Untersuchen von Benutzern in Microsoft Defender XDR

Hinweis

Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.

Gilt für:

  • Microsoft Defender XDR

Die Seite "Benutzerentität" in Microsoft Defender XDR hilft Ihnen bei der Untersuchung von Benutzeridentitäten. Die Seite enthält alle wichtigen Informationen zu jeder Identität. Wenn eine Warnung oder ein Incident darauf hinweist, dass ein Benutzer möglicherweise kompromittiert oder verdächtig ist, überprüfen Und untersuchen Sie das Benutzerprofil.

Identitätsinformationen finden Sie in den folgenden Ansichten:

  • Seite "Identitäten"
  • Benachrichtigungswarteschlange
  • Jede einzelne Warnung/jeder Incident
  • Seite "Gerät"
  • Aktivitätsprotokoll
  • Abfragen für die erweiterte Suche
  • Info-Center

In diesen Ansichten ist ein klickbarer Identitätslink verfügbar, der Sie zur Seite Benutzer führt, auf der weitere Details zum Benutzer angezeigt werden. Beispielsweise können Sie die Details der Benutzerkonten, die in den Warnungen zu einem Incident im Microsoft Defender-Portal identifiziert wurden, unter Incidents & Warnungen>incident Assets>>Users anzeigen.

Screenshot der Seite

Wenn Sie eine bestimmte Identität untersuchen, wird Folgendes angezeigt:

Screenshot: Seite mit Benutzerdetails im Microsoft Defender-Portal

Hinweis

Auf der Seite "Benutzer" werden die Microsoft Entra organization sowie Gruppen angezeigt, die Ihnen helfen, die Gruppen und Berechtigungen zu verstehen, die einem Benutzer zugeordnet sind.

Übersicht

Entitätsdetails

Die Entitätsdetails auf der linken Seite enthalten Informationen über den Benutzer, z. B. die Microsoft Entra Identitätsrisikostufe, die Anzahl der Geräte, bei denen der Benutzer angemeldet ist, als der Benutzer zum ersten und letzten Mal gesehen wurde, die Konten des Benutzers, die Gruppen, zu denen der Benutzer gehört, Kontaktinformationen und vieles mehr. Abhängig von den aktivierten Integrationsfeatures werden weitere Details angezeigt.

Visuelle Ansicht von Incidents und Warnungen

Diese Karte umfasst alle Incidents und Warnungen, gruppiert nach Schweregraden, die einer Identität zugeordnet sind.

Untersuchungspriorität

Dieser Karte enthält die berechnete Aufschlüsselung der Untersuchungspriorität und einen zweiwöchigen Trend für eine Identität, einschließlich der Angabe, ob die Identitätsbewertung auf dem hohen Perzentil für diesen Mandanten liegt.

Active Directory-Kontosteuerung

In diesem Karte zeigt Defender for Identity Sicherheitseinstellungen an, die Möglicherweise Ihre Aufmerksamkeit erfordern. Sie können wichtige Flags für den Benutzer sehen, z. B. wenn der Benutzer die EINGABETASTE drücken kann, um das Kennwort zu umgehen, oder ob der Benutzer über ein Kennwort verfügt, das nie abläuft usw.

Weitere Informationen finden Sie unter Flags für die Benutzerkontensteuerung.

Bewertete Aktivitäten

Diese Karte umfasst alle Aktivitäten und Warnungen, die zur Gesamtbewertung der Untersuchungspriorität der letzten sieben Tage beigetragen haben.

Organisationsstruktur

In diesem Abschnitt wird die Hierarchie für die Identität angezeigt, die von Microsoft Defender for Identity gemeldet wird.

Kontotags

Defender for Identity ruft Tags aus Active Directory ab, um Ihnen eine einzige Schnittstelle zum Überwachen Ihrer Active Directory-Benutzer und -Entitäten zu bieten. Tags stellen Details aus Active Directory zur Entität bereit und umfassen Folgendes:

Name Beschreibung
New Gibt an, dass die Entität vor weniger als 30 Tagen erstellt wurde.
Gelöscht Gibt an, dass die Entität endgültig aus Active Directory gelöscht wurde.
Disabled Gibt an, dass die Entität derzeit in Active Directory deaktiviert ist. Das disabled-Attribut ist ein Active Directory-Flag, das für Benutzerkonten, Computerkonten und andere Objekte verfügbar ist, um anzugeben, dass das Objekt derzeit nicht verwendet wird.

Wenn ein Objekt deaktiviert ist, kann es nicht zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden.
Enabled Gibt an, dass die Entität derzeit in Active Directory aktiviert ist. Dies gibt an, dass die Entität derzeit verwendet wird und zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden kann.
Abgelaufen Gibt an, dass die Entität in Active Directory abgelaufen ist. Wenn ein Benutzerkonto abgelaufen ist, kann sich der Benutzer nicht mehr bei der Domäne anmelden oder auf Netzwerkressourcen zugreifen. Das abgelaufene Konto wird im Wesentlichen so behandelt, als wäre es deaktiviert, aber mit einem expliziten Ablaufdatum festgelegt.

Alle Dienste oder Anwendungen, für die der Benutzer autorisiert war, können ebenfalls betroffen sein, je nachdem, wie sie konfiguriert sind.
Honeytoken Gibt an, dass die Entität manuell als Honeytoken gekennzeichnet ist.
Locked Gibt an, dass die Entität das falsche Kennwort zu oft angegeben hat und jetzt gesperrt ist.
Teilweise Gibt an, dass der Benutzer, das Gerät oder die Gruppe nicht mit der Domäne synchronisiert ist und teilweise über einen globalen Katalog aufgelöst wird. In diesem Fall sind einige Attribute nicht verfügbar.
Ungelöste Gibt an, dass das Gerät nicht in eine gültige Identität in der Active Directory-Gesamtstruktur aufgelöst wird. Es sind keine Verzeichnisinformationen verfügbar.
Vertraulich Gibt an, dass die Entität als vertraulich betrachtet wird.

Weitere Informationen finden Sie unter Defender for Identity-Entitätstags in Microsoft Defender XDR.

Hinweis

Der organization-Strukturabschnitt und die Kontotags sind verfügbar, wenn eine Microsoft Defender for Identity Lizenz verfügbar ist.

Vorfälle und Warnungen

Auf dieser Registerkarte werden alle aktiven Incidents und Warnungen angezeigt, die den Benutzer aus den letzten 180 Tagen betreffen. Informationen wie der Schweregrad der Warnung und der Zeitpunkt, zu dem die Warnung generiert wurde, sind auf dieser Registerkarte verfügbar. Wählen Sie die Warnungszeile aus, um weitere Details zur Warnung anzuzeigen.

Screenshot: Warnungen des Benutzers auf der Registerkarte

Beobachtet in organization

  • Geräte: Dieser Abschnitt enthält Informationen zu den Geräten, bei der sich die Identität angemeldet hat, einschließlich der meisten und am wenigsten in den letzten 180 Tagen verwendeten Geräte.
  • Standorte: Dieser Abschnitt enthält alle beobachteten Speicherorte für die Identität in den letzten 30 Tagen.
  • Gruppen: Dieser Abschnitt enthält alle beobachteten lokalen Gruppen für die Identität, wie von Defender for Identity gemeldet.
  • Lateral Movement-Pfade: Dieser Abschnitt enthält alle Lateral Movement-Pfade mit Profilerstellung aus der lokalen Umgebung, die von Defender for Identity erkannt wurde.

Hinweis

Gruppen und Lateral Movement-Pfade sind verfügbar, wenn eine Microsoft Defender for Identity Lizenz verfügbar ist.

Wenn Sie die Registerkarte Lateral movements (Seitliche Bewegungen) auswählen, können Sie eine vollständig dynamische und klickbare Karte anzeigen, auf der Sie die Lateral Movement-Pfade zu und von einem Benutzer anzeigen können. Ein Angreifer kann die Pfadinformationen verwenden, um Ihr Netzwerk zu infiltrieren.

Die Karte enthält eine Liste anderer Geräte oder Benutzer, die ein Angreifer ausnutzen kann, um ein sensibles Konto zu kompromittieren. Wenn der Benutzer über ein vertrauliches Konto verfügt, können Sie sehen, wie viele Ressourcen und Konten direkt verbunden sind.

Der Lateral Movement-Pfadbericht, der nach Datum angezeigt werden kann, ist immer verfügbar, um Informationen über die ermittelten potenziellen Lateral Movement-Pfade bereitzustellen und kann nach Zeit angepasst werden. Wählen Sie ein anderes Datum aus, indem Sie ein anderes Datum anzeigen verwenden, um frühere Lateral Movement-Pfade anzuzeigen, die für eine Entität gefunden wurden. Das Diagramm wird nur angezeigt, wenn in den letzten zwei Tagen ein potenzieller Lateral Movement-Pfad für eine Entität gefunden wurde.

Screenshot der Ansicht

Zeitachse

Die Zeitleiste stellt Aktivitäten und Warnungen dar, die von der Identität eines Benutzers in den letzten 30 Tagen beobachtet wurden. Sie vereinheitlicht die Identitätseinträge des Benutzers über Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- und Microsoft Defender for Endpoint-Workloads hinweg. Mithilfe der Zeitleiste können Sie sich auf Aktivitäten konzentrieren, die ein Benutzer in bestimmten Zeitrahmen ausgeführt oder ausgeführt hat.

  • Benutzerdefinierte Zeitbereichsauswahl: Sie können einen Zeitrahmen auswählen, um ihre Untersuchung auf die letzten 24 Stunden, die letzten 3 Tage usw. zu konzentrieren. Alternativ können Sie einen bestimmten Zeitrahmen auswählen, indem Sie auf Benutzerdefinierter Bereich klicken. Zum Beispiel:

    Screenshot: Auswählen des Zeitrahmens

  • Zeitachsenfilter: Um Ihre Untersuchungserfahrung zu verbessern, können Sie die Zeitleiste Filter verwenden: Typ (Warnungen und/oder benutzerbezogene Aktivitäten), Warnungsschweregrad, Aktivitätstyp, App, Standort, Protokoll. Jeder Filter hängt von den anderen ab, und die Optionen in den einzelnen Filtern (Dropdownliste) enthalten nur die Daten, die für den jeweiligen Benutzer relevant sind.

  • Schaltfläche "Exportieren": Sie können die Zeitleiste in eine CSV-Datei exportieren. Der Export ist auf die ersten 5.000 Datensätze beschränkt und enthält die Daten, wie sie auf der Benutzeroberfläche angezeigt werden (dieselben Filter und Spalten).

  • Benutzerdefinierte Spalten: Sie können auswählen, welche Spalten im Zeitleiste verfügbar gemacht werden sollen, indem Sie die Schaltfläche Spalten anpassen auswählen. Zum Beispiel:

    Screenshot, der das Bild des Benutzers zeigt.

Welche Datentypen sind verfügbar?

Die folgenden Datentypen sind im Zeitleiste verfügbar:

  • Die betroffenen Warnungen eines Benutzers
  • Active Directory- und Microsoft Entra-Aktivitäten
  • Ereignisse von Cloud-Apps
  • Geräteanmeldungsereignisse
  • Änderungen an Verzeichnisdiensten

Welche Informationen werden angezeigt?

Die folgenden Informationen werden im Zeitleiste angezeigt:

  • Beschreibung der Aktivität/Warnung
  • Datum und Uhrzeit der Aktivität
  • Anwendung, die die Aktivität ausgeführt hat
  • Quellgerät/IP-Adresse
  • MITRE ATT&CK-Techniken
  • Warnungsstatus und Schweregrad
  • Land/Region, in dem die Client-IP-Adresse geolokal ist
  • Während der Kommunikation verwendetes Protokoll
  • Zielgerät (angepasste Spalte)
  • Häufigkeit der Aktivität (angepasste Spalte)

Zum Beispiel:

Screenshot der Registerkarte

Hinweis

Microsoft Defender XDR können Datums- und Uhrzeitinformationen mithilfe Ihrer lokalen Zeitzone oder UTC anzeigen. Die ausgewählte Zeitzone gilt für alle Datums- und Uhrzeitinformationen, die im Identitäts-Zeitleiste angezeigt werden.

Um die Zeitzone für diese Features festzulegen, wechseln Sie zu Einstellungen>Security Center>Zeitzone.

Wartungsaktionen

Auf der Seite Übersicht können Sie die folgenden zusätzlichen Aktionen ausführen:

  • Aktivieren, Deaktivieren oder Anhalten des Benutzers in Microsoft Entra ID
  • Weisen Sie den Benutzer an, bestimmte Aktionen auszuführen, z. B. die erneute Anmeldung des Benutzers oder die Erzwingung der Kennwortzurücksetzung.
  • Zurücksetzen der Bewertung der Untersuchungspriorität für den Benutzer
  • Anzeigen Microsoft Entra Kontoeinstellungen, zugehöriger Governance, der Dateien im Besitz des Benutzers oder der freigegebenen Dateien des Benutzers

Screenshot: Aktionen zur Erneutvermeidung für einen Benutzer im Microsoft Defender-Portal

Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.