Strona jednostki użytkownika w Microsoft Defender
Strona jednostki użytkownika w portalu Microsoft Defender ułatwia badanie jednostek użytkowników. Strona zawiera wszystkie ważne informacje o danej jednostce użytkownika. Jeśli alert lub zdarzenie wskazuje, że użytkownik może zostać naruszona lub jest podejrzany, sprawdź i zbadaj jednostkę użytkownika.
Informacje o jednostce użytkownika można znaleźć w następujących widokach:
- Strona Tożsamości w obszarze Zasoby
- Kolejka alertów
- Każdy indywidualny alert/zdarzenie
- Strona Urządzenia
- Dowolna strona jednostki urządzenia
- Dziennik aktywności
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
- Centrum akcji
Wszędzie tam, gdzie jednostki użytkownika są wyświetlane w tych widokach, wybierz jednostkę, aby wyświetlić stronę Użytkownik , która zawiera więcej szczegółów na temat użytkownika. Na przykład szczegółowe informacje o kontach użytkowników zidentyfikowane w alertach zdarzenia w portalu Microsoft Defender można znaleźć w temacie Zdarzenia & alerty > Użytkownicy zasobów >zdarzenia> zdarzenia>.
Podczas badania określonej jednostki użytkownika na stronie jednostki są widoczne następujące karty:
Omówienie, w tym szczegóły jednostki, widok wizualny zdarzeń i alertów, flagi kontroli konta użytkownika itd.
Karta Zdarzenia i alerty
Karta Oś czasu
karta zdarzeń Sentinel
Na stronie użytkownika jest wyświetlana Microsoft Entra organizacji, a także grup, co ułatwia zrozumienie grup i uprawnień skojarzonych z użytkownikiem.
Ważne
Microsoft Sentinel jest ogólnie dostępna w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft w portalu Microsoft Defender. W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Panel Szczegóły jednostki po lewej stronie zawiera informacje o użytkowniku, takie jak poziom ryzyka tożsamości Microsoft Entra, poziom ważności ryzyka wewnętrznego (wersja zapoznawcza), liczba urządzeń, do których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatni raz widziany, konta użytkownika, grupy, do których należy użytkownik, informacje kontaktowe, i nie tylko. W zależności od włączonych funkcji integracji zostaną wyświetlone inne szczegóły.
Uwaga
Wynik priorytetu badania został przestarzały 3 grudnia 2025 r. W związku z tym zarówno podział wyniku priorytetu badania, jak i karty Ocenione działania zostały usunięte z interfejsu użytkownika.
Uwaga
(wersja zapoznawcza) Microsoft Defender XDR użytkownicy z dostępem do Zarządzanie ryzykiem wewnętrznym w Microsoft Purview mogą teraz zobaczyć ważność ryzyka związanego z wewnętrznym dostępem użytkownika i uzyskać szczegółowe informacje na temat podejrzanych działań użytkownika na stronie użytkownika. Wybierz ważność ryzyka wewnętrznego w obszarze Szczegóły jednostki, aby wyświetlić szczegółowe informacje o ryzyku dotyczące użytkownika.
Ta karta zawiera wszystkie zdarzenia i alerty skojarzone z jednostką użytkownika pogrupowane według ważności.
Ta karta Microsoft Defender for Identity ustawienia zabezpieczeń, które mogą wymagać Twojej uwagi. Możesz zobaczyć ważne flagi dotyczące ustawień konta użytkownika, na przykład jeśli użytkownik może nacisnąć Enter, aby pominąć hasło, a jeśli użytkownik ma hasło, które nigdy nie wygasa itp.
Aby uzyskać więcej informacji, zobacz Flagi kontroli konta użytkownika.
W tej sekcji przedstawiono miejsce jednostki użytkownika w hierarchii organizacyjnej zgłaszane przez Microsoft Defender for Identity.
Microsoft Defender for Identity ściąga tagi z usługi Active Directory, aby zapewnić jeden interfejs do monitorowania użytkowników i jednostek usługi Active Directory. Tagi zawierają szczegółowe informacje z usługi Active Directory dotyczące jednostki i obejmują:
Name (Nazwa) | Opis |
---|---|
Nowy | Wskazuje, że jednostka została utworzona mniej niż 30 dni temu. |
Deleted | Wskazuje, że jednostka została trwale usunięta z usługi Active Directory. |
Wyłączona | Wskazuje, że jednostka jest obecnie wyłączona w usłudze Active Directory.
Wyłączony atrybut to flaga usługi Active Directory, która jest dostępna dla kont użytkowników, kont komputerów i innych obiektów, aby wskazać, że obiekt nie jest obecnie używany. Po wyłączeniu obiektu nie można go użyć do logowania się ani wykonywania akcji w domenie. |
Włączone | Wskazuje, że jednostka jest obecnie włączona w usłudze Active Directory, co wskazuje, że jednostka jest obecnie używana i może służyć do logowania się lub wykonywania akcji w domenie. |
Wygasła | Wskazuje, że jednostka wygasła w usłudze Active Directory. Po wygaśnięciu konta użytkownika użytkownik nie może już logować się do domeny ani uzyskiwać dostępu do żadnych zasobów sieciowych. Wygasłe konto jest zasadniczo traktowane tak, jakby zostało wyłączone, ale z jawną datą wygaśnięcia ustawioną. Może to mieć wpływ na wszystkie usługi lub aplikacje, do których użytkownik miał autoryzację dostępu, w zależności od sposobu ich konfiguracji. |
Honeytoken | Wskazuje, że jednostka jest ręcznie oznaczona jako honeytoken. |
Zablokowane | Wskazuje, że jednostka dostarczyła nieprawidłowe hasło zbyt wiele razy i jest teraz zablokowana. |
Częściowy | Wskazuje, że użytkownik, urządzenie lub grupa nie jest w synchronizacji z domeną i jest częściowo rozpoznawany za pośrednictwem wykazu globalnego. W takim przypadku niektóre atrybuty nie są dostępne. |
Nierozwiązane | Wskazuje, że urządzenie nie rozpoznaje prawidłowej tożsamości w lesie usługi Active Directory. Brak dostępnych informacji o katalogu. |
Czuły | Wskazuje, że jednostka jest traktowana jako wrażliwa. |
Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR).
Uwaga
Sekcja drzewa organizacji i tagi konta są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.
Na tej karcie można wyświetlić wszystkie aktywne zdarzenia i alerty dotyczące użytkownika z ostatnich sześciu miesięcy. Wszystkie informacje z głównych zdarzeń i kolejek alertów są wyświetlane tutaj. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.
Możesz dostosować liczbę wyświetlanych elementów i kolumny wyświetlane dla każdego elementu. Domyślnym zachowaniem jest wyświetlenie listy 30 elementów na stronę. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.
Kolumna jednostki, których dotyczy problem , odnosi się do wszystkich jednostek urządzenia i użytkownika, do których odwołuje się zdarzenie lub alert.
Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.
Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.
Urządzenia: w tej sekcji przedstawiono wszystkie urządzenia, do których zalogowała się jednostka użytkownika w ciągu ostatnich 180 dni, wskazując najczęściej i najmniej używane.
Lokalizacje: w tej sekcji przedstawiono wszystkie obserwowane lokalizacje jednostki użytkownika w ciągu ostatnich 30 dni.
Grupy: w tej sekcji przedstawiono wszystkie obserwowane grupy lokalne dla jednostki użytkownika, zgodnie z raportem Microsoft Defender for Identity.
Ścieżki ruchu bocznego: w tej sekcji przedstawiono wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego wykryte przez usługę Defender for Identity.
Uwaga
Grupy i boczne ścieżki przenoszenia są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.
Wybranie karty Ruchy boczne umożliwia wyświetlenie w pełni dynamicznej i klikalnej mapy, na której można zobaczyć ścieżki ruchu bocznego do i od użytkownika. Osoba atakująca może użyć informacji o ścieżce do infiltracji sieci.
Mapa zawiera listę innych urządzeń lub użytkowników, z których osoba atakująca może skorzystać, aby naruszyć poufne konto. Jeśli użytkownik ma poufne konto, możesz zobaczyć, ile zasobów i kont jest bezpośrednio połączonych.
Raport ścieżki ruchu bocznego, który można wyświetlić według daty, jest zawsze dostępny, aby dostarczyć informacji o potencjalnych odnalezionych ścieżkach ruchu bocznego i można go dostosować według czasu. Wybierz inną datę przy użyciu opcji Wyświetl inną datę , aby wyświetlić poprzednie ścieżki ruchu bocznego znalezione dla jednostki. Wykres jest wyświetlany tylko wtedy, gdy w ciągu ostatnich dwóch dni znaleziono potencjalną ścieżkę ruchu bocznego dla jednostki.
Na osi czasu są wyświetlane działania użytkownika i alerty obserwowane na podstawie tożsamości użytkownika w ciągu ostatnich 180 dni. Ujednolica ona wpisy tożsamości użytkownika w obciążeniach Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender. Korzystając z osi czasu, możesz skupić się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasowych.
Aby użytkownicy ujednoliconej platformy SOC mogli wyświetlać alerty z Microsoft Sentinel na podstawie źródeł danych innych niż te z poprzedniego akapitu, mogą znaleźć te alerty i inne informacje na karcie zdarzeń Sentinel, opisanej poniżej.
