Zkoumání profilů entit
Platí pro: Advanced Threat Analytics verze 1.9
Profil entity poskytuje řídicí panel určený k úplnému prozkoumání uživatelů, počítačů, zařízení a prostředků, ke kterým mají přístup a ke své historii. Stránka profilu využívá nového překladače logických aktivit ATA, který se může podívat na skupinu aktivit, ke kterým dochází (agregovaná až minuta), a seskupit je do jedné logické aktivity, abyste lépe porozuměli skutečným aktivitám uživatelů.
Pokud chcete získat přístup ke stránce profilu entity, vyberte na časové ose podezřelé aktivity název entity, například uživatelské jméno.
V levé nabídce najdete všechny informace služby Active Directory dostupné pro entitu – e-mailovou adresu, doménu, datum prvního zobrazení. Pokud je entita citlivá, řekne vám, proč. Je například uživatel označený jako citlivý nebo člen citlivé skupiny? Pokud se jedná o citlivého uživatele, uvidíte ikonu pod jménem uživatele.
Zobrazení aktivit entit
Pokud chcete zobrazit všechny aktivity prováděné uživatelem nebo provedené u entity, vyberte kartu Aktivity .
Ve výchozím nastavení se v hlavním podokně profilu entity zobrazuje časová osa aktivit entity s historií až 6 měsíců zpět, ze které můžete také přejít k podrobnostem o entitách, ke kterým uživatel přistupuje, nebo pro entity, kteří k entitě přistupovali.
Nahoře můžete zobrazit souhrnné dlaždice, které vám poskytnou rychlý přehled toho, co potřebujete, abyste pochopili přehled o entitě. Tyto dlaždice se mění podle toho, o jaký typ entity se jedná pro uživatele, uvidíte:
Kolik otevřených podezřelých aktivit je pro uživatele
Kolik počítačů přihlášených uživatelem
Kolik prostředků uživatel přistupoval
Z jakých umístění se uživatel přihlásil k síti VPN
U počítačů, které vidíte:
Kolik otevřených podezřelých aktivit je pro daný počítač
Kolikuživatelůch
Kolik prostředků počítač přistupoval
Z kolika umístění se k síti VPN přistupovalo v počítači
Seznam IP adres, které počítač použil
Pomocí tlačítka Filtrovat podle nad časovou osou aktivity můžete filtrovat aktivity podle typu aktivity. Můžete také odfiltrovat konkrétní (hlučný) typ aktivity. To je opravdu užitečné pro šetření, když chcete porozumět základům toho, co entita v síti dělá. Můžete také přejít na konkrétní datum a aktivity můžete exportovat jako filtrované do Excelu. Exportovaný soubor poskytuje stránku pro změny adresářových služeb (věci, které se změnily ve službě Active Directory pro účet) a samostatnou stránku pro aktivity.
Zobrazení dat adresáře
Karta Data adresáře poskytuje statické informace dostupné ze služby Active Directory, včetně příznaků zabezpečení řízení přístupu uživatelů. ATA také zobrazuje členství ve skupinách pro uživatele, abyste mohli zjistit, jestli má uživatel přímé členství nebo rekurzivní členství. Pro skupiny ATA obsahuje až 1 000 členů skupiny.
V části Řízení přístupu uživatelů ATA zobrazí nastavení zabezpečení, která můžou vyžadovat vaši pozornost. Můžete zobrazit důležité příznaky uživatele, například může uživatel stisknout enter, aby heslo obešel, má uživatel heslo, jehož platnost nikdy nevyprší atd.
Zobrazení laterálních cest pohybu
Výběrem karty Cesty laterálního pohybu můžete zobrazit plně dynamickou a kliknutelnou mapu, která poskytuje vizuální znázornění laterálních cest pohybu do a od tohoto uživatele, který lze použít k infiltraci sítě.
Mapa obsahuje seznam toho, kolik segmentů směrování mezi počítači nebo uživateli by útočník musel a od tohoto uživatele ohrozit citlivý účet a pokud má samotný uživatel citlivý účet, můžete zjistit, kolik prostředků a účtů je přímo připojených. Další informace naleznete v tématu Lateral movement paths.
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro