Stránka entity uživatele v Microsoft Defender
Stránka uživatelských entit na portálu Microsoft Defender vám pomůže při vyšetřování entit uživatelů. Stránka obsahuje všechny důležité informace o dané entitě uživatele. Pokud výstraha nebo incident indikuje, že uživatel může být ohrožen nebo je podezřelý, zkontrolujte a prověřte entitu uživatele.
Informace o entitě uživatele najdete v následujících zobrazeních:
- Stránka Identity (Identity) v části Assets (Prostředky)
- Fronta upozornění
- Jakákoli jednotlivá výstraha nebo incident
- Stránka Zařízení
- Stránka libovolné entity zařízení
- Protokol aktivit
- Rozšířené dotazy proaktivního vyhledávání
- Centrum akcí
Kdykoli se v těchto zobrazeních zobrazí entity uživatelů, vyberte entitu a zobrazte tak stránku Uživatel , na které se zobrazí další podrobnosti o uživateli. Podrobnosti o uživatelských účtech identifikovaných v upozorněních na incident můžete například zobrazit na portálu Microsoft Defender v části Incidenty & výstrahy > Incidenty incidenty> – > Assets > Users.
Při zkoumání konkrétní entity uživatele se na stránce její entity zobrazí následující karty:
- Přehled, včetně podrobností o entitách, vizuálního zobrazení incidentů a výstrah, priority šetření a časové osy se skóre
- Karta Incidenty a výstrahy
- Pozorované na kartě organizace
- Karta Časová osa
- Sentinel karta události
Na stránce uživatele se zobrazuje Microsoft Entra organizace a také skupiny, které vám pomohou porozumět skupinám a oprávněním přidruženým k uživateli.
Důležité
Microsoft Sentinel je obecně k dispozici v rámci sjednocené platformy operací zabezpečení společnosti Microsoft na portálu Microsoft Defender. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Panel Podrobnosti o entitě na levé straně stránky obsahuje informace o uživateli, například úroveň rizika Microsoft Entra identity, úroveň závažnosti insiderního rizika (Preview), počet zařízení, ke kterým je uživatel přihlášený, kdy byl uživatel první a naposledy zobrazený, účty uživatele, skupiny, do nichž uživatel patří, kontaktní informace. a další. Další podrobnosti se zobrazí v závislosti na funkcích integrace, které jste povolili.
Poznámka
(Preview) Microsoft Defender XDR uživatelé s přístupem k Správa insiderských rizik Microsoft Purview teď můžou zobrazit závažnost rizika insidera uživatele a získat přehled o podezřelých aktivitách uživatele na stránce uživatele. V části Podrobnosti o entitě vyberte závažnost insiderských rizik , abyste viděli přehledy o riziku uživatele.
Tato karta obsahuje všechny incidenty a výstrahy přidružené k entitě uživatele seskupené podle závažnosti.
Tato karta obsahuje rozpis vypočítaného skóre šetření entity uživatele a dvoutýdenní trend tohoto skóre, včetně percentilu skóre ve vztahu k tenantovi.
Tato karta zobrazí Microsoft Defender for Identity nastavení zabezpečení, které může vyžadovat vaši pozornost. Můžete vidět důležité příznaky týkající se nastavení účtu uživatele, například jestli uživatel může stisknutím klávesy Enter obejít heslo, jestli má heslo, jehož platnost nikdy nevyprší, atd.
Další informace najdete v tématu Příznaky řízení uživatelských účtů.
Tato karta obsahuje všechny aktivity a výstrahy, které přispívají ke skóre priority šetření entity za posledních sedm dní.
Tato část ukazuje místo entity uživatele v organizační hierarchii, jak uvádí Microsoft Defender for Identity.
