Microsoft Entra ID Protection 提供了多个 风险报告 ,可用于调查环境中的标识风险。 事件调查是深入了解和找出安全策略中任何弱点的关键。 ID 保护报告可以存档用于存储,也可以与安全信息和事件管理(SIEM)工具集成,以便进一步分析。 组织还可以利用 Microsoft Defender、Microsoft Sentinel 和 Microsoft Graph API 集成来与其他源聚合数据。
可以通过多种方式调查环境中的风险,以及调查期间要考虑的更多详细信息。 本文提供了一个框架,帮助你开始,并概述了一些最常见的情景和建议的行动。
先决条件
- 需要Microsoft Entra ID P2 或 Microsoft Entra Suite 许可证 才能完全访问 Microsoft Entra ID Protection 功能。
- 全局读取者 是 查看风险报告所需的最低特权角色。
- 报表读取者 是 查看登录和审核日志所需的最低特权角色。
初始会审
启动初始会审时,建议执行以下操作:
查看 ID 保护仪表板 ,根据环境中的检测可视化攻击数、高风险用户数和其他重要指标。
查看 风险报告 ,检查任何最近有风险的用户、登录或检测的详细信息。
查看 影响分析工作簿 ,了解环境中风险明显的情况,以及应启用哪些基于风险的访问策略来管理高风险用户和登录。
查看 登录日志 ,以识别具有相同特征的类似活动。 此活动可能表明有更多帐户被入侵。
- 如果存在共同特征(如 IP 地址、地理位置、成功/失败等),请考虑使用条件访问策略阻止。
- 查看哪些资源可能已被入侵,包括潜在的数据下载或管理修改。
- 通过条件访问启用自我修正策略。
通过 Microsoft Purview 使用 Insider Risk Management,可以查看用户是否执行了其他有风险的活动,例如从新位置下载大量文件。 此行为强烈表明可能被入侵。
如果怀疑攻击者可以模拟用户,则应该要求用户重置密码并执行 MFA,或者阻止用户并撤销所有刷新和访问令牌。
调查和风险修正框架
组织可以使用以下框架调查可疑活动。 检测到风险时,建议的第一步是自我修正(如果是一个选项)。 可以通过自助密码重置或通过 基于风险的条件访问策略的修正流进行自我修正。
如果自我修正不是一个选项,管理员需要修正风险。 通过调用密码重置来完成修正,要求用户重新注册 MFA、阻止用户或撤销用户会话。 以下流程图显示了检测到风险后的建议流:
一旦风险得到控制,可能需要进行更多调查,以将风险标记为安全、受到损害或驳回风险。
检查登录日志,并验证给定用户的活动是否正常。
- 查看用户的过往活动(包括以下属性),以判断它们对于给定用户而言是否正常。
- 应用程序 - 该应用是用户常用的吗?
- 设备 - 设备是否已注册或合规?
- 位置 - 用户是否前往其他地点,或者是否从多个位置访问设备?
- IP 地址
- 用户代理字符串
- 查看用户的过往活动(包括以下属性),以判断它们对于给定用户而言是否正常。
使用其他安全工具进行调查(如果有)。
如果您使用 Microsoft Sentinel,请检查可能指出更大问题的相关警报。
如果有Microsoft Defender XDR,可以通过其他相关警报、事件和 MITRE ATT&CK 链跟踪用户风险事件。
- 若要从 有风险的用户报表导航,请选择用户 > 选择省略号(...) > 选择“ 使用 Microsoft 365 Defender 进行调查”。
请与用户联系以确认他们是否识别登录;但是,请记住,电子邮件或 Teams 可能会遭到入侵。
- 确认你的信息,例如:
- 时间戳
- 应用程序
- 设备
- 位置
- IP 地址
- 确认你的信息,例如:
根据调查结果,将用户或登录标记为已确认被入侵、已确认安全或消除风险。
设置基于风险的条件访问策略 ,以防止类似的攻击或解决覆盖范围中的任何差距。
调查特定检测
某些风险检测需要特定的调查步骤。 以下部分概述了一些最常见的风险检测和建议作。
Microsoft Entra 威胁情报
若要调查Microsoft Entra 威胁情报风险检测,请根据风险检测详细信息窗格的“附加信息”字段中提供的信息执行以下步骤:
如果登录来自可疑 IP 地址:
- 确认 IP 地址是否在你的环境中显示可疑行为。
- 此 IP 是否为目录中的一位用户或一组用户产生了大量故障?
- 此 IP 的流量是否来自意外的协议或应用程序,例如 Exchange 旧版协议?
- 如果此 IP 地址与云服务提供商相对应,则排除没有合法的企业应用程序从同一 IP 运行。
帐户是密码喷射攻击的受害者
- 验证目录中没有其他用户是同一攻击的目标。
- 确定在相同时间范围内,其他用户的登录是否也表现出与检测到的登录类似的非典型模式。 密码喷射攻击可能会在以下方面显示异常模式:
- 用户代理字符串
- 应用程序
- Protocol
- IP/ASN 范围
- 登录时间和频率
检测由实时规则触发
- 验证目录中没有其他用户是同一攻击的目标。 使用分配给规则的 TI_RI_#### 编号,可以找到此类信息。
- 实时规则可抵御 Microsoft 威胁情报识别出的新攻击。 如果目录中的多个用户是同一攻击的目标,请调查登录的其他属性中的异常模式。
非典型旅行检测
- 如果确认活动 未 由合法用户执行:
- 将登录标记为已泄露,如果尚未通过自我修正执行,请调用密码重置。
- 如果攻击者有权重置密码或执行 MFA 并重置密码,则阻止用户。
- 如果已知用户在职责范围内使用 IP 地址,请确认登录是否安全。
- 如果确认用户最近前往警报中详述的目标,请确认登录是否安全。
- 如果确认 IP 地址范围来自批准的 VPN,请确认登录为安全,并将 VPN IP 地址范围添加到 Microsoft Entra ID 和 Microsoft Defender for Cloud Apps 中的命名位置。
异常令牌和令牌颁发者异常检测
如果确认活动 不是 由合法用户使用风险警报、位置、应用程序、IP 地址、用户代理或其他用户意外特征的组合执行的:
- 将登录标记为已泄露,如果尚未通过自我修正执行,请调用密码重置。
- 如果攻击者拥有重置密码或执行操作的访问权限,则阻止用户。
- 设置基于风险的条件访问策略 ,以要求密码重置、执行 MFA 或阻止对所有高风险登录的访问。
如果确认用户的地理位置、应用程序、IP 地址、用户代理或其他特征是预期的,并且没有其他可能的安全漏洞迹象,则允许用户使用基于风险的条件访问策略进行自我修正,或者让管理员确认登录是安全的。
有关基于令牌的检测的进一步调查,请参阅博客文章令牌策略:如何防止、检测和响应云令牌盗窃以及令牌盗窃调查行动手册。
可疑浏览器检测
此检测表明用户通常不使用浏览器或浏览器中的活动与用户的正常行为不匹配。
- 确认登录已被泄露,如果尚未通过自我修正来执行,请进行密码重置。 如果攻击者拥有重置密码或执行 MFA 的访问权限,则阻止用户。
- 设置基于风险的条件访问策略 ,以要求密码重置、执行 MFA 或阻止对所有高风险登录的访问。
恶意 IP 地址检测
如果确认活动 不是 由合法用户执行的:
- 确认登录已被泄露,如果尚未通过自我修正来执行,请进行密码重置。
- 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌,则阻止用户。
- 设置基于风险的条件访问策略 以要求密码重置或对所有高风险登录执行 MFA。
如果确认用户在其职责范围内 确实 使用 IP 地址,请确认登录是否安全。
密码喷射检测
如果确认活动 不是 由合法用户执行的:
- 将登录标记为已泄露,如果尚未通过自我修正执行,请调用密码重置。
- 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌,则阻止用户。
如果确认用户在其职责范围内确实使用 IP 地址,请确认该登录是安全的。
如果确认帐户未泄露,且未发现针对该帐户的暴力破解或密码喷射攻击的指示器:
- 允许用户使用基于风险的条件访问策略进行自我修正,或者让管理员确认登录是安全的。
- 确保已正确配置 Microsoft Entra 智能锁定 以避免不必要的帐户锁定。
有关密码喷射风险检测的进一步调查,请参阅 密码喷射调查一文。
凭据泄漏检测
如果此检测标识了用户泄露的凭据:
- 确认用户已遭入侵,如果尚未通过自我修正执行密码重置,请调用密码重置。
- 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌,则阻止用户。
缓解未来风险
- 将公司 VPN 和 IP 地址范围添加到条件访问策略中的 命名位置 ,以减少误报。
- 考虑创建一个已知的异常位置登录数据库来更新组织的异常位置报告,并使用它来交叉引用异常位置活动。
- 提供 ID 保护中的反馈 以提高检测准确性并减少误报。