調查 Microsoft Defender 全面偵測回應中的使用者

注意事項

想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應

適用於:

  • Microsoft Defender XDR

Microsoft Defender 全面偵測回應中的用戶實體頁面可協助您調查使用者身分識別。 此頁面包含每個身分識別的所有重要資訊。 如果警示或事件指出使用者可能遭到入侵或可疑,請檢查並調查使用者配置檔。

您可以在下列檢視中找到身分識別資訊:

  • 身分識別頁面
  • 警示佇列
  • 任何個別警示/事件
  • 裝置頁面
  • 活動記錄
  • 進階搜捕查詢
  • 控制中心

這些檢視中提供可點選的身分識別連結,將帶您前往 [ 使用者 ] 頁面,其中會顯示使用者的更多詳細數據。 例如,您可以在 Microsoft Defender 入口網站的 [事件 & 警示>>>事件資產使用者] 查看事件警示中識別的使用者帳戶詳細數據

Microsoft Defender 入口網站中事件的 [使用者] 頁面螢幕快照。

當您調查特定身分識別時,您會看到:

Microsoft Defender 入口網站中使用者詳細數據頁面的螢幕快照

注意事項

用戶頁面會顯示 Microsoft Entra 組織和群組,協助您了解與使用者相關聯的群組和許可權。

概觀

實體詳細數據

頁面左側的 [實體詳細數據] 提供使用者的相關信息,例如 Microsoft Entra 身分識別風險層級、使用者登入的裝置數目、使用者第一次和最後一次看見的時間、使用者的帳戶、使用者所屬的群組、連絡資訊等等。 視您已啟用的整合功能而定,您會看到其他詳細數據。

事件和警示的視覺檢視

此卡片包含與身分識別相關聯的所有事件和警示,並分組為嚴重性。

調查優先順序

此卡片包含計算調查優先順序分數明細和身分識別的兩周趨勢,包括身分識別分數是否在該租使用者的高百分位數上。

Active Directory 帳戶控制

在此卡片中,適用於身分識別的Defender會呈現可能需要注意的安全性設定。 您可以看到使用者的重要旗標,例如使用者是否可以按 Enter 略過密碼,以及使用者的密碼是否永久過期等等。

如需詳細資訊,請參閱 用戶帳戶控制旗標

評分活動

此卡片包含過去七天內參與整體調查優先順序分數的所有活動和警示。

組織樹狀結構

本節顯示 適用於身分識別的 Microsoft Defender 所報告之身分識別的階層。

帳戶標籤

適用於身分識別的 Defender 會從 Active Directory 提取標籤,為您提供監視 Active Directory 使用者和實體的單一介面。 標籤會提供 Active Directory 中有關實體的詳細數據,包括:

名稱 描述
新增 表示實體是在30天前建立的。
Deleted 表示實體已從 Active Directory 永久刪除。
Disabled 表示目前已在 Active Directory 中停用實體。 停 的屬性是 Active Directory 旗標,可供使用者帳戶、計算機帳戶和其他物件使用,以指出物件目前未在使用中。

停用物件時,無法用來登入或執行網域中的動作。
Enabled 表示實體目前已在 Active Directory 中啟用,表示實體目前正在使用中,而且可用來登入或在網域中執行動作。
已到期 表示實體在 Active Directory 中已過期。 當使用者帳戶過期時,使用者就無法再登入網域或存取任何網路資源。 過期的帳戶基本上會被視為已停用,但已設定明確的到期日。

用戶獲授權存取的任何服務或應用程式也可能受到影響,視其設定方式而定。
Honeytoken 表示實體已手動標記為 honeytoken。
Locked 表示實體提供錯誤的密碼太多次,且現在已鎖定。
部分 指出使用者、裝置或群組未與網域同步,且會透過全域編錄進行部分解析。 在此情況下,某些屬性無法使用。
解決 表示裝置無法解析為 Active Directory 樹系中的有效身分識別。 沒有可用的目錄資訊。
敏感度 表示實體被視為敏感性。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的適用於身分識別的Defender實體標記

注意事項

當 適用於身分識別的 Microsoft Defender 授權可用時,即可使用組織樹狀結構區段和帳戶標籤。

事件和警示

您可以在此索引標籤中查看過去 180 天內涉及使用者的所有作用中事件和警示。此索引標籤中提供警示嚴重性和產生警示的時間等資訊。選取警示數據列以檢視警示的詳細數據。

Microsoft Defender 入口網站中 [警示] 索引標籤中所列使用者警示的螢幕快照

在組織中觀察到

  • 裝置 - 本節包含身分識別登入裝置的相關信息,包括過去 180 天內大部分和最少使用的裝置。
  • 位置 - 本節包含過去 30 天內識別的所有觀察到位置。
  • 群組 - 本節包含所有觀察到的身分識別內部部署群組,如適用於身分識別的 Defender 所報告。
  • 橫向動作路徑 - 本節包含適用於身分識別的 Defender 所偵測到內部部署環境中的所有已分析橫向動作路徑。

注意事項

當 適用於身分識別的 Microsoft Defender 授權可用時,可以使用群組和橫向動作路徑。

選取 [ 橫向移動 ] 索引標籤可讓您檢視完全動態且可點選的地圖,您可以在其中查看使用者的橫向動作路徑。 攻擊者可以使用路徑資訊來滲透您的網路。

地圖提供攻擊者可以利用來危害敏感性帳戶的其他裝置或用戶清單。 如果使用者有敏感性帳戶,您可以看到直接連線的資源和帳戶數目。

可以依日期檢視的橫向動作路徑報告一律可用來提供探索到的潛在橫向動作路徑相關信息,並可依時間自定義。 使用 [ 檢視不同的日期 ] 來選取不同的日期,以檢視針對實體找到的先前橫向動作路徑。 只有當在過去兩天內找到實體的潛在橫向動作路徑時,圖表才會顯示。

[在組織中觀察到] 檢視的螢幕快照,其中顯示 Microsoft Defender 入口網站中用戶的裝置、群組、位置和橫向動作路徑

時間表

時間軸代表過去 30 天內從使用者身分識別觀察到的活動和警示。 它會在 適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於端點的 Microsoft Defender 工作負載之間,將使用者的身分識別專案一致。 藉由使用時程表,您可以將焦點放在使用者在特定時間範圍內執行或執行的活動。

  • 自訂時間範圍選擇器: 您可以選擇一個時間範圍,將調查重點放在過去 24 小時、過去 3 天等等。 或者,您可以按兩下[ 自訂範圍] 來選擇特定的時間範圍。 例如:

    顯示如何選擇時間範圍的螢幕快照。

  • 時程表篩選: 若要改善調查體驗,您可以使用時程表篩選條件:輸入 (警示和/或使用者的相關活動) 、警示嚴重性、活動類型、應用程式、位置、通訊協定。 每個篩選相依於其他篩選條件,而每個篩選 (下拉式清單中的選項) 只包含與特定使用者相關的數據。

  • 匯出按鈕: 您可以將時間軸匯出至 CSV 檔案。 匯出僅限於前 5000 筆記錄,並包含在 UI 中顯示的數據, (相同的篩選條件和數據行) 。

  • 自訂數據行: 您可以選取 [自訂數據行] 按鈕,以選擇要在時程表中公開 的數據行 。 例如:

    顯示使用者影像的螢幕快照。

有哪些數據類型可供使用?

時間軸中提供下列資料類型:

  • 使用者受影響的警示
  • Active Directory 和 Microsoft Entra 活動
  • 雲端應用程式的事件
  • 裝置登入事件
  • 目錄服務變更

顯示哪些資訊?

下列資訊會顯示在時程表中:

  • 活動/警示描述
  • 活動的日期和時間
  • 執行活動的應用程式
  • 來源裝置/IP 位址
  • MITRE ATT&CK 技術
  • 警示狀態和嚴重性
  • 用戶端IP位址地理位置的國家/地區
  • 通訊期間使用的通訊協定
  • 目標裝置 (自定義數據行)
  • 自訂數據行 (活動發生的次數)

例如:

[時程表] 索引標籤的螢幕快照。

注意事項

Microsoft Defender 全面偵測回應 可以使用您的當地時區或 UTC 來顯示日期和時間資訊。 選取的時區會套用至 [身分識別時間軸] 中顯示的所有日期和時間資訊。

若要設定這些功能的時區,請移至 [設定>資訊安全中心>時區]

補救動作

從 [概觀] 頁面,您可以執行下列其他動作:

  • 在 Microsoft Entra ID 中啟用、停用或暫停使用者
  • 引導使用者執行某些動作,例如要求使用者再次登入或強制重設密碼
  • 重設使用者的調查優先順序分數
  • 檢視 Microsoft Entra 帳戶設定、相關控管、用戶擁有的檔案或使用者的共享檔案

螢幕快照,顯示 Microsoft Defender 入口網站中使用者的重新美化動作

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的補救動作

後續步驟

如同進程事件需要,請繼續 調查

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。