调查资产

Microsoft Defender for Identity 为 Microsoft Defender XDR 用户提供了用户、计算机和设备何时进行了可疑活动或显示出被盗用迹象的证据。

本文就如何确定组织面临的风险、决定如何修正以及确定未来防止类似攻击的最佳方法提出了建议。

可疑用户的调查步骤

注意

有关如何在 Microsoft Defender XDR 中查看用户配置文件的信息,请参阅 Microsoft Defender XDR 文档

如果警报或事件表明用户可能可疑或被盗用,请检查并调查用户配置文件中的以下详细信息和活动:

  • 用户标识

    • 该用户是敏感用户吗(例如管理员,或者在观察列表上,等等)?
    • 他们在组织中的角色是什么?
    • 他们在组织树中是否重要?
  • 调查可疑活动,例如:

    • 用户是否在 Defender for Identity 或其他安全工具(如 Microsoft Defender for Endpoint、Microsoft Defender for Cloud 和/或 Microsoft Defender for Cloud Apps)中有其他已打开的警报?
    • 用户是否登录失败?
    • 用户访问了哪些资源?
    • 用户是否访问了高价值资源?
    • 用户是否应该访问他们访问的资源?
    • 用户登录了哪些设备?
    • 用户是否应该登录到这些设备?
    • 用户和敏感用户之间是否存在横向移动路径 (LMP)?

使用这些问题的回答来确定帐户是否被盗用,或者可疑活动是否意味着恶意操作。

在以下 Microsoft Defender XDR 区域中查找身份信息:

  • 个人身份详细信息页面
  • 各个警报或事件详细信息页面
  • “设备详细信息”页
  • 高级搜寻查询
  • 操作中心页面

例如,下图显示了身份详细信息页面上的详细信息:

“标识详细信息”页的屏幕截图。

标识详细信息

当你调查特定身份时,你将在身份详细信息页面上看到以下详细信息:

身份详细信息页面区域 说明
“概览”选项卡 常规身份数据,如 Microsoft Entra 身份风险级别、用户登录的设备数量、用户首次和上次上线时间、用户帐户以及更多重要信息。

使用概述选项卡还可以查看事件和警报、调查优先级分数、组织树、实体标记和评分活动时间线的图形。
事件和警报 列出过去 180 天内涉及用户的活动事件和警报,包括警报严重性和警报生成时间等详细信息。
组织中的发现结果 包含以下子区域:
- 设备:身份登录的设备,包含过去 180 天内使用次数最多和最少的设备。
- 位置:过去 30 天内观测到身份的位置。
- :所有观测到身份的本地组。
- 横向移动路径 - 来自本地环境的所有探查到的横向移动路径。
身份时间线 时间线表示从用户身份观测到的活动和警报,统一了 Microsoft Defender for Identity、Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint 的身份项。

使用时间线可以专注于用户在特定时间范围内执行的活动或者对用户执行的活动。 选择默认的 30 天,将时间范围更改为其他内置值或自定义范围。
修正操作 通过禁用帐户或重置密码对遭到入侵的用户作出响应。 对用户执行操作后,可以在 Microsoft Defender XDR **操作中心查看活动详细信息。

有关更多信息,请参阅 Microsoft Defender XDR 文档中的调查用户

可疑组的调查步骤

如果警报或事件调查与 Active Directory 组相关,请检查组实体了解以下详细信息和活动:

  • 组实体

    • 该组是否为敏感组,例如域管理员
    • 该组是否包含敏感用户?
  • 调查可疑活动,例如:

    • 该组是否在 Defender for Identity 或其他安全工具(如 Microsoft Defender for Endpoint、Microsoft Defender for Cloud 和/或 Microsoft Defender for Cloud Apps)中有其他已打开的相关警报?
    • 最近向组中添加了哪些用户或从组中删除了哪些用户?
    • 该组最近被查询过吗?被谁查询过?

使用这些问题的解答来帮助调查。

从组实体详细信息窗格中,选择执行搜寻打开时间线进行调查。 还可以在以下 Microsoft Defender XDR 区域中找到组信息:

  • 各个警报或事件详细信息页面
  • 设备或用户详细信息页
  • 高级搜寻查询

例如,下图显示了服务器操作员的活动时间线,包括过去 180 天内的相关警报和活动:

组“时间线”选项卡的屏幕截图。

可疑设备的调查步骤

Microsoft Defender XDR 警报列出了连接到每个可疑活动的所有设备和用户。 选择一个设备以查看设备详细信息页面,然后调查以下详细信息和活动:

  • 可疑活动发生前后发生了什么?

    • 哪个用户登录到了该设备?
    • 该用户是否正常登录或访问源或目的地设备?
    • 访问了哪些资源? 由哪些用户访问? 如果访问了资源,这些资源是高价值的资源吗?
    • 用户是否应该访问这些资源?
    • 访问设备的用户是否进行了其他可疑活动?
  • 需要调查的更多可疑活动

    • 在 Defender for Identity 或其他安全工具(如 Microsoft Defender for Endpoint、Microsoft Defender for Cloud 和/或 Microsoft Defender for Cloud Apps)中,是否在与此警报相同的时间打开了其他警报?
    • 是否存在登录失败的情况?
    • 是否部署或安装了任何新程序?

使用这些问题的回答来确定设备是否被盗用,或者可疑活动是否意味着恶意操作。

例如,下图显示了设备详细信息页面:

设备详细信息页的屏幕截图。

有关更多信息,请参阅 Microsoft Defender XDR 文档中的调查设备

后续步骤

提示

请试用我们的交互式指南:使用 Microsoft Defender for Identity 调查并响应攻击