Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Microsoft Defender удостоверение представляет лицо или сущность в вашей организации. У пользователей часто есть несколько учетных записей разных поставщиков, таких как локальная служба Active Directory, Microsoft Entra ID, приложения SaaS и другие поставщики удостоверений. Defender сопоставляет эти учетные записи в одно удостоверение.
У каждого удостоверения есть основная учетная запись. Если с удостоверением связано несколько учетных записей, Microsoft Defender назначает одну учетную запись в качестве основной и использует ее для сведений профиля на уровне удостоверения.
Страница Удостоверения объединяет сведения об удостоверениях, наблюдаемых действиях, оповещениях и уязвимостях в связанных учетных записях, чтобы команды безопасности могли быстро оценить риск, определить возможные компрометации, понять доступ удостоверения в среде и реагировать на него действиями по исправлению. Чтобы открыть страницу Удостоверение, выберите удостоверение из нескольких областей на портале Microsoft Defender, в том числе:
- Инвентаризация удостоверений
- Очередь оповещений
- Отдельные страницы оповещений
- Инциденты или устройства
- Расширенные результаты охоты
- Журнал действий
- Центр уведомлений
Страница Удостоверение организована в верхний раздел и набор вкладок. В верхнем разделе отображается контекст удостоверения, например сведения об организации и теги, а также меню Действия . Вкладки используются для просмотра сводных сведений, связанных оповещений и более глубоких представлений исследования.
- Сведения об организации: название должности, отдел и многое другое.
- Теги учетной записи: теги Active Directory, связанные с удостоверением
Действия удостоверений
На странице Обзор используйте меню Действия , чтобы активировать действия по исправлению. Доступны следующие действия:
- Включение, отключение или приостановка пользователя в Microsoft Entra ID
- Требовать от пользователя повторного входа или принудительного сброса пароля
- Просмотр параметров учетной записи Microsoft Entra, связанного управления, файлов, принадлежащих пользователю, или общих файлов
Вкладка "Обзор"
На вкладке Обзор представлена высокоуровневая snapshot, которая помогает аналитикам быстро оценить риск и решить, требуется ли более глубокое исследование.
На вкладке "Обзор" содержатся разделы для следующих разделов:
- Сведения о сущности
- Инциденты и оповещения
- Связанные устройства интерактивного входа
Сведения о сущности
Панель "Сведения о сущностях" содержит ключевые сведения об удостоверениях и сигналы исследования, в том числе:
- Microsoft Entra ID атрибуты и контактные данные
- Защита и признаки угроз для пользователей
- Метки времени первой и последней просмотре
- Количество устройств, на которые выполнен вход удостоверений
- Связанные учетные записи пользователей, устройства и членство в группах
- Связанные оповещения и инциденты, сгруппированные по серьезности
Другие сведения отображаются в зависимости от включенных служб и функций. Например, вы можете:
- Среды с Microsoft Defender для удостоверений могут видеть:
- Флаги управления учетными записями Active Directory, такие как срок действия пароля без срока действия или состояние блокировки учетной записи
- Дерево организации, показывающее положение удостоверения в иерархии отчетов.
- (предварительная версия) Среды с Управление внутренними рисками Microsoft Purview могут просматривать степень серьезности внутренних рисков пользователя и получать аналитические сведения о подозрительных действиях пользователя на странице пользователя. Выберите уровень серьезности внутренних рисков , чтобы просмотреть аналитические сведения о рисках о пользователе.
- (предварительная версия) Среды с Microsoft Sentinel Аналитика поведения пользователей и сущностей (UEBA) могут видеть:
- Три основных аномалии UEBA за последние 30 дней.
- Ссылки для запуска предварительно созданных расширенных запросов охоты и просмотра всех аномальных действий, связанных с пользователем, на вкладке событий Microsoft Sentinel.
Вкладка "Инциденты и оповещения"
На вкладке Инциденты и оповещения перечислены все оповещения и инциденты, связанные с удостоверением в поддерживаемом окне хранения. Подробное описание конкретного элемента см. на странице инцидентов или на странице оповещений.
Наблюдается на вкладке "Организация"
На вкладке Наблюдаемо в организации показано, где и как удостоверение отображается в среде, помогая аналитикам понять радиус взрыва и потенциальное боковое смещение.
