Zelfstudie: Riskante gebruikers onderzoeken

Notitie

De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Beveiligingsteams worden aangeraden om gebruikersactiviteiten, verdacht of anderszins, te bewaken in alle dimensies van de kwetsbaarheid voor identiteitsaanvallen, met behulp van meerdere beveiligingsoplossingen die vaak niet zijn verbonden. Hoewel veel bedrijven nu opsporingsteams hebben om bedreigingen in hun omgevingen proactief te identificeren, kan het een uitdaging zijn om te weten wat er moet worden gezocht in de enorme hoeveelheid gegevens. Microsoft Defender for Cloud Apps vereenvoudigt dit nu door de noodzaak weg te nemen om complexe correlatieregels te maken en kunt u zoeken naar aanvallen die zich in uw cloud en on-premises netwerk bevinden.

Om u te helpen focussen op gebruikersidentiteit, biedt Microsoft Defender for Cloud Apps UEBA (User Entity Behavior Analytics) in de cloud. Dit kan worden uitgebreid naar uw on-premises omgeving door te integreren met Microsoft Defender for Identity. Nadat u integreert met Defender for Identity, krijgt u ook context rond de gebruikersidentiteit van de systeemeigen integratie met Active Directory.

Of uw trigger nu een waarschuwing is die u ziet in het dashboard Defender voor Cloud Apps of dat u informatie van een beveiligingsservice van derden hebt, start uw onderzoek vanuit het dashboard Defender voor Cloud Apps om meer te weten te komen over riskante gebruikers.

In deze zelfstudie leert u hoe u Defender voor Cloud Apps gebruikt om riskante gebruikers te onderzoeken:

Inzicht in de score voor onderzoekprioriteit

De score voor onderzoekprioriteit is een score Defender voor Cloud Apps aan elke gebruiker geeft om u te laten weten hoe riskant een gebruiker is ten opzichte van andere gebruikers in uw organisatie.

Gebruik de prioriteitsscore Onderzoek om te bepalen welke gebruikers het eerst moeten onderzoeken. Defender voor Cloud Apps bouwt gebruikersprofielen voor elke gebruiker op basis van analyses die rekening houden met tijd, peergroepen en verwachte gebruikersactiviteit. Activiteit die afwijkend is voor de basislijn van een gebruiker, wordt geëvalueerd en beoordeeld. Nadat het scoren is voltooid, worden de eigen dynamische peerberekeningen van Microsoft uitgevoerd op de gebruikersactiviteiten om de onderzoeksprioriteit voor elke gebruiker te berekenen.

De prioriteitsscore Onderzoek biedt u de mogelijkheid om zowel kwaadwillende insiders als externe aanvallers die zich lateraal in uw organisaties verplaatsen, te detecteren zonder te hoeven vertrouwen op standaard deterministische detecties.

De score voor onderzoekprioriteit is gebaseerd op beveiligingswaarschuwingen, abnormale activiteiten en potentiële zakelijke en assetimpact die betrekking hebben op elke gebruiker, zodat u kunt beoordelen hoe dringend het is om elke specifieke gebruiker te onderzoeken.

Als u de scorewaarde voor een waarschuwing of activiteit selecteert, kunt u het bewijs bekijken waarin wordt uitgelegd hoe Defender voor Cloud Apps de activiteit hebben beoordeeld.

Elke Azure AD gebruiker heeft een prioriteitsscore voor dynamisch onderzoek, die voortdurend wordt bijgewerkt op basis van recent gedrag en impact, gebouwd op basis van gegevens die zijn geëvalueerd door Defender for Identity en Defender voor Cloud Apps. U kunt nu direct begrijpen wie de echte riskante gebruikers zijn, door te filteren op basis van de prioriteitsscore Onderzoek, direct te controleren wat hun bedrijfsimpact is en alle gerelateerde activiteiten te onderzoeken, ongeacht of ze zijn gecompromitteerd, gegevens exfiltreren of fungeren als insiderbedreigingen.

Defender voor Cloud Apps gebruikt het volgende om risico's te meten:

  • Scoren van waarschuwingen
    De waarschuwingsscore vertegenwoordigt de mogelijke impact van een specifieke waarschuwing op elke gebruiker. Scoren van waarschuwingen is gebaseerd op ernst, gebruikersimpact, populariteit van waarschuwingen voor alle gebruikers en alle entiteiten in de organisatie.

  • Scoren van activiteit
    De activiteitsscore bepaalt de waarschijnlijkheid van een specifieke gebruiker die een specifieke activiteit uitvoert, op basis van gedragsleer van de gebruiker en hun peers. Activiteiten geïdentificeerd als de meest abnormale ontvangst van de hoogste scores.

  • Straalstraal (preview) Straalstraal voegt een extra scorefactor toe aan de berekeningen van de onderzoeksprioriteit, op basis van meerdere factoren die bepalen welke mogelijke impact een aangetaste gebruiker heeft op de organisatie.

    Blast radius

    Notitie

    De straalfactor is afhankelijk van de relevantie van de tenant en wordt daarom mogelijk niet weergegeven voor alle tenants.

Fase 1: Verbinding maken naar de apps die u wilt beveiligen

  1. Verbinding maken ten minste één app Microsoft Defender for Cloud Apps met behulp van de API-connectors. U wordt aangeraden eerst verbinding te maken met Office 365.
  2. Verbinding maken extra apps die gebruikmaken van de proxy om app-beheer voor voorwaardelijke toegang te bereiken.
  3. Als u inzichten in uw on-premises omgeving wilt inschakelen, configureert u Defender voor Cloud Apps om te integreren met uw Defender for Identity-omgeving.

Fase 2: Belangrijkste riskante gebruikers identificeren

Om te bepalen wie uw riskante gebruikers zijn in Defender voor Cloud Apps:

  1. Ga naar het dashboard Defender voor Cloud Apps en bekijk de personen die zijn geïdentificeerd in de tegel Belangrijkste gebruikers op de tegel Prioriteit van onderzoek. Vervolgens gaat u één voor één naar de gebruikerspagina om ze te onderzoeken.
    Het nummer van de onderzoeksprioriteit, dat naast de gebruikersnaam is gevonden, is een som van alle riskante activiteiten van de gebruiker in de afgelopen week.

    Top users dashboard.

  2. Selecteer een bepaalde gebruiker om naar de pagina Gebruiker te gaan. User page

  3. Bekijk de informatie op de pagina Gebruiker voor een overzicht van de gebruiker en kijk of er punten zijn waarop de gebruiker activiteiten heeft uitgevoerd die ongebruikelijk waren voor die gebruiker of op een ongebruikelijk tijdstip zijn uitgevoerd. De score van de gebruiker vergeleken met de organisatie geeft aan in welk percentiel de gebruiker zich bevindt op basis van hun rangschikking in uw organisatie: hoe hoog ze zijn in de lijst met gebruikers die u moet onderzoeken, ten opzichte van andere gebruikers in uw organisatie. Het getal wordt rood als een gebruiker zich in of boven het 90e percentiel van riskante gebruikers in uw organisatie bevindt.
    De pagina Gebruiker helpt u bij het beantwoorden van de vragen:

    • Wie is de gebruiker?
      Bekijk het linkerdeelvenster om informatie te krijgen over wie de gebruiker is en wat er over hen bekend is. Dit deelvenster bevat informatie over de rol van de gebruiker in uw bedrijf en hun afdeling. Is de gebruiker een DevOps-engineer die vaak ongebruikelijke activiteiten uitvoert als onderdeel van hun taak? Is de gebruiker een ontevreden werknemer die zojuist is doorgegeven voor een promotie?

    • Is de gebruiker riskant?
      Bekijk de bovenkant van het rechterdeelvenster, zodat u weet of het de moeite waard is om de gebruiker te onderzoeken. Wat is de risicoscore van de werknemer?

    • Wat is het risico dat de gebruiker aan uw organisatie presenteert?
      Bekijk de lijst in het onderste deelvenster, waarmee u elke activiteit en elke waarschuwing met betrekking tot de gebruiker krijgt om inzicht te krijgen in het type risico dat de gebruiker vertegenwoordigt. Selecteer elke regel in de tijdlijn, zodat u dieper kunt inzoomen op de activiteit of waarschuwing zelf. U kunt ook het nummer naast de activiteit selecteren, zodat u inzicht krijgt in het bewijs dat de score zelf heeft beïnvloed.

    • Wat is het risico voor andere assets in uw organisatie?
      Selecteer het tabblad Latere verplaatsingspaden om te begrijpen welke paden een aanvaller kan gebruiken om controle te krijgen over andere assets in uw organisatie. Zelfs als de gebruiker die u onderzoekt een niet-gevoelig account heeft, kan een aanvaller verbindingen met het account gebruiken om gevoelige accounts in uw netwerk te detecteren en te misbruiken. Zie Laterale verplaatsingspaden gebruiken voor meer informatie.

Notitie

Het is belangrijk te onthouden dat de gebruikerspagina informatie biedt voor apparaten, resources en accounts voor alle activiteiten, is de score voor onderzoekprioriteit de som van alle riskante activiteiten en waarschuwingen in de afgelopen zeven dagen.

Gebruikersscore opnieuw instellen

Als de gebruiker is onderzocht en er geen vermoeden voor inbreuk is gevonden, of om welke reden dan ook, kunt u de prioriteitsscore van de gebruiker handmatig opnieuw instellen.

  1. Selecteer in het dashboard Defender voor Cloud Apps in de tegel Topgebruikers om de tegel te onderzoeken de gebruiker die u opnieuw wilt instellen of selecteer Alle gebruikers weergeven om te onderzoeken. U kunt ook onder Onderzoeken ->Gebruikers en accounts de gebruiker selecteren met een waarde in de kolom Onderzoekprioriteit.

    Notitie

    Alleen gebruikers met een prioriteitsscore voor niet-nul onderzoek kunnen opnieuw worden ingesteld.

  2. Selecteer in het venster dat wordt geopend de pagina Gebruiker weergeven in de rechterbovenhoek.

    Select View User page.

  3. De gebruikerspagina wordt geopend op een nieuw tabblad. Selecteer de koppeling Onderzoeksprioriteitsscore opnieuw instellen in de sectie Acties in de rechterbovenhoek van de pagina.

    Select Reset investigation priority score link.

  4. Selecteer in het bevestigingsvenster De score opnieuw instellen.

    Select Reset score button.

Fase 3: Gebruikers verder onderzoeken

Wanneer u een gebruiker onderzoekt op basis van een waarschuwing of als u een waarschuwing in een extern systeem hebt gezien, zijn er mogelijk activiteiten die alleen geen reden voor alarm zijn, maar wanneer Defender voor Cloud Apps deze samenvoegt met andere activiteiten, kan de waarschuwing een indicatie zijn van een verdachte gebeurtenis.

Wanneer u een gebruiker onderzoekt, wilt u deze vragen stellen over de activiteiten en waarschuwingen die u ziet:

  • Is er een zakelijke reden voor deze werknemer om deze activiteiten uit te voeren? Als iemand van Marketing bijvoorbeeld toegang heeft tot de codebasis of iemand van Development toegang heeft tot de financiële database, moet u contact opnemen met de werknemer om ervoor te zorgen dat dit een opzettelijke en gerechtvaardigd activiteit was.

  • Ga naar het activiteitenlogboek om te begrijpen waarom deze activiteit een hoge score heeft ontvangen terwijl anderen dat niet hebben gedaan. U kunt de prioriteit Onderzoek instellen op Is ingesteld om te begrijpen welke activiteiten verdacht zijn. U kunt bijvoorbeeld filteren op basis van onderzoeksprioriteit voor alle activiteiten die in Oekraïne hebben plaatsgevonden. Vervolgens kunt u zien of er andere activiteiten zijn die riskant waren, waar de gebruiker verbinding mee heeft gemaakt en u eenvoudig kunt draaien naar andere inzoomen, zoals recente niet-afwijkende cloud- en on-premises activiteiten, om uw onderzoek voort te zetten.

Fase 4: Uw organisatie beveiligen

Als uw onderzoek u leidt tot de conclusie dat een gebruiker is aangetast, volgt u deze stappen om het risico te beperken.

  • Neem contact op met de gebruiker: met behulp van de contactgegevens van de gebruiker die is geïntegreerd met Defender voor Cloud Apps van Active Directory, kunt u inzoomen op elke waarschuwing en activiteit om de gebruikersidentiteit op te lossen. Zorg ervoor dat de gebruiker bekend is met de activiteiten.

  • Rechtstreeks vanuit de Defender voor Cloud Apps-portal selecteert u het besturingselement Gebruikersacties en kiest u of u wilt vereisen dat de gebruiker zich opnieuw aanmeldt, de gebruiker onderbreekt of bevestigt dat de gebruiker is aangetast.

  • In het geval van een aangetaste identiteit kunt u de gebruiker vragen om het wachtwoord opnieuw in te stellen, zodat het wachtwoord voldoet aan de best practice-richtlijnen voor lengte en complexiteit.

  • Als u inzoomt op een waarschuwing en vaststelt dat de activiteit geen waarschuwing moet hebben geactiveerd, selecteert u in de activiteitenlade de koppeling Feedback verzenden , zodat we zeker weten dat we ons waarschuwingssysteem nauwkeurig kunnen afstemmen met uw organisatie.

  • Nadat u het probleem hebt opgelost, sluit u de waarschuwing.

Zie ook

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.