Udostępnij za pośrednictwem

Samouczek: badanie ryzykownych użytkowników

  • Artykuł

Zespoły ds. operacji zabezpieczeń muszą monitorować aktywność użytkownika, podejrzaną lub w inny sposób, we wszystkich wymiarach obszaru ataków tożsamości przy użyciu wielu rozwiązań zabezpieczeń, które często nie są połączone. Podczas gdy wiele firm ma teraz zespoły poszukiwawcze, które proaktywnie identyfikują zagrożenia w swoich środowiskach, wiedza o tym, czego szukać w ogromnej ilości danych, może być wyzwaniem. Microsoft Defender for Cloud Apps eliminuje konieczność tworzenia złożonych reguł korelacji i umożliwia wyszukiwanie ataków obejmujących chmurę i sieć lokalną.

Aby skupić się na tożsamości użytkownika, Microsoft Defender for Cloud Apps udostępnia analizę behawioralną jednostek użytkownika (UEBA) w chmurze. Interfejs UEBA można rozszerzyć na środowisko lokalne, integrując się z usługą Microsoft Defender for Identity, po czym uzyskasz również kontekst dotyczący tożsamości użytkownika dzięki natywnej integracji z usługą Active Directory.

Niezależnie od tego, czy wyzwalacz jest alertem widocznym na pulpicie nawigacyjnym Defender for Cloud Apps, czy też masz informacje z usługi zabezpieczeń innej firmy, rozpocznij badanie z pulpitu nawigacyjnego Defender for Cloud Apps, aby dokładnie poznać ryzykownych użytkowników.

Z tego samouczka dowiesz się, jak używać Defender for Cloud Apps do badania ryzykownych użytkowników:

Omówienie oceny priorytetu badania

Wynik priorytetu badania jest wynikiem, który Defender for Cloud Apps daje każdemu użytkownikowi, aby poinformować, jak ryzykowny jest użytkownik, w stosunku do innych użytkowników w organizacji. Ocena priorytetu badania umożliwia określenie, którzy użytkownicy mają najpierw przeprowadzić badanie, wykrywając zarówno złośliwych wewnętrznych, jak i zewnętrznych atakujących przemieszczających się później w organizacjach bez konieczności polegania na standardowych wykrywaniach deterministycznych.

Każdy użytkownik Microsoft Entra ma dynamiczny wskaźnik priorytetu badania, który jest stale aktualizowany na podstawie ostatnich zachowań i wpływów utworzonych na podstawie danych ocenianych przez usługę Defender for Identity i Defender for Cloud Apps.

Defender for Cloud Apps tworzy profile użytkowników dla każdego użytkownika na podstawie analiz, które uwzględniają alerty zabezpieczeń i nietypowe działania w czasie, grupy elementów równorzędnych, oczekiwaną aktywność użytkowników oraz wpływ, jaki każdy konkretny użytkownik może mieć na zasoby biznesowe lub firmowe.

Działanie nietypowe dla punktu odniesienia użytkownika jest oceniane i oceniane. Po zakończeniu oceniania zastrzeżone dynamiczne obliczenia komunikacji równorzędnej firmy Microsoft i uczenie maszynowe są uruchamiane w działaniach użytkownika w celu obliczenia priorytetu badania dla każdego użytkownika.

Dowiedz się, kim od razu są prawdziwi użytkownicy o najwyższym ryzyku, filtrując według oceny priorytetu badania, bezpośrednio sprawdzając wpływ biznesowy każdego użytkownika i badając wszystkie powiązane działania — niezależnie od tego, czy zostały naruszone, eksfiltrowane dane, czy działają jako zagrożenia wewnętrzne.

Defender for Cloud Apps używa następujących elementów do mierzenia ryzyka:

  • Ocena alertów: wynik alertu reprezentuje potencjalny wpływ określonego alertu na każdego użytkownika. Ocenianie alertów zależy od ważności, wpływu użytkownika, popularności alertów wśród użytkowników i wszystkich jednostek w organizacji.

  • Ocenianie działań: wynik działania określa prawdopodobieństwo wykonania określonego działania przez określonego użytkownika na podstawie uczenia behawioralnego użytkownika i jego elementów równorzędnych. Działania zidentyfikowane jako najbardziej nietypowe otrzymują najwyższe wyniki.

Wybierz wskaźnik priorytetu badania dla alertu lub działania, aby wyświetlić dowody wyjaśniające, jak Defender for Cloud Apps ocenia działanie.

Uwaga

Stopniowo wycofujemy alert dotyczący zwiększania wskaźnika priorytetu badania z Microsoft Defender for Cloud Apps do sierpnia 2024 r. Ta zmiana nie ma wpływu na wynik priorytetu badania i procedurę opisaną w tym artykule.

Aby uzyskać więcej informacji, zobacz Oś czasu wycofywania wskaźnika priorytetu badania.

Faza 1. Łączenie z aplikacjami, które chcesz chronić

Połącz co najmniej jedną aplikację z Microsoft Defender for Cloud Apps przy użyciu łączników interfejsu API. Zalecamy rozpoczęcie od połączenia z platformą Microsoft 365.

Tożsamość Microsoft Entra aplikacje są automatycznie dołączane do kontroli aplikacji dostępu warunkowego.

Faza 2. Identyfikowanie najpopularniejszych ryzykownych użytkowników

Aby zidentyfikować najbardziej ryzykownych użytkowników w Defender for Cloud Apps:

  1. W portalu Microsoft Defender w obszarze Zasoby wybierz pozycję Tożsamości. Posortuj tabelę według priorytetu Badania. Następnie jeden po drugim przejdź do strony użytkownika, aby je zbadać.
    Numer priorytetu badania znajdujący się obok nazwy użytkownika jest sumą wszystkich ryzykownych działań użytkownika w ciągu ostatniego tygodnia.

    Zrzut ekranu przedstawiający pulpit nawigacyjny najpopularniejszych użytkowników.

  2. Wybierz trzy kropki po prawej stronie użytkownika, a następnie wybierz pozycję Wyświetl stronę Użytkownika.

    Zrzut ekranu przedstawiający stronę szczegółów użytkownika.

  3. Przejrzyj informacje na stronie szczegółów użytkownika, aby uzyskać przegląd użytkownika i sprawdzić, czy istnieją punkty, w których użytkownik wykonał nietypowe działania dla tego użytkownika lub zostały wykonane w nietypowym czasie.

    Wynik użytkownika w porównaniu z organizacją reprezentuje percentyl, w którym znajduje się użytkownik, na podstawie jego klasyfikacji w organizacji — jak wysoko znajduje się na liście użytkowników, których należy zbadać, w stosunku do innych użytkowników w organizacji. Liczba jest czerwona, jeśli użytkownik znajduje się w 90. percentylu ryzykownych użytkowników w organizacji lub powyżej.

Strona szczegółów użytkownika pomaga odpowiedzieć na następujące pytania:

Pytanie Szczegóły
Kim jest użytkownik? Poszukaj podstawowych informacji o użytkowniku i o tym, co system o nim wie, w tym o roli użytkownika w firmie i jego dziale.

Czy na przykład użytkownik jest inżynierem metodyki DevOps, który często wykonuje nietypowe działania w ramach swojej pracy? A może użytkownik jest niezadowolonym pracownikiem, który właśnie przeszedł do promocji?
Czy użytkownik jest ryzykowny? Jaki jest wynik ryzyka pracownika i czy warto go zbadać?
Jakie ryzyko stwarza użytkownik w twojej organizacji? Przewiń w dół, aby zbadać poszczególne działania i alerty związane z użytkownikiem, aby rozpocząć zrozumienie typu ryzyka, które reprezentuje użytkownik.

Na osi czasu wybierz każdy wiersz, aby przejść do szczegółów działania lub samego alertu. Wybierz liczbę obok działania, aby zrozumieć dowody wpływające na wynik.
Jakie jest ryzyko dla innych zasobów w organizacji? Wybierz kartę Ścieżki przenoszenia bocznego , aby dowiedzieć się, których ścieżek osoba atakująca może użyć do uzyskania kontroli nad innymi zasobami w organizacji.

Na przykład nawet jeśli badany użytkownik ma niewrażliwe konto, osoba atakująca może użyć połączeń z kontem w celu odnalezienia i próby naruszenia zabezpieczeń poufnych kont w sieci.

Aby uzyskać więcej informacji, zobacz Use Lateral Movement Paths (Używanie ścieżek ruchu bocznego).

Uwaga

Chociaż strony szczegółów użytkownika zawierają informacje dotyczące urządzeń, zasobów i kont we wszystkich działaniach, wynik priorytetu badania obejmuje sumę wszystkich ryzykownych działań i alertów z ostatnich 7 dni.

Resetowanie oceny użytkownika

Jeśli użytkownik został zbadany i nie znaleziono żadnych podejrzeń dotyczących naruszenia zabezpieczeń lub jeśli chcesz zresetować wynik priorytetu badania użytkownika z innego powodu, tak ręcznie, jak pokazano poniżej:

  1. W portalu Microsoft Defender w obszarze Zasoby wybierz pozycję Tożsamości.

  2. Wybierz trzy kropki po prawej stronie badanego użytkownika, a następnie wybierz pozycję Resetuj wynik priorytetu badania. Możesz również wybrać pozycję Wyświetl stronę użytkownika , a następnie wybrać pozycję Resetuj wynik priorytetu badania z trzech kropek na stronie szczegółów użytkownika.

    Uwaga

    Można zresetować tylko użytkowników z oceną priorytetu badania niezerowego.

    Zrzut ekranu przedstawiający link Resetuj wskaźnik priorytetu badania.

  3. W oknie potwierdzenia wybierz pozycję Resetuj wynik.

    Zrzut ekranu przedstawiający przycisk Resetuj wynik.

Faza 3. Dalsze badanie użytkowników

Niektóre działania mogą nie być przyczyną alarmu samodzielnie, ale mogą wskazywać na podejrzane zdarzenie, gdy są agregowane z innymi działaniami.

Podczas badania użytkownika chcesz zadać następujące pytania dotyczące wyświetlanych działań i alertów:

  • Czy istnieje uzasadnienie biznesowe dla tego pracownika do wykonywania tych działań? Jeśli na przykład ktoś z marketingu uzyskuje dostęp do bazy kodu lub ktoś z programowania uzyskuje dostęp do bazy danych finansów, należy podjąć kroki z pracownikiem, aby upewnić się, że było to zamierzone i uzasadnione działanie.

  • Dlaczego to działanie otrzymało wysoką ocenę, podczas gdy inne nie? Przejdź do dziennika aktywności i ustaw wartość Priorytet badania na Wartość Jest ustawiona , aby zrozumieć, które działania są podejrzane.

    Na przykład można filtrować na podstawie priorytetu badania dla wszystkich działań, które wystąpiły w określonym obszarze geograficznym. Następnie możesz sprawdzić, czy istnieją inne ryzykowne działania, z których użytkownik się połączył, i możesz łatwo przestawić się na inne przechodzenie do szczegółów, takie jak ostatnie nieanomalne działania w chmurze i działania lokalne, aby kontynuować badanie.

Faza 4. Ochrona organizacji

Jeśli badanie prowadzi do wniosku, że użytkownik został naruszony, wykonaj następujące kroki, aby zmniejszyć ryzyko.

  • Skontaktuj się z użytkownikiem — korzystając z informacji kontaktowych użytkownika zintegrowanych z Defender for Cloud Apps z usługi Active Directory, możesz przejść do szczegółów poszczególnych alertów i działań, aby rozpoznać tożsamość użytkownika. Upewnij się, że użytkownik zna działania.

  • Bezpośrednio w portalu Microsoft Defender na stronie Tożsamości wybierz trzy kropki od badanego użytkownika i wybierz, czy użytkownik ma wymagać ponownego zalogowania się, zawiesić użytkownika, czy potwierdzić, że użytkownik ma zostać naruszona.

  • W przypadku tożsamości z naruszeniem zabezpieczeń możesz poprosić użytkownika o zresetowanie hasła, upewniając się, że hasło spełnia wytyczne dotyczące najlepszych rozwiązań w zakresie długości i złożoności.

  • Jeśli przejdziesz do szczegółów alertu i ustalisz, że działanie nie powinno wyzwolić alertu, w szufladzie Działania wybierz link Wyślij nam opinię , abyśmy mogli dostosować nasz system alertów do twojej organizacji.

  • Po skorygowaniu problemu zamknij alert.

Zobacz też

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.