Página entidade de usuário no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A página entidade de usuário no portal Microsoft Defender ajuda na investigação de entidades de usuário. A página contém todas as informações importantes sobre uma determinada entidade de usuário. Se um alerta ou incidente indicar que um usuário pode estar comprometido ou suspeito, marcar e investigue a entidade de usuário.

Você pode encontrar informações da entidade de usuário nas seguintes exibições:

  • Página Identidades, em Ativos
  • Fila de alertas
  • Qualquer alerta/incidente individual
  • Página de dispositivos
  • Qualquer página de entidade de dispositivo individual
  • Log de atividades
  • Consultas de caça avançadas
  • Central de Ações

Onde quer que as entidades de usuário apareçam nessas exibições, selecione a entidade para exibir a página Usuário , que exibe mais detalhes sobre o usuário. Por exemplo, você pode ver os detalhes das contas de usuário identificadas nos alertas de um incidente no portal Microsoft Defender em Incidentes & alertas Incidentes >Incidentes> Usuários > de Ativos>.

Captura de tela da página Usuários para um incidente no portal Microsoft Defender.

Ao investigar uma entidade de usuário específica, você verá as seguintes guias em sua página de entidade:

A página de usuário mostra o Microsoft Entra organização, bem como grupos, ajudando você a entender os grupos e permissões associados a um usuário.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal Microsoft Defender.

Visão Geral

Detalhes da entidade

O painel detalhes da entidade no lado esquerdo da página fornece informações sobre o usuário, como o nível de risco de identidade Microsoft Entra, o número de dispositivos aos quais o usuário está conectado, quando o usuário foi visto pela primeira e última vez, as contas do usuário, grupos aos quais o usuário pertence, informações de contato e muito mais. Você verá outros detalhes dependendo dos recursos de integração habilitados.

Exibição visual de incidentes e alertas

Essa cartão inclui todos os incidentes e alertas associados à entidade de usuário, agrupados pela gravidade.

Prioridade de investigação

Essa cartão inclui a divisão calculada da pontuação de prioridade de investigação da entidade de usuário e uma tendência de duas semanas para essa pontuação, incluindo o percentil da pontuação em relação ao locatário.

Controles de conta do active directory

Esse cartão aparece Microsoft Defender para Identidade configurações de segurança que podem precisar de sua atenção. Você pode ver sinalizadores importantes sobre as configurações da conta do usuário, como se o usuário puder pressionar enter para ignorar a senha e se o usuário tiver uma senha que nunca expira, etc.

Para obter mais informações, consulte Sinalizadores de Controle de Conta de Usuário.

Atividades pontuadas

Este cartão inclui todas as atividades e alertas que contribuem para a pontuação de prioridade de investigação da entidade nos últimos sete dias.

Árvore de organização

Esta seção mostra o lugar da entidade de usuário na hierarquia organizacional, conforme relatado por Microsoft Defender para Identidade.

Marcas de conta

Microsoft Defender para Identidade retira marcas do Active Directory para fornecer uma única interface para monitorar seus usuários e entidades do Active Directory. As marcas fornecem detalhes do Active Directory sobre a entidade e incluem:

Nome Descrição
New Indica que a entidade foi criada há menos de 30 dias.
Excluído Indica que a entidade foi excluída permanentemente do Active Directory.
Disabled Indica que a entidade está atualmente desabilitada no Active Directory. O atributo desabilitado é um sinalizador do Active Directory disponível para contas de usuário, contas de computador e outros objetos para indicar que o objeto não está em uso no momento.

Quando um objeto é desabilitado, ele não pode ser usado para entrar ou executar ações no domínio.
Enabled Indica que a entidade está atualmente habilitada no Active Directory, indicando que a entidade está atualmente em uso e pode ser usada para entrar ou executar ações no domínio.
Expirada Indica que a entidade expirou no Active Directory. Quando uma conta de usuário expirar, o usuário não poderá mais fazer logon no domínio ou acessar recursos de rede. A conta expirada é essencialmente tratada como se estivesse desabilitada, mas com uma data de validade explícita definida.

Todos os serviços ou aplicativos que o usuário foi autorizado a acessar também podem ser afetados, dependendo de como eles estão configurados.
Honeytoken Indica que a entidade é marcada manualmente como um honeytoken.
Locked Indica que a entidade forneceu a senha errada muitas vezes e agora está bloqueada.
Parcial Indica que o usuário, o dispositivo ou o grupo não está em sincronização com o domínio e é parcialmente resolvido por meio de um catálogo global. Nesse caso, alguns atributos não estão disponíveis.
Resolvido Indica que o dispositivo não resolve a uma identidade válida na floresta do Active Directory. Nenhuma informação de diretório está disponível.
Confidencial Indica que a entidade é considerada confidencial.

