Oktatóanyag: Kockázatos felhasználók vizsgálata

  • Cikk
  • 8 perc alatt elolvasható

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

  • Microsoft Defender for Cloud Apps most már a Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen végezhetik el a biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a Microsoft-identitások, -adatok, -eszközök, -alkalmazások és -infrastruktúra biztonságának figyelése és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

A biztonsági üzemeltetési csapatok számára kihívást jelent a felhasználói tevékenység gyanús vagy más módon történő monitorozása az identitás támadási felületének minden dimenziójában, több olyan biztonsági megoldás használatával, amelyek gyakran nincsenek csatlakoztatva. Bár sok vállalat már rendelkezik vadászcsapatokkal, hogy proaktív módon azonosítsák a környezetükben lévő fenyegetéseket, a hatalmas mennyiségű adat ismeretében kihívást jelenthet, hogy mit kell keresni. Microsoft Defender for Cloud Apps mostantól leegyszerűsíti ezt azáltal, hogy nem kell összetett korrelációs szabályokat létrehoznia, és lehetővé teszi a felhőre és a helyszíni hálózatra kiterjedő támadások keresését.

A felhasználói identitásra való összpontosítás érdekében Microsoft Defender for Cloud Apps a felhőben biztosítja a felhasználói entitások viselkedéselemzését (UEBA). Ez a helyszíni környezetre is kiterjeszthető a Microsoft Defender for Identity integrálásával. Miután integrálva van a Defender for Identity szolgáltatással, a felhasználói identitás kontextusát is megismerheti az Active Directoryval való natív integrációból.

Akár az eseményindító az Felhőhöz készült Defender Apps irányítópultján megjelenő riasztás, akár egy külső biztonsági szolgáltatásból származó információval rendelkezik, kezdje el a vizsgálatot az Felhőhöz készült Defender Apps irányítópultról a kockázatos felhasználók részletes elemzéséhez.

Ebből az oktatóanyagból megtudhatja, hogyan használhatja a Felhőhöz készült Defender Appst a kockázatos felhasználók vizsgálatához:

A vizsgálat prioritási pontszámának ismertetése

A vizsgálat prioritási pontszáma egy pontszám, Felhőhöz készült Defender Az alkalmazások minden felhasználónak megadja, hogy tudja, mennyire kockázatos egy felhasználó a szervezet többi felhasználójához képest.

A Vizsgálat prioritási pontszámával meghatározhatja, hogy mely felhasználókat vizsgálja meg először. Felhőhöz készült Defender-alkalmazások minden felhasználóhoz létrehoznak felhasználói profilokat azon elemzések alapján, amelyek időt, társcsoportokat és várt felhasználói tevékenységet vesznek figyelembe. A rendszer kiértékeli és pontozottan értékeli a felhasználó alapkonfigurációjának rendellenes tevékenységeit. A pontozás befejezése után a Microsoft saját fejlesztésű dinamikus társszámításai és gépi tanulása a felhasználói tevékenységeken fut, hogy kiszámítsa az egyes felhasználók vizsgálati prioritását.

A vizsgálat prioritási pontszáma lehetővé teszi, hogy észlelje a kártékony bennfenteseket és a szervezeten belül oldalirányúan mozgó külső támadókat anélkül, hogy standard determinisztikus észlelésekre kellene támaszkodnia.

A vizsgálat prioritási pontszáma az egyes felhasználókhoz kapcsolódó biztonsági riasztásokon, rendellenes tevékenységeken és potenciális üzleti és eszközhatásokon alapul, így felmérheti, milyen sürgős az egyes felhasználók vizsgálata.

Ha kiválasztja egy riasztás vagy tevékenység pontszámértékét, megtekintheti azokat a bizonyítékokat, amelyekből megtudhatja, hogy Felhőhöz készült Defender Alkalmazások hogyan pontozott a tevékenységen.

Minden Azure AD felhasználó dinamikus vizsgálati prioritási pontszámmal rendelkezik, amely folyamatosan frissül a legutóbbi viselkedés és hatás alapján, amely a Defender for Identity és a Felhőhöz készült Defender Apps által kiértékelt adatokból épül fel. Mostantól azonnal megértheti, hogy kik a legkockázatosabb felhasználók, ha a vizsgálat prioritási pontszáma alapján szűr, közvetlenül ellenőrzi az üzleti hatásukat, és megvizsgálja az összes kapcsolódó tevékenységet – függetlenül attól, hogy feltörték-e őket, adatokat kiszűrnek-e, vagy belső fenyegetésként viselkednek-e.

Felhőhöz készült Defender Alkalmazások a következőket használják a kockázat mérésére:

  • Riasztások pontozása
    A riasztási pontszám egy adott riasztásnak az egyes felhasználókra gyakorolt lehetséges hatását jelzi. A riasztások pontozása a súlyosságon, a felhasználói hatáson, a riasztások felhasználók közötti népszerűségén és a szervezet összes entitásán alapul.

  • Tevékenység pontozása
    A tevékenység pontszáma a felhasználó és társai viselkedési tanulása alapján határozza meg, hogy egy adott felhasználó milyen valószínűséggel végez egy adott tevékenységet. A legbnormálisabbként azonosított tevékenységek kapják a legmagasabb pontszámot.

  • Robbanási sugár (előzetes verzió) A Sugár sugár egy további pontszámtényezőt ad hozzá a vizsgálat prioritási számításaihoz, több tényező alapján, amelyek meghatározzák, hogy egy sérült felhasználó milyen hatással lehet a szervezetre.

    Blast radius

    Megjegyzés

    A robbanási sugár tényező a bérlő relevanciájától függ, ezért előfordulhat, hogy nem jelenik meg az összes bérlő esetében.

1. fázis: Csatlakozás a védeni kívánt alkalmazásokhoz

  1. Csatlakozás legalább egy alkalmazást az API-összekötők használatával történő Microsoft Defender for Cloud Apps. Javasoljuk, hogy először csatlakoztasson Office 365.
  2. Csatlakozás további alkalmazásokat, amelyek proxy használatával érik el a feltételes hozzáférést biztosító alkalmazásvezérlést.
  3. A helyszíni környezet elemzéseinek engedélyezéséhez konfigurálja a Felhőhöz készült Defender-alkalmazásokat a Defender for Identity-környezettel való integrációhoz.

2. fázis: A kockázatos felhasználók azonosítása

A legkockázatos felhasználók azonosítása az Felhőhöz készült Defender Apps szolgáltatásban:

  1. Nyissa meg a Felhőhöz készült Defender-alkalmazások irányítópultot, és tekintse meg a legfontosabb felhasználók között a vizsgálat prioritása csempe alapján azonosított személyeket, majd egyenként nyissa meg a felhasználói oldalt, és vizsgálja meg őket.
    A felhasználónév mellett található vizsgálati prioritási szám a felhasználó kockázatos tevékenységeinek összessége az elmúlt héten.

    Top users dashboard.

  2. A Felhasználó lapra való ugráshoz válasszon ki egy adott felhasználót. User page

  3. A Felhasználó lapon található információk áttekintéséhez tekintse át a felhasználót, és ellenőrizze, hogy vannak-e olyan pontok, amelyeken a felhasználó szokatlan vagy szokatlan időpontban végzett tevékenységeket. A felhasználónak a szervezethez viszonyított pontszáma azt jelzi, hogy a felhasználó melyik percentilisben van a szervezeten belüli rangsora alapján – hogy milyen magas a vizsgált felhasználók listáján a szervezet többi felhasználójához képest. A szám piros lesz, ha egy felhasználó a kockázatos felhasználók 90. percentilisében vagy felett van a szervezetben.
    A Felhasználói oldal segít megválaszolni a kérdéseket:

    • Who a felhasználó?
      A bal oldali panelen információkat kaphat arról, hogy ki a felhasználó, és mit tud róluk. Ezen a panelen információkat talál a felhasználó cégben és részlegében betöltött szerepéről. A felhasználó DevOps-mérnök, aki gyakran végez szokatlan tevékenységeket a munkája részeként? A felhasználó egy nem csonkolt alkalmazott, akit épp most adott át egy promócióra?

    • Kockázatos a felhasználó?
      Tekintse meg a jobb oldali panel felső részét, hogy tudja, érdemes-e a felhasználó kivizsgálására. Mi az alkalmazott kockázati pontszáma?

    • Milyen kockázattal jár a felhasználó a szervezet számára?
      Tekintse meg az alsó panelen található listát, amely minden tevékenységet és a felhasználóhoz kapcsolódó riasztásokat biztosít, így könnyebben megértheti, hogy milyen típusú kockázatot jelent a felhasználó. Az ütemtervben jelölje ki az egyes sorokat, hogy mélyebben lefúrhassa magát a tevékenységet vagy a riasztást. Kiválaszthatja a tevékenység melletti számot is, hogy megértse a pontszámot befolyásoló bizonyítékokat.

    • Milyen kockázatot jelent a szervezet más eszközeire nézve?
      Válassza az Oldalirányú mozgási útvonalak lapot annak megértéséhez, hogy a támadók milyen útvonalakat használhatnak a szervezet más eszközeinek irányításához. Ha például a vizsgált felhasználó nem bizalmas fiókkal rendelkezik, a támadók a fiók kapcsolataival felderíthetik és megkísérelhetik feltörni a hálózat bizalmas fiókjait. További információ: Oldalirányú mozgási útvonalak használata.

Megjegyzés

Fontos megjegyezni, hogy bár a Felhasználói oldal az összes tevékenységhez biztosít információkat az eszközökről, erőforrásokról és fiókokról, a vizsgálat prioritási pontszáma az összes kockázatos tevékenység és riasztás összege az elmúlt 7 napban.

Felhasználói pontszám alaphelyzetbe állítása

Ha a felhasználót kivizsgálták, és nem talált biztonsági sérülés gyanúját, vagy ha bármilyen okból szeretné visszaállítani a felhasználó vizsgálati prioritási pontszámát, manuálisan alaphelyzetbe állíthatja a pontszámot.

  1. Az Felhőhöz készült Defender-alkalmazások irányítópultján válassza ki az alaphelyzetbe állítani kívánt felhasználót a legfelső szintű felhasználók csempéjén, vagy válassza az Összes megvizsgálandó felhasználó megtekintése lehetőséget. Azt is megteheti, hogy a Vizsgálat –>Felhasználók és fiókok területen kiválasztja azt a felhasználót, amelynek értéke szerepel a Vizsgálat prioritása oszlopban.

    Megjegyzés

    Csak a nem nulla vizsgálati prioritási pontszámmal rendelkező felhasználók állíthatók vissza.

  2. A megnyíló ablakban válassza a Felhasználó megtekintése lapot a jobb felső sarokban.

    Select View User page.

  3. A felhasználói oldal egy új lapon nyílik meg. Válassza a vizsgálat prioritási pontszámának alaphelyzetbe állítására szolgáló hivatkozást a lap jobb felső részén található Műveletek szakaszban.

    Select Reset investigation priority score link.

  4. A megerősítési ablakban válassza a Pontszám alaphelyzetbe állítása lehetőséget.

    Select Reset score button.

3. fázis: A felhasználók további vizsgálata

Ha riasztás alapján vizsgál ki egy felhasználót, vagy ha egy külső rendszerben riasztást lát, előfordulhat, hogy egyes tevékenységek önmagukban nem okoznak riasztást, de ha Felhőhöz készült Defender Apps összesíti őket más tevékenységekkel együtt, a riasztás gyanús eseményre utalhat.

Egy felhasználó vizsgálatakor az alábbi kérdéseket kell feltennie a megjelenő tevékenységekkel és riasztásokkal kapcsolatban:

  • Van üzleti indok arra, hogy ez az alkalmazott elvégezhesse ezeket a tevékenységeket? Ha például egy marketinges hozzáfér a kódbázishoz, vagy valaki a fejlesztőből hozzáfér a pénzügyi adatbázishoz, akkor az alkalmazottal kell meggyőződnie arról, hogy ez szándékos és indokolt tevékenység volt.

  • A Tevékenységnaplóban megtudhatja, hogy ez a tevékenység miért kapott magas pontszámot, míg mások nem. A vizsgálat prioritását Beállíthatja Az értékre , hogy megértse, mely tevékenységek gyanúsak. Szűrhet például az Ukrajnában történt összes tevékenység vizsgálati prioritása alapján. Ezután láthatja, hogy voltak-e más kockázatos tevékenységek, amelyekből a felhasználó kapcsolódott, és könnyedén más lehatolásokhoz, például a nem rendellenes felhőbeli és helyszíni tevékenységekhez is könnyedén hozzáláthat a vizsgálat folytatásához.

4. fázis: A szervezet védelme

Ha a vizsgálat arra a következtetésre vezet, hogy egy felhasználó biztonsága sérült, kövesse az alábbi lépéseket a kockázat csökkentéséhez.

  • Kapcsolatfelvétel a felhasználóval – Az Active Directoryból származó Felhőhöz készült Defender-alkalmazásokkal integrált felhasználói kapcsolattartási adatok használatával részletesen elemezheti az egyes riasztásokat és tevékenységeket a felhasználói identitás feloldásához. Győződjön meg arról, hogy a felhasználó ismeri a tevékenységeket.

  • Közvetlenül az Felhőhöz készült Defender Alkalmazások portálon válassza a Felhasználói műveletek vezérlőt, és adja meg, hogy a felhasználónak újra be kell-e jelentkeznie, fel kell függesztenie a felhasználót, vagy meg kell erősítenie a felhasználó sérülését.

  • Sérült identitás esetén megkérheti a felhasználót, hogy állítsa alaphelyzetbe a jelszavát, és győződjön meg arról, hogy a jelszó megfelel az ajánlott eljárásoknak a hosszra és az összetettségre vonatkozó irányelveknek.

  • Ha részletez egy riasztást, és megállapítja, hogy a tevékenységnek nem kellett volna riasztást aktiválnia, a Tevékenység fiókban válassza a Visszajelzés küldése hivatkozást, hogy biztosan finomhangolhassuk a riasztási rendszerünket a szervezet szem előtt tartásával.

  • A probléma megoldása után zárja be a riasztást.

Lásd még

A felhőkörnyezet védelmét célzó mindennapi tevékenységek

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.