Dela via

Självstudie: Undersöka riskfyllda användare

  • Artikel

Säkerhetsteamen uppmanas att övervaka användaraktivitet, misstänkt eller på annat sätt, över alla dimensioner av identitetsattackytan, med hjälp av flera säkerhetslösningar som ofta inte är anslutna. Många företag har nu jaktteam för att proaktivt identifiera hot i sina miljöer, men det kan vara en utmaning att veta vad de ska leta efter i den stora mängden data. Microsoft Defender for Cloud Apps tar bort behovet av att skapa komplexa korrelationsregler och gör att du kan söka efter attacker som sträcker sig över molnet och det lokala nätverket.

För att hjälpa dig att fokusera på användaridentitet tillhandahåller Microsoft Defender for Cloud Apps användarentitetsbeteendeanalys (UEBA) i molnet. UEBA kan utökas till din lokala miljö genom att integrera med Microsoft Defender for Identity, varefter du också får kontext kring användaridentitet från dess interna integrering med Active Directory.

Oavsett om utlösaren är en avisering som visas på instrumentpanelen för Defender for Cloud Apps eller om du har information från en säkerhetstjänst från tredje part kan du starta undersökningen från Defender for Cloud Apps instrumentpanel för att fördjupa dig i riskfyllda användare.

I den här självstudien lär du dig hur du använder Defender for Cloud Apps för att undersöka riskfyllda användare:

Förstå prioritetspoängen för undersökning

Prioritetspoängen för undersökningen är en poäng som Defender for Cloud Apps ger varje användare för att informera dig om hur riskabel användaren är i förhållande till andra användare i din organisation. Använd prioritetspoängen för undersökning för att avgöra vilka användare som ska undersöka först, identifiera både skadliga insiders och externa angripare som rör sig i taget i dina organisationer, utan att behöva förlita sig på deterministiska standardidentifieringar.

Varje Microsoft Entra användare har en dynamisk undersökningsprioritetspoäng, som ständigt uppdateras baserat på det senaste beteendet och påverkan som skapats av data som utvärderats från Defender för identitet och Defender for Cloud Apps.

Defender for Cloud Apps skapar användarprofiler för varje användare, baserat på analyser som beaktar säkerhetsaviseringar och onormala aktiviteter över tid, peer-grupper, förväntad användaraktivitet och vilken effekt en specifik användare kan ha på företagets tillgångar.

Aktivitet som är avvikande till en användares baslinje utvärderas och poängsätts. När bedömning är klar körs Microsofts egenutvecklade dynamiska peer-beräkningar och maskininlärning på användaraktiviteterna för att beräkna undersökningsprioriteten för varje användare.

Förstå vilka de mest riskfyllda användarna är direkt genom att filtrera efter prioritetspoäng för undersökning, direkt verifiera varje användares affärspåverkan och undersöka alla relaterade aktiviteter – oavsett om de komprometteras, exfiltraterar data eller fungerar som insiderhot.

Defender for Cloud Apps använder följande för att mäta risker:

  • Aviseringsbedömning: Aviseringspoängen representerar den potentiella effekten av en specifik avisering för varje användare. Aviseringsbedömning baseras på allvarlighetsgrad, användarpåverkan, aviseringspopularitet för användare och alla entiteter i organisationen.

  • Aktivitetsbedömning: Aktivitetspoängen avgör sannolikheten för att en specifik användare utför en viss aktivitet, baserat på beteendeinlärning för användaren och deras kollegor. Aktiviteter som identifieras som de mest onormala får de högsta poängen.

Välj undersökningsprioritetspoängen för en avisering eller en aktivitet för att visa de bevis som förklarar hur Defender for Cloud Apps poängsatte aktiviteten.

Obs!

Vi drar gradvis tillbaka aviseringen om ökning av undersökningsprioritetspoäng från Microsoft Defender for Cloud Apps i augusti 2024. Prioritetspoängen för undersökningen och proceduren som beskrivs i den här artikeln påverkas inte av den här ändringen.

Mer information finns i Tidslinje för utfasning av utfasning av undersökningsprioritetspoäng.

Fas 1: Anslut till de appar som du vill skydda

Anslut minst en app till Microsoft Defender for Cloud Apps med hjälp av API-anslutningsapparna. Vi rekommenderar att du börjar med att ansluta Microsoft 365.

Microsoft Entra ID appar registreras automatiskt för appkontroll för villkorsstyrd åtkomst.

Fas 2: Identifiera de mest riskfyllda användarna

Så här identifierar du vilka dina mest riskfyllda användare är i Defender for Cloud Apps:

  1. I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter. Sortera tabellen efter undersökningsprioritet. En i taget går du till användarens sida för att undersöka dem.
    Undersökningsprioritetsnumret, som hittades bredvid användarnamnet, är en summa av alla användarens riskfyllda aktiviteter under den senaste veckan.

    Skärmbild av instrumentpanelen För de främsta användarna.

  2. Välj de tre punkterna till höger om användaren och välj Sidan Visa användare.

    Skärmbild av en sida med användarinformation.

  3. Granska informationen på sidan med användarinformation för att få en översikt över användaren och se om det finns punkter där användaren utförde aktiviteter som var ovanliga för användaren eller som utfördes vid en ovanlig tidpunkt.

    Användarens poäng jämfört med organisationen representerar vilken percentil användaren befinner sig i baserat på deras rangordning i din organisation – hur högt de står på listan över användare som du bör undersöka, i förhållande till andra användare i din organisation. Talet är rött om en användare befinner sig i eller över den 90:e percentilen av riskfyllda användare i organisationen.

Sidan med användarinformation hjälper dig att besvara följande frågor:

Fråga Information
Vem är användaren? Leta efter grundläggande information om användaren och vad systemet vet om dem, inklusive användarens roll i ditt företag och deras avdelning.

Är användaren till exempel en DevOps-tekniker som ofta utför ovanliga aktiviteter som en del av sitt jobb? Eller är användaren en missnöjd anställd som just har skickats över för en befordran?
Är användaren riskabel? Vad är medarbetarens riskpoäng och är det värt att undersöka dem?
Vad är en risk för din organisation? Rulla ned för att undersöka varje aktivitet och avisering som är relaterad till användaren för att börja förstå vilken typ av risk användaren representerar.

I tidslinjen väljer du varje rad för att öka detaljnivån i själva aktiviteten eller aviseringen. Välj talet bredvid aktiviteten så att du kan förstå de bevis som påverkade själva poängen.
Vad är risken för andra tillgångar i din organisation? Välj fliken Laterala förflyttningsvägar för att förstå vilka vägar en angripare kan använda för att få kontroll över andra tillgångar i din organisation.

Även om den användare som du undersöker till exempel har ett meningslöst konto kan en angripare använda anslutningar till kontot för att identifiera och försöka kompromettera känsliga konton i nätverket.

Mer information finns i Använda laterala rörelsevägar.

Obs!

Sidorna med användarinformation innehåller information om enheter, resurser och konton för alla aktiviteter, men prioriteringspoängen för undersökningen innehåller summan av alla riskfyllda aktiviteter och aviseringar under de senaste 7 dagarna.

Återställa användarpoäng

Om användaren undersöktes och ingen misstanke om intrång hittades, eller om du vill återställa användarens undersökningsprioritetspoäng av någon annan anledning, så manuellt enligt följande:

  1. I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter.

  2. Välj de tre punkterna till höger om den undersökta användaren och välj sedan Återställ prioritetspoäng för undersökning. Du kan också välja Visa användarsida och sedan välja Återställ undersökningsprioritetspoäng från de tre punkterna på sidan med användarinformation.

    Obs!

    Endast användare med en undersökningsprioritetspoäng som inte är noll kan återställas.

    Skärmbild av länken Återställ prioritetspoäng för undersökning.

  3. I bekräftelsefönstret väljer du Återställ poäng.

    Skärmbild av knappen Återställ poäng.

Fas 3: Ytterligare undersöka användare

Vissa aktiviteter kanske inte kan orsaka larm på egen hand, men kan vara en indikation på en misstänkt händelse när den aggregeras med andra aktiviteter.

När du undersöker en användare vill du ställa följande frågor om de aktiviteter och aviseringar som visas:

  • Finns det någon affärsmotivering för den här medarbetaren att utföra dessa aktiviteter? Om någon från marknadsföring till exempel har åtkomst till kodbasen, eller om någon från utveckling kommer åt ekonomidatabasen, bör du följa upp med medarbetaren för att se till att detta var en avsiktlig och motiverad aktivitet.

  • Varför fick den här aktiviteten höga poäng medan andra inte gjorde det? Gå till aktivitetsloggen och ange Undersökningsprioritet till Har angetts för att förstå vilka aktiviteter som är misstänkta.

    Du kan till exempel filtrera baserat på undersökningsprioritet för alla aktiviteter som har inträffat i ett visst geografiskt område. Sedan kan du se om det fanns andra aktiviteter som var riskfyllda, där användaren anslöt från, och du kan enkelt pivotera till andra detaljgranskningar, till exempel de senaste icke-anomala molnaktiviteterna och lokala aktiviteter, för att fortsätta undersökningen.

Fas 4: Skydda din organisation

Om din undersökning leder dig till slutsatsen att en användare har komprometterats kan du använda följande steg för att minska risken.

  • Kontakta användaren – Med hjälp av användarkontaktinformationen som är integrerad med Defender for Cloud Apps från Active Directory kan du öka detaljnivån för varje avisering och aktivitet för att lösa användaridentiteten. Kontrollera att användaren är bekant med aktiviteterna.

  • Direkt från Microsoft Defender-portalen går du till sidan Identiteter, väljer de tre punkterna av den undersökta användaren och väljer om användaren ska behöva logga in igen, pausa användaren eller bekräfta att användaren har komprometterats.

  • När det gäller en komprometterad identitet kan du be användaren att återställa sitt lösenord och se till att lösenordet uppfyller riktlinjerna för bästa praxis för längd och komplexitet.

  • Om du ökar detaljnivån i en avisering och fastställer att aktiviteten inte borde ha utlöst en avisering går du till aktivitetslådan och väljer länken Skicka feedback till oss så att vi kan vara säkra på att finjustera vårt aviseringssystem med din organisation i åtanke.

  • När du har åtgärdat problemet stänger du aviseringen.

Se även

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.