Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De pagina gebruikersentiteit in de Microsoft Defender-portal helpt u bij het onderzoeken van gebruikersentiteiten. De pagina bevat alle belangrijke informatie over een bepaalde gebruikersentiteit. Als een waarschuwing of incident aangeeft dat een gebruiker mogelijk is gehackt of verdacht is, controleert en onderzoekt u de gebruikersentiteit.
U vindt informatie over gebruikersentiteit in de volgende weergaven:
- De pagina Identiteiten, onder Assets
- Waarschuwingenwachtrij
- Elke afzonderlijke waarschuwing/incident
- Pagina Apparaten
- Elke afzonderlijke apparaatentiteitspagina
- Activiteitenlogboek
- Geavanceerde opsporingsquery's
- Actiecentrum
Overal waar gebruikersentiteiten worden weergegeven in deze weergaven, selecteert u de entiteit om de pagina Gebruiker weer te geven. Hier ziet u meer informatie over de gebruiker. U kunt bijvoorbeeld de details zien van gebruikersaccounts die zijn geïdentificeerd in de waarschuwingen van een incident in de Microsoft Defender-portal in Incidenten & waarschuwingen Gebruikers van incidentincidenten>>>>.
Wanneer u een specifieke gebruikersentiteit onderzoekt, ziet u de volgende tabbladen op de entiteitspagina:
Overzicht, inclusief entiteitsdetails, visuele weergave incidenten en waarschuwingen, vlaggen voor gebruikersaccountbeheer, enzovoort.
Waargenomen op het tabblad Organisatie
Op de identiteitspagina ziet u de Microsoft Entra organisatie en groepen, zodat u inzicht krijgt in de groepen en machtigingen die aan een gebruiker zijn gekoppeld.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender portal, met of zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.
Overzicht
Entiteitsdetails
Het deelvenster Entiteitsdetails aan de linkerkant van de pagina bevat informatie over de gebruiker, zoals het Microsoft Entra identiteitsrisiconiveau, het ernstniveau van het interne risico (preview), het aantal apparaten waarop de gebruiker is aangemeld, wanneer de gebruiker voor het eerst en voor het laatst is gezien, de accounts van de gebruiker, groepen waartoe de gebruiker behoort en contactgegevens. Deze kaart bevat alle incidenten en waarschuwingen die zijn gekoppeld aan de gebruikersentiteit, gegroepeerd op ernst.
Opmerking
Onderzoeksprioriteitsscore is afgeschaft op 3 december 2024. De uitsplitsing van de onderzoeksprioriteitsscore en de gescoorde activiteitenkaarten zijn niet meer beschikbaar.
U ziet andere details, afhankelijk van de services en functies die u hebt ingeschakeld, waaronder:
- (Preview) Microsoft Defender XDR gebruikers met toegang tot Microsoft Purview Beheer van insider-risico's kunnen nu de ernst van het interne risico van een gebruiker zien en inzicht krijgen in de verdachte activiteiten van een gebruiker op de gebruikerspagina. Selecteer de ernst van het interne risico onder Entiteitsdetails om de risico-inzichten over de gebruiker te bekijken.
- (Preview) Als u Microsoft Sentinel User and Entity Behavior Analytics (UEBA) inschakelt, ziet u:
- De drie belangrijkste UEBA-afwijkingen van de gebruiker van de afgelopen 30 dagen.
- Koppelingen voor het starten van vooraf gemaakte geavanceerde opsporingsquery's en het weergeven van al het afwijkende gedrag met betrekking tot de gebruiker op het tabblad Sentinel gebeurtenissen. Dit is alleen beschikbaar voor klanten die UEBA hebben ingeschakeld.
Active Directory-accountbesturingselementen
Deze kaart markeert belangrijke Microsoft Defender for Identity beveiligingsinstellingen voor het account van de gebruiker. U ziet bijvoorbeeld of de gebruiker het wachtwoord kan omzeilen door op Enter te drukken of dat het wachtwoord van de gebruiker nooit verloopt. Bekijk deze vlaggen om accountinstellingen te identificeren die mogelijk uw aandacht vereisen.
Zie Vlaggen voor gebruikersaccountbeheer voor meer informatie.
Organisatiestructuur
In deze sectie ziet u de plaats van de gebruikersentiteit in de organisatiehiërarchie zoals gerapporteerd door Microsoft Defender for Identity.
Accounttags
Microsoft Defender for Identity haalt tags uit Active Directory om u één interface te bieden voor het bewaken van uw Active Directory-gebruikers en -entiteiten. Tags bieden u details van Active Directory over de entiteit en omvatten:
| Naam | Beschrijving |
|---|---|
| Nieuw | Geeft aan dat de entiteit minder dan 30 dagen geleden is gemaakt. |
| Verwijderd | Geeft aan dat de entiteit definitief is verwijderd uit Active Directory. |
| Uitgeschakeld | Geeft aan dat de entiteit momenteel is uitgeschakeld in Active Directory. Het kenmerk uitgeschakeld is een Active Directory-vlag die beschikbaar is voor gebruikersaccounts, computeraccounts en andere objecten om aan te geven dat het object momenteel niet in gebruik is. Wanneer een object is uitgeschakeld, kan het niet worden gebruikt om u aan te melden of acties uit te voeren in het domein. |
| Ingeschakeld | Geeft aan dat de entiteit momenteel is ingeschakeld in Active Directory. De entiteit wordt momenteel gebruikt en kan worden gebruikt om u aan te melden of acties uit te voeren in het domein. |
| Verlopen | Geeft aan dat de entiteit is verlopen in Active Directory. Wanneer een gebruikersaccount is verlopen, kan de gebruiker zich niet meer aanmelden bij het domein of toegang krijgen tot netwerkbronnen. Het verlopen account wordt behandeld alsof het is uitgeschakeld, maar met een expliciete vervaldatum ingesteld. Alle services of toepassingen waartoe de gebruiker gemachtigd is, kunnen ook worden beïnvloed, afhankelijk van hoe ze zijn geconfigureerd. |
| Honeytoken | Geeft aan dat de entiteit handmatig wordt getagd als een honeytoken. |
| Vergrendeld | Geeft aan dat de entiteit het verkeerde wachtwoord te vaak heeft opgegeven en nu is vergrendeld. |
| Gedeeltelijke | Geeft aan dat de gebruiker, het apparaat of de groep niet gesynchroniseerd is met het domein en gedeeltelijk wordt omgezet via een globale catalogus. In dit geval zijn sommige kenmerken niet beschikbaar. |
| Onopgeloste | Geeft aan dat het apparaat niet wordt omgezet in een geldige identiteit in het Active Directory-forest. Er zijn geen adreslijstgegevens beschikbaar. |
| Gevoelig | Geeft aan dat de entiteit wordt beschouwd als gevoelig. |
Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.
