Jaa

Käyttäjän entiteettisivu Microsoft Defenderissä

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender -portaalin käyttäjäentiteettisivun avulla voit tutkia käyttäjäentiteettejä. Sivu sisältää kaikki tärkeät tiedot tietystä käyttäjäentiteetistä. Jos ilmoitus tai tapaus osoittaa, että käyttäjä saattaa olla vaarantunut tai epäilyttävä, tarkista ja tutki käyttäjäentiteetti.

Käyttäjäentiteetin tiedot ovat seuraavissa näkymissä:

  • Käyttäjätiedot-sivu Assets-kohdassa
  • Ilmoitusjono
  • Yksittäiset hälytykset tai tapahtumat
  • Laitteet-sivu
  • Mikä tahansa yksittäisen laitteen entiteettisivu
  • Toimintoloki
  • Kehittyneet metsästyskyselyt
  • Toimintokeskus

Jos käyttäjäentiteetit näkyvät näissä näkymissä, valitse entiteetti, jotta näet Käyttäjä-sivun , joka näyttää lisätietoja käyttäjästä. Voit esimerkiksi nähdä tapahtuman hälytyksissä tunnistettujen käyttäjätilien tiedot Microsoft Defender -portaalissa kohdassa Tapaukset, & hälytykset > Tapaukset >TapausResurssien>> käyttäjät.

Näyttökuva Microsoft Defender -portaalin tapauksen Käyttäjät-sivusta.

Kun tutkit tiettyä käyttäjäentiteettiä, näet seuraavat välilehdet sen entiteettisivulla:

Käyttäjäsivulla näkyvät Microsoft Entra -organisaatio sekä ryhmät, joiden avulla ymmärrät käyttäjään liittyvät ryhmät ja käyttöoikeudet.

Tärkeää

Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä Microsoft Defender -portaalissa. Defender-portaalin Microsoft Sentineliä tuetaan nyt tuotantokäyttöön. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Yleiskatsaus

Entiteetin tiedot

Sivun vasemmassa reunassa olevassa Entiteetin tiedot -paneelissa on tietoja käyttäjästä, kuten Microsoft Entra -käyttäjätietojen riskitaso, niiden laitteiden määrä, joihin käyttäjä on kirjautunut, kun käyttäjä nähtiin ensimmäisen kerran ja viimeksi, käyttäjän tilit, ryhmät, joihin käyttäjä kuuluu, yhteystiedot ja paljon muuta. Näet muita tietoja sen mukaan, mitä integrointiominaisuuksia olet ottanut käyttöön.

Tapausten ja hälytysten visuaalinen näkymä

Tämä kortti sisältää kaikki käyttäjäentiteettiin liittyvät tapaukset ja hälytykset vakavuuden mukaan ryhmiteltynä.

Tutkinnan prioriteetti

Tämä kortti sisältää käyttäjäentiteetin lasketun tutkimuksen prioriteettitulosten erittelyn ja kahden viikon trendin kyseiselle pistemäärälle, mukaan lukien prosenttipisteet pistemäärästä suhteessa vuokraajaan.

Active Directory -tilin ohjausobjektit

Tämä kortti tuo näyttöön Microsoft Defender for Identityn suojausasetukset, jotka saattavat tarvita huomiotasi. Näet tärkeitä merkintöjä käyttäjän tilin asetuksista, kuten jos käyttäjä voi painaa Enter-näppäintä ohittaakseen salasanan, ja onko käyttäjällä salasana, joka ei vanhene koskaan, jne.

Lisätietoja on kohdassa Käyttäjätilien valvonnan merkinnät.

Pisteytetyt aktiviteetit

Tämä kortti sisältää kaikki toiminnot ja hälytykset, jotka vaikuttavat entiteetin tutkimusprioriteettipisteisiin viimeisten seitsemän päivän ajalta.

Organisaatiopuu

Tässä osiossa näytetään käyttäjäentiteetin paikka organisaatiohierarkiassa Microsoft Defender for Identityn ilmoittamana.

Tilitunnisteet

Microsoft Defender for Identity hakee tunnisteet Active Directorysta, jotta saat yhden käyttöliittymän Active Directory -käyttäjien ja -entiteettien seurantaan. Tunnisteet antavat Active Directoryn tietoja entiteetistä ja sisältävät seuraavat:

Nimi Kuvaus
Uusi Ilmaisee, että entiteetti luotiin alle 30 päivää sitten.
Deleted Ilmaisee, että entiteetti poistettiin pysyvästi Active Directorysta.
Poistettu käytöstä Ilmaisee, että entiteetti on tällä hetkellä poistettu käytöstä Active Directoryssa. Käytöstä poistettu -määrite on Active Directory -merkintä, joka on käytettävissä käyttäjätileille, tietokonetileille ja muille objekteille osoittamaan, ettei objekti ole tällä hetkellä käytössä.

Kun objekti on poistettu käytöstä, sillä ei voi kirjautua sisään tai suorittaa toimintoja toimialueella.
Käytössä Ilmaisee, että entiteetti on tällä hetkellä käytössä Active Directoryssa, mikä ilmaisee, että entiteetti on tällä hetkellä käytössä, ja sen avulla voidaan kirjautua sisään tai suorittaa toimintoja toimialueella.
Vanhentunut Ilmaisee, että entiteetti on vanhentunut Active Directoryssa. Kun käyttäjätili on vanhentunut, käyttäjä ei voi enää kirjautua toimialueelle tai käyttää verkkoresursseja. Vanhentunutta tiliä käsitellään lähinnä ikään kuin se olisi poistettu käytöstä, mutta siinä on määritetty eksplisiittinen vanhentumispäivä.

Tämä voi vaikuttaa myös palveluihin tai sovelluksiin, joihin käyttäjällä on käyttöoikeus, riippuen siitä, miten ne on määritetty.
Hunajainen tunnus Ilmaisee, että entiteetti on merkitty manuaalisesti hunajatunnuksena.
Lukittu Ilmaisee, että entiteetti antoi väärän salasanan liian monta kertaa ja on nyt lukittu.
Osittainen Ilmaisee, että käyttäjä, laite tai ryhmä ei ole synkronoitu toimialueen kanssa ja että se ratkaistaan osittain yleisen luettelon kautta. Tässä tapauksessa jotkin määritteet eivät ole käytettävissä.
Ratkaisematta Ilmaisee, että laite ei ratkaise kelvollisia käyttäjätietoja Active Directory -toimialuepuuryhmässä. Hakemistotietoja ei ole käytettävissä.
Herkkä Ilmaisee, että entiteettiä pidetään arkaluontoisena.

Lisätietoja on artikkelissa Defender for Identity -entiteettitunnisteet Microsoft Defender XDR:ssä.

Huomautus

Organisaatiopuu-osa ja tilin tunnisteet ovat käytettävissä, kun Microsoft Defender for Identity -käyttöoikeus on käytettävissä.

Näyttökuva tietyn käyttäjän sivusta Microsoft Defender -portaalissa

Tapaukset ja hälytykset

Näet kaikki käyttäjään liittyvät aktiiviset tapaukset ja hälytykset viimeisten kuuden kuukauden ajalta tässä välilehdessä. Kaikki päätapausten ja hälytysjonojen tiedot näkyvät tässä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.

Voit mukauttaa näytettävien kohteiden määrää ja sitä, mitkä sarakkeet näytetään kullekin kohteelle. Oletustoiminta on luetteloi 30 kohdetta sivua kohden. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.

Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.

Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.

Näyttökuva käyttäjätilin liittyvistä ilmoituksista, jotka näkyvät Microsoft Defender -portaalin Ilmoitukset-välilehdessä

Havaittu organisaatiossa

  • Laitteet: tässä osiossa näkyvät kaikki laitteet, joissa käyttäjäentiteetti on kirjautunut sisään 180 edellisen päivän aikana, mikä ilmaisee käytetyimmän ja vähiten käytetyn.

  • Sijainnit: tässä osiossa näkyvät kaikki havaitut sijainnit käyttäjäentiteetille viimeisten 30 päivän ajalta.

  • Ryhmät: tässä osiossa näkyvät kaikki havaitut paikalliset ryhmät käyttäjäentiteetille Microsoft Defender for Identityn ilmoittamana.

  • Sivuttaisten siirtojen polut: tässä osiossa näkyvät kaikki profiloituja sivuttaisten siirtojen polkuja paikallisesta ympäristöstä, kuten Defender for Identity on havainnut.

Huomautus

Ryhmät ja sivuttaisten siirtojen polut ovat käytettävissä, kun Microsoft Defender for Identity -käyttöoikeus on käytettävissä.

Valitsemalla Sivuttaiset liikkeet -välilehden voit tarkastella täysin dynaamista ja napsautettavaa karttaa, jossa voit tarkastella sivuttaisten siirtojen polkuja käyttäjälle ja käyttäjältä. Hyökkääjä voi soluttautua verkkoosi polkutietojen avulla.

Kartassa on luettelo muista laitteista tai käyttäjistä, joiden avulla hyökkääjä voi vaarantaa arkaluontoisen tilin. Jos käyttäjällä on arkaluontoinen tili, näet, kuinka monta resurssia ja tiliä on yhdistetty suoraan.

Sivuttaisen liikkeen polkuraportti, jota voidaan tarkastella päivämäärän mukaan, on aina käytettävissä, jotta se voi antaa tietoja löytyneet ja ajan mukaan mukautettavat mahdolliset sivuttaiset siirtopolut. Valitse toinen päivämäärä käyttämällä Näytä eri päivämäärä -toimintoa , jos haluat tarkastella entiteetin aiempia sivuttaisten siirtojen polkuja. Kaavio näyttää vain, jos entiteetille on löydetty mahdollinen sivuttaisliikepolku kahden viime päivän aikana.

Näyttökuva havaittu organisaatiossa -näkymästä, jossa näkyvät käyttäjän laite-, ryhmä-, sijainti- ja sivuttaiset siirtopolut Microsoft Defender -portaalissa

Aikajana

Aikajana näyttää käyttäjän toiminnot ja hälytykset, joita on havaittu käyttäjän identiteetistä viimeisten 30 päivän aikana. Se yhdistää käyttäjän käyttäjätiedot Microsoft Defender for Identityn, Microsoft Defender for Cloud Appsin ja Microsoft Defender for Endpoint -kuormitusten välillä. Aikajanan avulla voit keskittyä käyttäjän suorittamiin tai niille tiettyihin aikajaksoihin kohdistettuihin toimintoihin.

Jotta yhdistetyn SOC-ympäristön käyttäjät voivat nähdä Microsoft Sentinelin hälytyksiä muiden kuin edellisessä kappaleessa olevien tietolähteiden perusteella, he löytävät nämä ilmoitukset ja muut tiedot Alla kuvatustaSentinel-tapahtumien välilehdestä.

  • Mukautettu aika-alueen valitsin: Voit valita aikarajan, jonka kuluessa tutkimus on kohdistettuna viimeiselle 24 tunnissa, viimeiselle kolmelle päivälle ja niin edelleen. Voit myös valita tietyn aikataulun valitsemalla Mukautettu alue. Esimerkki:

    Näyttökuva, jossa näytetään, miten voit valita aikakehyksen.

  • Aikajanasuodattimet: Voit parantaa tutkimuskokemusta käyttämällä aikajanasuodattimia: Tyyppi (ilmoitukset ja/tai käyttäjän liittyvät toiminnot), Ilmoituksen vakavuus, Toimintatyyppi, Sovellus, Sijainti, Protokolla. Kukin suodatin on riippuvainen muista, ja kunkin suodattimen vaihtoehdot (avattava valikko) sisältävät vain tietylle käyttäjälle olennaiset tiedot.

  • Vientipainike: Voit viedä aikajanan CSV-tiedostoon. Vienti on rajoitettu 5 000 ensimmäiseen tietueeseen, ja se sisältää tiedot sellaisina kuin ne näkyvät käyttöliittymässä (samat suodattimet ja sarakkeet).

  • Mukautetut sarakkeet: Voit valita, mitkä sarakkeet näkyvät aikajanalla, valitsemalla Mukauta sarakkeita -painikkeen. Esimerkki:

    Näyttökuva, jossa näkyy käyttäjän kuva.

Mitkä tietotyypit ovat käytettävissä?

Seuraavat tietotyypit ovat käytettävissä aikajanalla:

  • Käyttäjän hälytykset, joihin tämä vaikuttaa
  • Active Directory- ja Microsoft Entra -toimet
  • Pilvisovellusten tapahtumat
  • Laitteen kirjautumistapahtumat
  • Hakemistopalveluiden muutokset

Mitä tietoja näytetään?

Seuraavat tiedot näkyvät aikajanalla:

  • Aktiviteetin päivämäärä ja aika
  • Toiminnon tai hälytyksen kuvaus
  • Toiminnon suorittanut sovellus
  • Lähdelaite/IP-osoite
  • MITRE ATT&CK-tekniikat
  • Ilmoituksen vakavuus ja tila
  • Maa tai alue, jossa asiakkaan IP-osoite on geolokattu
  • Tiedonsiirron aikana käytettävä protokolla
  • Kohdelaite (valinnainen, tarkasteltavissa sarakkeita mukauttamalla)
  • Kuinka monta kertaa toiminto tapahtui (valinnainen, tarkasteltavissa mukauttamalla sarakkeita)

Esimerkki:

Näyttökuva Aikajana-välilehdestä.

Huomautus

Microsoft Defender XDR voi näyttää päivämäärä- ja aikatiedot joko paikallisen aikavyöhykkeen tai UTC:n avulla. Valittu aikavyöhyke koskee kaikkia päivämäärä- ja aikatietoja, jotka näkyvät Käyttäjätiedot-aikajanalla.

Jos haluat määrittää aikavyöhykkeen näille ominaisuuksille, siirry kohtaan Asetukset>Tietoturvakeskuksen>aikavyöhyke.

Sentinel-tapahtumat

Jos organisaatiosi on perehdyttänyt Microsoft Sentinelin Defender-portaaliin, tämä lisävälilehti on käyttäjän entiteettisivulla. Tämä välilehti tuo Tili-entiteettisivun Microsoft Sentinelistä.

Sentinel-aikajana

Tällä aikajanalla näkyvät käyttäjän entiteettiin liittyvät ilmoitukset. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä ne, jotka Microsoft Sentinel on luonut kolmannen osapuolen tietolähteistä, muista kuin Microsoftin tietolähteistä.

Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja Microsoft Sentinelin poikkeamasääntöjen havaitsemiin epätavallisiin käyttäytymisiin.

Oivalluksia

Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä käyttäjäentiteetistäsi ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, poikkeavia tapahtumia ja paljon muuta. Ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.

Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:

  • Käyttäjän vertaiset käyttöoikeusryhmien jäsenyyden perusteella.
  • Toiminnot tilin mukaan.
  • Tilin toiminnot.
  • Käyttäjä on poistanut tapahtumalokit.
  • Ryhmän lisäykset.
  • Toimistojen toimintojen määrä on epätavallisen suuri.
  • Resurssien käyttö.
  • Poikkeavan suuri Azure-kirjautumistulosten määrä.
  • UEBA-merkitykselliset tiedot.
  • Azure-tilausten käyttöoikeudet.
  • Käyttäjään liittyvät uhkailmaisimet.
  • Katseluluettelon merkitykselliset tiedot (esikatselu).
  • Windowsin kirjautumistoiminta.

Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra -tunnus)
  • SigninLogs (Microsoft Entra -tunnus)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Syke (Azure Monitor -agentti)
  • CommonSecurityLog (Microsoft Sentinel)

Näyttökuva Sentinel-tapahtumien välilehdestä käyttäjän entiteettisivulla.

Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.

Näyttökuva Kehittyneen metsästyksen näytöstä, jossa on merkityksellisten tietojen kysely.

Korjaustoimet

Yleiskatsaus-sivulla voit tehdä seuraavia lisätoimia:

  • Ota käyttöön, poista käytöstä tai keskeytä käyttäjä Microsoft Entra -tunnuksella
  • Ohjaa käyttäjä tekemään tiettyjä toimintoja, kuten vaatimaan käyttäjää kirjautumaan uudelleen tai pakottamaan salasanan palauttamisen
  • Palauta käyttäjän tutkinnan prioriteettipisteet
  • Näytä Microsoft Entra -tilin asetukset, liittyvä hallinto, käyttäjän omistamat tiedostot tai käyttäjän jaetut tiedostot

Näyttökuva käyttäjän korjaustoiminnoista Microsoft Defender -portaalissa

Lisätietoja on artikkelissa Korjaustoiminnot Microsoft Defender for Identityssä.

Seuraavat vaiheet

Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.