Investigar utilizadores no Microsoft Defender XDR

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

A página de entidade de utilizador no Microsoft Defender XDR ajuda-o na investigação de identidades de utilizador. A página tem todas as informações importantes sobre cada identidade. Se um alerta ou incidente indicar que um utilizador pode estar comprometido ou ser suspeito, verifique e investigue o perfil de utilizador.

Pode encontrar informações de identidade nas seguintes vistas:

  • Página Identidades
  • Fila de alertas
  • Qualquer alerta/incidente individual
  • Página do dispositivo
  • Registo de atividades
  • Consultas de investigação avançadas
  • Centro de ação

Está disponível uma ligação de identidade clicável nestas vistas que o levará à página Utilizador onde são apresentados mais detalhes sobre o utilizador. Por exemplo, pode ver os detalhes das contas de utilizador identificadas nos alertas de um incidente no portal do Microsoft Defender em Incidentes & alertas>incidente>Utilizadores deRecursos>.

Captura de ecrã da página Utilizadores de um incidente no portal do Microsoft Defender.

Quando investigar uma identidade específica, verá:

Captura de ecrã a mostrar uma página de detalhes do utilizador no portal do Microsoft Defender

Nota

A página do utilizador mostra o Microsoft Entra organização, bem como os grupos, ajudando-o a compreender os grupos e permissões associados a um utilizador.

Descrição geral

Detalhes da entidade

Os detalhes da Entidade no lado esquerdo da página fornecem informações sobre o utilizador, como o nível de risco de identidade Microsoft Entra, o número de dispositivos aos quais o utilizador tem sessão iniciada, quando o utilizador foi visto pela primeira e última vez, as contas do utilizador, grupos aos quais o utilizador pertence, informações de contacto e muito mais. Verá outros detalhes consoante as funcionalidades de integração que ativou.

Vista visual de incidentes e alertas

Este cartão inclui todos os incidentes e alertas, agrupados em gravidades, associados a uma identidade.

Prioridade de investigação

Este cartão inclui a discriminação da classificação de prioridade de investigação calculada e uma tendência de duas semanas para uma identidade, incluindo se a classificação de identidade está no percentil elevado para esse inquilino.

Controlo de conta do Active Directory

Neste cartão, o Defender para Identidade apresenta as definições de segurança que podem necessitar das suas atenções. Pode ver sinalizadores importantes sobre o utilizador, como se o utilizador puder premir Enter para ignorar a palavra-passe e se o utilizador tiver uma palavra-passe que nunca expira, etc.

Para obter mais informações, veja Sinalizadores de Controlo de Conta de Utilizador.

Atividades classificadas

Este cartão inclui todas as atividades e alertas que contribuem para a classificação de prioridade geral de Investigação nos últimos sete dias.

Árvore da organização

Esta secção mostra a hierarquia da identidade conforme comunicado pelo Microsoft Defender para Identidade.

Etiquetas de conta

O Defender para Identidade retira etiquetas do Active Directory para lhe fornecer uma única interface para monitorizar os seus utilizadores e entidades do Active Directory. As etiquetas fornecem-lhe detalhes do Active Directory sobre a entidade e incluem:

Name Descrição
Novo Indica que a entidade foi criada há menos de 30 dias.
Eliminado Indica que a entidade foi eliminada permanentemente do Active Directory.
Desativado Indica que a entidade está atualmente desativada no Active Directory. O atributo desativado é um sinalizador do Active Directory que está disponível para contas de utilizador, contas de computador e outros objetos para indicar que o objeto não está atualmente a ser utilizado.

Quando um objeto é desativado, não pode ser utilizado para iniciar sessão ou efetuar ações no domínio.
Ativado Indica que a entidade está atualmente ativada no Active Directory, indicando que a entidade está atualmente em utilização e pode ser utilizada para iniciar sessão ou realizar ações no domínio.
Expirado Indica que a entidade expirou no Active Directory. Quando uma conta de utilizador expira, o utilizador já não consegue iniciar sessão no domínio ou aceder a quaisquer recursos de rede. A conta expirada é essencialmente tratada como se estivesse desativada, mas com uma data de expiração explícita definida.

Quaisquer serviços ou aplicações aos quais o utilizador tenha autorização para aceder também podem ser afetados, dependendo da forma como são configurados.
Honeytoken Indica que a entidade é etiquetada manualmente como um honeytoken.
Bloqueado Indica que a entidade forneceu a palavra-passe errada demasiadas vezes e está agora bloqueada.
Parcial Indica que o utilizador, dispositivo ou grupo não está sincronizado com o domínio e está parcialmente resolvido através de um catálogo global. Neste caso, alguns atributos não estão disponíveis.
Não resolvido Indica que o dispositivo não resolve para uma identidade válida na floresta do Active Directory. Não existem informações de diretório disponíveis.
Sensível Indica que a entidade é considerada confidencial.

Para obter mais informações, veja Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR.

Nota

A secção árvore da organização e as etiquetas de conta estão disponíveis quando está disponível uma licença de Microsoft Defender para Identidade.

Incidentes e alertas

Pode ver todos os incidentes ativos e alertas que envolvem o utilizador dos últimos 180 dias neste separador. Informações como a gravidade do alerta e a hora em que o alerta foi gerado estão disponíveis neste separador. Selecione a linha de alerta para ver mais detalhes sobre o alerta.