Microsoft Defender for Identity vytahuje značky ze služby Active Directory, abyste měli jedno rozhraní pro monitorování uživatelů a entit služby Active Directory. Značky poskytují podrobnosti o entitě ze služby Active Directory a zahrnují:
Name (Název) | Popis |
---|---|
Nový | Označuje, že entita byla vytvořena před méně než 30 dny. |
Deleted | Označuje, že entita byla trvale odstraněna ze služby Active Directory. |
Zakázáno | Označuje, že entita je aktuálně ve službě Active Directory zakázaná. Atribut disabled je příznak služby Active Directory, který je k dispozici pro uživatelské účty, účty počítačů a další objekty, který označuje, že se objekt právě nepoužívá. Pokud je objekt zakázaný, nedá se použít k přihlášení nebo provádění akcí v doméně. |
Zpřístupněný | Označuje, že entita je aktuálně povolená ve službě Active Directory, což označuje, že se entita právě používá a dá se použít k přihlášení nebo provádění akcí v doméně. |
Vypršela platnost | Označuje, že vypršela platnost entity ve službě Active Directory. Pokud vypršela platnost uživatelského účtu, uživatel se už nemůže přihlásit k doméně ani získat přístup k žádným síťovým prostředkům. S vypršeným účtem se v podstatě zachází, jako by byl zakázaný, ale s nastaveným explicitním datem vypršení platnosti. V závislosti na tom, jak jsou nakonfigurované, můžou být ovlivněny také všechny služby nebo aplikace, ke kterým byl uživatel oprávněn přistupovat. |
Honeytoken | Označuje, že entita je ručně označená jako honeytoken. |
Uzamčeno | Označuje, že entita zadala nesprávné heslo příliš mnohokrát a je teď zamčená. |
Částečný | Označuje, že uživatel, zařízení nebo skupina nejsou synchronizované s doménou a jsou částečně vyřešeny prostřednictvím globálního katalogu. V tomto případě nejsou některé atributy dostupné. |
Nevyřešený | Označuje, že se zařízení nepřekládá na platnou identitu v doménové struktuře služby Active Directory. Nejsou k dispozici žádné informace o adresáři. |
Citlivý | Označuje, že entita je považována za citlivou. |
Další informace najdete v tématu Značky entit Defenderu for Identity v Microsoft Defender XDR.
Poznámka
Oddíl organizačního stromu a značky účtu jsou k dispozici, když je k dispozici licence Microsoft Defender for Identity.
Na této kartě můžete zobrazit všechny aktivní incidenty a výstrahy týkající se uživatele za posledních šest měsíců. Tady najdete všechny informace z hlavních incidentů a front výstrah. Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.
Můžete přizpůsobit počet zobrazených položek a sloupce, které se pro každou položku zobrazí. Výchozím chováním je výpis 30 položek na stránku. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.
Sloupec ovlivněných entit odkazuje na všechny entity zařízení a uživatelů, na které se v incidentu nebo upozornění odkazuje.
Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.
Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.
Zařízení: Tato část obsahuje všechna zařízení, ke které se entita uživatele přihlásila během předchozích 180 dnů, a označuje nejvíce a nejméně využívaná zařízení.
Umístění: Tato část zobrazuje všechna pozorovaná umístění pro entitu uživatele za posledních 30 dnů.
Skupiny: Tato část ukazuje všechny pozorované místní skupiny pro entitu uživatele, jak je uvádí Microsoft Defender for Identity.
Cesty k laterálnímu pohybu: Tato část ukazuje všechny profilované cesty laterálního pohybu z místního prostředí, jak je zjistil Defender for Identity.
Poznámka
Skupiny a cesty laterálního pohybu jsou k dispozici, pokud je k dispozici licence Microsoft Defender for Identity.
Když vyberete kartu Laterální pohyby , zobrazí se plně dynamická mapa, na které můžete kliknout, kde uvidíte cesty laterálního pohybu uživatele a od uživatele. Útočník může pomocí informací o cestě infiltrovat vaši síť.
Mapa poskytuje seznam dalších zařízení nebo uživatelů, které může útočník využít k ohrožení citlivého účtu. Pokud má uživatel citlivý účet, můžete zjistit, kolik prostředků a účtů je přímo propojených.
Sestava cesty laterálního pohybu, kterou lze zobrazit podle data, je vždy k dispozici k poskytování informací o potenciálních zjištěných cestách laterálního pohybu a je možné ji přizpůsobit časem. Pomocí možnosti Zobrazit jiné datum vyberte jiné datum, abyste zobrazili předchozí cesty laterálního pohybu nalezené pro entitu. Graf se zobrazí pouze v případě, že byla v posledních dvou dnech pro entitu nalezena potenciální cesta laterálního pohybu.
Na časové ose se zobrazují aktivity uživatelů a upozornění pozorovaná z identity uživatele za posledních 180 dnů. Sjednocuje položky identit uživatele napříč úlohami Microsoft Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint. Pomocí časové osy se můžete zaměřit na aktivity, které uživatel provedl nebo u nich provedl v určitých časových rámcích.
Aby uživatelé sjednocené platformy SOC viděli výstrahy z Microsoft Sentinel založené na jiných zdrojích dat než v předchozím odstavci, můžou tyto výstrahy a další informace najít na kartě Sentinel událostipopsané níže.
Výběr vlastního časového rozsahu: Můžete zvolit časový rámec pro zaměření vyšetřování na posledních 24 hodin, poslední 3 dny atd. Nebo můžete zvolit konkrétní časový rámec kliknutím na Vlastní rozsah. Filtrovaná data starší než 30 dnů se zobrazují v sedmidenních intervalech.
Příklady:Filtry časové osy: Pokud chcete zlepšit možnosti šetření, můžete použít filtry časové osy: Typ (upozornění nebo aktivity související s uživatelem), Závažnost upozornění, Typ aktivity, Aplikace, Umístění, Protokol. Každý filtr závisí na ostatních a možnosti v každém filtru (rozevíracím seznamu) obsahují jenom data, která jsou relevantní pro konkrétního uživatele.
Tlačítko Exportovat: Časovou osu můžete exportovat do souboru CSV. Export je omezený na prvních 5 000 záznamů a obsahuje data zobrazená v uživatelském rozhraní (stejné filtry a sloupce).
Přizpůsobené sloupce: Když vyberete tlačítko Přizpůsobit sloupce , můžete vybrat, které sloupce se mají na časové ose zobrazit. Příklady:
Na časové ose jsou k dispozici následující datové typy:
- Upozornění ovlivněná uživatelem
- Aktivity služby Active Directory a Microsoft Entra
- Události cloudových aplikací
- Události přihlášení zařízení
- Změny adresářových služeb
Na časové ose se zobrazí následující informace:
- Datum a čas aktivity
- Popis aktivity nebo upozornění
- Aplikace, která aktivitu provedla
- Zdrojové zařízení nebo IP adresa
- Techniky MITRE ATT&CK
- Závažnost a stav upozornění
- Země/oblast, ve které je IP adresa klienta geograficky přidělená
- Protokol použitý během komunikace
- Cílové zařízení (volitelné, zobrazitelné přizpůsobením sloupců)
- Počet výskytů aktivity (volitelné, zobrazitelné přizpůsobením sloupců)
Příklady:
Poznámka
Microsoft Defender XDR může zobrazit informace o datu a čase pomocí místního časového pásma nebo utc. Vybrané časové pásmo bude platit pro všechny informace o datu a čase zobrazené na časové ose identity.
Pokud chcete nastavit časové pásmo pro tyto funkce, přejděte na Nastavení>Časové pásmoSecurity Center>.
Pokud vaše organizace nasadila Microsoft Sentinel na portál Defender, je tato další karta na stránce entity uživatele. Tato karta importuje stránku entity Account z Microsoft Sentinel.
Tato časová osa zobrazuje výstrahy přidružené k entitě uživatele. Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou od Microsoftu.
Tato časová osa také zobrazuje vyhledávání v záložkách z jiných šetření, která odkazují na tuto entitu uživatele, události aktivit uživatelů z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií Microsoft Sentinel.
Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se vaší entity uživatele a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data týkající se přihlášení, přidávání skupin, neobvyklých událostí a dalších a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.
Tady jsou některé z zobrazených přehledů:
- Partnerské vztahy uživatelů na základě členství ve skupinách zabezpečení.
- Akce podle účtu.
- Akce s účtem.
- Protokoly událostí vymazal uživatel.
- Přidání skupin:
- Neobvykle vysoký počet operací kanceláře.
- Přístup k prostředkům.
- Neobvykle vysoký počet výsledků přihlášení k Azure.
- Přehledy UEBA
- Přístupová oprávnění uživatelů k předplatným Azure
- Indikátory hrozeb související s uživatelem
- Přehledy seznamu ke zhlédnutí (Preview)
- Aktivita přihlášení k Windows.
Přehledy jsou založené na následujících zdrojích dat:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Prezenčních signálů (agent Služby Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.
Na stránce Přehled můžete provést tyto další akce:
- Povolení, zakázání nebo pozastavení uživatele v Microsoft Entra ID
- Přímý uživatel může provést určité akce, jako je například vyžadování opětovného přihlášení uživatele nebo vynucení resetování hesla.
- Resetování skóre priority šetření pro uživatele
- Zobrazení nastavení účtu Microsoft Entra, souvisejících zásad správného řízení, souborů vlastněných uživatelem nebo sdílených souborů uživatele
Další informace najdete v tématu Nápravné akce v Microsoft Defender for Identity.
Podle potřeby v případě incidentů v procesu pokračujte ve vyšetřování.
- Přehled incidentů
- Stanovení priorit incidentů
- Správa incidentů
- přehled Microsoft Defender XDR
- Zapnutí Microsoft Defender XDR
- Stránka entity zařízení v Microsoft Defender
- Stránka entity IP adresy v Microsoft Defender
- Microsoft Defender XDR integrace s Microsoft Sentinel
- Připojení služby Microsoft Sentinel k Microsoft Defender XDR
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.