Del via


Brukerenhetsside i Microsoft Defender

Brukerenhetssiden i Microsoft Defender-portalen hjelper deg med å undersøke brukerenheter. Siden inneholder all viktig informasjon om en gitt brukerenhet. Hvis et varsel eller en hendelse indikerer at en bruker kan bli kompromittert eller mistenkelig, kan du kontrollere og undersøke brukerenheten.

Du finner informasjon om brukerenhet i følgende visninger:

  • Identiteter-siden under Aktiva
  • Varselkø
  • Alle individuelle varsler/hendelser
  • Enhetsside
  • Enhetsside for hver enkelt enhet
  • Aktivitetslogg
  • Avanserte jaktspørringer
  • Handlingssenter

Uansett hvor brukerenheter vises i disse visningene, velger du enheten for å vise brukersiden , som viser flere detaljer om brukeren. Du kan for eksempel se detaljene for brukerkontoer som er identifisert i varslene om en hendelse i Microsoft Defender-portalen ved hendelser & varsler hendelseshendelser>>> for > aktivabrukere.

Skjermbilde av Brukere-siden for en hendelse i Microsoft Defender-portalen.

Når du undersøker en bestemt brukerenhet, ser du følgende faner på enhetssiden:

Brukersiden viser Både Microsoft Entra-organisasjonen og grupper, slik at du kan forstå gruppene og tillatelsene som er knyttet til en bruker.

Viktig

Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Oversikt

Enhetsdetaljer

Enhetsdetaljer-panelet på venstre side av siden gir informasjon om brukeren, for eksempel risikonivået for Microsoft Entra-identiteten, antall enheter brukeren er logget på, når brukeren først og sist ble sett, brukerens kontoer, grupper som brukeren tilhører, kontaktinformasjon og mer. Du ser andre detaljer avhengig av integreringsfunksjonene du har aktivert.

Visuell visning av hendelser og varsler

Dette kortet omfatter alle hendelser og varsler som er knyttet til brukerenheten, gruppert etter alvorlighetsgrad.

Undersøkelsesprioritet

Dette kortet inkluderer brukerenhetens beregnede nedbryting av prioritetsresultat for undersøkelse, og en to ukers trend for denne poengsummen, inkludert persentilen for poengsummen i forhold til leieren.

Active Directory-kontokontroller

Dette kortet viser sikkerhetsinnstillinger for Microsoft Defender for identitet som kan trenge din oppmerksomhet. Du kan se viktige flagg om brukerens kontoinnstillinger, for eksempel om brukeren kan trykke enter for å omgå passordet, og om brukeren har et passord som aldri utløper osv.

Hvis du vil ha mer informasjon, kan du se flaggene for brukerkontokontroll.

Aktiviteter med poengsum

Dette kortet inkluderer alle aktiviteter og varsler som bidrar til enhetens prioritetspoengsum for undersøkelser de siste sju dagene.

Organisasjonstre

Denne delen viser brukerenhetens plass i organisasjonshierarkiet som rapportert av Microsoft Defender for identitet.

Kontokoder

Microsoft Defender for Identity henter merker ut av Active Directory for å gi deg ett enkelt grensesnitt for overvåking av Active Directory-brukere og -enheter. Merker gir deg detaljer fra Active Directory om enheten, og inkluderer:

Navn Beskrivelse
Ny Angir at enheten ble opprettet for mindre enn 30 dager siden.
Slettet Angir at enheten ble slettet permanent fra Active Directory.
Ufør Angir at enheten er deaktivert i Active Directory. Det deaktiverte attributtet er et Active Directory-flagg som er tilgjengelig for brukerkontoer, datamaskinkontoer og andre objekter for å angi at objektet ikke er i bruk.

Når et objekt er deaktivert, kan det ikke brukes til å logge på eller utføre handlinger i domenet.
Aktivert Angir at enheten er aktivert i Active Directory, som angir at enheten er i bruk, og kan brukes til å logge på eller utføre handlinger i domenet.
Utløpt Angir at enheten er utløpt i Active Directory. Når en brukerkonto er utløpt, kan ikke brukeren lenger logge på domenet eller få tilgang til nettverksressurser. Den utløpte kontoen behandles i hovedsak som om den ble deaktivert, men med en eksplisitt utløpsdato angitt.

Alle tjenester eller programmer som brukeren har fått tilgang til, kan også bli påvirket, avhengig av hvordan de er konfigurert.
Honningtoken Angir at enheten er manuelt merket som et honningtoken.
Låst Angir at enheten har angitt feil passord for mange ganger, og er nå låst.
Delvis Angir at brukeren, enheten eller gruppen ikke er synkronisert med domenet, og er delvis løst via en global katalog. I dette tilfellet er noen attributter ikke tilgjengelige.
Uløst Angir at enheten ikke løses til en gyldig identitet i Active Directory-skogen. Ingen kataloginformasjon er tilgjengelig.
Følsom Angir at enheten anses som sensitiv.

Hvis du vil ha mer informasjon, kan du se Defender for Identity-enhetskoder i Microsoft Defender XDR.

Obs!

Organisasjonstredelen og kontokodene er tilgjengelige når en Microsoft Defender for Identity-lisens er tilgjengelig.

Skjermbilde av en bestemt brukers side i Microsoft Defender-portalen

Hendelser og varsler

Du kan se alle aktive hendelser og varsler som involverer brukeren fra de siste seks månedene i denne fanen. All informasjon fra de viktigste hendelsene og varslingskøene vises her. Denne listen er en filtrert versjon av hendelseskøen, og viser en kort beskrivelse av hendelsen eller varselet, alvorlighetsgraden (høy, middels, lav, informasjonsmessig), statusen i køen (ny, pågår, løst), klassifiseringen (ikke angitt, falsk varsling, true alert), undersøkelsestilstand, kategori, hvem som er tilordnet for å løse den, og siste aktivitet observert.

Du kan tilpasse antall elementer som vises, og hvilke kolonner som vises for hvert element. Standard virkemåte er å vise 30 elementer per side. Du kan også filtrere varslene etter alvorsgrad, status eller andre kolonner i visningen.

Kolonnen for berørte enheter refererer til alle enheter og brukerenheter som det refereres til i hendelsen eller varselet.

Når en hendelse eller et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere hendelsen eller varselet og vise flere detaljer, for eksempel hendelse/varselnummer og relaterte enheter. Du kan velge flere varsler om gangen.

Hvis du vil se en hel sidevisning av en hendelse eller et varsel, velger du tittelen.

Skjermbilde av brukerkontoens relaterte varsler som vises i Varsler-fanen i Microsoft Defender-portalen

Observert i organisasjonen

  • Enheter: Denne delen viser alle enhetene som brukerenheten er logget på i løpet av de foregående 180 dagene, noe som indikerer mest og minst brukt.

  • Plasseringer: Denne delen viser alle observerte plasseringer for brukerenheten de siste 30 dagene.

  • Grupper: Denne delen viser alle observerte lokale grupper for brukerenheten, som rapportert av Microsoft Defender for identitet.

  • Laterale bevegelsesbaner: Denne delen viser alle profilerte laterale bevegelsesbaner fra det lokale miljøet, som oppdaget av Defender for Identity.

Obs!

Grupper og sideveier er tilgjengelige når en Microsoft Defender for Identity-lisens er tilgjengelig.

Hvis du velger fanen Sidebevegelser , kan du vise et fullstendig dynamisk og klikkbart kart der du kan se de laterale bevegelsesbanene til og fra en bruker. En angriper kan bruke baneinformasjonen til å infiltrere nettverket.

Kartet inneholder en liste over andre enheter eller brukere en angriper kan dra nytte av for å kompromittere en sensitiv konto. Hvis brukeren har en sensitiv konto, kan du se hvor mange ressurser og kontoer som er direkte tilkoblet.

Den laterale bevegelsesbanerapporten, som kan vises etter dato, er alltid tilgjengelig for å gi informasjon om potensielle laterale bevegelsesbaner som oppdages og kan tilpasses etter tid. Velg en annen dato ved hjelp av Vis en annen dato for å vise tidligere sideflyttingsbaner som ble funnet for en enhet. Grafen vises bare hvis en potensiell sidevei har blitt funnet for en enhet de siste to dagene.

Skjermbilde av visningen Observert i organisasjon som viser enhets-, gruppe-, plasserings- og sideflyttingsbaner for en bruker i Microsoft Defender-portalen

Tidslinje

Tidslinjen viser brukeraktiviteter og varsler som er observert fra en brukers identitet de siste 30 dagene. Det forener brukerens identitetsoppføringer på tvers av Microsoft Defender for identitet, Microsoft Defender for skyapper og Microsoft Defender for endpoint-arbeidsbelastninger. Ved å bruke tidslinjen kan du fokusere på aktiviteter som en bruker utførte eller ble utført på dem i bestemte tidsrammer.

For brukere av den enhetlige SOC-plattformen for å se varsler fra Microsoft Sentinel basert på andre datakilder enn de i forrige avsnitt, kan de finne disse varslene og annen informasjon i Sentinel-hendelser-fanen , beskrevet nedenfor.

  • Egendefinert tidsområdevelger: Du kan velge en tidsramme for å fokusere undersøkelsen på de siste 24 timene, de siste tre dagene og så videre. Du kan også velge en bestemt tidsramme ved å klikke egendefinert område. Eksempel:

    Skjermbilde som viser hvordan du velger tidsramme.

  • Tidslinjefiltre: Hvis du vil forbedre undersøkelsesopplevelsen, kan du bruke tidslinjefiltrene: Type (varsler og/eller brukerens relaterte aktiviteter), alvorsgrad for varsel, aktivitetstype, app, plassering, protokoll. Hvert filter avhenger av de andre, og alternativene i hvert filter (rullegardinliste) inneholder bare dataene som er relevante for den bestemte brukeren.

  • Eksporter-knapp: Du kan eksportere tidslinjen til en CSV-fil. Eksporten er begrenset til de første 5000 postene og inneholder dataene slik de vises i brukergrensesnittet (samme filtre og kolonner).

  • Tilpassede kolonner: Du kan velge hvilke kolonner som skal vises på tidslinjen, ved å velge Knappen Tilpass kolonner . Eksempel:

    Skjermbilde som viser brukerens bilde.

Hvilke datatyper er tilgjengelige?

Følgende datatyper er tilgjengelige på tidslinjen:

  • Varsler som påvirkes av en bruker
  • Active Directory- og Microsoft Entra-aktiviteter
  • Hendelser for skyapper
  • Påloggingshendelser for enheten
  • Endringer i katalogtjenester

Hvilken informasjon vises?

Følgende informasjon vises på tidslinjen:

  • Dato og klokkeslett for aktiviteten
  • Beskrivelse av aktivitet/varsel
  • Program som utførte aktiviteten
  • Kildeenhet/IP-adresse
  • MITRE ATT&CK-teknikker
  • Alvorsgrad og status for varsel
  • Land/område der klientens IP-adresse er geolokert
  • Protokollen som brukes under kommunikasjonen
  • Målenhet (valgfritt, synlig ved å tilpasse kolonner)
  • Antall ganger aktiviteten skjedde (valgfritt, synlig ved å tilpasse kolonner)

Eksempel:

Skjermbilde av Tidslinje-fanen.

Obs!

Microsoft Defender XDR kan vise informasjon om dato og klokkeslett ved hjelp av enten den lokale tidssonen eller UTC. Den valgte tidssonen gjelder for all dato- og klokkeslettinformasjon som vises på tidslinjen for identitet.

Hvis du vil angi tidssonen for disse funksjonene, går du tilTidssone for Sikkerhetssenter>>.

Sentinel-hendelser

Hvis organisasjonen har koblet Microsoft Sentinel til Defender-portalen, er denne ekstra fanen på brukerenhetssiden. Denne fanen importerer kontoenhetssiden fra Microsoft Sentinel.

Sentinel tidslinje

Denne tidslinjen viser varsler som er knyttet til brukerenheten. Disse varslene inkluderer de som vises på hendelser og varsler-fanen og de som er opprettet av Microsoft Sentinel fra tredjeparts, ikke-Microsoft-datakilder.

Denne tidslinjen viser også bokmerkede jakter fra andre undersøkelser som refererer til denne brukerenheten, brukeraktivitetshendelser fra eksterne datakilder og uvanlig atferd som oppdages av Microsoft Sentinels avviksregler.

Innsikt

Enhetsinnsikt er spørringer definert av Microsofts sikkerhetsforskere for å hjelpe deg med å undersøke mer effektivt og mer effektivt. Denne innsikten stiller automatisk de store spørsmålene om brukerenheten din, og gir verdifull sikkerhetsinformasjon i form av tabelldata og diagrammer. Innsikten inkluderer data om pålogginger, gruppetillegg, uregelmessige hendelser og mer, og inkluderer avanserte maskinlæringsalgoritmer for å oppdage uregelmessig atferd.

Følgende er noen av innsiktene som vises:

  • Brukerkolleger basert på medlemskap i sikkerhetsgrupper.
  • Handlinger etter konto.
  • Handlinger på kontoen.
  • Hendelseslogger er fjernet av brukeren.
  • Gruppetillegg.
  • Avvikende høyt antall office-operasjoner.
  • Ressurstilgang.
  • Uregelmessig høyt antall azure-påloggingsresultat.
  • UEBA-innsikt.
  • Brukertilgangstillatelser til Azure-abonnementer.
  • Trusselindikatorer relatert til bruker.
  • Visningslisteinnsikt (forhåndsvisning).
  • Påloggingsaktivitet for Windows.

Innsiktene er basert på følgende datakilder:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Skjermbilde av Fanen Sentinel-hendelser på brukerenhetssiden.

Hvis du vil utforske noen av innsiktene i dette panelet ytterligere, velger du koblingen som følger med innsikten. Koblingen tar deg til avansert jakt-siden , der den viser spørringen som ligger under innsikten, sammen med de rå resultatene. Du kan endre spørringen eller drille ned i resultatene for å utvide undersøkelsen eller bare tilfredsstille nysgjerrigheten din.

Skjermbilde av avansert jaktskjerm med innsiktsspørring.

Utbedringshandlinger

Fra Oversikt-siden kan du gjøre disse tilleggshandlingene:

  • Aktivere, deaktivere eller utsette brukeren i Microsoft Entra ID
  • Be brukeren om å utføre bestemte handlinger, for eksempel kreve at brukeren logger på igjen eller tvinger tilbakestilling av passord
  • Tilbakestill prioritetspoengsum for undersøkelse for brukeren
  • Vis kontoinnstillinger for Microsoft Entra, relatert styring, brukerens eide filer eller brukerens delte filer

Skjermbilde av handlingene for utbedring for en bruker i Microsoft Defender-portalen

Hvis du vil ha mer informasjon, kan du se Utbedringshandlinger i Microsoft Defender for identitet.

Neste trinn

Fortsett etterforskningen etter behov for prosessrelaterte hendelser.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.