Tutorial: Untersuchen riskanter Benutzer
Hinweis
Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.
Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung der Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
Security Operations-Teams stehen vor der Herausforderung, Benutzeraktivitäten (ob verdächtig oder nicht) über alle Bereiche der Identitätsangriffsfläche hinweg zu überwachen. Dabei werden mehrere Sicherheitslösungen verwendet, die oft nicht verbunden sind. Obwohl viele Unternehmen heute über Hunting-Teams verfügen, die Bedrohungen in ihrer Umgebung proaktiv aufspüren, kann es eine Herausforderung sein, zu wissen, worauf sie bei der riesigen Datenmenge achten müssen. Microsoft Defender for Cloud Apps vereinfacht dies jetzt, indem Sie die Notwendigkeit entfernen, komplexe Korrelationsregeln zu erstellen, und Sie können nach Angriffen suchen, die sich über Ihr Cloud- und lokales Netzwerk erstrecken.
Um ihnen dabei zu helfen, sich auf die Benutzeridentität zu konzentrieren, bietet Microsoft Defender for Cloud Apps Benutzerentitätsverhaltensanalysen (UEBA) in der Cloud. Dies kann durch die Integration mit Microsoft Defender for Identity auf Ihre lokale Umgebung erweitert werden. Nach der Integration in Defender for Identity steht Ihnen auch Kontext rund um die Benutzeridentität über die native Integration in Active Directory Domain Services zur Verfügung.
Unabhängig davon, ob Ihr Trigger eine Warnung ist, die Sie im Dashboard Defender für Cloud Apps sehen, oder ob Sie Informationen von einem Drittanbieter-Sicherheitsdienst haben, starten Sie Ihre Untersuchung über das Defender für Cloud Apps-Dashboard, um eingehende Einblicke in riskante Benutzer zu erhalten.
In diesem Lernprogramm erfahren Sie, wie Sie Defender für Cloud Apps verwenden, um riskante Benutzer zu untersuchen:
Verstehen der Bewertung der Untersuchungspriorität
Die Bewertung der Untersuchungspriorität ist eine Bewertung Defender für Cloud Apps jedem Benutzer, um ihnen mitzuteilen, wie riskant ein Benutzer mit anderen Benutzern in Ihrer Organisation ist.
Bestimmen Sie anhand der Bewertung der Untersuchungspriorität, welche Benutzer zuerst untersucht werden müssen. Defender für Cloud Apps erstellt Benutzerprofile für jeden Benutzer basierend auf Analysen, die Zeit, Peergruppen und erwartete Benutzeraktivitäten berücksichtigen. Die für die Baseline eines Benutzers anomale Aktivität wird ausgewertet und bewertet. Nach Abschluss der Bewertung werden die proprietären dynamischen Peerberechnungen und Machine Learning von Microsoft für die Benutzeraktivitäten ausgeführt, um die Untersuchungspriorität für die einzelnen Benutzer zu berechnen.
Die Bewertung der Untersuchungspriorität ermöglicht es Ihnen, sowohl böswillige interne Benutzer als auch externe Angreifer zu erkennen, wobei Sie sich seitlich durch Ihre Organisationen bewegen, ohne sich auf deterministische Standarderkennungen verlassen zu müssen.
Die Bewertung der Untersuchungspriorität für jeden spezifischen Benutzer basiert auf Sicherheitswarnungen, ungewöhnlichen Aktivitäten sowie potenziellen Auswirkungen auf das Unternehmen und Ressourcen im Zusammenhang mit dem einzelnen Benutzer.
Wenn Sie den Bewertungswert für eine Warnung oder eine Aktivität auswählen, können Sie die Nachweise anzeigen, die erläutert, wie Defender für Cloud Apps die Aktivität bewertet haben.
Jeder Azure AD-Benutzer verfügt über eine dynamische Untersuchungsprioritätsbewertung, die ständig basierend auf dem aktuellen Verhalten und den Auswirkungen aktualisiert wird, basierend auf Daten, die aus Defender for Identity und Defender für Cloud Apps ausgewertet werden. Jetzt können Sie durch Filtern die echten kritischsten Risikobenutzer anhand der Bewertung der Untersuchungspriorität sofort erkennen, deren Auswirkungen auf das Unternehmen direkt überprüfen und alle damit verbundenen Aktivitäten untersuchen – ganz gleich, ob sie gefährdet sind, Daten exfiltrieren oder als Insiderbedrohungen wirken.
Defender für Cloud Apps verwendet Folgendes zum Messen des Risikos:
Warnungsbewertung
Die Warnungsbewertung stellt die potenzielle Auswirkung einer bestimmten Warnung auf den einzelnen Benutzer dar. Sie basiert auf dem Schweregrad, den Benutzerauswirkungen, der Beliebtheit von Warnungen bei Benutzern und allen Entitäten in der Organisation.Aktivitätsbewertung
Die Aktivitätsbewertung bestimmt die Wahrscheinlichkeit, dass ein bestimmter Benutzer eine bestimmte Aktivität ausführt, basierend auf dem Verhaltenslernen des Benutzers und seiner Kollegen. Aktivitäten, die als am ungewöhnlichsten identifiziert wurden, erhalten die höchsten Bewertungen.Auswirkungsradius (Vorschau) Der Auswirkungsradius fügt den Berechnungen der Untersuchungspriorität einen zusätzlichen Bewertungsfaktor hinzu. Dieser basiert auf mehreren Faktoren, welche die potenziellen Auswirkungen eines kompromittierten Benutzers auf das Unternehmen bestimmen.
Hinweis
Der Auswirkungsradiusfaktor ist von der Relevanz des Mandanten abhängig und wird daher möglicherweise nicht für alle Mandanten angezeigt.
Phase 1: Verbinden mit Apps, die geschützt werden sollen
- Verbinden mindestens eine App, um die API-Connectors zu Microsoft Defender for Cloud Apps. Als erste App sollten Sie Office 365 verbinden.
- Verbinden Sie dann weitere Apps, indem Sie den Proxy zur App-Steuerung für bedingten Zugriff verwenden.
- Um Einblicke in Ihre lokale Umgebung zu ermöglichen, konfigurieren Sie Defender für Cloud Apps für die Integration in Ihre Defender for Identity-Umgebung.
Phase 2: Identifizieren der kritischsten Risikobenutzer
So identifizieren Sie, wer Ihre riskanten Benutzer in Defender für Cloud Apps sind:
Wechseln Sie zum Dashboard Defender für Cloud Apps, und schauen Sie sich die personen an, die in den obersten Benutzern identifiziert wurden, indem Sie die Kachel "Priorität untersuchen" verwenden, und wechseln Sie dann einmal zu ihrer Benutzerseite, um sie zu untersuchen.
Die Nummer der Untersuchungspriorität neben dem Benutzernamen ist eine Summe aller riskanten Aktivitäten des Benutzers während der letzten Woche.
Wählen Sie einen bestimmten Benutzer aus, um die Seite Benutzer aufzurufen.
Überprüfen Sie die Informationen auf der Seite "Benutzer", um einen Überblick über den Benutzer zu erhalten und festzustellen, ob Punkte vorhanden sind, an denen der Benutzer Aktivitäten ausgeführt hat, die für diesen Benutzer ungewöhnlich waren oder zu einem ungewöhnlichen Zeitpunkt ausgeführt wurden. Die Information Benutzerbewertung im Vergleich zur Organisation stellt das Perzentil dar, in dem sich Benutzer befindet. Grundlage dafür ist sein Rang in Ihrer Organisation – d.h. seine Position in der Liste der Benutzer, die Sie untersuchen sollten, relativ zu anderen Benutzern in Ihrer Organisation. Die Farbe der Zahl ändert sich in Rot, wenn ein Benutzer innerhalb des 90. Perzentils von riskanten Benutzern in Ihrer gesamten Organisation oder darüber liegt.
Die Seite „Benutzer“ hilft Ihnen bei der Beantwortung folgender Fragen:Wer ist der Benutzer?
Schauen Sie auf den linken Bereich. Dort werden Sie informiert, um welchen Benutzer es sich handelt und was über ihn bekannt ist. Dieser Bereich enthält Informationen zur Rolle des Benutzers in Ihrem Unternehmen und in seiner Abteilung. Ist der Benutzer ein DevOps-Mitarbeiter, der im Rahmen seiner Tätigkeit oft ungewöhnliche Aktivitäten ausführt? Ist der Benutzer ein verärgerter Mitarbeiter, der bei einer Beförderung gerade übergangen wurde?Ist der Benutzer riskant?
Sehen Sie im rechten Bereich oben nach, damit Sie wissen, ob es sich für Sie lohnt, dies zu untersuchen. Was ist die Risikobewertung des Mitarbeiters?Welches Risiko stellt der Benutzer für Ihre Organisation dar?
Sehen Sie sich die Liste im unteren Bereich an. Dort werden die einzelnen Aktivitäten und Warnungen im Zusammenhang mit dem Benutzer angezeigt. Sie sollen Ihnen helfen zu verstehen, welche Art von Risiko der Benutzer darstellt. Wählen Sie in der Zeitachse jede Zeile aus, um einen Drilldown für die Aktivität oder die Warnung selbst durchzuführen. Sie können auch die Zahl neben der Aktivität auswählen, um die Anzeichen zu verstehen, die die Bewertung selbst beeinflusst haben.Wie hoch ist das Risiko für andere Ressourcen in Ihrer Organisation?
Wählen Sie die Registerkarte Lateral Movement-Pfade aus, um zu erfahren, welche Pfade ein Angreifer verwenden kann, um die Kontrolle über andere Ressourcen in Ihrer Organisation zu erlangen. Wenn beispielsweise der Benutzer, den Sie untersuchen, über ein nicht sensibles Konto verfügt, kann ein Angreifer dennoch möglicherweise über Verbindungen zu diesem Konto sensible Konten in Ihrem Netzwerk ermitteln und versuchen, diese zu kompromittieren. Weitere Informationen finden Sie unter Verwendung von Lateral Movement-Pfaden.
