Strona jednostki użytkownika w usłudze Microsoft Defender
Strona jednostki użytkownika w portalu usługi Microsoft Defender ułatwia badanie jednostek użytkowników. Strona zawiera wszystkie ważne informacje o danej jednostce użytkownika. Jeśli alert lub zdarzenie wskazuje, że użytkownik może zostać naruszona lub jest podejrzany, sprawdź i zbadaj jednostkę użytkownika.
Informacje o jednostce użytkownika można znaleźć w następujących widokach:
- Strona Tożsamości w obszarze Zasoby
- Kolejka alertów
- Każdy indywidualny alert/zdarzenie
- Strona Urządzenia
- Dowolna strona jednostki urządzenia
- Dziennik aktywności
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
- Centrum akcji
Wszędzie tam, gdzie jednostki użytkownika są wyświetlane w tych widokach, wybierz jednostkę, aby wyświetlić stronę Użytkownik , która zawiera więcej szczegółów na temat użytkownika. Na przykład szczegółowe informacje o kontach użytkowników zidentyfikowanych w alertach zdarzenia w portalu usługi Microsoft Defender można znaleźć w temacie Zdarzenia & alerty >>> Zdarzenia zdarzenia Użytkownicy zasobów>.
Podczas badania określonej jednostki użytkownika na stronie jednostki są widoczne następujące karty:
- Omówienie, w tym szczegóły jednostki, widok wizualizacji zdarzeń i alertów, priorytet badania i oceniona oś czasu
- Karta Zdarzenia i alerty
- Obserwowane na karcie organizacji
- Karta Oś czasu
- Karta Zdarzenia usługi Sentinel
Na stronie użytkownika jest wyświetlana organizacja Microsoft Entra, a także grupy ułatwiające zrozumienie grup i uprawnień skojarzonych z użytkownikiem.
Ważna
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Omówienie
Szczegóły jednostki
Panel Szczegóły jednostki po lewej stronie zawiera informacje o użytkowniku, takie jak poziom ryzyka tożsamości w usłudze Microsoft Entra, liczba urządzeń, do których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatni raz widziany, konta użytkownika, grupy, do których należy użytkownik, informacje kontaktowe i inne. W zależności od włączonych funkcji integracji zostaną wyświetlone inne szczegóły.
Wizualny widok zdarzeń i alertów
Ta karta zawiera wszystkie zdarzenia i alerty skojarzone z jednostką użytkownika pogrupowane według ważności.
Priorytet badania
Ta karta zawiera podział wskaźnika priorytetu badania obliczeniowego jednostki użytkownika oraz dwutygodniowy trend dla tego wyniku, w tym percentyl wyniku w stosunku do dzierżawy.
Kontrolki konta usługi Active Directory
Ta karta udostępnia ustawienia zabezpieczeń usługi Microsoft Defender for Identity, które mogą wymagać Twojej uwagi. Możesz zobaczyć ważne flagi dotyczące ustawień konta użytkownika, na przykład jeśli użytkownik może nacisnąć Enter, aby pominąć hasło, a jeśli użytkownik ma hasło, które nigdy nie wygasa itp.
Aby uzyskać więcej informacji, zobacz Flagi kontroli konta użytkownika.
Ocenione działania
Ta karta zawiera wszystkie działania i alerty przyczyniające się do oceny priorytetu badania jednostki w ciągu ostatnich siedmiu dni.
Drzewo organizacji
W tej sekcji przedstawiono miejsce jednostki użytkownika w hierarchii organizacyjnej zgłoszone przez usługę Microsoft Defender for Identity.
Tagi konta
Usługa Microsoft Defender for Identity pobiera tagi z usługi Active Directory, aby zapewnić jeden interfejs do monitorowania użytkowników i jednostek usługi Active Directory. Tagi zawierają szczegółowe informacje z usługi Active Directory dotyczące jednostki i obejmują:
Name (Nazwa) | Opis |
---|---|
Nowy | Wskazuje, że jednostka została utworzona mniej niż 30 dni temu. |
Deleted | Wskazuje, że jednostka została trwale usunięta z usługi Active Directory. |
Wyłączona | Wskazuje, że jednostka jest obecnie wyłączona w usłudze Active Directory.
Wyłączony atrybut to flaga usługi Active Directory, która jest dostępna dla kont użytkowników, kont komputerów i innych obiektów, aby wskazać, że obiekt nie jest obecnie używany. Po wyłączeniu obiektu nie można go użyć do logowania się ani wykonywania akcji w domenie. |
Włączone | Wskazuje, że jednostka jest obecnie włączona w usłudze Active Directory, co wskazuje, że jednostka jest obecnie używana i może służyć do logowania się lub wykonywania akcji w domenie. |
Wygasła | Wskazuje, że jednostka wygasła w usłudze Active Directory. Po wygaśnięciu konta użytkownika użytkownik nie może już logować się do domeny ani uzyskiwać dostępu do żadnych zasobów sieciowych. Wygasłe konto jest zasadniczo traktowane tak, jakby zostało wyłączone, ale z jawną datą wygaśnięcia ustawioną. Może to mieć wpływ na wszystkie usługi lub aplikacje, do których użytkownik miał autoryzację dostępu, w zależności od sposobu ich konfiguracji. |
Honeytoken | Wskazuje, że jednostka jest ręcznie oznaczona jako honeytoken. |
Zablokowane | Wskazuje, że jednostka dostarczyła nieprawidłowe hasło zbyt wiele razy i jest teraz zablokowana. |
Częściowy | Wskazuje, że użytkownik, urządzenie lub grupa nie jest w synchronizacji z domeną i jest częściowo rozpoznawany za pośrednictwem wykazu globalnego. W takim przypadku niektóre atrybuty nie są dostępne. |
Nierozwiązane | Wskazuje, że urządzenie nie rozpoznaje prawidłowej tożsamości w lesie usługi Active Directory. Brak dostępnych informacji o katalogu. |
Czuły | Wskazuje, że jednostka jest traktowana jako wrażliwa. |
Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR).
Uwaga
Sekcja drzewa organizacji i tagi konta są dostępne, gdy jest dostępna licencja usługi Microsoft Defender for Identity.
Zdarzenia i alerty
Na tej karcie można wyświetlić wszystkie aktywne zdarzenia i alerty dotyczące użytkownika z ostatnich sześciu miesięcy. Wszystkie informacje z głównych zdarzeń i kolejek alertów są wyświetlane tutaj. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.
Możesz dostosować liczbę wyświetlanych elementów i kolumny wyświetlane dla każdego elementu. Domyślnym zachowaniem jest wyświetlenie listy 30 elementów na stronę. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.
Kolumna jednostki, których dotyczy problem , odnosi się do wszystkich jednostek urządzenia i użytkownika, do których odwołuje się zdarzenie lub alert.
Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.
Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.
Obserwowane w organizacji
Urządzenia: w tej sekcji przedstawiono wszystkie urządzenia, do których zalogowała się jednostka użytkownika w ciągu ostatnich 180 dni, wskazując najczęściej i najmniej używane.
Lokalizacje: w tej sekcji przedstawiono wszystkie obserwowane lokalizacje jednostki użytkownika w ciągu ostatnich 30 dni.
Grupy: w tej sekcji przedstawiono wszystkie obserwowane grupy lokalne dla jednostki użytkownika, zgodnie z raportem usługi Microsoft Defender for Identity.
Ścieżki ruchu bocznego: w tej sekcji przedstawiono wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego wykryte przez usługę Defender for Identity.
Uwaga
Grupy i ścieżki ruchu bocznego są dostępne, gdy jest dostępna licencja usługi Microsoft Defender for Identity.
Wybranie karty Ruchy boczne umożliwia wyświetlenie w pełni dynamicznej i klikalnej mapy, na której można zobaczyć ścieżki ruchu bocznego do i od użytkownika. Osoba atakująca może użyć informacji o ścieżce do infiltracji sieci.
Mapa zawiera listę innych urządzeń lub użytkowników, z których osoba atakująca może skorzystać, aby naruszyć poufne konto. Jeśli użytkownik ma poufne konto, możesz zobaczyć, ile zasobów i kont jest bezpośrednio połączonych.
Raport ścieżki ruchu bocznego, który można wyświetlić według daty, jest zawsze dostępny, aby dostarczyć informacji o potencjalnych odnalezionych ścieżkach ruchu bocznego i można go dostosować według czasu. Wybierz inną datę przy użyciu opcji Wyświetl inną datę , aby wyświetlić poprzednie ścieżki ruchu bocznego znalezione dla jednostki. Wykres jest wyświetlany tylko wtedy, gdy w ciągu ostatnich dwóch dni znaleziono potencjalną ścieżkę ruchu bocznego dla jednostki.
Oś czasu
Na osi czasu są wyświetlane działania użytkownika i alerty obserwowane na podstawie tożsamości użytkownika w ciągu ostatnich 30 dni. Ujednolica ona wpisy tożsamości użytkownika w ramach obciążeń Usługi Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Microsoft Defender for Endpoint. Korzystając z osi czasu, możesz skupić się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasowych.
Aby użytkownicy ujednoliconej platformy SOC mogli wyświetlać alerty z usługi Microsoft Sentinel oparte na źródłach danych innych niż te z poprzedniego akapitu, mogą znaleźć te alerty i inne informacje na karcie Zdarzenia usługi Sentinel opisane poniżej.
Niestandardowy selektor zakresu czasu: Możesz wybrać przedział czasu, aby skoncentrować badanie na ostatnich 24 godzinach, ostatnich 3 dniach itd. Możesz też wybrać określony przedział czasu, klikając pozycję Zakres niestandardowy. Przykład:
Filtry osi czasu: Aby ulepszyć środowisko badania, można użyć filtrów osi czasu: Typ (Alerty i/lub powiązane działania użytkownika), Ważność alertu, Typ działania, Aplikacja, Lokalizacja, Protokół. Każdy filtr zależy od innych, a opcje w każdym filtrze (lista rozwijana) zawierają tylko dane, które są istotne dla określonego użytkownika.
Przycisk Eksportuj: Możesz wyeksportować oś czasu do pliku CSV. Eksport jest ograniczony do pierwszych 5000 rekordów i zawiera dane wyświetlane w interfejsie użytkownika (te same filtry i kolumny).
Dostosowane kolumny: Możesz wybrać kolumny, które mają zostać uwidoczniane na osi czasu, wybierając przycisk Dostosuj kolumny . Przykład:
Jakie typy danych są dostępne?
Na osi czasu są dostępne następujące typy danych:
- Alerty użytkownika, których dotyczy problem
- Działania usługi Active Directory i Microsoft Entra
- Zdarzenia aplikacji w chmurze
- Zdarzenia logowania urządzenia
- Zmiany usług katalogowych
Jakie informacje są wyświetlane?
Na osi czasu są wyświetlane następujące informacje:
- Data i godzina działania
- Opis działania/alertu
- Aplikacja, która wykonała działanie
- Urządzenie źródłowe/adres IP
- MITRE ATT&techniki CK
- Ważność i stan alertu
- Kraj/region, w którym adres IP klienta jest geolokalizowany
- Protokół używany podczas komunikacji
- Urządzenie docelowe (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
- Ile razy wystąpiło działanie (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
Przykład:
Uwaga
Usługa Microsoft Defender XDR może wyświetlać informacje o dacie i godzinie przy użyciu lokalnej strefy czasowej lub czasu UTC. Wybrana strefa czasowa będzie miała zastosowanie do wszystkich informacji o dacie i godzinie wyświetlanych na osi czasu tożsamości.
Aby ustawić strefę czasowa dla tych funkcji, przejdź do pozycji Ustawienia>Strefaczasowa Centrum > zabezpieczeń.
Zdarzenia usługi Sentinel
Jeśli Twoja organizacja dołączyła usługę Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki użytkownika. Ta karta importuje stronę Jednostki konta z usługi Microsoft Sentinel.
Oś czasu usługi Sentinel
Na tej osi czasu są wyświetlane alerty skojarzone z jednostką użytkownika. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez usługę Microsoft Sentinel z zewnętrznych źródeł danych innych firm, spoza firmy Microsoft.
Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań, które odwołują się do tej jednostki użytkownika, zdarzeń aktywności użytkownika z zewnętrznych źródeł danych i nietypowych zachowań wykrytych przez reguły anomalii usługi Microsoft Sentinel.
Wyniki analizy
Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące jednostki użytkownika, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i innych elementów oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.
Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:
- Elementy równorzędne użytkowników oparte na członkostwie w grupach zabezpieczeń.
- Akcje według konta.
- Akcje na koncie.
- Dzienniki zdarzeń wyczyszczone przez użytkownika.
- Dodatki grupowe.
- Nietypowo wysoka liczba operacji w biurze.
- Dostęp do zasobów.
- Nietypowo wysoka liczba wyników logowania na platformie Azure.
- Szczegółowe informacje o ueba.
- Uprawnienia dostępu użytkowników do subskrypcji platformy Azure.
- Wskaźniki zagrożeń związane z użytkownikiem.
- Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
- Działanie logowania w systemie Windows.
Szczegółowe informacje są oparte na następujących źródłach danych:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Puls (agent usługi Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.
Działania naprawcze
Na stronie Przegląd możesz wykonać następujące dodatkowe akcje:
- Włączanie, wyłączanie lub zawieszanie użytkownika w identyfikatorze Microsoft Entra
- Bezpośredni użytkownik wykonuje pewne akcje, takie jak wymaganie od użytkownika ponownego zalogowania się lub wymuszanie resetowania hasła
- Resetowanie wyniku priorytetu badania dla użytkownika
- Wyświetlanie ustawień konta Microsoft Entra, powiązanego ładu, plików należących do użytkownika lub udostępnionych plików użytkownika
Aby uzyskać więcej informacji, zobacz Akcje korygowania w usłudze Microsoft Defender for Identity.
Następne kroki
W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.
Zobacz też
- Omówienie zdarzeń
- Określanie priorytetów zdarzeń
- Zarządzanie zdarzeniami
- Omówienie usługi Microsoft Defender XDR
- Włączanie usługi Microsoft Defender XDR
- Strona jednostki urządzenia w usłudze Microsoft Defender
- Strona jednostki adresu IP w usłudze Microsoft Defender
- Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.