Sidan Användarentitet i Microsoft Defender
Entitetssidan för användare i Microsoft Defender-portalen hjälper dig att undersöka användarentiteter. Sidan innehåller all viktig information om en viss användarentitet. Om en avisering eller incident indikerar att en användare kan ha komprometterats eller är misstänkt kontrollerar du och undersöker användarentiteten.
Du hittar information om användarentitet i följande vyer:
- Sidan Identiteter under Tillgångar
- Varningskö
- Varje enskild avisering/incident
- Sidan Enheter
- En enskild enhetsentitetssida
- Aktivitetslogg
- Avancerade jaktfrågor
- Åtgärdscenter
Oavsett var användarentiteter visas i dessa vyer väljer du entiteten för att visa sidan Användare , som visar mer information om användaren. Du kan till exempel se information om användarkonton som identifieras i aviseringarna för en incident i Microsoft Defender-portalen på Incidenter & aviseringar >Incidentincidenter>> Användare av tillgångar>.
När du undersöker en specifik användarentitet visas följande flikar på dess entitetssida:
- Översikt, inklusive entitetsinformation, visuella incidenter och aviseringar, undersökningsprioritet och poängsatt tidslinje
- Fliken Incidenter och aviseringar
- Observeras på fliken Organisation
- Fliken Tidslinje
- fliken Sentinel händelser
På användarsidan visas Microsoft Entra organisation samt grupper som hjälper dig att förstå de grupper och behörigheter som är associerade med en användare.
Viktigt
Microsoft Sentinel är allmänt tillgängligt på Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Panelen Entitetsinformation till vänster på sidan innehåller information om användaren, till exempel Microsoft Entra risknivå för identitet, allvarlighetsgrad för insiderrisk (förhandsversion), antalet enheter som användaren är inloggad på, när användaren först och senast sågs, användarens konton, grupper som användaren tillhör, kontaktinformation, med mera. Du ser annan information beroende på vilka integreringsfunktioner du har aktiverat.
Anteckning
(Förhandsversion) Microsoft Defender XDR användare med åtkomst till Hantering av interna risker i Microsoft Purview nu kan se en användares allvarlighetsgrad för insiderrisk och få insikter om en användares misstänkta aktiviteter på användarsidan. Välj allvarlighetsgrad för insiderrisk under Entitetsinformation för att se riskinsikterna om användaren.
Det här kortet innehåller alla incidenter och aviseringar som är associerade med användarentiteten, grupperade efter allvarlighetsgrad.
Det här kortet innehåller användarentitetens beräknade analys av prioritetspoäng och en trend på två veckor för den poängen, inklusive percentilen av poängen i förhållande till klientorganisationen.
Det här kortet innehåller Microsoft Defender for Identity säkerhetsinställningar som kan behöva din uppmärksamhet. Du kan se viktiga flaggor om användarens kontoinställningar, till exempel om användaren kan trycka på Retur för att kringgå lösenordet, och om användaren har ett lösenord som aldrig upphör att gälla osv.
Mer information finns i Flaggor för kontroll av användarkonton.
Det här kortet innehåller alla aktiviteter och aviseringar som bidrar till entitetens undersökningsprioritetspoäng under de senaste sju dagarna.
Det här avsnittet visar användarentitetens plats i organisationshierarkin enligt Microsoft Defender for Identity.
Microsoft Defender for Identity hämtar taggar från Active Directory för att ge dig ett enda gränssnitt för övervakning av dina Active Directory-användare och -entiteter. Taggar ger dig information från Active Directory om entiteten och inkluderar:
Namn | Beskrivning |
---|---|
Ny | Anger att entiteten skapades för mindre än 30 dagar sedan. |
Borttagen | Anger att entiteten togs bort permanent från Active Directory. |
Inaktiverad | Anger att entiteten för närvarande är inaktiverad i Active Directory. Det inaktiverade attributet är en Active Directory-flagga som är tillgänglig för användarkonton, datorkonton och andra objekt för att indikera att objektet inte används för närvarande. När ett objekt är inaktiverat kan det inte användas för att logga in eller utföra åtgärder i domänen. |
Aktiverat | Anger att entiteten för närvarande är aktiverad i Active Directory, vilket anger att entiteten används för närvarande och kan användas för att logga in eller utföra åtgärder i domänen. |
Förfallen | Anger att entiteten har upphört att gälla i Active Directory. När ett användarkonto har upphört att gälla kan användaren inte längre logga in på domänen eller komma åt några nätverksresurser. Det utgångna kontot behandlas i princip som om det var inaktiverat, men med ett uttryckligt utgångsdatum angivet. Alla tjänster eller program som användaren har behörighet att komma åt kan också påverkas, beroende på hur de konfigureras. |
Honeytoken | Anger att entiteten är manuellt taggad som en honeytoken. |
Låst | Anger att entiteten angav fel lösenord för många gånger och nu är låst. |
Partiell | Anger att användaren, enheten eller gruppen inte är synkroniserad med domänen och delvis matchas via en global katalog. I det här fallet är vissa attribut inte tillgängliga. |
Olöst | Anger att enheten inte matchar en giltig identitet i Active Directory-skogen. Ingen kataloginformation är tillgänglig. |
Känslig | Anger att entiteten anses vara känslig. |
Mer information finns i Entitetstaggar för Defender for Identity i Microsoft Defender XDR.