Hinweis
Dabei müssen Sie Folgendes berücksichtigen: Während die Seite „Benutzer“ Informationen zu Geräten, Ressourcen und Konten für alle Aktivitäten enthält, ist die Bewertung der Untersuchungspriorität die Summe aller riskanten Aktivitäten und Warnungen während der letzten 7 Tage.
Benutzerbewertung zurücksetzen
Wenn der Benutzer untersucht wurde und kein Verdacht auf Kompromittierung gefunden wurde, oder aus irgendeinem Grund, den Sie bevorzugen, die Bewertung der Untersuchungspriorität des Benutzers zurückzusetzen, können Sie die Bewertung manuell zurücksetzen.
Wählen Sie im Dashboard Defender für Cloud Apps im Oberen Benutzer, um die Kachel zu untersuchen, den Benutzer aus, den Sie zurücksetzen möchten, oder wählen Sie "Alle Benutzer anzeigen" aus, die untersucht werden sollen. Alternativ wählen Sie unter "Untersuchen ->Benutzer und Konten" den Benutzer mit einem Wert in der Spalte " Untersuchungspriorität " aus.
Hinweis
Nur Benutzer mit einer Prioritätsbewertung ohne Null können zurückgesetzt werden.
Wählen Sie im geöffneten Fenster die Seite "Benutzer anzeigen" oben rechts aus.
Die Benutzerseite wird auf einer neuen Registerkarte geöffnet. Wählen Sie im Abschnitt "Aktionen" auf der oberen rechten Seite der Seite den Link "Untersuchungspriorität zurücksetzen " aus.
Wählen Sie im Bestätigungsfenster die Bewertung zurücksetzen aus.
Phase 3: Detailliertes Untersuchen von Benutzern
Wenn Sie einen Benutzer anhand einer Warnung untersuchen oder eine Warnung in einem externen System gesehen haben, gibt es möglicherweise Aktivitäten, die allein nicht zu Alarmen führen, aber wenn Defender für Cloud Apps sie zusammen mit anderen Aktivitäten aggregiert, kann die Warnung ein Hinweis auf ein verdächtiges Ereignis sein.
Wenn Sie einen Benutzer untersuchen, möchten Sie wahrscheinlich diese Fragen zu den angezeigten Aktivitäten und Warnungen stellen:
Gibt es eine geschäftliche Begründung für diesen Mitarbeiter, diese Aktivität auszuführen? Wenn beispielsweise jemand aus der Marketingabteilung auf die Codebasis oder jemand aus der Entwicklungsabteilung auf die Finanzdatenbank zugreift, sollten Sie mit dem Mitarbeiter Kontakt aufnehmen, um sicherzustellen, dass es sich um eine absichtliche und berechtigte Aktivität handelt.
Rufen Sie das Aktivitätsprotokoll auf, um zu verstehen, warum diese Aktivität im Gegensatz zu anderen eine hohe Bewertung erhalten hat. Sie können die Untersuchungspriorität auf Ist festlegen festlegen, um zu verstehen, welche Aktivitäten verdächtig sind. Beispielsweise können Sie anhand der Untersuchungspriorität auf alle Aktivitäten filtern, die in der Ukraine aufgetreten sind. Dort können Sie sehen, ob es andere Aktivitäten gab, die riskant waren, aus denen der Benutzer eine Verbindung hergestellt hat, und können einfach nach anderen Drilldowns pivotieren, z. B. „kürzlich aufgetretene nicht anomale Cloudaktivitäten und lokale Aktivitäten“, um Ihre Untersuchung fortzusetzen.
Phase 4: Schützen Sie Ihre Organisation
Wenn Sie durch die Untersuchung feststellen, dass eine Gefährdung durch einen Benutzer besteht, gehen Sie wie folgt vor, um das Risiko zu einzudämmen.
Wenden Sie sich an den Benutzer – Mithilfe der kontaktinformationen des Benutzers, die in Defender für Cloud Apps aus Active Directory integriert sind, können Sie einen Drilldown in jede Warnung und Aktivität ausführen, um die Benutzeridentität zu beheben. Stellen Sie sicher, dass der Benutzer mit den Aktivitäten vertraut ist.
Wählen Sie direkt im Defender für Cloud Apps-Portal das Steuerelement "Benutzeraktionen" aus, und wählen Sie aus, ob der Benutzer sich erneut anmelden muss, den Benutzer angehalten oder bestätigt, dass der Benutzer kompromittiert ist.
Im Falle einer kompromittierten Identität können Sie den Benutzer bitten, ein neues Kennwort festzulegen, dessen Länge und Komplexität bewährten Sicherheitsstandards entspricht.
Wenn Sie einen Drilldown in eine Warnung ausführen und feststellen, dass die Aktivität keine Warnung hätte auslösen sollen, wählen Sie in der Detailansicht für Aktivitäten den Link Senden Sie uns Feedback aus. Dann können wir bei der Feinabstimmung unseres Warnsystems sicherstellen, dass Ihre Organisation mit berücksichtigt wird.
Nachdem Sie das Problem behoben haben, schließen Sie die Warnung.
Siehe auch
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.