Tutorial: Investigar utilizadores arriscados

  • Artigo
  • 10 minutos para ler

Nota

  • Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.

As equipas de operações de segurança são desafiadas a monitorizar a atividade do utilizador, suspeita ou não, em todas as dimensões da superfície de ataque de identidade, utilizando múltiplas soluções de segurança que muitas vezes não estão ligadas. Embora muitas empresas tenham agora equipas de caça para identificar proativamente ameaças nos seus ambientes, saber o que procurar através da vasta quantidade de dados pode ser um desafio. Microsoft Defender for Cloud Apps agora simplifica isto, retirando a necessidade de criar regras complexas de correlação, e permite-lhe procurar ataques que se estendem através da sua rede de nuvem e no local.

Para ajudá-lo a focar-se na identidade do utilizador, Microsoft Defender for Cloud Apps fornece análise comportamental da entidade utilizadora (UEBA) na nuvem. Isto pode ser estendido ao seu ambiente no local, integrando-se com Microsoft Defender para Identidade. Depois de se integrar com o Defender for Identity, também ganhará contexto em torno da identidade do utilizador a partir da sua integração nativa com o Ative Directory.

Se o seu gatilho é um alerta que vê no painel de aplicações Defender para a Cloud, ou se tem informações de um serviço de segurança de terceiros, inicie a sua investigação a partir do dashboard Defender para a Cloud Apps para mergulhar profundamente em utilizadores de risco.

Neste tutorial, você vai aprender a usar Defender para a Cloud Apps para investigar utilizadores arriscados:

Compreenda a pontuação prioritária da investigação

A pontuação prioritária da investigação é uma pontuação Defender para a Cloud apps dá a cada utilizador para que você saiba o quão arriscado um utilizador é em relação a outros utilizadores na sua organização.

Utilize a pontuação prioritária da Investigação para determinar quais os utilizadores que investigar em primeiro lugar. Defender para a Cloud Apps constrói perfis de utilizadores para cada utilizador com base em análises que levam tempo, grupos de pares e atividade esperada do utilizador em consideração. A atividade anómala à linha de base de um utilizador é avaliada e pontuada. Após a conclusão da pontuação, os cálculos dinâmicos e machine learning da Microsoft são executados nas atividades do utilizador para calcular a prioridade de investigação para cada utilizador.

A pontuação prioritária da Investigação proporciona-lhe a capacidade de detetar tanto infiltrados maliciosos, como atacantes externos movendo-se lateralmente nas suas organizações, sem ter que confiar em deteções determinísticas padrão.

A pontuação prioritária da investigação baseia-se em alertas de segurança, atividades anormais e potenciais impactos de negócios e ativos relacionados com cada utilizador para ajudá-lo a avaliar a urgência de investigar cada utilizador específico.

Se selecionar o valor de pontuação para um alerta ou uma atividade, pode ver as provas que explicam como Defender para a Cloud Apps marcaram a atividade.

Cada utilizador Azure AD tem uma pontuação dinâmica de prioridade de investigação, que é constantemente atualizada com base no comportamento e impacto recentes, construído a partir de dados avaliados pelo Defender for Identity and Defender para a Cloud Apps. Agora pode agora entender imediatamente quem são os utilizadores de alto risco, filtrando de acordo com a pontuação prioritária da Investigação, verificar diretamente qual é o seu impacto no negócio, e investigar todas as atividades relacionadas – se estão comprometidas, exfiltrando dados ou agindo como ameaças internas.

Defender para a Cloud Apps usa o seguinte para medir o risco:

  • Pontuação de alerta
    A pontuação de alerta representa o impacto potencial de um alerta específico em cada utilizador. A pontuação de alerta baseia-se na severidade, impacto do utilizador, popularidade de alerta entre os utilizadores e todas as entidades da organização.

  • Pontuação da atividade
    A pontuação da atividade determina a probabilidade de um utilizador específico realizar uma atividade específica, com base na aprendizagem comportamental do utilizador e dos seus pares. As atividades identificadas como as mais anormais recebem as pontuações mais altas.

  • Raio de explosão (pré-visualização) O raio de explosão adiciona um fator de pontuação adicional aos cálculos prioritários da investigação, com base em múltiplos fatores que determinam o impacto potencial que um utilizador comprometido tem na organização.

    Blast radius

    Nota

    O fator de raio de explosão depende da relevância do inquilino, pelo que pode não aparecer para todos os inquilinos.

Fase 1: Ligação às aplicações que pretende proteger

  1. Ligação pelo menos uma aplicação para Microsoft Defender for Cloud Apps usando os conectores API. Recomendamos que comece por ligar Office 365.
  2. Ligação aplicações adicionais usando o proxy para obter o controlo condicional da aplicação de acesso.
  3. Para permitir insights em todo o seu ambiente no local, configuure Defender para a Cloud aplicações para integrar-se com o seu ambiente Defender for Identity.

Fase 2: Identificar utilizadores de alto risco

Para identificar quem são os seus utilizadores mais arriscados em Defender para a Cloud Apps:

  1. Vá ao dashboard Defender para a Cloud Apps e veja as pessoas identificadas no Top utilizadores por azulejo prioritário de investigação, e depois um por um vá à sua página de utilizador para os investigar.
    O número de prioridade da investigação, encontrado junto ao nome de utilizador, é uma soma de todas as atividades de risco do utilizador durante a última semana.

    Top users dashboard.

  2. Selecione um determinado utilizador para chegar à página do Utilizador . User page

  3. Reveja as informações na página do Utilizador para obter uma visão geral do utilizador e ver se existem pontos em que o utilizador realizou atividades incomuns para esse utilizador ou que foram realizadas num momento incomum. A pontuação do Utilizador em comparação com a organização representa qual o percentil em que o utilizador está com base no seu ranking na sua organização - quão alto eles estão na lista de utilizadores que você deve investigar, em relação a outros utilizadores na sua organização. O número será vermelho se um utilizador estiver dentro ou acima do percentil 90 de utilizadores arriscados em toda a sua organização.
    A página do Utilizador ajuda-o a responder às perguntas:

    • Quem é o utilizador?
      Olhe para o painel esquerdo para obter informações sobre quem é o utilizador e o que se sabe sobre eles. Este painel fornece-lhe informações sobre o papel do utilizador na sua empresa e no seu departamento. O utilizador é um engenheiro de DevOps que frequentemente realiza atividades incomuns como parte do seu trabalho? O utilizador é um empregado descontente que acabou de ser entregue para uma promoção?

    • O utilizador é arriscado?
      Confira a parte superior do painel certo para saber se vale a pena investigar o utilizador. Qual é a pontuação de risco do empregado?

    • Qual é o risco que o utilizador apresenta à sua organização?
      Veja a lista no painel inferior, que lhe fornece cada atividade e cada alerta relacionado com o utilizador para ajudá-lo a começar a entender que tipo de risco o utilizador representa. Na linha de tempo, selecione cada linha para que possa aprofundar a atividade ou alertar-se. Também pode selecionar o número ao lado da atividade para que possa compreender as provas que influenciaram a própria pontuação.

    • Qual é o risco para outros bens na sua organização?
      Selecione o separador caminhos de movimento lateral para entender quais os caminhos que um intruso pode usar para ganhar o controlo de outros ativos na sua organização. Por exemplo, mesmo que o utilizador que está a investigar tenha uma conta não sensível, um intruso pode usar ligações à conta para descobrir e tentar comprometer contas sensíveis na sua rede. Para mais informações, consulte utilizar caminhos de movimento laterais.

Nota

É importante lembrar que, embora a página do Utilizador forneça informações para dispositivos, recursos e contas em todas as atividades, a pontuação prioritária da investigação é a soma de todas as atividades e alertas de risco ao longo dos últimos 7 dias.

Redefinir a pontuação do utilizador

Se o utilizador foi investigado e não foi encontrada qualquer suspeita de compromisso, ou por qualquer motivo que prefira redefinir a pontuação prioritária de investigação do utilizador, pode redefinir manualmente a pontuação.

  1. No dashboard Defender para a Cloud Apps, no Top utilizadores para investigar azulejos, selecione o utilizador que pretende reiniciar ou selecione Ver todos os utilizadores para investigar. Em alternativa, no âmbito do Inquérito ->Utilizadores e Contas, selecione o utilizador com um valor na coluna prioridade do Inquérito .

    Nota

    Apenas os utilizadores com uma pontuação prioritária de investigação não zero podem ser reiniciados.

  2. Na janela que se abre, selecione Ver página do Utilizador no canto superior direito.

    Select View User page.

  3. A página do utilizador será aberta num novo separador. Selecione o link de pontuação de prioridade de investigação Reset na secção de ações no lado superior direito da página.

    Select Reset investigation priority score link.

  4. Na janela de confirmação, selecione 'Repor a pontuação'.

    Select Reset score button.

Fase 3: Investigar ainda mais os utilizadores

Quando investiga um utilizador com base num alerta ou se viu um alerta num sistema externo, pode haver atividades que por si só podem não ser motivo de alarme, mas quando Defender para a Cloud Apps os agrega em conjunto com outras atividades, o alerta pode ser uma indicação de um evento suspeito.

Quando investiga um utilizador, pretende fazer estas perguntas sobre as atividades e alertas que vê:

  • Existe alguma justificação para este empregado realizar estas atividades? Por exemplo, se alguém do Marketing estiver a aceder à base de código, ou alguém do Development aceder à base de dados das Finanças, deve acompanhar o colaborador para se certificar de que se trata de uma atividade intencional e justificada.

  • Vá ao registo de Atividades para entender por que esta atividade recebeu uma pontuação alta enquanto outros não. Você pode definir a prioridade da investigação para é definido para entender quais atividades são suspeitas. Por exemplo, você pode filtrar com base na prioridade de investigação para todas as atividades que ocorreram na Ucrânia. Depois pode ver se houve outras atividades que eram arriscadas, de onde o utilizador se ligou, e você pode facilmente girar para outros downs, tais como nuvem não anómala recente e atividades on-prem, para continuar a sua investigação.

Fase 4: Proteja a sua organização

Se a sua investigação o levar à conclusão de que um utilizador está comprometido, siga estes passos para mitigar o risco.

  • Contacte o utilizador – Utilizando as informações de contacto do utilizador integradas com Defender para a Cloud Aplicações do Ative Directory, pode aprofundar cada alerta e atividade para resolver a identidade do utilizador. Certifique-se de que o utilizador está familiarizado com as atividades.

  • Diretamente a partir do portal Defender para a Cloud Apps, selecione o controlo das ações do Utilizador e escolha se deve exigir que o utilizador volte a fazer sê-lo, suspender o utilizador ou confirmar o compromisso do utilizador.

  • No caso de uma identidade comprometida, pode solicitar ao utilizador que reponha a sua palavra-passe, certificando-se de que a palavra-passe cumpre as diretrizes de boas práticas para comprimento e complexidade.

  • Se entrar em alerta e determinar que a atividade não deveria ter desencadeado um alerta, na gaveta Atividade, selecione o link de feedback Enviar-nos para que possamos afinar o nosso sistema de alerta com a sua organização em mente.

  • Depois de remediar o problema, feche o alerta.

Ver também

Atividades diárias para proteger o seu ambiente na cloud

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.