Olvasás angol nyelven

Megosztás a következőn keresztül:


Felhasználói entitás lap a Microsoft Defender

A felhasználói entitások Microsoft Defender portálon található oldala segít a felhasználói entitások vizsgálatában. Az oldal az adott felhasználói entitással kapcsolatos összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy felhasználó biztonsága sérült vagy gyanús, ellenőrizze és vizsgálja meg a felhasználói entitást.

A felhasználói entitások adatai a következő nézetekben találhatók:

  • Identityes page, under Assets
  • Értesítések várakozási sora
  • Minden egyéni riasztás/incidens
  • Eszközök lap
  • Minden egyes eszközentitás-oldal
  • Tevékenységnapló
  • Speciális keresési lekérdezések
  • Műveletközpont

Ahol a felhasználói entitások megjelennek ezekben a nézetekben, válassza ki az entitást a Felhasználó lap megtekintéséhez, amely további részleteket jelenít meg a felhasználóról. Az incidensek riasztásai között azonosított felhasználói fiókok részleteit például az Incidensek & riasztások >>>> incidenseszközök felhasználói Microsoft Defender portálon tekintheti meg.

Képernyőkép egy incidens Felhasználók lapjáról a Microsoft Defender portálon.

Egy adott felhasználói entitás vizsgálatakor az entitás oldalán a következő fülek jelennek meg:

A felhasználói oldalon a Microsoft Entra szervezet és a csoportok láthatók, így könnyebben megértheti a felhasználóhoz társított csoportokat és engedélyeket.

Fontos

Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.

Áttekintés

Entitás részletei

Az oldal bal oldalán található Entitás részletei panel információkat biztosít a felhasználóról, például a Microsoft Entra identitás kockázati szintjét, a belső kockázat súlyossági szintjét (előzetes verzió), azokat az eszközöket, amelyekbe a felhasználó be van jelentkezve, a felhasználó első és utolsó megtekintésekor a felhasználó fiókjai, csoportjai, kapcsolattartási adatai, és így tovább. Az engedélyezett integrációs funkcióktól függően további részletek is megjelennek.

Megjegyzés

A vizsgálat prioritási pontszáma 2025. december 3-án elavult. Ennek eredményeképpen a vizsgálat prioritási pontszámának lebontása és a pontozott tevékenységek kártyái is el lettek távolítva a felhasználói felületről.

Megjegyzés

(Előzetes verzió) Microsoft Defender XDR Microsoft Purview belső kockázatkezelés hozzáféréssel rendelkező felhasználók mostantól láthatják a felhasználó belső kockázatának súlyosságát, és betekintést nyerhetnek a felhasználó gyanús tevékenységeibe a felhasználói oldalon. Az Entitás részletei területen válassza ki a belső kockázat súlyosságát a felhasználóra vonatkozó kockázati megállapítások megtekintéséhez.

Incidensek és riasztások vizuális nézete

Ez a kártya tartalmazza a felhasználói entitáshoz társított összes incidenst és riasztást, súlyosság szerint csoportosítva.

Active Directory-fiókvezérlők

Ez a kártya Microsoft Defender for Identity figyelmet igénylő biztonsági beállításokat jelenít meg. Fontos jelzőket láthat a felhasználó fiókbeállításairól, például ha a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, és hogy a felhasználónak van-e olyan jelszava, amely soha nem jár le stb.

További információ: Felhasználói fiókok felügyelete jelzők.

Szervezeti fa

Ez a szakasz bemutatja a felhasználói entitás helyét a szervezeti hierarchiában az Microsoft Defender for Identity által jelentett módon.

Fiókcímkék

Microsoft Defender for Identity lekéri a címkéket az Active Directoryból, hogy egyetlen felületet biztosítson az Active Directory-felhasználók és -entitások figyeléséhez. A címkék információt nyújtanak az Active Directoryból az entitásról, és a következőket tartalmazzák:

Name (Név) Leírás
Új Azt jelzi, hogy az entitás kevesebb mint 30 nappal ezelőtt lett létrehozva.
Deleted Azt jelzi, hogy az entitás véglegesen törölve lett az Active Directoryból.
Letiltva Azt jelzi, hogy az entitás jelenleg le van tiltva az Active Directoryban. A letiltott attribútum egy Active Directory-jelző, amely felhasználói fiókok, számítógépfiókok és egyéb objektumok számára érhető el, jelezve, hogy az objektum jelenleg nincs használatban.

Ha egy objektum le van tiltva, nem használható bejelentkezésre vagy műveletek végrehajtására a tartományban.
Engedélyezve Azt jelzi, hogy az entitás jelenleg engedélyezve van az Active Directoryban, ami azt jelzi, hogy az entitás jelenleg használatban van, és a tartományba való bejelentkezéshez vagy műveletek végrehajtásához használható.
Lejárt Azt jelzi, hogy az entitás lejárt az Active Directoryban. Ha egy felhasználói fiók lejárt, a felhasználó már nem tud bejelentkezni a tartományba, és nem férhet hozzá semmilyen hálózati erőforráshoz. A lejárt fiók lényegében úgy lesz kezelve, mintha le lett volna tiltva, de explicit lejárati dátum van megadva.

