Как исследовать риск

2025-10-08

Защита идентификаторов Microsoft Entra предоставляет несколько отчетов о рисках , которые можно использовать для изучения рисков идентификации в вашей среде. Исследование событий является ключом к более глубокому пониманию и идентификации слабых точек в стратегии безопасности. Отчеты защиты идентификаторов можно архивировать для хранения или интеграции с средствами управления сведениями и событиями безопасности (SIEM) для дальнейшего анализа. Организации также могут воспользоваться преимуществами интеграции Microsoft Defender, Microsoft Sentinel и API Microsoft Graph для статистической обработки данных с другими источниками.

Существует множество способов расследования риска в вашей среде и ещё больше подробностей для рассмотрения в ходе вашего расследования. В этой статье представлена платформа, помогающая приступить к работе и описание некоторых наиболее распространенных сценариев и рекомендуемых действий.

Предпосылки

Лицензия Microsoft Entra ID P2 или Microsoft Entra Suite необходима для полного доступа к функциям защиты идентификаторов Microsoft Entra.
Глобальный читатель — это наименее привилегированная роль, необходимая для просмотра отчетов о рисках.
Средство чтения отчетов — это наименее привилегированная роль, необходимая для просмотра журналов входа и аудита.

Начальная сортировка

При запуске начальной триажа рекомендуется выполнить следующие действия:

Просмотрите панель мониторинга защиты идентификаторов , чтобы визуализировать количество атак, количество пользователей с высоким риском и другие важные метрики на основе обнаружения в вашей среде.
Просмотрите отчеты о рисках , чтобы изучить сведения о последних рискованных пользователях, входах или обнаружениях.
Просмотрите книгу анализа влияния , чтобы понять сценарии, в которых риск очевиден в вашей среде, и какие политики доступа на основе рисков должны быть включены для управления пользователями с высоким риском и входами.
Просмотрите журналы входа , чтобы определить аналогичные действия с одинаковыми характеристиками. Это действие может быть признаком более скомпрометированных учетных записей.
1. Если существуют распространенные характеристики, такие как IP-адрес, география, успешность и сбой и т. д., попробуйте заблокировать их политикой условного доступа.
2. Проверьте, какие ресурсы могут быть скомпрометированы, включая потенциальные скачивание данных или административные изменения.
3. Включите политики самоисправления с помощью условного доступа.
С помощью Microsoft Purview для управления внутренними рисками можно проверить, выполнил ли пользователь другие рискованные действия, например, скачивая большой объем файлов из нового места. Такое поведение является сильным признаком возможного компромисса.

Если вы подозреваете, что злоумышленник может олицетворить пользователя, необходимо, чтобы пользователь сбрасывал пароль и выполнял многофакторную проверку подлинности или блокировал пользователя и отменял все маркеры обновления и доступа.

Платформа устранения рисков и исследования

Организации могут использовать следующую платформу для расследования подозрительных действий. При обнаружении риска рекомендуется выполнить самостоятельное исправление, если это вариант. Самостоятельное исправление может происходить с помощью самостоятельного сброса пароля или с помощью потока исправления политики условного доступа на основе рисков.

Если самостоятельное исправление не является вариантом, администратору необходимо устранить риск. Исправление выполняется путем вызова сброса пароля, необходимости повторной регистрации пользователя для MFA, блокировки пользователя или отзыва сеансов пользователей. На следующей блок-диаграмме показан рекомендуемый поток после обнаружения риска:

После локализации риска может потребоваться дальнейшее расследование, чтобы пометить риск как безопасный, скомпрометированный или закрыть его.

Проверьте журналы входа и проверьте, является ли действие нормальным для данного пользователя.
1. Просмотрите прошлые действия пользователя, включая следующие свойства, чтобы узнать, является ли он нормальным для данного пользователя.
  - Приложение — часто ли приложение используется пользователем?
  - Устройство — проверьте регистрацию и соответствие требованиям
  - Расположение — проверьте, должен ли пользователь находиться в другом расположении или часто менять расположения
  - IP-адрес
  - Строка агента пользователя
Изучите другие средства безопасности, где они доступны.
- Если у вас есть Microsoft Sentinel, проверьте наличие соответствующих оповещений, которые могут указывать на большую проблему.
- Если у вас есть Microsoft Defender XDR, вы можете отслеживать событие риска пользователя с помощью других связанных оповещений, инцидентов и цепочки MITRE ATT&CK.
  - Чтобы перейти из отчета о рискованных пользователях, выберите пользователя > и нажмите на многоточие (...) >, затем выберите Исследовать с помощью Microsoft 365 Defender.
Обратитесь к пользователю, чтобы подтвердить, распознает ли он вход; Однако помните, что электронная почта или Teams могут быть скомпрометированы.
1. Убедитесь, что у вас есть такие сведения, как:
  - Метка времени
  - Приложение
  - Устройство
  - Расположение
  - IP-адрес
В зависимости от результатов расследования помечайте пользователя или войдите как подтвержденное скомпрометированное, подтвержденное безопасное или отклоните риск.
Настройте политики условного доступа на основе рисков, чтобы предотвратить аналогичные атаки или устранить любые пробелы в охвате.

Изучение конкретных обнаружений

Для обнаружения определенных рисков требуются определенные действия по расследованию. В следующих разделах описаны некоторые наиболее распространенные обнаружения рисков и рекомендуемые действия.

Аналитика угроз Microsoft Entra

Чтобы изучить обнаружение рисков аналитики угроз Microsoft Entra, выполните следующие действия на основе сведений, предоставленных в поле "Дополнительные сведения" в области сведений об обнаружении рисков:

Если вход был получен из подозрительного IP-адреса:
1. убедитесь, что этот IP-адрес действительно можно считать подозрительным в вашей среде;
2. создает ли этот IP-адрес большое число неудачных входов одного или нескольких пользователей в каталоге?
3. поступает ли с этого IP-адреса трафик с необычным протоколом или от неожиданного приложения, например с устаревшим протоколом Exchange?
4. если это IP-адрес поставщика облачных служб, проверьте отсутствие легальных корпоративных приложений, работающих с того же IP-адреса.
Учетная запись подверглась атаке методом подбора паролей
1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге;
2. Определите, имеют ли другие пользователи входы с аналогичными нетипичными шаблонами, видимыми в обнаруженном входе в течение одного и того же интервала времени. Атаки с распыления паролем могут отображать необычные шаблоны в:
  - строка агента пользователя;
  - Приложение
  - Протокол
  - диапазоны IP-адресов или ASN;
  - время и частота входа в систему.
Обнаружение было активировано правилом в режиме реального времени
1. убедитесь, что аналогичная атака не ведется на других пользователей в вашем каталоге; Эти сведения можно найти с помощью номера TI_RI_#### , назначенного правилу.
2. Правила реального времени защищают от новых атак, определенных аналитикой угроз Майкрософт. Если несколько пользователей в каталоге были мишенью одной атаки, изучите необычные шаблоны в других атрибутах входа.

Нетипичные обнаружения путешествий

Если вы подтверждаете, что действие не было выполнено законным пользователем:
1. Пометьте этот вход в систему как скомпрометированный и инициируйте сброс пароля, если он еще не выполнен самокоррекцией.
2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнить многофакторную проверку подлинности и сбросить пароль.
Если пользователь, как известно, использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.
Если вы подтвердите, что пользователь недавно путешествовал в место назначения, указанное в оповещении, подтвердите вход как безопасный.
Если вы подтверждаете, что диапазон IP-адресов относится к санкционированному VPN, подтвердите безопасный вход и добавьте диапазон IP-адресов VPN в именованные расположения в Microsoft Entra ID и Microsoft Defender for Cloud Apps.

Обнаружение аномалий токенов и аномалий эмитента токенов

Если вы убедитесь, что действие не было выполнено законным пользователем, это можно определить по сочетанию таких факторов, как оповещения о рисках, расположение, приложение, IP-адрес, агента пользователя или другие характеристики, которые нехарактерны для пользователя:
1. Отметьте авторизацию как скомпрометированную и вызовите сброс пароля, если это еще не выполнено через самовосстановление.
2. Блокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению.
3. Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля, выполнение MFA или блокировать доступ для всех входов с высоким уровнем риска.
Если вы подтверждаете расположение, приложение, IP-адрес, User Agent или другие характеристики, ожидаемые для пользователя, и нет других признаков компрометации, разрешить пользователю самостоятельно управлять ситуацией с безопасностью с помощью политики условного доступа на основе рисков или попросить администратора подтвердить, что вход является безопасным.

Дополнительные сведения об обнаружении на основе маркеров см. в тактике публикации токенов блога : как предотвратить, обнаруживать и реагировать на кражу облачных маркеров сборник схем исследования кражи маркеров.

Обнаружение подозрительных браузеров

Это обнаружение означает, что пользователь обычно не использует браузер или действие в браузере не соответствует нормальному поведению пользователя.

Подтвердите вход как скомпрометированный и инициируйте сброс пароля, если вы еще не сделали этого самостоятельно. Блокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнению MFA.
Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля, выполнение MFA или блокировать доступ для всех входов с высоким уровнем риска.

Обнаружение вредоносных IP-адресов

Если вы подтверждаете, что действие не было выполнено законным пользователем:
1. Подтвердите вход как скомпрометированный и инициируйте сброс пароля, если вы еще не сделали этого самостоятельно.
2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнить многофакторную проверку подлинности и сбросить пароль и отозвать все маркеры.
3. Настройте политики условного доступа на основе рисков , чтобы требовать сброс пароля или выполнить многофакторную проверку подлинности для всех входов с высоким риском.
Если вы подтверждаете, что пользователь использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.

Обнаружение спреев паролей

Если вы подтверждаете, что действие не было выполнено законным пользователем:
1. Отметьте авторизацию как скомпрометированную и вызовите сброс пароля, если это еще не выполнено через самовосстановление.
2. Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнить многофакторную проверку подлинности и сбросить пароль и отозвать все маркеры.
Если вы подтверждаете, что пользователь использует IP-адрес в области своих обязанностей, подтвердите вход как безопасный.
Если вы подтверждаете, что учетная запись не скомпрометирована и отсутствуют индикаторы атаки методом подбора или распыления паролей для нее:
1. Разрешить пользователю самостоятельно устранить проблему с помощью условной политики доступа на основе оценки риска или поручить администратору подтвердить безопасность входа.
2. Убедитесь, что вы настроили смарт-блокировку Microsoft Entra соответствующим образом, чтобы избежать ненужных блокировок учетных записей.

Дополнительные сведения об обнаружении рисков распыления паролей см. в статье " Исследование спрея паролей".

Обнаружения утечки учетных данных

Если это обнаружение определило утечку учетных данных для пользователя:

Подтвердите, что учетная запись пользователя скомпрометирована, и выполните сброс пароля, если это еще не было сделано пользователем самостоятельно.
Заблокировать пользователя, если злоумышленник имеет доступ к сбросу пароля или выполнить многофакторную проверку подлинности и сбросить пароль и отозвать все маркеры.

Устранение будущих рисков

Добавьте корпоративные VPN и диапазоны IP-адресов в именованные расположения в политиках условного доступа, чтобы уменьшить ложные срабатывания.
Рассмотрите возможность создания известной базы данных путешественников для обновленных отчетов организации о путешествиях и их использования для перекрестной ссылки на поездки.
Дайте отзыв в ID Protection, чтобы повысить точность обнаружения и уменьшить количество ложных срабатываний.

Следующие шаги

Устранение рисков и разблокирование пользователей
Identity Protection policies (Политики защиты идентификации)
Включение политик входа и риска для пользователей

Обратная связь

Были ли сведения на этой странице полезными?