Sdílet prostřednictvím

Zkoumání prostředků

  • Článek

Microsoft Defender for Identity poskytuje uživatelům XDR v programu Microsoft Defender důkazy o tom, kdy uživatelé, počítače a zařízení prováděli podezřelé aktivity nebo zobrazovali známky ohrožení zabezpečení.

Tento článek poskytuje doporučení, jak určit rizika pro vaši organizaci, rozhodnout se, jak napravit a určit nejlepší způsob, jak v budoucnu zabránit podobným útokům.

Postup šetření pro podezřelé uživatele

Poznámka:

Informace o tom, jak zobrazit profily uživatelů v XDR v programu Microsoft Defender, najdete v dokumentaci k XDR v programu Microsoft Defender.

Pokud výstraha nebo incident indikuje, že uživatel může být podezřelý nebo ohrožený, zkontrolujte a prozkoumejte profil uživatele a zkontrolujte následující podrobnosti a aktivity:

  • Identita uživatele

    • Je uživatel citlivým uživatelem (například správcem nebo na seznamu ke zhlédnutí atd.)?
    • Jaká je jejich role v rámci organizace?
    • Jsou v organizačním stromu významné?

  • Prozkoumejte podezřelé aktivity, například:

    • Má uživatel další otevřená upozornění v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako je Microsoft Defender for Endpoint, Microsoft Defender for Cloud nebo Microsoft Defender for Cloud Apps?
    • Selhalo přihlášení uživatele?
    • Ke kterým prostředkům uživatel přistupoval?
    • Přistupoval uživatel k prostředkům s vysokou hodnotou?
    • Měl uživatel získat přístup k prostředkům, ke kterým získal přístup?
    • Ke kterým zařízením se uživatel přihlásil?
    • Měl se uživatel přihlásit k těmto zařízením?
    • Existuje mezi uživatelem a citlivým uživatelem laterální pohybová cesta (LMP)?

Odpovědi na tyto otázky vám pomůžou určit, jestli se účet objeví v ohrožení zabezpečení nebo jestli podezřelé aktivity znamenají škodlivé akce.

Informace o identitě najdete v následujících oblastech XDR v programu Microsoft Defender:

  • Stránky s podrobnostmi o jednotlivých identitách
  • Stránka s podrobnostmi o jednotlivých výstrahách nebo incidentech
  • Stránky s podrobnostmi o zařízení
  • Rozšířené dotazy proaktivního vyhledávání
  • Stránka Centrum akcí

Například následující obrázek ukazuje podrobnosti na stránce s podrobnostmi o identitě:

Snímek obrazovky se stránkou podrobností o identitě

Podrobnosti o identitě

Při zkoumání konkrétní identity se na stránce s podrobnostmi o identitě zobrazí následující podrobnosti:

Oblast stránky s podrobnostmi o identitě Popis
Karta Přehled Obecná data identity, jako je například úroveň rizika identity Microsoft Entra, počet zařízení, ke které se uživatel přihlásil, když byl uživatel poprvé a naposledy zobrazen, účty uživatele a důležitější informace.

Na kartě Přehled můžete také zobrazit grafy pro incidenty a výstrahy, skóre priority šetření, strom organizace, značky entit a časovou osu vyhodnocené aktivity.
Incidenty a výstrahy Uvádí aktivní incidenty a výstrahy týkající se uživatele za posledních 180 dnů, včetně podrobností, jako je závažnost výstrahy a čas vygenerování výstrahy.
Pozorované v organizaci Zahrnuje následující dílčí oblasti:
- Zařízení: Zařízení, ke kterým se identita přihlásila, včetně většiny a nejméně používaných za posledních 180 dnů.
- Umístění: Zjištěná umístění identity za posledních 30 dnů.
- Skupiny: Všechny pozorované místní skupiny pro identitu.
- Laterální cesty pohybu – všechny profilované cesty laterálního pohybu z místního prostředí.
Časová osa identity Časová osa představuje aktivity a výstrahy pozorované z identity uživatele, sjednocení položek identity v programu Microsoft Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint.

Časová osa slouží k zaměření na aktivity, které uživatel provedl nebo s nimi provedl v konkrétních časových rámci. Vyberte výchozí 30 dní a změňte časový rozsah na jinou předdefinované hodnoty nebo na vlastní rozsah.
Nápravné akce Reagujte na ohrožené uživatele zakázáním svých účtů nebo resetováním hesla. Po provedení akce s uživateli můžete zkontrolovat podrobnosti o aktivitě v centru akcí XDR v programu Microsoft Defender **Centrum akcí.

Další informace najdete v tématu Zkoumání uživatelů v dokumentaci K XDR v programu Microsoft Defender.

Kroky šetření pro podezřelé skupiny

Pokud vyšetřování výstrahy nebo incidentu souvisí se skupinou Active Directory, zkontrolujte entitu skupiny a zkontrolujte následující podrobnosti a aktivity:

  • Entita skupiny

    • Je skupina citlivou skupinou, jako je doména Správa?
    • Zahrnuje skupina citlivé uživatele?

  • Prozkoumejte podezřelé aktivity, například:

    • Má skupina jiné otevřené, související výstrahy v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako je Microsoft Defender for Endpoint, Microsoft Defender for Cloud nebo Microsoft Defender for Cloud Apps?
    • Do které skupiny byly nedávno přidáni nebo odebráni uživatelé?
    • Byla skupina nedávno dotazována a kým?

Odpovědi na tyto otázky vám pomůžou při vyšetřování.

V podokně podrobností o entitě skupiny vyberte Přejít proaktivní vyhledávání nebo Otevřít časovou osu a prozkoumejte ji. Informace o skupině najdete také v následujících oblastech XDR v programu Microsoft Defender:

  • Stránka s podrobnostmi o jednotlivých výstrahách nebo incidentech
  • Stránky s podrobnostmi o zařízení nebo uživateli
  • Rozšířené dotazy proaktivního vyhledávání

Například následující obrázek znázorňuje časovou osu aktivity Operátory serveru, včetně souvisejících výstrah a aktivit za posledních 180 dnů:

Snímek obrazovky s kartou Časová osa skupiny

Postup šetření pro podezřelá zařízení

Výstraha XDR v programu Microsoft Defender obsahuje seznam všech zařízení a uživatelů připojených k jednotlivým podezřelým aktivitám. Vyberte zařízení, na které chcete zobrazit stránku s podrobnostmi o zařízení, a pak prozkoumejte následující podrobnosti a aktivity:

  • Co se stalo v době podezřelé aktivity?

    • Který uživatel byl přihlášený k zařízení?
    • Přihlašuje se tento uživatel obvykle ke zdrojovému nebo cílovému zařízení nebo k němu přistupuje?
    • Ke kterým prostředkům se přistupovalo? Podle kterých uživatelů? Pokud byly k prostředkům přistupovány, byly to prostředky s vysokou hodnotou?
    • Měl uživatel získat přístup k těmto prostředkům?
    • Provedl uživatel, který k zařízení přistupoval, jiné podezřelé aktivity?

  • Další podezřelé aktivity, které je potřeba prozkoumat:

    • Otevřela se jiná upozornění přibližně ve stejnou dobu jako tato výstraha v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender for Cloud a/nebo Microsoft Defender for Cloud Apps?
    • Došlo k selhání přihlášení?
    • Byly nasazené nebo nainstalované nějaké nové programy?

Odpovědi na tyto otázky vám pomůžou určit, jestli se zařízení objeví v ohrožení zabezpečení nebo jestli podezřelé aktivity znamenají škodlivé akce.

Například následující obrázek ukazuje stránku s podrobnostmi o zařízení:

Snímek obrazovky se stránkou podrobností o zařízení

Další informace najdete v tématu Zkoumání zařízení v dokumentaci K XDR v programu Microsoft Defender.

Další kroky

Tip

Vyzkoušejte naši interaktivní příručku: Zkoumání útoků pomocí Microsoft Defenderu for Identity a reakce na ně