Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal
Die Seite "Benutzerentität" im Microsoft Defender-Portal hilft Ihnen bei der Untersuchung von Benutzerentitäten. Die Seite enthält alle wichtigen Informationen zu einer bestimmten Benutzerentität. Wenn eine Warnung oder ein Incident darauf hinweist, dass ein Benutzer möglicherweise kompromittiert oder verdächtig ist, überprüfen und untersuchen Sie die Benutzerentität.
Informationen zur Benutzerentität finden Sie in den folgenden Ansichten:
Seite "Identitäten" unter Assets
Benachrichtigungswarteschlange
Jede einzelne Warnung/jeder Incident
Seite „Geräte“
Seite "Jede einzelne Geräteentität"
Aktivitätsprotokoll
Abfragen für die erweiterte Suche
Info-Center
Wählen Sie überall dort, wo Benutzerentitäten in diesen Ansichten angezeigt werden, die Entität aus, um die Seite Benutzer anzuzeigen, auf der weitere Details zum Benutzer angezeigt werden. Beispielsweise können Sie die Details der Benutzerkonten, die in den Warnungen zu einem Incident im Microsoft Defender-Portal identifiziert wurden, unter Incidents & Warnungen > Incidents Incidents> Assets >> Users anzeigen.
Wenn Sie eine bestimmte Benutzerentität untersuchen, werden auf der Entitätsseite die folgenden Registerkarten angezeigt:
Übersicht, einschließlich Entitätsdetails, visueller Ansicht von Vorfällen und Warnungen, Benutzerkontensteuerungsflags usw.
Auf der Seite "Benutzer" werden die Microsoft Entra organization sowie Gruppen angezeigt, die Ihnen helfen, die Gruppen und Berechtigungen zu verstehen, die einem Benutzer zugeordnet sind.
Wichtig
Microsoft Sentinel ist allgemein auf der Unified Security Operations-Plattform von Microsoft im Microsoft Defender-Portal verfügbar. Für die Vorschauversion ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Übersicht
Entitätsdetails
Der Bereich Entitätsdetails auf der linken Seite enthält Informationen über den Benutzer, z. B. die Microsoft Entra Identitätsrisikostufe, den Insider-Risikoschweregrad (Vorschau), die Anzahl der Geräte, bei denen der Benutzer angemeldet ist, als der Benutzer zum ersten und letzten Mal gesehen wurde, die Konten des Benutzers, die Gruppen, zu denen der Benutzer gehört, Kontaktinformationen, und mehr. Abhängig von den von Ihnen aktivierten Integrationsfeatures werden weitere Details angezeigt.
Hinweis
Die Bewertung der Untersuchungspriorität wurde am 3. Dezember 2025 eingestellt. Daher wurden sowohl die Aufschlüsselung der Untersuchungsprioritätsbewertung als auch die Karte Bewertete Aktivitäten aus der Benutzeroberfläche entfernt.
Hinweis
(Vorschau) Microsoft Defender XDR Benutzer mit Zugriff auf Microsoft Purview Insider Risk Management können jetzt den Insider-Risikoschweregrad eines Benutzers sehen und Einblicke in die verdächtigen Aktivitäten eines Benutzers auf der Benutzerseite erhalten. Wählen Sie unter Entitätsdetails den Schweregrad des Insider-Risikos aus, um die Risikoerkenntnisse über den Benutzer anzuzeigen.
Visuelle Ansicht von Incidents und Warnungen
Diese Karte umfasst alle Incidents und Warnungen, die der Benutzerentität zugeordnet sind, gruppiert nach Schweregrad.
Active Directory-Kontosteuerelemente
Diese Karte werden Microsoft Defender for Identity Sicherheitseinstellungen angezeigt, die Möglicherweise Ihre Aufmerksamkeit erfordern. Sie können wichtige Flags zu den Kontoeinstellungen des Benutzers anzeigen, z. B. wenn der Benutzer die EINGABETASTE drücken kann, um das Kennwort zu umgehen, und ob der Benutzer über ein Kennwort verfügt, das nie abläuft usw.
In diesem Abschnitt wird die Position der Benutzerentität in der Organisationshierarchie angezeigt, wie von Microsoft Defender for Identity gemeldet.
Kontotags
Microsoft Defender for Identity ruft Tags aus Active Directory ab, um Ihnen eine einzige Schnittstelle zum Überwachen Ihrer Active Directory-Benutzer und -Entitäten zu bieten. Tags stellen Details aus Active Directory zur Entität bereit und umfassen Folgendes:
Name
Beschreibung
New
Gibt an, dass die Entität vor weniger als 30 Tagen erstellt wurde.
Gelöscht
Gibt an, dass die Entität endgültig aus Active Directory gelöscht wurde.
Disabled
Gibt an, dass die Entität derzeit in Active Directory deaktiviert ist. Das disabled-Attribut ist ein Active Directory-Flag, das für Benutzerkonten, Computerkonten und andere Objekte verfügbar ist, um anzugeben, dass das Objekt derzeit nicht verwendet wird.
Wenn ein Objekt deaktiviert ist, kann es nicht zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden.
Enabled
Gibt an, dass die Entität derzeit in Active Directory aktiviert ist. Dies gibt an, dass die Entität derzeit verwendet wird und zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden kann.
Abgelaufen
Gibt an, dass die Entität in Active Directory abgelaufen ist. Wenn ein Benutzerkonto abgelaufen ist, kann sich der Benutzer nicht mehr bei der Domäne anmelden oder auf Netzwerkressourcen zugreifen. Das abgelaufene Konto wird im Wesentlichen so behandelt, als wäre es deaktiviert, aber mit einem expliziten Ablaufdatum festgelegt.
Alle Dienste oder Anwendungen, für die der Benutzer autorisiert war, können ebenfalls betroffen sein, je nachdem, wie sie konfiguriert sind.
Honeytoken
Gibt an, dass die Entität manuell als Honeytoken gekennzeichnet ist.
Locked
Gibt an, dass die Entität das falsche Kennwort zu oft angegeben hat und jetzt gesperrt ist.
Teilweise
Gibt an, dass der Benutzer, das Gerät oder die Gruppe nicht mit der Domäne synchronisiert ist und teilweise über einen globalen Katalog aufgelöst wird. In diesem Fall sind einige Attribute nicht verfügbar.
Ungelöst
Gibt an, dass das Gerät nicht in eine gültige Identität in der Active Directory-Gesamtstruktur aufgelöst wird. Es sind keine Verzeichnisinformationen verfügbar.
Vertraulich
Gibt an, dass die Entität als vertraulich betrachtet wird.
Der organization-Strukturabschnitt und die Kontotags sind verfügbar, wenn eine Microsoft Defender for Identity Lizenz verfügbar ist.
Vorfälle und Warnungen
Auf dieser Registerkarte werden alle aktiven Incidents und Warnungen angezeigt, die den Benutzer aus den letzten sechs Monaten betreffen. Alle Informationen aus den Standard Incidents und Warnungswarteschlangen werden hier angezeigt. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seiner status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falsch, true alert), des Untersuchungszustands, der Kategorie, der Person, die ihm zugewiesen ist, und der letzten beobachteten Aktivität.
Sie können die Anzahl der angezeigten Elemente und die Spalten anpassen, die für jedes Element angezeigt werden. Das Standardverhalten besteht darin, 30 Elemente pro Seite aufzulisten. Sie können die Warnungen auch nach Schweregrad, status oder einer anderen Spalte in der Anzeige filtern.
Die Spalte betroffener Entitäten bezieht sich auf alle Geräte- und Benutzerentitäten, auf die in dem Incident oder der Warnung verwiesen wird.
Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.
Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.
Beobachtet in organization
Geräte: In diesem Abschnitt werden alle Geräte angezeigt, bei denen sich die Benutzerentität in den vorherigen 180 Tagen angemeldet hat, wobei die am häufigsten und am wenigsten verwendeten Geräte angegeben sind.
Speicherorte: In diesem Abschnitt werden alle beobachteten Speicherorte für die Benutzerentität in den letzten 30 Tagen angezeigt.
Gruppen: In diesem Abschnitt werden alle beobachteten lokalen Gruppen für die Benutzerentität angezeigt, wie von Microsoft Defender for Identity gemeldet.
