How To: Investigate risk

Az Identity Protection jelentéskészítést biztosít a szervezeteknek az identitáskockázatok vizsgálatához a környezetükben. Ezek a jelentések közé tartoznak a kockázatos felhasználók, a kockázatos bejelentkezések, a kockázatos számítási feladatok identitásai és a kockázatészlelések. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Ezek a jelentések lehetővé teszik az események letöltését a következő helyen: . CSV formátuma vagy integrációja más biztonsági megoldásokkal, például dedikált SIEM-eszközzel a további elemzéshez.

A szervezetek kihasználhatják a Microsoft Graph API-integráció előnyeit az adatok más olyan forrásokkal való összesítéséhez, amelyekhez szervezetként hozzáférhetnek.

A három jelentés a Microsoft Entra Felügyeleti központ>Protection>Identity Protection szolgáltatásában található.

A jelentések navigálása

Minden jelentés elindul a jelentés tetején látható időszakra vonatkozó összes észlelés listájával. Minden jelentés lehetővé teszi az oszlopok hozzáadását vagy eltávolítását a rendszergazdai beállítások alapján. Rendszergazda istratorok dönthetnek úgy, hogy letöltik az adatokat. CSV vagy . JSON formátum. A jelentések a jelentés tetején található szűrőkkel szűrhetők.

Az egyes bejegyzések kiválasztása több bejegyzést is lehetővé tehet a jelentés tetején, például a bejelentkezés biztonságosként vagy biztonságosként való megerősítését, a felhasználó veszélyeztettként való megerősítését vagy a felhasználói kockázat megszüntetését.

Az egyes bejegyzések kijelölése egy részletablakot bont ki az észlelések alatt. A részletek nézet lehetővé teszi a rendszergazdák számára az egyes észlelések kivizsgálását és a műveletek végrehajtását.

Risky users

A kockázatos felhasználókról szóló jelentés felsorolja az összes olyan felhasználót, akinek a fiókjai jelenleg vagy biztonsági kockázatnak vannak kitéve. A kockázatos felhasználókat ki kell vizsgálni és orvosolni kell az erőforrásokhoz való jogosulatlan hozzáférés megakadályozása érdekében.

Mitől kockázatos egy felhasználó?

A felhasználó kockázatos felhasználóvá válik, ha:

• Legalább egy kockázatos bejelentkezésük van.
• Egy vagy több kockázat észlelhető a felhasználó fiókjában, például a kiszivárgott hitelesítő adatok.

Hogyan vizsgálhatja meg a kockázatos felhasználókat?

A felhasználók kockázatos bejelentkezéseinek megtekintéséhez és kivizsgálásához válassza a "Legutóbbi kockázatos bejelentkezések" lapot vagy a "Kockázatos bejelentkezések felhasználók" hivatkozást.

A felhasználói fiók kockázatainak megtekintéséhez és vizsgálatához válassza a "Bejelentkezéshez nem kapcsolódó észlelések" lapot vagy a "Felhasználó kockázatészlelései" hivatkozást.

A Kockázatelőzmények lap az összes olyan eseményt is megjeleníti, amely az elmúlt 90 napban felhasználói kockázatváltozáshoz vezetett. Ez a lista olyan kockázatészleléseket tartalmaz, amelyek megnövelték a felhasználó kockázatát, és a rendszergazdai szervizelési műveleteket, amelyek csökkentették a felhasználó kockázatát. Tekintse meg a felhasználó kockázatának változását.

A kockázatos felhasználók jelentésében szereplő információk alapján a rendszergazdák a következő információkat találják:

• Mely felhasználók vannak veszélyben, vannak-e elhárítva a kockázatok, vagy kizárták a kockázatokat?
• Az észlelések részletei
• Az összes kockázatos bejelentkezés előzményei
• Kockázati előzmények

Rendszergazda istratorok ezután dönthetnek úgy, hogy műveletet hajtanak végre ezeken az eseményeken. Rendszergazda istratorok a következő lehetőségek közül választhatnak:

• A felhasználói jelszó alaphelyzetbe állítása
• Felhasználói biztonság megerősítése
• Dismiss user risk
• Felhasználó bejelentkezésének letiltása
• A Microsoft Defender for Identity további használatának vizsgálata

A hatókör ismertetése

1. Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
2. Adjon hozzá vállalati VPN- és IP-címtartományokat nevesített helyekhez a hamis pozitív értékek csökkentése érdekében.
3. Tekintse át a naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez több feltört fiókra utalhat.
   1. Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani ezeket egy feltételes hozzáférési szabályzattal.
   2. Tekintse át, hogy melyik erőforrás sérült, például lehetséges adatletöltések vagy rendszergazdai módosítások.
   3. Önkiszolgáló szervizelési szabályzatok engedélyezése feltételes hozzáféréssel
4. Ha azt látja, hogy a felhasználó más kockázatos tevékenységeket hajtott végre, például nagy mennyiségű fájlt tölt le egy új helyről, ez egy lehetséges kompromisszumra utal.

Risky sign-ins

A kockázatos bejelentkezések jelentés az elmúlt 30 napra (egy hónapra) szűrhető adatokat tartalmaz.

A kockázatos bejelentkezési jelentés által biztosított információk birtokában a rendszergazdák a következő információkat találják:

• Mely bejelentkezések minősülnek veszélyeztetettnek, megerősítettnek, biztonságosnak, elutasítottnak vagy szervizeltnek.
• A bejelentkezési kísérletekhez kapcsolódó valós idejű és összesített kockázati szintek.
• Aktivált észlelési típusok
• Feltételes hozzáférési szabályzatok alkalmazása
• MFA részletei
• Eszközadatok
• Application information (Alkalmazásadatok)
• Helyadatok

Rendszergazda istratorok ezután dönthetnek úgy, hogy műveletet hajtanak végre ezeken az eseményeken. Rendszergazda istratorok a következő lehetőségek közül választhatnak:

• Bejelentkezési biztonság megerősítése
• Jogosult bejelentkezés megerősítése

Risk detections

A kockázatészlelési jelentés az elmúlt 90 napra (három hónapra) szűrhető adatokat tartalmaz.

A kockázatészlelési jelentés által biztosított információk birtokában a rendszergazdák a következő információkat találják:

• Információk az egyes kockázatészlelésekről, beleértve a típust is.
• Egyidejűleg kiváltott egyéb kockázatok
• Bejelentkezési kísérlet helye
• A Felhőhöz készült Microsoft Defender-alkalmazások további részleteire mutató hivatkozás.

Rendszergazda istratorok ezután dönthetnek úgy, hogy visszatérnek a felhasználó kockázati vagy bejelentkezési jelentéséhez, hogy az összegyűjtött információk alapján műveleteket hajtsanak végre.

Vizsgálati keretrendszer

A szervezetek a következő keretrendszerek használatával kezdhetik meg a gyanús tevékenységek vizsgálatát. A vizsgálatokhoz szükség lehet a szóban forgó felhasználóval folytatott beszélgetésre, a bejelentkezési naplók áttekintésére vagy az auditnaplók áttekintésére, hogy néhányat említsünk .

1. Ellenőrizze a naplókat, és ellenőrizze, hogy a gyanús tevékenység normális-e az adott felhasználó számára.
   1. Tekintse meg a felhasználó korábbi tevékenységeit, beleértve legalább az alábbi tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
      1. Application
      2. Eszköz – Regisztrálva van vagy megfelel az eszköznek?
      3. Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
      4. IP address
      5. Felhasználói ügynök sztringje
   2. Ha rendelkezik hozzáféréssel más biztonsági eszközökhöz, például a Microsoft Sentinelhez, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
   3. A Microsoft 365 Defenderhez hozzáféréssel rendelkező szervezetek más kapcsolódó riasztások és incidensek, valamint a MITRE ATT&CK-lánc segítségével követhetik a felhasználói kockázati eseményeket.
      1. Válassza ki a felhasználót a Kockázatos felhasználók jelentésben.
      2. Jelölje ki a három pontot (...) az eszköztáron, majd válassza a Vizsgálat a Microsoft 365 Defenderrel lehetőséget.
2. Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést. Az olyan módszerek, mint az e-mail vagy a Teams, sérülhetnek.
   1. Győződjön meg az ön által megadott adatokról, például:
      1. Application
      2. Eszköz
      3. Hely
      4. IP address

A Microsoft Entra fenyegetésintelligencia-észlelések vizsgálata

A Microsoft Entra Threat Intelligence kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket:

Ha további információ jelenik meg az észleléshez:

1. A bejelentkezés gyanús IP-címről történt:
   1. Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
   2. Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
   3. Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
   4. Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.
2. Ez a fiók jelszópermetes támadás áldozata volt:
   1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
   2. Vannak-e olyan bejelentkezések, amelyek hasonló atipikus mintákkal rendelkeznek az észlelt bejelentkezés során ugyanazon az időkereten belül? A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következőkben:
      1. Felhasználói ügynök sztringje
      2. Application
      3. Protokoll
      4. IP-címek/ASN-tartományok
      5. Bejelentkezések időpontja és gyakorisága
3. Ezt az észlelést egy valós idejű szabály aktiválta:
   1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezt a szabályhoz hozzárendelt TI_RI_#### szám tartalmazza.
   2. A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítése által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.

Kockázat vizsgálata a Microsoft 365 Defenderrel

A Microsoft 365 Defendert és a Microsoft Defender for Identity-t üzembe helyező szervezetek extra értéket kapnak az Identity Protection-jelekből. Ez az érték fokozott korreláció formájában jelenik meg a szervezet más részeiből származó más adatokkal, valamint extra automatizált vizsgálat és válasz formájában.

A Microsoft 365 Defender biztonsági szakemberei és Rendszergazda istratorai a következő területekről létesíthetnek kapcsolatot gyanús tevékenységekkel:

• Riasztások a Defender for Identity szolgáltatásban
• Microsoft Defender végponthoz
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud Apps

A Gyanús tevékenységek a Microsoft 365 Defenderrel való vizsgálatáról a Microsoft Defender eszközeinek vizsgálata identitáshoz és incidensek kivizsgálása a Microsoft 365 Defenderben című cikkben talál további információt.

Ezekről a riasztásokról és azok szerkezetéről további információt a biztonsági riasztások ismertetése című cikkben talál.

Vizsgálat állapota

Amikor a biztonsági személyzet megvizsgálja a Microsoft 365 Defender és a Defender for Identity kockázatait, a portálon és AZ API-kban a következő állapotokat és okokat adja vissza az Identity Protectionnek.

További lépések

• Felhasználók szervizelése és tiltásának feloldása
• A kockázatok csökkentésére rendelkezésre álló szabályzatok
• Bejelentkezési és felhasználói kockázati szabályzatok engedélyezése