durchführen, um die Benutzeridentität aufzulösen. Stellen Sie sicher, dass der Benutzer mit den Aktivitäten vertraut ist.
Wählen Sie direkt im Microsoft Defender Portal auf der Seite Identitäten die drei Punkte des untersuchten Benutzers aus, und wählen Sie aus, ob der Benutzer aufgefordert werden soll, sich erneut anzumelden, den Benutzer zu sperren oder den Benutzer als kompromittiert zu bestätigen.
Im Falle einer kompromittierten Identität können Sie den Benutzer bitten, sein Kennwort zurückzusetzen, um sicherzustellen, dass das Kennwort den Best Practices-Richtlinien für Länge und Komplexität entspricht.
Wenn Sie einen Drilldown in eine Warnung ausführen und feststellen, dass die Aktivität keine Warnung hätte auslösen dürfen, wählen Sie in der Schublade Aktivität den Link Feedback senden aus, damit wir sicher sein können, dass wir unser Warnungssystem unter Berücksichtigung Ihrer organization optimieren können.
Schließen Sie die Warnung, nachdem Sie das Problem behoben haben.
Siehe auch
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.