Käyttäjän entiteettisivu Microsoft Defenderissä
Microsoft Defender -portaalin käyttäjäentiteettisivun avulla voit tutkia käyttäjäentiteettejä. Sivu sisältää kaikki tärkeät tiedot tietystä käyttäjäentiteetistä. Jos ilmoitus tai tapaus osoittaa, että käyttäjä saattaa olla vaarantunut tai epäilyttävä, tarkista ja tutki käyttäjäentiteetti.
Käyttäjäentiteetin tiedot ovat seuraavissa näkymissä:
- Käyttäjätiedot-sivu Assets-kohdassa
- Ilmoitusjono
- Yksittäiset hälytykset tai tapahtumat
- Laitteet-sivu
- Mikä tahansa yksittäisen laitteen entiteettisivu
- Toimintoloki
- Kehittyneet metsästyskyselyt
- Toimintokeskus
Jos käyttäjäentiteetit näkyvät näissä näkymissä, valitse entiteetti, jotta näet Käyttäjä-sivun , joka näyttää lisätietoja käyttäjästä. Voit esimerkiksi nähdä tapahtuman hälytyksissä tunnistettujen käyttäjätilien tiedot Microsoft Defender -portaalissa kohdassa Tapaukset, & hälytykset > Tapaukset >TapausResurssien>> käyttäjät.
Kun tutkit tiettyä käyttäjäentiteettiä, näet seuraavat välilehdet sen entiteettisivulla:
- Yleiskatsaus, mukaan lukien entiteetin tiedot, tapaukset ja hälytykset -visualisointinäkymä, tutkinnan prioriteetti ja pisteytetty aikajana
- Tapaukset ja hälytykset -välilehti
- Havaittu Organisaatio-välilehdessä
- Aikajana-välilehti
- Sentinel-tapahtumat-välilehti
Käyttäjäsivulla näkyvät Microsoft Entra -organisaatio sekä ryhmät, joiden avulla ymmärrät käyttäjään liittyvät ryhmät ja käyttöoikeudet.
Tärkeää
Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä Microsoft Defender -portaalissa. Defender-portaalin Microsoft Sentineliä tuetaan nyt tuotantokäyttöön. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.
Yleiskatsaus
Entiteetin tiedot
Sivun vasemmassa reunassa olevassa Entiteetin tiedot -paneelissa on tietoja käyttäjästä, kuten Microsoft Entra -käyttäjätietojen riskitaso, niiden laitteiden määrä, joihin käyttäjä on kirjautunut, kun käyttäjä nähtiin ensimmäisen kerran ja viimeksi, käyttäjän tilit, ryhmät, joihin käyttäjä kuuluu, yhteystiedot ja paljon muuta. Näet muita tietoja sen mukaan, mitä integrointiominaisuuksia olet ottanut käyttöön.
Tapausten ja hälytysten visuaalinen näkymä
Tämä kortti sisältää kaikki käyttäjäentiteettiin liittyvät tapaukset ja hälytykset vakavuuden mukaan ryhmiteltynä.
Tutkinnan prioriteetti
Tämä kortti sisältää käyttäjäentiteetin lasketun tutkimuksen prioriteettitulosten erittelyn ja kahden viikon trendin kyseiselle pistemäärälle, mukaan lukien prosenttipisteet pistemäärästä suhteessa vuokraajaan.
Active Directory -tilin ohjausobjektit
Tämä kortti tuo näyttöön Microsoft Defender for Identityn suojausasetukset, jotka saattavat tarvita huomiotasi. Näet tärkeitä merkintöjä käyttäjän tilin asetuksista, kuten jos käyttäjä voi painaa Enter-näppäintä ohittaakseen salasanan, ja onko käyttäjällä salasana, joka ei vanhene koskaan, jne.
Lisätietoja on kohdassa Käyttäjätilien valvonnan merkinnät.
Pisteytetyt aktiviteetit
Tämä kortti sisältää kaikki toiminnot ja hälytykset, jotka vaikuttavat entiteetin tutkimusprioriteettipisteisiin viimeisten seitsemän päivän ajalta.
Organisaatiopuu
Tässä osiossa näytetään käyttäjäentiteetin paikka organisaatiohierarkiassa Microsoft Defender for Identityn ilmoittamana.
