Tutorial: Menyelidiki pengguna berisiko
Tim operasi keamanan ditantang untuk memantau aktivitas pengguna, mencurigakan atau sebaliknya, di semua dimensi permukaan serangan identitas, menggunakan beberapa solusi keamanan yang sering tidak terhubung. Sementara banyak perusahaan sekarang memiliki tim berburu untuk secara proaktif mengidentifikasi ancaman di lingkungan mereka, mengetahui apa yang harus dicari di sejumlah besar data dapat menjadi tantangan. Microsoft Defender untuk Cloud Apps menghapus kebutuhan untuk membuat aturan korelasi yang kompleks, dan memungkinkan Anda mencari serangan yang menjangkau seluruh jaringan cloud dan lokal Anda.
Untuk membantu Anda fokus pada identitas pengguna, Microsoft Defender untuk Cloud Apps menyediakan analitik perilaku entitas pengguna (UEBA) di cloud. UEBA dapat diperluas ke lingkungan lokal Anda dengan mengintegrasikan dengan Microsoft Defender untuk Identitas, setelah itu Anda juga akan mendapatkan konteks sekeliling identitas pengguna dari integrasi aslinya dengan Direktori Aktif.
Apakah pemicu Anda adalah pemberitahuan yang Anda lihat di dasbor Defender untuk Cloud Apps, atau apakah Anda memiliki informasi dari layanan keamanan pihak ketiga, mulai penyelidikan Anda dari dasbor aplikasi Defender untuk Cloud untuk mendalami pengguna berisiko.
Dalam tutorial ini, Anda mempelajari cara menggunakan Defender untuk Cloud Apps untuk menyelidiki pengguna berisiko:
Memahami skor prioritas investigasi
Skor prioritas investigasi adalah skor yang diberikan Defender untuk Cloud Apps kepada setiap pengguna untuk memberi tahu Anda seberapa berisiko pengguna, relatif terhadap pengguna lain di organisasi Anda. Gunakan skor prioritas investigasi untuk menentukan pengguna mana yang akan diselidiki terlebih dahulu, mendeteksi orang dalam berbahaya, dan penyerang eksternal yang bergerak secara lateral di organisasi Anda, tanpa harus mengandalkan deteksi deterministik standar.
Setiap pengguna Microsoft Entra memiliki skor prioritas investigasi dinamis yang terus diperbarui berdasarkan perilaku terbaru dan dampak yang dibangun dari data yang dievaluasi dari Defender for Identity dan aplikasi Defender untuk Cloud.
Defender untuk Cloud Apps membangun profil pengguna untuk setiap pengguna, berdasarkan analitik yang mempertimbangkan pemberitahuan keamanan dan aktivitas abnormal dari waktu ke waktu, grup serekan, aktivitas pengguna yang diharapkan, dan efek yang mungkin dimiliki pengguna tertentu pada aset bisnis atau perusahaan.
Aktivitas yang anomali terhadap garis besar pengguna dievaluasi dan dinilai. Setelah penilaian selesai, perhitungan serekan dinamis milik Microsoft dan pembelajaran mesin dijalankan pada aktivitas pengguna untuk menghitung prioritas investigasi untuk setiap pengguna.
Pahami siapa pengguna berisiko teratas yang sebenarnya segera dengan memfilter sesuai dengan skor prioritas Investigasi, langsung memverifikasi dampak bisnis setiap pengguna, dan menyelidiki semua aktivitas terkait - baik mereka disusupi, menyelundupkan data, atau bertindak sebagai ancaman orang dalam.
Defender untuk Cloud Apps menggunakan hal berikut untuk mengukur risiko:
Penilaian pemberitahuan: Skor pemberitahuan mewakili dampak potensial dari pemberitahuan tertentu pada setiap pengguna. Penilaian pemberitahuan didasarkan pada tingkat keparahan, dampak pengguna, popularitas pemberitahuan di seluruh pengguna, dan semua entitas dalam organisasi.
Penilaian aktivitas: Skor aktivitas menentukan kemungkinan pengguna tertentu melakukan aktivitas tertentu, berdasarkan pembelajaran perilaku pengguna dan rekan-rekan mereka. Aktivitas yang diidentifikasi sebagai yang paling abnormal menerima skor tertinggi.