Para obter mais informações, consulte Marcas de entidade do Defender para Identidade no Microsoft Defender XDR.

Observação

A seção árvore da organização e as marcas da conta estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.

Captura de tela da página de um usuário específico no portal do Microsoft Defender

Incidentes e alertas

Você pode ver todos os incidentes e alertas ativos envolvendo o usuário dos últimos seis meses nesta guia. Todas as informações das filas de main incidentes e alertas são mostradas aqui. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, sua gravidade (alta, média, baixa, informativa), sua status na fila (nova, em andamento, resolvida), sua classificação (não definida, alerta falso, alerta verdadeiro), estado de investigação, categoria, que é atribuída para endereçá-la e última atividade observada.

Você pode personalizar o número de itens exibidos e quais colunas são exibidas para cada item. O comportamento padrão é listar 30 itens por página. Você também pode filtrar os alertas por severidade, status ou qualquer outra coluna no display.

A coluna entidades afetadas refere-se a todas as entidades de dispositivo e usuário referenciadas no incidente ou alerta.

Quando um incidente ou alerta é selecionado, um fly-out é exibido. Neste painel, você pode gerenciar o incidente ou o alerta e exibir mais detalhes, como número de incidente/alerta e dispositivos relacionados. Vários alertas podem ser selecionados por vez.

Para ver uma exibição de página inteira de um incidente ou alerta, selecione seu título.

Captura de tela dos alertas relacionados da conta de usuário vistos na guia Alertas no portal Microsoft Defender

Observado na organização

  • Dispositivos: esta seção mostra todos os dispositivos em que a entidade de usuário entrou nos últimos 180 dias, indicando o mais e menos usado.

  • Locais: esta seção mostra todos os locais observados para a entidade de usuário nos últimos 30 dias.

  • Grupos: esta seção mostra todos os grupos locais observados para a entidade de usuário, conforme relatado por Microsoft Defender para Identidade.

  • Caminhos de movimento lateral: esta seção mostra todos os caminhos de movimento lateral perfilado do ambiente local, conforme detectado pelo Defender para Identidade.

Observação

Grupos e caminhos de movimentação lateral estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.

Selecionar a guia Movimentos laterais permite exibir um mapa totalmente dinâmico e clicável em que você pode ver os caminhos de movimento lateral de e para um usuário. Um invasor pode usar as informações de caminho para se infiltrar em sua rede.

O mapa fornece uma lista de outros dispositivos ou usuários que um invasor pode aproveitar para comprometer uma conta confidencial. Se o usuário tiver uma conta confidencial, você poderá ver quantos recursos e contas estão diretamente conectados.

O relatório de caminho de movimento lateral, que pode ser exibido por data, está sempre disponível para fornecer informações sobre os possíveis caminhos de movimentação lateral descobertos e pode ser personalizado por hora. Selecione uma data diferente usando Exibir uma data diferente para exibir os caminhos de movimento lateral anteriores encontrados para uma entidade. O grafo só será exibido se um possível caminho de movimento lateral tiver sido encontrado para uma entidade nos últimos dois dias.

Captura de tela do modo de exibição Observado na organização mostrando caminhos de movimento de dispositivo, grupo, local e lateral para um usuário no portal Microsoft Defender

Linha do tempo

O linha do tempo exibe atividades do usuário e alertas observados da identidade de um usuário nos últimos 30 dias. Ele unifica as entradas de identidade do usuário em cargas de trabalho Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Ponto de Extremidade. Usando o linha do tempo, você pode se concentrar em atividades executadas pelo usuário ou executadas em períodos específicos.

Para que os usuários da plataforma soc unificada vejam alertas do Microsoft Sentinel com base em fontes de dados diferentes das do parágrafo anterior, eles podem encontrar esses alertas e outras informações na guia eventos do Sentinel , descritas abaixo.

  • Seletor de intervalo de tempo personalizado: Você pode escolher um prazo para concentrar sua investigação nas últimas 24 horas, nos últimos 3 dias e assim por diante. Ou você pode escolher um período específico clicando no intervalo personalizado. Por exemplo:

    Captura de tela que mostra como escolher o período de tempo.

  • Filtros de linha do tempo: Para melhorar sua experiência de investigação, você pode usar os filtros linha do tempo: Tipo (Alertas e/ou atividades relacionadas do usuário), Gravidade do alerta, Tipo de atividade, Aplicativo, Localização, Protocolo. Cada filtro depende dos outros e as opções em cada filtro (suspenso) contêm apenas os dados relevantes para o usuário específico.

  • Botão Exportar: Você pode exportar o linha do tempo para um arquivo CSV. A exportação é limitada aos primeiros 5.000 registros e contém os dados exibidos na interface do usuário (os mesmos filtros e colunas).

  • Colunas personalizadas: Você pode escolher quais colunas expor no linha do tempo selecionando o botão Personalizar colunas. Por exemplo:

    Captura de tela que mostra a imagem do usuário.

Quais tipos de dados estão disponíveis?

Os seguintes tipos de dados estão disponíveis no linha do tempo:

  • Alertas afetados por um usuário
  • Atividades do Active Directory e Microsoft Entra
  • Eventos de aplicativos de nuvem
  • Eventos de logon do dispositivo
  • Alterações nos serviços de diretório

Quais informações são exibidas?

As seguintes informações são exibidas no linha do tempo:

  • Data e hora da atividade
  • Descrição de atividade/alerta
  • Aplicativo que executou a atividade
  • Endereço IP/dispositivo de origem
  • Técnicas do MITRE ATT&CK
  • Gravidade e status de alerta
  • País/região em que o endereço IP do cliente é geolocalizado
  • Protocolo usado durante a comunicação
  • Dispositivo de destino (opcional, acessível personalizando colunas)
  • Número de vezes que a atividade aconteceu (opcional, acessível personalizando colunas)

Por exemplo:

Captura de tela da guia Linha do Tempo.

Observação

Microsoft Defender XDR pode exibir informações de data e hora usando o fuso horário local ou UTC. O fuso horário selecionado se aplicará a todas as informações de data e hora mostradas no linha do tempo de identidade.

Para definir o fuso horário para esses recursos, acesse Configurações>Fuso horário dacentral> de segurança.

Eventos sentinelas

Se sua organização integrou o Microsoft Sentinel ao portal do Defender, essa guia adicional estará na página entidade do usuário. Essa guia importa a página Entidade de Conta do Microsoft Sentinel.

Sentinel linha do tempo

Este linha do tempo mostra alertas associados à entidade de usuário. Esses alertas incluem aqueles vistos na guia Incidentes e alertas e aqueles criados pelo Microsoft Sentinel de fontes de dados de terceiros e não da Microsoft.

Este linha do tempo também mostra caçadas marcadas de outras investigações que fazem referência a essa entidade de usuário, eventos de atividade do usuário de fontes de dados externas e comportamentos incomuns detectados pelas regras de anomalia do Microsoft Sentinel.

Insights

Os insights da entidade são consultas definidas pelos pesquisadores de segurança da Microsoft para ajudá-lo a investigar de forma mais eficiente e eficaz. Esses insights fazem automaticamente as grandes perguntas sobre sua entidade de usuário, fornecendo informações de segurança valiosas na forma de dados e gráficos tabulares. Os insights incluem dados sobre entradas, adições de grupo, eventos anômalos e muito mais e incluem algoritmos avançados de machine learning para detectar comportamentos anômalos.

Veja a seguir alguns dos insights mostrados:

  • Pares de usuários com base na associação de grupos de segurança.
  • Ações por conta.
  • Ações por conta.
  • Logs de eventos limpos pelo usuário.
  • Adições de grupo.
  • Contagem de operações de escritório anormalmente alta.
  • Acesso a recursos.
  • Contagem de resultados de entrada do Azure anormalmente alta.
  • Insights ueba.
  • Permissões de acesso do usuário para assinaturas do Azure.
  • Indicadores de ameaça relacionados ao usuário.
  • Insights da lista de observação (versão prévia).
  • Atividade de entrada do Windows.

Os insights são baseados nas seguintes fontes de dados:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Pulsação (Agente do Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Captura de tela da guia eventos do Sentinel na página entidade do usuário.

Se você quiser explorar ainda mais qualquer um dos insights neste painel, selecione o link que acompanha o insight. O link leva você para a página de caça avançada , onde exibe a consulta subjacente ao insight, juntamente com seus resultados brutos. Você pode modificar a consulta ou detalhar os resultados para expandir sua investigação ou apenas satisfazer sua curiosidade.

Captura de tela da tela de caça avançada com consulta de insights.

Ações de correção

Na página Visão geral, você pode fazer essas ações adicionais:

  • Habilitar, desabilitar ou suspender o usuário em Microsoft Entra ID
  • Direcionar o usuário para fazer determinadas ações, como exigir que o usuário entre novamente ou force a redefinição de senha
  • Redefinir a pontuação de prioridade de investigação para o usuário
  • Exibir Microsoft Entra configurações de conta, governança relacionada, arquivos de propriedade do usuário ou arquivos compartilhados do usuário

Captura de tela das ações para correção de um usuário no portal do Microsoft Defender

Para obter mais informações, consulte Ações de correção em Microsoft Defender para Identidade.

Próximas etapas

Conforme necessário para incidentes em processo, continue sua investigação.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.