教程:调查有风险的用户

安全运营团队面临挑战,即使用多个通常未连接的安全解决方案,跨标识攻击面的所有维度监视用户活动(可疑或其他)。 虽然许多公司现在都有搜寻团队来主动识别环境中的威胁,但要了解在大量数据中查找的内容可能是一项挑战。 Microsoft Defender for Cloud Apps无需创建复杂的关联规则,并允许查找跨云和本地网络的攻击。

为了帮助你专注于用户标识,Microsoft Defender for Cloud Apps在云中提供用户实体行为分析 (UEBA) 。 可以通过与 Microsoft Defender for Identity 集成来将 UEBA 扩展到本地环境,之后,还可以从用户标识与 Active Directory 的本机集成中获取上下文。

无论触发器是在Defender for Cloud Apps 仪表板中看到的警报,还是是否具有来自第三方安全服务的信息,请从Defender for Cloud Apps 仪表板开始调查,深入了解有风险的用户。

本教程介绍如何使用Defender for Cloud Apps调查有风险的用户:

了解调查优先级分数

调查优先级分数是Defender for Cloud Apps提供给每个用户的分数,以告知用户相对于组织中的其他用户的风险程度。 使用调查优先级分数来确定首先调查哪些用户,检测恶意内部成员和外部攻击者在组织中横向移动,而无需依赖标准确定性检测。

每个Microsoft Entra用户都有一个动态调查优先级分数,该分数会根据从 Defender for Identity 和 Defender for Cloud Apps 评估的数据生成的最新行为和影响不断更新。

Defender for Cloud Apps基于分析为每个用户生成用户配置文件,这些分析会考虑一段时间内的安全警报和异常活动、对等组、预期的用户活动,以及任何特定用户可能对业务或公司资产产生的影响。

对用户基线异常的活动进行评估和评分。 评分完成后,Microsoft的专有动态对等计算和机器学习对用户活动运行,以计算每个用户的调查优先级。

通过根据 调查优先级分数进行筛选、直接验证每个用户的业务影响以及调查所有相关活动(无论是泄露数据、泄露数据还是充当内部威胁),立即了解真正风险最高的用户是谁。

Defender for Cloud Apps使用以下项来衡量风险:

  • 警报评分:警报分数表示特定警报对每个用户的潜在影响。 警报评分基于严重性、用户影响、警报在用户中的受欢迎程度以及组织中的所有实体。

  • 活动评分:活动分数根据用户及其对等人的行为学习确定特定用户执行特定活动的概率。 被标识为最异常的活动获得最高分数。

为警报或活动选择调查优先级分数,以查看说明Defender for Cloud Apps如何对活动评分的证据。

注意

到 2024 年 8 月,我们将逐渐从Microsoft Defender for Cloud Apps停用调查优先级分数增加警报。 此更改不会影响调查优先级分数和本文中所述的过程。

有关详细信息,请参阅调查优先级分数增加弃用时间线

阶段 1:连接到要保护的应用

使用 API 连接器将至少一个应用连接到Microsoft Defender for Cloud Apps。 建议首先连接 Microsoft 365

Microsoft Entra ID应用会自动加入条件访问应用控制。

阶段 2:确定风险最高的用户

若要确定风险最高的用户Defender for Cloud Apps:

  1. 在Microsoft Defender门户中的“资产”下,选择“标识”。 按 调查优先级对表进行排序。 然后逐个转到其用户页面进行调查。
    在用户名旁边找到 的调查优先级编号是上周所有用户风险活动的总和。

    “热门用户”仪表板的屏幕截图。

  2. 选择用户右侧的三个点,然后选择“ 查看用户”页

    用户详细信息页的屏幕截图。

  3. 查看用户详细信息页中的信息以获取用户的概述,并查看用户是否在某个点执行了对该用户而言异常的活动或在非正常时间执行的活动。

    与组织相比,用户分数表示用户基于其在组织中的排名(相对于组织中的其他用户)在应调查的用户列表中处于多少百分位。 如果用户在组织中风险用户的第 90 个百分点或更高,则数字为红色。

用户详细信息页可帮助你回答以下问题:

问题 详细信息
谁是用户? 查找有关用户的基本详细信息以及系统对其了解的内容,包括用户在你的公司及其部门中的角色。

例如,用户是否是经常在工作中执行异常活动的 DevOps 工程师? 或者用户是刚刚因晋升而离职的不满员工?
用户有风险吗? 员工 的风险评分是多少,在调查他们时值得你吗?
用户对组织存在哪些风险? 向下滚动以调查与用户相关的每个活动和警报,以开始了解用户表示的风险类型。

在时间线中,选择每一行以更深入地钻取到活动或警报本身。 选择活动旁边的数字,以便了解影响分数本身的证据。
组织中其他资产的风险是什么? 选择 “横向移动路径 ”选项卡,了解攻击者可以使用哪些路径来控制组织中的其他资产。

例如,即使正在调查的用户具有非敏感帐户,攻击者也可以使用与该帐户的连接来发现并尝试入侵网络中敏感帐户。

有关详细信息,请参阅 使用横向移动路径

注意

虽然用户详细信息页为所有活动提供设备、资源和帐户的信息,但调查优先级分数包括过去 7 天内所有风险活动和警报 的总 和。

重置用户分数

如果对用户进行了调查,但未发现任何入侵的嫌疑,或者出于任何其他原因想要重置用户的调查优先级分数,请手动操作,如下所示:

  1. 在Microsoft Defender门户中的“资产”下,选择“标识”。

  2. 选择调查用户右侧的三个点,然后选择“ 重置调查优先级分数”。 还可以选择“ 查看用户页 ”,然后从用户详细信息页的三个点中选择 “重置调查优先级分数 ”。

    注意

    只能重置具有非零调查优先级分数的用户。

    “重置调查优先级分数”链接的屏幕截图。

  3. 在确认窗口中,选择“ 重置分数”。

    “重置分数”按钮的屏幕截图。

阶段 3:进一步调查用户

某些活动本身可能不会引起警报,但在与其他活动聚合时,可能会指示可疑事件。

调查用户时,需要询问有关所见活动和警报的以下问题:

  • 此员工是否有业务理由执行这些活动? 例如,如果市场营销人员访问代码库,或开发人员访问财务数据库,则应跟进员工,以确保这是有意且合理的活动。

  • 为什么此活动获得高分,而其他人则没有? 转到 “活动日志 ”,并将 “调查优先级 ”设置为“ 已设置 ”,以了解哪些活动可疑。

    例如,可以根据特定地理区域中发生的所有活动的 调查优先级 进行筛选。 然后,可以查看是否存在其他有风险的活动(用户从何处连接),并且可以轻松转向其他向下钻取,例如最近的非恶意云和本地活动,以继续调查。

阶段 4:保护组织

如果调查得出用户已泄露的结论,请使用以下步骤来缓解风险。

  • 联系用户 – 使用与 Active Directory 中的Defender for Cloud Apps集成的用户联系信息,可以向下钻取每个警报和活动,以解析用户标识。 确保用户熟悉活动。

  • 直接从Microsoft Defender门户的“标识”页中,选择被调查用户的三个点,然后选择是要求用户再次登录、暂停用户还是确认用户已遭入侵。

  • 如果标识遭到入侵,可以要求用户重置其密码,确保密码符合有关长度和复杂性的最佳做法准则。

  • 如果向下钻取到警报并确定活动不应触发警报,请在 活动抽屉中选择“ 向我们发送反馈 ”链接,以便我们可以确保根据你的组织来微调警报系统。

  • 修正问题后,关闭警报。

另请参阅

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证