Examiner les utilisateurs dans Microsoft 365 Defender

  • Article

Remarque

Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.

S’applique à :

  • Microsoft 365 Defender

La page d’entité utilisateur dans Microsoft 365 Defender vous aide à examiner les identités des utilisateurs. La page contient toutes les informations importantes sur chaque identité. Si une alerte ou un incident indique qu’un utilisateur peut être compromis ou suspect, case activée et examiner le profil utilisateur.

Vous trouverez des informations d’identité dans les vues suivantes :

  • Page Identités
  • File d’attente des alertes
  • Toute alerte/incident individuel
  • Page Appareil
  • Journal d’activité
  • Requêtes de chasse avancées
  • Centre de notifications

Un lien d’identité cliquable est disponible dans ces affichages, qui vous permet d’accéder à la page Utilisateur où plus de détails sur l’utilisateur sont affichés. Par exemple, vous pouvez voir les détails des comptes d’utilisateur identifiés dans les alertes d’un incident dans le portail Microsoft 365 Defender dans Incidents & alertes>>incident Utilisateurs.

Page Utilisateurs d’un incident dans le portail Microsoft 365 Defender.

Lorsque vous examinez une identité spécifique, vous voyez :

Page d’un utilisateur spécifique dans le portail Microsoft 365 Defender

Remarque

La page utilisateur affiche les organization Azure Active Directory (Azure AD) ainsi que les groupes, ce qui vous aide à comprendre les groupes et les autorisations associés à un utilisateur.

Vue d’ensemble

Détails de l’entité

Les détails de l’entité à gauche de la page fournissent des informations sur l’utilisateur, telles que le niveau de risque Azure Active Directory (Azure AD) Identity, le nombre d’appareils auxquels l’utilisateur est connecté, le moment où l’utilisateur a été vu pour la première et la dernière fois, les comptes de l’utilisateur, les groupes auxquels l’utilisateur appartient, les informations de contact, etc. Vous verrez d’autres détails en fonction des fonctionnalités d’intégration que vous avez activées.

Vue visuelle des incidents et des alertes

Cette carte inclut tous les incidents et alertes, regroupés en gravités, associés à une identité.

Priorité de l’examen

Cette carte inclut la répartition calculée du score de priorité d’investigation et une tendance de deux semaines pour une identité, y compris si le score d’identité est sur le centile élevé pour ce locataire.

Contrôle de compte Active Directory

Dans cette carte, Defender pour Identity expose les paramètres de sécurité qui peuvent nécessiter votre attention. Vous pouvez voir des indicateurs importants concernant l’utilisateur, par exemple si l’utilisateur peut appuyer sur Entrée pour contourner le mot de passe, et si l’utilisateur a un mot de passe qui n’expire jamais, etc.

Pour plus d’informations, consultez Indicateurs de contrôle de compte d’utilisateur.

Activités notées

Cette carte inclut toutes les activités et alertes qui contribuent au score de priorité d’investigation global au cours des sept derniers jours.

Arborescence de l’organisation

Cette section présente la hiérarchie de l’identité telle qu’elle est signalée par Microsoft Defender pour Identity.

Balises de compte

Defender pour Identity extrait les balises d’Active Directory pour vous donner une interface unique pour la surveillance de vos utilisateurs et entités Active Directory. Les balises vous fournissent des détails d’Active Directory sur l’entité, notamment :

Nom Description
New Indique que l’entité a été créée il y a moins de 30 jours.
Deleted Indique que l’entité a été définitivement supprimée d’Active Directory.
Disabled Indique que l’entité est actuellement désactivée dans Active Directory. L’attribut disabled est un indicateur Active Directory disponible pour les comptes d’utilisateur, les comptes d’ordinateur et d’autres objets pour indiquer que l’objet n’est pas actuellement utilisé.

Lorsqu’un objet est désactivé, il ne peut pas être utilisé pour se connecter ou effectuer des actions dans le domaine.
Enabled Indique que l’entité est actuellement activée dans Active Directory, indiquant que l’entité est en cours d’utilisation et peut être utilisée pour se connecter ou effectuer des actions dans le domaine.
Expiré Indique que l’entité a expiré dans Active Directory. Lorsqu’un compte d’utilisateur a expiré, l’utilisateur n’est plus en mesure de se connecter au domaine ou d’accéder à des ressources réseau. Le compte expiré est essentiellement traité comme s’il était désactivé, mais avec une date d’expiration explicite définie.

Tous les services ou applications auxquels l’utilisateur a été autorisé à accéder peuvent également être affectés, selon la façon dont ils sont configurés.
Honeytoken Indique que l’entité est étiquetée manuellement comme honeytoken.
Locked Indique que l’entité a fourni le mot de passe incorrect trop de fois et qu’elle est maintenant verrouillée.
Partielle Indique que l’utilisateur, l’appareil ou le groupe n’est pas synchronisé avec le domaine et qu’il est partiellement résolu via un catalogue global. Dans ce cas, certains attributs ne sont pas disponibles.
Non résolue Indique que l’appareil ne se résout pas en identité valide dans la forêt Active Directory. Aucune information de répertoire n’est disponible.
Sensible Indique que l’entité est considérée comme sensible.

Pour plus d’informations, consultez Balises d’entité Defender pour Identity dans Microsoft 365 Defender.

Remarque

La section arborescence organization et les étiquettes de compte sont disponibles lorsqu’une licence Microsoft Defender pour Identity est disponible.

Alertes

Vous pouvez voir toutes les alertes actives impliquant l’utilisateur des 180 derniers jours dans cet onglet. Des informations telles que la gravité de l’alerte et l’heure à laquelle l’alerte a été générée sont disponibles dans cet onglet. Cliquez sur la ligne de l’alerte pour afficher des informations supplémentaires sur l’alerte.

Alertes associées au compte d’utilisateur affichées sous l’onglet Alertes du portail Microsoft 365 Defender

Observé en organization

  • Appareils : cette section contient des informations sur les appareils auxquels l’identité s’est connectée, y compris le plus et le moins utilisé au cours des 180 derniers jours.
  • Emplacements : cette section inclut tous les emplacements observés pour l’identité au cours des 30 derniers jours.
  • Groupes : cette section inclut tous les groupes locaux observés pour l’identité, comme indiqué par Defender pour Identity.
  • Chemins de mouvement latéral : cette section inclut tous les chemins de mouvement latéral profilés de l’environnement local détectés par Defender pour Identity.

Remarque

Les groupes et les chemins de mouvement latéral sont disponibles lorsqu’une licence Microsoft Defender pour Identity est disponible.

La sélection de l’onglet Mouvements latéraux vous permet d’afficher une carte entièrement dynamique et cliquable dans laquelle vous pouvez voir les chemins de mouvement latéral vers et depuis un utilisateur. Un attaquant peut utiliser les informations de chemin d’accès pour infiltrer votre réseau.

La carte fournit une liste d’autres appareils ou utilisateurs dont un attaquant peut tirer parti pour compromettre un compte sensible. Si l’utilisateur a un compte sensible, vous pouvez voir combien de ressources et de comptes sont directement connectés.

Le rapport de chemin de mouvement latéral, qui peut être consulté par date, est toujours disponible pour fournir des informations sur les chemins de mouvement latéral potentiels découverts et peut être personnalisé par heure. Sélectionnez une autre date en utilisant Afficher une date différente pour afficher les chemins de mouvement latéral précédents trouvés pour une entité. Le graphique affiche uniquement si un chemin de mouvement latéral potentiel a été trouvé pour une entité au cours des deux derniers jours.

Vue Observée dans organization montrant les chemins d’accès de l’appareil, du groupe, de l’emplacement et du mouvement latéral d’un utilisateur dans le portail Microsoft 365 Defender

Chronologie

La chronologie représente les activités et les alertes observées à partir de l’identité d’un utilisateur au cours des 30 derniers jours. Il unifie les entrées d’identité de l’utilisateur sur les charges de travail Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps et Microsoft Defender pour point de terminaison. En utilisant la chronologie, vous pouvez vous concentrer sur les activités qu’un utilisateur a effectuées ou ont été effectuées sur celui-ci dans des délais spécifiques.

  • Sélecteur d’intervalle de temps personnalisé : Vous pouvez choisir une période pour concentrer votre investigation sur les 24 dernières heures, les 3 derniers jours et ainsi de suite. Vous pouvez également choisir une période spécifique en cliquant sur Plage personnalisée. Par exemple :

    Capture d’écran montrant hwo pour choisir une période.

  • Filtres de chronologie : Pour améliorer votre expérience d’investigation, vous pouvez utiliser les filtres chronologie : Type (Alertes et/ou activités associées de l’utilisateur), Gravité de l’alerte, Type d’activité, Application, Emplacement, Protocole. Chaque filtre dépend des autres, et les options de chaque filtre (liste déroulante) contiennent uniquement les données pertinentes pour l’utilisateur spécifique.

  • Bouton Exporter : Vous pouvez exporter le chronologie vers un fichier CSV. L’exportation est limitée aux 5 000 premiers enregistrements et contient les données telles qu’elles s’affichent dans l’interface utilisateur (mêmes filtres et colonnes).

  • Colonnes personnalisées : Vous pouvez choisir les colonnes à exposer dans le chronologie en sélectionnant le bouton Personnaliser les colonnes. Par exemple :

    Capture d’écran montrant l’image de l’utilisateur.

Quels types de données sont disponibles ?

Les types de données suivants sont disponibles dans le chronologie :

  • Alertes impactées par un utilisateur
  • Activités Active Directory et Azure AD
  • Événements des applications cloud
  • Événements d’ouverture de session de l’appareil
  • Modifications des services d’annuaire

Quelles informations sont affichées ?

Les informations suivantes s’affichent dans le chronologie :

  • Description de l’activité/de l’alerte
  • Date et heure de l’activité
  • Application qui a effectué l’activité
  • Appareil source/adresse IP
  • MITRE ATT&Techniques de CK
  • État de l’alerte et gravité
  • Pays/région où l’adresse IP du client est géolocalisée
  • Protocole utilisé pendant la communication
  • Appareil cible (colonne personnalisée)
  • Nombre de fois où l’activité s’est produite (colonne personnalisée)

Par exemple :

Capture d’écran de l’onglet Chronologie.

Remarque

Microsoft 365 Defender pouvez afficher des informations de date et d’heure à l’aide de votre fuseau horaire local ou UTC. Le fuseau horaire sélectionné s’applique à toutes les informations de date et d’heure affichées dans le chronologie d’identité. Pour définir le fuseau horaire de ces fonctionnalités, accédez à Paramètres> Centrede sécurité>Fuseau horaire.

Actions de correction

Dans la page Vue d’ensemble, vous pouvez effectuer ces actions supplémentaires :

  • Activer, désactiver ou suspendre l’utilisateur dans Azure AD
  • Demander à l’utilisateur d’effectuer certaines actions, telles que demander à l’utilisateur de se reconnecter ou forcer la réinitialisation du mot de passe
  • Réinitialiser le score de priorité d’investigation pour l’utilisateur
  • Afficher les paramètres du compte Azure AD, la gouvernance associée, les fichiers appartenant à l’utilisateur ou les fichiers partagés de l’utilisateur

Actions de correction pour un utilisateur dans le portail Microsoft 365 Defender

Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.

Étapes suivantes

Si nécessaire pour les incidents in-process, poursuivez votre enquête.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté microsoft sécurité dans notre communauté technique : Microsoft 365 Defender communauté technique.