Captura de ecrã dos alertas do utilizador listados no separador Alertas no portal do Microsoft Defender

Observado na organização

  • Dispositivos – esta secção inclui informações sobre os dispositivos nos quais a identidade iniciou sessão, incluindo a maioria e a menos utilizada nos últimos 180 dias.
  • Localizações – esta secção inclui todas as localizações observadas para a identidade nos últimos 30 dias.
  • Grupos – esta secção inclui todos os grupos no local observados para a identidade, conforme comunicado pelo Defender para Identidade.
  • Caminhos de movimento lateral – esta secção inclui todos os caminhos de movimento lateral criados no perfil do ambiente no local detetado pelo Defender para Identidade.

Nota

Os grupos e caminhos de movimento lateral estão disponíveis quando está disponível uma licença de Microsoft Defender para Identidade.

Selecionar o separador Movimentos laterais permite-lhe ver um mapa totalmente dinâmico e clicável, onde pode ver os caminhos de movimento lateral de e para um utilizador. Um atacante pode utilizar as informações do caminho para se infiltrar na sua rede.

O mapa fornece uma lista de outros dispositivos ou utilizadores dos quais um atacante pode tirar partido para comprometer uma conta confidencial. Se o utilizador tiver uma conta confidencial, pode ver quantos recursos e contas estão diretamente ligados.

O relatório do caminho de movimento lateral, que pode ser visualizado por data, está sempre disponível para fornecer informações sobre os potenciais caminhos de movimento lateral detetados e pode ser personalizado por tempo. Selecione uma data diferente utilizando Ver uma data diferente para ver os caminhos de movimento lateral anteriores encontrados para uma entidade. O gráfico só é apresentado se tiver sido encontrado um potencial caminho de movimento lateral para uma entidade nos últimos dois dias.

Captura de ecrã a mostrar a vista

Linha cronológica

A linha cronológica representa atividades e alertas observados a partir da identidade de um utilizador nos últimos 30 dias. Unifica as entradas de identidade do utilizador nas cargas de trabalho Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e Microsoft Defender para Endpoint. Ao utilizar a linha cronológica, pode focar-se nas atividades que um utilizador realizou ou que lhes foram executadas em intervalos de tempo específicos.

  • Seletor de intervalo de tempo personalizado: Pode escolher um período de tempo para focar a sua investigação nas últimas 24 horas, nos últimos 3 dias e assim sucessivamente. Em alternativa, pode escolher um período de tempo específico ao clicar em Intervalo personalizado. Por exemplo:

    Captura de ecrã que mostra como escolher o período de tempo.

  • Filtros de linha cronológica: Para melhorar a sua experiência de investigação, pode utilizar os filtros de linha cronológica: Tipo (Alertas e/ou atividades relacionadas do utilizador), Gravidade do alerta, Tipo de atividade, Aplicação, Localização, Protocolo. Cada filtro depende dos outros e as opções em cada filtro (menu pendente) contêm apenas os dados relevantes para o utilizador específico.

  • Botão Exportar: Pode exportar a linha cronológica para um ficheiro CSV. A exportação está limitada aos primeiros 5000 registos e contém os dados apresentados na IU (os mesmos filtros e colunas).

  • Colunas personalizadas: Pode escolher as colunas a expor na linha cronológica ao selecionar o botão Personalizar colunas . Por exemplo:

    Captura de ecrã que mostra a imagem do utilizador.

Que tipos de dados estão disponíveis?

Os seguintes tipos de dados estão disponíveis na linha cronológica:

  • Alertas afetados por um utilizador
  • Atividades do Active Directory e Microsoft Entra
  • Eventos de aplicações na cloud
  • Eventos de início de sessão do dispositivo
  • Alterações nos serviços de diretório

Que informações são apresentadas?

As seguintes informações são apresentadas na linha cronológica:

  • Descrição da atividade/alerta
  • Data e hora da atividade
  • Aplicação que realizou a atividade
  • Endereço IP/dispositivo de origem
  • MITRE ATT& técnicas CK
  • Estado e gravidade do alerta
  • País/região onde o endereço IP do cliente é geolocalizado
  • Protocolo utilizado durante a comunicação
  • Dispositivo de destino (coluna personalizada)
  • Número de vezes que a atividade ocorreu (coluna personalizada)

Por exemplo:

Captura de ecrã a mostrar o separador Linha Cronológica.

Nota

Microsoft Defender XDR pode apresentar informações de data e hora com o fuso horário local ou UTC. O fuso horário selecionado será aplicado a todas as informações de data e hora apresentadas na linha cronológica da Identidade.

Para definir o fuso horário destas funcionalidades, aceda aFuso horário do Centro> de Segurança de Definições>.

Ações de remediação

Na página Descrição geral, pode efetuar estas ações adicionais:

  • Ativar, desativar ou suspender o utilizador no Microsoft Entra ID
  • Direcionar o utilizador para efetuar determinadas ações, tais como exigir que o utilizador inicie sessão novamente ou forçar a reposição de palavra-passe
  • Repor a classificação de prioridade da investigação para o utilizador
  • Ver Microsoft Entra definições de conta, governação relacionada, ficheiros pertencentes ao utilizador ou ficheiros partilhados do utilizador

Captura de ecrã a mostrar as ações de remeidação de um utilizador no portal do Microsoft Defender

Para obter mais informações, veja Remediação de ações no Microsoft Defender para Identidade.

Passos seguintes

Conforme necessário para incidentes em processo, continue a investigação.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.