Niestandardowy selektor zakresu czasu: Możesz wybrać przedział czasu, aby skoncentrować badanie na ostatnich 24 godzinach, ostatnich 3 dniach itd. Możesz też wybrać określony przedział czasu, klikając pozycję Zakres niestandardowy. Przefiltrowane dane starsze niż 30 dni są wyświetlane w siedmiodniowych interwałach.
Przykład:Filtry osi czasu: Aby ulepszyć środowisko badania, można użyć filtrów osi czasu: Typ (Alerty i/lub powiązane działania użytkownika), Ważność alertu, Typ działania, Aplikacja, Lokalizacja, Protokół. Każdy filtr zależy od innych, a opcje w każdym filtrze (lista rozwijana) zawierają tylko dane, które są istotne dla określonego użytkownika.
Przycisk Eksportuj: Możesz wyeksportować oś czasu do pliku CSV. Eksport jest ograniczony do pierwszych 5000 rekordów i zawiera dane wyświetlane w interfejsie użytkownika (te same filtry i kolumny).
Dostosowane kolumny: Możesz wybrać kolumny, które mają zostać uwidoczniane na osi czasu, wybierając przycisk Dostosuj kolumny . Przykład:
Na osi czasu są dostępne następujące typy danych:
- Alerty użytkownika, których dotyczy problem
- Działania usługi Active Directory i Microsoft Entra
- Zdarzenia aplikacji w chmurze
- Zdarzenia logowania urządzenia
- Zmiany usług katalogowych
Na osi czasu są wyświetlane następujące informacje:
- Data i godzina działania
- Opis działania/alertu
- Aplikacja, która wykonała działanie
- Urządzenie źródłowe/adres IP
- MITRE ATT&techniki CK
- Ważność i stan alertu
- Kraj/region, w którym adres IP klienta jest geolokalizowany
- Protokół używany podczas komunikacji
- Urządzenie docelowe (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
- Ile razy wystąpiło działanie (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
Przykład:
Uwaga
Microsoft Defender XDR mogą wyświetlać informacje o dacie i godzinie przy użyciu lokalnej strefy czasowej lub czasu UTC. Wybrana strefa czasowa będzie miała zastosowanie do wszystkich informacji o dacie i godzinie wyświetlanych na osi czasu tożsamości.
Aby ustawić strefę czasowa dla tych funkcji, przejdź do pozycji Ustawienia>Strefaczasowa Centrum > zabezpieczeń.
Jeśli twoja organizacja dołączyła Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki użytkownika. Ta karta importuje stronę Jednostki konta z Microsoft Sentinel.
Na tej osi czasu są wyświetlane alerty skojarzone z jednostką użytkownika. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez Microsoft Sentinel ze źródeł danych innych firm, spoza firmy Microsoft.
Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań odwołujące się do tej jednostki użytkownika, zdarzenia aktywności użytkownika z zewnętrznych źródeł danych oraz nietypowe zachowania wykryte przez reguły anomalii Microsoft Sentinel.
Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące jednostki użytkownika, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i innych elementów oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.
Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:
- Elementy równorzędne użytkowników oparte na członkostwie w grupach zabezpieczeń.
- Akcje według konta.
- Akcje na koncie.
- Dzienniki zdarzeń wyczyszczone przez użytkownika.
- Dodatki grupowe.
- Nietypowo wysoka liczba operacji w biurze.
- Dostęp do zasobów.
- Nietypowo wysoka liczba wyników logowania na platformie Azure.
- Szczegółowe informacje o ueba.
- Uprawnienia dostępu użytkowników do subskrypcji platformy Azure.
- Wskaźniki zagrożeń związane z użytkownikiem.
- Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
- Działanie logowania w systemie Windows.
Szczegółowe informacje są oparte na następujących źródłach danych:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Tożsamość Microsoft Entra)
- SigninLogs (Tożsamość Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Puls (agent usługi Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.
Na stronie Przegląd możesz wykonać następujące dodatkowe akcje:
- Włączanie, wyłączanie lub zawieszanie użytkownika w Tożsamość Microsoft Entra
- Bezpośredni użytkownik wykonuje pewne akcje, takie jak wymaganie od użytkownika ponownego zalogowania się lub wymuszanie resetowania hasła
- Wyświetlanie Microsoft Entra ustawień konta, powiązanego ładu, plików należących do użytkownika lub udostępnionych plików użytkownika
Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity.
W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.
- Omówienie zdarzeń
- Określanie priorytetów zdarzeń
- Zarządzanie zdarzeniami
- omówienie Microsoft Defender XDR
- Włącz Microsoft Defender XDR
- Strona jednostki urządzenia w Microsoft Defender
- Strona jednostki adresu IP w Microsoft Defender
- integracja Microsoft Defender XDR z Microsoft Sentinel
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.