Pilih skor prioritas investigasi untuk pemberitahuan atau aktivitas untuk melihat bukti yang menjelaskan cara Aplikasi Defender untuk Cloud menilai aktivitas.
Catatan
Kami secara bertahap menghentikan pemberitahuan peningkatan skor prioritas Investigasi dari aplikasi Microsoft Defender untuk Cloud pada Agustus 2024. Skor prioritas investigasi dan prosedur yang dijelaskan dalam artikel ini tidak terpengaruh oleh perubahan ini.
Untuk informasi selengkapnya, lihat Garis waktu peningkatan skor prioritas investigasi penghentian.
Fase 1: Koneksi ke aplikasi yang ingin Anda lindungi
Koneksi setidaknya satu aplikasi untuk Microsoft Defender untuk Cloud Aplikasi menggunakan konektor API. Sebaiknya anda mulai dengan menyambungkan Microsoft 365.
Koneksi aplikasi lain yang menggunakan proksi untuk mencapai kontrol aplikasi akses bersyar.
Fase 2: Identifikasi pengguna berisiko teratas
Untuk mengidentifikasi siapa pengguna paling berisiko anda di Defender untuk Cloud Apps:
Di Portal Pertahanan Microsoft, di bawah Aset, pilih Identitas. Urutkan tabel menurut Prioritas investigasi. Kemudian satu per satu buka halaman pengguna mereka untuk menyelidikinya.
Nomor prioritas investigasi, yang ditemukan di samping nama pengguna, adalah jumlah dari semua aktivitas berisiko pengguna selama seminggu terakhir.
Pilih tiga titik di sebelah kanan pengguna, dan pilih tampilkan halaman Pengguna.
Tinjau informasi di halaman detail pengguna untuk mendapatkan gambaran umum pengguna dan lihat apakah ada poin di mana pengguna melakukan aktivitas yang tidak biasa untuk pengguna tersebut atau dilakukan pada waktu yang tidak biasa.
Skor Pengguna dibandingkan dengan organisasi mewakili persentil mana pengguna berada berdasarkan peringkat mereka di organisasi Anda - seberapa tinggi mereka berada dalam daftar pengguna yang harus Anda selidiki, relatif terhadap pengguna lain di organisasi Anda. Jumlahnya berwarna merah jika pengguna berada di atau di atas persentil ke-90 pengguna berisiko di seluruh organisasi Anda.
Halaman detail pengguna membantu Anda menjawab pertanyaan berikut:
| Pertanyaan | Detail |
|---|---|
| Siapa adalah pengguna? | Cari detail dasar tentang pengguna dan apa yang diketahui sistem tentang mereka, termasuk peran pengguna di perusahaan Anda dan departemen mereka. Misalnya, apakah pengguna adalah insinyur DevOps yang sering melakukan aktivitas yang tidak biasa sebagai bagian dari pekerjaan mereka? Atau apakah pengguna karyawan yang tidak puas yang baru saja diteruskan untuk promosi? |
| Apakah pengguna berisiko? | Berapa skor risiko karyawan, dan apakah sepadan dengan Anda saat menyelidikinya? |
| Apa risiko yang diberikan pengguna kepada organisasi Anda? | Gulir ke bawah untuk menyelidiki setiap aktivitas dan pemberitahuan yang terkait dengan pengguna untuk mulai memahami jenis risiko yang diwakili pengguna. Di garis waktu, pilih setiap baris untuk menelusuri lebih dalam aktivitas atau memperingatkan dirinya sendiri. Pilih angka di samping aktivitas sehingga Anda dapat memahami bukti yang memengaruhi skor itu sendiri. |
| Apa risikonya terhadap aset lain di organisasi Anda? | Pilih tab Jalur gerakan lateral untuk memahami jalur mana yang dapat digunakan penyerang untuk mendapatkan kontrol aset lain di organisasi Anda. Misalnya, bahkan jika pengguna yang Anda selidiki memiliki akun yang tidak sensitif, penyerang dapat menggunakan koneksi ke akun untuk menemukan dan mencoba membahayakan akun sensitif di jaringan Anda. Untuk informasi selengkapnya, lihat Menggunakan Jalur Gerakan Lateral. |
Catatan
Meskipun halaman detail pengguna menyediakan informasi untuk perangkat, sumber daya, dan akun di semua aktivitas, skor prioritas investigasi mencakup jumlah semua aktivitas dan pemberitahuan berisiko selama 7 hari terakhir.
