Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Defender for Identity antaa Microsoft Defender XDR käyttäjille todisteita, kun käyttäjillä, tietokoneilla ja laitteilla on merkkejä epäilyttävistä toiminnoista tai kompromisseista.
Tässä artikkelissa annetaan suosituksia organisaatiollesi aiheutuvien riskien määrittämiseen, korjaamiseen ja parhaan tavan määrittämiseen samankaltaisten hyökkäysten estämiseksi tulevaisuudessa.
Epäilyttävien käyttäjien tutkintavaiheet
Huomautus
Lisätietoja käyttäjäprofiilien tarkastelemisesta Microsoft Defender XDR on Microsoft Defender XDR ohjeissa.
Jos ilmoitus tai tapaus ilmaisee, että käyttäjä voi olla epäilyttävä tai vaarantunut, tarkista ja tutki käyttäjäprofiilia seuraavien tietojen ja toimintojen osalta:
Käyttäjätiedot
- Onko käyttäjä arkaluontoinen käyttäjä (kuten järjestelmänvalvoja tai katseluluettelossa jne.)?
- Mikä on heidän roolinsa organisaatiossa?
- Ovatko ne merkittäviä organisaation puussa?
Epäilyttävän toiminnan tutkiminen, kuten:
- Onko käyttäjällä muita avattuja ilmoituksia Defender for Identityssä tai muissa suojaustyökaluissa, kuten Microsoft Defender for Endpoint, Microsoft Defender pilvipalvelussa ja/tai Microsoft Defender for Cloud Apps?
- Epäonnistuiko sisäänkirjautuminen käyttäjässä?
- Mitä resursseja käyttäjä on saanut käyttöönsä?
- Pääsikö käyttäjä suuriarvoihin resursseihin?
- Oliko käyttäjän tarkoitus käyttää käyttämistään resursseista?
- Mihin laitteisiin käyttäjä kirjautui?
- Oliko käyttäjän tarkoitus kirjautua kyseisiin laitteisiin?
- Onko käyttäjän ja arkaluontoisen käyttäjän välillä sivuttaista siirtopolkua ?
Näiden kysymysten vastausten avulla voit selvittää, vaikuttaako tili vaarantuneelta vai viittaako epäilyttävä toiminta haitallisiin toimiin.
Etsi käyttäjätiedot seuraavista Microsoft Defender XDR alueilta:
- Yksittäisten käyttäjätietojen tietosivut
- Yksittäisten ilmoitusten tai tapausten tietosivu
- Laitteen tietosivut
- Kehittyneet metsästyskyselyt
- Toimintokeskus-sivu
Esimerkiksi seuraavassa kuvassa näkyvät tiedot käyttäjätietojen tietosivulla:
Käyttäjätietojen tiedot
Kun tutkit tiettyä identiteettiä, näet seuraavat tiedot käyttäjätietojen sivulla:
| Käyttäjätietojen tietosivualue | Kuvaus |
|---|---|
| Yleiskatsaus-välilehti |
Yleiskatsaus-välilehdessä voit tarkastella tapahtumien ja hälytysten kuvaajia, organisaation puuta ja entiteettitunnisteita. Yleisiä käyttäjätietoja ovat seuraavat: – Microsoft Entra käyttäjätietojen riskitaso - Niiden laitteiden määrä, joissa käyttäjätiedot on kirjautuneena - Milloin käyttäjätiedot olivat ensimmäiset ja viimeksi nähdyt – käyttäjätietojen tilit ja tärkeät tiedot. |
| Tapaukset ja hälytykset | Näyttää käyttäjän aktiiviset tapaukset ja hälytykset viimeisten 180 päivän ajalta, mukaan lukien tiedot, kuten hälytyksen vakavuuden ja ilmoituksen luomisen ajan. |
| Havaittu organisaatiossa | Sisältää seuraavat alialueet: - Laitteet: Laitteet, joihin käyttäjätiedot kirjautuivat, mukaan lukien eniten ja vähiten käytetty viimeisen 180 päivän aikana. - Sijainnit: Henkilöllisyyden havaitut sijainnit viimeisten 30 päivän aikana. - Ryhmät: Kaikki havainnoidut paikalliset ryhmät käyttäjätietojen osalta. - Lateraaliset liikepolut – kaikki profiloituja sivuttaisten siirtojen polkuja paikallisesta ympäristöstä. - Tilit Näytä kaikki tilit, jotka on linkitetty tiettyyn käyttäjätietoon. |
| Käyttäjätietojen aikajana | Aikajanalla esitetään käyttäjän identiteetistä viimeisten 180 päivän aikana havaitut toiminnot ja hälytykset, joiden avulla tunnistetiedot voidaan yhdistää Microsoft Defender for Identity, Microsoft Defender for Cloud Apps ja Microsoft Defender for Endpoint. Aikajanan avulla voit keskittyä käyttäjän suorittamien tai niille tietyin aikajaksoin suorittamien aktiviteettien suorittamiseen. Valitse oletusarvoinen 30 päivää , jos haluat muuttaa aika-alueen toiseksi sisäiseksi arvoksi tai mukautetuksi alueeksi. |
| Suojaussuositukset | Tässä välilehdessä näkyvät kaikki käyttäjätietotiliin liittyvät aktiiviset suojausasennon arvioinnit. Se sisältää Defender for Identity -suosituksia käytettävissä olevissa tunnistetietopalveluissa, kuten Active Directoryssa, Oktassa ja muissa. JOS valitset ISPM-turvapiirin, saat lisätietoja Microsoftin suojatun pistemäärän suositussivulle. |
| Hyökkäyspolut | Tämä välilehti tarjoaa näkyvyyden mahdollisiin hyökkäyspolkuihin, jotka johtavat kriittisiin käyttäjätietoihin tai jotka liittyvät siihen polun sisällä, mikä auttaa arvioimaan suojausriskejä. Lisätietoja on artikkelissa Yleiskatsaus hyökkäyspolusta altistumisen hallinnassa. |
| Korjaustoimet | Vastaa vaarantunutta käyttäjää vastaan poistamalla heidän tilinsä käytöstä tai palauttamalla heidän salasanansa. Kun olet ottanut toiminnon käyttöön käyttäjille, voit tarkistaa toiminnan tiedot Microsoft Defender XDR **Toimintokeskuksessa. |
Huomautus
Tutkimuksen prioriteettipisteet poistettiin käytöstä 3.12.2024. Tämän seurauksena Investigation Priority Score -erittely ja pisteytetyt toimintojen aikajanakortit eivät ole enää käytettävissä.
Lisätietoja on Microsoft Defender XDR dokumentaation kohdassa Käyttäjien tutkiminen.
Epäilyttävien ryhmien tutkintavaiheet
Jos Active Directory -ryhmään liittyy ilmoitus tai tapaustutkimus, tarkista ryhmäentiteetistä seuraavat tiedot ja toiminnot:
Ryhmäentiteetti
- Onko ryhmä arkaluonteinen ryhmä, kuten toimialueen järjestelmänvalvojat?
- Sisältääkö ryhmä arkaluontoisia käyttäjiä?
Epäilyttävän toiminnan tutkiminen, kuten:
- Onko ryhmällä muita avattuja, liittyviä ilmoituksia Defender for Identityssä tai muissa suojaustyökaluissa, kuten Microsoft Defender for Endpoint, Microsoft Defender pilvipalvelussa ja/tai Microsoft Defender for Cloud Apps?
- Mitä käyttäjiä on viimeksi lisätty ryhmään tai poistettu ryhmästä?
- Onko ryhmälle äskettäin kyselyitä ja kenen kysely?
Näiden kysymysten vastausten avulla voit auttaa tutkinnassasi.
Valitse ryhmän entiteetin tietoruudusta Go hunt tai Avaa aikajana asian tutkimista varten. Ryhmän tiedot löytyvät myös seuraavista Microsoft Defender XDR alueista:
- Yksittäisten ilmoitusten tai tapausten tietosivu
- Laitteen tai käyttäjän tietosivut
- Kehittyneet metsästyskyselyt
Esimerkiksi seuraavassa kuvassa näkyy Palvelinoperaattorit-toiminnon aikajana, mukaan lukien liittyvät ilmoitukset ja toiminnot viimeisten 180 päivän ajalta:
Epäilyttävien laitteiden tutkintavaiheet
Microsoft Defender XDR ilmoitus näyttää luettelon kaikista laitteista ja käyttäjistä, jotka on yhdistetty jokaiseen epäilyttävään toimintaan. Valitse laite laitteen tietosivun tarkastelemiseksi ja tutki sitten seuraavia tietoja ja toimintoja:
Mitä tapahtui epäilyttävän toiminnan aikaan?
- Kuka käyttäjä on kirjautunut laitteeseen?
- Kirjautuuko kyseinen käyttäjä tavallisesti lähde- tai kohdelaitteeseen vai käyttääkö hän sitä?
- Mitä resursseja käytettiin? Millä käyttäjillä? Jos resursseja käytettiin, olivatko ne arvokkaita resursseja?
- Oliko käyttäjän tarkoitus käyttää näitä resursseja?
- Suorittiko laitetta käyttänyt käyttäjä muita epäilyttäviä toimia?
Lisää epäilyttäviä toimia tutkittavaksi:
- Avattiinko muita ilmoituksia samaan aikaan kuin tämä ilmoitus Defender for Identityssä vai muissa suojaustyökaluissa, kuten Microsoft Defender for Endpoint, Microsoft Defender pilvipalvelussa ja/tai Microsoft Defender for Cloud Apps?
- Epäonnistuiko sisäänkirjautuminen?
- Otettiinko uusia ohjelmia käyttöön vai asennettiinko niitä?
Näiden kysymysten vastausten avulla voit selvittää, vaikuttaako laite vaarantuneelta vai viittaako epäilyttävä toiminta haitallisiin toimiin.
Esimerkiksi seuraavassa kuvassa näkyy laitteen tietosivu:
Lisätietoja on Microsoft Defender XDR dokumentaation kohdassa Laitteiden tutkiminen.
Seuraavat vaiheet
- Tutki sivusuuntaisia siirtopolkuja
- Käyttäjien tutkiminen Microsoft Defender XDR
- Microsoft Defender XDR -tapausten tutkiminen
Vihje
Kokeile vuorovaikutteista opasta: hyökkäysten tutkiminen ja niihin vastaaminen Microsoft Defender for Identity