זיהוי משתמשים בסיכון ופתרונות כוללים לניהול זהויות ולגישה לרשת ב-Microsoft Entra
פתיח
זיהוי של משתמשים בסיכון ב-Microsoft Entra הוא יותר מסתם עבירה על נוהל אבטחה. מדובר בצעד חיוני להגנה על הארגון שלך מפני איומי זהות מודרניים. גם בסביבות מאובטחות עם בקרות אבטחה חזקות כמו MFA, תוקפים ממשיכים לנצל את ההתנהגות האנושית, באמצעות טכניקות כמו עייפות MFA, הנדסה חברתית ופישינג. טקטיקות אלו עשויות להוביל לפגיעות בחשבונות, למרות הגנות רבות שכבר קיימות.
כדי להישאר לפני האיומים הללו, מערכת Microsoft Entra מאפשרת לך לראות בעיות בחשבונות שמעידים על אפשרות של פגיעה, ובכך מאפשרת לך לנקוט בפעולה לפני שייגרם נזק. במאמר זה נחקור כיצד Entra מזהה משתמשים בסיכון וכיצד ניתן לשלוף אותם, מה שמאפשר לך לתעדף את מאמצי התיקון ולחזק את אבטחת הזהות של הארגון שלך.
כיצד Entra ID Protection חוקרת משתמשים בסיכון ב-Microsoft 365
Microsoft Entra עושה שימוש במודיעין איומים בזמן אמת ובאנליטיקה התנהגותית כדי לזהות פעילות חריגה שעשויה להעיד על פגיעה אפשרית בזהות. המערכת עוקבת אחרי סימני כניסה מסוכנים כגון:
- שימוש בכתובת IP אנונימית
- נסיעות לא טיפוסיות או ממקומות בלתי מוכרים
- כניסות ממכשירים חשודים או נגועים
- פרטי שימוש שנמצאו בדליפות מידע
זיהויים אלו מתבססים על תבניות התקפה שנצפו ברשת המודיעין העולמית של Microsoft. כאשר משתמש מציג התנהגות מסוכנת, Entra מסמנת את החשבון, ומאפשרת תיקון אוטומטי או חקירה ידנית בהתאם למדיניות המוגדרת שלך. בכך, Entra משפרת את אסטרטגיית ההגנה על הזהות שלך מניהול תגובתי להגנה פרואקטיבית.
מעקב אחרי משתמשים בסיכון ב-Microsoft Entra ID
עקיבה אחרי כל כניסות המשתמשים באופן ידני כדי לזהות משתמשים בסיכון ב-Microsoft 365 היא לא מעשית עבור ארגונים רבים. במקום לסנן כמויות עצומות של נתוני כניסה, Microsoft Entra ID מציעה דוח מובנה לחיפוש ולמעקב אחרי משתמשים בסיכון בהתבסס על סימני סיכון מתקדמים.
הנה השיטות הזמינות למעקב אחרי משתמשים בסיכון ב-Microsoft 365:
- מעקב אחרי משתמשים בסיכון באמצעות Microsoft Entra
- שליפת משתמשים בסיכון ב-Entra ID עם PowerShell
1. מעקב אחרי משתמשים בסיכון עם Microsoft Entra Admin Center
כדי לגשת לדו"ח משתמשים בסיכון ב-Microsoft Entra ID Protection, בצע את הצעדים הבאים:
- היכנס למרכז ניהול Microsoft Entra.
- עבור לקטגוריה זיהוי – הגנה – פעילויות מסוכנות.
- תחת סעיף הדוחות, בחר ב"משתמשים בסיכון".
כאן תוכל לראות את כל המשתמשים שסומנו כבסיכון על בסיס המידע המודיעיני של Microsoft.
2. שליפת משתמשים בסיכון עם PowerShell
תוכל לעקוב אחרי הצעדים הבאים כדי לשלוף את כל המשתמשים בסיכון באמצעות Microsoft Graph PowerShell.
- התחבר ל-Microsoft Graph PowerShell עם הפקודה הבאה:
powershell
Connect-MgGraph -Scopes "AuditLog.Read.All", "Directory.Read.All"
- הרץ את הפקודה הבאה כדי לקבל את כל המשתמשים בסיכון ב-Microsoft Entra:
powershell
פקודות לשליפת המשתמשים
הפקודות הללו מחזירות את כל המשתמשים שסומנו כיום כבסיכון, יחד עם אלו שהיו בסיכון בעבר ועכשיו במצב מתוקן. עם זאת, הן לא מספקות תובנות מפורטות על האירועים או הסיבות שהובילו לסטטוס הסיכון של המשתמש. הפורטל של Microsoft Entra או פקודות PowerShell בסיסיות יכולים לעזור בזיהוי משתמשים בסיכון, אך פעמים רבות הם חסרים כשמדובר בהסרה של משתמשים בסיכון ברמות שונות ובמצבי סיכון שונים, במיוחד עם כמויות גדולות של נתונים.
כדי להקל על התהליך ולשפר את האמינות שלו, פיתחנו סקריפט PowerShell מותאם שיספק דרך מקיפה, גמישה ואוטומטית למעקב אחרי משתמשים בסיכון ב-Microsoft 365.
תכני הסקריפט:
- ייצוא של כל המשתמשים בסיכון בארגון שלך לקובץ CSV.
- רישום של כל המשתמשים עם היסטוריה של פעילות מסוכנת.
- מציאת משתמשים על פי רמות סיכון ומצבי סיכון ספציפיים.
- תמיכה ביצוא משתמשים בסיכון בזמן שנבחר.
- אוטומטית מאמת ומתקין את מודול Microsoft Graph PowerShell SDK (אם אינו מותקן).
- יכול לפעול גם עם חשבון מאופסן ב-MFA.
- תומך גם בהזדהות מבוססת תעודה (CBA).
- הסקריפט מותאם להדרכה.
דוח משתמשים בסיכון ב-Microsoft Entra ID – תצוגה לדוגמה
דוח המשתמשים בסיכון ב-Microsoft Entra מופיע כמו בתמונה למטה.
הסקריפט מייצא את כל המשתמשים בסיכון יחד עם תכנים כמו שם המשתמש בסיכון, UPN, מזהה משתמש בסיכון, רמת סיכון, מצב סיכון, תאריך עדכון אחרון, פעולה לתיקון, סוג אירוע סיכון, האם המשתמש נמחק, והאם תהליכים מתבצעים ברקע.
צעדי ביצוע הסקריפט לדוח הכשלות ב-Microsoft 365
- הורד את הסקריפט.
- פתח את Windows PowerShell.
- בחר אחד מהשיטות להפעיל את הסקריפט.
שיטה 1: הרץ את הסקריפט עם חשבון מאופסן ב-MFA או ללא
powershell
.\GetRiskyUsersReport.ps1
הפורמט שלמעלה מייצא דוח מפורט של כל המשתמשים בסיכון בארגון שלך.
שיטה 2: הרץ את הסקריפט באמצעות הזדהות מבוססת תעודה
כדי להשתמש בהזדהות מבוססת תעודה, יש לרשום אפליקציה ב-Entra ID, שתסייע לך להתחבר ל-Microsoft Graph PowerShell. בהתאם לצרכים שלך, תוכל לבחור להשתמש ברשות תעודות (CA) או ליצור תעודה חתומה עצמית.
powershell
.\GetRiskyUsersReport.ps1 -TenantId -ClientId -CertificateThumbprint
באמצעות הסקריפט ניתן גם לתזמן פעולה עם Task Scheduler או Azure Automation כדי לזהות ולייצא דוח משתמשים בסיכון באופן תקופתי.
ניהול כל הפוטנציאל של סקריפט דוח משתמשים בסיכון
הסקריפט כולל מסננים מובנים שנועדו להתמודד עם תרחישים נפוצים בדיווח. הנה כיצד הם יכולים לעזור בשיפור האתגר שלך.
1. ייצוא כל המשתמשים בסיכון לתקופת מותאמת אישית ב-Microsoft 365
כברירת מחדל, הסקריפט שולף את כל המשתמשים בסיכון מה-90 ימים האחרונים. עם זאת, תוכל לחדד את החיפוש שלך באמצעות הפרמטר -ShowRiskyUsersFromLastNDays. עם אפשרות זו, תוכל לייצא משתמשים בסיכון כלשהו לתקופה מותאמת אישית.
powershell
.\GetRiskyUsersReport.ps1 -ShowRiskyUsersFromLastNDays 30
הפקודה לעיל משיגה את כל המשתמשים בסיכון ב-30 הימים האחרונים. בכך קל יותר לאתר במהירות משתמשים שההתנהגות שלהם אובחנה במהלך תקופה מסוימת. לאחר זיהוי, תוכל לחקור ולנקוט בפעולות תיקון נדרשות.
טיפ מועיל: תוכל גם לאוטומט את תיקון הכניסות המסוכנות באמצעות מדיניות גישה מבוססת סיכון ב-Microsoft Entra. מדיניות זו יכולה להגביל אוטומטית את הגישה למשתמשים בסיכון, ולסייע בהגנה על נתונים רגישים בארגון שלך.
2. מעקב אחרי משתמשים בסיכון ב-Microsoft Entra לפי רמת סיכון ספציפית
למרות שכולם צריכים להיבדק למעקב, יש להעדיף בנושא הפעולה מיידית את המשתמשים ברמת סיכון גבוהה. Microsoft מעניקה רק רמת סיכון "גבוהה" כאשר יש ראיות חזקות החשוד כי חשבון נפרץ או מפגין התנהגות מסוכנת.
לברירת מחדל, הסקריפט מייצא את כל המשתמשים בסיכון ברמות סיכון נמוכות, בינוניות וגבוהות. עבור ארגונים עם מספר רב של משתמשים בסיכון, זיהוי משתמשים ברמת סיכון גבוהה באופן ידני הוא משימה גוזלת זמן. כאן נכנס לתמונה הפרמטר -RiskLevel.
powershell
.\GetRiskyUsersReport.ps1 -RiskLevel High
הפקודה לעיל מייצאת רק את המשתמשים ברמת הסיכון הגבוהה ב-Microsoft 365, מה שמסייע לצוות האבטחה שלך להתמקד בחשבונות הקריטיים ביותר שדורשים חקירה מיידית ותגובה. אפשר גם לבחור ערכים כמו נמוך, בינוני או אף לא כדי למצוא משתמשים שנמצאים בסיכון נמוך, סיכון בינוני או כאלה שכבר תוקנו.
3. סינון משתמשים בסיכון על פי מצב הסיכון ב-Microsoft Entra
מצב הסיכון בדו"ח המשתמשים בסיכון מצביע על המצב הנוכחי של המשתמשים שסומנו כבסיכון. כאשר משתמש מוודא לראשונה, הוא מסומן כ-AtRisk. המנהלים יכולים לאחר מכן לחקור ולעדכן את מצב הסיכון ל-ConfirmedCompromised, ConfirmedSafe או ערכים נוספים, בהתאם לתוצאות החקירה.
אם המשתמש מבצע איפוס סיסמה בשירות עצמי או מנהל יוזם איפוס סיסמה, מצב הסיכון מעודכן ל-Remediated. זיהוי מצב הסיכון של כל משתמש הוא קריטי לקביעת הצעד הבא שיש לנקוט. תוכל להשתמש בפרמטר -RiskState כדי לסנן משתמשים לפי מצב ספציפי.
powershell
.\GetRiskyUsersReport.ps1 -RiskState ConfirmedCompromised
הפקודה לעיל מייצאת רק את המשתמשים שהחשבונות שלהם אושרו נמוגים. עם מידע זה, תוכל לנקוט בפעולות הכרחיות כמו השבתת חשבון המשתמש או ייזום חקירה נוספת כדי להגן על הסביבה שלך.
תוכל גם להגדיר את הפרמטר “-RiskState” לערכים הבאים:
- ConfirmedSafe – כדי לזהות את המשתמשים שאושרו כבטוחים על ידי מנהלים.
- Remediated – כדי לזהות את המשתמשים שסומנו קודם כל כבסיכון, אך פעולות תיקון (כמו איפוס סיסמה) הושלמו.
- Dismissed – כאשר הסיכון המתגלה הוא תקף אך לא מזיק (למשל, בדיקת חדירה ידועה).
- AtRisk – מצביע על כך שהמשתמש בסיכון, אבל עדיין אין פעולה שננקטה על ידי המנהלים.
- None – אין מצב סיכון הקשור למשתמש כרגע.
נקווה שהמאמר הזה יעזור לך לזהות ולייצא את הדוח של משתמשים בסיכון ב-Microsoft 365 באופן יעיל. אם יש לך שאלות או משוב, נשמח שתשתף אותנו בתגובות.