Поделиться через

Руководство по изучению рискованных пользователей

  • Статья

Командам по операциям безопасности приходится отслеживать действия пользователей, подозрительные или иные, во всех измерениях области атак удостоверений, используя несколько решений безопасности, которые часто не подключены. Хотя многие компании теперь имеют охотничьи группы для упреждающего выявления угроз в своей среде, знание того, что следует искать в большом объеме данных, может оказаться сложной задачей. Microsoft Defender for Cloud Apps избавляет от необходимости создавать сложные правила корреляции и позволяет искать атаки, охватывающие облачную и локальную сеть.

Чтобы помочь вам сосредоточиться на удостоверении пользователей, Microsoft Defender for Cloud Apps предоставляет аналитику поведения сущностей пользователей (UEBA) в облаке. UEBA можно распространить на локальную среду путем интеграции с Microsoft Defender для удостоверений, после чего вы также получите контекст об удостоверении пользователя из его собственной интеграции с Active Directory.

Независимо от того, является ли триггер оповещением на панели мониторинга Defender for Cloud Apps или у вас есть информация от сторонней службы безопасности, начните исследование с панели мониторинга Defender for Cloud Apps, чтобы подробно ознакомиться с рискованными пользователями.

В этом руководстве вы узнаете, как использовать Defender for Cloud Apps для исследования рискованных пользователей:

Общие сведения о оценке приоритета исследования

Оценка приоритета исследования — это оценка, которую Defender for Cloud Apps дает каждому пользователю, чтобы вы знали, насколько рискованный пользователь по сравнению с другими пользователями в вашей организации. Используйте оценку приоритета исследования, чтобы определить, каких пользователей следует исследовать в первую очередь, обнаруживая как вредоносных инсайдеров, так и внешних злоумышленников, перемещающихся в ваших организациях, без необходимости полагаться на стандартные детерминированные обнаружения.

Каждый пользователь Microsoft Entra имеет динамическую оценку приоритета исследования, которая постоянно обновляется на основе недавнего поведения и влияния на основе данных, оцениваемых в Defender для удостоверений и Defender for Cloud Apps.

Defender for Cloud Apps создает профили пользователей для каждого пользователя на основе аналитики, которая учитывает оповещения системы безопасности и аномальные действия с течением времени, группы одноранговых узлов, ожидаемые действия пользователей и влияние, которое конкретный пользователь может оказать на бизнес или активы компании.

Действия, которые являются аномальными для базовых показателей пользователя, оцениваются и оцениваются. После завершения оценки собственные динамические вычисления одноранговых узлов и машинное обучение Майкрософт выполняются для действий пользователей, чтобы вычислить приоритет исследования для каждого пользователя.

Поймите, кто является самым рискованным пользователем, выполняя фильтрацию в соответствии с оценкой приоритета исследования, напрямую проверяя влияние каждого пользователя на бизнес и исследуя все связанные действия, будь то компрометация, извлечение данных или действия в качестве внутренних угроз.

для измерения риска Defender for Cloud Apps используется следующее:

  • Оценка оповещений. Оценка оповещений представляет потенциальное влияние определенного оповещения на каждого пользователя. Оценка оповещений зависит от серьезности, влияния на пользователей, популярности оповещений среди пользователей и всех сущностей в организации.

  • Оценка действий. Оценка активности определяет вероятность того, что конкретный пользователь выполнит определенное действие, на основе поведенческого обучения пользователя и его коллег. Действия, определенные как наиболее аномальные, получают самые высокие оценки.

Выберите оценку приоритета исследования для оповещения или действия, чтобы просмотреть доказательства, объясняющие, как Defender for Cloud Apps оценить действие.

Примечание.

Мы постепенно стираем оповещение об увеличении оценки приоритета исследования с Microsoft Defender for Cloud Apps к августу 2024 года. Это изменение не влияет на оценку приоритета исследования и процедуру, описанную в этой статье.

Дополнительные сведения см. в разделе Исследование оценки приоритета увеличение устаревания временная шкала.

Этап 1. Подключение к приложениям, которые вы хотите защитить

Подключите хотя бы одно приложение к Microsoft Defender for Cloud Apps с помощью соединителей API. Рекомендуется начать с подключения к Microsoft 365.

Microsoft Entra ID приложения автоматически подключены к управлению условным доступом.

Этап 2. Определение наиболее рискованных пользователей

Чтобы определить, кто ваши самые рискованные пользователи находятся в Defender for Cloud Apps:

  1. На портале Microsoft Defender в разделе Активы выберите Удостоверения. Отсортируйте таблицу по приоритету исследования. Затем один за одним перейдите на страницу пользователя, чтобы исследовать их.
    Номер приоритета исследования, найденный рядом с именем пользователя, представляет собой сумму всех рискованных действий пользователя за последнюю неделю.

    Снимок экрана: панель мониторинга основных пользователей.

  2. Щелкните три точки справа от пользователя и выберите Просмотр страницы пользователя.

    Снимок экрана: страница сведений о пользователе.

