使用 Microsoft Defender for Identity 调查攻击

  • 20 分钟

你已了解可以使用 Microsoft Defender for Identity 检测对组织标识的不同类型的攻击。 但是,作为组织的安全分析师,你还需要能够理解它们,以便你解决它们并阻止其将来再次发生。 本文中,你将了解如何执行调查以响应攻击。

调查恶意活动

攻击可能会从企业域内部或外部产生。 通常,攻击者可能会尝试从外部破坏单个计算机或用户帐户,然后使用它作为攻击系统其余部分踏板。 如果你观察到针对异常活动触发的警报,则应该在网络中调查这些警报的来源。 Microsoft Defender for Identity 捕获的信息使你能够调查可能涉及的各种用户帐户、计算机和其他实体。

调查用户

如果检测到特定用户的活动,可以使用 Microsoft Defender for Identity 生成的日志回答以下问题:

  • 此用户是谁? 此用户帐户应该实际存在还是被秘密创建的? 此用户是否具有管理员权限? 此用户是否拥有对系统中敏感信息的控制权? 此用户是否位于监视列表中?你之前是否曾通过此帐户观察到异常活动?
  • 此用户是否在 Microsoft Defender for Identity 或其他工具(如 Microsoft Defender for Endpoint 或 Microsoft Defender for Cloud Apps)中触发了其他警报?
  • 此用户是否有登录失败的记录?
  • 此用户通常访问哪些资源,该帐户目前是否呈现异常请求模式。 用户目前是否企图访问敏感数据?
  • 该用户已登录哪些计算机,用户通常是否连接到这些计算机?
  • 此用户和有权访问更敏感数据的帐户之间是否有横向移动路径? 一台计算机中相对未受保护的帐户可能是另一台计算机中有权访问更关键数据的组的一部分。 横向移动路径使攻击者能够利用保护薄弱的帐户的凭据,以便在域中的其他地方使用。

显示 Microsoft Defender for Identity 中调查的用户活动的屏幕截图。

调查计算机

你可以使用 Microsoft Defender for Identity 来按计算机跟踪活动。 若要使用此信息,可以在触发警报时提出以下问题:

  • 哪个用户已登录到计算机? 此用户通常是否使用此计算机? 用户企图访问计算机上的哪些资源?
  • 此计算机最近是否多次登录失败?
  • 此计算机是否触发了 Microsoft Defender for Identity 的其他警报或其他解决方案(如 Microsoft Defender for Endpoint)?
  • 此计算机上是否安装了任何新程序?
  • 是否有文件已上传到此计算机或从此计算机上载?

显示 Microsoft Defender for Identity 中调查的计算机活动的屏幕截图。

调查横向移动路径

横向移动路径由被视为存在风险的帐户导致。 一旦存在风险的帐户遭到入侵,横向移动路径上的其他帐户可能会成为攻击目标。 Microsoft Defender for Identity 可以生成指示帐户可能的横向移动路径的报告。

显示如何在 Microsoft Defender for Identity 中下载横向移动路径的屏幕截图。

若要最大程度地降低横向移动路径的可能性,可以考虑以下最佳实践:

  • 确保用户在使用强化计算机时仅提供管理凭据。 如果用户不需要执行管理任务,则用户应该使用普通非管理帐户登录。
  • 仅向用户和组授予必要的权限。
  • 仅授予对用户和组所需的资源的访问权限。

调查实体

实体是域中的用户、计算机或设备。 使用 Microsoft Defender for Identity,你可获取域中每个实体的详细信息页面。 它包含详细信息,包括实体有权访问的资源及其历史记录。 配置文件页使用 Microsoft Defender for Identity 逻辑活动翻译程序,该程序可以查看一组正在发生的活动(最多一分钟),并将它们分组为单个逻辑活动,以便更好地了解用户的实际活动。

探索攻击调查和响应

使用 Microsoft Defender for Identity 调查和应对攻击。

请务必单击视频播放器中的全屏选项。 完成后,请使用浏览器中的“返回”箭头返回到此页面。