Självstudie: Undersöka incidenter med UEBA-data

  • Artikel
  • 7 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Den här artikeln beskriver vanliga metoder och exempelprocedurer för att använda UEBA (User Entity Behavior Analytics) i dina vanliga arbetsflöden för undersökning.

Viktigt

Antecknade funktioner i den här artikeln finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure Previews för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.

Anteckning

Den här självstudien innehåller scenariobaserade procedurer för en viktig kunduppgift: undersöka med UEBA-data. Mer information finns i Undersöka incidenter med Microsoft Sentinel.

Förutsättningar

Innan du kan använda UEBA-data i dina undersökningar måste du aktivera UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel.

Börja leta efter datordrivna insikter ungefär en vecka efter aktiveringen av UEBA.

Köra proaktiva rutinsökningar i entitetsdata

Vi rekommenderar att du kör regelbundna, proaktiva sökningar genom användaraktivitet för att skapa leads för vidare undersökning.

Du kan använda Microsoft Sentinel-arbetsboken för användar- och entitetsbeteendeanalys för att fråga efter dina data, till exempel för:

  • De mest riskfyllda användarna med avvikelser eller bifogade incidenter
  • Data om specifika användare för att avgöra om ämnet verkligen har komprometterats eller om det finns ett insiderhot på grund av åtgärder från användarens profil.

Samla dessutom in icke-rutinmässiga åtgärder i UEBA-arbetsboken och använd dem för att hitta avvikande aktiviteter och potentiellt icke-efterlevnadsmetoder.

Undersöka en avvikande inloggning

Följande steg följer till exempel undersökningen av en användare som har anslutit till ett VPN som de aldrig använt tidigare, vilket är en avvikande aktivitet.

  1. I området Sentinel-arbetsböcker söker du efter och öppnar arbetsboken Analys av användar- och entitetsbeteende.

  2. Sök efter ett specifikt användarnamn för att undersöka och välj deras namn i tabellen Top users to investigate ..

  3. Rulla nedåt i tabellerna Incidents Breakdown och Anomalies Breakdown (Uppdelning av incidenter och avvikelser) för att visa de incidenter och avvikelser som är associerade med den valda användaren.

  4. I avvikelsen, till exempel en med namnet Avvikande lyckad inloggning, granskar du informationen som visas i tabellen för att undersöka. Exempel:

    Steg Description
    Anteckna beskrivningen till höger Varje avvikelse har en beskrivning, med en länk för att lära dig mer i MITRE ATT&CK-kunskapsbasen.
    Exempel:

    Inledande åtkomst _ _The angripare försöker komma in i ***
    nätverket.*
    * Den första åtkomsten består av tekniker som använder olika startvektorer för att få sitt ursprungliga fäste i ett nätverk. Tekniker som används för att få ett fäste är riktad spear phishing och sårbarheter på offentliga webbservrar. Fästen som skaffats genom den första åtkomsten kan tillåta fortsatt åtkomst, t.ex. giltiga konton och användning av externa fjärrtjänster, eller kan vara begränsad användning på grund av ändrade lösenord.*
    Observera texten i kolumnen Beskrivning På avvikelseraden rullar du åt höger för att visa ytterligare en beskrivning. Välj länken för att visa hela texten. Exempel:

    Angripare kan stjäla autentiseringsuppgifterna för ett specifikt användar- eller tjänstkonto med hjälp av autentiseringsuppgifterna eller samla in autentiseringsuppgifter tidigare i rekognoseringsprocessen via social teknik för att få initial åtkomst. APT33 har till exempel använt giltiga konton för inledande åtkomst. Frågan nedan genererar utdata från lyckad inloggning som utförts av en användare från en ny geoplats som han aldrig har anslutit från tidigare, och ingen av hans peer-användare också.
    Observera UsersInsights-data Rulla längre till höger på avvikelseraden för att visa information om användarinsikter, till exempel kontots visningsnamn och kontoobjektets ID. Markera texten för att visa fullständiga data till höger.
    Observera bevisdata Rulla längre till höger på avvikelseraden för att visa bevisdata för avvikelsen. Välj textvyn med fullständiga data till höger, till exempel följande fält:

    - ActionUncommonlyPerformedByUser
    - UncommonHighVolumeOfActions
    - FirstTimeUserConnectedFromCountry
    - CountryUncommonlyConnectedFromAmongPeers
    - FirstTimeUserConnectedViaISP
    - ISPUncommonlyUsedAmongPeers
    - CountryUncommonlyConnectedFromInTenant
    - ISPUncommonlyUsedInTenant

Använd data i arbetsboken Analys av användar- och entitetsbeteende för att avgöra om användaraktiviteten är misstänkt och kräver ytterligare åtgärder.

Använda UEBA-data för att analysera falska positiva resultat

Ibland är en incident som fångas in i en undersökning en falsk positiv händelse.

Ett vanligt exempel på en falsk positiv sak är när omöjlig reseaktivitet identifieras, till exempel en användare som har loggat in på ett program eller en portal från både New York och London inom samma timme. Microsoft Sentinel noterar den omöjliga resan som en avvikelse, men en undersökning med användaren kan tydliggöra att ett VPN användes med en alternativ plats till den plats där användaren faktiskt var.