Anteckning
Avsnittet organisationsträd och kontotaggar är tillgängliga när en Microsoft Defender for Identity licens är tillgänglig.
Du kan se alla aktiva incidenter och aviseringar som involverar användaren från de senaste sex månaderna på den här fliken. All information från huvudköerna för incidenter och aviseringar visas här. Den här listan är en filtrerad version av incidentkön och visar en kort beskrivning av incidenten eller aviseringen, dess allvarlighetsgrad (hög, medel, låg, information), dess status i kön (ny, pågår, löst), dess klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori, vem som har tilldelats att åtgärda den och senaste aktivitet observerad.
Du kan anpassa antalet objekt som visas och vilka kolumner som visas för varje objekt. Standardbeteendet är att visa 30 objekt per sida. Du kan också filtrera aviseringarna efter allvarlighetsgrad, status eller någon annan kolumn i visningen.
Kolumnen påverkade entiteter refererar till alla enheter och användarentiteter som refereras i incidenten eller aviseringen.
När en incident eller avisering har valts visas en utfällning. I den här panelen kan du hantera incidenten eller aviseringen och visa mer information, till exempel incident-/aviseringsnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.
Om du vill se en helsidesvy över en incident eller avisering väljer du dess rubrik.
Enheter: Det här avsnittet visar alla enheter som användarentiteten loggade in på under de senaste 180 dagarna, vilket anger de mest och minst använda.
Platser: Det här avsnittet visar alla observerade platser för användarentiteten under de senaste 30 dagarna.
Grupper: Det här avsnittet visar alla observerade lokala grupper för användarentiteten, enligt Microsoft Defender for Identity.
Laterala rörelsevägar: Det här avsnittet visar alla profilerade laterala förflyttningsvägar från den lokala miljön, vilket identifieras av Defender för identitet.
Anteckning
Grupper och laterala förflyttningsvägar är tillgängliga när en Microsoft Defender for Identity licens är tillgänglig.
Om du väljer fliken Laterala rörelser kan du visa en helt dynamisk och klickbar karta där du kan se de laterala rörelsevägarna till och från en användare. En angripare kan använda sökvägsinformationen för att infiltrera nätverket.
Kartan innehåller en lista över andra enheter eller användare som en angripare kan dra nytta av för att kompromettera ett känsligt konto. Om användaren har ett känsligt konto kan du se hur många resurser och konton som är direkt anslutna.
Rapporten för lateral förflyttningssökväg, som kan visas efter datum, är alltid tillgänglig för att ge information om potentiella laterala rörelsevägar som identifieras och kan anpassas efter tid. Välj ett annat datum med visa ett annat datum för att visa tidigare laterala förflyttningssökvägar som hittats för en entitet. Diagrammet visar bara om en potentiell lateral förflyttningsväg har hittats för en entitet under de senaste två dagarna.
Tidslinjen visar användaraktiviteter och aviseringar som observerats från en användares identitet under de senaste 180 dagarna. Den förenar användarens identitetsposter i Microsoft Defender for Identity, Microsoft Defender for Cloud Apps och Microsoft Defender för Endpoint arbetsbelastningar. Med hjälp av tidslinjen kan du fokusera på aktiviteter som en användare har utfört eller utfört på dem inom specifika tidsramar.
För att användare av den enhetliga SOC-plattformen ska kunna se aviseringar från Microsoft Sentinel baserat på andra datakällor än dem i föregående stycke kan de hitta dessa aviseringar och annan information på fliken Sentinel händelser, som beskrivs nedan.
Anpassad tidsintervallväljare: Du kan välja en tidsram för att fokusera undersökningen på de senaste 24 timmarna, de senaste tre dagarna och så vidare. Eller så kan du välja en viss tidsram genom att klicka på Anpassat intervall. Filtrerade data som är äldre än 30 dagar visas i sjudagarsintervall.
Till exempel:Tidslinjefilter: För att förbättra undersökningsupplevelsen kan du använda tidslinjefiltren: Typ (Aviseringar och/eller användarens relaterade aktiviteter), Allvarlighetsgrad för aviseringar, Aktivitetstyp, App, Plats, Protokoll. Varje filter är beroende av de andra, och alternativen i varje filter (listruta) innehåller bara de data som är relevanta för den specifika användaren.
Knappen Exportera: Du kan exportera tidslinjen till en CSV-fil. Exporten är begränsad till de första 5 000 posterna och innehåller data som visas i användargränssnittet (samma filter och kolumner).
Anpassade kolumner: Du kan välja vilka kolumner som ska visas på tidslinjen genom att välja knappen Anpassa kolumner . Till exempel:
Följande datatyper är tillgängliga på tidslinjen:
- En användares påverkade aviseringar
- Active Directory- och Microsoft Entra-aktiviteter
- Händelser i molnappar
- Händelser för enhetsinloggning
- Ändringar i katalogtjänster
Följande information visas på tidslinjen:
- Datum och tid för aktiviteten
- Beskrivning av aktivitet/avisering
- Program som utförde aktiviteten
- Källenhet/IP-adress
- MITRE ATT&CK-tekniker
- Allvarlighetsgrad och status för aviseringar
- Land/region där klientens IP-adress är geoallokerad
- Protokoll som används under kommunikationen
- Målenhet (valfritt, visningsbart genom att anpassa kolumner)
- Antal gånger aktiviteten har inträffat (valfritt, kan visas genom att anpassa kolumner)
Till exempel:
Anteckning
Microsoft Defender XDR kan visa information om datum och tid med hjälp av antingen din lokala tidszon eller UTC. Den valda tidszonen gäller för all datum- och tidsinformation som visas i identitetens tidslinje.
Om du vill ange tidszonen för de här funktionerna går du till Inställningar>Säkerhetscenter>Tidszon.
Om din organisation har registrerat Microsoft Sentinel till Defender-portalen finns den här ytterligare fliken på användarentitetssidan. På den här fliken importeras sidan Kontoentitet från Microsoft Sentinel.
Den här tidslinjen visar aviseringar som är associerade med användarentiteten. Dessa aviseringar inkluderar de som visas på fliken Incidenter och aviseringar och de som skapats av Microsoft Sentinel från datakällor från tredje part som inte kommer från Microsoft.
Den här tidslinjen visar även bokmärkta jakter från andra undersökningar som refererar till den här användarentiteten, användaraktivitetshändelser från externa datakällor och ovanliga beteenden som identifieras av Microsoft Sentinel avvikelseregler.
Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dig att undersöka mer effektivt och effektivt. Dessa insikter ställer automatiskt de stora frågorna om din användarentitet och ger värdefull säkerhetsinformation i form av tabelldata och diagram. Insikterna omfattar data om inloggningar, grupptillägg, avvikande händelser med mera och inkluderar avancerade maskininlärningsalgoritmer för att identifiera avvikande beteende.
Följande är några av de insikter som visas:
- Användarkolleger baserat på medlemskap i säkerhetsgrupper.
- Åtgärder per konto.
- Åtgärder för kontot.
- Händelseloggar rensas av användaren.
- Grupptillägg.
- Avvikande högt antal kontorsåtgärder.
- Resursåtkomst.
- Avvikande högt antal azure-inloggningsresultat.
- UEBA-insikter.
- Användaråtkomstbehörigheter till Azure-prenumerationer.
- Hotindikatorer relaterade till användaren.
- Visningslista insikter (förhandsversion).
- Windows-inloggningsaktivitet.
Insikterna baseras på följande datakällor:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Pulsslag (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Om du vill utforska någon av insikterna i den här panelen ytterligare väljer du länken som medföljer insikten. Länken tar dig till sidan Avancerad jakt , där den visar frågan som ligger till grund för insikten, tillsammans med dess råresultat. Du kan ändra frågan eller öka detaljnivån i resultaten för att utöka undersökningen eller bara tillfredsställa din nyfikenhet.
På sidan Översikt kan du göra följande ytterligare åtgärder:
- Aktivera, inaktivera eller inaktivera användaren i Microsoft Entra ID
- Uppmana användaren att utföra vissa åtgärder, till exempel kräva att användaren loggar in igen eller framtvingar lösenordsåterställning
- Återställa prioritetspoäng för undersökning för användaren
- Visa Microsoft Entra kontoinställningar, relaterad styrning, användarens ägda filer eller användarens delade filer
Mer information finns i Reparationsåtgärder i Microsoft Defender for Identity.
Fortsätt undersökningen efter behov för pågående incidenter.
- Översikt över incidenter
- Prioritera incidenter
- Hantera incidenter
- Microsoft Defender XDR översikt
- Aktivera Microsoft Defender XDR
- Enhetsentitetssida i Microsoft Defender
- Sidan IP-adressentitet i Microsoft Defender
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Ansluta Microsoft Sentinel till Microsoft Defender XDR
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.