Investigar usuários no Microsoft Defender XDR
Observação
Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.
Aplica-se a:
- Microsoft Defender XDR
A página entidade de usuário no Microsoft Defender XDR ajuda na investigação de identidades de usuário. A página tem todas as informações importantes sobre cada identidade. Se um alerta ou incidente indicar que um usuário pode estar comprometido ou suspeito, marcar e investigue o perfil de usuário.
Você pode encontrar informações de identidade nas seguintes exibições:
- Página Identidades
- Fila de alertas
- Qualquer alerta/incidente individual
- Página do dispositivo
- Log de atividades
- Consultas de caça avançadas
- Central de Ações
Um link de identidade clicável está disponível nesses modos de exibição que o levará à página Usuário em que mais detalhes sobre o usuário são mostrados. Por exemplo, você pode ver os detalhes das contas de usuário identificadas nos alertas de um incidente no portal Microsoft Defender em Incidentes & alertasincidente>Usuários> deativos>.
Ao investigar uma identidade específica, você verá o:
- Visão geral, incluindo detalhes de identidade, exibição visual de incidentes e alertas, prioridade de investigação e pontuação linha do tempo
- Guia Incidentes e alertas
- Observado na guia organização
- Guia linha do tempo de identidade
- Ações de correção
Observação
A página de usuário mostra o Microsoft Entra organização, bem como grupos, ajudando você a entender os grupos e permissões associados a um usuário.
Visão Geral
Detalhes da entidade
Os detalhes da entidade à esquerda da página fornecem informações sobre o usuário, como o nível de risco de identidade Microsoft Entra, o número de dispositivos aos quais o usuário está conectado, quando o usuário foi visto pela primeira e última vez, as contas do usuário, grupos aos quais o usuário pertence, informações de contato e muito mais. Você verá outros detalhes dependendo dos recursos de integração habilitados.
Exibição visual de incidentes e alertas
Este cartão inclui todos os incidentes e alertas, agrupados em gravidades, associados a uma identidade.
Prioridade de investigação
Este cartão inclui a divisão calculada da pontuação de prioridade de investigação e uma tendência de duas semanas para uma identidade, incluindo se a pontuação de identidade está no percentil alto para esse locatário.
Controle da conta do active directory
Neste cartão, o Defender para Identidade apresenta configurações de segurança que podem precisar de suas atenções. Você pode ver sinalizadores importantes sobre o usuário, como se o usuário puder pressionar enter para ignorar a senha e se o usuário tiver uma senha que nunca expira, etc.
Para obter mais informações, consulte Sinalizadores de Controle de Conta de Usuário.
Atividades pontuadas
Este cartão inclui todas as atividades e alertas que contribuem para a pontuação geral de prioridade de investigação nos últimos sete dias.
Árvore de organização
Esta seção mostra a hierarquia da identidade conforme relatado por Microsoft Defender para Identidade.
Marcas de conta
O Defender para Identidade retira marcas do Active Directory para fornecer uma única interface para monitorar seus usuários e entidades do Active Directory. As marcas fornecem detalhes do Active Directory sobre a entidade e incluem:
Nome | Descrição |
---|---|
New | Indica que a entidade foi criada há menos de 30 dias. |
Excluído | Indica que a entidade foi excluída permanentemente do Active Directory. |
Disabled | Indica que a entidade está atualmente desabilitada no Active Directory. O atributo desabilitado é um sinalizador do Active Directory disponível para contas de usuário, contas de computador e outros objetos para indicar que o objeto não está em uso no momento. Quando um objeto é desabilitado, ele não pode ser usado para entrar ou executar ações no domínio. |
Enabled | Indica que a entidade está atualmente habilitada no Active Directory, indicando que a entidade está atualmente em uso e pode ser usada para entrar ou executar ações no domínio. |
Expirada | Indica que a entidade expirou no Active Directory. Quando uma conta de usuário expirar, o usuário não poderá mais fazer logon no domínio ou acessar recursos de rede. A conta expirada é essencialmente tratada como se estivesse desabilitada, mas com uma data de validade explícita definida. Todos os serviços ou aplicativos que o usuário foi autorizado a acessar também podem ser afetados, dependendo de como eles estão configurados. |
Honeytoken | Indica que a entidade é marcada manualmente como um honeytoken. |
Locked | Indica que a entidade forneceu a senha errada muitas vezes e agora está bloqueada. |
Parcial | Indica que o usuário, o dispositivo ou o grupo não está em sincronização com o domínio e é parcialmente resolvido por meio de um catálogo global. Nesse caso, alguns atributos não estão disponíveis. |
Resolvido | Indica que o dispositivo não resolve a uma identidade válida na floresta do Active Directory. Nenhuma informação de diretório está disponível. |
Confidencial | Indica que a entidade é considerada confidencial. |
Para obter mais informações, consulte Marcas de entidade do Defender para Identidade no Microsoft Defender XDR.
Observação
A seção árvore da organização e as marcas da conta estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.
Incidentes e alertas
Você pode ver todos os incidentes e alertas ativos envolvendo o usuário nos últimos 180 dias nesta guia. Informações como gravidade do alerta e a hora em que o alerta foi gerado estão disponíveis nesta guia. Selecione a linha de alerta para exibir mais detalhes sobre o alerta.
Observado na organização
- Dispositivos – esta seção inclui informações sobre os dispositivos aos quais a identidade entrou, incluindo a maioria e menos usada nos últimos 180 dias.
- Locais – esta seção inclui todos os locais observados para a identidade nos últimos 30 dias.
- Grupos – esta seção inclui todos os grupos locais observados para a identidade, conforme relatado pelo Defender para Identidade.
- Caminhos de movimento lateral – esta seção inclui todos os caminhos de movimento lateral perfilado do ambiente local detectados pelo Defender para Identidade.
Observação
Grupos e caminhos de movimentação lateral estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.
Selecionar a guia Movimentos laterais permite exibir um mapa totalmente dinâmico e clicável em que você pode ver os caminhos de movimento lateral de e para um usuário. Um invasor pode usar as informações de caminho para se infiltrar em sua rede.
O mapa fornece uma lista de outros dispositivos ou usuários que um invasor pode aproveitar para comprometer uma conta confidencial. Se o usuário tiver uma conta confidencial, você poderá ver quantos recursos e contas estão diretamente conectados.
O relatório de caminho de movimento lateral, que pode ser exibido por data, está sempre disponível para fornecer informações sobre os possíveis caminhos de movimentação lateral descobertos e pode ser personalizado por hora. Selecione uma data diferente usando Exibir uma data diferente para exibir os caminhos de movimento lateral anteriores encontrados para uma entidade. O grafo só será exibido se um possível caminho de movimento lateral tiver sido encontrado para uma entidade nos últimos dois dias.
Linha do tempo
O linha do tempo representa atividades e alertas observados da identidade de um usuário nos últimos 30 dias. Ele unifica as entradas de identidade do usuário em cargas de trabalho Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Ponto de Extremidade. Usando o linha do tempo, você pode se concentrar em atividades executadas pelo usuário ou executadas em períodos específicos.
Seletor de intervalo de tempo personalizado: Você pode escolher um prazo para concentrar sua investigação nas últimas 24 horas, nos últimos 3 dias e assim por diante. Ou você pode escolher um período específico clicando no intervalo personalizado. Por exemplo:
Filtros de linha do tempo: Para melhorar sua experiência de investigação, você pode usar os filtros linha do tempo: Tipo (Alertas e/ou atividades relacionadas do usuário), Gravidade do alerta, Tipo de atividade, Aplicativo, Localização, Protocolo. Cada filtro depende dos outros e as opções em cada filtro (suspenso) contêm apenas os dados relevantes para o usuário específico.
Botão Exportar: Você pode exportar o linha do tempo para um arquivo CSV. A exportação é limitada aos primeiros 5.000 registros e contém os dados exibidos na interface do usuário (os mesmos filtros e colunas).
Colunas personalizadas: Você pode escolher quais colunas expor no linha do tempo selecionando o botão Personalizar colunas. Por exemplo:
Quais tipos de dados estão disponíveis?
Os seguintes tipos de dados estão disponíveis no linha do tempo:
- Alertas afetados por um usuário
- Atividades do Active Directory e Microsoft Entra
- Eventos de aplicativos de nuvem
- Eventos de logon do dispositivo
- Alterações nos serviços de diretório
Quais informações são exibidas?
As seguintes informações são exibidas no linha do tempo:
- Descrição de atividade/alerta
- Data e hora da atividade
- Aplicativo que executou a atividade
- Endereço IP/dispositivo de origem
- Técnicas do MITRE ATT&CK
- Status de alerta e gravidade
- País/região em que o endereço IP do cliente é geolocalizado
- Protocolo usado durante a comunicação
- Dispositivo de destino (coluna personalizada)
- Número de vezes que a atividade aconteceu (coluna personalizada)
Por exemplo:
Observação
Microsoft Defender XDR pode exibir informações de data e hora usando o fuso horário local ou UTC. O fuso horário selecionado se aplicará a todas as informações de data e hora mostradas no linha do tempo de identidade.
Para definir o fuso horário para esses recursos, acesse Configurações>Fuso horário dacentral> de segurança.
Ações de correção
Na página Visão geral, você pode fazer essas ações adicionais:
- Habilitar, desabilitar ou suspender o usuário em Microsoft Entra ID
- Direcionar o usuário para fazer determinadas ações, como exigir que o usuário entre novamente ou force a redefinição de senha
- Redefinir a pontuação de prioridade de investigação para o usuário
- Exibir Microsoft Entra configurações de conta, governança relacionada, arquivos de propriedade do usuário ou arquivos compartilhados do usuário
Para obter mais informações, consulte Ações de correção em Microsoft Defender para Identidade.
Próximas etapas
Conforme necessário para incidentes em processo, continue sua investigação.
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte:Enviar e exibir comentários de