Tutorial: Menyelidiki pengguna berisiko

  • Artikel
  • 8 menit untuk membaca

Catatan

  • Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Tim operasi keamanan ditantang untuk memantau aktivitas pengguna, mencurigakan atau sebaliknya, di semua dimensi permukaan serangan identitas, menggunakan beberapa solusi keamanan yang sering tidak terhubung. Sementara banyak perusahaan sekarang memiliki tim berburu untuk secara proaktif mengidentifikasi ancaman di lingkungan mereka, mengetahui apa yang harus dicari di sejumlah besar data dapat menjadi tantangan. Microsoft Defender for Cloud Apps sekarang menyederhanakan ini dengan menghilangkan kebutuhan untuk membuat aturan korelasi yang kompleks, dan memungkinkan Anda mencari serangan yang menjangkau seluruh jaringan cloud dan lokal Anda.

Untuk membantu Anda fokus pada identitas pengguna, Microsoft Defender for Cloud Apps menyediakan analitik perilaku entitas pengguna (UEBA) di cloud. Ini dapat diperluas ke lingkungan lokal Anda dengan mengintegrasikan dengan Pertahanan Microsoft untuk Identitas. Setelah berintegrasi dengan Defender for Identity, Anda juga akan mendapatkan konteks sekeliling identitas pengguna dari integrasi aslinya dengan Direktori Aktif.

Apakah pemicu Anda adalah pemberitahuan yang Anda lihat di dasbor Defender untuk Cloud Apps, atau apakah Anda memiliki informasi dari layanan keamanan pihak ketiga, mulai penyelidikan Anda dari dasbor Defender untuk Cloud Apps untuk mendalami pengguna berisiko.

Dalam tutorial ini, Anda akan mempelajari cara menggunakan Defender untuk Cloud Apps untuk menyelidiki pengguna berisiko:

Memahami skor prioritas investigasi

Skor prioritas investigasi adalah skor yang Defender untuk Cloud Diberikan Aplikasi kepada setiap pengguna untuk memberi tahu Anda seberapa berisiko pengguna relatif terhadap pengguna lain di organisasi Anda.

Gunakan skor prioritas Investigasi untuk menentukan pengguna mana yang akan diselidiki terlebih dahulu. Defender untuk Cloud Apps membuat profil pengguna untuk setiap pengguna berdasarkan analitik yang membutuhkan waktu, grup serekan, dan aktivitas pengguna yang diharapkan menjadi pertimbangan. Aktivitas yang anomali terhadap garis besar pengguna dievaluasi dan dinilai. Setelah penilaian selesai, perhitungan serekan dinamis milik Microsoft dan pembelajaran mesin dijalankan pada aktivitas pengguna untuk menghitung prioritas investigasi untuk setiap pengguna.

Skor prioritas Investigasi memberi Anda kemampuan untuk mendeteksi orang dalam yang berbahaya, dan penyerang eksternal yang bergerak secara lateral di organisasi Anda, tanpa harus mengandalkan deteksi deterministik standar.

Skor prioritas investigasi didasarkan pada pemberitahuan keamanan, aktivitas abnormal, dan potensi dampak bisnis dan aset yang terkait dengan setiap pengguna untuk membantu Anda menilai seberapa mendesak untuk menyelidiki setiap pengguna tertentu.

Jika Anda memilih nilai skor untuk pemberitahuan atau aktivitas, Anda dapat melihat bukti yang menjelaskan cara aplikasi Defender untuk Cloud menilai aktivitas.

Setiap pengguna Azure AD memiliki skor prioritas investigasi dinamis, yang terus diperbarui berdasarkan perilaku dan dampak terbaru, yang dibangun dari data yang dievaluasi dari Defender for Identity dan Defender untuk Cloud Apps. Anda sekarang dapat segera memahami siapa pengguna berisiko teratas sebenarnya, dengan memfilter sesuai dengan Skor prioritas investigasi, langsung memverifikasi apa dampak bisnis mereka, dan menyelidiki semua aktivitas terkait - apakah mereka disusupi, menyelundupkan data, atau bertindak sebagai ancaman orang dalam.

Defender untuk Cloud Apps menggunakan hal berikut untuk mengukur risiko:

  • Penilaian pemberitahuan
    Skor pemberitahuan mewakili dampak potensial dari pemberitahuan tertentu pada setiap pengguna. Penilaian pemberitahuan didasarkan pada tingkat keparahan, dampak pengguna, popularitas pemberitahuan di seluruh pengguna, dan semua entitas dalam organisasi.

  • Penilaian aktivitas
    Skor aktivitas menentukan kemungkinan pengguna tertentu melakukan aktivitas tertentu, berdasarkan pembelajaran perilaku pengguna dan rekan-rekan mereka. Aktivitas yang diidentifikasi sebagai yang paling abnormal menerima skor tertinggi.

  • Radius ledakan (Pratinjau) Radius ledakan menambahkan faktor skor tambahan ke perhitungan prioritas investigasi, berdasarkan beberapa faktor yang menentukan dampak potensial yang dialami pengguna yang disusupi pada organisasi.

    Blast radius

    Catatan

    Faktor radius ledakan tergantung pada relevansi penyewa, dan oleh karena itu mungkin tidak muncul untuk semua penyewa.

Fase 1: Koneksi ke aplikasi yang ingin Anda lindungi

  1. Koneksi setidaknya satu aplikasi untuk Microsoft Defender for Cloud Apps menggunakan konektor API. Kami menyarankan agar Anda mulai dengan menyambungkan Office 365.
  2. Koneksi aplikasi tambahan menggunakan proksi untuk mencapai kontrol aplikasi akses bersyar.
  3. Untuk mengaktifkan wawasan di seluruh lingkungan lokal Anda, konfigurasikan aplikasi Defender untuk Cloud untuk diintegrasikan dengan lingkungan Defender for Identity Anda.

Fase 2: Identifikasi pengguna berisiko teratas

Untuk mengidentifikasi siapa pengguna paling berisiko Anda di Defender untuk Cloud Apps:

  1. Buka dasbor Defender untuk Cloud Apps dan lihat orang yang diidentifikasi di petak peta Pengguna teratas berdasarkan prioritas investigasi, lalu satu per satu buka halaman pengguna mereka untuk menyelidikinya.
    Nomor prioritas investigasi, yang ditemukan di samping nama pengguna, adalah jumlah dari semua aktivitas berisiko pengguna selama seminggu terakhir.

    Top users dashboard.

  2. Pilih pengguna tertentu untuk masuk ke halaman Pengguna . User page

  3. Tinjau informasi di halaman Pengguna untuk mendapatkan gambaran umum pengguna dan lihat apakah ada poin di mana pengguna melakukan aktivitas yang tidak biasa untuk pengguna tersebut atau dilakukan pada waktu yang tidak biasa. Skor Pengguna dibandingkan dengan organisasi mewakili persentil mana pengguna didasarkan pada peringkat mereka di organisasi Anda - seberapa tinggi mereka berada dalam daftar pengguna yang harus Anda selidiki, relatif terhadap pengguna lain di organisasi Anda. Jumlahnya akan berwarna merah jika pengguna berada di atau di atas persentil ke-90 pengguna berisiko di seluruh organisasi Anda.
    Halaman Pengguna membantu Anda menjawab pertanyaan:

    • Siapa penggunanya?
      Lihat panel kiri untuk mendapatkan informasi tentang siapa pengguna dan apa yang diketahui tentang mereka. Panel ini memberi Anda informasi tentang peran pengguna di perusahaan Anda dan departemen mereka. Apakah pengguna adalah insinyur DevOps yang sering melakukan aktivitas yang tidak biasa sebagai bagian dari pekerjaan mereka? Apakah pengguna karyawan yang tidak puas yang baru saja diteruskan untuk promosi?

    • Apakah pengguna berisiko?
      Lihat bagian atas panel kanan sehingga Anda tahu apakah layak untuk menyelidiki pengguna. Berapa skor risiko karyawan?

    • Apa risiko yang diberikan pengguna kepada organisasi Anda?
      Lihat daftar di panel bawah, yang memberi Anda setiap aktivitas dan setiap pemberitahuan yang terkait dengan pengguna untuk membantu Anda mulai memahami jenis risiko apa yang diwakili pengguna. Di garis waktu, pilih setiap baris sehingga Anda dapat menelusuri lebih dalam aktivitas atau pemberitahuan itu sendiri. Anda juga dapat memilih angka di samping aktivitas sehingga Anda dapat memahami bukti yang memengaruhi skor itu sendiri.

    • Apa risikonya terhadap aset lain di organisasi Anda?
      Pilih tab Jalur gerakan lateral untuk memahami jalur mana yang dapat digunakan penyerang untuk mendapatkan kontrol atas aset lain di organisasi Anda. Misalnya, bahkan jika pengguna yang Anda selidiki memiliki akun yang tidak sensitif, penyerang dapat menggunakan koneksi ke akun untuk menemukan dan mencoba membahayakan akun sensitif di jaringan Anda. Untuk informasi selengkapnya, lihat Menggunakan Jalur Gerakan Lateral.

Catatan

Penting untuk diingat bahwa meskipun halaman Pengguna menyediakan informasi untuk perangkat, sumber daya, dan akun di semua aktivitas, skor prioritas investigasi adalah jumlah semua aktivitas dan pemberitahuan berisiko selama 7 hari terakhir.

Mengatur ulang skor pengguna

Jika pengguna diselidiki dan tidak ada kecurigaan untuk kompromi yang ditemukan, atau karena alasan apa pun Anda lebih suka mengatur ulang skor prioritas investigasi pengguna, Anda dapat mengatur ulang skor secara manual.

  1. Di dasbor Defender untuk Cloud Apps, di petak Peta Pengguna teratas untuk menyelidiki, pilih pengguna yang ingin Anda reset, atau pilih Tampilkan semua pengguna untuk diselidiki. Atau, di bawah Selidiki ->Pengguna dan Akun, pilih pengguna dengan nilai di kolom Prioritas investigasi .

    Catatan

    Hanya pengguna dengan skor prioritas investigasi bukan nol yang dapat diatur ulang.

  2. Di jendela yang terbuka, pilih tampilkan halaman Pengguna di kanan atas.

    Select View User page.

  3. Halaman pengguna akan terbuka di tab baru. Pilih tautan Reset skor prioritas investigasi di bagian tindakan di sisi kanan atas halaman.

    Select Reset investigation priority score link.

  4. Di jendela konfirmasi, pilih Reset skor.

    Select Reset score button.

Fase 3: Selidiki pengguna lebih lanjut

Saat Anda menyelidiki pengguna berdasarkan pemberitahuan atau jika Anda melihat pemberitahuan di sistem eksternal, mungkin ada aktivitas yang saja mungkin tidak menyebabkan alarm, tetapi ketika Defender untuk Cloud Apps menggabungkannya bersama dengan aktivitas lain, pemberitahuan tersebut mungkin merupakan indikasi peristiwa yang mencurigakan.

Saat menyelidiki pengguna, Anda ingin mengajukan pertanyaan ini tentang aktivitas dan pemberitahuan yang Anda lihat:

  • Apakah ada pembenaran bisnis bagi karyawan ini untuk melakukan kegiatan ini? Misalnya, jika seseorang dari Pemasaran mengakses basis kode, atau seseorang dari Pengembangan mengakses database Keuangan, Anda harus menindaklanjuti dengan karyawan untuk memastikan ini adalah aktivitas yang disengaja dan dibenarkan.

  • Buka log Aktivitas untuk memahami mengapa aktivitas ini menerima skor tinggi sementara yang lain tidak. Anda dapat mengatur prioritas Investigasi ke Diatur untuk memahami aktivitas mana yang mencurigakan. Misalnya, Anda dapat memfilter berdasarkan prioritas Investigasi untuk semua aktivitas yang terjadi di Ukraina. Kemudian Anda dapat melihat apakah ada aktivitas lain yang berisiko, tempat pengguna terhubung, dan Anda dapat dengan mudah melakukan pivot ke penelusuran paling detail lainnya, seperti cloud non-anomali dan aktivitas lokal terbaru, untuk melanjutkan penyelidikan Anda.

Fase 4: Melindungi organisasi Anda

Jika investigasi Anda mengarahkan Anda ke kesimpulan bahwa pengguna disusupi, ikuti langkah-langkah ini untuk mengurangi risiko.

  • Hubungi pengguna - Menggunakan informasi kontak pengguna yang terintegrasi dengan aplikasi Defender untuk Cloud dari Direktori Aktif, Anda dapat menelusuri paling detail setiap pemberitahuan dan aktivitas untuk mengatasi identitas pengguna. Pastikan pengguna terbiasa dengan aktivitas.

  • Langsung dari portal Defender untuk Cloud Apps, pilih kontrol Tindakan pengguna dan pilih apakah akan mengharuskan pengguna untuk masuk lagi, menangguhkan pengguna, atau mengonfirmasi pengguna disusupi.

  • Dalam kasus identitas yang disusupi, Anda dapat meminta pengguna untuk mengatur ulang kata sandi mereka, memastikan kata sandi memenuhi panduan praktik terbaik untuk panjang dan kompleksitas.

  • Jika Anda menelusuri paling detail pemberitahuan dan menentukan bahwa aktivitas seharusnya tidak memicu pemberitahuan, di laci Aktivitas, pilih tautan Kirimi kami umpan balik sehingga kami dapat memastikan untuk menyempurnakan sistem pemberitahuan kami dengan mempertimbangkan organisasi Anda.

  • Setelah Anda memulihkan masalah, tutup pemberitahuan.

Lihat juga

Aktivitas harian untuk melindungi lingkungan cloud Anda

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.