教學課程:調查有風險的使用者
安全性作業小組會使用多個通常未連線的安全性解決方案,來挑戰監視用戶活動、可疑或跨身分識別攻擊面的所有維度。 雖然許多公司現在都有搜捕小組主動識別其環境中的威脅,但知道在大量數據中尋找什麼可能是一項挑戰。 適用於雲端的 Microsoft Defender 應用程式不需要建立複雜的相互關聯規則,並可讓您尋找跨越雲端和內部部署網路的攻擊。
為了協助您專注於使用者身分識別,適用於雲端的 Microsoft Defender Apps 會在雲端中提供使用者實體行為分析 (UEBA)。 UEBA 可以藉由與 適用於身分識別的 Microsoft Defender 整合來擴充至內部部署環境,之後您也會從與 Active Directory 的原生整合中取得使用者身分識別的內容。
無論您的觸發程式是您在 適用於雲端的 Defender Apps 儀錶板中看到的警示,還是您有來自第三方安全性服務的資訊,請從 適用於雲端的 Defender Apps 儀錶板開始調查,以深入探討有風險的使用者。
在本教學課程中,您將瞭解如何使用 適用於雲端的 Defender Apps 來調查有風險的使用者:
了解調查優先順序分數
調查優先順序分數是一個分數,適用於雲端的 Defender 應用程式提供給每個使用者,讓您知道使用者與組織中的其他用戶的風險。 使用調查優先順序分數來判斷要先調查哪些使用者,偵測惡意內部人員,以及外部攻擊者在組織中橫向移動,而不需要依賴標準確定性偵測。
每個Microsoft Entra 使用者都有動態調查優先順序分數,這會根據最近的行為和從適用於身分識別的Defender和 適用於雲端的 Defender Apps評估的數據所產生的影響,持續更新。
適用於雲端的 Defender Apps 會根據分析來建置每個使用者的使用者配置檔,這些分析會考慮一段時間內的安全性警示和異常活動、對等群組、預期的用戶活動,以及任何特定使用者可能對企業或公司資產產生的影響。
會評估並評分使用者基準異常的活動。 評分完成後,Microsoft專屬的動態對等計算和機器學習會在用戶活動上執行,以計算每個使用者的調查優先順序。
根據調查優先順序分數進行篩選、直接驗證每位使用者的業務影響,以及調查所有相關活動,瞭解哪些使用者是立即面臨風險最高的使用者,無論是遭到入侵、外泄數據,還是作為內部威脅。
適用於雲端的 Defender Apps 會使用下列項目來測量風險:
警示評分:警示分數代表特定警示對每個用戶的潛在影響。 警示評分是以嚴重性、用戶影響、整個用戶和組織中所有實體的警示受歡迎程度為基礎。
活動評分:活動分數會根據使用者及其對等的行為學習,決定特定使用者執行特定活動的機率。 識別為最異常的活動會收到最高分數。
選取警示或活動的調查優先順序分數,以檢視說明 適用於雲端的 Defender 應用程式如何評分活動的證據。
注意
我們會在 2024 年 8 月前逐漸淘汰調查優先順序分數,從 適用於雲端的 Microsoft Defender Apps 增加警示。 本文所述的調查優先順序分數和程式不會受到這項變更的影響。
如需詳細資訊,請參閱 調查優先順序分數增加取代時程表。
階段 1:連線到您想要保護的應用程式
使用 API 連接器將至少一個應用程式連線到 適用於雲端的 Microsoft Defender 應用程式。 建議您從連線 Microsoft 365 開始。
Microsoft Entra ID 應用程式會自動上線,以進行條件式存取應用程控。
階段 2:識別具風險最高的使用者
若要識別您最有風險的使用者在 適用於雲端的 Defender Apps 中:
在 Microsoft Defender 入口網站的 [資產] 底下,選取 [身分識別]。 依 調查優先順序排序數據表。 然後逐一移至其用戶頁面以調查他們。
在 使用者名稱旁邊找到的調查優先順序號碼,是過去一周所有用戶風險活動的總和。
選取使用者右邊的三個點,然後選擇 [ 檢視使用者] 頁面。
檢閱使用者詳細數據頁面中的資訊,以取得使用者的概觀,並查看使用者是否有某個點執行該用戶異常的活動,或是在不尋常的時間執行。
與 組織 相比,使用者的分數代表使用者根據組織中的排名來表示該使用者的百分位數-相對於貴組織中的其他使用者,他們在使用者清單中應調查的頻率。 如果使用者位在組織中或超過第90個有風險的使用者百分位數,則數位為紅色。
使用者詳細數據頁面可協助您回答下列問題:
| 詢問問題 | 詳細資料 |
|---|---|
| 用戶是誰? | 尋找使用者的基本詳細數據,以及系統對其了解的內容,包括使用者在您公司及其部門中的角色。 例如,DevOps 工程師是否經常在其工作中執行不尋常的活動? 還是使用者是剛被傳給晉陞的不滿員工? |
| 用戶有風險嗎? | 員工 的風險分數為何,在調查風險分數時是否值得您? |
| 使用者向貴組織呈現的風險為何? | 向下卷動以調查與使用者相關的每個活動和警示,以開始了解使用者代表的風險類型。 在時間軸中,選取每一行以深入鑽研活動或警示本身。 選取活動旁的數位,讓您可以了解影響分數本身的辨識項。 |
| 貴組織中其他資產的風險為何? | 選取 [ 橫向動作路徑 ] 索引標籤,以了解攻擊者可用來控制組織中其他資產的路徑。 例如,即使您正在調查的使用者有不區分的帳戶,攻擊者也可以使用帳戶的連線來探索並嘗試入侵您網路中敏感性帳戶。 如需詳細資訊,請參閱 使用橫向動作路徑。 |
注意
雖然使用者詳細數據頁面會為所有活動提供裝置、資源和帳戶的資訊,但調查優先順序分數包含 過去 7 天內所有具風險的活動和警示的總 和。
重設用戶分數
如果使用者已調查且未發現任何入侵的嫌疑,或您想要基於任何其他原因重設使用者的調查優先順序分數,請手動執行如下:
在 Microsoft Defender 入口網站的 [資產] 底下,選取 [身分識別]。
選取調查使用者右邊的三個點,然後選取 [ 重設調查優先順序分數]。 您也可以選取 [ 檢視用戶頁面 ],然後從使用者詳細數據頁面中的三個點選取 [重設調查優先順序分數 ]。
注意
只有具有非零調查優先順序分數的使用者才能重設。
在確認視窗中,選取 [ 重設分數]。
![[重設分數] 按鈕的螢幕快照。](media/reset-score.png)
階段 3:進一步調查使用者
某些活動可能不是自行發出警示的原因,但可能是與其他活動匯總時可疑事件的指示。
當您調查使用者時,您想要詢問下列有關您看到的活動和警示的問題:
此員工是否有執行這些活動的商業理由? 例如,如果營銷人員正在存取程式代碼基底,或來自開發的人員存取財務資料庫,您應該跟著員工進行後續操作,以確保這是刻意且合理的活動。
為什麼此活動收到高分,而其他人則沒有? 移至 [活動記錄],並將 [調查優先順序] 設定為 [已設定] 以瞭解哪些活動可疑。
例如,您可以根據 特定地理區域中發生之所有活動的 [調查優先順序 ] 進行篩選。 然後,您可以看到是否有其他活動有風險,使用者從何處連線,而且您可以輕鬆地樞紐至其他向下切入,例如最近的非惡意雲端和內部部署活動,以繼續調查。
階段 4:保護您的組織
如果您的調查導致使用者遭入侵的結論,請使用下列步驟來降低風險。
連絡使用者 – 使用與 Active Directory 適用於雲端的 Defender Apps 整合的使用者連絡資訊,您可以向下切入至每個警示和活動,以解決使用者身分識別。 請確定使用者熟悉活動。
直接從 Microsoft Defender 入口網站的 [身分識別] 頁面中,依調查的用戶選取三個點,然後選擇是否要求使用者再次登入、暫停使用者,或確認使用者遭到入侵。
在遭入侵的身分識別案例中,您可以要求使用者重設其密碼,確定密碼符合長度和複雜度的最佳作法指導方針。
如果您向下切入到警示,並判斷活動不應該觸發警示,請在 [活動選單] 中選取 [傳送意見 反應] 連結,以確保我們務必將警示系統微調到您的組織。
補救問題之後,請關閉警示。
另請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。