Investigar usuários no Microsoft Defender XDR

Observação

Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

A página entidade de usuário no Microsoft Defender XDR ajuda na investigação de identidades de usuário. A página tem todas as informações importantes sobre cada identidade. Se um alerta ou incidente indicar que um usuário pode estar comprometido ou suspeito, marcar e investigue o perfil de usuário.

Você pode encontrar informações de identidade nas seguintes exibições:

  • Página Identidades
  • Fila de alertas
  • Qualquer alerta/incidente individual
  • Página do dispositivo
  • Log de atividades
  • Consultas de caça avançadas
  • Central de Ações

Um link de identidade clicável está disponível nesses modos de exibição que o levará à página Usuário em que mais detalhes sobre o usuário são mostrados. Por exemplo, você pode ver os detalhes das contas de usuário identificadas nos alertas de um incidente no portal Microsoft Defender em Incidentes & alertasincidente>Usuários> deativos>.

Captura de tela da página Usuários para um incidente no portal Microsoft Defender.

Ao investigar uma identidade específica, você verá o:

Captura de tela de uma página de detalhes do usuário no portal Microsoft Defender

Observação

A página de usuário mostra o Microsoft Entra organização, bem como grupos, ajudando você a entender os grupos e permissões associados a um usuário.

Visão Geral

Detalhes da entidade

Os detalhes da entidade à esquerda da página fornecem informações sobre o usuário, como o nível de risco de identidade Microsoft Entra, o número de dispositivos aos quais o usuário está conectado, quando o usuário foi visto pela primeira e última vez, as contas do usuário, grupos aos quais o usuário pertence, informações de contato e muito mais. Você verá outros detalhes dependendo dos recursos de integração habilitados.

Exibição visual de incidentes e alertas

Este cartão inclui todos os incidentes e alertas, agrupados em gravidades, associados a uma identidade.

Prioridade de investigação

Este cartão inclui a divisão calculada da pontuação de prioridade de investigação e uma tendência de duas semanas para uma identidade, incluindo se a pontuação de identidade está no percentil alto para esse locatário.

Controle da conta do active directory

Neste cartão, o Defender para Identidade apresenta configurações de segurança que podem precisar de suas atenções. Você pode ver sinalizadores importantes sobre o usuário, como se o usuário puder pressionar enter para ignorar a senha e se o usuário tiver uma senha que nunca expira, etc.

Para obter mais informações, consulte Sinalizadores de Controle de Conta de Usuário.

Atividades pontuadas

Este cartão inclui todas as atividades e alertas que contribuem para a pontuação geral de prioridade de investigação nos últimos sete dias.

Árvore de organização

Esta seção mostra a hierarquia da identidade conforme relatado por Microsoft Defender para Identidade.

Marcas de conta

O Defender para Identidade retira marcas do Active Directory para fornecer uma única interface para monitorar seus usuários e entidades do Active Directory. As marcas fornecem detalhes do Active Directory sobre a entidade e incluem:

Nome Descrição
New Indica que a entidade foi criada há menos de 30 dias.
Excluído Indica que a entidade foi excluída permanentemente do Active Directory.
Disabled Indica que a entidade está atualmente desabilitada no Active Directory. O atributo desabilitado é um sinalizador do Active Directory disponível para contas de usuário, contas de computador e outros objetos para indicar que o objeto não está em uso no momento.

Quando um objeto é desabilitado, ele não pode ser usado para entrar ou executar ações no domínio.
Enabled Indica que a entidade está atualmente habilitada no Active Directory, indicando que a entidade está atualmente em uso e pode ser usada para entrar ou executar ações no domínio.
Expirada Indica que a entidade expirou no Active Directory. Quando uma conta de usuário expirar, o usuário não poderá mais fazer logon no domínio ou acessar recursos de rede. A conta expirada é essencialmente tratada como se estivesse desabilitada, mas com uma data de validade explícita definida.

Todos os serviços ou aplicativos que o usuário foi autorizado a acessar também podem ser afetados, dependendo de como eles estão configurados.
Honeytoken Indica que a entidade é marcada manualmente como um honeytoken.
Locked Indica que a entidade forneceu a senha errada muitas vezes e agora está bloqueada.
Parcial Indica que o usuário, o dispositivo ou o grupo não está em sincronização com o domínio e é parcialmente resolvido por meio de um catálogo global. Nesse caso, alguns atributos não estão disponíveis.
Resolvido Indica que o dispositivo não resolve a uma identidade válida na floresta do Active Directory. Nenhuma informação de diretório está disponível.
Confidencial Indica que a entidade é considerada confidencial.

Para obter mais informações, consulte Marcas de entidade do Defender para Identidade no Microsoft Defender XDR.

Observação

A seção árvore da organização e as marcas da conta estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.

Incidentes e alertas

Você pode ver todos os incidentes e alertas ativos envolvendo o usuário nos últimos 180 dias nesta guia. Informações como gravidade do alerta e a hora em que o alerta foi gerado estão disponíveis nesta guia. Selecione a linha de alerta para exibir mais detalhes sobre o alerta.