Эта вкладка может включать:
| Раздел | Описание |
|---|---|
| Учетные записи | Все учетные записи, связанные с удостоверением в системах идентификации, включая автоматические и вручную коррелированные учетные записи. Аналитики могут вручную связать другие связанные учетные записи. Индикатор показывает, какая учетная запись является основной. |
| Устройства | Устройства, в которые выполнен вход удостоверений. Обычно здесь отображаются недавние действия. |
| Расположения | Расположения, наблюдаемые для входа |
| Группы | Группы, связанные с удостоверением (если они доступны) |
Основные учетные записи
Каждое удостоверение может включать несколько связанных учетных записей от разных поставщиков удостоверений. Microsoft Defender определяет одну учетную запись в качестве основной учетной записи и использует значения профиля этой учетной записи для полей уровня удостоверений, таких как отображаемое имя и должность.
Microsoft Defender использует внутреннюю логику корреляции для определения основной учетной записи.
Вкладка "Оценка риска" (предварительная версия)
Вкладка Оценка риска содержит сводку уровня риска удостоверения путем объединения действий оповещений с атрибутами удостоверения, такими как назначения ролей и классификация конфиденциальности. Используйте эту вкладку, чтобы понять оценку риска удостоверения, определить факторы, влияющие на них, и определить приоритеты исследования.
| Раздел | Описание |
|---|---|
| Сводка по рискам | Отображает:
|
| Вероятность компрометации | Показывает уровень серьезности вероятности и разбивает оповещения MITRE ATT&этапа цепочки завершения CK (например, начальный доступ, сохраняемость и повышение привилегий) для каждого набора учетных записей. |
| Влияние компрометации | Показывает потенциальный уровень влияния на основе уровня важности удостоверения, классификации (например, глобальный администратор) и назначений ролей Microsoft Entra управление привилегированными пользователями (PIM). |
| Тенденция риска | График, показывающий, как изменялась оценка риска за настраиваемый период времени (например, 30 дней). Выберите Перейти к временная шкала, чтобы просмотреть полный временная шкала действий. |
| Сведения о вероятности компрометации | Линейчатая диаграмма, показывающая распределение оповещений между MITRE ATT&категориями CK с фильтруемой таблицей оповещений. Используйте переключатель Только активные оповещения , чтобы сосредоточиться на неразрешенных оповещениях. Фильтрация по набору учетных записей, состоянию или этапу цепочки завершения. |
Выберите Сброс риска в верхней части вкладки, чтобы вручную сбросить оценку риска удостоверения, например после завершения исправления.
Вкладка "Временная шкала"
Вкладка Временная шкала предоставляет хронологическое представление действий, связанных с удостоверениями, и оповещений, агрегированных из интегрированных продуктов майкрософт для обеспечения безопасности, таких как Microsoft Defender для удостоверений, Microsoft Defender для конечной точки. Microsoft Defender for Cloud Apps и Microsoft Sentinel.
Временная шкала помогает воссоздать последовательности действий и коррелировать события во время исследований.
Типы действий, отображаемые в временная шкала
В временная шкала доступны следующие типы данных:
- Затронутые оповещения пользователя
- Действия Active Directory и Microsoft Entra
- События облачных приложений
- События входа устройства
- Изменения служб каталогов
Сведения, отображаемые для каждого действия в временная шкала
В временная шкала отображаются следующие сведения:
- Дата и время действия
- Описание действий или оповещений
- Приложение, выполняющее действие
- Исходное устройство или IP-адрес
- Методы CK&MITRE ATT
- Серьезность и состояние оповещений
- Страна или регион, в которых ip-адрес клиента геолокационирован
- Протокол, используемый во время обмена данными
- Целевое устройство (необязательно, просматривается путем настройки столбцов)
- Количество случаев выполнения действия (необязательное, просматриваемое путем настройки столбцов)
Работа с временная шкала
Примечание.
Microsoft Defender XDR может отображать сведения о дате и времени с помощью местного часового пояса или utc. Выбранный часовой пояс применяется ко всем сведениям о дате и времени, отображаемым в временная шкала удостоверений.
Чтобы задать часовой пояс для этих функций, перейдите в раздел Параметры>Центр> безопасностиЧасовой пояс.
Настраиваемое средство выбора диапазона времени: Выберите период времени, чтобы сосредоточиться на последних 24 часах, последних 3 днях и т. д. Или выберите определенный период времени, выбрав Настраиваемый диапазон. Отфильтрованные данные старше 30 дней отображаются с интервалом в семь дней.
Фильтры временной шкалы: Используйте фильтры временная шкала, чтобы сузить результаты по типу (оповещения или действия пользователя), серьезности оповещений, типу действия, приложению, расположению или протоколу. Каждый фильтр зависит от других, и параметры в каждом фильтре содержат только данные, относящиеся к конкретному пользователю.
Настраиваемые столбцы: Нажмите кнопку Настроить столбцы, чтобы выбрать столбцы для предоставления в временная шкала.
Экспорт: Экспортируйте временная шкала в CSV-файл. Экспорт ограничен первыми 5000 записями и содержит данные, отображаемые в пользовательском интерфейсе (те же фильтры и столбцы).
Вкладка "Рекомендации по безопасности"
На вкладке Рекомендации по безопасности отображаются оценки состояния, связанные с удостоверениями, которые определены с помощью управления состоянием безопасности удостоверений (ISPM). Эти рекомендации содержат сведения о неправильной конфигурации или рискованных параметрах в учетных записях удостоверений. Если выбрать рекомендацию, вы получите подробные сведения в разделе Оценка безопасности Майкрософт для получения рекомендаций по исправлению.
Вкладка "Пути атаки"
Вкладка Пути атаки визуализирует потенциальные пути бокового смещения, которые связаны с удостоверением или ведут к нему. Эти аналитические сведения помогают группам безопасности понять связи, доступные для эксплуатации, и уменьшить количество направлений атак на основе удостоверений.
Вкладка "Политики"
На вкладке Политики отображаются политики безопасности, связанные с удостоверениями, которые относятся к удостоверению на основе его атрибутов, ролей и наблюдаемых действий.
Это представление предоставляет контекст исследования, показывая, какие политики применяются к удостоверению и как они влияют на доступ или оценку рисков. Политики управляются в другом месте; Эта вкладка помогает аналитикам сопоставить применение политики с результатами входа, оповещениями и результатами исследования.
вкладка "События Microsoft Sentinel"
Когда Microsoft Sentinel подключен к порталу Defender, на этой вкладке отображается Microsoft Sentinel временная шкала для удостоверения. Временная шкала включает оповещения, связанные с удостоверением, включая оповещения, также отображаемые на вкладке Инциденты и оповещения, созданные Microsoft Sentinel. Здесь также показаны охоты за закладками, которые ссылаются на удостоверения, события действий из внешних источников данных и необычное поведение, определяемое правилами аномалий Microsoft Sentinel.
Insights
В разделе Аналитика показана аналитика сущностей, которая представляет собой запросы исследования, определенные исследователями безопасности Майкрософт, чтобы помочь аналитикам более эффективно исследовать удостоверения. Эти аналитические сведения автоматически выделяют ключевые сигналы безопасности, такие как действия входа, изменения групп и аномальное поведение, а также представляют результаты в виде таблиц и диаграмм. Аналитика поддерживается Microsoft Sentinel и подключенными к ней источниками данных, включая журналы Microsoft Entra ID и Microsoft Sentinel UEBA при включении.
Типы аналитических сведений
Ниже приведены некоторые аналитические сведения.
- Одноранговые узлы пользователей на основе членства в группах безопасности
- Действия по учетной записи
- Действия с учетной записью
- Журналы событий, очищенные пользователем
- Добавление групп
- Аномально высокое число офисных операций
- Доступ к ресурсам
- Количество результатов входа с аномально высоким Azure
- Аналитика UEBA
- Разрешения доступа пользователей к Azure подпискам
- Индикаторы угроз, связанные с пользователем
- Аналитика списка просмотров (предварительная версия)
- Действия входа в Windows
Источники данных для аналитики
Аналитика основана на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Пульс (агент мониторинга Azure)
- CommonSecurityLog (Microsoft Sentinel)
Обзор аналитических сведений в разделе Расширенная охота
Для дальнейшего изучения любых аналитических сведений выберите ссылку, сопровождающую аналитические сведения. Ссылка открывает страницу Расширенный поиск с запросом, лежащим в основе аналитики и ее необработанными результатами. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование.
