Badanie alertów w Microsoft Defender for Identity

Zbadaj alerty wpływające na środowisko, dowiedz się, co one oznaczają i jak je rozwiązać.

Rozpocznij badanie, wybierając alert na stronie Alerty w portalu Microsoft Defender. Na stronie alertów jest wyświetlana lista wszystkich alertów zabezpieczeń generowanych przez usługę Defender for Identity, w tym ich ważność, stan i zasoby, których dotyczy problem. Wybranie alertu powoduje otwarcie strony alertu zawierającej tytuł alertu, zasoby, których dotyczy problem, okienko po stronie szczegółów, a w niektórych przypadkach historię alertu.

Badanie przy użyciu scenariusza alertu

Historia alertu zawiera chronologiczny widok zdarzeń związanych z alertem. Pokazuje, co się stało, kiedy to się stało i które jednostki były zaangażowane przed i po zdarzeniu wyzwalającym. Ułatwia ona śledzenie sekwencji zdarzeń i zrozumienie sposobu generowania alertu.

Wykres alertów wizualnie mapuje użytkowników, urządzenia i kontrolery domeny biorące udział w alertie. Pokazuje, jak te jednostki wchodziły w interakcje, co ułatwia identyfikację relacji i wzorców w skrócie.

Sekcja Ważne informacje zawiera dodatkowe szczegóły techniczne, które obsługują badanie. Pomaga to zrozumieć, jakie działania zostały podjęte, kto je zainicjował i skąd pochodzi działanie. Ta sekcja zawiera nieprzetworzone dowody, które mogą pomóc w zweryfikowaniu alertu i poprowadzeniu kolejnych kroków.

Razem historia alertu, wykres alertów i ważne informacje zapewniają pełny obraz alertu. Pomagają one zrozumieć, co wyzwoliło alert, które jednostki były zaangażowane, oraz czy działanie wymaga dalszego zbadania lub działania.

Uwaga

Historia alertu jest widoczna tylko dla alertów korzystających z klasycznej struktury usługi Defender for Identity. Aby uzyskać więcej informacji na temat różnic w sposobie wyświetlania alertów w portalu usługi Defender, zobacz Wyświetlanie alertów i zarządzanie nimi.

Wykonaj akcję z okienka szczegółów

Po wybraniu interesującego alertu okienko szczegółów zmieni się, aby wyświetlić informacje o wybranym alertie, informacje historyczne, gdy jest on dostępny, i zaoferować zalecane akcje do podjęcia działań dotyczących tego alertu.

Po zakończeniu badania wróć do alertu, który został uruchomiony, oznacz stan alertu jako rozwiązany i zaklasyfikuj go jako alert False lub True. Klasyfikowanie alertów pomaga dostroić tę funkcję, aby zapewnić więcej prawdziwych alertów i mniej fałszywych alertów.

Zaawansowane badanie alertów zabezpieczeń

Aby uzyskać więcej informacji na temat alertu zabezpieczeń, wybierz pozycję Eksportuj na stronie szczegółów alertu, aby pobrać szczegółowy raport alertów programu Excel.

Uwaga

Opcja eksportu do programu Excel jest również dostępna tylko dla alertów korzystających z klasycznej struktury usługi Defender for Identity. Aby uzyskać więcej informacji na temat różnic w sposobie wyświetlania alertów w portalu usługi Defender, zobacz Wyświetlanie alertów i zarządzanie nimi.

Pobrany plik zawiera szczegóły podsumowania alertu na pierwszej karcie, w tym:

• Tytuł
• Opis
• Godzina rozpoczęcia (UTC)
• Godzina zakończenia (UTC)
• Ważność — niska/średnia/wysoka
• Stan — otwieranie/zamykanie
• Czas aktualizacji stanu (UTC)
• Wyświetl w przeglądarce

Wszystkie zaangażowane jednostki, w tym konta, komputery i zasoby, są rozdzielone ich rolą. W zależności od alertu podane są szczegóły dotyczące jednostki źródłowej, docelowej lub zaatakowanej.

Większość kart zawiera następujące dane na jednostkę:

• Name (Nazwa)

• Szczegóły

• Wpisać

• SamName

• Komputer źródłowy

• Użytkownik źródłowy (jeśli jest dostępny)

• Kontrolery domeny

• Dostępny zasób: czas, komputer, nazwa, szczegóły, typ, usługa.

• Powiązane jednostki: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json

• Wszystkie nieprzetworzone działania przechwycone przez usługę Defender for Identity Sensors związane z alertem (działania sieciowe lub zdarzeń), w tym:

  • Działania sieciowe
  • Działania zdarzeń

Niektóre alerty mają dodatkowe karty, takie jak szczegóły dotyczące:

• Zaatakowane konta, gdy podejrzany atak użył sił zbrojnych.
• Serwery systemu nazw domen (DNS), gdy podejrzewany atak obejmował rekonesans mapowania sieci (DNS).

Przykład:

Jak mogę użyć usługi Defender dla informacji o tożsamości w badaniu?

Badania mogą być w razie potrzeby tak szczegółowe. Poniżej przedstawiono kilka pomysłów dotyczących sposobów badania przy użyciu danych dostarczonych przez usługę Defender for Identity.

Powiązane jednostki

W każdym alertie ostatnia karta zawiera jednostki pokrewne. Jednostki pokrewne to wszystkie jednostki zaangażowane w podejrzane działanie bez rozdzielania "roli", jaką odegrały w alercie. Każda jednostka ma dwa pliki JSON: Unique Entity Json i Unique Entity Profile Json. Użyj tych dwóch plików JSON, aby dowiedzieć się więcej o jednostce i pomóc w zbadaniu alertu.

Unikatowy plik Json jednostki

Zawiera dane usługi Defender for Identity poznane w usłudze Active Directory dotyczące konta. Obejmuje to wszystkie atrybuty, takie jak Distinguished Name, SID, LockoutTime i PasswordExpiryTime. W przypadku kont użytkowników obejmują dane, takie jak Dział, Poczta i Numer telefonu. W przypadku kont komputerów zawiera dane, takie jak OperatingSystem, IsDomainController i DnsName.

Plik Json unikatowego profilu jednostki

Zawiera wszystkie dane usługi Defender for Identity profilowane w jednostce. Usługa Defender for Identity korzysta z przechwyconych działań sieciowych i zdarzeń, aby dowiedzieć się więcej o użytkownikach i komputerach środowiska. Usługa Defender for Identity profiluje odpowiednie informacje na jednostkę. Te informacje współtworzą możliwości identyfikacji zagrożeń usługi Defender for Identity.

Aby uzyskać więcej informacji na temat pracy z alertami zabezpieczeń usługi Defender for Identity, zobacz Praca z alertami zabezpieczeń.

Zawartość pokrewna

• Rozpoznawanie nazw sieci w Microsoft Defender for Identity
• Alerty rekonesansu i odnajdywania
• Alerty eskalacji trwałości i uprawnień