Entitásprofilok vizsgálata
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az entitásprofil egy olyan irányítópultot biztosít, amely a felhasználók, számítógépek, eszközök, valamint a hozzáféréssel rendelkező erőforrások és azok előzményeinek teljes körű vizsgálatára szolgál. A profiloldal kihasználja az új ATA logikai tevékenységfordító előnyeit, amely megvizsgálhatja a folyamatban lévő tevékenységek egy csoportját (akár egy percig összesítve), és egyetlen logikai tevékenységbe csoportosíthatja őket, így jobban megértheti a felhasználók tényleges tevékenységeit.
Egy entitásprofil-lap eléréséhez válassza ki az entitás nevét (például egy felhasználónevet) a gyanús tevékenység ütemtervében.
A bal oldali menüben az entitáson elérhető összes Active Directory-információ megtalálható – e-mail-cím, tartomány, elsőként látott dátum. Ha az entitás bizalmas, akkor meg fogja mondani, hogy miért. A felhasználó például bizalmasként van megjelölve, vagy egy bizalmas csoport tagja? Ha bizalmas felhasználó, a felhasználó neve alatt megjelenik az ikon.
Entitástevékenységek megtekintése
A felhasználó által vagy egy entitáson végrehajtott összes tevékenység megtekintéséhez válassza a Tevékenységek lapot.
Alapértelmezés szerint az entitásprofil fő ablaktábláján megjelenik az entitás tevékenységeinek idővonala, amely legfeljebb 6 hónapos előzményekkel rendelkezik, amelyből a felhasználó által elért entitásokat, illetve az entitásokhoz hozzáférő felhasználókat is részletezheti.
Felül megtekintheti az összefoglaló csempéket, amelyek gyors áttekintést nyújtanak arról, hogy mit kell megértenie egy pillantással az entitásról. Ezek a csempék attól függően változnak, hogy milyen típusú entitásról van szó, egy felhasználó esetében a következőt fogja látni:
Hány nyitott gyanús tevékenység van a felhasználó számára
Hány számítógépre jelentkezett be a felhasználó
Hány erőforráshoz fért hozzá a felhasználó
A felhasználó által a VPN-be bejelentkezett helyek
A számítógépek esetében az alábbiak láthatók:
Hány nyitott gyanús tevékenység van a gépen
Hány felhasználó jelentkezett be a gépre
Hány erőforráshoz fért hozzá a számítógép
Hány helyen érhető el VPN a számítógépen
A számítógép által használt IP-címek listája
A tevékenység idővonala feletti Szűrés gomb használatával tevékenységtípus szerint szűrheti a tevékenységeket. Szűrhet egy adott (zajos) tevékenységtípust is. Ez nagyon hasznos a vizsgálathoz, ha meg szeretné ismerni az entitások hálózatban való használatának alapjait. Egy adott dátumra is léphet, és szűrtként exportálhatja a tevékenységeket az Excelbe. Az exportált fájl egy lapot biztosít a címtárszolgáltatások változásaihoz (a fiók Active Directoryban módosult dolgaihoz), valamint egy külön lapot a tevékenységekhez.
Címtáradatok megtekintése
A Címtáradatok lap az Active Directoryból elérhető statikus információkat tartalmazza, beleértve a felhasználói hozzáférés-vezérlés biztonsági jelzőit is. Az ATA a felhasználó csoporttagságait is megjeleníti, így megállapíthatja, hogy a felhasználó közvetlen vagy rekurzív tagsággal rendelkezik-e. Csoportok esetén az ATA legfeljebb 1000 tagot sorol fel.
A Felhasználói hozzáférés-vezérlés szakaszban az ATA olyan biztonsági beállításokat jelenít meg, amelyekre esetleg szüksége lehet az Ön figyelmére. A felhasználóval kapcsolatos fontos jelzők láthatók, például a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, rendelkezik-e olyan jelszóval, amely soha nem jár le, stb.
Oldalirányú mozgásvonalak megtekintése
Az Oldalirányú mozgási útvonalak lap kiválasztásával megtekintheti a teljes mértékben dinamikus és kattintható térképet, amely vizuálisan ábrázolja a felhasználó oldalirányú mozgási útvonalait, amelyek segítségével beszivároghat a hálózatba.
A térképen láthatja, hogy a támadónak hány ugrásra van szüksége a számítógépek vagy a felhasználók között, hogy feltörjenek egy bizalmas fiókot, és ha a felhasználó maga is rendelkezik bizalmas fiókkal, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva. További információ: Oldalirányú mozgási útvonalak.
Kapcsolódó információk
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: