Pagina Gebruikersentiteit in Microsoft Defender

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

De pagina gebruikersentiteit in de Microsoft Defender-portal helpt u bij het onderzoeken van gebruikersentiteiten. De pagina bevat alle belangrijke informatie over een bepaalde gebruikersentiteit. Als een waarschuwing of incident aangeeft dat een gebruiker mogelijk is gehackt of verdacht is, controleert en onderzoekt u de gebruikersentiteit.

U vindt informatie over gebruikersentiteit in de volgende weergaven:

  • De pagina Identiteiten, onder Assets
  • Waarschuwingenwachtrij
  • Elke afzonderlijke waarschuwing/incident
  • Pagina Apparaten
  • Elke afzonderlijke apparaatentiteitspagina
  • Activiteitenlogboek
  • Geavanceerde opsporingsquery's
  • Actiecentrum

Overal waar gebruikersentiteiten worden weergegeven in deze weergaven, selecteert u de entiteit om de pagina Gebruiker weer te geven. Hier ziet u meer informatie over de gebruiker. U kunt bijvoorbeeld de details zien van gebruikersaccounts die zijn geïdentificeerd in de waarschuwingen van een incident in de Microsoft Defender-portal in Incidenten & waarschuwingen Gebruikers van incidentincidenten>>>>.

Schermopname van de pagina Gebruikers voor een incident in de Microsoft Defender portal.

Wanneer u een specifieke gebruikersentiteit onderzoekt, ziet u de volgende tabbladen op de entiteitspagina:

Op de gebruikerspagina ziet u de Microsoft Entra organisatie en groepen, zodat u inzicht krijgt in de groepen en machtigingen die aan een gebruiker zijn gekoppeld.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender portal. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.

Overzicht

Entiteitsdetails

Het deelvenster Entiteitsdetails aan de linkerkant van de pagina bevat informatie over de gebruiker, zoals het Microsoft Entra identiteitsrisiconiveau, het aantal apparaten waarbij de gebruiker is aangemeld, wanneer de gebruiker voor het eerst en voor het laatst is gezien, de accounts van de gebruiker, groepen waartoe de gebruiker behoort, contactgegevens en meer. U ziet andere details, afhankelijk van de integratiefuncties die u hebt ingeschakeld.

Visuele weergave van incidenten en waarschuwingen

Deze kaart bevat alle incidenten en waarschuwingen die zijn gekoppeld aan de gebruikersentiteit, gegroepeerd op ernst.

Onderzoeksprioriteit

Deze kaart bevat de uitsplitsing van de berekende onderzoeksprioriteitsscore van de gebruikersentiteit en een trend van twee weken voor die score, inclusief het percentiel van de score ten opzichte van de tenant.

Active Directory-accountbesturingselementen

Deze kaart wordt weergegeven Microsoft Defender for Identity beveiligingsinstellingen die mogelijk uw aandacht vereisen. U ziet belangrijke vlaggen over de accountinstellingen van de gebruiker, bijvoorbeeld als de gebruiker op Enter kan drukken om het wachtwoord te omzeilen en of de gebruiker een wachtwoord heeft dat nooit verloopt, enzovoort.

Zie Vlaggen voor gebruikersaccountbeheer voor meer informatie.

Gescoorde activiteiten

Deze kaart bevat alle activiteiten en waarschuwingen die bijdragen aan de onderzoeksprioriteitsscore van de entiteit in de afgelopen zeven dagen.

Organisatiestructuur

In deze sectie ziet u de plaats van de gebruikersentiteit in de organisatiehiërarchie zoals gerapporteerd door Microsoft Defender for Identity.

Accounttags

Microsoft Defender for Identity haalt tags uit Active Directory om u één interface te bieden voor het bewaken van uw Active Directory-gebruikers en -entiteiten. Tags bieden u details van Active Directory over de entiteit en omvatten:

Naam Omschrijving
Nieuw Geeft aan dat de entiteit minder dan 30 dagen geleden is gemaakt.
Verwijderd Geeft aan dat de entiteit definitief is verwijderd uit Active Directory.
Handicap Geeft aan dat de entiteit momenteel is uitgeschakeld in Active Directory. Het kenmerk uitgeschakeld is een Active Directory-vlag die beschikbaar is voor gebruikersaccounts, computeraccounts en andere objecten om aan te geven dat het object momenteel niet in gebruik is.

Wanneer een object is uitgeschakeld, kan het niet worden gebruikt om u aan te melden of acties uit te voeren in het domein.
Ingeschakeld Geeft aan dat de entiteit momenteel is ingeschakeld in Active Directory, wat aangeeft dat de entiteit momenteel in gebruik is en kan worden gebruikt om u aan te melden of acties uit te voeren in het domein.
Verlopen Geeft aan dat de entiteit is verlopen in Active Directory. Wanneer een gebruikersaccount is verlopen, kan de gebruiker zich niet meer aanmelden bij het domein of toegang krijgen tot netwerkbronnen. Het verlopen account wordt in wezen behandeld alsof het is uitgeschakeld, maar met een expliciete vervaldatum ingesteld.

Alle services of toepassingen waartoe de gebruiker is gemachtigd, kunnen ook worden beïnvloed, afhankelijk van hoe ze zijn geconfigureerd.
Honeytoken Geeft aan dat de entiteit handmatig wordt getagd als een honeytoken.
Vergrendeld Geeft aan dat de entiteit het verkeerde wachtwoord te vaak heeft opgegeven en nu is vergrendeld.
Gedeeltelijke Geeft aan dat de gebruiker, het apparaat of de groep niet gesynchroniseerd is met het domein en gedeeltelijk wordt omgezet via een globale catalogus. In dit geval zijn sommige kenmerken niet beschikbaar.
Onopgeloste Geeft aan dat het apparaat niet wordt omgezet in een geldige identiteit in het Active Directory-forest. Er zijn geen adreslijstgegevens beschikbaar.
Gevoelig Geeft aan dat de entiteit wordt beschouwd als gevoelig.

Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

Opmerking

De structuursectie van de organisatie en de accounttags zijn beschikbaar wanneer er een Microsoft Defender for Identity licentie beschikbaar is.

Schermopname van de pagina van een specifieke gebruiker in de Microsoft Defender portal

Incidenten en waarschuwingen

Op dit tabblad ziet u alle actieve incidenten en waarschuwingen met betrekking tot de gebruiker van de afgelopen zes maanden. Alle informatie van de belangrijkste incidenten en waarschuwingswachtrijen wordt hier weergegeven. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat een korte beschrijving van het incident of de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie, wie is toegewezen om deze te adresseren en de laatste activiteit die is waargenomen.

U kunt het aantal items aanpassen dat wordt weergegeven en welke kolommen voor elk item worden weergegeven. Het standaardgedrag is om 30 items per pagina weer te geven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.

De kolom betrokken entiteiten verwijst naar alle apparaat- en gebruikersentiteiten waarnaar wordt verwezen in het incident of de waarschuwing.

Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.

Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.

Schermopname van de gerelateerde waarschuwingen van het gebruikersaccount op het tabblad Waarschuwingen in de Microsoft Defender-portal

Waargenomen in organisatie

  • Apparaten: in deze sectie worden alle apparaten weergegeven waarbij de gebruikersentiteit zich in de afgelopen 180 dagen heeft aangemeld, waarbij de meest en minst gebruikte apparaten worden aangegeven.

  • Locaties: in deze sectie worden alle waargenomen locaties voor de gebruikersentiteit in de afgelopen 30 dagen weergegeven.

  • Groepen: in deze sectie ziet u alle waargenomen on-premises groepen voor de gebruikersentiteit, zoals gerapporteerd door Microsoft Defender for Identity.

  • Laterale verplaatsingspaden: in deze sectie worden alle geprofileerde zijwaartse verplaatsingspaden van de on-premises omgeving weergegeven, zoals gedetecteerd door Defender for Identity.

Opmerking

Groepen en laterale verplaatsingspaden zijn beschikbaar wanneer er een Microsoft Defender for Identity-licentie beschikbaar is.

Als u het tabblad Zijdelingse bewegingen selecteert , kunt u een volledig dynamische en klikbare kaart weergeven waarin u de paden voor laterale bewegingen van en naar een gebruiker kunt zien. Een aanvaller kan de padgegevens gebruiken om uw netwerk te infiltreren.

De kaart bevat een lijst met andere apparaten of gebruikers waarvan een aanvaller kan profiteren om een gevoelig account in gevaar te brengen. Als de gebruiker een gevoelig account heeft, kunt u zien hoeveel resources en accounts rechtstreeks zijn verbonden.

Het rapport over het laterale verplaatsingspad, dat kan worden weergegeven op datum, is altijd beschikbaar om informatie te bieden over de mogelijke gedetecteerde laterale verplaatsingspaden en kan worden aangepast op tijd. Selecteer een andere datum met Een andere datum weergeven om eerdere paden voor laterale verplaatsingen weer te geven die voor een entiteit zijn gevonden. De grafiek wordt alleen weergegeven als er in de afgelopen twee dagen een potentieel lateraal verplaatsingspad is gevonden voor een entiteit.

Schermopname van de weergave Waargenomen in de organisatieweergave met paden voor apparaat-, groeps-, locatie- en laterale verplaatsingen voor een gebruiker in de Microsoft Defender-portal

Tijdlijn

De tijdlijn geeft gebruikersactiviteiten en waarschuwingen weer die zijn waargenomen vanuit de identiteit van een gebruiker in de afgelopen 30 dagen. Hiermee worden de identiteitsvermeldingen van de gebruiker in Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Microsoft Defender voor Eindpunt workloads samenvoegd. Met behulp van de tijdlijn kunt u zich richten op activiteiten die een gebruiker in specifieke periodes heeft uitgevoerd of uitgevoerd.

Gebruikers van het geïntegreerde SOC-platform kunnen waarschuwingen van Microsoft Sentinel zien op basis van andere gegevensbronnen dan die in de vorige alinea, en kunnen deze waarschuwingen en andere informatie vinden op het tabblad Sentinel-gebeurtenissen , dat hieronder wordt beschreven.

  • Aangepaste tijdsbereikkiezer: U kunt een tijdsbestek kiezen om uw onderzoek te richten op de afgelopen 24 uur, de afgelopen 3 dagen, enzovoort. U kunt ook een specifiek tijdsbestek kiezen door op Aangepast bereik te klikken. Bijvoorbeeld:

    Schermopname die laat zien hoe u een tijdsbestek kiest.

  • Tijdlijnfilters: Om uw onderzoekservaring te verbeteren, kunt u de tijdlijnfilters gebruiken: Type (waarschuwingen en/of gerelateerde activiteiten van de gebruiker), Ernst van waarschuwingen, Activiteitstype, App, Locatie, Protocol. Elk filter is afhankelijk van de andere filters en de opties in elk filter (vervolgkeuzelijst) bevatten alleen de gegevens die relevant zijn voor de specifieke gebruiker.

  • Knop Exporteren: U kunt de tijdlijn exporteren naar een CSV-bestand. Exporteren is beperkt tot de eerste 5000 records en bevat de gegevens zoals deze worden weergegeven in de gebruikersinterface (dezelfde filters en kolommen).

  • Aangepaste kolommen: U kunt kiezen welke kolommen u wilt weergeven in de tijdlijn door de knop Kolommen aanpassen te selecteren. Bijvoorbeeld:

    Schermopname van de afbeelding van de gebruiker.

Welke gegevenstypen zijn beschikbaar?

De volgende gegevenstypen zijn beschikbaar in de tijdlijn:

  • De getroffen waarschuwingen van een gebruiker
  • Active Directory- en Microsoft Entra-activiteiten
  • Gebeurtenissen van cloud-apps
  • Apparaataanmeldingsevenementen
  • Wijzigingen in directoryservices

Welke informatie wordt weergegeven?

De volgende informatie wordt weergegeven in de tijdlijn:

  • Datum en tijd van de activiteit
  • Beschrijving van activiteit/waarschuwing
  • Toepassing die de activiteit heeft uitgevoerd
  • Bronapparaat/IP-adres
  • MITRE ATT&CK-technieken
  • Ernst en status van waarschuwing
  • Land/regio waar het IP-adres van de client is geolocated
  • Protocol dat tijdens de communicatie wordt gebruikt
  • Doelapparaat (optioneel, zichtbaar door kolommen aan te passen)
  • Aantal keren dat de activiteit heeft plaatsgevonden (optioneel, zichtbaar door kolommen aan te passen)

Bijvoorbeeld:

Schermopname van het tabblad Tijdlijn.

Opmerking

Microsoft Defender XDR kunt datum- en tijdgegevens weergeven met behulp van uw lokale tijdzone of UTC. De geselecteerde tijdzone is van toepassing op alle datum- en tijdgegevens die worden weergegeven in de identiteitstijdlijn.

Als u de tijdzone voor deze functies wilt instellen, gaat u naar Instellingen>Beveiligingscentrum>Tijdzone.

Sentinel-gebeurtenissen

Als uw organisatie Microsoft Sentinel heeft onboardd naar de Defender-portal, bevindt dit extra tabblad zich op de pagina van de gebruikersentiteit. Op dit tabblad wordt de pagina Account-entiteit uit Microsoft Sentinel geïmporteerd.

Sentinel-tijdlijn

Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de gebruikersentiteit. Deze waarschuwingen omvatten waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en waarschuwingen die door Microsoft Sentinel zijn gemaakt vanuit externe, niet-Microsoft-gegevensbronnen.

Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze gebruikersentiteit, gebruikersactiviteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.

Inzichten

Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw gebruikersentiteit en bieden waardevolle beveiligingsinformatie in de vorm van gegevens in tabelvorm en grafieken. De inzichten omvatten gegevens met betrekking tot aanmeldingen, groepstoevoegingen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.

Hier volgen enkele van de inzichten die worden weergegeven:

  • Peers van gebruikers op basis van lidmaatschap van beveiligingsgroepen.
  • Acties per account.
  • Acties op account.
  • Gebeurtenislogboeken die door de gebruiker zijn gewist.
  • Groeps toevoegingen.
  • Afwijkend hoog aantal kantoorbewerkingen.
  • Resourcetoegang.
  • Een afwijkend hoog aantal azure-aanmeldingsresultaten.
  • UEBA-inzichten.
  • Gebruikerstoegangsmachtigingen voor Azure-abonnementen.
  • Bedreigingsindicatoren met betrekking tot de gebruiker.
  • Watchlist insights (preview).
  • Windows-aanmeldingsactiviteit.

De inzichten zijn gebaseerd op de volgende gegevensbronnen:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-agent)
  • CommonSecurityLog (Microsoft Sentinel)

Schermopname van het tabblad Sentinel-gebeurtenissen op de pagina gebruikersentiteit.

Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.

Schermopname van geavanceerd opsporingsscherm met inzichtquery.

Herstelacties

Op de pagina Overzicht kunt u deze extra acties uitvoeren:

  • De gebruiker inschakelen, uitschakelen of onderbreken in Microsoft Entra ID
  • Gebruiker doorsturen om bepaalde acties uit te voeren, zoals de gebruiker verplichten zich opnieuw aan te melden of het opnieuw instellen van het wachtwoord afdwingen
  • Onderzoeksprioriteitsscore voor de gebruiker opnieuw instellen
  • Bekijk Microsoft Entra accountinstellingen, gerelateerde governance, bestanden die eigendom zijn van de gebruiker of de gedeelde bestanden van de gebruiker

Schermopname van de acties voor herstel voor een gebruiker in de Microsoft Defender-portal

Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.

Volgende stappen

Indien nodig voor in-process incidenten, gaat u verder met uw onderzoek.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.