Megosztás a következőn keresztül:

Entitásprofilok vizsgálata

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

Az entitásprofil egy olyan irányítópultot biztosít, amely a felhasználók, számítógépek, eszközök, valamint a hozzáféréssel rendelkező erőforrások és azok előzményeinek teljes körű vizsgálatára szolgál. A profiloldal kihasználja az új ATA logikai tevékenységfordító előnyeit, amely megvizsgálhatja a folyamatban lévő tevékenységek egy csoportját (akár egy percig összesítve), és egyetlen logikai tevékenységbe csoportosíthatja őket, így jobban megértheti a felhasználók tényleges tevékenységeit.

Egy entitásprofil-lap eléréséhez válassza ki az entitás nevét (például egy felhasználónevet) a gyanús tevékenység ütemtervében.

A bal oldali menüben az entitáson elérhető összes Active Directory-információ megtalálható – e-mail-cím, tartomány, elsőként látott dátum. Ha az entitás bizalmas, akkor meg fogja mondani, hogy miért. A felhasználó például bizalmasként van megjelölve, vagy egy bizalmas csoport tagja? Ha bizalmas felhasználó, a felhasználó neve alatt megjelenik az ikon.

Entitástevékenységek megtekintése

A felhasználó által vagy egy entitáson végrehajtott összes tevékenység megtekintéséhez válassza a Tevékenységek lapot.

felhasználói profillal kapcsolatos tevékenységek.

Alapértelmezés szerint az entitásprofil fő ablaktábláján megjelenik az entitás tevékenységeinek idővonala, amely legfeljebb 6 hónapos előzményekkel rendelkezik, amelyből a felhasználó által elért entitásokat, illetve az entitásokhoz hozzáférő felhasználókat is részletezheti.

Felül megtekintheti az összefoglaló csempéket, amelyek gyors áttekintést nyújtanak arról, hogy mit kell megértenie egy pillantással az entitásról. Ezek a csempék attól függően változnak, hogy milyen típusú entitásról van szó, egy felhasználó esetében a következőt fogja látni:

  • Hány nyitott gyanús tevékenység van a felhasználó számára

  • Hány számítógépre jelentkezett be a felhasználó

  • Hány erőforráshoz fért hozzá a felhasználó

  • A felhasználó által a VPN-be bejelentkezett helyek

    entitás menüje.

A számítógépek esetében az alábbiak láthatók:

  • Hány nyitott gyanús tevékenység van a gépen

  • Hány felhasználó jelentkezett be a gépre

  • Hány erőforráshoz fért hozzá a számítógép

  • Hány helyen érhető el VPN a számítógépen

  • A számítógép által használt IP-címek listája

    entitás menü számítógépe.

A tevékenység idővonala feletti Szűrés gomb használatával tevékenységtípus szerint szűrheti a tevékenységeket. Szűrhet egy adott (zajos) tevékenységtípust is. Ez nagyon hasznos a vizsgálathoz, ha meg szeretné ismerni az entitások hálózatban való használatának alapjait. Egy adott dátumra is léphet, és szűrtként exportálhatja a tevékenységeket az Excelbe. Az exportált fájl egy lapot biztosít a címtárszolgáltatások változásaihoz (a fiók Active Directoryban módosult dolgaihoz), valamint egy külön lapot a tevékenységekhez.

Címtáradatok megtekintése

A Címtáradatok lap az Active Directoryból elérhető statikus információkat tartalmazza, beleértve a felhasználói hozzáférés-vezérlés biztonsági jelzőit is. Az ATA a felhasználó csoporttagságait is megjeleníti, így megállapíthatja, hogy a felhasználó közvetlen vagy rekurzív tagsággal rendelkezik-e. Csoportok esetén az ATA legfeljebb 1000 tagot sorol fel.

felhasználói profil címtáradatai.

A Felhasználói hozzáférés-vezérlés szakaszban az ATA olyan biztonsági beállításokat jelenít meg, amelyekre esetleg szüksége lehet az Ön figyelmére. A felhasználóval kapcsolatos fontos jelzők láthatók, például a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, rendelkezik-e olyan jelszóval, amely soha nem jár le, stb.

Oldalirányú mozgásvonalak megtekintése

Az Oldalirányú mozgási útvonalak lap kiválasztásával megtekintheti a teljes mértékben dinamikus és kattintható térképet, amely vizuálisan ábrázolja a felhasználó oldalirányú mozgási útvonalait, amelyek segítségével beszivároghat a hálózatba.

A térképen láthatja, hogy a támadónak hány ugrásra van szüksége a számítógépek vagy a felhasználók között, hogy feltörjenek egy bizalmas fiókot, és ha a felhasználó maga is rendelkezik bizalmas fiókkal, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva. További információ: Oldalirányú mozgási útvonalak.

a felhasználói profil oldalirányú mozgási útvonalai.

Kapcsolódó információk

Tekintse meg az ATA fórumot!