Strona jednostki użytkownika w Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Strona jednostki użytkownika w portalu Microsoft Defender ułatwia badanie jednostek użytkowników. Strona zawiera wszystkie ważne informacje o danej jednostce użytkownika. Jeśli alert lub zdarzenie wskazuje, że użytkownik może zostać naruszona lub jest podejrzany, sprawdź i zbadaj jednostkę użytkownika.

Informacje o jednostce użytkownika można znaleźć w następujących widokach:

  • Strona Tożsamości w obszarze Zasoby
  • Kolejka alertów
  • Każdy indywidualny alert/zdarzenie
  • Strona Urządzenia
  • Dowolna strona jednostki urządzenia
  • Dziennik aktywności
  • Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
  • Centrum akcji

Wszędzie tam, gdzie jednostki użytkownika są wyświetlane w tych widokach, wybierz jednostkę, aby wyświetlić stronę Użytkownik , która zawiera więcej szczegółów na temat użytkownika. Na przykład szczegółowe informacje o kontach użytkowników zidentyfikowane w alertach zdarzenia w portalu Microsoft Defender można znaleźć w temacie Zdarzenia & alerty > Użytkownicy zasobów >zdarzenia> zdarzenia>.

Zrzut ekranu przedstawiający stronę Użytkownicy dla zdarzenia w portalu Microsoft Defender.

Podczas badania określonej jednostki użytkownika na stronie jednostki są widoczne następujące karty:

Na stronie użytkownika jest wyświetlana Microsoft Entra organizacji, a także grup, co ułatwia zrozumienie grup i uprawnień skojarzonych z użytkownikiem.

Ważna

Usługa Microsoft Sentinel jest dostępna w ramach publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Omówienie

Szczegóły jednostki

Panel Szczegóły jednostki po lewej stronie zawiera informacje o użytkowniku, takie jak poziom ryzyka Microsoft Entra tożsamości, liczba urządzeń, do których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatni raz widziany, konta użytkownika, grupy, do których należy użytkownik, informacje kontaktowe i inne. W zależności od włączonych funkcji integracji zostaną wyświetlone inne szczegóły.

Wizualny widok zdarzeń i alertów

Ta karta zawiera wszystkie zdarzenia i alerty skojarzone z jednostką użytkownika pogrupowane według ważności.

Priorytet badania

Ta karta zawiera podział wskaźnika priorytetu badania obliczeniowego jednostki użytkownika oraz dwutygodniowy trend dla tego wyniku, w tym percentyl wyniku w stosunku do dzierżawy.

Kontrolki konta usługi Active Directory

Ta karta Microsoft Defender for Identity ustawienia zabezpieczeń, które mogą wymagać Twojej uwagi. Możesz zobaczyć ważne flagi dotyczące ustawień konta użytkownika, na przykład jeśli użytkownik może nacisnąć klawisz Enter, aby pominąć hasło, a jeśli użytkownik ma hasło, które nigdy nie wygasa itp.

Aby uzyskać więcej informacji, zobacz Flagi kontroli konta użytkownika.

Ocenione działania

Ta karta zawiera wszystkie działania i alerty przyczyniające się do oceny priorytetu badania jednostki w ciągu ostatnich siedmiu dni.

Drzewo organizacji

W tej sekcji przedstawiono miejsce jednostki użytkownika w hierarchii organizacyjnej zgłaszane przez Microsoft Defender for Identity.

Tagi konta

Microsoft Defender for Identity ściąga tagi z usługi Active Directory, aby zapewnić jeden interfejs do monitorowania użytkowników i jednostek usługi Active Directory. Tagi zawierają szczegółowe informacje z usługi Active Directory dotyczące jednostki i obejmują:

Name (Nazwa) Opis
Nowy Wskazuje, że jednostka została utworzona mniej niż 30 dni temu.
Deleted Wskazuje, że jednostka została trwale usunięta z usługi Active Directory.
Wyłączona Wskazuje, że jednostka jest obecnie wyłączona w usłudze Active Directory. Wyłączony atrybut to flaga usługi Active Directory, która jest dostępna dla kont użytkowników, kont komputerów i innych obiektów, aby wskazać, że obiekt nie jest obecnie używany.

Po wyłączeniu obiektu nie można go użyć do logowania się ani wykonywania akcji w domenie.
Włączone Wskazuje, że jednostka jest obecnie włączona w usłudze Active Directory, co wskazuje, że jednostka jest obecnie używana i może służyć do logowania się lub wykonywania akcji w domenie.
Wygasła Wskazuje, że jednostka wygasła w usłudze Active Directory. Po wygaśnięciu konta użytkownika użytkownik nie może już logować się do domeny ani uzyskiwać dostępu do żadnych zasobów sieciowych. Wygasłe konto jest zasadniczo traktowane tak, jakby zostało wyłączone, ale z jawną datą wygaśnięcia ustawioną.

Może to mieć wpływ na wszystkie usługi lub aplikacje, do których użytkownik miał autoryzację dostępu, w zależności od sposobu ich konfiguracji.
Honeytoken Wskazuje, że jednostka jest ręcznie oznaczona jako honeytoken.
Zablokowane Wskazuje, że jednostka dostarczyła nieprawidłowe hasło zbyt wiele razy i jest teraz zablokowana.
Częściowe Wskazuje, że użytkownik, urządzenie lub grupa nie jest w synchronizacji z domeną i jest częściowo rozpoznawany za pośrednictwem wykazu globalnego. W takim przypadku niektóre atrybuty nie są dostępne.
Nierozwiązane Wskazuje, że urządzenie nie rozpoznaje prawidłowej tożsamości w lesie usługi Active Directory. Brak dostępnych informacji o katalogu.
Wrażliwe Wskazuje, że jednostka jest traktowana jako wrażliwa.

Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR).

Uwaga

Sekcja drzewa organizacji i tagi konta są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.

Zrzut ekranu przedstawiający stronę określonego użytkownika w portalu Microsoft Defender

Zdarzenia i alerty

Na tej karcie można wyświetlić wszystkie aktywne zdarzenia i alerty dotyczące użytkownika z ostatnich sześciu miesięcy. Wszystkie informacje z głównych zdarzeń i kolejek alertów są wyświetlane tutaj. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.

Możesz dostosować liczbę wyświetlanych elementów i kolumny wyświetlane dla każdego elementu. Domyślnym zachowaniem jest wyświetlenie listy 30 elementów na stronę. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.

Kolumna jednostki, których dotyczy problem , odnosi się do wszystkich jednostek urządzenia i użytkownika, do których odwołuje się zdarzenie lub alert.

Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.

Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.

Zrzut ekranu przedstawiający powiązane alerty konta użytkownika widoczne na karcie Alerty w portalu Microsoft Defender

Obserwowane w organizacji

  • Urządzenia: w tej sekcji przedstawiono wszystkie urządzenia, do których zalogowała się jednostka użytkownika w ciągu ostatnich 180 dni, wskazując najczęściej i najmniej używane.

  • Lokalizacje: w tej sekcji przedstawiono wszystkie obserwowane lokalizacje jednostki użytkownika w ciągu ostatnich 30 dni.

  • Grupy: w tej sekcji przedstawiono wszystkie obserwowane grupy lokalne dla jednostki użytkownika, zgodnie z raportem Microsoft Defender for Identity.

  • Ścieżki ruchu bocznego: w tej sekcji przedstawiono wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego wykryte przez usługę Defender for Identity.

Uwaga

Grupy i ścieżki przenoszenia bocznego są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.

Wybranie karty Ruchy boczne umożliwia wyświetlenie w pełni dynamicznej i klikalnej mapy, na której można zobaczyć ścieżki ruchu bocznego do i od użytkownika. Osoba atakująca może użyć informacji o ścieżce do infiltracji sieci.

Mapa zawiera listę innych urządzeń lub użytkowników, z których osoba atakująca może skorzystać, aby naruszyć poufne konto. Jeśli użytkownik ma poufne konto, możesz zobaczyć, ile zasobów i kont jest bezpośrednio połączonych.

Raport ścieżki ruchu bocznego, który można wyświetlić według daty, jest zawsze dostępny, aby dostarczyć informacji o potencjalnych odnalezionych ścieżkach ruchu bocznego i można go dostosować według czasu. Wybierz inną datę przy użyciu opcji Wyświetl inną datę , aby wyświetlić poprzednie ścieżki ruchu bocznego znalezione dla jednostki. Wykres jest wyświetlany tylko wtedy, gdy w ciągu ostatnich dwóch dni znaleziono potencjalną ścieżkę ruchu bocznego dla jednostki.

Zrzut ekranu przedstawiający widok Obserwowane w organizacji przedstawiający ścieżki ruchu urządzenia, grupy, lokalizacji i ruchu bocznego użytkownika w portalu Microsoft Defender

Oś czasu

Na osi czasu są wyświetlane działania użytkownika i alerty obserwowane na podstawie tożsamości użytkownika w ciągu ostatnich 30 dni. Ujednolica ona wpisy tożsamości użytkownika w obciążeniach Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender. Korzystając z osi czasu, możesz skupić się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasowych.

Aby użytkownicy ujednoliconej platformy SOC mogli wyświetlać alerty z usługi Microsoft Sentinel oparte na źródłach danych innych niż te z poprzedniego akapitu, mogą znaleźć te alerty i inne informacje na karcie Zdarzenia usługi Sentinel opisane poniżej.

  • Niestandardowy selektor zakresu czasu: Możesz wybrać przedział czasu, aby skoncentrować badanie na ostatnich 24 godzinach, ostatnich 3 dniach itd. Możesz też wybrać określony przedział czasu, klikając pozycję Zakres niestandardowy. Przykład:

    Zrzut ekranu przedstawiający sposób wybierania przedziału czasowego.

  • Filtry osi czasu: Aby ulepszyć środowisko badania, można użyć filtrów osi czasu: Typ (Alerty i/lub powiązane działania użytkownika), Ważność alertu, Typ działania, Aplikacja, Lokalizacja, Protokół. Każdy filtr zależy od innych, a opcje w każdym filtrze (lista rozwijana) zawierają tylko dane, które są istotne dla określonego użytkownika.

  • Przycisk Eksportuj: Możesz wyeksportować oś czasu do pliku CSV. Eksport jest ograniczony do pierwszych 5000 rekordów i zawiera dane wyświetlane w interfejsie użytkownika (te same filtry i kolumny).

  • Dostosowane kolumny: Możesz wybrać kolumny, które mają zostać uwidoczniane na osi czasu, wybierając przycisk Dostosuj kolumny . Przykład:

    Zrzut ekranu przedstawiający obraz użytkownika.

Jakie typy danych są dostępne?

Na osi czasu są dostępne następujące typy danych:

  • Alerty użytkownika, których dotyczy problem
  • Działania usługi Active Directory i Microsoft Entra
  • Zdarzenia aplikacji w chmurze
  • Zdarzenia logowania urządzenia
  • Zmiany usług katalogowych

Jakie informacje są wyświetlane?

Na osi czasu są wyświetlane następujące informacje:

  • Data i godzina działania
  • Opis działania/alertu
  • Aplikacja, która wykonała działanie
  • Urządzenie źródłowe/adres IP
  • MITRE ATT&techniki CK
  • Ważność i stan alertu
  • Kraj/region, w którym adres IP klienta jest geolokalizowany
  • Protokół używany podczas komunikacji
  • Urządzenie docelowe (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
  • Ile razy wystąpiło działanie (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)

Przykład:

Zrzut ekranu przedstawiający kartę Oś czasu.

Uwaga

Microsoft Defender XDR mogą wyświetlać informacje o dacie i godzinie przy użyciu lokalnej strefy czasowej lub czasu UTC. Wybrana strefa czasowa będzie miała zastosowanie do wszystkich informacji o dacie i godzinie wyświetlanych na osi czasu tożsamości.

Aby ustawić strefę czasowa dla tych funkcji, przejdź do pozycji Ustawienia>Strefaczasowa Centrum > zabezpieczeń.

Zdarzenia usługi Sentinel

Jeśli Twoja organizacja dołączyła usługę Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki użytkownika. Ta karta importuje stronę Jednostki konta z usługi Microsoft Sentinel.

Oś czasu usługi Sentinel

Na tej osi czasu są wyświetlane alerty skojarzone z jednostką użytkownika. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez usługę Microsoft Sentinel z zewnętrznych źródeł danych innych firm, spoza firmy Microsoft.

Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań, które odwołują się do tej jednostki użytkownika, zdarzeń aktywności użytkownika z zewnętrznych źródeł danych i nietypowych zachowań wykrytych przez reguły anomalii usługi Microsoft Sentinel.

Wyniki analizy

Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące jednostki użytkownika, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i innych elementów oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.

Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:

  • Elementy równorzędne użytkowników oparte na członkostwie w grupach zabezpieczeń.
  • Akcje według konta.
  • Akcje na koncie.
  • Dzienniki zdarzeń wyczyszczone przez użytkownika.
  • Dodatki grupowe.
  • Nietypowo wysoka liczba operacji w biurze.
  • Dostęp do zasobów.
  • Nietypowo wysoka liczba wyników logowania na platformie Azure.
  • Szczegółowe informacje o ueba.
  • Uprawnienia dostępu użytkowników do subskrypcji platformy Azure.
  • Wskaźniki zagrożeń związane z użytkownikiem.
  • Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
  • Działanie logowania w systemie Windows.

Szczegółowe informacje są oparte na następujących źródłach danych:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Tożsamość Microsoft Entra)
  • SigninLogs (Tożsamość Microsoft Entra)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Puls (agent usługi Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Zrzut ekranu przedstawiający kartę Zdarzenia usługi Sentinel na stronie jednostki użytkownika.

Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.

Zrzut ekranu przedstawiający ekran Zaawansowane wyszukiwanie zagrożeń z zapytaniem szczegółowym.

Działania naprawcze

Na stronie Przegląd możesz wykonać następujące dodatkowe akcje:

  • Włączanie, wyłączanie lub zawieszanie użytkownika w Tożsamość Microsoft Entra
  • Bezpośredni użytkownik wykonuje pewne akcje, takie jak wymaganie od użytkownika ponownego zalogowania się lub wymuszanie resetowania hasła
  • Resetowanie wyniku priorytetu badania dla użytkownika
  • Wyświetlanie Microsoft Entra ustawień konta, powiązanego ładu, plików należących do użytkownika lub udostępnionych plików użytkownika

Zrzut ekranu przedstawiający akcje korygowania użytkownika w portalu Microsoft Defender

Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity.

Następne kroki

W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.