教學課程:調查有風險的使用者
安全性作業小組必須使用多個通常未連線的安全性解決方案,在身分識別受攻擊面的所有維度上監視用戶活動,或是以其他方式監視用戶活動。 雖然許多公司現在都有搜捕小組來主動識別其環境中的威脅,但瞭解要在大量數據中尋找哪些專案可能會是一項挑戰。 Microsoft Defender for Cloud Apps 不需要建立複雜的相互關聯規則,並可讓您尋找跨越雲端和內部部署網路的攻擊。
為了協助您專注於使用者身分識別,Microsoft Defender for Cloud Apps 提供用戶實體行為分析, (雲端中的 UEBA) 。 UEBA 可以透過與 適用於身分識別的 Microsoft Defender整合來擴充至您的內部部署環境,之後您也會從其與 Active Directory 的原生整合中取得使用者身分識別的相關內容。
無論您的觸發程式是您在 Defender for Cloud Apps 儀錶板中看到的警示,還是您是否有來自第三方安全性服務的資訊,請從 Defender for Cloud Apps 儀錶板開始調查,以深入探討有風險的使用者。
在本教學課程中,您將瞭解如何使用 Defender for Cloud Apps 來調查有風險的使用者:
了解調查優先順序分數
調查優先順序分數是 Defender for Cloud Apps 提供給每個使用者的分數,讓您知道使用者相對於組織中其他用戶的風險。 使用調查優先順序分數來判斷要先調查哪些使用者、偵測惡意測試人員,以及在組織中橫向移動的外部攻擊者,而不需要依賴標準的確定性偵測。
每個 Microsoft Entra 使用者都有動態調查優先順序分數,此分數會根據從適用於身分識別的Defender和 Defender for Cloud Apps所評估的數據所建立的最近行為和影響,持續更新。
Defender for Cloud Apps 根據分析來建置每個使用者的使用者配置檔,這些分析會考慮一段時間的安全性警示和異常活動、對等群組、預期的用戶活動,以及任何特定使用者可能對商務或公司資產的影響。
系統會評估和評分對使用者基準異常的活動。 評分完成之後,Microsoft專屬的動態對等計算和機器學習會在用戶活動上執行,以計算每個使用者的調查優先順序。
根據 調查優先順序分數進行篩選、直接驗證每個使用者的業務影響,以及調查所有相關活動,以立即瞭解真正具風險的使用者是誰–他們是否遭到入侵、正在外泄數據,或作為內部威脅。
Defender for Cloud Apps 使用下列項目來測量風險:
警示評分:警示分數代表特定警示對每個用戶的潛在影響。 警示評分是以嚴重性、用戶影響、警示在用戶和組織中的所有實體上熱門程度為基礎。
活動評分:活動分數會根據使用者及其對等的行為學習,決定特定使用者執行特定活動的機率。 識別為最異常的活動會收到最高分數。
選取警示或活動的調查優先順序分數,以檢視說明 Defender for Cloud Apps 如何為活動評分的辨識項。
注意事項
我們將在 2024 年 8 月前逐漸淘汰調查優先順序分數增加警示 Microsoft Defender for Cloud Apps。 此變更不會影響調查優先順序分數和本文所述的程式。
如需詳細資訊,請 參閱調查優先順序分數增加取代時程表。
階段 1:連線到您想要保護的應用程式
使用 API 連接器將至少一個應用程式連線到 Microsoft Defender for Cloud Apps。 建議您從連線 Microsoft 365 開始。
Microsoft Entra ID 應用程式會自動上線以進行條件式存取應用程控。
階段 2:識別風險最高的使用者
若要識別您風險最高的使用者 Defender for Cloud Apps:
在 Microsoft Defender 入口網站的 [資產] 下,選取 [身分識別]。 依 調查優先順序排序數據表。 然後逐一移至其用戶頁面來調查他們。
在使用者名稱旁邊找到 的調查優先順序號碼,是過去一周所有用戶有風險活動的總和。![[熱門使用者] 儀錶板的螢幕快照。](media/dashboard-top-users.png)
選取使用者右邊的三個點,然後選擇 [ 檢視使用者] 頁面。
檢閱 [使用者詳細數據] 頁面中的資訊,以取得使用者的概觀,並查看使用者是否在某個時間執行不尋常或執行的活動。
相 較於組織的使用者分數 ,代表使用者在貴組織中的排名所佔的百分位數 - 相對於組織中的其他使用者,使用者在您應該調查之使用者清單中的百分位數。 如果用戶位於或高於貴組織中風險性使用者的第90個百分位數,則數位為紅色。
使用者詳細數據頁面可協助您回答下列問題:
| 問題 | 詳細資料 |
|---|---|
| 用戶是誰? | 尋找使用者的基本詳細數據,以及系統對其了解的內容,包括使用者在公司及其部門中的角色。 例如,使用者是否為通常在其作業中執行異常活動的DevOps工程師? 或者,使用者是否為剛被轉移以進行升階的不符員工? |
| 用戶有風險嗎? | 員工 的風險分數為何,您在調查員工時值得嗎? |
| 使用者對您的組織有何風險? | 向下卷動以調查與使用者相關的每個活動和警示,以開始了解使用者所代表的風險類型。 在時間軸中,選取每一行,以深入瞭解活動或警示本身。 選取活動旁邊的數位,讓您可以了解影響分數本身的辨識項。 |
| 組織中的其他資產有何風險? | 選取 [ 橫向動作路徑] 索引標籤 ,以了解攻擊者可用來控制組織中其他資產的路徑。 例如,即使您調查的使用者有不區分的帳戶,攻擊者也可以使用帳戶的連線來探索並嘗試入侵您網路中的敏感性帳戶。 如需詳細資訊,請 參閱使用橫向動作路徑。 |
注意事項
雖然使用者詳細數據頁面提供所有活動的裝置、資源和帳戶資訊,但調查優先順序分數包含過去 7 天內所有具風險活動和警示 的總 和。
重設用戶分數
如果已調查使用者且找不到入侵的懷疑,或您基於任何其他原因而想要重設使用者的調查優先順序分數,請手動進行,如下所示:
在 Microsoft Defender 入口網站的 [資產] 下,選取 [身分識別]。
選取調查使用者右邊的三個點,然後選取 [重設調查優先順序分數]。 您也可以選 取 [檢視用戶頁面] ,然後從使用者詳細數據頁面中的三個點選取 [ 重設調查優先順序分數 ]。
注意事項
只能重設具有非零調查優先順序分數的使用者。
在確認視窗中,選取 [ 重設分數]。
![[重設分數] 按鈕的螢幕快照。](media/reset-score.png)
階段 3:進一步調查使用者
某些活動可能不會自行造成警示,但可能表示與其他活動匯總時發生可疑事件。
當您調查使用者時,您想要詢問下列有關您看到之活動和警示的問題:
此員工是否有執行這些活動的業務理由? 例如,如果營銷人員正在存取程式代碼基底,或是開發人員存取財務資料庫,您應該與員工一起追蹤,以確定這是刻意且合理的活動。
為什麼此活動會收到高分,而其他人卻沒有? 移至 活動記錄, 並將 [調查優先順序 ] 設定為 [已設定 ] 以瞭解哪些活動可疑。
例如,您可以根據特定地理區域中發生的所有活動的調查 優先順序 進行篩選。 然後,您可以查看是否有其他有風險的活動,使用者從中聯機,而且您可以輕鬆地將數據透視到其他向下鑽研,例如最近的非異常雲端和內部部署活動,以繼續調查。
階段 4:保護您的組織
如果您的調查導致您得出使用者遭到入侵的結論,請使用下列步驟來降低風險。
連絡使用者 – 使用與 Active Directory Defender for Cloud Apps 整合的使用者聯繫人資訊,您可以向下切入至每個警示和活動,以解析使用者身分識別。 請確定使用者已熟悉活動。
直接從 Microsoft Defender 入口網站的 [身分識別] 頁面中,選取已調查使用者的三個點,然後選擇是否要求使用者再次登入、暫停使用者,或確認使用者遭到入侵。
如果身分識別遭入侵,您可以要求使用者重設其密碼,確定密碼符合長度和複雜性的最佳做法指導方針。
如果您向下切入警示,並判斷活動不應該觸發警示,請在 [ 活動] 隱藏式選單中選取 [ 傳送意見反應] 連結,讓我們一定要在組織心目中微調警示系統。
補救問題之後,請關閉警示。
另請參閱
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。