Självstudie: Undersöka riskfyllda användare
Säkerhetsteamen uppmanas att övervaka användaraktivitet, misstänkt eller på annat sätt, i alla dimensioner av identitetsattackytan, med hjälp av flera säkerhetslösningar som ofta inte är anslutna. Även om många företag nu har jaktteam för att proaktivt identifiera hot i sina miljöer, kan det vara en utmaning att veta vad de ska leta efter över den stora mängden data. Microsoft Defender för Cloud Apps tar bort behovet av att skapa komplexa korrelationsregler och gör att du kan söka efter attacker som sträcker sig över molnet och det lokala nätverket.
För att hjälpa dig att fokusera på användaridentitet tillhandahåller Microsoft Defender för Cloud Apps användarentitetsbeteendeanalys (UEBA) i molnet. UEBA kan utökas till din lokala miljö genom att integrera med Microsoft Defender za identitet, varefter du också får kontext kring användaridentitet från den interna integreringen med Active Directory.
Oavsett om utlösaren är en avisering som visas på instrumentpanelen för Defender för molnappar eller om du har information från en säkerhetstjänst från tredje part kan du starta din undersökning från instrumentpanelen Defender för Cloud Apps för att fördjupa dig i riskfyllda användare.
I den här självstudien får du lära dig hur du använder Defender för Molnappar för att undersöka riskfyllda användare:
Förstå prioritetspoängen för undersökning
Prioritetspoängen för undersökning är en poäng som Defender for Cloud Apps ger varje användare för att informera dig om hur riskabel användaren är i förhållande till andra användare i din organisation. Använd prioritetspoängen för undersökning för att avgöra vilka användare som ska undersöka först, identifiera både skadliga insiders och externa angripare som rör sig i sidled i dina organisationer, utan att behöva förlita sig på vanliga deterministiska identifieringar.
Varje Microsoft Entra-användare har en prioritetspoäng för dynamisk undersökning, som ständigt uppdateras baserat på det senaste beteendet och påverkan som skapats av data som utvärderats från Defender för identitet och Defender för Cloud Apps.
Defender för Cloud Apps skapar användarprofiler för varje användare, baserat på analys som beaktar säkerhetsaviseringar och onormala aktiviteter över tid, peer-grupper, förväntad användaraktivitet och vilken effekt en specifik användare kan ha på företagets tillgångar.
Aktivitet som är avvikande till en användares baslinje utvärderas och poängsätts. När poängsättningen är klar körs Microsofts proprietära dynamiska peer-beräkningar och maskininlärning på användaraktiviteterna för att beräkna undersökningsprioriteten för varje användare.
Förstå vilka de verkligt mest riskfyllda användarna är direkt genom att filtrera efter prioritetspoäng för undersökning, direkt verifiera varje användares affärspåverkan och undersöka alla relaterade aktiviteter – oavsett om de komprometteras, exfiltrering av data eller fungerar som insiderhot.
Defender för Cloud Apps använder följande för att mäta risker:
Aviseringsbedömning: Aviseringspoängen representerar den potentiella effekten av en specifik avisering för varje användare. Aviseringsbedömning baseras på allvarlighetsgrad, användarpåverkan, aviseringspopularitet för användare och alla entiteter i organisationen.
Aktivitetsbedömning: Aktivitetspoängen avgör sannolikheten för att en specifik användare utför en specifik aktivitet, baserat på beteendeinlärning av användaren och deras kamrater. Aktiviteter som identifieras som de mest onormala får de högsta poängen.
Välj undersökningsprioritetspoängen för en avisering eller en aktivitet för att visa de bevis som förklarar hur Defender för Cloud Apps poängsatte aktiviteten.
Kommentar
Vi drar gradvis tillbaka aviseringen Om prioritetspoäng för undersökning från Microsoft Defender för molnappar i augusti 2024. Prioritetspoängen för undersökningen och proceduren som beskrivs i den här artikeln påverkas inte av den här ändringen.
Mer information finns i Tidslinje för utfasning av utfasning av undersökningsprioritetspoäng.
Fas 1: Anslut till de appar som du vill skydda
Anslut minst en app till Microsoft Defender för Molnappar med hjälp av API-anslutningsapparna. Vi rekommenderar att du börjar med att ansluta Microsoft 365.
Microsoft Entra ID-appar registreras automatiskt för appkontroll för villkorsstyrd åtkomst.
Fas 2: Identifiera de mest riskfyllda användarna
Så här identifierar du vilka dina mest riskfyllda användare är i Defender för Cloud Apps:
I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter. Sortera tabellen efter undersökningsprioritet. En efter en går du till användarens sida för att undersöka dem.
Undersökningsprioritetsnumret, som hittades bredvid användarnamnet, är en summa av alla användarens riskfyllda aktiviteter under den senaste veckan.Välj de tre punkterna till höger om användaren och välj Sidan Visa användare.
Granska informationen på sidan med användarinformation för att få en översikt över användaren och se om det finns punkter där användaren utförde aktiviteter som var ovanliga för användaren eller utfördes vid en ovanlig tidpunkt.
Användarens poäng jämfört med organisationen representerar vilken percentil användaren befinner sig i baserat på deras rangordning i din organisation – hur högt de står på listan över användare som du bör undersöka i förhållande till andra användare i din organisation. Talet är rött om en användare är i eller över den 90:e percentilen av riskfyllda användare i organisationen.
Sidan med användarinformation hjälper dig att besvara följande frågor:
Fråga | Details |
---|---|
Vem är användaren? | Leta efter grundläggande information om användaren och vad systemet vet om dem, inklusive användarens roll i ditt företag och deras avdelning. Är användaren till exempel en DevOps-tekniker som ofta utför ovanliga aktiviteter som en del av sitt jobb? Eller är användaren en missnöjd anställd som just har skickats över för en befordran? |
Är användaren riskabel? | Vad är medarbetarens riskpoäng och är det värt att undersöka dem? |
Vad är risken för att användaren presenterar för din organisation? | Rulla ned för att undersöka varje aktivitet och avisering som är relaterad till användaren för att börja förstå vilken typ av risk användaren representerar. I tidslinjen väljer du varje rad för att öka detaljnivån i själva aktiviteten eller aviseringen. Välj talet bredvid aktiviteten så att du kan förstå de bevis som påverkade själva poängen. |
Vad är risken för andra tillgångar i din organisation? | Välj fliken Laterala förflyttningsvägar för att förstå vilka vägar en angripare kan använda för att få kontroll över andra tillgångar i organisationen. Även om den användare som du undersöker till exempel har ett meningslöst konto kan en angripare använda anslutningar till kontot för att identifiera och försöka kompromettera känsliga konton i nätverket. Mer information finns i Använda laterala rörelsevägar. |
Kommentar
Användarinformationssidor ger information för enheter, resurser och konton för alla aktiviteter, men prioritetspoängen för undersökning innehåller summan av alla riskfyllda aktiviteter och aviseringar under de senaste 7 dagarna.
Återställ användarpoäng
Om användaren undersöktes och ingen misstanke om intrång hittades, eller om du vill återställa användarens prioritetspoäng för undersökningen av någon annan anledning, så manuellt enligt följande:
I Microsoft Defender-portalen går du till Tillgångar och väljer Identiteter.
Välj de tre punkterna till höger om den undersökta användaren och välj sedan Återställ prioritetspoäng för undersökning. Du kan också välja Visa användarsida och sedan välja Återställ prioritetspoäng för undersökning från de tre punkterna på sidan med användarinformation.
Kommentar
Endast användare med en undersökningsprioritetspoäng som inte är noll kan återställas.
I bekräftelsefönstret väljer du Återställ poäng.
Fas 3: Undersöka användare ytterligare
Vissa aktiviteter kan inte orsaka oro på egen hand, men kan vara en indikation på en misstänkt händelse när den sammanställs med andra aktiviteter.
När du undersöker en användare vill du ställa följande frågor om de aktiviteter och aviseringar som du ser:
Finns det en affärsmotivering för den här medarbetaren att utföra dessa aktiviteter? Om någon från marknadsföring till exempel har åtkomst till kodbasen, eller om någon från utveckling kommer åt ekonomidatabasen, bör du följa upp med medarbetaren för att se till att detta var en avsiktlig och motiverad aktivitet.
Varför fick den här aktiviteten höga poäng medan andra inte gjorde det? Gå till aktivitetsloggen och ange Prioritet för undersökning till Är inställd för att förstå vilka aktiviteter som är misstänkta.
Du kan till exempel filtrera baserat på undersökningsprioritet för alla aktiviteter som har inträffat i ett visst geografiskt område. Sedan kan du se om det fanns andra aktiviteter som var riskfyllda, där användaren anslöt från, och du kan enkelt pivotera till andra detaljnivå, till exempel de senaste icke-anomala molnaktiviteterna och lokala aktiviteter, för att fortsätta undersökningen.
Fas 4: Skydda din organisation
Om din undersökning leder dig till slutsatsen att en användare har komprometterats använder du följande steg för att minska risken.
Kontakta användaren – Med hjälp av användarkontaktinformationen som är integrerad med Defender for Cloud Apps från Active Directory kan du öka detaljnivån för varje avisering och aktivitet för att lösa användaridentiteten. Kontrollera att användaren är bekant med aktiviteterna.
Direkt från Microsoft Defender-portalen går du till sidan Identiteter och väljer de tre punkterna av den undersökta användaren och väljer om användaren ska behöva logga in igen, stänga av användaren eller bekräfta att användaren är komprometterad.
När det gäller en komprometterad identitet kan du be användaren att återställa sitt lösenord och se till att lösenordet uppfyller riktlinjerna för bästa praxis för längd och komplexitet.
Om du ökar detaljnivån i en avisering och fastställer att aktiviteten inte ska ha utlöst en avisering väljer du länken Skicka feedback i aktivitetslådan så att vi kan finjustera vårt aviseringssystem med din organisation i åtanke.
När du har åtgärdat problemet stänger du aviseringen.
Se även
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.