Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Undersök aviseringar som påverkar din miljö, förstå vad de innebär och hur du löser dem.
Påbörja undersökningen genom att välja en avisering från sidan Aviseringar i Microsoft Defender-portalen. På sidan aviseringar visas en lista över alla säkerhetsaviseringar som genererats av Defender för identitet, inklusive deras allvarlighetsgrad, status och påverkade tillgångar. Om du väljer en avisering öppnas aviseringssidan, som innehåller aviseringsrubriken, de berörda tillgångarna, informationssidan och i vissa fall en aviseringsartikel.
Undersöka med hjälp av aviseringsartikeln
Aviseringsartikeln ger en kronologisk vy över de händelser som är relaterade till aviseringen. Den visar vad som hände, när det hände och vilka entiteter som var inblandade före och efter utlösande händelsen. Det hjälper dig att följa händelsesekvensen och förstå hur aviseringen genererades.
Aviseringsdiagrammet mappar visuellt de användare, enheter och domänkontrollanter som ingår i aviseringen. Den visar hur dessa entiteter interagerade, vilket gör det enklare att snabbt identifiera relationer och mönster.
Avsnittet Viktig information innehåller ytterligare teknisk information som stöder din undersökning. Det hjälper dig att förstå vilka åtgärder som har vidtagits, vem som initierade dem och var aktiviteten härstammar. Det här avsnittet innehåller rådata som kan hjälpa dig att verifiera aviseringen och vägleda dina nästa steg.
Tillsammans ger aviseringsartikeln, aviseringsdiagrammet och viktig information en fullständig bild av aviseringen. De hjälper dig att förstå vad som utlöste aviseringen, vilka entiteter som var inblandade och om aktiviteten kräver ytterligare undersökning eller åtgärd.
Obs!
Aviseringsartikeln visas bara för aviseringar som använder den klassiska Defender for Identity-strukturen. Mer information om skillnader i hur aviseringar visas i Defender-portalen finns i Visa och hantera aviseringar.
Vidta åtgärder från informationsfönstret
När du har valt en avisering av intresse ändras informationsfönstret för att visa information om den valda aviseringen, historisk information när den är tillgänglig och erbjuder rekommenderade åtgärder för att vidta åtgärder för den här aviseringen.
När du är klar med undersökningen går du tillbaka till aviseringen som du började med, markerar aviseringens status som Löst och klassificerar den som antingen Falsk avisering eller True-avisering. Genom att klassificera aviseringar kan du finjustera den här funktionen för att tillhandahålla fler sanna aviseringar och mindre falska aviseringar.
Avancerad undersökning av säkerhetsaviseringar
Om du vill ha mer information om en säkerhetsavisering väljer du Exportera på en aviseringsinformationssida för att ladda ned den detaljerade Excel-aviseringsrapporten.
Obs!
Alternativet exportera till Excel är också endast tillgängligt för aviseringar som använder den klassiska Defender for Identity-strukturen. Mer information om skillnader i hur aviseringar visas i Defender-portalen finns i Visa och hantera aviseringar.
Den nedladdade filen innehåller sammanfattningsinformation om aviseringen på den första fliken, inklusive:
- Rubrik
- Beskrivning
- Starttid (UTC)
- Sluttid (UTC)
- Allvarlighetsgrad – låg/medel/hög
- Status – Öppen/stängd
- Statusuppdateringstid (UTC)
- Visa i webbläsaren
Alla berörda entiteter, inklusive konton, datorer och resurser listas, avgränsade med deras roll. Information finns för källan, målet eller den angripna entiteten, beroende på aviseringen.
De flesta flikarna innehåller följande data per entitet:
Namn
Information
Typ
SamName
Källdator
Källanvändare (om tillgängligt)
Domänkontrollant
Åtkomst till resurs: Tid, Dator, Namn, Information, Typ, Tjänst.
Relaterade entiteter: ID, typ, namn, unik entitets-Json, unik entitetsprofil Json
Alla råa aktiviteter som registrerats av Defender för identitetssensorer som är relaterade till aviseringen (nätverks- eller händelseaktiviteter) inklusive:
- Nätverksaktiviteter
- Händelseaktiviteter
Vissa aviseringar har extra flikar, till exempel information om:
- Attackerade konton när den misstänkta attacken använde Brute Force.
- DNS-servrar (Domain Name System) när de misstänkta angreps omfattade rekognosering av nätverksmappning (DNS).
Till exempel:
Hur kan jag använda Defender for Identity-information i en undersökning?
Undersökningar kan vara så detaljerade som behövs. Här följer några tips på hur du kan undersöka med hjälp av de data som tillhandahålls av Defender for Identity.
Relaterade entiteter
I varje avisering innehåller den sista fliken Relaterade entiteter. Relaterade entiteter är alla entiteter som är involverade i en misstänkt aktivitet, utan uppdelningen av den "roll" som de spelade i aviseringen. Varje entitet har två Json-filer, Unique Entity Json och Unique Entity Profile Json. Använd dessa två Json-filer för att lära dig mer om entiteten och för att undersöka aviseringen.
Unik Json-fil för entitet
Innehåller data som Defender for Identity har lärt sig från Active Directory om kontot. Detta inkluderar alla attribut som Distinguished Name, SID, LockoutTime och PasswordExpiryTime. För användarkonton innehåller data som Avdelning, E-post och PhoneNumber. För datorkonton innehåller data som OperatingSystem, IsDomainController och DnsName.
Unik Json-fil för entitetsprofil
Innehåller alla data som Defender for Identity är profilerat i entiteten. Defender for Identity använder de nätverks- och händelseaktiviteter som samlas in för att lära sig mer om miljöns användare och datorer. Defender för identitetsprofiler relevant information per entitet. Den här informationen bidrar till Funktionerna för hotidentifiering i Defender for Identity.
Mer information om hur du arbetar med Säkerhetsaviseringar för Defender för identiteter finns i Arbeta med säkerhetsaviseringar.