Felhasználói entitás lap a Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A felhasználói entitások Microsoft Defender portálon található oldala segít a felhasználói entitások vizsgálatában. Az oldal az adott felhasználói entitással kapcsolatos összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy felhasználó biztonsága sérült vagy gyanús, ellenőrizze és vizsgálja meg a felhasználói entitást.

A felhasználói entitások adatai a következő nézetekben találhatók:

  • Identityes page, under Assets
  • Értesítések várakozási sora
  • Minden egyéni riasztás/incidens
  • Eszközök lap
  • Minden egyes eszközentitás-oldal
  • Tevékenységnapló
  • Speciális keresési lekérdezések
  • Műveletközpont

Ahol a felhasználói entitások megjelennek ezekben a nézetekben, válassza ki az entitást a Felhasználó lap megtekintéséhez, amely további részleteket jelenít meg a felhasználóról. Az incidensek riasztásai között azonosított felhasználói fiókok részleteit például az Incidensek & riasztások >>>> incidenseszközök felhasználói Microsoft Defender portálon tekintheti meg.

Képernyőkép egy incidens Felhasználók lapjáról a Microsoft Defender portálon.

Egy adott felhasználói entitás vizsgálatakor az entitás oldalán a következő fülek jelennek meg:

A felhasználói oldalon a Microsoft Entra szervezet és a csoportok láthatók, így könnyebben megértheti a felhasználóhoz társított csoportokat és engedélyeket.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Áttekintés

Entitás részletei

Az oldal bal oldalán található Entitás részletei panel információkat nyújt a felhasználóról, például a Microsoft Entra identitás kockázati szintjét, a felhasználó által bejelentkezett eszközök számát, a felhasználó első és utolsó megtekintésekor a felhasználó fiókjait, a felhasználóhoz tartozó csoportokat, a kapcsolattartási adatokat stb. Az engedélyezett integrációs funkcióktól függően további részletek is megjelennek.

Incidensek és riasztások vizuális nézete

Ez a kártya tartalmazza a felhasználói entitáshoz társított összes incidenst és riasztást, súlyosság szerint csoportosítva.

Vizsgálat prioritása

Ez a kártya tartalmazza a felhasználói entitás számított vizsgálati prioritási pontszámának lebontását, valamint a pontszám kéthetes trendjét, beleértve a pontszám bérlőhöz viszonyított percentilisét.

Active Directory-fiókvezérlők

Ez a kártya Microsoft Defender for Identity figyelmet igénylő biztonsági beállításokat jelenít meg. Fontos jelzőket láthat a felhasználó fiókbeállításairól, például ha a felhasználó az Enter billentyűt lenyomva megkerülheti a jelszót, és hogy a felhasználónak van-e olyan jelszava, amely soha nem jár le stb.

További információ: Felhasználói fiókok felügyelete jelzők.

Pontozott tevékenységek

Ez a kártya tartalmazza az entitás vizsgálati prioritási pontszámához hozzájáruló összes tevékenységet és riasztást az elmúlt hét napban.

Szervezeti fa

Ez a szakasz bemutatja a felhasználói entitás helyét a szervezeti hierarchiában az Microsoft Defender for Identity által jelentett módon.

Fiókcímkék

Microsoft Defender for Identity lekéri a címkéket az Active Directoryból, hogy egyetlen felületet biztosítson az Active Directory-felhasználók és -entitások figyeléséhez. A címkék információt nyújtanak az Active Directoryból az entitásról, és a következőket tartalmazzák:

Name (Név) Leírás
Új Azt jelzi, hogy az entitás kevesebb mint 30 nappal ezelőtt lett létrehozva.
Deleted Azt jelzi, hogy az entitás véglegesen törölve lett az Active Directoryból.
Letiltva Azt jelzi, hogy az entitás jelenleg le van tiltva az Active Directoryban. A letiltott attribútum egy Active Directory-jelző, amely felhasználói fiókok, számítógépfiókok és egyéb objektumok számára érhető el, jelezve, hogy az objektum jelenleg nincs használatban.

Ha egy objektum le van tiltva, nem használható bejelentkezésre vagy műveletek végrehajtására a tartományban.
Engedélyezve Azt jelzi, hogy az entitás jelenleg engedélyezve van az Active Directoryban, ami azt jelzi, hogy az entitás jelenleg használatban van, és a tartományba való bejelentkezéshez vagy műveletek végrehajtásához használható.
Lejárt Azt jelzi, hogy az entitás lejárt az Active Directoryban. Ha egy felhasználói fiók lejárt, a felhasználó már nem tud bejelentkezni a tartományba, és nem férhet hozzá semmilyen hálózati erőforráshoz. A lejárt fiók lényegében úgy lesz kezelve, mintha le lett volna tiltva, de explicit lejárati dátum van megadva.

A felhasználó által hozzáférésre jogosult szolgáltatások és alkalmazások a konfigurálásuk módjától függően is érintettek lehetnek.
Honeytoken Azt jelzi, hogy az entitás manuálisan mézesmadzagaként van címkézve.
Zárolt Azt jelzi, hogy az entitás túl sokszor adta meg a helytelen jelszót, és most zárolva van.
Részleges Azt jelzi, hogy a felhasználó, az eszköz vagy a csoport nincs szinkronban a tartománnyal, és részlegesen feloldható egy globális katalóguson keresztül. Ebben az esetben egyes attribútumok nem érhetők el.
Megoldatlan Azt jelzi, hogy az eszköz nem oldható fel érvényes identitásra az Active Directory-erdőben. Nem érhetők el könyvtáradatok.
Érzékeny Azt jelzi, hogy az entitás bizalmasnak minősül.

További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.

Megjegyzés:

A szervezeti fa szakasz és a fiókcímkék akkor érhetők el, ha elérhető egy Microsoft Defender for Identity licenc.

Képernyőkép egy adott felhasználó oldaláról a Microsoft Defender portálon

Incidensek és riasztások

Ezen a lapon láthatja a felhasználót érintő összes aktív incidenst és riasztást az elmúlt hat hónapban. A fő incidensek és riasztások üzenetsoraiból származó összes információ itt látható. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.

Testre szabhatja a megjelenített elemek számát és az egyes elemekhez megjelenített oszlopokat. Az alapértelmezett viselkedés az, hogy oldalanként 30 elemet listáz. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.

Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.

Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.

Képernyőkép a felhasználói fiók kapcsolódó riasztásairól a Microsoft Defender portál Riasztások lapján

Szervezeten belül megfigyelve

  • Eszközök: ez a szakasz az összes olyan eszközt megjeleníti, amelybe a felhasználó entitás bejelentkezett az előző 180 napban, jelezve a leggyakrabban és legkevésbé használt eszközöket.

  • Helyek: ez a szakasz a felhasználói entitás összes megfigyelt helyét mutatja az elmúlt 30 napban.

  • Csoportok: ez a szakasz a felhasználói entitás összes megfigyelt helyszíni csoportját jeleníti meg, a Microsoft Defender for Identity által jelentett módon.

  • Oldalirányú mozgási útvonalak: ez a szakasz a helyszíni környezetből származó, a Defender for Identity által észlelt összes profilalapú oldalirányú mozgási útvonalat mutatja.

Megjegyzés:

A csoportok és az oldalirányú mozgási útvonalak akkor érhetők el, ha elérhető Microsoft Defender for Identity licenc.

Az Oldalirányú mozgások lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, ahol megtekintheti a felhasználó oldalirányú mozgási útvonalait. A támadók az elérésiút-adatok segítségével beszivároghatnak a hálózatba.

A térkép felsorolja azokat az eszközöket vagy felhasználókat, amelyekből a támadók kihasználhatják a bizalmas fiókok feltörésének előnyeit. Ha a felhasználó bizalmas fiókkal rendelkezik, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva.

Az oldalirányú mozgás útvonaláról szóló jelentés, amely dátum szerint tekinthető meg, mindig elérhető, hogy információt nyújtson a felderített lehetséges oldalirányú mozgási útvonalakról, és idő szerint testre szabható. Válasszon egy másik dátumot a Másik dátum megtekintése paranccsal az entitás korábbi oldalirányú mozgási útvonalainak megtekintéséhez. A gráf csak akkor jelenik meg, ha az elmúlt két napban potenciális oldalirányú mozgási útvonalat találtak egy entitáshoz.

Képernyőkép a megfigyelt szervezeti nézetről, amelyen egy felhasználó eszköz-, csoport-, hely- és oldalirányú mozgási útvonalai láthatók a Microsoft Defender portálon

Idővonal

Az idősor megjeleníti a felhasználó identitásából az elmúlt 30 napban megfigyelt felhasználói tevékenységeket és riasztásokat. Egyesíti a felhasználó identitásbejegyzéseit Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és Végponthoz készült Microsoft Defender számítási feladatok között. Az idővonal használatával a felhasználó által végrehajtott vagy adott időkeretekben végrehajtott tevékenységekre összpontosíthat.

Ahhoz, hogy az egyesített SOC-platform felhasználói az előző bekezdésben szereplő adatforrásokon kívül más adatforrások alapján is láthassák a Microsoft Sentinel riasztásait, ezeket a riasztásokat és egyéb információkat az alább ismertetettSentinel-események lapon találják meg.

  • Egyéni időtartomány-választó: Megadhat egy időkeretet, amely az elmúlt 24 órára, az elmúlt 3 napra és így tovább összpontosítja a vizsgálatot. Másik lehetőségként az Egyéni tartomány elemre kattintva is kiválaszthat egy adott időkeretet. Például:

    Képernyőkép az időkeret kiválasztásáról.

  • Idősorszűrők: A vizsgálati élmény javítása érdekében használhatja az idősorszűrőket: Típus (Riasztások és/vagy a felhasználó kapcsolódó tevékenységei), Riasztás súlyossága, Tevékenység típusa, Alkalmazás, Hely, Protokoll. Az egyes szűrők a többitől függenek, és az egyes szűrők (legördülő listák) beállításai csak az adott felhasználó számára releváns adatokat tartalmazzák.

  • Exportálás gomb: Az ütemtervet CSV-fájlba exportálhatja. Az exportálás az első 5000 rekordra korlátozódik, és a felhasználói felületen megjelenő adatokat tartalmazza (ugyanazokkal a szűrőkkel és oszlopokkal).

  • Testreszabott oszlopok: Az Oszlopok testreszabása gombra kattintva kiválaszthatja , hogy mely oszlopokat tegye közzé az ütemtervben. Például:

    A felhasználó képét megjelenítő képernyőkép.

Milyen adattípusok érhetők el?

Az ütemtervben a következő adattípusok érhetők el:

  • Egy felhasználó érintett riasztásai
  • Active Directory- és Microsoft Entra tevékenységek
  • Felhőalkalmazások eseményei
  • Eszköz bejelentkezési eseményei
  • Címtárszolgáltatások változásai

Milyen információk jelennek meg?

Az idővonalon a következő információk jelennek meg:

  • A tevékenység dátuma és időpontja
  • Tevékenység/riasztás leírása
  • A tevékenységet végrehajtó alkalmazás
  • Forráseszköz/IP-cím
  • MITRE ATT&CK technikák
  • Riasztás súlyossága és állapota
  • Az ügyfél IP-címének földrajzi helyének országa/régiója
  • A kommunikáció során használt protokoll
  • Céleszköz (nem kötelező, oszlopok testreszabásával megtekinthető)
  • A tevékenység bekövetkezésének száma (nem kötelező, oszlopok testreszabásával megtekinthető)

Például:

Képernyőkép az Ütemterv lapról.

Megjegyzés:

Microsoft Defender XDR a dátum- és időadatokat a helyi időzóna vagy az UTC használatával jelenítheti meg. A kiválasztott időzóna az identitás idővonalán látható összes dátum- és időinformációra érvényes lesz.

A funkciók időzónájának beállításához lépjen a Beállítások>Biztonsági központ>időzónája területre.

Sentinel-események

Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, ez a további lap a felhasználói entitások oldalán található. Ez a lap importálja a Fiók entitáslapot a Microsoft Sentinelből.

Sentinel idővonala

Ez az idősor a felhasználói entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a Microsoft Sentinel által külső, nem Microsoft-adatforrásokból létrehozott riasztások.

Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait , a külső adatforrásokból származó felhasználói tevékenységeseményeket és a Microsoft Sentinel anomáliaszabályai által észlelt szokatlan viselkedéseket is megjeleníti.

Betekintést

Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik a felhasználói entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.

Az alábbiakban néhány megállapítás látható:

  • A biztonsági csoportok tagságán alapuló felhasználói társviszonyok.
  • Műveletek fiók szerint.
  • Fiókműveletek.
  • A felhasználó által törölt eseménynaplók.
  • Csoportbeadások.
  • Rendellenesen magas irodai műveletek száma.
  • Erőforrás-hozzáférés.
  • Rendellenesen magas Azure-bejelentkezési eredmények száma.
  • UEBA-elemzések.
  • Felhasználói hozzáférési engedélyek az Azure-előfizetésekhez.
  • A felhasználóhoz kapcsolódó fenyegetésjelzők.
  • Figyelőlista-elemzések (előzetes verzió).
  • Windows bejelentkezési tevékenység.

Az elemzések a következő adatforrásokon alapulnak:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • Naplók (Microsoft Entra ID)
  • Bejelentkezési naplók (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Szívverés (Azure Monitor-ügynök)
  • CommonSecurityLog (Microsoft Sentinel)

Képernyőkép a Sentinel-események lapról a felhasználói entitás oldalán.

Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.

Képernyőkép a Speciális veszélyforrás-keresés képernyőről elemzési lekérdezéssel.

Szervizelési műveletek

Az Áttekintés lapon az alábbi további műveleteket hajthatja végre:

  • A felhasználó engedélyezése, letiltása vagy felfüggesztése a Microsoft Entra ID
  • A felhasználót arra utasíthatja, hogy bizonyos műveleteket hajtson végre, például kérje meg a felhasználót, hogy jelentkezzen be újra, vagy kényszerítse az új jelszó kérését
  • A vizsgálat prioritási pontszámának alaphelyzetbe állítása a felhasználónál
  • Megtekintheti Microsoft Entra fiókbeállításokat, a kapcsolódó szabályozást, a felhasználó tulajdonában lévő fájlokat vagy a felhasználó megosztott fájljait

Képernyőkép egy felhasználó szervizelési műveleteiről a Microsoft Defender portálon

További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.