Tilitunnisteet
Microsoft Defender for Identity hakee tunnisteet Active Directorysta, jotta saat yhden käyttöliittymän Active Directory -käyttäjien ja -entiteettien seurantaan. Tunnisteet antavat Active Directoryn tietoja entiteetistä ja sisältävät seuraavat:
Nimi | Kuvaus |
---|---|
Uusi | Ilmaisee, että entiteetti luotiin alle 30 päivää sitten. |
Deleted | Ilmaisee, että entiteetti poistettiin pysyvästi Active Directorysta. |
Poistettu käytöstä | Ilmaisee, että entiteetti on tällä hetkellä poistettu käytöstä Active Directoryssa. Käytöstä poistettu -määrite on Active Directory -merkintä, joka on käytettävissä käyttäjätileille, tietokonetileille ja muille objekteille osoittamaan, ettei objekti ole tällä hetkellä käytössä. Kun objekti on poistettu käytöstä, sillä ei voi kirjautua sisään tai suorittaa toimintoja toimialueella. |
Käytössä | Ilmaisee, että entiteetti on tällä hetkellä käytössä Active Directoryssa, mikä ilmaisee, että entiteetti on tällä hetkellä käytössä, ja sen avulla voidaan kirjautua sisään tai suorittaa toimintoja toimialueella. |
Vanhentunut | Ilmaisee, että entiteetti on vanhentunut Active Directoryssa. Kun käyttäjätili on vanhentunut, käyttäjä ei voi enää kirjautua toimialueelle tai käyttää verkkoresursseja. Vanhentunutta tiliä käsitellään lähinnä ikään kuin se olisi poistettu käytöstä, mutta siinä on määritetty eksplisiittinen vanhentumispäivä. Tämä voi vaikuttaa myös palveluihin tai sovelluksiin, joihin käyttäjällä on käyttöoikeus, riippuen siitä, miten ne on määritetty. |
Hunajainen tunnus | Ilmaisee, että entiteetti on merkitty manuaalisesti hunajatunnuksena. |
Lukittu | Ilmaisee, että entiteetti antoi väärän salasanan liian monta kertaa ja on nyt lukittu. |
Osittainen | Ilmaisee, että käyttäjä, laite tai ryhmä ei ole synkronoitu toimialueen kanssa ja että se ratkaistaan osittain yleisen luettelon kautta. Tässä tapauksessa jotkin määritteet eivät ole käytettävissä. |
Ratkaisematta | Ilmaisee, että laite ei ratkaise kelvollisia käyttäjätietoja Active Directory -toimialuepuuryhmässä. Hakemistotietoja ei ole käytettävissä. |
Herkkä | Ilmaisee, että entiteettiä pidetään arkaluontoisena. |
Lisätietoja on artikkelissa Defender for Identity -entiteettitunnisteet Microsoft Defender XDR:ssä.
Huomautus
Organisaatiopuu-osa ja tilin tunnisteet ovat käytettävissä, kun Microsoft Defender for Identity -käyttöoikeus on käytettävissä.
Tapaukset ja hälytykset
Näet kaikki käyttäjään liittyvät aktiiviset tapaukset ja hälytykset viimeisten kuuden kuukauden ajalta tässä välilehdessä. Kaikki päätapausten ja hälytysjonojen tiedot näkyvät tässä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.
Voit mukauttaa näytettävien kohteiden määrää ja sitä, mitkä sarakkeet näytetään kullekin kohteelle. Oletustoiminta on luetteloi 30 kohdetta sivua kohden. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.
Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.
Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.
Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.
Havaittu organisaatiossa
Laitteet: tässä osiossa näkyvät kaikki laitteet, joissa käyttäjäentiteetti on kirjautunut sisään 180 edellisen päivän aikana, mikä ilmaisee käytetyimmän ja vähiten käytetyn.
Sijainnit: tässä osiossa näkyvät kaikki havaitut sijainnit käyttäjäentiteetille viimeisten 30 päivän ajalta.
Ryhmät: tässä osiossa näkyvät kaikki havaitut paikalliset ryhmät käyttäjäentiteetille Microsoft Defender for Identityn ilmoittamana.
Sivuttaisten siirtojen polut: tässä osiossa näkyvät kaikki profiloituja sivuttaisten siirtojen polkuja paikallisesta ympäristöstä, kuten Defender for Identity on havainnut.
Huomautus
Ryhmät ja sivuttaisten siirtojen polut ovat käytettävissä, kun Microsoft Defender for Identity -käyttöoikeus on käytettävissä.
Valitsemalla Sivuttaiset liikkeet -välilehden voit tarkastella täysin dynaamista ja napsautettavaa karttaa, jossa voit tarkastella sivuttaisten siirtojen polkuja käyttäjälle ja käyttäjältä. Hyökkääjä voi soluttautua verkkoosi polkutietojen avulla.
Kartassa on luettelo muista laitteista tai käyttäjistä, joiden avulla hyökkääjä voi vaarantaa arkaluontoisen tilin. Jos käyttäjällä on arkaluontoinen tili, näet, kuinka monta resurssia ja tiliä on yhdistetty suoraan.
Sivuttaisen liikkeen polkuraportti, jota voidaan tarkastella päivämäärän mukaan, on aina käytettävissä, jotta se voi antaa tietoja löytyneet ja ajan mukaan mukautettavat mahdolliset sivuttaiset siirtopolut. Valitse toinen päivämäärä käyttämällä Näytä eri päivämäärä -toimintoa , jos haluat tarkastella entiteetin aiempia sivuttaisten siirtojen polkuja. Kaavio näyttää vain, jos entiteetille on löydetty mahdollinen sivuttaisliikepolku kahden viime päivän aikana.
Aikajana
Aikajana näyttää käyttäjän toiminnot ja hälytykset, joita on havaittu käyttäjän identiteetistä viimeisten 30 päivän aikana. Se yhdistää käyttäjän käyttäjätiedot Microsoft Defender for Identityn, Microsoft Defender for Cloud Appsin ja Microsoft Defender for Endpoint -kuormitusten välillä. Aikajanan avulla voit keskittyä käyttäjän suorittamiin tai niille tiettyihin aikajaksoihin kohdistettuihin toimintoihin.
Jotta yhdistetyn SOC-ympäristön käyttäjät voivat nähdä Microsoft Sentinelin hälytyksiä muiden kuin edellisessä kappaleessa olevien tietolähteiden perusteella, he löytävät nämä ilmoitukset ja muut tiedot Alla kuvatustaSentinel-tapahtumien välilehdestä.
Mukautettu aika-alueen valitsin: Voit valita aikarajan, jonka kuluessa tutkimus on kohdistettuna viimeiselle 24 tunnissa, viimeiselle kolmelle päivälle ja niin edelleen. Voit myös valita tietyn aikataulun valitsemalla Mukautettu alue. Esimerkki:
Aikajanasuodattimet: Voit parantaa tutkimuskokemusta käyttämällä aikajanasuodattimia: Tyyppi (ilmoitukset ja/tai käyttäjän liittyvät toiminnot), Ilmoituksen vakavuus, Toimintatyyppi, Sovellus, Sijainti, Protokolla. Kukin suodatin on riippuvainen muista, ja kunkin suodattimen vaihtoehdot (avattava valikko) sisältävät vain tietylle käyttäjälle olennaiset tiedot.
Vientipainike: Voit viedä aikajanan CSV-tiedostoon. Vienti on rajoitettu 5 000 ensimmäiseen tietueeseen, ja se sisältää tiedot sellaisina kuin ne näkyvät käyttöliittymässä (samat suodattimet ja sarakkeet).
Mukautetut sarakkeet: Voit valita, mitkä sarakkeet näkyvät aikajanalla, valitsemalla Mukauta sarakkeita -painikkeen. Esimerkki:
Mitkä tietotyypit ovat käytettävissä?
Seuraavat tietotyypit ovat käytettävissä aikajanalla:
- Käyttäjän hälytykset, joihin tämä vaikuttaa
- Active Directory- ja Microsoft Entra -toimet
- Pilvisovellusten tapahtumat
- Laitteen kirjautumistapahtumat
- Hakemistopalveluiden muutokset
Mitä tietoja näytetään?
Seuraavat tiedot näkyvät aikajanalla:
- Aktiviteetin päivämäärä ja aika
- Toiminnon tai hälytyksen kuvaus
- Toiminnon suorittanut sovellus
- Lähdelaite/IP-osoite
- MITRE ATT&CK-tekniikat
- Ilmoituksen vakavuus ja tila
- Maa tai alue, jossa asiakkaan IP-osoite on geolokattu
- Tiedonsiirron aikana käytettävä protokolla
- Kohdelaite (valinnainen, tarkasteltavissa sarakkeita mukauttamalla)
- Kuinka monta kertaa toiminto tapahtui (valinnainen, tarkasteltavissa mukauttamalla sarakkeita)
Esimerkki:
Huomautus
Microsoft Defender XDR voi näyttää päivämäärä- ja aikatiedot joko paikallisen aikavyöhykkeen tai UTC:n avulla. Valittu aikavyöhyke koskee kaikkia päivämäärä- ja aikatietoja, jotka näkyvät Käyttäjätiedot-aikajanalla.
Jos haluat määrittää aikavyöhykkeen näille ominaisuuksille, siirry kohtaan Asetukset>Tietoturvakeskuksen>aikavyöhyke.
Sentinel-tapahtumat
Jos organisaatiosi on perehdyttänyt Microsoft Sentinelin Defender-portaaliin, tämä lisävälilehti on käyttäjän entiteettisivulla. Tämä välilehti tuo Tili-entiteettisivun Microsoft Sentinelistä.
Sentinel-aikajana
Tällä aikajanalla näkyvät käyttäjän entiteettiin liittyvät ilmoitukset. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä ne, jotka Microsoft Sentinel on luonut kolmannen osapuolen tietolähteistä, muista kuin Microsoftin tietolähteistä.
Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja Microsoft Sentinelin poikkeamasääntöjen havaitsemiin epätavallisiin käyttäytymisiin.
Oivalluksia
Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä käyttäjäentiteetistäsi ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, poikkeavia tapahtumia ja paljon muuta. Ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.
Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:
- Käyttäjän vertaiset käyttöoikeusryhmien jäsenyyden perusteella.
- Toiminnot tilin mukaan.
- Tilin toiminnot.
- Käyttäjä on poistanut tapahtumalokit.
- Ryhmän lisäykset.
- Toimistojen toimintojen määrä on epätavallisen suuri.
- Resurssien käyttö.
- Poikkeavan suuri Azure-kirjautumistulosten määrä.
- UEBA-merkitykselliset tiedot.
- Azure-tilausten käyttöoikeudet.
- Käyttäjään liittyvät uhkailmaisimet.
- Katseluluettelon merkitykselliset tiedot (esikatselu).
- Windowsin kirjautumistoiminta.
Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra -tunnus)
- SigninLogs (Microsoft Entra -tunnus)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Syke (Azure Monitor -agentti)
- CommonSecurityLog (Microsoft Sentinel)
Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.
Korjaustoimet
Yleiskatsaus-sivulla voit tehdä seuraavia lisätoimia:
- Ota käyttöön, poista käytöstä tai keskeytä käyttäjä Microsoft Entra -tunnuksella
- Ohjaa käyttäjä tekemään tiettyjä toimintoja, kuten vaatimaan käyttäjää kirjautumaan uudelleen tai pakottamaan salasanan palauttamisen
- Palauta käyttäjän tutkinnan prioriteettipisteet
- Näytä Microsoft Entra -tilin asetukset, liittyvä hallinto, käyttäjän omistamat tiedostot tai käyttäjän jaetut tiedostot
Lisätietoja on artikkelissa Korjaustoiminnot Microsoft Defender for Identityssä.
Seuraavat vaiheet
Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tapausten yleiskatsaus
- Priorisoi tapaukset
- Tapausten hallinta
- Microsoft Defenderin XDR-yleiskatsaus
- Ota käyttöön Microsoft Defender XDR
- Laitteen entiteettisivu Microsoft Defenderissä
- IP-osoite-entiteettisivu Microsoft Defenderissä
- Microsoft Defender XDR -integrointi Microsoft Sentinelin kanssa
- Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle