Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для удостоверений предоставляет Microsoft Defender XDR доказательства пользователей, когда пользователи, компьютеры и устройства демонстрируют признаки подозрительных действий или компрометации.
В этой статье содержатся рекомендации по определению рисков для вашей организации, выбору способов их устранения и определению наилучшего способа предотвращения подобных атак в будущем.
Действия по расследованию подозрительных пользователей
Примечание.
Сведения о просмотре профилей пользователей в Microsoft Defender XDR см. в документации по Microsoft Defender XDR.
Если оповещение или инцидент указывает на то, что пользователь может быть подозрительным или скомпрометирован, проверка и изучите профиль пользователя для получения следующих сведений и действий:
Удостоверение пользователя
- Является ли пользователь конфиденциальным пользователем (например, администратором или в списке отслеживания и т. д.)?
- Какова их роль в организации?
- Являются ли они важными в организационном дереве?
Исследуйте подозрительные действия, такие как:
- Есть ли у пользователя другие открытые оповещения в Defender для удостоверений или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
- Не удалось ли пользователю выполнить вход?
- К каким ресурсам пользователь получил доступ?
- Пользователь получил доступ к высокоценным ресурсам?
- Должен ли пользователь получить доступ к ресурсам, к которые он получил доступ?
- На каких устройствах входил пользователь?
- Должен ли пользователь войти на эти устройства?
- Существует ли путь бокового смещения (LMP) между пользователем и конфиденциальным пользователем?
Используйте ответы на эти вопросы, чтобы определить, скомпрометирована ли учетная запись или подозрительные действия подразумевают вредоносные действия.
Сведения об удостоверениях можно найти в следующих Microsoft Defender XDR областях:
- Страницы сведений об отдельных удостоверениях
- Страница сведений об отдельном оповещении или инциденте
- Страницы сведений об устройстве
- Запросы расширенной охоты
- Страница центра уведомлений
Например, на следующем рисунке показаны сведения на странице сведений об удостоверениях:
Сведения об удостоверении
При исследовании определенного удостоверения на странице сведений об удостоверении отображаются следующие сведения:
| Область страницы сведений об удостоверениях | Описание |
|---|---|
| Вкладка "Обзор" | На вкладке Обзор можно просмотреть графики инцидентов и оповещений, дерева организации и тегов сущностей. Общие данные удостоверений включают: — Microsoft Entra уровень риска идентификации — количество устройств, на которые выполнен вход удостоверений. — Когда удостоверение было впервые и в последний раз видно — учетные записи удостоверения и более важная информация. |
| Инциденты и оповещения | Список активных инцидентов и оповещений с участием пользователя за последние 180 дней, включая такие сведения, как серьезность оповещения и время создания оповещения. |
| Наблюдается в организации | Включает следующие подзоны: - Устройства: устройства, на которые вошел идентификатор, в том числе наиболее и наименее используемые за последние 180 дней. - Расположения: местонахождение удостоверения, наблюдаемое за последние 30 дней. - Группы: все наблюдаемые локальные группы для удостоверения. - Пути бокового перемещения — все профилированные пути бокового перемещения из локальной среды. - Счета Просмотр всех учетных записей, связанных с определенным удостоверением. |
| Временная шкала удостоверений | временная шкала представляет действия и оповещения, наблюдаемые из удостоверения пользователя в течение последних 180 дней, что помогает унифицировать записи удостоверений в Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки. Вы можете использовать временная шкала, чтобы сосредоточиться на действиях, выполняемых пользователем или выполнявшихся с ними в определенные сроки. Выберите значение по умолчанию 30 дней , чтобы изменить диапазон времени на другое встроенное значение или на пользовательский диапазон. |
| Рекомендации по безопасности | На этой вкладке отображаются все активные оценки состояния безопасности (ISPM), связанные с учетной записью удостоверения. Он включает рекомендации Defender для удостоверений для доступных поставщиков удостоверений, таких как Active Directory, Okta и другие. При выборе ispm pivot you to the recommendation page in Microsoft Secure Score (Оценка безопасности Майкрософт) для получения дополнительных сведений. |
| Пути атаки | Эта вкладка обеспечивает видимость потенциальных путей атаки, ведущих к критическому удостоверению или его вовлечения в пути, помогая оценить риски безопасности. Дополнительные сведения см. в разделе Общие сведения о пути атаки в управлении экспозицией. |
| Действия по исправлению | Реагирование на скомпрометированных пользователей путем отключения учетных записей или сброса пароля. После выполнения действий с пользователями вы можете проверка сведения о действиях в Microsoft Defender XDR **Центр уведомлений. |
Примечание.
Оценка приоритета исследования была устарела 3 декабря 2024 г. В результате разбивка по оценке приоритета исследования и оценка действий временная шкала карточки больше не доступны.
Дополнительные сведения см. в статье Исследование пользователей в документации по Microsoft Defender XDR.
Действия по расследованию подозрительных групп
Если оповещение или расследование инцидента связано с группой Active Directory, проверка сущность группы для следующих сведений и действий:
Сущность group
- Является ли группа конфиденциальной группой, например "Администраторы домена"?
- Включает ли группа конфиденциальных пользователей?
Исследуйте подозрительные действия, такие как:
- Есть ли у группы другие открытые связанные оповещения в Defender для удостоверений или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
- Какие пользователи были недавно добавлены в группу или удалены из нее?
- Была ли группа недавно запрошена, и кем?
Используйте ответы на эти вопросы, чтобы помочь в исследовании.
В области сведений о сущности группы выберите Перейти охота или Открыть временная шкала для исследования. Сведения о группах также можно найти в следующих Microsoft Defender XDR областях:
- Страница сведений об отдельном оповещении или инциденте
- Страницы сведений об устройстве или пользователе
- Запросы расширенной охоты
Например, на следующем рисунке показаны временная шкала действий операторов сервера, включая связанные оповещения и действия за последние 180 дней:
Действия по расследованию подозрительных устройств
Microsoft Defender XDR оповещении перечислены все устройства и пользователи, подключенные к каждому подозрительному действию. Выберите устройство, чтобы просмотреть страницу сведений об устройстве, а затем изучите следующие сведения и действия:
Что произошло во время подозрительной активности?
- Какой пользователь выполнил вход на устройство?
- Обычно ли этот пользователь входит в исходное или целевое устройство или получает доступ к ней?
- К каким ресурсам был предоставлен доступ? Какими пользователями? Если доступ к ресурсам был предоставлен, были ли они высокоценными ресурсами?
- Должен ли пользователь получить доступ к этим ресурсам?
- Выполнял ли пользователь, который получил доступ к устройству, другие подозрительные действия?
Другие подозрительные действия, которые нужно исследовать:
- Были ли открыты другие оповещения примерно в то же время, что и в Defender для удостоверений, или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
- Не удалось ли выполнить вход?
- Были ли развернуты или установлены новые программы?
Используйте ответы на эти вопросы, чтобы определить, скомпрометировано ли устройство или подозрительные действия подразумевают вредоносные действия.
Например, на следующем рисунке показана страница сведений об устройстве:
Дополнительные сведения см. в разделе Исследование устройств в документации по Microsoft Defender XDR.
Дальнейшие действия
- Изучение путей бокового смещения (LMP)
- Исследование пользователей в Microsoft Defender XDR
- Исследование инцидентов в Microsoft Defender XDR
Совет
Ознакомьтесь с нашим интерактивным руководством: Исследование атак и реагирование на них с помощью Microsoft Defender для удостоверений