Страница сущности пользователя в Microsoft Defender
Страница сущности пользователя на портале Microsoft Defender поможет вам в исследовании сущностей пользователей. Страница содержит все важные сведения о данной сущности пользователя. Если оповещение или инцидент указывает на то, что пользователь может быть скомпрометирован или является подозрительным, проверьте и изучите сущность пользователя.
Сведения об сущности пользователя можно найти в следующих представлениях:
- Страница "Удостоверения" в разделе "Ресурсы"
- Очередь оповещений
- Любое отдельное оповещение или инцидент
- Страница "Устройства"
- Страница сущности любого отдельного устройства
- Журнал действий
- Запросы расширенной охоты
- Центр уведомлений
Где бы в этих представлениях ни отображались сущности пользователей, выберите сущность, чтобы просмотреть страницу Пользователь , на которой отображаются дополнительные сведения о пользователе. Например, вы можете просмотреть сведения об учетных записях пользователей, определенных в оповещениях об инциденте на портале Microsoft Defender в разделе Инциденты & оповещения > Инциденты инциденты>> Пользователи>.
При изучении конкретной сущности пользователя на странице сущности отображаются следующие вкладки:
- Обзор, включая сведения о сущностях, визуальное представление инцидентов и оповещений, приоритет исследования и оценку временной шкалы
- Вкладка "Инциденты и оповещения "
- Наблюдается на вкладке "Организация "
- Вкладка "Временная шкала "
- Вкладка "События Sentinel "
На странице пользователя отображается организация Microsoft Entra, а также группы, помогающие понять группы и разрешения, связанные с пользователем.
Важно!
Microsoft Sentinel теперь общедоступен в рамках единой платформы операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.
Обзор
Сведения о сущности
Панель Сведений о сущности в левой части страницы содержит сведения о пользователе, такие как уровень риска удостоверений Microsoft Entra, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, учетные записи пользователя, группы, к которым принадлежит пользователь, контактные данные и многое другое. Вы увидите другие сведения в зависимости от включенных функций интеграции.
Визуальное представление инцидентов и оповещений
Эта карточка включает все инциденты и оповещения, связанные с сущностью пользователя, сгруппированные по серьезности.
Приоритет исследования
Эта карточка включает в себя разбивку вычисляемой оценки приоритета исследования сущности пользователя и двухнедельную тенденцию для этой оценки, включая процентиль оценки по отношению к клиенту.
Элементы управления учетными записями Active Directory
На этой карточке отображаются параметры безопасности Microsoft Defender для удостоверений, которые могут потребовать вашего внимания. Вы можете увидеть важные флаги о параметрах учетной записи пользователя, например, если пользователь может нажать клавишу ВВОД, чтобы обойти пароль, если у пользователя есть пароль, срок действия которого не истекает, и т. д.
Дополнительные сведения см. в разделе Флаги контроля учетных записей пользователей.
Оцененные действия
Эта карточка включает все действия и оповещения, способствующие оценке приоритета исследования сущности за последние семь дней.
Дерево организации
В этом разделе показано место сущности пользователя в иерархии организации, о чем сообщает Microsoft Defender для удостоверений.
Теги учетной записи
Microsoft Defender для удостоверений извлекает теги из Active Directory, чтобы предоставить вам единый интерфейс для мониторинга пользователей и сущностей Active Directory. Теги предоставляют сведения о сущности из Active Directory и включают:
| Имя | Описание |
|---|---|
| New | Указывает, что сущность была создана менее 30 дней назад. |
| Deleted | Указывает, что сущность была окончательно удалена из Active Directory. |
| Disabled | Указывает, что сущность в настоящее время отключена в Active Directory.
