Felhasználói entitás lap a Microsoft Defenderben
A Felhasználói entitások lap a Microsoft Defender portálon segít a felhasználói entitások vizsgálatában. Az oldal az adott felhasználói entitással kapcsolatos összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy felhasználó biztonsága sérült vagy gyanús, ellenőrizze és vizsgálja meg a felhasználói entitást.
A felhasználói entitások adatai a következő nézetekben találhatók:
- Identityes page, under Assets
- Értesítések várakozási sora
- Minden egyéni riasztás/incidens
- Eszközök lap
- Minden egyes eszközentitás-oldal
- Tevékenységnapló
- Speciális keresési lekérdezések
- Műveletközpont
Ahol a felhasználói entitások megjelennek ezekben a nézetekben, válassza ki az entitást a Felhasználó lap megtekintéséhez, amely további részleteket jelenít meg a felhasználóról. Az incidensek riasztásaiban azonosított felhasználói fiókok részleteit például a Microsoft Defender portál Incidensek & riasztások > Incidensek >incidenseszközök>> felhasználói szakaszában tekintheti meg.
Egy adott felhasználói entitás vizsgálatakor az entitás oldalán a következő fülek jelennek meg:
- Áttekintés, beleértve az entitás részleteit, az incidenseket és a riasztásokat vizuális nézet, a vizsgálat prioritása és a pontozott idővonal
- Incidensek és riasztások lap
- Figyelve a Szervezet lapon
- Ütemterv lap
- Sentinel-események lap
A felhasználói oldalon a Microsoft Entra-szervezet és a csoportok láthatók, amelyek segítenek megérteni a felhasználóhoz társított csoportokat és engedélyeket.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Áttekintés
Entitás részletei
Az oldal bal oldalán található Entitás részletei panel információt nyújt a felhasználóról, például a Microsoft Entra identitáskockázati szintjét, a felhasználó által bejelentkezett eszközök számát, a felhasználó első és utolsó megtekintésekor a felhasználói fiókokat, a felhasználóhoz tartozó csoportokat, a kapcsolattartási adatokat és egyebeket. Az engedélyezett integrációs funkcióktól függően további részletek is megjelennek.
Incidensek és riasztások vizuális nézete
Ez a kártya tartalmazza a felhasználói entitáshoz társított összes incidenst és riasztást, súlyosság szerint csoportosítva.
Vizsgálat prioritása
Ez a kártya tartalmazza a felhasználói entitás számított vizsgálati prioritási pontszámának lebontását, valamint a pontszám kéthetes trendjét, beleértve a pontszám bérlőhöz viszonyított percentilisét.
Active Directory-fiókvezérlők
Ez a kártya felfedi a Microsoft Defender for Identity biztonsági beállításait, amelyek figyelmet igényelhetnek. Fontos jelzőket láthat a felhasználó fiókbeállításairól, például ha a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, és hogy a felhasználónak van-e olyan jelszava, amely soha nem jár le stb.
További információ: Felhasználói fiókok felügyelete jelzők.
Pontozott tevékenységek
Ez a kártya tartalmazza az entitás vizsgálati prioritási pontszámához hozzájáruló összes tevékenységet és riasztást az elmúlt hét napban.
Szervezeti fa
Ez a szakasz bemutatja a felhasználói entitás helyét a szervezeti hierarchiában a Microsoft Defender for Identity jelentése szerint.
Fiókcímkék
A Microsoft Defender for Identity lekéri a címkéket az Active Directoryból, hogy egyetlen felületet biztosítson az Active Directory-felhasználók és -entitások figyeléséhez. A címkék információt nyújtanak az Active Directoryból az entitásról, és a következőket tartalmazzák:
Name (Név) | Leírás |
---|---|
Új | Azt jelzi, hogy az entitás kevesebb mint 30 nappal ezelőtt lett létrehozva. |
Deleted | Azt jelzi, hogy az entitás véglegesen törölve lett az Active Directoryból. |
Letiltva | Azt jelzi, hogy az entitás jelenleg le van tiltva az Active Directoryban. A letiltott attribútum egy Active Directory-jelző, amely felhasználói fiókok, számítógépfiókok és egyéb objektumok számára érhető el, jelezve, hogy az objektum jelenleg nincs használatban. Ha egy objektum le van tiltva, nem használható bejelentkezésre vagy műveletek végrehajtására a tartományban. |
Engedélyezve | Azt jelzi, hogy az entitás jelenleg engedélyezve van az Active Directoryban, ami azt jelzi, hogy az entitás jelenleg használatban van, és a tartományba való bejelentkezéshez vagy műveletek végrehajtásához használható. |
Lejárt | Azt jelzi, hogy az entitás lejárt az Active Directoryban. Ha egy felhasználói fiók lejárt, a felhasználó már nem tud bejelentkezni a tartományba, és nem férhet hozzá semmilyen hálózati erőforráshoz. A lejárt fiók lényegében úgy lesz kezelve, mintha le lett volna tiltva, de explicit lejárati dátum van megadva. A felhasználó által hozzáférésre jogosult szolgáltatások és alkalmazások a konfigurálásuk módjától függően is érintettek lehetnek. |
Honeytoken | Azt jelzi, hogy az entitás manuálisan mézesmadzagaként van címkézve. |
Zárolt | Azt jelzi, hogy az entitás túl sokszor adta meg a helytelen jelszót, és most zárolva van. |
Részleges | Azt jelzi, hogy a felhasználó, az eszköz vagy a csoport nincs szinkronban a tartománnyal, és részlegesen feloldható egy globális katalóguson keresztül. Ebben az esetben egyes attribútumok nem érhetők el. |
Megoldatlan | Azt jelzi, hogy az eszköz nem oldható fel érvényes identitásra az Active Directory-erdőben. Nem érhetők el könyvtáradatok. |
Érzékeny | Azt jelzi, hogy az entitás bizalmasnak minősül. |
További információ: Defender for Identity entitáscímkék a Microsoft Defender XDR-ben.