Analysera en falsk positiv

Om du till exempel Omöjlig resa en incident och har bekräftat med användaren att ett VPN har använts, navigerar du från incidenten till användarentitetens sida. Använd de data som visas där för att avgöra om de platser som avbildas ingår i användarens vanliga platser.

Exempel:

Öppna en incidents användarentitetssida.

Användarentitetssidan länkas också från själva incidentsidan och undersökningsdiagrammet.

Tips

När du har bekräftat data på användarentitetssidan för den specifika användare som är associerad med incidenten går du till Området Microsoft Sentinel-jakt för att ta reda på om användarens peer-användare vanligtvis ansluter från samma platser också. I så fall skulle den här kunskapen göra ett ännu starkare fall för en falsk positiv händelse.

I området Jakt kör du frågan Anomalous Geo Location Logon (Avvikande geoplatsinloggning). Mer information finns i Hunt for threats with Microsoft Sentinel (Jaga efter hot med Microsoft Sentinel).

Bädda in IdentityInfo-data i dina analysregler (offentlig förhandsversion)

Eftersom angripare ofta använder organisationens egna användar- och tjänstkonton är data om dessa användarkonton, inklusive användaridentifiering och behörigheter, avgörande för analytikerna i en undersökningsprocess.

Bädda in data från IdentityInfo-tabellen för att finjustera analysreglerna så att de passar dina användningsfall, minska falska positiva identifieringar och eventuellt påskynda undersökningsprocessen.

Exempel:

  • Så här korrelerar du säkerhetshändelser med tabellen IdentityInfo i en avisering som utlöses om en server används av någon utanför IT-avdelningen:

    SecurityEvent
| where EventID in ("4624","4672")
| where Computer == "My.High.Value.Asset"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID
| where Department != "IT"

  • Så här korrelerar du Azure AD-inloggningsloggar med tabellen IdentityInfo i en avisering som utlöses om ett program används av någon som inte är medlem i en viss säkerhetsgrupp:

    SigninLogs
| where AppDisplayName == "GithHub.Com"
| join kind=inner  (
    IdentityInfo
    | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId
| where GroupMembership !contains "Developers"

IdentityInfo-tabellen synkroniseras med Azure AD-arbetsytan för att skapa en ögonblicksbild av dina användarprofildata, till exempel användarmetadata, gruppinformation och Azure AD-roller som tilldelats varje användare. Mer information finns i IdentityInfo-tabellen i UEBA-berikningsreferensen.

Identifiera lösenordsattacker och spear phishing-försök

Utan multifaktorautentisering (MFA) är användarautentiseringsuppgifter sårbara för angripare som vill kompromettera attacker med lösenordsattacker eller nätfiskeförsök.

Undersöka en incident med lösenordsutbrott med UEBA-insikter

Om du till exempel vill undersöka en incident med lösenordsutbrott med UEBA-insikter kan du göra följande för att lära dig mer:

  1. Längst ned till vänster i incidenten väljer du Undersök för att visa konton, datorer och andra datapunkter som potentiellt har varit mål för en attack.

    När du bläddrar igenom data kan du se ett administratörskonto med ett relativt stort antal inloggningsfel. Även om detta är misstänkt kanske du inte vill begränsa kontot utan ytterligare bekräftelse.

  2. Välj den administrativa användarentiteten på kartan och välj sedan Insights till höger för att hitta mer information, till exempel diagrammet över inloggningar över tid.

  3. Välj Info till höger och välj sedan Visa fullständig information för att gå vidare till användarentitetssidan.

    Observera till exempel om det här är användarens första potentiella Lösenordsattack incident eller titta på användarens inloggningshistorik för att förstå om felen var avvikande.

Tips

Du kan också köra jaktfrågan avvikande misslyckad inloggning för att övervaka alla organisationens avvikande misslyckade inloggningar. Använd resultatet från frågan för att starta undersökningar om möjliga lösenordsattacker.

URL-detonation (offentlig förhandsversion)

När det finns URL:er i loggarna som matas in i Microsoft Sentinel, detoneras dessa URL:er automatiskt för att påskynda processen för att behandla.

Undersökningsdiagrammet innehåller en nod för den detonerade URL:en, samt följande information:

  • DetonationVerdict. Hög nivå, boolesk bestämning från detonation. Till exempel betyder Dålig att sidan klassificerades som värd för skadlig kod eller nätfiskeinnehåll.
  • DetonationFinalURL. Den slutliga, observerade landningssida-URL:en, efter alla omdirigeringar från den ursprungliga URL:en.
  • DetonationScreenshot. En skärmbild av hur sidan såg ut när aviseringen utlöstes. Välj skärmbilden för att förstora.

Exempel:

Exempel på URL-detonation som visas i undersökningsdiagrammet.

Tips

Om du inte ser URL:er i loggarna kontrollerar du att URL-loggning, även kallat hotloggning, har aktiverats för dina säkra webbgatewayer, webbproxies, brandväggar eller äldre IDS/IPS.

Du kan också skapa anpassade loggar för att skicka specifika URL:er av intresse till Microsoft Sentinel för vidare undersökning.

Nästa steg

Läs mer om UEBA, utredningar och jakt: