Kurz: Vyšetřování incidentů s daty UEBA
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tento článek popisuje běžné metody a ukázkové postupy pro používání analýzy chování entit uživatelů (UEBA) v běžných pracovních postupech šetření.
Důležité
Funkce uvedené v tomto článku jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.
Poznámka
Tento kurz obsahuje postupy založené na scénáři pro hlavní úkol zákazníka: zkoumání s daty UEBA. Další informace najdete v tématu Vyšetřování incidentů pomocí služby Microsoft Sentinel.
Požadavky
Než budete moci při vyšetřování používat data UEBA, musíte ve službě Microsoft Sentinel povolit analýzu chování uživatelů a entit (UEBA).
Začněte hledat přehledy na základě počítače přibližně týden po povolení UEBA.
Spuštění proaktivního rutinního vyhledávání v datech entity
Doporučujeme pravidelně proaktivní vyhledávání prostřednictvím aktivity uživatelů, aby bylo možné vytvořit potenciální zákazníky k dalšímu šetření.
Pomocí sešitu Microsoft Sentinel User and Entity Behavior Analytics můžete dotazovat data, například pro:
- Nejorizkovaní uživatelé s anomáliemi nebo připojenými incidenty
- Data o konkrétních uživatelích, která určují, jestli skutečně došlo k ohrožení bezpečnosti subjektu, nebo jestli existuje vnitřní hrozba z důvodu akce, která se odchyluje od profilu uživatele.
Kromě toho zachyťte v sešitu UEBA jiné než rutinní akce a použijte je k nalezení neobvyklé aktivity a potenciálně i nedodržování předpisů.
Prošetření neobvyklého přihlášení
Následující postup například sleduje šetření uživatele, který se připojil k síti VPN, kterou nikdy předtím nepoužíl, což je anomádní aktivita.
V oblasti Sešity služby Sentinel vyhledejte a otevřete sešit Analýzy chování uživatelů a entit.
Vyhledejte konkrétní uživatelské jméno, které chcete prozkoumat, a vyberte jeho jméno v tabulce Top users to investigate (Nejlepší uživatelé k prozkoumání).
Posuňte se dolů v tabulkách Rozpis incidentů a Rozpis anomálií a zobrazte incidenty a anomálie přidružené k vybranému uživateli.
V anomálii, jako je například anomálie s názvem Neobvyklé úspěšné přihlášení, zkontrolujte podrobnosti uvedené v tabulce, která se má prozkoumat. Například:
Krok Description Všimněte si popisu na pravé straně. Každá anomálie má popis s odkazem na další informace ve znalostní bázi MITRE ATT&CK.
Například:
Počáteční přístup _ _The se pokouší dostat do vaší ***
sítě.*
* Počáteční přístup se skládá z technik, které používají různé vstupní vektory k získání počátečního výchozího umístění v síti. Mezi techniky používané k získání výchozího místa patří cílený spear phishing a zneužití slabých míst na veřejných webových serverech. Výchozí hodnoty získané prostřednictvím počátečního přístupu mohou umožnovat trvalý přístup, jako jsou platné účty a používání externích vzdálených služeb, nebo mohou být kvůli změně hesel omezeny.*Poznamenejte si text ve sloupci Popis. V řádku anomálií se posuňte doprava, abyste si prohlédněte další popis. Výběrem odkazu zobrazíte celý text. Například:
Adversaries may steal the credentials of a specific user or service account using Credential Access techniques or capture credentials earlier in their reconnaissance process through social engineering for means of gaining Initial Access. Apt33 například používá platné účty pro počáteční přístup. Následující dotaz vygeneruje výstup úspěšného přihlášení provedeného uživatelem z nové geografické lokality, ze které se nikdy předtím ne připojil, a žádného ze svých partnerských zařízení.Poznamenejte si data UsersInsights. Posuňte se na řádku anomálií doprava a zobrazte data přehledu uživatele, jako je zobrazovaný název účtu a ID objektu účtu. Výběrem textu zobrazíte na pravé straně úplná data. Poznamenejte si data důkazu. Posuňte se na řádku anomálií doprava a zobrazte data důkazů anomálií. Vyberte na pravé straně textová zobrazení úplných dat, například následující pole:
- ActionUncommonlyPerformedByUser
- UncommonHighVolumeOfActions
- FirstTimeUserConnectedFromCountry
- CountryUncommonlyConnectedFromAmongPeers
- FirstTimeUserConnectedViaISP
- IsPUncommonlyUsedAmongPeers
- CountryUncommonlyConnectedFromInTenant
- IsPUncommonlyUsedInTenant
Pomocí dat v sešitu Analýzy chování uživatelů a entit můžete určit, jestli je aktivita uživatele podezřelá, a vyžaduje další akci.
Použití dat UEBA k analýze falešně pozitivních výsledků
V některých případech je incident zachycený při vyšetřování falešně pozitivní.
Běžným příkladem falešně pozitivního výsledku je zjištění nemožné cestovní aktivity, například uživatel, který se do jedné hodiny přihlásil k aplikaci nebo portálu z New Yorku i Londýna. I když Microsoft Sentinel upozorňuje na nemožnou cestu jako anomálii, při vyšetřování uživatele se může objasnit, že se síť VPN použila s alternativním umístěním, kde se uživatel skutečně nachází.
Analýza falešně pozitivního výsledku
Například u incidentu Neuskutečnitelná cesta po potvrzení uživatele, že se použila síť VPN, přejděte z incidentu na stránku entity uživatele. Pomocí zde zobrazených dat určete, jestli jsou zachycená umístění zahrnutá v běžně známých umístěních uživatele.
Například:
Stránka entity uživatele je také propojená ze samotné stránky incidentu a grafu šetření.
Tip
Po potvrzení dat na stránce entity uživatele pro konkrétního uživatele přidruženého k incidentu přejděte do oblasti Proacích služby Microsoft Sentinel, kde můžete zjistit, jestli se jeho kolegové obvykle připojují také ze stejných umístění. Pokud ano, jsou tyto znalosti ještě silnějším případem falešně pozitivního výsledku.
V oblasti Proatické vyhledávání spusťte dotaz Anomalous Geo Location Logon (Neobvyklé přihlášení k geografické poloze). Další informace najdete v tématu Proašování hrozeb pomocí služby Microsoft Sentinel.
Vložení dat IdentityInfo do analytických pravidel (Public Preview)
Vzhledem k tom, že útočníci často používají vlastní uživatelské účty a účty služeb organizace, jsou data o těchto uživatelských účtech, včetně identifikace a oprávnění uživatelů, nezbytná pro analytiky v procesu šetření.
Vložením dat z tabulky IdentityInfo vylaďte analytická pravidla tak, aby vyhovovala vašim případům použití, snižte počet falešně pozitivních výsledků a možná zrychlete proces šetření.
Například:
Korelace událostí zabezpečení s tabulkou IdentityInfo v upozornění, které se aktivuje, pokud k serveru přistupuje někdo mimo ODDĚLENÍ IT:
SecurityEvent | where EventID in ("4624","4672") | where Computer == "My.High.Value.Asset" | join kind=inner ( IdentityInfo | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID | where Department != "IT"Pokud chcete korelovat protokoly přihlášení Azure AD s tabulkou IdentityInfo v upozornění, které se aktivuje, pokud k aplikaci přistupuje někdo, kdo není členem konkrétní skupiny zabezpečení:
SigninLogs | where AppDisplayName == "GithHub.Com" | join kind=inner ( IdentityInfo | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId | where GroupMembership !contains "Developers"
Tabulka IdentityInfo se synchronizuje s pracovním prostorem Azure AD a vytvoří snímek dat profilu uživatele, jako jsou metadata uživatelů, informace o skupině a role Azure AD přiřazené každému uživateli. Další informace najdete v tabulce IdentityInfo v referenčních informacích k rozšířením UEBA.
Identifikace pokusů o útoky password spray a spear phishing
Bez povoleného vícefaktorového ověřování (MFA) jsou přihlašovací údaje uživatelů zranitelné vůči útočníkům, kteří se snaží ohrozit útoky útoky pomocí útoky password spraying nebo spear phishing.
Prošetřování incidentu password spray s přehledy UEBA
Pokud chcete například prozkoumat incident password spray s přehledy UEBA, můžete se dozvědět víc takto:
V levém dolním rohu incidentu vyberte Prozkoumat a zobrazte účty, počítače a další datové body, které byly potenciálně cílem útoku.
Při procházení dat se může zobrazit účet správce s poměrně velkým počtem neúspěšných přihlášení. I když je to podezřelé, možná budete chtít účet omezit bez dalšího potvrzení.
Vyberte na mapě entitu administrativního uživatele a pak Přehledy vpravo vyhledejte další podrobnosti, například graf přihlášení v průběhu času.
Na pravé straně vyberte Informace a pak vyberte Zobrazit úplné podrobnosti. Přejdete tak na stránku entity uživatele a přejdete k dalším podrobnostem.
Všimněte si například, jestli se jedná o první potenciální incident uživatele Útok password spray, nebo sledujte historii přihlášení uživatele, abyste pochopili, jestli byla selhání anomálií.
Tip
Můžete také spustit dotaz anomalous Failed Logon hunting (Neobvyklé neúspěšné přihlášení) a monitorovat tak všechna nezdařená přihlášení organizace. Výsledky z dotazu použijte k zahájení šetření možných útoků password spray.
Detonace adresy URL (Public Preview)
Pokud v protokolech ingestovaných do služby Microsoft Sentinel existují adresy URL, tyto adresy URL se automaticky odhodí, aby se urychlil proces hodnocení.
Graf šetření obsahuje uzel pro detonovanou adresu URL a také následující podrobnosti:
- DetonationVerdict (Diktování detonace) Hlavní logické určení od detonace. Například Bad (Chybný) znamená, že strana byla klasifikována jako hostující malware nebo phishingový obsah.
- DetonationFinalURL. Poslední pozorovaná adresa URL cílové stránky po všech přesměrováních z původní adresy URL.
- DetonationScreenshot . Snímek obrazovky s tím, jak stránka vypadala v době aktivace upozornění Vyberte snímek obrazovky a zvětšete ho.
Například:
Tip
Pokud v protokolech nevidíte adresy URL, zkontrolujte, jestli je pro vaše zabezpečené webové brány, webové servery, brány firewall nebo starší ID/IPS povolené protokolování adres URL, označované také jako protokolování hrozeb.
Můžete také vytvořit vlastní protokoly, které do služby Microsoft Sentinel zavedou konkrétní adresy URL, které vás zajímají, k dalšímu šetření.
Další kroky
Další informace o UEBA, vyšetřováních a proacích: