調查資產

適用於身分識別的 Microsoft Defender 為 Microsoft Defender 全面偵測回應 使用者提供了使用者、計算機和裝置執行可疑活動或顯示遭入侵跡象時的證據。

本文提供如何判斷組織風險、決定如何補救,以及決定未來防止類似攻擊的最佳方法的建議。

可疑用戶的調查步驟

注意

如需如何在 Microsoft Defender 全面偵測回應 中檢視使用者配置文件的資訊,請參閱 Microsoft Defender 全面偵測回應 檔

如果警示或事件指出使用者可能可疑或遭入侵,請檢查並調查使用者配置檔中是否有下列詳細數據和活動:

  • 使用者身分識別

    • 使用者是否為 敏感性使用者 (例如系統管理員,或關注清單等)。?
    • 他們在組織內的角色為何?
    • 它們是否在組織樹狀結構中很重要?
  • 調查可疑的活動,例如:

    • 使用者在適用於身分識別的 Defender 或其他安全性工具中是否有其他已開啟的警示,例如 適用於端點的 Microsoft Defender、適用於雲端的 Microsoft Defender 和/或 適用於雲端的 Microsoft Defender Apps?
    • 使用者是否已登入失敗?
    • 使用者存取哪些資源?
    • 使用者是否存取高價值資源?
    • 使用者是否應該存取他們存取的資源?
    • 使用者登入哪些裝置?
    • 使用者是否應該登入這些裝置?
    • 使用者與敏感性用戶之間是否有橫向移動路徑 (LMP?

使用這些問題的解答來判斷帳戶是否出現遭入侵,或可疑活動是否暗示惡意動作。

在下列 Microsoft Defender 全面偵測回應 區域中尋找身分識別資訊:

  • 個別身分識別詳細數據頁面
  • 個別警示或事件詳細數據頁面
  • 裝置詳細數據頁面
  • 進階搜捕查詢
  • 控制 中心 頁面

例如,下圖顯示身分識別詳細數據頁面上的詳細數據:

身分識別詳細數據頁面的螢幕快照。

身分識別詳細數據

當您調查特定身分識別時,您會在身分識別詳細數據頁面上看到下列詳細數據:

身分識別詳細數據頁面區域 描述
[概觀] 索引標籤 一般身分識別數據,例如 Microsoft Entra 身分識別風險層級、使用者登入的裝置數目、使用者第一次和最後一次看到時,用戶帳戶和更重要的資訊。

使用 [概觀] 索引標籤,也可以檢視事件和警示的圖表、調查優先順序分數、組織樹狀結構、實體卷標,以及評分的啟用時程表。
事件和警示 列出過去 180 天內涉及使用者的作用中事件和警示,包括警示嚴重性和產生警示時間等詳細數據。
在組織中觀察到 包含下列子區域:
- 裝置:身分識別登入的裝置,包括過去 180 天內最常使用和最少使用的裝置。
- 位置:過去 30 天內識別觀察到的位置。
- 群組:身分識別的所有觀察內部部署群組。
- 橫向動作路徑 - 所有從內部部署環境剖析的橫向動作路徑。
身分識別時程表 時間軸代表從使用者的身分識別觀察到的活動和警示、統一跨 適用於身分識別的 Microsoft Defender、適用於雲端的 Microsoft Defender Apps 和 適用於端點的 Microsoft Defender 的身分識別專案。

使用時程表將焦點放在使用者在特定時間範圍內執行或對其執行的活動。 選取預設 的 30 天 ,將時間範圍變更為另一個內建值,或變更為自定義範圍。
補救動作 停用其帳戶或重設密碼,以回應遭入侵的使用者。 對使用者採取動作之後,您可以檢查 Microsoft Defender 全面偵測回應 **控制中心的活動詳細數據。

如需詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應 檔中的使用者

可疑群組的調查步驟

如果警示或事件調查與Active Directory 群組相關,請檢查群組實體以取得下列詳細數據和活動:

  • 群組實體

    • 群組是否為敏感性群組,例如網域 管理員
    • 群組是否包含敏感性使用者?
  • 調查可疑的活動,例如:

    • 群組是否在適用於身分識別的Defender或其他安全性工具中開啟、相關警示,例如 適用於端點的 Microsoft Defender、適用於雲端的 Microsoft Defender和/或 適用於雲端的 Microsoft Defender Apps?
    • 最近新增或移除群組中的哪些使用者?
    • 群組最近是否已查詢,以及由誰查詢?

使用這些問題的解答來協助調查。

從 [群組實體詳細數據] 窗格中,選取 [移至搜尋] 或 [開啟時程表] 以調查。 您也可以在下列 Microsoft Defender 全面偵測回應 區域中找到群組資訊:

  • 個別警示或事件詳細數據頁面
  • 裝置或使用者詳細數據頁面
  • 進階搜捕查詢

例如,下圖顯示 伺服器操作員 啟用時程表,包括過去 180 天內的相關警示和活動:

[時程表] 索引標籤的螢幕快照。

可疑裝置的調查步驟

Microsoft Defender 全面偵測回應 警示會列出連線至每個可疑活動的所有裝置和使用者。 選取裝置以檢視裝置詳細數據頁面,然後調查下列詳細數據和活動:

  • 可疑活動期間發生什麼事?

    • 哪個使用者已登入裝置?
    • 該使用者通常會登入或存取來源或目的地裝置嗎?
    • 哪些資源已存取? 哪些使用者? 如果資源已存取,它們是否為高價值資源?
    • 使用者是否應該存取這些資源?
    • 存取裝置的使用者是否執行其他可疑活動?
  • 要調查的可疑活動:

    • 在適用於身分識別的 Defender 中,或其他安全性工具,例如 適用於端點的 Microsoft Defender、適用於雲端的 Microsoft Defender 和/或 適用於雲端的 Microsoft Defender Apps 中,是否同時開啟其他警示?
    • 是否有失敗的登入?
    • 是否已部署或安裝任何新程式?

使用這些問題的解答來判斷裝置是否出現遭入侵,或可疑活動是否暗示惡意動作。

例如,下圖顯示裝置詳細數據頁面:

裝置詳細數據頁面的螢幕快照。

如需詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應 檔中的裝置

下一步