Opetusohjelma: Riskialttiiden käyttäjien tutkiminen
Suojaustoimintatiimit on haastettu valvomaan käyttäjän toimintaa, epäilyttävää tai muuta, käyttäjätietojen hyökkäysalueen kaikissa ulottuvuuksissa käyttämällä useita suojausratkaisuja, joita ei useinkaan ole yhdistetty. Vaikka monilla yrityksillä on nyt metsästysryhmiä tunnistamaan uhkia ennakoivasti ympäristöissään, voi olla haastavaa tietää, mitä etsiä valtavasta tietomäärästä. Microsoft Defender for Cloud Apps poistaa tarpeen luoda monimutkaisia korrelaatiosääntöjä, ja sen avulla voit etsiä hyökkäyksiä, jotka ulottuvat pilvipalveluun ja paikalliseen verkkoon.
Jotta voit keskittyä käyttäjätietoihin, Microsoft Defender for Cloud Apps tarjoaa käyttäjän entiteetin käyttäytymisanalytiikkaa (UEBA) pilvipalvelussa. UEBA voidaan laajentaa paikalliseen ympäristöösi integroimalla Microsoft Defender for Identity, minkä jälkeen saat myös kontekstia käyttäjätietojen suhteen integroinnista Active Directoryyn.
Jos käynnistin on ilmoitus, jonka näet Defender for Cloud Apps koontinäytössä, tai onko sinulla tietoja kolmannen osapuolen suojauspalvelusta, aloita tutkimus Defender for Cloud Apps koontinäytöstä ja tutustu tarkemmin riskialttiisiin käyttäjiin.
Tässä opetusohjelmassa opit tutkimaan riskialttiita käyttäjiä Defender for Cloud Apps avulla:
Tutustu tutkimuksen prioriteettipisteisiin
Tutkimuksen prioriteettipisteet ovat pistemäärä, jonka Defender for Cloud Apps antaa jokaiselle käyttäjälle, joka ilmoittaa sinulle, kuinka riskialtis käyttäjä on verrattuna organisaation muihin käyttäjiin. Käytä tutkimuksen prioriteettipisteitä määrittääksesi, ketkä käyttäjät tutkivat ensin, tunnistamalla sekä pahantahtoiset sisäpiiriläiset että ulkoiset hyökkääjät, jotka liikkuvat organisaatiossasi sivuttain ilman, että heidän tarvitsee luottaa vakiomuotoisiin deterministisiin tunnistamiseen.
Jokaisella Microsoft Entra käyttäjällä on dynaamisen tutkinnan prioriteettipisteet, joita päivitetään jatkuvasti perustuen viimeaikaiseen toimintaan ja vaikutukseen, joka perustuu Defender for Identityn ja Defender for Cloud Apps arvioituihin tietoihin.
Defender for Cloud Apps luo kullekin käyttäjälle käyttäjäprofiilit sen perusteella, miten tietoturvahälytykset ja epänormaalit toiminnot otetaan huomioon ajan mittaan, vertaisryhmät, odotettu käyttäjän toiminta ja miten tietty käyttäjä voi vaikuttaa yrityksen tai yrityksen resursseihin.
Toiminto, joka poikkeaa käyttäjän perusaikataulusta, arvioidaan ja pisteytetään. Kun pisteytys on valmis, Microsoftin omia dynaamisia vertaislaskelmia ja koneoppimista suoritetaan käyttäjän toimissa, jotta voidaan laskea kunkin käyttäjän tutkimusprioriteetit.
Selvitä, ketkä ovat todellisia riskialttiita käyttäjiä heti, suodattamalla Investigation-prioriteetin pistemäärän mukaan, tarkistamalla suoraan kunkin käyttäjän liiketoimintavaikutukset ja tutkimalla kaikkia liittyviä toimintoja – ovatko he vaarantuneet, suodattamassa tietoja tai toimimalla sisäpiiriuhkina.
Defender for Cloud Apps mittaa riskejä seuraavasti:
Hälytysten pisteytys: Hälytyspisteet edustavat tietyn ilmoituksen mahdollista vaikutusta kuhunkin käyttäjään. Hälytysten pisteytys perustuu vakavuustilaan, käyttäjän vaikutukseen, hälytysten suosioon kaikilla käyttäjillä ja kaikkiin organisaation entiteetteihin.
Toiminnan pisteytys: Aktiviteetin pistemäärä määrittää tietyn käyttäjän tietyn toiminnon suorittavan todennäköisyyden käyttäjän ja hänen vertaistensa käyttäytymisoppimisen perusteella. Epänormaaleimmaksi määritetyt aktiviteetit saavat suurimmat pisteet.
Valitse hälytyksen tai toiminnon tutkinnan prioriteettipisteet, jotta näet todisteet, jotka kertovat, miten Defender for Cloud Apps aktiviteetin pisteytyksen.
Huomautus
Poistamme asteittain käytöstä Investigation-prioriteetin pistemäärän lisäysilmoituksen Microsoft Defender for Cloud Apps elokuuhun 2024 mennessä. Muutos ei vaikuta tässä artikkelissa kuvattuun tutkimuksen prioriteetin pistemäärään ja menettelytapaan.
Lisätietoja on kohdassa Tutkinnan prioriteettipisteet lisäävät vanhentumisen aikajanaa.
Vaihe 1: Muodosta yhteys sovelluksiin, joita haluat suojata
Yhdistä vähintään yksi sovellus Microsoft Defender for Cloud Apps ohjelmointirajapintaliittimien avulla. Suosittelemme aloittamaan yhdistämällä Microsoft 365:n.
Microsoft Entra ID sovellukset lisätään automaattisesti ehdollisten käyttöoikeuksien sovellusten hallintaan.
Vaihe 2: Riskialttiiden käyttäjien tunnistaminen
Voit selvittää, ketkä ovat Defender for Cloud Apps riskialttiimpia käyttäjiäsi:
Valitse Microsoft Defender-portaalin Resurssit-kohdastaKäyttäjätiedot. Lajittele taulukko Investigation-prioriteetin mukaan. Yksi kerrallaan siirryt hänen käyttäjäsivulleen tutkimaan niitä.
Käyttäjänimen vieressä oleva tutkimuksen prioriteettinumero on kaikkien käyttäjän viime viikon riskialttiiden toimien summa.
Valitse kolme kohtaa käyttäjän oikealta puolelta ja valitse Näytä käyttäjä -sivu.
Tarkista käyttäjätietosivun tiedot, niin saat yleiskatsauksen käyttäjästä ja näet, onko kohtia, joissa käyttäjä on suorittanut epätavallisia toimintoja tai jotka suoritettiin epätavalliseen aikaan.
Käyttäjän pisteet organisaatioon verrattuna edustavat sitä, missä prosenttipisteessä käyttäjä on organisaatiosi sijoituksen perusteella – kuinka suuri käyttäjä on tutkittavien käyttäjien luettelossa suhteessa muihin organisaatiosi käyttäjiin. Luku on punainen, jos käyttäjä on organisaatiosi riskialttiiden käyttäjien 90. prosenttipisteen tarkkuudella tai suurempi.
Käyttäjätietosivun avulla voit vastata seuraaviin kysymyksiin:
| Kysymys | Tiedot |
|---|---|
| Kuka käyttäjä on? | Etsi perustietoja käyttäjästä ja siitä, mitä järjestelmä tietää hänestä, mukaan lukien käyttäjän rooli yrityksessäsi ja hänen osastollaan. Onko käyttäjä esimerkiksi DevOps-insinööri, joka usein suorittaa epätavallisia toimintoja osana työtään? Vai onko käyttäjä tyytymätön työntekijä, joka on juuri siirretty ylennykseen? |
| Onko käyttäjä riskialtis? | Mikä on työntekijän riskipisteet, ja kannattaako sinun tutkia niitä? |
| Mikä on riski, jonka käyttäjä esittää organisaatiollesi? | Vieritä alaspäin, kun haluat tutkia kutakin käyttäjään liittyvää toimintoa ja ilmoitusta, jotta voit alkaa ymmärtää käyttäjän edustamien riskien tyyppiä. Valitse aikajanalla jokainen rivi, jotta voit porautua tarkemmin itse toimintoon tai hälytykseen. Valitse aktiviteetin vieressä oleva numero, jotta ymmärrät todisteet, jotka vaikuttivat itse pistemäärään. |
| Mikä on organisaation muihin varoihin aiheutuva riski? | Valitse Sivuttaisten siirtojen polut -välilehti, jotta ymmärrät, mitä polkuja hyökkääjä voi käyttää muiden organisaatiosi resurssien hallintaan. Vaikka tutkimallasi käyttäjällä olisi esimerkiksi ei-tärkeä tili, hyökkääjä voi käyttää tiliyhteyksiä löytääkseen ja yrittääkseen vaarantaa luottamukselliset tilit verkossasi. Lisätietoja on kohdassa Sivusuuntaisten siirtopolkujen käyttäminen. |
Huomautus
Vaikka käyttäjätietosivut tarjoavat tietoja laitteista, resursseista ja tileistä kaikissa toiminnoissa, tutkinnan prioriteettipisteet sisältävät kaikkien riskialttiiden toimien ja hälytysten summan viimeisten 7 päivän ajalta.
Palauta käyttäjän pisteet
Jos käyttäjä tutkittiin eikä kompromissiepäilyjä löytynyt tai jos haluat palauttaa käyttäjän tutkimuksen prioriteettipisteet mistä tahansa muusta syystä, niin manuaalisesti seuraavasti:
Valitse Microsoft Defender-portaalin Resurssit-kohdastaKäyttäjätiedot.
Valitse kolme pistettä tutkittavan käyttäjän oikealta puolelta ja valitse sitten Palauta tutkimuksen prioriteettipisteet. Voit myös valita Näytä käyttäjäsivu ja valita sitten Nollaa tutkinnan prioriteettipisteet kolmesta pisteestä käyttäjätietosivulla.
Huomautus
Vain käyttäjät, joilla on muu kuin nolla-prioriteetin pistemäärä, voidaan nollata.
Valitse vahvistusikkunassa Palauta pisteet.
Vaihe 3: Käyttäjien tarkempi tutkiminen
Jotkin toiminnot eivät välttämättä aiheuta huolta yksinään, mutta ne saattavat olla merkki epäilyttävästä tapahtumasta, kun ne on koottu muihin toimintoihin.
Kun tutkit käyttäjää, haluat esittää seuraavat kysymykset näkemistäsi toiminnoista ja hälytyksistä:
Onko tälle työntekijälle liiketoimintaperusteita näiden toimintojen suorittamiseen? Jos esimerkiksi joku markkinoinnista käyttää koodikantaa tai joku kehityshenkilö käyttää rahoitustietokantaa, varmista työntekijöiden kanssa, että kyseessä on tarkoituksellinen ja perusteltu toiminto.
Miksi tämä toiminta sai korkean pistemäärän, kun taas toiset eivät? Siirry toimintalokiin ja määritä Investigation-prioriteetiksiIs set , jotta voit ymmärtää, mitkä toiminnot ovat epäilyttäviä.
Voit esimerkiksi suodattaa Tutkimus-prioriteetin perusteella kaikille toiminnoille, jotka ovat tapahtuneet tietyllä maantieteellisellä alueella. Sitten näet, oliko olemassa muita riskialttiita toimintoja, joista käyttäjä oli yhteydessä, ja voit helposti siirtyä muihin porautumisiin, kuten viimeaikaisiin ei-paikallisiin toimintoihin ja paikallisiin toimintoihin, jatkaaksesi tutkimustasi.
Vaihe 4: Organisaation suojaaminen
Jos tutkimuksesi johtaa siihen johtopäätökseen, että käyttäjä on vaarantunut, pienennä riskiä seuraavien vaiheiden avulla.
Ota yhteyttä käyttäjään – Käyttämällä Active Directoryn Defender for Cloud Apps integroituja käyttäjän yhteystietoja voit porautua kuhunkin ilmoituksesta ja toiminnosta käyttäjätietojen ratkaisemiseksi. Varmista, että käyttäjä tuntee toiminnot.
Valitse suoraan Microsoft Defender-portaalin Käyttäjätiedot-sivulla tutkitun käyttäjän kolme pistettä ja valitse, vaaditaanko käyttäjää kirjautumaan uudelleen sisään, keskeyttämään käyttäjä tai vahvistamaan, että käyttäjä on vaarantunut.
Vaarantuneiden käyttäjätietojen tapauksessa voit pyytää käyttäjää nollaamaan salasanansa ja varmistaa, että salasana täyttää parhaat käytännöt pituuden ja monimutkaisuuden kannalta.
Jos poraudut hälytykseen ja päätät, että toiminnon ei olisi pitänyt käynnistää ilmoitusta, valitse Toiminta-laatikossaLähetä meille palautetta -linkki, jotta voimme hienosäätää ilmoitusjärjestelmäämme organisaatiosi mielessä.
Kun olet korjannut ongelman, sulje ilmoitus.
Tutustu myös seuraaviin ohjeartikkeleihin:
Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.