Megjegyzés:
A szervezeti fa szakasz és a fiókcímkék akkor érhetők el, ha elérhető egy Microsoft Defender for Identity-licenc.
Incidensek és riasztások
Ezen a lapon láthatja a felhasználót érintő összes aktív incidenst és riasztást az elmúlt hat hónapban. A fő incidensek és riasztások üzenetsoraiból származó összes információ itt látható. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.
Testre szabhatja a megjelenített elemek számát és az egyes elemekhez megjelenített oszlopokat. Az alapértelmezett viselkedés az, hogy oldalanként 30 elemet listáz. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.
Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.
Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.
Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.
Szervezeten belül megfigyelve
Eszközök: ez a szakasz az összes olyan eszközt megjeleníti, amelybe a felhasználó entitás bejelentkezett az előző 180 napban, jelezve a leggyakrabban és legkevésbé használt eszközöket.
Helyek: ez a szakasz a felhasználói entitás összes megfigyelt helyét mutatja az elmúlt 30 napban.
Csoportok: ez a szakasz a felhasználói entitás összes megfigyelt helyszíni csoportját mutatja be a Microsoft Defender for Identity jelentése szerint.
Oldalirányú mozgási útvonalak: ez a szakasz a helyszíni környezetből származó, a Defender for Identity által észlelt összes profilalapú oldalirányú mozgási útvonalat mutatja.
Megjegyzés:
A csoportok és az oldalirányú mozgási útvonalak akkor érhetők el, ha elérhető a Microsoft Defender for Identity licenc.
Az Oldalirányú mozgások lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, ahol megtekintheti a felhasználó oldalirányú mozgási útvonalait. A támadók az elérésiút-adatok segítségével beszivároghatnak a hálózatba.
A térkép felsorolja azokat az eszközöket vagy felhasználókat, amelyekből a támadók kihasználhatják a bizalmas fiókok feltörésének előnyeit. Ha a felhasználó bizalmas fiókkal rendelkezik, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva.
Az oldalirányú mozgás útvonaláról szóló jelentés, amely dátum szerint tekinthető meg, mindig elérhető, hogy információt nyújtson a felderített lehetséges oldalirányú mozgási útvonalakról, és idő szerint testre szabható. Válasszon egy másik dátumot a Másik dátum megtekintése paranccsal az entitás korábbi oldalirányú mozgási útvonalainak megtekintéséhez. A gráf csak akkor jelenik meg, ha az elmúlt két napban potenciális oldalirányú mozgási útvonalat találtak egy entitáshoz.
Idővonal
Az idősor megjeleníti a felhasználó identitásából az elmúlt 30 napban megfigyelt felhasználói tevékenységeket és riasztásokat. Egyesíti a felhasználó identitásbejegyzéseit a Microsoft Defender for Identity, a Microsoft Defender for Cloud Apps és a Végponthoz készült Microsoft Defender számítási feladatok között. Az idővonal használatával a felhasználó által végrehajtott vagy adott időkeretekben végrehajtott tevékenységekre összpontosíthat.
Ahhoz, hogy az egyesített SOC-platform felhasználói az előző bekezdésben szereplő adatforrásokon kívül más adatforrások alapján is láthassák a Microsoft Sentinel riasztásait, ezeket a riasztásokat és egyéb információkat az alább ismertetettSentinel-események lapon találják meg.
Egyéni időtartomány-választó: Megadhat egy időkeretet, amely az elmúlt 24 órára, az elmúlt 3 napra és így tovább összpontosítja a vizsgálatot. Másik lehetőségként az Egyéni tartomány elemre kattintva is kiválaszthat egy adott időkeretet. Például:
Idősorszűrők: A vizsgálati élmény javítása érdekében használhatja az idősorszűrőket: Típus (Riasztások és/vagy a felhasználó kapcsolódó tevékenységei), Riasztás súlyossága, Tevékenység típusa, Alkalmazás, Hely, Protokoll. Az egyes szűrők a többitől függenek, és az egyes szűrők (legördülő listák) beállításai csak az adott felhasználó számára releváns adatokat tartalmazzák.
