Condividi tramite

Esercitazione: Analizzare gli utenti a rischio

  • Articolo

Ai team delle operazioni di sicurezza viene richiesto di monitorare le attività degli utenti, sospette o di altro tipo, in tutte le dimensioni della superficie di attacco delle identità, usando più soluzioni di sicurezza che spesso non sono connesse. Mentre molte aziende hanno ora team di ricerca per identificare in modo proattivo le minacce nei loro ambienti, sapere cosa cercare attraverso la grande quantità di dati può essere una sfida. Microsoft Defender for Cloud Apps rimuove la necessità di creare regole di correlazione complesse e consente di cercare attacchi che si estendono nel cloud e nella rete locale.

Per concentrarsi sull'identità dell'utente, Microsoft Defender for Cloud Apps fornisce l'analisi del comportamento dell'entità utente nel cloud. UEBA può essere esteso all'ambiente locale tramite l'integrazione con Microsoft Defender per identità, dopo di che si acquisirà anche il contesto sull'identità utente dalla sua integrazione nativa con Active Directory.

Se il trigger è un avviso visualizzato nel dashboard di Defender for Cloud Apps o se si dispone di informazioni da un servizio di sicurezza di terze parti, avviare l'indagine dal dashboard Defender for Cloud Apps per approfondire gli utenti a rischio.

Questa esercitazione illustra come usare Defender for Cloud Apps per analizzare gli utenti a rischio:

Comprendere il punteggio di priorità dell'indagine

Il punteggio di priorità dell'indagine è un punteggio che Defender for Cloud Apps fornisce a ogni utente per segnalare quanto sia rischioso l'utente rispetto ad altri utenti dell'organizzazione. Usare il punteggio di priorità dell'indagine per determinare quali utenti analizzare per primi, rilevando sia utenti malintenzionati che utenti malintenzionati esterni che si muovono lateralmente nelle organizzazioni, senza dover fare affidamento su rilevamenti deterministici standard.

Ogni utente Microsoft Entra ha un punteggio di priorità di indagine dinamico, che viene costantemente aggiornato in base al comportamento recente e all'impatto generato dai dati valutati da Defender per identità e Defender for Cloud Apps.

Defender for Cloud Apps crea profili utente per ogni utente, in base a analisi che considerano gli avvisi di sicurezza e le attività anomale nel tempo, i gruppi di peer, le attività utente previste e l'effetto che qualsiasi utente specifico potrebbe avere sugli asset aziendali o aziendali.

L'attività anomala per la baseline di un utente viene valutata e con punteggio. Al termine dell'assegnazione dei punteggi, i calcoli peer dinamici proprietari di Microsoft e l'apprendimento automatico vengono eseguiti nelle attività utente per calcolare la priorità di indagine per ogni utente.

Comprendere immediatamente chi sono gli utenti più a rischio, filtrando in base al punteggio di priorità dell'indagine, verificando direttamente l'impatto aziendale di ogni utente e analizzando tutte le attività correlate, indipendentemente dal fatto che siano compromessi, esfiltrando dati o agendo come minacce insider.

Defender for Cloud Apps usa quanto segue per misurare il rischio:

  • Punteggio avviso: il punteggio dell'avviso rappresenta il potenziale impatto di un avviso specifico su ogni utente. Il punteggio degli avvisi si basa sulla gravità, l'impatto degli utenti, la popolarità degli avvisi tra gli utenti e tutte le entità dell'organizzazione.

  • Punteggio attività: il punteggio dell'attività determina la probabilità che un utente specifico esegua un'attività specifica, in base all'apprendimento comportamentale dell'utente e dei relativi peer. Le attività identificate come le più anomale ricevono i punteggi più alti.

Selezionare il punteggio di priorità dell'indagine per un avviso o un'attività per visualizzare l'evidenza che spiega come Defender for Cloud Apps ha assegnato un punteggio all'attività.

Nota

L'avviso relativo all'aumento del punteggio di priorità dell'indagine verrà gradualmente ritirato da Microsoft Defender for Cloud Apps entro agosto 2024. Il punteggio di priorità dell'indagine e la procedura descritta in questo articolo non sono interessati da questa modifica.

Per altre informazioni, vedere Sequenza temporale di aumento della deprecazione del punteggio di priorità dell'indagine.

Fase 1: Connettersi alle app da proteggere

Connettere almeno un'app a Microsoft Defender for Cloud Apps usando i connettori API. È consigliabile iniziare connettendo Microsoft 365.

Microsoft Entra ID le app vengono sottoposte automaticamente all'onboarding per il controllo delle app per l'accesso condizionale.

Fase 2: Identificare gli utenti più rischiosi

Per identificare gli utenti più rischiosi in Defender for Cloud Apps:

  1. Nel portale Microsoft Defender selezionare Identità in Asset. Ordinare la tabella in base alla priorità di indagine. Quindi, uno alla una, vai alla pagina dell'utente per analizzarli.
    Il numero di priorità dell'indagine, trovato accanto al nome utente, è una somma di tutte le attività rischiose dell'utente nell'ultima settimana.

    Screenshot del dashboard Utenti principali.

  2. Selezionare i tre puntini a destra dell'utente e scegliere Visualizza pagina Utente.

    Screenshot di una pagina dei dettagli dell'utente.

  3. Esaminare le informazioni nella pagina dei dettagli dell'utente per ottenere una panoramica dell'utente e verificare se sono presenti punti in cui l'utente ha eseguito attività insolite per l'utente o eseguite in un momento insolito.

    Il punteggio dell'utente rispetto all'organizzazione rappresenta il percentile in cui si trova l'utente in base alla classificazione nell'organizzazione, ovvero l'altezza nell'elenco degli utenti da analizzare rispetto ad altri utenti dell'organizzazione. Il numero è rosso se un utente si trova al di sopra o al di sopra del 90° percentile di utenti a rischio nell'intera organizzazione.

La pagina dei dettagli utente consente di rispondere alle domande seguenti:

Domanda Dettagli
Chi è l'utente? Cercare i dettagli di base sull'utente e le informazioni che il sistema conosce su di essi, incluso il ruolo dell'utente nell'azienda e nel reparto.

Ad esempio, l'utente è un ingegnere DevOps che spesso esegue attività insolite come parte del proprio lavoro? O l'utente è un dipendente scontento che è appena passato per una promozione?
L'utente è rischioso? Qual è il punteggio di rischio del dipendente e vale la pena esaminarli?
Qual è il rischio che l'utente presenta all'organizzazione? Scorrere verso il basso per analizzare ogni attività e avviso correlato all'utente per iniziare a comprendere il tipo di rischio rappresentato dall'utente.

Nella sequenza temporale selezionare ogni riga per eseguire il drill-down più in profondità nell'attività o nell'avviso stesso. Selezionare il numero accanto all'attività in modo da poter comprendere l'evidenza che ha influenzato il punteggio stesso.
Qual è il rischio per altri asset dell'organizzazione? Selezionare la scheda Percorsi di spostamento laterale per comprendere quali percorsi un utente malintenzionato può usare per ottenere il controllo di altri asset nell'organizzazione.

Ad esempio, anche se l'utente in cui si sta analizzando ha un account senza distinzione, un utente malintenzionato può usare le connessioni all'account per individuare e tentare di compromettere gli account sensibili nella rete.

Per altre informazioni, vedere Usare i percorsi di spostamento laterale.

Nota

Mentre le pagine dei dettagli utente forniscono informazioni per dispositivi, risorse e account in tutte le attività, il punteggio di priorità dell'indagine include la somma di tutte le attività e gli avvisi rischiosi negli ultimi 7 giorni.

Reimpostare il punteggio utente

Se l'utente è stato indagato e non è stato rilevato alcun sospetto di compromissione o se si vuole reimpostare il punteggio di priorità dell'indagine dell'utente per qualsiasi altro motivo, manualmente come indicato di seguito:

  1. Nel portale Microsoft Defender selezionare Identità in Asset.

  2. Selezionare i tre puntini a destra dell'utente indagato e quindi selezionare Reimposta punteggio di priorità dell'indagine. È anche possibile selezionare Visualizza pagina utente e quindi selezionare Reimposta punteggio di priorità di indagine dai tre puntini nella pagina dei dettagli dell'utente.

    Nota

    È possibile reimpostare solo gli utenti con un punteggio di priorità di indagine diverso da zero.

    Screenshot del collegamento Reimposta punteggio di priorità dell'indagine.

  3. Nella finestra di conferma selezionare Reimposta punteggio.

    Screenshot del pulsante Reimposta punteggio.

Fase 3: Analizzare ulteriormente gli utenti

Alcune attività potrebbero non essere causa di allarme da sole, ma potrebbero essere un'indicazione di un evento sospetto quando vengono aggregate con altre attività.

Quando si esamina un utente, si vogliono porre le domande seguenti sulle attività e gli avvisi visualizzati:

  • Esiste una giustificazione aziendale per l'esecuzione di queste attività da parte di questo dipendente? Ad esempio, se un utente del marketing accede alla code base o un utente dello sviluppo accede al database finanziario, è necessario contattare il dipendente per assicurarsi che si tratta di un'attività intenzionale e giustificata.

  • Perché questa attività ha ricevuto un punteggio elevato mentre altri no? Passare al log attività e impostare la priorità Indaginesu È impostato per comprendere quali attività sono sospette.

    Ad esempio, è possibile filtrare in base alla priorità di indagine per tutte le attività che si sono verificate in un'area geografica specifica. È quindi possibile verificare se erano presenti altre attività rischiose, da cui l'utente si è connesso, ed è possibile passare facilmente ad altri drill-down, ad esempio attività cloud nonmale recenti e locali, per continuare l'indagine.

Fase 4: Proteggere l'organizzazione

Se l'indagine porta alla conclusione che un utente è compromesso, seguire questa procedura per mitigare il rischio.

  • Contattare l'utente: usando le informazioni di contatto dell'utente integrate con Defender for Cloud Apps da Active Directory, è possibile eseguire il drill-down di ogni avviso e attività per risolvere l'identità dell'utente. Assicurarsi che l'utente abbia familiarità con le attività.

  • Direttamente dal portale di Microsoft Defender, nella pagina Identità selezionare i tre puntini dell'utente indagato e scegliere se richiedere all'utente di eseguire di nuovo l'accesso, sospendere l'utente o confermare l'utente come compromesso.

  • Nel caso di un'identità compromessa, è possibile chiedere all'utente di reimpostare la password, assicurandosi che la password soddisfi le linee guida sulle procedure consigliate per la lunghezza e la complessità.

  • Se si esegue il drill-down di un avviso e si determina che l'attività non avrebbe dovuto attivare un avviso, nel pannello Attività selezionare il collegamento Invia commenti e suggerimenti in modo che sia possibile ottimizzare il sistema di avviso tenendo presente l'organizzazione.

  • Dopo aver risolto il problema, chiudere l'avviso.

Vedere anche

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.