Captura de tela dos alertas do usuário listados na guia Alertas no portal Microsoft Defender

Observado na organização

  • Dispositivos – esta seção inclui informações sobre os dispositivos aos quais a identidade entrou, incluindo a maioria e menos usada nos últimos 180 dias.
  • Locais – esta seção inclui todos os locais observados para a identidade nos últimos 30 dias.
  • Grupos – esta seção inclui todos os grupos locais observados para a identidade, conforme relatado pelo Defender para Identidade.
  • Caminhos de movimento lateral – esta seção inclui todos os caminhos de movimento lateral perfilado do ambiente local detectados pelo Defender para Identidade.

Observação

Grupos e caminhos de movimentação lateral estão disponíveis quando uma licença de Microsoft Defender para Identidade está disponível.

Selecionar a guia Movimentos laterais permite exibir um mapa totalmente dinâmico e clicável em que você pode ver os caminhos de movimento lateral de e para um usuário. Um invasor pode usar as informações de caminho para se infiltrar em sua rede.

O mapa fornece uma lista de outros dispositivos ou usuários que um invasor pode aproveitar para comprometer uma conta confidencial. Se o usuário tiver uma conta confidencial, você poderá ver quantos recursos e contas estão diretamente conectados.

O relatório de caminho de movimento lateral, que pode ser exibido por data, está sempre disponível para fornecer informações sobre os possíveis caminhos de movimentação lateral descobertos e pode ser personalizado por hora. Selecione uma data diferente usando Exibir uma data diferente para exibir os caminhos de movimento lateral anteriores encontrados para uma entidade. O grafo só será exibido se um possível caminho de movimento lateral tiver sido encontrado para uma entidade nos últimos dois dias.

Captura de tela do modo de exibição 'Observado na organização', mostrando caminhos de dispositivo, grupo, localização e movimento lateral para um usuário no portal Microsoft Defender

Linha do tempo

O linha do tempo representa atividades e alertas observados da identidade de um usuário nos últimos 30 dias. Ele unifica as entradas de identidade do usuário em cargas de trabalho Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Ponto de Extremidade. Usando o linha do tempo, você pode se concentrar em atividades executadas pelo usuário ou executadas em períodos específicos.

  • Seletor de intervalo de tempo personalizado: Você pode escolher um prazo para concentrar sua investigação nas últimas 24 horas, nos últimos 3 dias e assim por diante. Ou você pode escolher um período específico clicando no intervalo personalizado. Por exemplo:

    Captura de tela que mostra como escolher o período de tempo.

  • Filtros de linha do tempo: Para melhorar sua experiência de investigação, você pode usar os filtros linha do tempo: Tipo (Alertas e/ou atividades relacionadas do usuário), Gravidade do alerta, Tipo de atividade, Aplicativo, Localização, Protocolo. Cada filtro depende dos outros e as opções em cada filtro (suspenso) contêm apenas os dados relevantes para o usuário específico.

  • Botão Exportar: Você pode exportar o linha do tempo para um arquivo CSV. A exportação é limitada aos primeiros 5.000 registros e contém os dados exibidos na interface do usuário (os mesmos filtros e colunas).

  • Colunas personalizadas: Você pode escolher quais colunas expor no linha do tempo selecionando o botão Personalizar colunas. Por exemplo:

    Captura de tela que mostra a imagem do usuário.

Quais tipos de dados estão disponíveis?

Os seguintes tipos de dados estão disponíveis no linha do tempo:

  • Alertas afetados por um usuário
  • Atividades do Active Directory e Microsoft Entra
  • Eventos de aplicativos de nuvem
  • Eventos de logon do dispositivo
  • Alterações nos serviços de diretório

Quais informações são exibidas?

As seguintes informações são exibidas no linha do tempo:

  • Descrição de atividade/alerta
  • Data e hora da atividade
  • Aplicativo que executou a atividade
  • Endereço IP/dispositivo de origem
  • Técnicas do MITRE ATT&CK
  • Status de alerta e gravidade
  • País/região em que o endereço IP do cliente é geolocalizado
  • Protocolo usado durante a comunicação
  • Dispositivo de destino (coluna personalizada)
  • Número de vezes que a atividade aconteceu (coluna personalizada)

Por exemplo:

Captura de tela da guia Linha do Tempo.

Observação

Microsoft Defender XDR pode exibir informações de data e hora usando o fuso horário local ou UTC. O fuso horário selecionado se aplicará a todas as informações de data e hora mostradas no linha do tempo de identidade.

Para definir o fuso horário para esses recursos, acesse Configurações>Fuso horário dacentral> de segurança.

Ações de correção

Na página Visão geral, você pode fazer essas ações adicionais:

  • Habilitar, desabilitar ou suspender o usuário em Microsoft Entra ID
  • Direcionar o usuário para fazer determinadas ações, como exigir que o usuário entre novamente ou force a redefinição de senha
  • Redefinir a pontuação de prioridade de investigação para o usuário
  • Exibir Microsoft Entra configurações de conta, governança relacionada, arquivos de propriedade do usuário ou arquivos compartilhados do usuário

Captura de tela mostrando ações de remeidação para um usuário no portal Microsoft Defender

Para obter mais informações, consulte Ações de correção em Microsoft Defender para Identidade.

Próximas etapas

Conforme necessário para incidentes em processo, continue sua investigação.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.