Mengatur ulang skor pengguna
Jika pengguna diselidiki dan tidak ada kecurigaan untuk kompromi yang ditemukan, atau jika Anda ingin mengatur ulang skor prioritas investigasi pengguna karena alasan lain, jadi secara manual sebagai berikut:
Di Portal Pertahanan Microsoft, di bawah Aset, pilih Identitas.
Pilih tiga titik di sebelah kanan pengguna yang diselidiki, lalu pilih Reset skor prioritas investigasi. Anda juga dapat memilih Tampilkan halaman pengguna lalu pilih Reset skor prioritas investigasi dari tiga titik di halaman detail pengguna.
Catatan
Hanya pengguna dengan skor prioritas investigasi non-nol yang dapat diatur ulang.
Di jendela konfirmasi, pilih Reset skor.
Fase 3: Selidiki pengguna lebih lanjut
Beberapa aktivitas mungkin tidak menyebabkan alarm sendiri, tetapi mungkin merupakan indikasi peristiwa yang mencurigakan ketika diagregasi dengan aktivitas lain.
Saat menyelidiki pengguna, Anda ingin mengajukan pertanyaan berikut tentang aktivitas dan pemberitahuan yang Anda lihat:
Apakah ada pembenaran bisnis bagi karyawan ini untuk melakukan kegiatan ini? Misalnya, jika seseorang dari pemasaran mengakses basis kode, atau seseorang dari pengembangan mengakses database keuangan, Anda harus menindaklanjuti dengan karyawan untuk memastikan ini adalah aktivitas yang disengaja dan dibenarkan.
Mengapa aktivitas ini menerima skor tinggi sementara yang lain tidak? Buka log Aktivitas dan atur Prioritas investigasi ke Diatur untuk memahami aktivitas mana yang mencurigakan.
Misalnya, Anda dapat memfilter berdasarkan prioritas Investigasi untuk semua aktivitas yang terjadi di area geografis tertentu. Kemudian Anda dapat melihat apakah ada aktivitas lain yang berisiko, dari mana pengguna terhubung, dan Anda dapat dengan mudah melakukan pivot ke penelusuran lainnya, seperti aktivitas cloud dan lokal nonanomali baru-baru ini, untuk melanjutkan penyelidikan Anda.
Fase 4: Lindungi organisasi Anda
Jika investigasi Anda mengarahkan Anda ke kesimpulan bahwa pengguna disusupi, gunakan langkah-langkah berikut untuk mengurangi risiko.
Hubungi pengguna - Menggunakan informasi kontak pengguna yang terintegrasi dengan aplikasi Defender untuk Cloud dari Direktori Aktif, Anda dapat menelusuri paling detail setiap pemberitahuan dan aktivitas untuk mengatasi identitas pengguna. Pastikan pengguna terbiasa dengan aktivitas tersebut.
Langsung dari Portal Pertahanan Microsoft, di halaman Identitas , pilih tiga titik oleh pengguna yang diselidiki dan pilih apakah akan mengharuskan pengguna untuk masuk lagi, menangguhkan pengguna, atau mengonfirmasi pengguna sebagai disusupi.
Dalam kasus identitas yang disusupi, Anda dapat meminta pengguna untuk mengatur ulang kata sandi mereka, memastikan kata sandi memenuhi panduan praktik terbaik untuk panjang dan kompleksitas.
Jika Anda menelusuri paling detail pemberitahuan dan menentukan bahwa aktivitas seharusnya tidak memicu pemberitahuan, di laci Aktivitas, pilih tautan Kirimi kami umpan balik sehingga kami dapat memastikan untuk menyempurnakan sistem pemberitahuan kami dengan mempertimbangkan organisasi Anda.
Setelah Anda memulihkan masalah, tutup pemberitahuan.
Lihat juga
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk