Felhasználói entitás lap a Microsoft Defender
A felhasználói entitások Microsoft Defender portálon található oldala segít a felhasználói entitások vizsgálatában. Az oldal az adott felhasználói entitással kapcsolatos összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy felhasználó biztonsága sérült vagy gyanús, ellenőrizze és vizsgálja meg a felhasználói entitást.
A felhasználói entitások adatai a következő nézetekben találhatók:
- Identityes page, under Assets
- Értesítések várakozási sora
- Minden egyéni riasztás/incidens
- Eszközök lap
- Minden egyes eszközentitás-oldal
- Tevékenységnapló
- Speciális keresési lekérdezések
- Műveletközpont
Ahol a felhasználói entitások megjelennek ezekben a nézetekben, válassza ki az entitást a Felhasználó lap megtekintéséhez, amely további részleteket jelenít meg a felhasználóról. Az incidensek riasztásai között azonosított felhasználói fiókok részleteit például az Incidensek & riasztások >>>> incidenseszközök felhasználói Microsoft Defender portálon tekintheti meg.
Egy adott felhasználói entitás vizsgálatakor az entitás oldalán a következő fülek jelennek meg:
Áttekintés, beleértve az entitások részleteit, az incidenseket és a riasztásokat vizuális nézetet, a felhasználói fiókok vezérlőjelölőit stb.
Figyelve a Szervezet lapon
Ütemterv lap
A felhasználói oldalon a Microsoft Entra szervezet és a csoportok láthatók, így könnyebben megértheti a felhasználóhoz társított csoportokat és engedélyeket.
Fontos
Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.
Az oldal bal oldalán található Entitás részletei panel információkat biztosít a felhasználóról, például a Microsoft Entra identitás kockázati szintjét, a belső kockázat súlyossági szintjét (előzetes verzió), azokat az eszközöket, amelyekbe a felhasználó be van jelentkezve, a felhasználó első és utolsó megtekintésekor a felhasználó fiókjai, csoportjai, kapcsolattartási adatai, és így tovább. Az engedélyezett integrációs funkcióktól függően további részletek is megjelennek.
Megjegyzés
A vizsgálat prioritási pontszáma 2025. december 3-án elavult. Ennek eredményeképpen a vizsgálat prioritási pontszámának lebontása és a pontozott tevékenységek kártyái is el lettek távolítva a felhasználói felületről.
Megjegyzés
(Előzetes verzió) Microsoft Defender XDR Microsoft Purview belső kockázatkezelés hozzáféréssel rendelkező felhasználók mostantól láthatják a felhasználó belső kockázatának súlyosságát, és betekintést nyerhetnek a felhasználó gyanús tevékenységeibe a felhasználói oldalon. Az Entitás részletei területen válassza ki a belső kockázat súlyosságát a felhasználóra vonatkozó kockázati megállapítások megtekintéséhez.
Ez a kártya tartalmazza a felhasználói entitáshoz társított összes incidenst és riasztást, súlyosság szerint csoportosítva.
Ez a kártya Microsoft Defender for Identity figyelmet igénylő biztonsági beállításokat jelenít meg. Fontos jelzőket láthat a felhasználó fiókbeállításairól, például ha a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, és hogy a felhasználónak van-e olyan jelszava, amely soha nem jár le stb.
További információ: Felhasználói fiókok felügyelete jelzők.
Ez a szakasz bemutatja a felhasználói entitás helyét a szervezeti hierarchiában az Microsoft Defender for Identity által jelentett módon.
Microsoft Defender for Identity lekéri a címkéket az Active Directoryból, hogy egyetlen felületet biztosítson az Active Directory-felhasználók és -entitások figyeléséhez. A címkék információt nyújtanak az Active Directoryból az entitásról, és a következőket tartalmazzák:
Name (Név) | Leírás |
---|---|
Új | Azt jelzi, hogy az entitás kevesebb mint 30 nappal ezelőtt lett létrehozva. |
Deleted | Azt jelzi, hogy az entitás véglegesen törölve lett az Active Directoryból. |
Letiltva | Azt jelzi, hogy az entitás jelenleg le van tiltva az Active Directoryban. A letiltott attribútum egy Active Directory-jelző, amely felhasználói fiókok, számítógépfiókok és egyéb objektumok számára érhető el, jelezve, hogy az objektum jelenleg nincs használatban. Ha egy objektum le van tiltva, nem használható bejelentkezésre vagy műveletek végrehajtására a tartományban. |
Engedélyezve | Azt jelzi, hogy az entitás jelenleg engedélyezve van az Active Directoryban, ami azt jelzi, hogy az entitás jelenleg használatban van, és a tartományba való bejelentkezéshez vagy műveletek végrehajtásához használható. |
Lejárt | Azt jelzi, hogy az entitás lejárt az Active Directoryban. Ha egy felhasználói fiók lejárt, a felhasználó már nem tud bejelentkezni a tartományba, és nem férhet hozzá semmilyen hálózati erőforráshoz. A lejárt fiók lényegében úgy lesz kezelve, mintha le lett volna tiltva, de explicit lejárati dátum van megadva. A felhasználó által hozzáférésre jogosult szolgáltatások és alkalmazások a konfigurálásuk módjától függően is érintettek lehetnek. |
Honeytoken | Azt jelzi, hogy az entitás manuálisan mézesmadzagaként van címkézve. |
Zárolt | Azt jelzi, hogy az entitás túl sokszor adta meg a helytelen jelszót, és most zárolva van. |
Részleges | Azt jelzi, hogy a felhasználó, az eszköz vagy a csoport nincs szinkronban a tartománnyal, és részlegesen feloldható egy globális katalóguson keresztül. Ebben az esetben egyes attribútumok nem érhetők el. |
Megoldatlan | Azt jelzi, hogy az eszköz nem oldható fel érvényes identitásra az Active Directory-erdőben. Nem érhetők el könyvtáradatok. |
Érzékeny | Azt jelzi, hogy az entitás bizalmasnak minősül. |
További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.
Megjegyzés
A szervezeti fa szakasz és a fiókcímkék akkor érhetők el, ha elérhető egy Microsoft Defender for Identity licenc.
Ezen a lapon láthatja a felhasználót érintő összes aktív incidenst és riasztást az elmúlt hat hónapban. A fő incidensek és riasztások üzenetsoraiból származó összes információ itt látható. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.
Testre szabhatja a megjelenített elemek számát és az egyes elemekhez megjelenített oszlopokat. Az alapértelmezett viselkedés az, hogy oldalanként 30 elemet listáz. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.
Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.
Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.
Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.
Eszközök: ez a szakasz az összes olyan eszközt megjeleníti, amelybe a felhasználó entitás bejelentkezett az előző 180 napban, jelezve a leggyakrabban és legkevésbé használt eszközöket.
Helyek: ez a szakasz a felhasználói entitás összes megfigyelt helyét mutatja az elmúlt 30 napban.
Csoportok: ez a szakasz a felhasználói entitás összes megfigyelt helyszíni csoportját mutatja be a Microsoft Defender for Identity által jelentett módon.
Oldalirányú mozgási útvonalak: ez a szakasz a helyszíni környezetből származó, a Defender for Identity által észlelt összes profilalapú oldalirányú mozgási útvonalat mutatja.
Megjegyzés
Csoportok és oldalirányú mozgási útvonalak akkor érhetők el, ha elérhető Microsoft Defender for Identity licenc.
Az Oldalirányú mozgások lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, ahol megtekintheti a felhasználó oldalirányú mozgási útvonalait. A támadók az elérésiút-adatok segítségével beszivároghatnak a hálózatba.
A térkép felsorolja azokat az eszközöket vagy felhasználókat, amelyekből a támadók kihasználhatják a bizalmas fiókok feltörésének előnyeit. Ha a felhasználó bizalmas fiókkal rendelkezik, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva.
Az oldalirányú mozgás útvonaláról szóló jelentés, amely dátum szerint tekinthető meg, mindig elérhető, hogy információt nyújtson a felderített lehetséges oldalirányú mozgási útvonalakról, és idő szerint testre szabható. Válasszon egy másik dátumot a Másik dátum megtekintése paranccsal az entitás korábbi oldalirányú mozgási útvonalainak megtekintéséhez. A gráf csak akkor jelenik meg, ha az elmúlt két napban potenciális oldalirányú mozgási útvonalat találtak egy entitáshoz.
Az idősor megjeleníti a felhasználó identitásából az elmúlt 180 napban megfigyelt felhasználói tevékenységeket és riasztásokat. Egyesíti a felhasználó identitásbejegyzéseit Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és Végponthoz készült Microsoft Defender számítási feladatok között. Az idővonal használatával a felhasználó által végrehajtott vagy adott időkeretekben végrehajtott tevékenységekre összpontosíthat.
Ahhoz, hogy az egyesített SOC-platform felhasználói az előző bekezdéstől eltérő adatforrásokon alapuló riasztásokat tekinthessenek meg Microsoft Sentinel, ezeket a riasztásokat és egyéb információkat az alább ismertetettSentinel események lapon találják meg.
Egyéni időtartomány-választó: Megadhat egy időkeretet, amely az elmúlt 24 órára, az elmúlt 3 napra és így tovább összpontosítja a vizsgálatot. Másik lehetőségként az Egyéni tartomány elemre kattintva is kiválaszthat egy adott időkeretet. A 30 napnál régebbi szűrt adatok hétnapos időközönként jelennek meg.
Például:Idősorszűrők: A vizsgálati élmény javítása érdekében használhatja az idősorszűrőket: Típus (Riasztások és/vagy a felhasználó kapcsolódó tevékenységei), Riasztás súlyossága, Tevékenység típusa, Alkalmazás, Hely, Protokoll. Az egyes szűrők a többitől függenek, és az egyes szűrők (legördülő listák) beállításai csak az adott felhasználó számára releváns adatokat tartalmazzák.
Exportálás gomb: Az ütemtervet CSV-fájlba exportálhatja. Az exportálás az első 5000 rekordra korlátozódik, és a felhasználói felületen megjelenő adatokat tartalmazza (ugyanazokkal a szűrőkkel és oszlopokkal).
Testreszabott oszlopok: Az Oszlopok testreszabása gombra kattintva kiválaszthatja , hogy mely oszlopokat tegye közzé az ütemtervben. Például:
Az ütemtervben a következő adattípusok érhetők el:
- Egy felhasználó érintett riasztásai
- Active Directory- és Microsoft Entra tevékenységek
- Felhőalkalmazások eseményei
- Eszköz bejelentkezési eseményei
- Címtárszolgáltatások változásai
Az idővonalon a következő információk jelennek meg:
- A tevékenység dátuma és időpontja
- Tevékenység/riasztás leírása
- A tevékenységet végrehajtó alkalmazás
- Forráseszköz/IP-cím
- MITRE ATT&CK technikák
- Riasztás súlyossága és állapota
- Az ügyfél IP-címének földrajzi helyének országa/régiója
- A kommunikáció során használt protokoll
- Céleszköz (nem kötelező, oszlopok testreszabásával megtekinthető)
- A tevékenység bekövetkezésének száma (nem kötelező, oszlopok testreszabásával megtekinthető)
Például:
Megjegyzés
Microsoft Defender XDR a dátum- és időadatokat a helyi időzóna vagy az UTC használatával jelenítheti meg. A kiválasztott időzóna az identitás idővonalán látható összes dátum- és időinformációra érvényes lesz.
A funkciók időzónájának beállításához lépjen a Beállítások>Biztonsági központ>időzónája területre.
Ha a szervezete Microsoft Sentinel a Defender portálon, ez a további lap a felhasználói entitások oldalán található. Ez a lap importálja a Fiók entitáslapot Microsoft Sentinel.
Ez az idősor a felhasználói entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a külső, nem Microsoft-adatforrásokból származó Microsoft Sentinel által létrehozott riasztások.
Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait, a külső adatforrásokból származó felhasználói tevékenységeseményeket, valamint a Microsoft Sentinel anomáliái által észlelt szokatlan viselkedéseket is megjeleníti.
Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik a felhasználói entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.
Az alábbiakban néhány megállapítás látható:
- A biztonsági csoportok tagságán alapuló felhasználói társviszonyok.
- Műveletek fiók szerint.
- Fiókműveletek.
- A felhasználó által törölt eseménynaplók.
- Csoportbeadások.
- Rendellenesen magas irodai műveletek száma.
- Erőforrás-hozzáférés.
- Rendellenesen magas Azure-bejelentkezési eredmények száma.
- UEBA-elemzések.
- Felhasználói hozzáférési engedélyek az Azure-előfizetésekhez.
- A felhasználóhoz kapcsolódó fenyegetésjelzők.
- Figyelőlista-elemzések (előzetes verzió).
- Windows bejelentkezési tevékenység.
Az elemzések a következő adatforrásokon alapulnak:
- Syslog (Linux)
- SecurityEvent (Windows)
- Naplók (Microsoft Entra ID)
- Bejelentkezési naplók (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Szívverés (Azure Monitor-ügynök)
- CommonSecurityLog (Microsoft Sentinel)
Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.
Az Áttekintés lapon az alábbi további műveleteket hajthatja végre:
- A felhasználó engedélyezése, letiltása vagy felfüggesztése a Microsoft Entra ID
- A felhasználót arra utasíthatja, hogy bizonyos műveleteket hajtson végre, például kérje meg a felhasználót, hogy jelentkezzen be újra, vagy kényszerítse az új jelszó kérését
- Megtekintheti Microsoft Entra fiókbeállításokat, a kapcsolódó szabályozást, a felhasználó tulajdonában lévő fájlokat vagy a felhasználó megosztott fájljait
További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.
A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.
- Incidensek áttekintése
- Incidensek rangsorolása
- Incidensek kezelése
- Microsoft Defender XDR áttekintése
- A Microsoft Defender XDR bekapcsolása
- Eszközentitás lap a Microsoft Defender
- AZ IP-cím entitáslapja a Microsoft Defender
- Microsoft Defender XDR integráció a Microsoft Sentinel
- A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.