共用方式為

調查實體配置檔

  • 發行項

適用於:進階威脅分析 1.9 版

實體配置檔提供儀錶板,其設計目的是要完整深入調查使用者、計算機、裝置,以及他們可存取的資源及其歷程記錄。 配置文件頁面會利用新的 ATA 邏輯活動翻譯工具,查看發生的活動群組(匯總最多一分鐘),並將其分組為單一邏輯活動,讓您更瞭解用戶的實際活動。

若要存取實體配置檔頁面,請在可疑的啟用時程表中選取實體的名稱,例如用戶名稱。

左側功能表提供實體上所有可用的 Active Directory 資訊 - 電子郵件地址、網域、第一次看到日期。 如果實體很敏感,它會告訴您原因。 例如,使用者是否標記為敏感性或敏感性群組的成員? 如果是敏感性使用者,您會在用戶名稱下看到圖示。

檢視實體活動

若要檢視使用者執行的所有活動,或是在實體上執行,請選取 [ 活動 ] 索引標籤。

使用者配置文件活動。

根據預設,實體配置檔的主要窗格會顯示實體活動的時間軸,其歷程記錄最多 6 個月,您也可以向下切入使用者或存取實體的使用者所存取的實體。

在頂端,您可以檢視摘要磚,讓您快速概觀實體需要了解的內容。 這些磚會根據實體的類型而變更,針對使用者,您會看到:

  • 使用者有多少個開啟的可疑活動

  • 使用者登入的計算機數

  • 使用者存取的資源數量

  • 使用者登入 VPN 的位置

    實體功能表。

針對電腦,您可以看到:

  • 機器有多少個開啟的可疑活動

  • 有多少使用者登入計算機

  • 計算機存取的資源數量

  • 從計算機上存取多少位置 VPN

  • 計算機使用的IP位址清單

    實體功能表電腦。

您可以使用啟用時間軸上方的 [ 篩選依據 ] 按鈕,依活動類型篩選活動。 您也可以篩選掉特定(嘈雜)的活動類型。 當您想要瞭解實體在網路中執行之動作的基本概念時,這確實有助於調查。 您也可以移至特定日期,而且您可以將活動匯出為篩選至 Excel。 導出的檔案會提供目錄服務變更的頁面(帳戶在 Active Directory 中變更的專案),以及活動的個別頁面。

檢視目錄數據

[目錄數據] 索引標籤提供 Active Directory 提供的靜態資訊,包括使用者存取控制安全性旗標。 ATA 也會顯示使用者的群組成員資格,以便判斷使用者是否有直接成員資格或遞歸成員資格。 若為群組,ATA 最多會列出群組的1000個成員。

使用者配置檔目錄數據。

在 [ 使用者存取控制 ] 區段中,ATA 會顯示可能需要您注意的安全性設定。 您可以看到使用者的重要旗標,例如使用者按下 Enter 鍵以略過密碼、使用者是否有永遠不會過期的密碼等等。

檢視橫向動作路徑

藉由選取 [橫向動作路徑 ] 索引標籤,您可以檢視完全動態且可點選的地圖,讓您能夠以視覺方式呈現此使用者的橫向動作路徑,以便用來滲透您的網络。

此對應提供您一份清單,列出攻擊者必須和從此使用者入侵敏感性帳戶的計算機或用戶之間有多少躍點,以及如果使用者本身有敏感性帳戶,您可以看到有多少資源和帳戶直接連線。 如需詳細資訊,請參閱 橫向動作路徑

使用者配置檔橫向動作路徑。

另請參閱

查看 ATA 論壇!