Руководство. Изучение рискованных пользователей

Команды по операциям безопасности сталкиваются с проблемами мониторинга активности пользователей, подозрительных или других измерений области атак на удостоверение с помощью нескольких решений безопасности, которые часто не подключены. Хотя многие компании теперь имеют команды охоты на упреждающую идентификацию угроз в их средах, зная, что искать на большом количестве данных может быть проблемой. Microsoft Defender для облака приложения теперь упрощают это, убирая необходимость создания сложных правил корреляции и позволяет искать атаки, охватывающие облачную и локальную сеть.

Чтобы помочь вам сосредоточиться на удостоверении пользователя, Microsoft Defender для облака Apps предоставляет аналитику поведения пользователей (UEBA) в облаке. Это можно расширить в локальную среду, интегрируя с Microsoft Defender для удостоверений. После интеграции с Defender для удостоверений вы также получите контекст вокруг удостоверения пользователя из собственной интеграции с Active Directory.

Указывает, является ли ваш триггер оповещением на панели мониторинга приложений Defender для облака или есть ли у вас информация из сторонней службы безопасности, запустите исследование с панели мониторинга Defender для облака Apps, чтобы глубоко ознакомиться с рискованными пользователями.

В этом руководстве вы узнаете, как использовать приложения Defender для облака для изучения рискованных пользователей:

• Подключение приложениям, которые вы хотите защитить
• Определение наиболее рискованных пользователей
• Дальнейшее изучение пользователей
• Защита организации

Увеличение оценки приоритета исследования — временная шкала

К июля 2024 года мы постепенно отставим от поддержки "Увеличение оценки приоритета исследования" от Microsoft Defender для облака Apps.

После тщательного анализа и рассмотрения мы решили отказаться от него из-за высокой частоты ложных срабатываний, связанных с этим оповещением, которое мы обнаружили, не способствовало эффективной безопасности вашей организации.

Наше исследование показало, что эта функция не добавляет значительную ценность и не согласуется с нашим стратегическим вниманием на обеспечении высококачественных, надежных решений безопасности.

Мы стремимся постоянно улучшать наши услуги и гарантировать, что они соответствуют вашим потребностям и ожиданиям.

Для тех, кто хочет продолжать использовать это оповещение, мы рекомендуем использовать выделенный запрос Advanced Hunting:

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

• Это предложение, используйте его в качестве шаблона и измените в зависимости от ваших потребностей.

Общие сведения о оценке приоритета исследования

Оценка приоритета исследования — это оценка, Defender для облака Приложения предоставляют каждому пользователю возможность узнать, насколько рискованный пользователь относительно других пользователей в вашей организации.

Используйте оценку приоритета исследования, чтобы определить, какие пользователи нужно сначала исследовать. Defender для облака Приложения создают профили пользователей для каждого пользователя на основе аналитики, которая требует времени, одноранговых групп и ожидаемых действий пользователей. Действие, которое является аномальным для базового плана пользователя, оценивается и оценивается. После завершения оценки собственные вычисления динамических одноранговых узлов Майкрософт и машинное обучение выполняются для действий пользователя, чтобы вычислить приоритет исследования для каждого пользователя.

Оценка приоритета исследования обеспечивает возможность обнаружения злоумышленников и внешних злоумышленников, которые перемещаются в организации позже, не опираясь на стандартные детерминированные обнаружения.

Оценка приоритета исследования основана на оповещениях системы безопасности, аномальных действиях и потенциальных последствиях для бизнеса и активов, связанных с каждым пользователем, чтобы помочь вам оценить, насколько срочно это необходимо для изучения каждого конкретного пользователя.

Если выбрать значение оценки для оповещения или действия, вы можете просмотреть доказательства, объясняющие, как Defender для облака Приложения забили действие.

Каждый пользователь Microsoft Entra имеет оценку приоритета динамического исследования, которая постоянно обновляется на основе недавнего поведения и влияния, созданного на основе данных, оцененных из Defender для удостоверений и Defender для облака приложений. Теперь вы можете сразу понять, кто является реальными наиболее рискованными пользователями, отфильтровав в соответствии с оценкой приоритета исследования, напрямую проверить, что их влияние на бизнес, и исследовать все связанные действия , будь то скомпрометированные, эксфильтрованные данные или действия в качестве внутренних угроз.

Defender для облака Приложения используют следующее для измерения риска:

• Оценка оповещений
  Оценка оповещений представляет потенциальное влияние определенного оповещения на каждого пользователя. Оценка оповещений основана на серьезности, влиянии пользователя, популярности оповещений для пользователей и всех сущностей в организации.

• Оценка действий
  Оценка действий определяет вероятность конкретного пользователя, выполняющего определенное действие, на основе поведения пользователя и их одноранговых узлов. Действия, идентифицированные как самые ненормальные, получают самые высокие оценки.

Этап 1. Подключение приложениям, которые вы хотите защитить

1. Подключение по крайней мере одно приложение для Microsoft Defender для облака Приложений с помощью соединителей API. Мы рекомендуем начать с подключения Microsoft 365.
2. Подключение дополнительные приложения с помощью прокси-сервера для обеспечения управления условным доступом.

Этап 2. Определение наиболее рискованных пользователей

Чтобы определить, кто ваши самые рискованные пользователи находятся в Defender для облака приложениях:

1. На портале Microsoft Defender в разделе "Активы" выберите "Удостоверения". Сортировка таблицы по приоритету исследования. Затем по одному перейдите на страницу пользователя, чтобы изучить их.
   Номер приоритета исследования, найденный рядом с именем пользователя, является суммой всех рискованных действий пользователя на прошлой неделе.

   

2. Выберите три точки справа от пользователя и выберите страницу "Просмотреть пользователя".

3. Просмотрите сведения на странице "Пользователь", чтобы получить обзор пользователя и узнать, есть ли точки, в которых пользователь выполнял действия, которые были необычными для этого пользователя или были выполнены в необычное время. Оценка пользователя по сравнению с организацией представляет процентиль, который пользователь находится в зависимости от их ранжирования в вашей организации — насколько высоко они находятся в списке пользователей, которые следует исследовать относительно других пользователей в вашей организации. Число будет красным, если пользователь находится в 90-м процентилье рискованных пользователей в вашей организации или выше.
   Страница "Пользователь" помогает ответить на вопросы:

   • Кто пользователь?
     Просмотрите левую панель, чтобы получить сведения о том, кто является пользователем и что известно о них. Эта область предоставляет сведения о роли пользователя в вашей компании и их отделе. Является ли пользователь инженером DevOps, который часто выполняет необычные действия в рамках своей работы? Является ли пользователь недовольным сотрудником, который только что прошел на повышение?

   • Является ли пользователь рискованным?
     Ознакомьтесь с верхней частью правой панели, чтобы узнать, стоит ли изучить пользователя. Что такое оценка риска сотрудника?

   • Какой риск представляет пользователь вашей организации?
     Просмотрите список в нижней области, которая предоставляет каждое действие и каждое оповещение, связанное с пользователем, чтобы узнать, какой тип риска представляет пользователь. В временная шкала выберите каждую строку, чтобы можно было детализированное более подробное представление о действии или оповещении. Вы также можете выбрать число рядом с действием, чтобы понять доказательства, влияющие на сам показатель.

   • Что такое риск для других ресурсов в вашей организации?
     Перейдите на вкладку "Пути бокового перемещения" , чтобы понять, какие пути злоумышленник может использовать для контроля над другими ресурсами в вашей организации. Например, даже если пользователь, изучающий учетную запись, не учитывается, злоумышленник может использовать подключения к учетной записи для обнаружения и попытки компрометации конфиденциальных учетных записей в сети. Дополнительные сведения см. в разделе "Использование путей бокового перемещения".

Примечание.

Важно помнить, что в то время как страница "Пользователь" предоставляет информацию для устройств, ресурсов и учетных записей во всех действиях, оценка приоритета исследования — это сумма всех рискованных действий и оповещений за последние 7 дней.

Сброс оценки пользователя

Если пользователь был расследован и никаких подозрений на компрометацию не найден или по какой-либо причине вы предпочитаете сбросить оценку приоритета исследования пользователя, можно вручную сбросить оценку.

1. На портале Microsoft Defender в разделе "Активы" выберите "Удостоверения".

2. Выберите три точки справа от расследованного пользователя и нажмите кнопку "Сброс оценки приоритета исследования". Вы также можете выбрать страницу "Просмотр пользователя", а затем выбрать оценку приоритета исследования сброса из трех точек на странице "Пользователь".

   Примечание.

   Можно сбросить только пользователей с ненулевым показателем приоритета исследования.

   

3. В окне подтверждения выберите "Сбросить оценку".

   

Этап 3. Дальнейшее изучение пользователей

При изучении пользователя на основе оповещения или при обнаружении оповещения во внешней системе могут возникнуть действия, которые могут не вызывать тревогу, но если Defender для облака Приложения агрегируют их вместе с другими действиями, оповещение может быть признаком подозрительного события.

При изучении пользователя необходимо задать следующие вопросы о действиях и оповещениях, которые вы видите:

• Существует ли бизнес-обоснование для этого сотрудника для выполнения этих действий? Например, если кто-то из отдела маркетинга обращается к базе кода или кто-то из разработчиков обращается к базе данных Finance, следует следовать за сотрудником, чтобы убедиться, что это было преднамеренное и оправданное действие.

• Перейдите в журнал действий, чтобы понять, почему это действие получило высокую оценку, в то время как другие не сделали. Вы можете задать приоритет исследования, чтобы понять, какие действия подозрительны. Например, можно фильтровать на основе приоритета расследования для всех действий, произошедших в Украине. Затем можно увидеть, были ли другие действия, которые были рискованными, где пользователь подключен, и вы можете легко перейти к другим детализациям, таким как последние неаномальные облачные и локальные действия, чтобы продолжить исследование.

Этап 4. Защита организации

Если исследование приводит к выводу о том, что пользователь скомпрометирован, выполните следующие действия, чтобы снизить риск.

• Обратитесь к пользователю. Используя контактные данные пользователя, интегрированные с Defender для облака Apps из Active Directory, вы можете детализировать каждое оповещение и действие для разрешения удостоверения пользователя. Убедитесь, что пользователь знаком с действиями.

• Непосредственно на портале Microsoft Defender на странице удостоверений выберите три точки от расследованного пользователя и выберите, требуется ли пользователю повторно войти, приостановить работу пользователя или подтвердить, что пользователь скомпрометирован.

• В случае скомпрометированного удостоверения можно попросить пользователя сбросить пароль, убедившись, что пароль соответствует рекомендациям по длине и сложности.

• Если вы детализируете оповещение и определите, что действие не должно было активировать оповещение, в ящике действий выберите ссылку "Отправить нам отзыв ", чтобы мы могли точно настроить нашу систему оповещений с учетом вашей организации.

• После устранения проблемы закройте оповещение.

См. также

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.