A felhasználó által hozzáférésre jogosult szolgáltatások és alkalmazások a konfigurálásuk módjától függően is érintettek lehetnek.
Honeytoken Azt jelzi, hogy az entitás manuálisan mézesmadzagaként van címkézve.
Zárolt Azt jelzi, hogy az entitás túl sokszor adta meg a helytelen jelszót, és most zárolva van.
Részleges Azt jelzi, hogy a felhasználó, az eszköz vagy a csoport nincs szinkronban a tartománnyal, és részlegesen feloldható egy globális katalóguson keresztül. Ebben az esetben egyes attribútumok nem érhetők el.
Megoldatlan Azt jelzi, hogy az eszköz nem oldható fel érvényes identitásra az Active Directory-erdőben. Nem érhetők el könyvtáradatok.
Érzékeny Azt jelzi, hogy az entitás bizalmasnak minősül.

További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.

Megjegyzés

A szervezeti fa szakasz és a fiókcímkék akkor érhetők el, ha elérhető egy Microsoft Defender for Identity licenc.

Képernyőkép egy adott felhasználó oldaláról a Microsoft Defender portálon.

Incidensek és riasztások

Ezen a lapon láthatja a felhasználót érintő összes aktív incidenst és riasztást az elmúlt hat hónapban. A fő incidensek és riasztások üzenetsoraiból származó összes információ itt látható. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.

Testre szabhatja a megjelenített elemek számát és az egyes elemekhez megjelenített oszlopokat. Az alapértelmezett viselkedés az, hogy oldalanként 30 elemet listáz. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.

Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.

Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.

Képernyőkép a felhasználói fiók kapcsolódó riasztásairól a Microsoft Defender portál Riasztások lapján

Szervezeten belül megfigyelve

  • Eszközök: ez a szakasz az összes olyan eszközt megjeleníti, amelybe a felhasználó entitás bejelentkezett az előző 180 napban, jelezve a leggyakrabban és legkevésbé használt eszközöket.

  • Helyek: ez a szakasz a felhasználói entitás összes megfigyelt helyét mutatja az elmúlt 30 napban.

  • Csoportok: ez a szakasz a felhasználói entitás összes megfigyelt helyszíni csoportját mutatja be a Microsoft Defender for Identity által jelentett módon.

  • Oldalirányú mozgási útvonalak: ez a szakasz a helyszíni környezetből származó, a Defender for Identity által észlelt összes profilalapú oldalirányú mozgási útvonalat mutatja.

Megjegyzés

Csoportok és oldalirányú mozgási útvonalak akkor érhetők el, ha elérhető Microsoft Defender for Identity licenc.

Az Oldalirányú mozgások lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, ahol megtekintheti a felhasználó oldalirányú mozgási útvonalait. A támadók az elérésiút-adatok segítségével beszivároghatnak a hálózatba.

A térkép felsorolja azokat az eszközöket vagy felhasználókat, amelyekből a támadók kihasználhatják a bizalmas fiókok feltörésének előnyeit. Ha a felhasználó bizalmas fiókkal rendelkezik, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva.

Az oldalirányú mozgás útvonaláról szóló jelentés, amely dátum szerint tekinthető meg, mindig elérhető, hogy információt nyújtson a felderített lehetséges oldalirányú mozgási útvonalakról, és idő szerint testre szabható. Válasszon egy másik dátumot a Másik dátum megtekintése paranccsal az entitás korábbi oldalirányú mozgási útvonalainak megtekintéséhez. A gráf csak akkor jelenik meg, ha az elmúlt két napban potenciális oldalirányú mozgási útvonalat találtak egy entitáshoz.

Képernyőkép a megfigyelt szervezeti nézetről, amelyen egy felhasználó eszköz-, csoport-, hely- és oldalirányú mozgási útvonalai láthatók a Microsoft Defender portálon

Idővonal

Az idősor megjeleníti a felhasználó identitásából az elmúlt 180 napban megfigyelt felhasználói tevékenységeket és riasztásokat. Egyesíti a felhasználó identitásbejegyzéseit Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és Végponthoz készült Microsoft Defender számítási feladatok között. Az idővonal használatával a felhasználó által végrehajtott vagy adott időkeretekben végrehajtott tevékenységekre összpontosíthat.

Ahhoz, hogy az egyesített SOC-platform felhasználói az előző bekezdéstől eltérő adatforrásokon alapuló riasztásokat tekinthessenek meg Microsoft Sentinel, ezeket a riasztásokat és egyéb információkat az alább ismertetettSentinel események lapon találják meg.

  • Egyéni időtartomány-választó: Megadhat egy időkeretet, amely az elmúlt 24 órára, az elmúlt 3 napra és így tovább összpontosítja a vizsgálatot. Másik lehetőségként az Egyéni tartomány elemre kattintva is kiválaszthat egy adott időkeretet. A 30 napnál régebbi szűrt adatok hétnapos időközönként jelennek meg.
    Például:

    Képernyőkép az időkeret kiválasztásáról.

