Изучение профилей сущностей
Область применения: Advanced Threat Analytics версии 1.9
Профиль сущности предоставляет панель мониторинга, предназначенную для полного изучения пользователей, компьютеров, устройств и ресурсов, к которым у них есть доступ и их журнал. Страница профиля использует новый переводчик логических действий ATA, который может просматривать группу действий (агрегированных до минуты) и группировать их в одну логическую активность, чтобы лучше понять фактические действия пользователей.
Чтобы получить доступ к странице профиля сущности, выберите имя сущности, например имя пользователя, в временная шкала подозрительного действия.
В меню слева представлены все сведения Active Directory, доступные в сущности — адрес электронной почты, домен, дата первого вида. Если сущность учитывается, она сообщит вам, почему. Например, пользователь помечен как конфиденциальный или член конфиденциальной группы? Если это конфиденциальный пользователь, вы увидите значок под именем пользователя.
Просмотр действий сущностей
Чтобы просмотреть все действия, выполняемые пользователем, или выполнить на сущности, перейдите на вкладку "Действия ".
По умолчанию в главной области профиля сущности отображается временная шкала действий сущности с историей до 6 месяцев назад, из которой можно также детализировать сущности, к которым обращается пользователь, или для сущностей, которые обращаются к сущностям.
В верхней части страницы можно просмотреть сводные плитки, которые дают вам краткий обзор того, что необходимо понять в кратком обзоре сущности. Эти плитки изменяются на основе типа сущности, используемой пользователем, вы увидите следующее:
Сколько открытых подозрительных действий для пользователя
Сколько компьютеров пользователь вошел в систему
Сколько ресурсов, к ним обращается пользователь
Откуда пользователь вошел в VPN
Для компьютеров можно увидеть следующее:
Сколько открытых подозрительных действий для компьютера
Сколько пользователей вошли на компьютер
Сколько ресурсов доступ к компьютеру
Сколько расположений VPN было доступо с компьютера
Список IP-адресов, используемых компьютером
С помощью кнопки Filter by над действием временная шкала можно фильтровать действия по типу действия. Вы также можете отфильтровать определенный (шумный) тип действия. Это действительно полезно для исследования, когда вы хотите понять основы того, что сущность делает в сети. Вы также можете перейти к определенной дате, и вы можете экспортировать действия, отфильтрованные в Excel. Экспортируемый файл предоставляет страницу изменений служб каталогов (изменения в Active Directory для учетной записи) и отдельную страницу действий.
Просмотр данных каталога
Вкладка данных каталога предоставляет статические сведения, доступные в Active Directory, включая флаги безопасности управления доступом пользователей. ATA также отображает членство в группах для пользователя, чтобы узнать, имеет ли пользователь прямое членство или рекурсивное членство. Для групп ATA перечисляет до 1000 членов группы.
В разделе управления доступом пользователей ATA отображает параметры безопасности, которые могут потребовать внимания. Вы можете увидеть важные флаги о пользователе, например, можно нажать клавишу ВВОД, чтобы обойти пароль, у пользователя есть пароль, который никогда не истекает и т. д.
Просмотр путей бокового смещения
Выбрав вкладку "Пути бокового перемещения" , вы можете просмотреть полностью динамическую и щелкаемую карту, которая предоставляет визуальное представление путей бокового перемещения к этому пользователю и от этого пользователя, который можно использовать для инфильтрации сети.
Карта предоставляет список количества прыжков между компьютерами или пользователями, которым злоумышленнику придется и от этого пользователя, чтобы компрометировать конфиденциальную учетную запись, и если у пользователя есть конфиденциальная учетная запись, можно увидеть, сколько ресурсов и учетных записей напрямую подключены. Дополнительные сведения см. в разделах пути бокового см. в разделе "Пути бокового перемещения".
