Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Vizsgálja meg a környezetet érintő riasztásokat, ismerje meg, mit jelentenek, és hogyan oldhatja meg őket.
A vizsgálat megkezdéséhez válasszon ki egy riasztást az Microsoft Defender portál Riasztások lapján. A riasztások oldalon megjelenik a Defender for Identity által létrehozott összes biztonsági riasztás listája, beleértve azok súlyosságát, állapotát és az érintett objektumokat. Ha kiválaszt egy riasztást, megnyílik a riasztási oldal, amely tartalmazza a riasztás címét, az érintett eszközöket, a részletek oldalpanelét, és bizonyos esetekben egy riasztási történetet.
Vizsgálat a riasztási történet használatával
A riasztási történet időrendi áttekintést nyújt a riasztással kapcsolatos eseményekről. Bemutatja, hogy mi történt, mikor történt, és mely entitások voltak érintettek az eseményindító esemény előtt és után. Segít az események sorrendjének követésében és a riasztás létrehozásának megértésében.
A riasztási gráf vizuálisan leképezi a riasztásban érintett felhasználókat, eszközöket és tartományvezérlőket. Bemutatja, hogyan működtek együtt ezek az entitások, így egy pillantással könnyebben azonosíthatók a kapcsolatok és a minták.
A Fontos információk szakasz további technikai részleteket tartalmaz, amelyek támogatják a vizsgálatot. Segít megérteni, hogy milyen műveleteket hajtottak végre, ki kezdeményezte őket, és honnan származik a tevékenység. Ez a szakasz nyers bizonyítékokat tartalmaz, amelyek segíthetnek a riasztás érvényesítésében és a következő lépések végrehajtásában.
A riasztási történet, a riasztási grafikon és a fontos információk együttesen teljes képet adnak a riasztásról. Segítenek megérteni, hogy mi váltotta ki a riasztást, mely entitásokat érintették, és hogy a tevékenység további vizsgálatot vagy műveletet igényel-e.
Megjegyzés:
A riasztási történet csak a klasszikus Defender for Identity-struktúrát használó riasztások esetében látható. A riasztások Defender portálon való megjelenítésének különbségeiről további információt a Riasztások megtekintése és kezelése című témakörben talál.
Művelet végrehajtása a részletek panelről
Miután kiválasztott egy érdeklődésre számot tartó riasztást, a részletek ablaktáblája megváltozik, és megjeleníti a kiválasztott riasztással kapcsolatos információkat, az előzményadatokat, ha az elérhető, és ajánlott műveleteket kínál a riasztással kapcsolatos műveletek elvégzéséhez.
Ha végzett a vizsgálattal, térjen vissza a riasztáshoz, és jelölje meg a riasztás állapotát Feloldva értékre, és sorolja be False (Hamis) vagy True (Igaz) riasztásként. A riasztások besorolása segít finomhangolni ezt a képességet, hogy igazabb és kevesebb hamis riasztást biztosítson.
Speciális biztonsági riasztások vizsgálata
Ha további részleteket szeretne megtudni egy biztonsági riasztásról, válassza az Exportálás a riasztás részletei lapon lehetőséget a részletes Excel-riasztási jelentés letöltéséhez.
Megjegyzés:
Az Exportálás Excelbe lehetőség csak a klasszikus Defender for Identity-struktúrát használó riasztásokhoz érhető el. A riasztások Defender portálon való megjelenítésének különbségeiről további információt a Riasztások megtekintése és kezelése című témakörben talál.
A letöltött fájl az első lapon összegző információkat tartalmaz a riasztásról, beleértve a következőket:
- Title
- Leírás
- Kezdés időpontja (UTC)
- Befejezés időpontja (UTC)
- Súlyosság – alacsony/közepes/magas
- Állapot – Nyitott/lezárt
- Állapotfrissítés időpontja (UTC)
- Megtekintés böngészőben
Az összes érintett entitás, beleértve a fiókokat, a számítógépeket és az erőforrásokat is, szerepkörük szerint van elkülönítve. A riasztástól függően meg vannak adva a forrás, a cél vagy a megtámadott entitás részletei.
A fülek többsége entitásonként a következő adatokat tartalmazza:
Name (Név)
Részletek
Típus
SamName
Forrásszámítógép
Forrásfelhasználó (ha elérhető)
Tartományvezérlők
Elért erőforrás: Idő, Számítógép, Név, Részletek, Típus, Szolgáltatás.
Kapcsolódó entitások: Azonosító, Típus, Név, Egyedi entitás Json, Egyedi entitásprofil Json
A Defender for Identity-érzékelők által a riasztáshoz (hálózati vagy eseménytevékenységekhez) kapcsolódó összes nyers tevékenység, beleértve a következőket:
- Hálózati tevékenységek
- Eseménytevékenységek
Egyes riasztások további lapokkal rendelkeznek, például a következőkkel kapcsolatban:
- Fiókokat támadtak meg, amikor a feltételezett támadás találgatásos támadást alkalmazott.
- A tartománynévrendszer (DNS) kiszolgálói, amikor a feltételezett támadás hálózatleképezési felderítést (DNS) érintett.
Például:
Hogyan használhatom a Defender for Identity adatait egy vizsgálatban?
A vizsgálatok igény szerint részletesek lehetnek. Íme néhány ötlet a Defender for Identity által biztosított adatok felhasználásának vizsgálatára.
Kapcsolódó entitások
Az egyes riasztásokban az utolsó lapon találhatók a Kapcsolódó entitások. A kapcsolódó entitások a gyanús tevékenységekben részt vevő összes entitás, a riasztásban játszott "szerepkör" elkülönítése nélkül. Mindegyik entitás két JSON-fájllal rendelkezik, az Egyedi entitás JSON-nal és az Egyedi entitásprofil JSON-nal. Ezzel a két JSON-fájllal többet tudhat meg az entitásról, és segíthet a riasztás kivizsgálásában.
Egyedi entitás JSON-fájlja
Tartalmazza az Active Directoryból a fiókról az Identitáshoz készült Defender által tanult adatokat. Ez magában foglalja az összes attribútumot, például a Megkülönböztető név, a SID, a LockoutTime és a PasswordExpiryTime attribútumot. A felhasználói fiókokhoz olyan adatok tartoznak, mint a Department, a Mail és a PhoneNumber. A számítógépfiókok olyan adatokat tartalmaznak, mint az OperatingSystem, az IsDomainController és a DnsName.
Egyedi entitásprofil JSON-fájlja
Az entitáson profillal ellátott összes Adat Defender for Identityt tartalmazza. A Defender for Identity a rögzített hálózati és eseménytevékenységeket használja a környezet felhasználóinak és számítógépeinek megismeréséhez. A Defender for Identity profiljai entitásonként releváns információkat tartalmaznak. Ezek az információk hozzájárulnak a Defender for Identity fenyegetésazonosítási képességeihez.
A Defender for Identity biztonsági riasztásainak használatáról további információt a Biztonsági riasztások használata című témakörben talál.