Lateral Movement-Pfade: In diesem Abschnitt werden alle Lateral Movement-Pfade aus der lokalen Umgebung angezeigt, die von Defender for Identity erkannt wurden.
Hinweis
Gruppen- und Lateral Movement-Pfade sind verfügbar, wenn eine Microsoft Defender for Identity-Lizenz verfügbar ist.
Wenn Sie die Registerkarte Lateral movements (Seitliche Bewegungen) auswählen, können Sie eine vollständig dynamische und klickbare Karte anzeigen, auf der Sie die Lateral Movement-Pfade zu und von einem Benutzer anzeigen können. Ein Angreifer kann die Pfadinformationen verwenden, um Ihr Netzwerk zu infiltrieren.
Die Karte enthält eine Liste anderer Geräte oder Benutzer, die ein Angreifer ausnutzen kann, um ein sensibles Konto zu kompromittieren. Wenn der Benutzer über ein vertrauliches Konto verfügt, können Sie sehen, wie viele Ressourcen und Konten direkt verbunden sind.
Der Lateral Movement-Pfadbericht, der nach Datum angezeigt werden kann, ist immer verfügbar, um Informationen über die ermittelten potenziellen Lateral Movement-Pfade bereitzustellen und kann nach Zeit angepasst werden. Wählen Sie ein anderes Datum aus, indem Sie ein anderes Datum anzeigen verwenden, um frühere Lateral Movement-Pfade anzuzeigen, die für eine Entität gefunden wurden. Das Diagramm wird nur angezeigt, wenn in den letzten zwei Tagen ein potenzieller Lateral Movement-Pfad für eine Entität gefunden wurde.
Zeitachse
Die Zeitleiste zeigt Benutzeraktivitäten und Warnungen an, die von der Identität eines Benutzers in den letzten 180 Tagen beobachtet wurden. Sie vereinheitlicht die Identitätseinträge des Benutzers über Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- und Microsoft Defender for Endpoint-Workloads hinweg. Mithilfe der Zeitleiste können Sie sich auf Aktivitäten konzentrieren, die ein Benutzer in bestimmten Zeitrahmen ausgeführt oder ausgeführt hat.
Damit Benutzer der einheitlichen SOC-Plattform Warnungen von Microsoft Sentinel basierend auf anderen Datenquellen als den im vorherigen Absatz anzeigen können, finden sie diese Warnungen und andere Informationen auf der Registerkarte Sentinel Ereignisse, die unten beschrieben wird.
Benutzerdefinierte Zeitbereichsauswahl: Sie können einen Zeitrahmen auswählen, um ihre Untersuchung auf die letzten 24 Stunden, die letzten 3 Tage usw. zu konzentrieren. Alternativ können Sie einen bestimmten Zeitrahmen auswählen, indem Sie auf Benutzerdefinierter Bereich klicken. Gefilterte Daten, die älter als 30 Tage sind, werden in Intervallen von sieben Tagen angezeigt.
Zum Beispiel:
Zeitachsenfilter: Um Ihre Untersuchungserfahrung zu verbessern, können Sie die Zeitleiste Filter verwenden: Typ (Warnungen und/oder benutzerbezogene Aktivitäten), Warnungsschweregrad, Aktivitätstyp, App, Standort, Protokoll. Jeder Filter hängt von den anderen ab, und die Optionen in den einzelnen Filtern (Dropdownliste) enthalten nur die Daten, die für den jeweiligen Benutzer relevant sind.
Schaltfläche "Exportieren": Sie können die Zeitleiste in eine CSV-Datei exportieren. Der Export ist auf die ersten 5.000 Datensätze beschränkt und enthält die Daten, wie sie auf der Benutzeroberfläche angezeigt werden (dieselben Filter und Spalten).
Benutzerdefinierte Spalten: Sie können auswählen, welche Spalten im Zeitleiste verfügbar gemacht werden sollen, indem Sie die Schaltfläche Spalten anpassen auswählen. Zum Beispiel:
Welche Datentypen sind verfügbar?
Die folgenden Datentypen sind im Zeitleiste verfügbar:
Die betroffenen Warnungen eines Benutzers
Active Directory- und Microsoft Entra-Aktivitäten
Ereignisse von Cloud-Apps
Geräteanmeldungsereignisse
Änderungen an Verzeichnisdiensten
Welche Informationen werden angezeigt?
Die folgenden Informationen werden im Zeitleiste angezeigt:
Land/Region, in dem die Client-IP-Adresse geolokal ist
Während der Kommunikation verwendetes Protokoll
Zielgerät (optional, durch Anpassen von Spalten sichtbar)
Anzahl der Aktivitätsausführungen (optional, durch Anpassen von Spalten sichtbar)
Zum Beispiel:
Hinweis
Microsoft Defender XDR können Datums- und Uhrzeitinformationen mithilfe Ihrer lokalen Zeitzone oder UTC anzeigen. Die ausgewählte Zeitzone gilt für alle Datums- und Uhrzeitinformationen, die im Identitäts-Zeitleiste angezeigt werden.
Um die Zeitzone für diese Features festzulegen, wechseln Sie zu Einstellungen>Security Center>Zeitzone.
Sentinel Ereignisse
Wenn Ihr organization in das Defender-Portal integriert Microsoft Sentinel, befindet sich diese zusätzliche Registerkarte auf der Benutzerentitätsseite. Auf dieser Registerkarte wird die Entitätsseite Konto aus Microsoft Sentinel importiert.
Sentinel Zeitleiste
In diesem Zeitleiste werden Warnungen angezeigt, die der Benutzerentität zugeordnet sind. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, sowie Warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.
Dieses Zeitleiste zeigt auch Mit Lesezeichen versehene Huntings aus anderen Untersuchungen, die auf diese Benutzerentität verweisen, Benutzeraktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln Microsoft Sentinel erkannt wurden.
Einblicke
Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer Benutzerentität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Zu den Erkenntnissen gehören Daten zu Anmeldungen, Gruppenerfügungen, anomalen Ereignissen und mehr sowie erweiterte Algorithmen für maschinelles Lernen, um anomales Verhalten zu erkennen.
Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:
Benutzerpeers basierend auf der Mitgliedschaft in Sicherheitsgruppen.
Aktionen nach Konto.
Aktionen auf Konto.
Vom Benutzer gelöschte Ereignisprotokolle.
Gruppenzufügungen.
Anomale hohe Anzahl von Bürovorgängen.
Ressourcenzugriff.
Ungewöhnlich hohe Anzahl von Azure-Anmeldeergebnissen.
UEBA-Erkenntnisse.
Benutzerzugriffsberechtigungen für Azure-Abonnements.
Bedrohungsindikatoren im Zusammenhang mit dem Benutzer.
Watchlist-Erkenntnisse (Vorschau)
Windows-Anmeldeaktivität.
Die Erkenntnisse basieren auf den folgenden Datenquellen:
Syslog (Linux)
SecurityEvent (Windows)
AuditLogs (Microsoft Entra ID)
SigninLogs (Microsoft Entra ID)
OfficeActivity (Office 365)
BehaviorAnalytics (Microsoft Sentinel UEBA)
Heartbeat (Azure Monitor-Agent)
CommonSecurityLog (Microsoft Sentinel)
Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.
Wartungsaktionen
Auf der Seite Übersicht können Sie die folgenden zusätzlichen Aktionen ausführen:
Aktivieren, Deaktivieren oder Anhalten des Benutzers in Microsoft Entra ID
Weisen Sie den Benutzer an, bestimmte Aktionen auszuführen, z. B. die erneute Anmeldung des Benutzers oder die Erzwingung der Kennwortzurücksetzung.
Anzeigen Microsoft Entra Kontoeinstellungen, zugehöriger Governance, der Dateien im Besitz des Benutzers oder der freigegebenen Dateien des Benutzers
Überwachungs- und Diagnoseprotokolle in Microsoft Entra ID bieten einen umfassenden Überblick darüber, wie Benutzer*innen auf Ihre Azure-Lösung zugreifen. Hier lernen Sie, wie Sie Anmeldedaten überwachen, Probleme beheben und die Daten analysieren.
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren