Pagina Gebruikersentiteit in Microsoft Defender
De pagina gebruikersentiteit in de Microsoft Defender-portal helpt u bij het onderzoeken van gebruikersentiteiten. De pagina bevat alle belangrijke informatie over een bepaalde gebruikersentiteit. Als een waarschuwing of incident aangeeft dat een gebruiker mogelijk is gehackt of verdacht is, controleert en onderzoekt u de gebruikersentiteit.
U vindt informatie over gebruikersentiteit in de volgende weergaven:
- De pagina Identiteiten, onder Assets
- Waarschuwingenwachtrij
- Elke afzonderlijke waarschuwing/incident
- Pagina Apparaten
- Elke afzonderlijke apparaatentiteitspagina
- Activiteitenlogboek
- Geavanceerde opsporingsquery's
- Actiecentrum
Overal waar gebruikersentiteiten worden weergegeven in deze weergaven, selecteert u de entiteit om de pagina Gebruiker weer te geven. Hier ziet u meer informatie over de gebruiker. U kunt bijvoorbeeld de details zien van gebruikersaccounts die zijn geïdentificeerd in de waarschuwingen van een incident in de Microsoft Defender-portal op Incidenten & waarschuwingen > Gebruikers van incidentassets>> voor incidenten>.
Wanneer u een specifieke gebruikersentiteit onderzoekt, ziet u de volgende tabbladen op de entiteitspagina:
- Overzicht, inclusief entiteitsdetails, visuele weergave incidenten en waarschuwingen, onderzoeksprioriteit en tijdlijn met scores
- Tabblad Incidenten en waarschuwingen
- Waargenomen op het tabblad Organisatie
- Tabblad Tijdlijn
- Tabblad Sentinel-gebeurtenissen
Op de gebruikerspagina ziet u de Microsoft Entra-organisatie en groepen, zodat u inzicht krijgt in de groepen en machtigingen die aan een gebruiker zijn gekoppeld.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Overzicht
Entiteitsdetails
Het deelvenster Entiteitsdetails aan de linkerkant van de pagina bevat informatie over de gebruiker, zoals het risiconiveau van de Microsoft Entra-identiteit, het aantal apparaten waarbij de gebruiker is aangemeld, wanneer de gebruiker voor het eerst en voor het laatst is gezien, de accounts van de gebruiker, groepen waartoe de gebruiker behoort, contactgegevens en meer. U ziet andere details, afhankelijk van de integratiefuncties die u hebt ingeschakeld.
Visuele weergave van incidenten en waarschuwingen
Deze kaart bevat alle incidenten en waarschuwingen die zijn gekoppeld aan de gebruikersentiteit, gegroepeerd op ernst.
Onderzoeksprioriteit
Deze kaart bevat de uitsplitsing van de berekende onderzoeksprioriteitsscore van de gebruikersentiteit en een trend van twee weken voor die score, inclusief het percentiel van de score ten opzichte van de tenant.
Active Directory-accountbesturingselementen
Met deze kaart worden beveiligingsinstellingen van Microsoft Defender for Identity weergegeven die mogelijk uw aandacht nodig hebben. U ziet belangrijke vlaggen over de accountinstellingen van de gebruiker, bijvoorbeeld als de gebruiker op Enter kan drukken om het wachtwoord te omzeilen en of de gebruiker een wachtwoord heeft dat nooit verloopt, enzovoort.
Zie Vlaggen voor gebruikersaccountbeheer voor meer informatie.
Gescoorde activiteiten
Deze kaart bevat alle activiteiten en waarschuwingen die bijdragen aan de onderzoeksprioriteitsscore van de entiteit in de afgelopen zeven dagen.
Organisatiestructuur
In deze sectie ziet u de plaats van de gebruikersentiteit in de organisatiehiërarchie zoals gerapporteerd door Microsoft Defender for Identity.
Accounttags
Microsoft Defender for Identity haalt tags op uit Active Directory om u één interface te bieden voor het bewaken van uw Active Directory-gebruikers en -entiteiten. Tags bieden u details van Active Directory over de entiteit en omvatten:
Naam | Beschrijving |
---|---|
Nieuw | Geeft aan dat de entiteit minder dan 30 dagen geleden is gemaakt. |
Verwijderd | Geeft aan dat de entiteit definitief is verwijderd uit Active Directory. |
Uitgeschakeld | Geeft aan dat de entiteit momenteel is uitgeschakeld in Active Directory. Het kenmerk uitgeschakeld is een Active Directory-vlag die beschikbaar is voor gebruikersaccounts, computeraccounts en andere objecten om aan te geven dat het object momenteel niet in gebruik is. Wanneer een object is uitgeschakeld, kan het niet worden gebruikt om u aan te melden of acties uit te voeren in het domein. |
Ingeschakeld | Geeft aan dat de entiteit momenteel is ingeschakeld in Active Directory, wat aangeeft dat de entiteit momenteel in gebruik is en kan worden gebruikt om u aan te melden of acties uit te voeren in het domein. |
Verlopen | Geeft aan dat de entiteit is verlopen in Active Directory. Wanneer een gebruikersaccount is verlopen, kan de gebruiker zich niet meer aanmelden bij het domein of toegang krijgen tot netwerkbronnen. Het verlopen account wordt in wezen behandeld alsof het is uitgeschakeld, maar met een expliciete vervaldatum ingesteld. Alle services of toepassingen waartoe de gebruiker is gemachtigd, kunnen ook worden beïnvloed, afhankelijk van hoe ze zijn geconfigureerd. |
Honeytoken | Geeft aan dat de entiteit handmatig wordt getagd als een honeytoken. |
Vergrendeld | Geeft aan dat de entiteit het verkeerde wachtwoord te vaak heeft opgegeven en nu is vergrendeld. |
Gedeeltelijk | Geeft aan dat de gebruiker, het apparaat of de groep niet gesynchroniseerd is met het domein en gedeeltelijk wordt omgezet via een globale catalogus. In dit geval zijn sommige kenmerken niet beschikbaar. |
Onopgelost | Geeft aan dat het apparaat niet wordt omgezet in een geldige identiteit in het Active Directory-forest. Er zijn geen adreslijstgegevens beschikbaar. |
Gevoelig | Geeft aan dat de entiteit wordt beschouwd als gevoelig. |
Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.
Opmerking
De structuursectie van de organisatie en de accounttags zijn beschikbaar wanneer er een Microsoft Defender for Identity-licentie beschikbaar is.
Incidenten en waarschuwingen
Op dit tabblad ziet u alle actieve incidenten en waarschuwingen met betrekking tot de gebruiker van de afgelopen zes maanden. Alle informatie van de belangrijkste incidenten en waarschuwingswachtrijen wordt hier weergegeven. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat een korte beschrijving van het incident of de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie, wie is toegewezen om deze te adresseren en de laatste activiteit die is waargenomen.
U kunt het aantal items aanpassen dat wordt weergegeven en welke kolommen voor elk item worden weergegeven. Het standaardgedrag is om 30 items per pagina weer te geven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.
De kolom betrokken entiteiten verwijst naar alle apparaat- en gebruikersentiteiten waarnaar wordt verwezen in het incident of de waarschuwing.
Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.
Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.
Waargenomen in organisatie
Apparaten: in deze sectie worden alle apparaten weergegeven waarbij de gebruikersentiteit zich in de afgelopen 180 dagen heeft aangemeld, waarbij de meest en minst gebruikte apparaten worden aangegeven.
Locaties: in deze sectie worden alle waargenomen locaties voor de gebruikersentiteit in de afgelopen 30 dagen weergegeven.
Groepen: in deze sectie ziet u alle waargenomen on-premises groepen voor de gebruikersentiteit, zoals gerapporteerd door Microsoft Defender for Identity.
Laterale verplaatsingspaden: in deze sectie worden alle geprofileerde zijwaartse verplaatsingspaden van de on-premises omgeving weergegeven, zoals gedetecteerd door Defender for Identity.
Opmerking
Groepen en laterale verplaatsingspaden zijn beschikbaar wanneer er een Microsoft Defender for Identity-licentie beschikbaar is.
Als u het tabblad Zijdelingse bewegingen selecteert , kunt u een volledig dynamische en klikbare kaart weergeven waarin u de paden voor laterale bewegingen van en naar een gebruiker kunt zien. Een aanvaller kan de padgegevens gebruiken om uw netwerk te infiltreren.
De kaart bevat een lijst met andere apparaten of gebruikers waarvan een aanvaller kan profiteren om een gevoelig account in gevaar te brengen. Als de gebruiker een gevoelig account heeft, kunt u zien hoeveel resources en accounts rechtstreeks zijn verbonden.
Het rapport over het laterale verplaatsingspad, dat kan worden weergegeven op datum, is altijd beschikbaar om informatie te bieden over de mogelijke gedetecteerde laterale verplaatsingspaden en kan worden aangepast op tijd. Selecteer een andere datum met Een andere datum weergeven om eerdere paden voor laterale verplaatsingen weer te geven die voor een entiteit zijn gevonden. De grafiek wordt alleen weergegeven als er in de afgelopen twee dagen een potentieel lateraal verplaatsingspad is gevonden voor een entiteit.
Tijdlijn
De tijdlijn geeft gebruikersactiviteiten en waarschuwingen weer die zijn waargenomen vanuit de identiteit van een gebruiker in de afgelopen 30 dagen. Hiermee worden de identiteitsvermeldingen van de gebruiker geïntegreerd in workloads van Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Microsoft Defender for Endpoint. Met behulp van de tijdlijn kunt u zich richten op activiteiten die een gebruiker in specifieke periodes heeft uitgevoerd of uitgevoerd.
Gebruikers van het geïntegreerde SOC-platform kunnen waarschuwingen van Microsoft Sentinel zien op basis van andere gegevensbronnen dan die in de vorige alinea, en kunnen deze waarschuwingen en andere informatie vinden op het tabblad Sentinel-gebeurtenissen , dat hieronder wordt beschreven.
Aangepaste tijdsbereikkiezer: U kunt een tijdsbestek kiezen om uw onderzoek te richten op de afgelopen 24 uur, de afgelopen 3 dagen, enzovoort. U kunt ook een specifiek tijdsbestek kiezen door op Aangepast bereik te klikken. Bijvoorbeeld:
Tijdlijnfilters: Om uw onderzoekservaring te verbeteren, kunt u de tijdlijnfilters gebruiken: Type (waarschuwingen en/of gerelateerde activiteiten van de gebruiker), Ernst van waarschuwingen, Activiteitstype, App, Locatie, Protocol. Elk filter is afhankelijk van de andere filters en de opties in elk filter (vervolgkeuzelijst) bevatten alleen de gegevens die relevant zijn voor de specifieke gebruiker.
Knop Exporteren: U kunt de tijdlijn exporteren naar een CSV-bestand. Exporteren is beperkt tot de eerste 5000 records en bevat de gegevens zoals deze worden weergegeven in de gebruikersinterface (dezelfde filters en kolommen).
Aangepaste kolommen: U kunt kiezen welke kolommen u wilt weergeven in de tijdlijn door de knop Kolommen aanpassen te selecteren. Bijvoorbeeld:
Welke gegevenstypen zijn beschikbaar?
De volgende gegevenstypen zijn beschikbaar in de tijdlijn:
- De getroffen waarschuwingen van een gebruiker
- Active Directory- en Microsoft Entra-activiteiten
- Gebeurtenissen van cloud-apps
- Apparaataanmeldingsevenementen
- Wijzigingen in directoryservices
Welke informatie wordt weergegeven?
De volgende informatie wordt weergegeven in de tijdlijn:
- Datum en tijd van de activiteit
- Beschrijving van activiteit/waarschuwing
- Toepassing die de activiteit heeft uitgevoerd
- Bronapparaat/IP-adres
- MITRE ATT&CK-technieken
- Ernst en status van waarschuwing
- Land/regio waar het IP-adres van de client is geolocated
- Protocol dat tijdens de communicatie wordt gebruikt
- Doelapparaat (optioneel, zichtbaar door kolommen aan te passen)
- Aantal keren dat de activiteit heeft plaatsgevonden (optioneel, zichtbaar door kolommen aan te passen)
Bijvoorbeeld:
Opmerking
Microsoft Defender XDR kan datum- en tijdgegevens weergeven met behulp van uw lokale tijdzone of UTC. De geselecteerde tijdzone is van toepassing op alle datum- en tijdgegevens die worden weergegeven in de identiteitstijdlijn.
Als u de tijdzone voor deze functies wilt instellen, gaat u naar Instellingen>Beveiligingscentrum>Tijdzone.
Sentinel-gebeurtenissen
Als uw organisatie Microsoft Sentinel heeft onboardd naar de Defender-portal, bevindt dit extra tabblad zich op de pagina van de gebruikersentiteit. Op dit tabblad wordt de pagina Account-entiteit uit Microsoft Sentinel geïmporteerd.
Sentinel-tijdlijn
Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de gebruikersentiteit. Deze waarschuwingen omvatten waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en waarschuwingen die door Microsoft Sentinel zijn gemaakt vanuit externe, niet-Microsoft-gegevensbronnen.
Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze gebruikersentiteit, gebruikersactiviteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.
Inzichten
Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw gebruikersentiteit en bieden waardevolle beveiligingsinformatie in de vorm van gegevens in tabelvorm en grafieken. De inzichten omvatten gegevens met betrekking tot aanmeldingen, groepstoevoegingen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.
Hier volgen enkele van de inzichten die worden weergegeven:
- Peers van gebruikers op basis van lidmaatschap van beveiligingsgroepen.
- Acties per account.
- Acties op account.
- Gebeurtenislogboeken die door de gebruiker zijn gewist.
- Groeps toevoegingen.
- Afwijkend hoog aantal kantoorbewerkingen.
- Resourcetoegang.
- Een afwijkend hoog aantal azure-aanmeldingsresultaten.
- UEBA-inzichten.
- Gebruikerstoegangsmachtigingen voor Azure-abonnementen.
- Bedreigingsindicatoren met betrekking tot de gebruiker.
- Watchlist insights (preview).
- Windows-aanmeldingsactiviteit.
De inzichten zijn gebaseerd op de volgende gegevensbronnen:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.
Herstelacties
Op de pagina Overzicht kunt u deze extra acties uitvoeren:
- De gebruiker in Microsoft Entra ID inschakelen, uitschakelen of onderbreken
- Gebruiker doorsturen om bepaalde acties uit te voeren, zoals de gebruiker verplichten zich opnieuw aan te melden of het opnieuw instellen van het wachtwoord afdwingen
- Onderzoeksprioriteitsscore voor de gebruiker opnieuw instellen
- Microsoft Entra-accountinstellingen, gerelateerde governance, bestanden in eigendom van de gebruiker of gedeelde bestanden van de gebruiker weergeven
Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.
Volgende stappen
Indien nodig voor in-process incidenten, gaat u verder met uw onderzoek.
Zie ook
- Overzicht van incidenten
- Prioriteit geven aan incidenten
- Incidenten beheren
- Overzicht van Microsoft Defender XDR
- Microsoft Defender XDR inschakelen
- Pagina Apparaatentiteit in Microsoft Defender
- Entiteitspagina IP-adres in Microsoft Defender
- Microsoft Defender XDR-integratie met Microsoft Sentinel
- Microsoft Sentinel verbinden met Microsoft Defender XDR
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.