Sdílet prostřednictvím


Stránka entity user (Uživatel) v Microsoft Defenderu

Stránka entity uživatele na portálu Microsoft Defender vám pomůže při vyšetřování entit uživatelů. Stránka obsahuje všechny důležité informace o dané entitě uživatele. Pokud výstraha nebo incident indikuje, že uživatel může být ohrožen nebo je podezřelý, zkontrolujte a prověřte entitu uživatele.

Informace o entitě uživatele najdete v následujících zobrazeních:

  • Stránka Identity (Identity) v části Assets (Prostředky)
  • Fronta upozornění
  • Jakákoli jednotlivá výstraha nebo incident
  • Stránka Zařízení
  • Stránka libovolné entity zařízení
  • Protokol aktivit
  • Rozšířené dotazy proaktivního vyhledávání
  • Centrum akcí

Kdykoli se v těchto zobrazeních zobrazí entity uživatelů, vyberte entitu a zobrazte tak stránku Uživatel , na které se zobrazí další podrobnosti o uživateli. Podrobnosti o uživatelských účtech identifikovaných například můžete zobrazit v upozorněních na incident na portálu Microsoft Defender v části Incidenty & výstrahy > Incidenty Incidents Incidents>> Assets > Users.

Snímek obrazovky se stránkou Uživatelé pro incident na portálu Microsoft Defender

Při zkoumání konkrétní entity uživatele se na stránce její entity zobrazí následující karty:

Na uživatelské stránce se zobrazuje organizace a skupiny Microsoft Entra, které vám pomohou porozumět skupinám a oprávněním přidruženým k uživateli.

Důležité

Microsoft Sentinel je teď obecně dostupný v rámci sjednocené platformy microsoftu pro operace zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přehled

Podrobnosti o entitě

Panel Podrobnosti o entitě na levé straně stránky obsahuje informace o uživateli, jako je úroveň rizika identity Microsoft Entra, počet zařízení, ke kterým je uživatel přihlášený, kdy byl uživatel poprvé a naposledy vidět, účty uživatele, skupiny, do nichž uživatel patří, kontaktní informace a další. Další podrobnosti se zobrazí v závislosti na funkcích integrace, které jste povolili.

Vizuální zobrazení incidentů a výstrah

Tato karta obsahuje všechny incidenty a výstrahy přidružené k entitě uživatele seskupené podle závažnosti.

Priorita šetření

Tato karta obsahuje rozpis vypočítaného skóre šetření entity uživatele a dvoutýdenní trend tohoto skóre, včetně percentilu skóre ve vztahu k tenantovi.

Ovládací prvky účtů služby Active Directory

Tato karta zobrazí nastavení zabezpečení Microsoft Defenderu for Identity, která mohou vyžadovat vaši pozornost. Můžete vidět důležité příznaky týkající se nastavení účtu uživatele, například jestli uživatel může stisknutím klávesy Enter obejít heslo, jestli má heslo, jehož platnost nikdy nevyprší, atd.

Další informace najdete v tématu Příznaky řízení uživatelských účtů.

Aktivity se skóre

Tato karta obsahuje všechny aktivity a výstrahy, které přispívají ke skóre priority šetření entity za posledních sedm dní.

Organizační strom

Tato část ukazuje místo entity uživatele v organizační hierarchii, jak hlásí Microsoft Defender for Identity.

Značky účtu

Microsoft Defender for Identity přetahuje značky ze služby Active Directory, aby vám poskytl jediné rozhraní pro monitorování uživatelů a entit služby Active Directory. Značky poskytují podrobnosti o entitě ze služby Active Directory a zahrnují:

Name (Název) Popis
Nový Označuje, že entita byla vytvořena před méně než 30 dny.
Deleted Označuje, že entita byla trvale odstraněna ze služby Active Directory.
Zakázáno Označuje, že entita je aktuálně ve službě Active Directory zakázaná. Atribut disabled je příznak služby Active Directory, který je k dispozici pro uživatelské účty, účty počítačů a další objekty, který označuje, že se objekt právě nepoužívá.

Pokud je objekt zakázaný, nedá se použít k přihlášení nebo provádění akcí v doméně.
Zpřístupněný Označuje, že entita je aktuálně povolená ve službě Active Directory, což označuje, že se entita právě používá a dá se použít k přihlášení nebo provádění akcí v doméně.
Vypršela platnost Označuje, že vypršela platnost entity ve službě Active Directory. Pokud vypršela platnost uživatelského účtu, uživatel se už nemůže přihlásit k doméně ani získat přístup k žádným síťovým prostředkům. S vypršeným účtem se v podstatě zachází, jako by byl zakázaný, ale s nastaveným explicitním datem vypršení platnosti.

V závislosti na tom, jak jsou nakonfigurované, můžou být ovlivněny také všechny služby nebo aplikace, ke kterým byl uživatel oprávněn přistupovat.
Honeytoken Označuje, že entita je ručně označená jako honeytoken.
Uzamčeno Označuje, že entita zadala nesprávné heslo příliš mnohokrát a je teď zamčená.
Částečný Označuje, že uživatel, zařízení nebo skupina nejsou synchronizované s doménou a jsou částečně vyřešeny prostřednictvím globálního katalogu. V tomto případě nejsou některé atributy dostupné.
Nevyřešený Označuje, že se zařízení nepřekládá na platnou identitu v doménové struktuře služby Active Directory. Nejsou k dispozici žádné informace o adresáři.
Citlivý Označuje, že entita je považována za citlivou.

Další informace najdete v tématu Značky entit Defenderu for Identity v Microsoft Defenderu XDR.

Poznámka

Oddíl organizačního stromu a značky účtu jsou k dispozici, pokud je k dispozici licence Microsoft Defender for Identity.

Snímek obrazovky se stránkou konkrétního uživatele na portálu Microsoft Defenderu

Incidenty a výstrahy

Na této kartě můžete zobrazit všechny aktivní incidenty a výstrahy týkající se uživatele za posledních šest měsíců. Tady najdete všechny informace z hlavních incidentů a front výstrah. Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.

Můžete přizpůsobit počet zobrazených položek a sloupce, které se pro každou položku zobrazí. Výchozím chováním je výpis 30 položek na stránku. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.

Sloupec ovlivněných entit odkazuje na všechny entity zařízení a uživatelů, na které se v incidentu nebo upozornění odkazuje.

Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.

Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.

Snímek obrazovky se souvisejícími upozorněními uživatelského účtu, která se zobrazují na kartě Výstrahy na portálu Microsoft Defender

Pozorované v organizaci

  • Zařízení: Tato část obsahuje všechna zařízení, ke které se entita uživatele přihlásila během předchozích 180 dnů, a označuje nejvíce a nejméně využívaná zařízení.

  • Umístění: Tato část zobrazuje všechna pozorovaná umístění pro entitu uživatele za posledních 30 dnů.

  • Skupiny: V této části jsou uvedené všechny pozorované místní skupiny pro entitu uživatele, jak uvádí Microsoft Defender for Identity.

  • Cesty k laterálnímu pohybu: Tato část ukazuje všechny profilované cesty laterálního pohybu z místního prostředí, jak je zjistil Defender for Identity.

Poznámka

Skupiny a cesty laterálního pohybu jsou k dispozici, pokud je k dispozici licence Microsoft Defender for Identity.

Když vyberete kartu Laterální pohyby , zobrazí se plně dynamická mapa, na které můžete kliknout, kde uvidíte cesty laterálního pohybu uživatele a od uživatele. Útočník může pomocí informací o cestě infiltrovat vaši síť.

Mapa poskytuje seznam dalších zařízení nebo uživatelů, které může útočník využít k ohrožení citlivého účtu. Pokud má uživatel citlivý účet, můžete zjistit, kolik prostředků a účtů je přímo propojených.

Sestava cesty laterálního pohybu, kterou lze zobrazit podle data, je vždy k dispozici k poskytování informací o potenciálních zjištěných cestách laterálního pohybu a je možné ji přizpůsobit časem. Pomocí možnosti Zobrazit jiné datum vyberte jiné datum, abyste zobrazili předchozí cesty laterálního pohybu nalezené pro entitu. Graf se zobrazí pouze v případě, že byla v posledních dvou dnech pro entitu nalezena potenciální cesta laterálního pohybu.

Snímek obrazovky se zobrazením Pozorované v organizaci zobrazující cesty zařízení, skupiny, umístění a laterálního pohybu uživatele na portálu Microsoft Defender

Časová osa

Na časové ose se zobrazují aktivity uživatelů a výstrahy zjištěné z identity uživatele za posledních 30 dnů. Sjednocuje položky identit uživatele napříč úlohami Microsoft Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint. Pomocí časové osy se můžete zaměřit na aktivity, které uživatel provedl nebo u nich provedl v určitých časových rámcích.

Aby uživatelé sjednocené platformy SOC viděli výstrahy ze služby Microsoft Sentinel na základě jiných zdrojů dat, než jsou zdroje v předchozím odstavci, můžou tyto výstrahy a další informace najít na kartě události služby Sentinel, která je popsána níže.

  • Výběr vlastního časového rozsahu: Můžete zvolit časový rámec pro zaměření vyšetřování na posledních 24 hodin, poslední 3 dny atd. Nebo můžete zvolit konkrétní časový rámec kliknutím na Vlastní rozsah. Příklady:

    Snímek obrazovky, který ukazuje, jak zvolit časový rámec

  • Filtry časové osy: Pokud chcete zlepšit možnosti šetření, můžete použít filtry časové osy: Typ (upozornění nebo aktivity související s uživatelem), Závažnost upozornění, Typ aktivity, Aplikace, Umístění, Protokol. Každý filtr závisí na ostatních a možnosti v každém filtru (rozevíracím seznamu) obsahují jenom data, která jsou relevantní pro konkrétního uživatele.

  • Tlačítko Exportovat: Časovou osu můžete exportovat do souboru CSV. Export je omezený na prvních 5 000 záznamů a obsahuje data zobrazená v uživatelském rozhraní (stejné filtry a sloupce).

  • Přizpůsobené sloupce: Když vyberete tlačítko Přizpůsobit sloupce , můžete vybrat, které sloupce se mají na časové ose zobrazit. Příklady:

    Snímek obrazovky znázorňující obrázek uživatele

Jaké datové typy jsou k dispozici?

Na časové ose jsou k dispozici následující datové typy:

  • Upozornění ovlivněná uživatelem
  • Aktivity služby Active Directory a Microsoft Entra
  • Události cloudových aplikací
  • Události přihlášení zařízení
  • Změny adresářových služeb

Jaké informace se zobrazují?

Na časové ose se zobrazí následující informace:

  • Datum a čas aktivity
  • Popis aktivity nebo upozornění
  • Aplikace, která aktivitu provedla
  • Zdrojové zařízení nebo IP adresa
  • Techniky MITRE ATT&CK
  • Závažnost a stav upozornění
  • Země/oblast, ve které je IP adresa klienta geograficky přidělená
  • Protokol použitý během komunikace
  • Cílové zařízení (volitelné, zobrazitelné přizpůsobením sloupců)
  • Počet výskytů aktivity (volitelné, zobrazitelné přizpůsobením sloupců)

Příklady:

Snímek obrazovky s kartou Časová osa

Poznámka

Microsoft Defender XDR může zobrazit informace o datu a čase pomocí místního časového pásma nebo UTC. Vybrané časové pásmo bude platit pro všechny informace o datu a čase zobrazené na časové ose identity.

Pokud chcete nastavit časové pásmo pro tyto funkce, přejděte na Nastavení>Časové pásmoSecurity Center>.

Události služby Sentinel

Pokud vaše organizace nasadila službu Microsoft Sentinel na portál Defender, je tato další karta na stránce entity uživatele. Tato karta importuje stránku entity Account ze služby Microsoft Sentinel.

Časová osa služby Sentinel

Tato časová osa zobrazuje výstrahy přidružené k entitě uživatele. Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené službou Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou zdroji dat microsoftu.

Tato časová osa také zobrazuje vyhledávání v záložkách z jiných šetření, která odkazují na tuto entitu uživatele, události aktivit uživatelů z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií služby Microsoft Sentinel.

Vhledy

Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se vaší entity uživatele a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data týkající se přihlášení, přidávání skupin, neobvyklých událostí a dalších a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.

Tady jsou některé z zobrazených přehledů:

  • Partnerské vztahy uživatelů na základě členství ve skupinách zabezpečení.
  • Akce podle účtu.
  • Akce s účtem.
  • Protokoly událostí vymazal uživatel.
  • Přidání skupin:
  • Neobvykle vysoký počet operací kanceláře.
  • Přístup k prostředkům.
  • Neobvykle vysoký počet výsledků přihlášení k Azure.
  • Přehledy UEBA
  • Přístupová oprávnění uživatelů k předplatným Azure
  • Indikátory hrozeb související s uživatelem
  • Přehledy seznamu ke zhlédnutí (Preview)
  • Aktivita přihlášení k Windows.

Přehledy jsou založené na následujících zdrojích dat:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Prezenčních signálů (agent Služby Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Snímek obrazovky s kartou událostí služby Sentinel na stránce entity uživatele

Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.

Snímek obrazovky rozšířeného proaktivního vyhledávání s dotazem na přehled

Nápravné akce

Na stránce Přehled můžete provést tyto další akce:

  • Povolení, zakázání nebo pozastavení uživatele v Microsoft Entra ID
  • Přímý uživatel může provést určité akce, jako je například vyžadování opětovného přihlášení uživatele nebo vynucení resetování hesla.
  • Resetování skóre priority šetření pro uživatele
  • Zobrazení nastavení účtu Microsoft Entra, souvisejících zásad správného řízení, souborů vlastněných uživatelem nebo sdílených souborů uživatele

Snímek obrazovky s akcemi pro nápravu uživatele na portálu Microsoft Defender

Další informace najdete v tématu Nápravné akce v Microsoft Defenderu for Identity.

Další kroky

Podle potřeby v případě incidentů v procesu pokračujte ve vyšetřování.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.