Как исследовать риск

Защита идентификаторов Microsoft Entra предоставляет несколько отчетов о рисках , которые можно использовать для изучения рисков идентификации в вашей среде. Исследование событий является ключом к более глубокому пониманию и идентификации слабых точек в стратегии безопасности. Отчеты защиты идентификаторов можно архивировать для хранения или интеграции с средствами управления сведениями и событиями безопасности (SIEM) для дальнейшего анализа. Организации также могут воспользоваться преимуществами интеграции Microsoft Defender, Microsoft Sentinel и API Microsoft Graph для статистической обработки данных с другими источниками.

Существует множество способов расследования риска в вашей среде и ещё больше подробностей для рассмотрения в ходе вашего расследования. В этой статье представлена платформа, помогающая приступить к работе и описание некоторых наиболее распространенных сценариев и рекомендуемых действий.

Предпосылки

Начальная сортировка

При начале первичной оценки рекомендуется выполнить следующие действия:

  1. Просмотрите панель мониторинга защиты идентификаторов , чтобы визуализировать количество атак, количество пользователей с высоким риском и другие важные метрики на основе обнаружения в вашей среде.

  2. Просмотрите отчеты о рисках , чтобы изучить сведения о последних рискованных пользователях, входах или обнаружениях.

  3. Просмотрите книгу анализа влияния , чтобы понять сценарии, в которых риск очевиден в вашей среде, и какие политики доступа на основе рисков должны быть включены для управления пользователями с высоким риском и входами.

  4. Просмотрите журналы входа , чтобы определить аналогичные действия с одинаковыми характеристиками. Это действие может быть признаком более скомпрометированных учетных записей.

    1. Если существуют распространенные характеристики, такие как IP-адрес, география, успешность и сбой и т. д., попробуйте заблокировать их политикой условного доступа.
    2. Проверьте, какие ресурсы могут быть скомпрометированы, включая потенциальные скачивание данных или административные изменения.
    3. Включите политики самоисправления с помощью условного доступа.
  5. С помощью Microsoft Purview для управления внутренними рисками можно проверить, выполнил ли пользователь другие рискованные действия, например, скачивая большой объем файлов из нового места. Такое поведение является сильным признаком возможного компромисса.

Если вы подозреваете, что злоумышленник может олицетворить пользователя, необходимо требовать от пользователя сброс пароля и выполнить многофакторную аутентификацию, или заблокировать пользователя и аннулировать все маркеры обновления и доступа.

Рамка исследования и устранения рисков

Организации могут использовать следующую платформу для расследования подозрительных действий. При обнаружении риска рекомендуется выполнить самостоятельное исправление, если это вариант. Самостоятельное исправление может происходить с помощью самостоятельного сброса пароля или с помощью потока исправления политики условного доступа на основе рисков.

Если самостоятельное исправление не является вариантом, администратору необходимо устранить риск. Исправление выполняется путем вызова сброса пароля, необходимости повторной регистрации пользователя для MFA, блокировки пользователя или отзыва сеансов пользователей. На следующей блок-диаграмме показан рекомендуемый поток после обнаружения риска:

Схема, показывающая поток исправления рисков.

После локализации риска может потребоваться дальнейшее расследование, чтобы пометить риск как безопасный, скомпрометированный или закрыть его.

  1. Проверьте журналы входа и проверьте, является ли действие нормальным для данного пользователя.

    1. Просмотрите прошлые действия пользователя, включая следующие свойства, чтобы убедиться, нормальны ли они для данного пользователя.
      • Приложение — часто ли приложение используется пользователем?
      • Устройство — проверьте регистрацию и соответствие требованиям
      • Местоположение — пользователь путешествует в другое место или получает доступ к устройствам из разных мест?
      • IP-адрес
      • Строка агента пользователя
  2. Изучите другие средства безопасности, где они доступны.

    • Если у вас есть Microsoft Sentinel, проверьте наличие соответствующих оповещений, которые могут указывать на большую проблему.
    • Если у вас есть Microsoft Defender XDR, вы можете отслеживать событие риска пользователя с помощью других связанных оповещений и инцидентов.
    • Цепочка MITRE ATT&CK через Microsoft Sentinel в Microsoft Defender XDR также может предоставлять аналитические сведения. На портале Microsoft Defender перейдите к Инциденты и оповещения>Оповещения> и установите фильтр по названию продукта на AAD Identity Protection, чтобы найти оповещения из Azure Entra ID Protection.
  3. Обратитесь к пользователю, чтобы подтвердить, распознает ли он вход; Однако помните, что электронная почта или Teams могут быть скомпрометированы.

    1. Убедитесь, что у вас есть такие сведения, как:
      • Метка времени
      • Приложение
      • Устройство
      • Расположение
      • IP-адрес
  4. В зависимости от результатов расследования отмечайте пользователя или попытку входа как подтвержденную скомпрометированную, подтвержденную безопасную или отклоните риск. Вы можете подтвердить компрометацию в Центр администрирования Microsoft Entra или программно с помощью Microsoft Graph.

  5. Настройте политики условного доступа на основе рисков, чтобы предотвратить аналогичные атаки или устранить любые пробелы в охвате.

Изучение конкретных обнаружений

Для обнаружения определенных рисков требуются определенные действия по расследованию. В следующих разделах описаны некоторые наиболее распространенные обнаружения рисков и рекомендуемые действия.

Аналитика угроз Microsoft Entra

Чтобы изучить обнаружение угроз средствами аналитики рисков Microsoft Entra, выполните следующие действия на основе сведений, предоставленных в соответствующем поле "Дополнительные сведения" в области сведений об обнаружении рисков:

  • Если вход был получен из подозрительного IP-адреса:

    1. Убедитесь, что этот IP-адрес ведет себя подозрительно в вашей среде.
    2. Создает ли этот IP-адрес большое количество сбоев для одного пользователя или группы пользователей в вашей системе?
    3. Поступает ли трафик с этого IP-адреса через неожиданный протокол или неожиданное приложение, например, устаревшие протоколы Exchange?
    4. если это IP-адрес поставщика облачных служб, проверьте отсутствие легальных корпоративных приложений, работающих с того же IP-адреса.
  • Учетная запись подверглась атаке методом подбора паролей

    1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге;
    2. Определите, имеют ли другие пользователи входы с аналогичными нетипичными шаблонами, видимыми в обнаруженном входе в течение одного и того же интервала времени. Атаки с распыления паролем могут отображать необычные шаблоны в:
      • строка агента пользователя;
      • Приложение
      • Протокол
      • диапазоны IP-адресов или ASN;
      • время и частота входа в систему.
  • Обнаружение было активировано правилом в режиме реального времени

    1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге; Эти сведения можно найти с помощью номера TI_RI_#### , назначенного правилу.
    2. Правила реального времени защищают от новых атак, определенных исследованием аналитики угроз Майкрософт. Если несколько пользователей в каталоге были мишенью одной атаки, изучите необычные шаблоны в других атрибутах входа.

Нетипичные обнаружения путешествий

  • Если вы подтверждаете, что действие не было выполнено законным пользователем:
    1. Пометьте этот вход в систему как скомпрометированный и инициируйте сброс пароля, если он еще не выполнен самокоррекцией.
    2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнить многофакторную проверку подлинности и сбросить пароль.
  • Если пользователь, как известно, использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.
  • Если вы подтвердите, что пользователь недавно путешествовал в место назначения, указанное в оповещении, подтвердите вход как безопасный.
  • Если вы подтверждаете, что диапазон IP-адресов относится к санкционированному VPN, подтвердите безопасный вход и добавьте диапазон IP-адресов VPN в именованные расположения в Microsoft Entra ID и Microsoft Defender for Cloud Apps.

Обнаружение аномалий токенов и аномалий эмитента токенов

  • Если вы убедитесь, что действие не было выполнено законным пользователем, это можно определить по сочетанию таких факторов, как оповещения о рисках, расположение, приложение, IP-адрес, агента пользователя или другие характеристики, которые нехарактерны для пользователя:

    1. Пометьте этот вход в систему как скомпрометированный и инициируйте сброс пароля, если он еще не выполнен самокоррекцией.
    2. Блокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению важных операций.
    3. Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля, выполнение MFA или блокировать доступ для всех входов с высоким уровнем риска.
  • Если вы подтверждаете расположение, приложение, IP-адрес, User Agent или другие характеристики, ожидаемые для пользователя, и нет других признаков компрометации, разрешить пользователю самостоятельно управлять ситуацией с безопасностью с помощью политики условного доступа на основе рисков или попросить администратора подтвердить, что вход является безопасным.

Дополнительные сведения об обнаружении на основе токенов см. в блоге 'Token tactics: как предотвратить, обнаруживать и реагировать на кражу облачных токенов' и учебнике 'Token theft investigation playbook' по расследованию кражи токенов.

Обнаружение подозрительных браузеров

Это обнаружение означает, что пользователь обычно не использует браузер или действие в браузере не соответствует нормальному поведению пользователя.

  • Подтвердите вход как скомпрометированный и инициируйте сброс пароля, если вы еще не сделали этого самостоятельно. Блокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению MFA.
  • Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля, выполнение MFA или блокировать доступ для всех входов с высоким уровнем риска.

Обнаружение вредоносных IP-адресов

  • Если вы подтверждаете, что действие не было выполнено законным пользователем:

    1. Подтвердите вход как скомпрометированный и инициируйте сброс пароля, если вы еще не сделали этого самостоятельно.
    2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению многофакторной проверки подлинности, сбросить пароль и отозвать все токены.
    3. Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля или выполнить многофакторную проверку подлинности для всех входов с высоким риском.
  • Если вы подтверждаете, что пользователь использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.

Обнаружение спреев паролей

Обнаружение атаки спрея паролей означает, что корпорация Майкрософт зафиксировала попытку злоумышленника провести атаку и успешно взломать учетные данные пользователя в тенанте. Атака методом разбрызгивания может быть нацелена на пользователей во многих тенантах — обнаружение происходит только в тех тенантах, где подтверждено успешное совпадение пароля. Неудачные попытки распыления не приводят к обнаружению.

  • Если вы подтверждаете, что действие не было выполнено законным пользователем:

    1. Пометьте этот вход в систему как скомпрометированный и инициируйте сброс пароля, если он еще не выполнен самокоррекцией.
    2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению многофакторной проверки подлинности, сбросить пароль и отозвать все токены.
  • Если вы подтверждаете, что пользователь использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.

  • Если вы подтверждаете, что учетная запись не скомпрометирована и отсутствуют индикаторы атаки методом подбора или распыления паролей для нее:

    1. Разрешить пользователю самостоятельно устранить проблему с помощью условной политики доступа на основе оценки риска или поручить администратору подтвердить безопасность входа.
    2. Убедитесь, что вы настроили смарт-блокировку Microsoft Entra соответствующим образом, чтобы избежать ненужных блокировок учетных записей.

Дополнительные сведения об обнаружении атак методом спрея паролей см. в статье Расследование спрея паролей.

Обнаружения утечки учетных данных

Обнаружение утечки учетных данных всегда является высоким риском, так как они представляют подтвержденную уязвимость учетных данных. Когда срабатывает обнаружение, расследуйте немедленно.

Если это обнаружение определило утечку учетных данных для пользователя:

  1. Оцените область воздействия. Просмотрите историю рисков пользователя и журналы входа, чтобы определить, использовались ли утекшие учетные данные для несанкционированного доступа. Найдите коррелированные события риска входа, такие как входы из незнакомых расположений, анонимных IP-адресов или нетипичные поездки.
  2. Проверьте, был ли пароль уже изменен. Проверьте, изменил ли пользователь пароль после даты обнаружения утечки. Сброс пароля на облачной основе, инициированный политикой условного доступа Microsoft Entra, полностью исправляет пользовательский риск, связанный с данным обнаружением. Если пароль был изменён, риск может быть уже автоматически устранён. В противном случае подтвердите, что пользователь скомпрометирован и инициирует сброс пароля.
  3. Блокировать доступ, если злоумышленник активен. Если в журналах входа отображается несанкционированный доступ или злоумышленник может сбросить пароль или выполнить многофакторную проверку подлинности, заблокировать пользователя, сбросить пароль и отозвать все маркеры обновления. Отмена сеансов имеет решающее значение, когда есть доказательства активного взлома.
  4. Проверка бокового смещения. Проверьте недавнее действие пользователя на наличие признаков эскалации привилегий, регистрации новых приложений, изменений правил почтовых ящиков или доступа к конфиденциальным ресурсам, которые могут указывать на действие после компрометации.
  5. Проверьте подключенные учетные записи. Если пользователь повторно использует пароли между службами, рассмотрите скомпрометированные учетные данные за пределами клиента. Советуйте пользователю изменять пароли в других службах, где они используют те же учетные данные.

Устранение будущих рисков

  • Добавьте корпоративные VPN и диапазоны IP-адресов в именованные расположения в политиках условного доступа, чтобы уменьшить ложные срабатывания.
  • Рассмотрите возможность создания базы данных проверенных путешественников для обновления отчётности организации о поездках и её использования для перекрёстной проверки действий, связанных с поездками.
  • Дайте отзыв в ID Protection, чтобы повысить точность обнаружения и уменьшить количество ложных срабатываний.

Следующие шаги