Självstudie: Undersök riskfyllda användareTutorial: Investigate risky users

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Säkerhets åtgärds team används för att övervaka användar aktivitet, misstänkt eller på annat sätt i alla dimensioner av identitets angrepps ytan, med hjälp av flera säkerhetslösningar som ofta inte är anslutna.Security operations teams are challenged to monitor user activity, suspicious or otherwise, across all dimensions of the identity attack surface, using multiple security solutions that often are not connected. Många företag har nu jakt team för att proaktivt identifiera hot i sina miljöer, men det kan vara en utmaning att veta vad du ska titta efter i den stora mängden data.While many companies now have hunting teams to proactively identify threats in their environments, knowing what to look for across the vast amount of data can be a challenge. Microsoft Cloud App Security fören klar detta genom att ta bort behovet av att skapa komplexa korrelations regler och du kan söka efter attacker som sträcker sig över hela molnet och det lokala nätverket.Microsoft Cloud App Security now simplifies this by taking away the need to create complex correlation rules, and lets you look for attacks that span across your cloud and on-premises network.

För att hjälpa dig att fokusera på användar identitet ger Microsoft Cloud App Security användar enhetens beteende analys (UEBA) i molnet.To help you focus on user identity, Microsoft Cloud App Security provides user entity behavioral analytics (UEBA) in the cloud. Detta kan utökas till din lokala miljö genom integrering med Microsoft Defender för identitet.This can be extended to your on-premises environment by integrating with Microsoft Defender for Identity. När du har integrerat med Defender för identitet får du även en kontext runt användar identitet från sin inbyggda integration med Active Directory.After you integrate with Defender for Identity, you will also gain context around user identity from its native integration with Active Directory.

Om utlösaren är en avisering som visas i instrument panelen för Cloud App Security, eller om du har information från en säkerhets tjänst från tredje part, startar du undersökningen från instrument panelen Cloud App Security för att få en djup inblick i riskfyllda användare.Whether your trigger is an alert you see in the Cloud App Security dashboard, or whether you have information from a third-party security service, start your investigation from the Cloud App Security dashboard to deep dive into risky users.

Den här självstudien innehåller instruktioner för att använda Cloud App Security för att undersöka riskfyllda användare.This tutorial provides instructions for using Cloud App Security to investigate risky users.

Förstå resultatet av undersökningen PriorityUnderstand the investigation priority score

Resultatet av undersökningen prioriteras Poäng Cloud App Security ger varje användare möjlighet att se hur riskfylld en användare är i relation till andra användare i din organisation.The investigation priority score is a score Cloud App Security gives to each user to let you know how risky a user is relative to other users in your organization.

Använd resultatet av undersökningen Priority för att avgöra vilka användare som ska undersökas först.Use the Investigation priority score to determine which users to investigate first. Cloud App Security skapar användar profiler för varje användare baserat på analys som tar tid, peer-grupper och förväntade användar aktiviteter.Cloud App Security builds user profiles for each user based on analytics that take time, peer groups, and expected user activity into consideration. Aktiviteter som avviker från en användares bas linje utvärderas och beräknas.Activity that is anomalous to a user's baseline is evaluated and scored. När poängen är klar körs Microsofts egna dynamiska peer-beräkningar och maskin inlärning på användar aktiviteterna för att beräkna utrednings prioriteten för varje användare.After scoring is complete, Microsoft's proprietary dynamic peer calculations and machine learning are run on the user activities to calculate the investigation priority for each user.

Med resultatet av undersökningen prioriteras poängen att du kan identifiera både skadliga insikter och externa angripare som flyttar sig senare i dina organisationer, utan att behöva förlita sig på standard deterministiska identifieringar.The Investigation priority score provides you with the ability to detect both malicious insiders, and external attackers moving laterally in your organizations, without having to rely on standard deterministic detections.

Poängen för undersökningen prioriteras baserat på säkerhets aviseringar, onormala aktiviteter och potentiella affärs-och till gångs effekter som är relaterade till varje användare för att hjälpa dig att utvärdera hur brådskande det är att undersöka varje enskild användare.The investigation priority score is based on security alerts, abnormal activities, and potential business and asset impact related to each user to help you assess how urgent it is to investigate each specific user.

Om du klickar på Poäng värdet för en avisering eller en aktivitet kan du se beviset som förklarar hur Cloud App Security visar aktiviteten.If you click on the score value for an alert or an activity, you can view the evidence that explains how Cloud App Security scored the activity.

Varje Azure AD-användare har en dynamisk undersöknings prioritet, som uppdateras kontinuerligt baserat på senaste beteende och påverkan, som bygger på data som utvärderas från Defender för identitets-och Cloud App Security.Every Azure AD user has a dynamic investigation priority score, that is constantly updated based on recent behavior and impact, built from data evaluated from Defender for Identity and Cloud App Security. Du kan nu omedelbart förstå vilka användare som har flest högsta risk, genom att filtrera enligt undersöknings prioritets Poäng, kontrol lera att deras inverkan på verksamheten är och undersöka alla relaterade aktiviteter – oavsett om de är komprometterade, organisationers data eller fungerar som Insider hot.You can now immediately understand who the real top risky users are, by filtering according to Investigation priority score, directly verify what their business impact is, and investigate all related activities – whether they are compromised, exfiltrating data, or acting as insider threats.

Cloud App Security använder följande för att mäta risker:Cloud App Security uses the following to measure risk:

  • Aviserings PoängAlert scoring
    Varnings poängen representerar den potentiella effekten av en speciell avisering för varje användare.The alert score represents the potential impact of a specific alert on each user. Aviserings poängen baseras på allvarlighets grad, användar påverkan, aviserings popularitet över användare och alla entiteter i organisationen.Alert scoring is based on severity, user impact, alert popularity across users, and all entities in the organization.

  • Aktivitets PoängActivity scoring
    Aktivitets poängen avgör sannolikheten för en speciell användare som utför en speciell aktivitet, baserat på beteende inlärning av användaren och deras peer-datorer.The activity score determines the probability of a specific user performing a specific activity, based on behavioral learning of the user and their peers. Aktiviteter som identifieras som mest onormala får högst resultat.Activities identified as the most abnormal receive the highest scores.

Fas 1: Anslut till de appar som du vill skyddaPhase 1: Connect to the apps you want to protect

  1. Anslut minst en app för att Microsoft Cloud App Security med API-anslutningarna.Connect at least one app to Microsoft Cloud App Security using the API connectors. Vi rekommenderar att du börjar med att ansluta Office 365.We recommend that you start by connecting Office 365.
  2. Anslut ytterligare appar med hjälp av proxyn för att uppnå app-kontroll för villkorlig åtkomst.Connect additional apps using the proxy to achieve conditional access app control.
  3. Om du vill aktivera insikter i din lokala miljö konfigurerar du Cloud App Security att integrera med din Defender för identitets miljö.To enable insights across your on-premises environment, configure Cloud App Security to integrate with your Defender for Identity environment.

Fas 2: identifiera högsta riskfyllda användarePhase 2: Identify top risky users

Så här identifierar du vilka riskiest-användare som finns Cloud App Security:To identify who your riskiest users are in Cloud App Security:

  1. Gå till instrument panelen för Cloud App Security och titta på de personer som identifierats i den översta användaren genom att granska prioritets panelen och sedan en och en gå till deras användar sida för att undersöka dem.Go to the Cloud App Security dashboard and look at the people identified in the Top users by investigation priority tile, and then one by one go to their user page to investigate them.
    Undersökningens prioritets nummer, som finns bredvid användar namnet, är en summa av alla användares riskfyllda aktiviteter under den senaste veckan.The investigation priority number, found next to the user name, is a sum of all the user's risky activities over the last week.

    Instrument panel för översta användare

  2. Klicka på en viss användare för att komma till sidan användare .Click on a particular user to get to the User page. Sidan användareUser page

  3. Granska informationen på sidan användare för att få en översikt över användaren och se om det finns punkter där användaren utförde aktiviteter som inte var ovanliga för användaren eller som utfördes vid en ovanlig tidpunkt.Review the information in the User page to get an overview of the user and see if there are points at which the user performed activities that were unusual for that user or were performed at an unusual time. Användarens poäng jämfört med organisationen representerar vilken percentil användaren är i baserat på deras rangordning i din organisation – hur hög de är i listan över användare som du bör undersöka, i förhållande till andra användare i din organisation.The User's score compared to the organization represents which percentile the user is in based on their ranking in your organization - how high they are on the list of users you should investigate, relative to other users in your organization. Talet blir rött om en användare beär i eller över den 90: e percentilen av riskfyllda användare i organisationen.The number will be red if a user is in or above the 90th percentile of risky users across your organization.
    Sidan användare hjälper dig att besvara frågorna:The User page helps you answer the questions:

    • Vem är användaren?Who is the user?
      Titta i den vänstra rutan för att få information om vem användaren är och vad som är känt för dem.Look at the left pane to get information about who the user is and what is known about them. I det här fönstret får du information om användarens roll i företaget och deras avdelning.This pane provides you with information about the user's role in your company and their department. Är användaren en DevOps-tekniker som ofta utför ovanliga aktiviteter som en del av sitt jobb?Is the user a DevOps engineer who often performs unusual activities as part of their job? Är användaren en Disgruntled medarbetare som precis skickats över för en befordran?Is the user a disgruntled employee who just got passed over for a promotion?

    • Är användar riskerna?Is the user risky?
      Kolla in den högra rutan så att du vet om det är värt att undersöka användaren.Check out the top of the right pane so you know whether it's worth your while to investigate the user. Vad är medarbetarens risk Poäng?What is the employee's risk score?

    • Vad är det för risk att användaren är ansluten till din organisation?What's risk does the user present to your organization?
      Titta på listan i det nedre fönstret, som ger varje aktivitet och varje avisering som är relaterad till användaren, så att du kan börja förstå vilken typ av risk som användaren representerar.Look at the list in the bottom pane, which provides you with each activity and each alert related to the user to help you start understanding what type of risk the user represents. Klicka på varje rad i tids linjen så att du kan öka detalj nivån djupare i aktiviteten eller själva aviseringen.In the timeline, click on each line so you can drill down deeper into the activity or alert itself. Du kan också klicka på siffran bredvid aktiviteten så att du kan förstå de bevis som påverkade poängen.You can click also on the number next to the activity so that you can understand the evidence that influenced the score itself.

    • Vad är risken för andra till gångar i din organisation?What's the risk to other assets in your organization?
      Välj fliken lateral förflyttning för att förstå vilka sökvägar en angripare kan använda för att få kontroll över andra till gångar i din organisation.Select the Lateral movement paths tab to understand which paths an attacker can use to gain control of other assets in your organization. Även om användaren som du undersöker har ett icke-känsligt konto kan en angripare använda anslutningar till kontot för att identifiera och försöka kompromettera känsliga konton i nätverket.For example, even if the user you are investigating has a non-sensitive account, an attacker can use connections to the account to discover and attempt to compromise sensitive accounts in your network. Mer information finns i Använd sido rörelse banor.For more information, see Use Lateral Movement Paths.

Anteckning

Det är viktigt att komma ihåg att när sidan användare tillhandahåller information om enheter, resurser och konton i alla aktiviteter, är undersökningen prioritets Poäng summan av alla riskfyllda aktiviteter och aviseringar under de senaste 7 dagarna.It is important to remember that while the User page provides information for devices, resources, and accounts across all activities, the investigation priority score is the sum of all risky activities and alerts over the last 7 days.

Fas 3: Undersök ytterligare användarePhase 3: Further investigate users

När du undersöker en användare baserat på en avisering eller om du har påträffat en avisering i ett externt system kan det finnas aktiviteter som inte är orsak till larm, men när Cloud App Security aggregerar dem tillsammans med andra aktiviteter kan aviseringen vara en indikation på en misstänkt händelse.When you investigate a user based on an alert or if you saw an alert in an external system, there may be activities which alone may not be cause for alarm, but when Cloud App Security aggregates them together with other activities, the alert may be an indication of a suspicious event.

När du undersöker en användare vill du ställa frågor om de aktiviteter och aviseringar som visas:When you investigate a user, you want to ask these questions about the activities and alerts you see:

  • Finns det en affärs motivering för att denna medarbetare ska kunna utföra dessa aktiviteter?Is there a business justification for this employee to perform these activities? Om någon från marknadsföring till exempel har åtkomst till kodbasen, eller om någon från utvecklings åtkomst till ekonomi databasen, bör du följa upp med medarbetaren för att se till att detta var en avsiktlig och berättigad aktivitet.For example, if someone from Marketing is accessing the code base, or someone from Development accesses the Finance database, you should follow up with the employee to make sure this was an intentional and justified activity.

  • Gå till aktivitets loggen om du vill veta varför den här aktiviteten fick ett högt resultat medan andra inte var det.Go to the Activity log to understand why this activity received a high score while others did not. Du kan ställa in undersökningen prioritet till är inställd på att förstå vilka aktiviteter som är misstänkta.You can set the Investigation priority to Is set to understand which activities are suspicious. Du kan till exempel filtrera utifrån undersöknings prioritet för alla aktiviteter som har inträffat i Ukraina.For example, you can filter based on Investigation priority for all activities that occurred in Ukraine. Sedan kan du se om det fanns andra aktiviteter som var riskfyllda, var användaren anslöt från, och du kan enkelt pivotera till andra detaljer, till exempel senaste icke-avvikande moln-och lokal aktiviteter, för att fortsätta med undersökningen.Then you can see whether there were other activities that were risky, where the user connected from, and you can very easily pivot to other drill downs, such as recent non-anomalous cloud and on-prem activities, to continue your investigation.

Fas 4: skydda din organisationPhase 4: Protect your organization

Om undersökningen leder till slut satsen att en användare har komprometterats, följer du dessa steg för att minimera risken.If your investigation leads you to the conclusion that a user is compromised, follow these steps to mitigate the risk.

  • Kontakta användaren – med hjälp av användar kontakt information som är integrerad med Cloud App Security från Active Directory kan du öka detalj nivån för varje avisering och aktivitet för att lösa användar identiteten.Contact the user – Using the user contact information integrated with Cloud App Security from Active Directory, you can drill down into each alert and activity to resolve the user identity. Se till att användaren är bekant med aktiviteterna.Make sure the user is familiar with the activities.

  • Direkt från Cloud App Security-portalen klickar du på kontrollen användar åtgärder och väljer om du vill kräva att användaren loggar in igen, inaktiverar användaren eller bekräftar att användaren har komprometterats.Directly from the Cloud App Security portal, click on the User actions control and choose whether to require the user to sign in again, suspend the user, or confirm user compromised.

  • Om det rör sig om en komprometterad identitet kan du be användaren att återställa sitt lösen ord och se till att lösen ordet uppfyller rikt linjerna för längd och komplexitet.In case of a compromised identity, you can ask the user to reset their password, making sure the password meets best practice guidelines for length and complexity.

  • Om du ökar detalj nivån i en avisering och avgör att aktiviteten inte ska ha utlöst en avisering, klickar du på länken Skicka feedback i aktivitets lådanså att vi kan finjustera vårt varnings system med din organisation i åtanke.If you drill down into an alert and determine that the activity should not have triggered an alert, in the Activity drawer, click the Send us feedback link so that we can be sure to fine tune our alerting system with your organization in mind.

  • När du har åtgärdat problemet stänger du aviseringen.After you remediate the issue, close the alert.

Se ävenSee Also

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.