Отключенный атрибут — это флаг Active Directory, доступный для учетных записей пользователей, учетных записей компьютеров и других объектов, указывающий на то, что объект в настоящее время не используется. Если объект отключен, его нельзя использовать для входа или выполнения действий в домене. |
| Enabled | Указывает, что сущность в настоящее время включена в Active Directory, указывая, что сущность в настоящее время используется и может использоваться для входа или выполнения действий в домене. |
| Истек срок действия | Указывает, что срок действия сущности истек в Active Directory. По истечении срока действия учетной записи пользователя пользователь больше не сможет войти в домен или получить доступ к каким-либо сетевым ресурсам. Учетная запись с истекшим сроком действия по существу обрабатывается так, как если бы она была отключена, но с явно заданной датой окончания срока действия. Все службы или приложения, доступ к которым у пользователя был разрешен, также могут быть затронуты в зависимости от того, как они настроены. |
| Honeytoken | Указывает, что сущность вручную помечена как honeytoken. |
| Locked | Указывает, что сущность слишком много раз указывала неправильный пароль и теперь заблокирована. |
| Частично | Указывает, что пользователь, устройство или группа не синхронизированы с доменом и частично разрешается через глобальный каталог. В этом случае некоторые атрибуты недоступны. |
| Неразрешенные | Указывает, что устройство не разрешается в допустимое удостоверение в лесу Active Directory. Сведения о каталоге недоступны. |
| Конфиденциально | Указывает, что сущность считается конфиденциальной. |
Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в XDR Microsoft Defender.
Примечание.
Раздел дерева организации и теги учетных записей доступны при наличии лицензии Microsoft Defender для удостоверений.
Инциденты и оповещения
На этой вкладке отображаются все активные инциденты и оповещения с участием пользователя за последние шесть месяцев. Здесь показана вся информация из основных очередей инцидентов и оповещений. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.
Вы можете настроить количество отображаемых элементов и столбцы для каждого элемента. По умолчанию выводится список по 30 элементов на странице. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.
Столбец затронутых сущностей относится ко всем сущностям устройства и пользователей, на которые ссылается инцидент или оповещение.
При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.
Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.
Наблюдается в организации
Устройства: в этом разделе отображаются все устройства, на которые вошел пользователь за предыдущие 180 дней, с указанием наиболее и наименее используемых устройств.
Расположения: в этом разделе показаны все наблюдаемые расположения для сущности пользователя за последние 30 дней.
Группы: в этом разделе показаны все наблюдаемые локальные группы для сущности пользователя, как сообщает Microsoft Defender для удостоверений.
Пути бокового перемещения. В этом разделе показаны все профилированные пути бокового перемещения из локальной среды, обнаруженные Defender для удостоверений.
Примечание.
Группы и пути бокового перемещения доступны при наличии лицензии Microsoft Defender для удостоверений.
Выбор вкладки Боковое движение позволяет просмотреть полностью динамическую и доступную для щелчка карту, на которой можно увидеть пути бокового перемещения пользователя и от пользователя. Злоумышленник может использовать сведения о пути, чтобы проникнуть в сеть.
Карта предоставляет список других устройств или пользователей, которые злоумышленник может использовать для компрометации конфиденциальной учетной записи. Если у пользователя есть конфиденциальная учетная запись, можно увидеть, сколько ресурсов и учетных записей подключено напрямую.
Отчет по пути бокового смещения, который можно просмотреть по дате, всегда доступен для предоставления сведений о потенциальных обнаруженных путях бокового смещения и может быть настроен по времени. Выберите другую дату с помощью команды Просмотреть другую дату , чтобы просмотреть предыдущие пути бокового смещения, найденные для сущности. Диаграмма отображается только в том случае, если за последние два дня для сущности обнаружен потенциальный путь бокового смещения.
Временная шкала
На временной шкале отображаются действия пользователей и оповещения, наблюдаемые из удостоверения пользователя за последние 30 дней. Он объединяет записи удостоверений пользователя в рабочих нагрузках Microsoft Defender для удостоверений, Microsoft Defender для облачных приложений и Microsoft Defender для конечной точки. С помощью временной шкалы можно сосредоточиться на действиях, выполняемых пользователем или выполненных на них в определенные сроки.
Чтобы пользователи единой платформы SOC могли просматривать оповещения из Microsoft Sentinel на основе источников данных, отличных от тех, которые указаны в предыдущем абзаце, они могут найти эти оповещения и другую информацию на вкладке События Sentinel , описанной ниже.
Настраиваемое средство выбора диапазона времени: Вы можете выбрать период времени, чтобы сосредоточиться на последних 24 часах, последних 3 днях и т. д. Или можно выбрать определенный период времени, щелкнув Настраиваемый диапазон. Например:
Фильтры временной шкалы: Чтобы улучшить работу с исследованием, можно использовать фильтры временной шкалы: Тип (оповещения и (или) действия пользователя), Серьезность оповещений, Тип действия, Приложение, Расположение, Протокол. Каждый фильтр зависит от других, а параметры в каждом фильтре (раскрывающемся списке) содержат только данные, относящиеся к конкретному пользователю.
Кнопка экспорта: Вы можете экспортировать временную шкалу в CSV-файл. Экспорт ограничен первыми 5000 записями и содержит данные, отображаемые в пользовательском интерфейсе (те же фильтры и столбцы).
Настраиваемые столбцы: Вы можете выбрать столбцы, которые следует предоставить на временной шкале, нажав кнопку Настроить столбцы . Например:
Какие типы данных доступны?
На временной шкале доступны следующие типы данных:
- Затронутые оповещения пользователя
- Действия Active Directory и Microsoft Entra
- События облачных приложений
- События входа устройства
- Изменения служб каталогов
Какая информация отображается?
На временной шкале отображаются следующие сведения:
- Дата и время действия
- Описание действий или оповещений
- Приложение, выполняющее действие
- Исходное устройство или IP-адрес
- Методы CK&MITRE ATT
- Серьезность и состояние оповещений
- Страна или регион, в которых ip-адрес клиента геолокационирован
- Протокол, используемый во время обмена данными
- Целевое устройство (необязательно, просматривается путем настройки столбцов)
- Количество случаев выполнения действия (необязательное, просматриваемое путем настройки столбцов)
Например:
Примечание.
XDR в Microsoft Defender может отображать сведения о дате и времени с помощью местного часового пояса или utc. Выбранный часовой пояс будет применяться ко всем сведениям о дате и времени, отображаемым на временной шкале удостоверений.
Чтобы задать часовой пояс для этих функций, перейдите в раздел Параметры>Центр> безопасностиЧасовой пояс.
События Sentinel
Если ваша организация подключена к microsoft Sentinel на портале Defender, эта дополнительная вкладка находится на странице сущности пользователя. Эта вкладка импортирует страницу сущности учетная запись из Microsoft Sentinel.
Временная шкала Sentinel
На этой временной шкале отображаются оповещения, связанные с сущностью пользователя. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения , а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.
На этой временной шкале также отображаются охоты на закладки из других исследований, которые ссылаются на эту сущность пользователя, события активности пользователей из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.
Insights
Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о вашей сущности пользователя, предоставляя ценные сведения о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают данные о входах, добавлении групп, аномальных событиях и т. д., а также расширенные алгоритмы машинного обучения для обнаружения аномального поведения.
Ниже приведены некоторые аналитические сведения.
- Одноранговые узлы пользователей на основе членства в группах безопасности.
- Действия по учетной записи.
- Действия с учетной записью.
- Журналы событий, очищенные пользователем.
- Добавление групп.
- Аномально большое число офисных операций.
- Доступ к ресурсам.
- Количество результатов входа в Azure с аномально высоким уровнем.
- Аналитика UEBA.
- Разрешения доступа пользователей к подпискам Azure.
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка просмотров (предварительная версия).
- Действия входа в Windows.
Аналитические сведения основаны на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (идентификатор Microsoft Entra)
- SigninLogs (Идентификатор Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (агент Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.
Действия по исправлению
На странице Обзор можно выполнить следующие дополнительные действия:
- Включение, отключение или приостановка пользователя в Идентификаторе Microsoft Entra
- Указание пользователя на выполнение определенных действий, например требование повторного входа пользователя или принудительное сброс пароля
- Сброс оценки приоритета исследования для пользователя
- Просмотр параметров учетной записи Microsoft Entra, связанного управления, принадлежащих пользователю файлов или общих файлов пользователя
Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.
Дальнейшие действия
При необходимости для внутрипроцессных инцидентов продолжайте расследование.
См. также
- Обзор инцидентов
- Управление приоритетом инцидентов
- Управление инцидентами
- Обзор XDR в Microsoft Defender
- Включение XDR в Microsoft Defender
- Страница сущности устройства в Microsoft Defender
- Страница сущности IP-адреса в Microsoft Defender
- Интеграция XDR в Microsoft Defender с Microsoft Sentinel
- Подключение Microsoft Sentinel к Microsoft Defender XDR
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по