Exportálás gomb: Az ütemtervet CSV-fájlba exportálhatja. Az exportálás az első 5000 rekordra korlátozódik, és a felhasználói felületen megjelenő adatokat tartalmazza (ugyanazokkal a szűrőkkel és oszlopokkal).
Testreszabott oszlopok: Az Oszlopok testreszabása gombra kattintva kiválaszthatja , hogy mely oszlopokat tegye közzé az ütemtervben. Például:
Milyen adattípusok érhetők el?
Az ütemtervben a következő adattípusok érhetők el:
- Egy felhasználó érintett riasztásai
- Active Directory- és Microsoft Entra-tevékenységek
- Felhőalkalmazások eseményei
- Eszköz bejelentkezési eseményei
- Címtárszolgáltatások változásai
Milyen információk jelennek meg?
Az idővonalon a következő információk jelennek meg:
- A tevékenység dátuma és időpontja
- Tevékenység/riasztás leírása
- A tevékenységet végrehajtó alkalmazás
- Forráseszköz/IP-cím
- MITRE ATT&CK technikák
- Riasztás súlyossága és állapota
- Az ügyfél IP-címének földrajzi helyének országa/régiója
- A kommunikáció során használt protokoll
- Céleszköz (nem kötelező, oszlopok testreszabásával megtekinthető)
- A tevékenység bekövetkezésének száma (nem kötelező, oszlopok testreszabásával megtekinthető)
Például:
Megjegyzés:
A Microsoft Defender XDR a helyi időzóna vagy az UTC használatával jelenítheti meg a dátum- és időadatokat. A kiválasztott időzóna az identitás idővonalán látható összes dátum- és időinformációra érvényes lesz.
A funkciók időzónájának beállításához lépjen a Beállítások>Biztonsági központ>időzónája területre.
Sentinel-események
Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, ez a további lap a felhasználói entitások oldalán található. Ez a lap importálja a Fiók entitáslapot a Microsoft Sentinelből.
Sentinel idővonala
Ez az idősor a felhasználói entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a Microsoft Sentinel által külső, nem Microsoft-adatforrásokból létrehozott riasztások.
Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait , a külső adatforrásokból származó felhasználói tevékenységeseményeket és a Microsoft Sentinel anomáliaszabályai által észlelt szokatlan viselkedéseket is megjeleníti.
Betekintést
Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik a felhasználói entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.
Az alábbiakban néhány megállapítás látható:
- A biztonsági csoportok tagságán alapuló felhasználói társviszonyok.
- Műveletek fiók szerint.
- Fiókműveletek.
- A felhasználó által törölt eseménynaplók.
- Csoportbeadások.
- Rendellenesen magas irodai műveletek száma.
- Erőforrás-hozzáférés.
- Rendellenesen magas Azure-bejelentkezési eredmények száma.
- UEBA-elemzések.
- Felhasználói hozzáférési engedélyek az Azure-előfizetésekhez.
- A felhasználóhoz kapcsolódó fenyegetésjelzők.
- Figyelőlista-elemzések (előzetes verzió).
- Windows bejelentkezési tevékenység.
Az elemzések a következő adatforrásokon alapulnak:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Szívverés (Azure Monitor-ügynök)
- CommonSecurityLog (Microsoft Sentinel)
Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.
Szervizelési műveletek
Az Áttekintés lapon az alábbi további műveleteket hajthatja végre:
- A felhasználó engedélyezése, letiltása vagy felfüggesztése a Microsoft Entra-azonosítóban
- A felhasználót arra utasíthatja, hogy bizonyos műveleteket hajtson végre, például kérje meg a felhasználót, hogy jelentkezzen be újra, vagy kényszerítse az új jelszó kérését
- A vizsgálat prioritási pontszámának alaphelyzetbe állítása a felhasználónál
- A Microsoft Entra-fiók beállításainak, a kapcsolódó szabályozásnak, a felhasználó tulajdonában lévő fájloknak vagy a felhasználó megosztott fájljainak megtekintése
További információ: Szervizelési műveletek a Microsoft Defender for Identityben.
Következő lépések
A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.
Lásd még
- Incidensek áttekintése
- Incidensek rangsorolása
- Incidensek kezelése
- A Microsoft Defender XDR áttekintése
- A Microsoft Defender XDR bekapcsolása
- Eszközentitás lap a Microsoft Defenderben
- IP-cím entitáslapja a Microsoft Defenderben
- A Microsoft Defender XDR és a Microsoft Sentinel integrációja
- A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.