  • Idősorszűrők: A vizsgálati élmény javítása érdekében használhatja az idősorszűrőket: Típus (Riasztások és/vagy a felhasználó kapcsolódó tevékenységei), Riasztás súlyossága, Tevékenység típusa, Alkalmazás, Hely, Protokoll. Az egyes szűrők a többitől függenek, és az egyes szűrők (legördülő listák) beállításai csak az adott felhasználó számára releváns adatokat tartalmazzák.

  • Exportálás gomb: Az ütemtervet CSV-fájlba exportálhatja. Az exportálás az első 5000 rekordra korlátozódik, és a felhasználói felületen megjelenő adatokat tartalmazza (ugyanazokkal a szűrőkkel és oszlopokkal).

  • Testreszabott oszlopok: Az Oszlopok testreszabása gombra kattintva kiválaszthatja , hogy mely oszlopokat tegye közzé az ütemtervben. Például:

    A felhasználó képét megjelenítő képernyőkép.

Milyen adattípusok érhetők el?

Az ütemtervben a következő adattípusok érhetők el:

  • Egy felhasználó érintett riasztásai
  • Active Directory- és Microsoft Entra tevékenységek
  • Felhőalkalmazások eseményei
  • Eszköz bejelentkezési eseményei
  • Címtárszolgáltatások változásai

Milyen információk jelennek meg?

Az idővonalon a következő információk jelennek meg:

  • A tevékenység dátuma és időpontja
  • Tevékenység/riasztás leírása
  • A tevékenységet végrehajtó alkalmazás
  • Forráseszköz/IP-cím
  • MITRE ATT&CK technikák
  • Riasztás súlyossága és állapota
  • Az ügyfél IP-címének földrajzi helyének országa/régiója
  • A kommunikáció során használt protokoll
  • Céleszköz (nem kötelező, oszlopok testreszabásával megtekinthető)
  • A tevékenység bekövetkezésének száma (nem kötelező, oszlopok testreszabásával megtekinthető)

Például:

Képernyőkép az Ütemterv lapról.

Megjegyzés

Microsoft Defender XDR a dátum- és időadatokat a helyi időzóna vagy az UTC használatával jelenítheti meg. A kiválasztott időzóna az identitás idővonalán látható összes dátum- és időinformációra érvényes lesz.

A funkciók időzónájának beállításához lépjen a Beállítások>Biztonsági központ>időzónája területre.

események Sentinel

Ha a szervezete Microsoft Sentinel a Defender portálon, ez a további lap a felhasználói entitások oldalán található. Ez a lap importálja a Fiók entitáslapot Microsoft Sentinel.

Sentinel idővonal

Ez az idősor a felhasználói entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a külső, nem Microsoft-adatforrásokból származó Microsoft Sentinel által létrehozott riasztások.

Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait, a külső adatforrásokból származó felhasználói tevékenységeseményeket, valamint a Microsoft Sentinel anomáliái által észlelt szokatlan viselkedéseket is megjeleníti.

Betekintést

Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik a felhasználói entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.

Az alábbiakban néhány megállapítás látható:

  • A biztonsági csoportok tagságán alapuló felhasználói társviszonyok.
  • Műveletek fiók szerint.
  • Fiókműveletek.
  • A felhasználó által törölt eseménynaplók.
  • Csoportbeadások.
  • Rendellenesen magas irodai műveletek száma.
  • Erőforrás-hozzáférés.
  • Rendellenesen magas Azure-bejelentkezési eredmények száma.
  • UEBA-elemzések.
  • Felhasználói hozzáférési engedélyek az Azure-előfizetésekhez.
  • A felhasználóhoz kapcsolódó fenyegetésjelzők.
  • Figyelőlista-elemzések (előzetes verzió).
  • Windows bejelentkezési tevékenység.

Az elemzések a következő adatforrásokon alapulnak:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • Naplók (Microsoft Entra ID)
  • Bejelentkezési naplók (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Szívverés (Azure Monitor-ügynök)
  • CommonSecurityLog (Microsoft Sentinel)

Képernyőkép Sentinel események lapjáról a felhasználói entitások lapján.

Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.

Képernyőkép a Speciális veszélyforrás-keresés képernyőről elemzési lekérdezéssel.

Szervizelési műveletek

Az Áttekintés lapon az alábbi további műveleteket hajthatja végre:

  • A felhasználó engedélyezése, letiltása vagy felfüggesztése a Microsoft Entra ID
  • A felhasználót arra utasíthatja, hogy bizonyos műveleteket hajtson végre, például kérje meg a felhasználót, hogy jelentkezzen be újra, vagy kényszerítse az új jelszó kérését
  • Megtekintheti Microsoft Entra fiókbeállításokat, a kapcsolódó szabályozást, a felhasználó tulajdonában lévő fájlokat vagy a felhasználó megosztott fájljait

Képernyőkép egy felhasználó szervizelési műveleteiről a Microsoft Defender portálon.

További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

Tipp.

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.