教程:调查风险用户

  • 项目

安全运营团队面临挑战,他们必须使用多个通常未连接的安全解决方案,在攻击面的所有维度上监视用户活动,包括可疑用户或其他用户。 虽然许多公司现在拥有搜寻团队来主动识别环境中的威胁,但要知道应该在海量数据中寻找哪些安全威胁,可能是一大挑战。 Microsoft Defender for Cloud Apps 现在简化了这个过程,让你能够查找跨越云端和本地网络的攻击,而无需创建复杂的关联规则。

为了帮助你识别用户身份,Microsoft Defender for Cloud Apps 在云端提供了用户实体行为分析 (UEBA)。 它可以通过与 Microsoft Defender for Identity 集成,从而扩展到本地环境。 与 Defender for Identity 集成后,你还将通过与 Active Directory 的本机集成,获得有关用户身份的上下文。

无论是触发器是你在 Defender for Cloud Apps 仪表板中看到的警报,还是第三方安全服务的信息,均可从 Defender for Cloud Apps 仪表板开始调查,深入探索风险用户。

本教程介绍了如何使用 Defender for Cloud Apps 调查风险用户:

调查优先级分数增加 - 弃用时间表

到 2024 年 7 月,我们将逐渐停用 Microsoft Defender for Cloud Apps 提供的“调查优先级分数增加”支持。

经过仔细的分析和考虑,我们决定弃用它,因为与此警报相关的误报率很高,我们发现这对你组织的整体安全没有有效的贡献。

我们的研究表明,这一功能没有增加重大价值,也不符合我们提供高质量、可靠安全解决方案的战略重点。

我们致力于不断改进我们的服务,并确保满足你的需求和期望。

对于希望继续使用此警报的用户,建议使用“高级搜寻”专用查询:

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • 此查询是一个建议,请将其用作模板并根据需要进行修改。

了解调查优先级评分

调查优先级评分是 Defender for Cloud Apps 提供给每个用户的评分,让你知道某个用户相对于组织中的其他用户的风险。

使用调查优先级评分来确定要首先调查的用户。 Defender for Cloud Apps 基于分析(考虑到需要时间、对等组和预期用户活动),为每个用户生成用户配置文件。 如果活动相对于用户的基线是异常的,则进行评估和评分。 评分完成后,将针对用户活动,运行 Microsoft 的专有动态对等计算和机器学习,以计算每个用户的调查优先级。

通过调查优先级评分,你能够检测恶意内部成员和外部攻击者在组织中的横向移动,而无需依赖标准的确定性检测。

调查优先级评分基于安全警报、异常活动、与每个用户相关的潜在业务和资产影响,帮助你评估调查每个特定用户的紧急程度。

如果选择警报或活动的评分值,你可以查看证据,这些证据说明了 Defender for Cloud Apps 是如何为活动评分的。

每个 Microsoft Entra 用户都有动态的调查优先级分数,该分数是基于 Defender for Identity 和 Defender for Cloud Apps 评估的数据生成的,并根据最近的行为和影响,不断进行更新。 现在,你可以根据调查优先级分数进行筛选,即时了解谁是真正的风险用户,直接验证其业务影响,并调查所有相关活动(无论是发起攻击、外泄数据还是充当内部威胁)。

Defender for Cloud Apps 使用以下指标来衡量风险:

  • 警报评分
    警报评分表示特定警报对每个用户的潜在影响。 警报评分基于严重性、用户影响、警报普遍性(跨越组织中的用户和所有实体)。

  • 活动评分
    该活动评分可基于用户及其对等方的行为学习,确定特定用户执行特定活动的概率。 被识别为最不正常的活动会获得最高分。

阶段 1:连接到要保护的应用

  1. 使用 API 连接器,将至少一个应用连接到 Microsoft Defender for Cloud Apps。 建议首先连接 Microsoft 365
  2. 连接其他应用,使用代理实现条件访问应用控制

阶段 2:确定风险最大的用户

要确定谁是风险最大的用户,请在 Defender for Cloud Apps 中执行以下操作:

  1. 在 Microsoft Defender 门户的“资产”下,选择“标识”。 按 调查优先级对表进行排序。 然后逐个转到其用户页面来调查他们。
    位于用户名旁边的调查优先级数字是所有用户在上一周的风险活动的总和。

    排名靠前用户的仪表板。

  2. 选择用户右侧的三个点,然后选择“查看用户”页“用户”页。

  3. 查看“用户”页面中的信息,以获取该用户的概述,并查看该用户是否在异常时间执行了异常活动。 用户与组织相比的评分表示用户在组织中排名的百分数 - 相对于组织中的其他用户而言,这些用户在应调查用户列表中的排名多高。 如果用户在组织内的风险用户排名中高于 90% 的用户,则数字将为红色。
    “用户”页面可帮助你回答问题:

    • 该用户是谁?
      查看左窗格,获取有关用户身份的信息,以及其他已知信息。 此窗格提供有关用户在公司或部门中的角色的信息。 用户是否为经常在工作中执行异常活动的 DevOps 工程师? 用户是否为刚错过晋升机会的不满员工?

    • 用户是否存在风险?
      查看右窗格的顶部,确定该用户是否值得展开调查。 员工的风险评分是多少?

    • 用户给组织带来了哪些风险?
      查看底部窗格中的列表,该列表提供与用户相关的所有活动和所有警报,帮助你开始了解用户带来的风险类型。 在时间线中,选择每一行,可向下钻取到活动或警报本身。 还可以选择活动旁边的数字,以便了解影响评分本身的证据。

    • 组织中的其他资产存在什么风险?
      选择“横向移动路径”选项卡,了解攻击者可用于控制组织中的其他资产的路径。 例如,即便正在调查的用户使用了非敏感帐户,攻击者也可以利用与帐户的连接,来发现并尝试入侵网络中敏感帐户。 有关详细信息,请参阅使用横向移动路径

注意

请务必记住,虽然“用户”页面提供了所有活动的设备、资源和帐户信息,但调查优先级评分是过去 7 天内所有有风险的活动和警报的总和。

重置用户评分

如果用户被调查,但未发现任何威胁安全的可疑行为,或者出于任何原因,你希望重置用户的调查优先级评分,则可手动重置评分。

  1. 在 Microsoft Defender 门户的“资产”下,选择“标识”。

  2. 选择调查用户右侧的三个点,然后选择“ 重置调查优先级分数”。 还可以选择“ 查看用户”页 ,然后从“用户”页面中的三个点中选择“ 重置调查优先级分数 ”。

    注意

    只有调查优先级评分为非零的用户才能重置。

    选择“重置调查优先级分数”链接。

  3. 在确认窗口中选择“重置评分”。

    选择“重置分数”按钮。

阶段 3:进一步调查用户

依据警报来调查用户时,或者在外部系统中看到警报时,可能有些活动本身并不会导致警报,但当 Defender for Cloud Apps 将这些活动与其他活动综合在一起时,警报可能是可疑事件的指示。

调查用户时,应该询问有关你看到的活动和警报的这些问题:

  • 此员工是否有执行这些活动的正当业务理由? 例如,如果营销部门的人员正在访问代码库,或者开发部门的人员访问财务数据库,则应跟进调查员工,确保这是有意和正当的活动。

  • 转到活动日志,了解为什么此活动会收到高风险评分,而其他活动没有。 可将调查优先级设置为“已设置”,了解哪些活动可疑。 例如,可以根据在乌克兰发生的所有活动的调查优先级进行筛选。 然后,你可以查看是否有其他活动存在风险,用户从何处连接,你可以轻松向下钻取,例如最近的无异常云端和本地活动,以便继续进行调查。

阶段 4:保护您的组织

如果经过调查,得出用户遭遇安全威胁的结论,请按照以下步骤来缓解风险。

  • 联系用户 – 使用与 Active Directory 中的 Defender for Cloud Apps 集成的用户联系信息,可以向下钻取到每个警报和活动,以解析用户身份。 确保用户熟悉活动。

  • 直接从 Microsoft Defender 门户的 “标识 ”页中,选择被调查的用户的三个点,并选择是要求用户重新登录、暂停用户还是确认用户已泄露。

  • 对于遭遇安全威胁的身份,可以要求用户重置密码,确保密码符合有关长度和复杂性的最佳做法准则。

  • 如果向下钻取到警报,并确定活动不应触发警报,请在“活动抽屉”中选择“向我们发送反馈”链接,让我们可以在考虑到组织要求的情况下,确保对警报系统进行微调。

  • 修正问题后,关闭警报。

另请参阅

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证