Compartilhar via

Tutorial: Investigar utilizadores de risco

  • Artigo

As equipas de operações de segurança são desafiadas a monitorizar a atividade do utilizador, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, utilizando várias soluções de segurança que muitas vezes não estão ligadas. Embora muitas empresas tenham agora equipas de investigação para identificar proativamente ameaças nos seus ambientes, saber o que procurar em toda a grande quantidade de dados pode ser um desafio. Microsoft Defender para Aplicativos de Nuvem elimina a necessidade de criar regras de correlação complexas e permite-lhe procurar ataques que se estendem pela sua rede na cloud e no local.

Para o ajudar a focar-se na identidade do utilizador, Microsoft Defender para Aplicativos de Nuvem fornece análise comportamental de entidades do utilizador (UEBA) na cloud. O UEBA pode ser alargado ao seu ambiente no local através da integração com Microsoft Defender para Identidade, após o qual também irá obter contexto sobre a identidade do utilizador a partir da respetiva integração nativa com o Active Directory.

Se o acionador é um alerta que vê no Defender para Aplicativos de Nuvem dashboard ou se tem informações de um serviço de segurança de terceiros, inicie a investigação a partir do Defender para Aplicativos de Nuvem dashboard para aprofundar o risco utilizadores.

Neste tutorial, vai aprender a utilizar Defender para Aplicativos de Nuvem para investigar utilizadores de risco:

Compreender a classificação de prioridade da investigação

A classificação de prioridade de investigação é uma classificação que Defender para Aplicativos de Nuvem dá a cada utilizador para o informar de quão arriscado é o utilizador, em relação a outros utilizadores na sua organização. Utilize a classificação de prioridade de investigação para determinar que utilizadores investigar primeiro, detetar utilizadores maliciosos e atacantes externos a moverem-se lateralmente nas suas organizações, sem terem de depender de deteções deterministas padrão.

Cada Microsoft Entra utilizador tem uma classificação de prioridade de investigação dinâmica, que é constantemente atualizada com base no comportamento recente e no impacto criados a partir de dados avaliados a partir do Defender para Identidade e Defender para Aplicativos de Nuvem.

Defender para Aplicativos de Nuvem cria perfis de utilizador para cada utilizador, com base em análises que consideram alertas de segurança e atividades anormais ao longo do tempo, grupos de pares, atividade de utilizador esperada e o efeito que qualquer utilizador específico pode ter nos recursos empresariais ou empresariais.

A atividade anómalo da linha de base de um utilizador é avaliada e classificada. Após a conclusão da classificação, os cálculos de pares dinâmicos e machine learning da Microsoft são executados nas atividades do utilizador para calcular a prioridade de investigação para cada utilizador.

Compreenda quem são os utilizadores de risco mais reais imediatamente ao filtrar de acordo com a classificação de prioridade investigação, verificar diretamente o impacto comercial de cada utilizador e investigar todas as atividades relacionadas, quer estejam comprometidas, exfiltrando dados ou agindo como ameaças internas.

Defender para Aplicativos de Nuvem utiliza o seguinte para medir o risco:

  • Classificação de alertas: a classificação do alerta representa o impacto potencial de um alerta específico em cada utilizador. A classificação de alertas baseia-se na gravidade, no impacto do utilizador, na popularidade dos alertas entre utilizadores e em todas as entidades na organização.

  • Classificação da atividade: a classificação de atividade determina a probabilidade de um utilizador específico efetuar uma atividade específica, com base na aprendizagem comportamental do utilizador e dos respetivos pares. As atividades identificadas como as mais anormais recebem as classificações mais altas.

Selecione a classificação de prioridade de investigação para um alerta ou uma atividade para ver as provas que explicam como Defender para Aplicativos de Nuvem classificaram a atividade.

Observação

Vamos descontinuar gradualmente o alerta de aumento da classificação de prioridade de investigação de Microsoft Defender para Aplicativos de Nuvem até agosto de 2024. A classificação de prioridade da investigação e o procedimento descrito neste artigo não são afetados por esta alteração.

Para obter mais informações, veja Descontinuação da classificação de prioridade de investigação linha do tempo.

Fase 1: Ligar às aplicações que pretende proteger

Ligue pelo menos uma aplicação a Microsoft Defender para Aplicativos de Nuvem com os conectores de API. Recomendamos que comece por ligar o Microsoft 365.

Microsoft Entra ID aplicações são automaticamente integradas para o controlo de aplicações de Acesso Condicional.

Fase 2: Identificar os principais utilizadores de risco

Para identificar quem são os utilizadores mais arriscados Defender para Aplicativos de Nuvem:

  1. No Portal do Microsoft Defender, em Ativos, selecione Identidades. Ordene a tabela por Prioridade de investigação. Em seguida, um a um, aceda à respetiva página de utilizador para os investigar.
    O número de prioridade da investigação, encontrado junto ao nome de utilizador, é uma soma de todas as atividades de risco do utilizador ao longo da última semana.

    Captura de ecrã da dashboard Principais utilizadores.

  2. Selecione as reticências à direita do utilizador e selecione Ver Página de utilizador.

    Captura de ecrã a mostrar uma página de detalhes do utilizador.

  3. Reveja as informações na página de detalhes do utilizador para obter uma descrição geral do utilizador e ver se existem pontos em que o utilizador efetuou atividades invulgares para esse utilizador ou que foram executadas num momento invulgar.

    A classificação do Utilizador em comparação com a organização representa o percentil em que o utilizador se encontra com base na respetiva classificação na sua organização– a altura em que se encontram na lista de utilizadores que deve investigar, em relação a outros utilizadores na sua organização. O número é vermelho se um utilizador estiver dentro ou acima do percentil 90 de utilizadores de risco em toda a sua organização.

A página de detalhes do utilizador ajuda-o a responder às seguintes perguntas:

Pergunta Detalhes
Quem é o utilizador? Procure detalhes básicos sobre o utilizador e o que o sistema sabe sobre o mesmo, incluindo a função do utilizador na sua empresa e no respetivo departamento.

Por exemplo, o utilizador é um engenheiro de DevOps que, muitas vezes, realiza atividades invulgares como parte do seu trabalho? Ou o utilizador é um empregado descontente que acabou de ser transferido para uma promoção?
O utilizador é arriscado? Qual é a pontuação de risco do funcionário e vale a pena enquanto os investiga?
Qual é o risco que o utilizador apresenta à sua organização? Desloque-se para baixo para investigar cada atividade e alerta relacionado com o utilizador para começar a compreender o tipo de risco que o utilizador representa.

Na linha do tempo, selecione cada linha para desagregar mais aprofundadamente a atividade ou o próprio alerta. Selecione o número junto à atividade para que possa compreender as provas que influenciaram a pontuação propriamente dita.
Qual é o risco para outros recursos na sua organização? Selecione o separador Caminhos de movimento lateral para compreender os caminhos que um atacante pode utilizar para obter o controlo de outros recursos na sua organização.

Por exemplo, mesmo que o utilizador que está a investigar tenha uma conta sem sentido, um atacante pode utilizar ligações à conta para detetar e tentar comprometer contas confidenciais na sua rede.

Para obter mais informações, veja Utilizar Caminhos de Movimento Lateral.

Observação

Embora as páginas de detalhes do utilizador forneçam informações para dispositivos, recursos e contas em todas as atividades, a classificação de prioridade de investigação inclui a soma de todas as atividades e alertas de risco nos últimos 7 dias.

Repor classificação do utilizador

Se o utilizador tiver sido investigado e não tiver sido encontrada qualquer suspeita de comprometimento ou se quiser repor a classificação de prioridade de investigação do utilizador por qualquer outro motivo, manualmente da seguinte forma:

  1. No Portal do Microsoft Defender, em Ativos, selecione Identidades.

  2. Selecione os três pontos à direita do utilizador investigado e, em seguida, selecione Repor classificação de prioridade de investigação. Também pode selecionar Ver página do utilizador e, em seguida, selecionar Repor classificação de prioridade de investigação a partir dos três pontos na página de detalhes do utilizador.

    Observação

    Apenas os utilizadores com uma classificação de prioridade de investigação diferente de zero podem ser repostos.

    Captura de ecrã a mostrar a ligação Repor classificação de prioridade de investigação.

  3. Na janela de confirmação, selecione Repor classificação.

    Captura de ecrã a mostrar o botão Repor classificação.

Fase 3: Investigar mais detalhadamente os utilizadores

Algumas atividades podem não ser motivo de alarme por si só, mas podem ser uma indicação de um evento suspeito quando agregadas com outras atividades.

Quando investiga um utilizador, quer fazer as seguintes perguntas sobre as atividades e alertas que vê:

  • Existe uma justificação comercial para este funcionário realizar estas atividades? Por exemplo, se alguém do marketing estiver a aceder à base de código ou alguém a partir do desenvolvimento aceder à base de dados financeira, deve acompanhar o funcionário para se certificar de que se trata de uma atividade intencional e justificada.

  • Porque é que esta atividade recebeu uma classificação elevada enquanto outras não? Aceda ao Registo de atividades e defina a Prioridade de investigação como Está definido para compreender que atividades são suspeitas.

    Por exemplo, pode filtrar com base na Prioridade de investigação para todas as atividades que ocorreram numa área geográfica específica. Em seguida, pode ver se houve outras atividades arriscadas, de onde o utilizador se ligou, e pode facilmente dinamizar para outros desagregar, como atividades nãoanomales recentes na cloud e no local, para continuar a sua investigação.

Fase 4: Proteger a sua organização

Se a investigação o levar à conclusão de que um utilizador está comprometido, utilize os seguintes passos para mitigar o risco.

  • Contacte o utilizador – ao utilizar as informações de contacto do utilizador integradas com Defender para Aplicativos de Nuvem do Active Directory, pode desagregar cada alerta e atividade para resolve a identidade do utilizador. Certifique-se de que o utilizador está familiarizado com as atividades.

  • Diretamente a partir do Portal do Microsoft Defender, na página Identidades, selecione as reticências do utilizador investigado e escolha se pretende que o utilizador volte a iniciar sessão, suspenda o utilizador ou confirme que o utilizador está comprometido.

  • No caso de uma identidade comprometida, pode pedir ao utilizador para repor a palavra-passe, certificando-se de que a palavra-passe cumpre as diretrizes de melhores práticas de duração e complexidade.

  • Se desagregar um alerta e determinar que a atividade não deveria ter acionado um alerta, na Gaveta de atividade, selecione a ligação Enviar-nos feedback para que possamos ter a certeza de que otimizamos o nosso sistema de alertas com a sua organização em mente.

  • Depois de remediar o problema, feche o alerta.

Confira também

Melhores práticas para proteger a sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.