  3. Просмотрите сведения на странице сведений о пользователе, чтобы получить общие сведения о пользователе и узнать, есть ли моменты, в которых пользователь выполнял действия, которые были необычными для этого пользователя или были выполнены в необычное время.

    Оценка пользователя по сравнению с организацией определяет, в каком процентиле находится пользователь, в зависимости от его рейтинга в вашей организации . Насколько высокий он находится в списке пользователей, который следует исследовать, по сравнению с другими пользователями в вашей организации. Число будет красным, если пользователь находится в 90-м процентиле рискованных пользователей в вашей организации или выше.

Страница сведений о пользователе помогает ответить на следующие вопросы:

Вопрос Сведения
Кто является пользователем? Найдите основные сведения о пользователе и о том, что система знает о нем, включая роль пользователя в вашей компании и его отделе.

Например, является ли пользователь инженером DevOps, который часто выполняет необычные действия в рамках своей работы? Или пользователь недовольный сотрудник, которого только что передали на повышение?
Является ли пользователь рискованным? Какова оценка риска сотрудника и стоит ли это при их расследовании?
Какой риск представляет пользователь вашей организации? Прокрутите вниз, чтобы изучить каждое действие и оповещение, связанные с пользователем, чтобы понять тип риска, который представляет пользователь.

В временная шкала выберите каждую строку, чтобы углубиться в действие или оповещение. Выберите число рядом с действием, чтобы понять доказательства, которые повлияли на саму оценку.
Каковы риски для других ресурсов в вашей организации? Перейдите на вкладку Пути бокового перемещения , чтобы понять, какие пути злоумышленник может использовать для получения контроля над другими ресурсами в вашей организации.

Например, даже если у пользователя, которого вы исследуете, есть нечувствительная учетная запись, злоумышленник может использовать подключения к ней для обнаружения и попытки компрометации конфиденциальных учетных записей в вашей сети.

Дополнительные сведения см. в разделе Использование путей бокового перемещения.

Примечание.

Хотя страницы сведений о пользователях содержат сведения об устройствах, ресурсах и учетных записях во всех действиях, оценка приоритета исследования включает сумму всех рискованных действий и оповещений за последние 7 дней.

Сброс оценки пользователей

Если пользователь был расследован и подозрения на компрометацию не найдены, или вы хотите сбросить оценку приоритета исследования пользователя по любой другой причине, то вручную следующим образом:

  1. На портале Microsoft Defender в разделе Активы выберите Удостоверения.

  2. Щелкните три точки справа от исследуемого пользователя, а затем выберите Сбросить оценку приоритета исследования. Вы также можете выбрать Просмотр страницы пользователя , а затем сбросить оценку приоритета исследования из трех точек на странице сведений о пользователе.

    Примечание.

    Можно сбросить только пользователей с ненулевым показателем приоритета исследования.

    Снимок экрана: ссылка

  3. В окне подтверждения выберите Сбросить оценку.

    Снимок экрана: кнопка сброса оценки.

Этап 3. Дальнейшее исследование пользователей

Некоторые действия могут не вызывать тревогу сами по себе, но могут указывать на подозрительное событие при агрегации с другими действиями.

При исследовании пользователя необходимо задать следующие вопросы о действиях и оповещениях, которые вы видите:

  • Есть ли бизнес-оправдание для этого сотрудника для выполнения этих действий? Например, если кто-то из маркетинга обращается к базе кода или кто-то из разработчиков обращается к финансовой базе данных, следует обратиться к сотруднику, чтобы убедиться, что это было преднамеренным и оправданным действием.

  • Почему это действие получило высокую оценку, а другие — нет? Перейдите в журнал действий и задайте для параметра Приоритет исследованиязначение Задано , чтобы понять, какие действия являются подозрительными.

    Например, можно фильтровать по приоритету исследования для всех действий, произошедших в определенной географической области. Затем вы можете узнать, были ли другие действия, которые были рискованны, где пользователь подключается, и вы можете легко перейти к другим детализациям, таким как недавние неаномальные облачные и локальные действия, чтобы продолжить исследование.

Этап 4. Защита организации

Если ваше исследование приведет к выводу, что пользователь скомпрометирован, выполните следующие действия, чтобы снизить риск.

  • Связаться с пользователем . Используя контактные данные пользователя, интегрированные с Defender for Cloud Apps из Active Directory, вы можете детализировать каждое оповещение и действие, чтобы разрешить удостоверение пользователя. Убедитесь, что пользователь знаком с действиями.

  • Непосредственно на портале Microsoft Defender на странице Удостоверения выберите три точки исследуемого пользователя и выберите, следует ли требовать от пользователя повторного входа, приостановить пользователя или подтвердить, что пользователь скомпрометирован.

  • В случае скомпрометированного удостоверения можно попросить пользователя сбросить пароль, убедившись, что пароль соответствует рекомендациям по длине и сложности.

  • Если вы детализируете оповещение и определите, что действие не должно было активировать оповещение, в панели действий выберите ссылку Отправить нам отзыв , чтобы мы могли точно настроить нашу систему оповещений с учетом вашей организации.

  • После устранения проблемы закройте оповещение.

См. также

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.