Opmerking
De structuursectie van de organisatie en de accounttags zijn beschikbaar wanneer er een Microsoft Defender for Identity licentie beschikbaar is.
Incidenten en waarschuwingen
U kunt alle actieve incidenten en waarschuwingen met betrekking tot de gebruiker van de afgelopen zes maanden bekijken. Alle informatie van de belangrijkste incidenten en waarschuwingswachtrijen wordt hier weergegeven. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat de volgende details:
- Een korte beschrijving van het incident of de waarschuwing
- De ernst van de waarschuwing (hoog, gemiddeld, laag, informatie)
- De waarschuwingsstatus in de wachtrij (nieuw, wordt uitgevoerd, opgelost)
- De waarschuwingsclassificatie (niet ingesteld, false alert, true alert)
- De onderzoeksstatus, categorie, wie is toegewezen om dit aan te pakken, en de laatste waargenomen activiteit.
U kunt het aantal items aanpassen dat wordt weergegeven en welke kolommen voor elk item worden weergegeven. Het standaardgedrag is om 30 items per pagina weer te geven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.
De kolom betrokken entiteiten verwijst naar alle apparaat- en gebruikersentiteiten waarnaar wordt verwezen in het incident of de waarschuwing.
Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. U kunt het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.
Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.
Waargenomen in organisatie
Apparaten: in deze sectie worden alle apparaten weergegeven waarbij de gebruikersentiteit zich in de afgelopen 180 dagen heeft aangemeld, waarbij de meest en minst gebruikte apparaten worden aangegeven.
Locaties: in deze sectie ziet u alle waargenomen locaties voor de gebruikersentiteit in de afgelopen 30 dagen.
Groepen: in deze sectie ziet u alle waargenomen on-premises groepen voor de gebruikersentiteit, zoals gerapporteerd door Microsoft Defender for Identity.
Accounts: in deze sectie worden alle waargenomen accounts voor de identiteitsentiteit weergegeven, zoals gerapporteerd door Microsoft Defender for Identity.
Laterale verplaatsingspaden: in deze sectie worden alle geprofileerde zijwaartse verplaatsingspaden uit de on-premises omgeving weergegeven, zoals gedetecteerd door Defender for Identity.
Op het tabblad Accounts worden alle accounts weergegeven die zijn gekoppeld aan een specifieke identiteit in verbonden systemen. Het consolideert handmatige en automatische correlaties in één tabel, waardoor u een gecentraliseerd beeld krijgt van de footprint van de identiteit.
De tabel bevat de volgende velden:
Koppelingstype: laat zien hoe het account is gekoppeld aan de identiteit (handmatig, StrongID's, API of regel).
Datum van laatste koppeling: Registreert de meest recente datum waarop een account is gekoppeld aan de identiteit.
Gekoppeld door: Identificeert wie de koppeling heeft gemaakt (StrongID's, gebruikers-id's of regelnaam).
Koppelingscommentarie: Bevat een korte beschrijving die uitlegt waarom de accounts zijn gekoppeld. De opmerking is beperkt tot 25 tekens.
Primair account: Geeft aan of het systeem dit account aanwijst als het primaire account voor de identiteit.
Opmerking
Groepen en laterale verplaatsingspaden zijn beschikbaar wanneer er een Microsoft Defender for Identity-licentie beschikbaar is.
Als u het tabblad Zijdelingse bewegingen selecteert , kunt u een volledig dynamische en klikbare kaart weergeven waarin u de paden voor laterale bewegingen van en naar een gebruiker kunt zien. Een aanvaller kan de padgegevens gebruiken om uw netwerk te infiltreren.
De kaart bevat een lijst met andere apparaten of gebruikers waarvan een aanvaller kan profiteren om een gevoelig account in gevaar te brengen. Als de gebruiker een gevoelig account heeft, kunt u zien hoeveel resources en accounts rechtstreeks zijn verbonden.
Het rapport over het laterale verplaatsingspad, dat kan worden weergegeven op datum, is altijd beschikbaar om informatie te bieden over de mogelijke gedetecteerde laterale verplaatsingspaden en kan worden aangepast op tijd. Selecteer een andere datum met Een andere datum weergeven om eerdere paden voor laterale verplaatsingen weer te geven die voor een entiteit zijn gevonden. De grafiek wordt alleen weergegeven als er in de afgelopen twee dagen een potentieel lateraal verplaatsingspad is gevonden voor een entiteit.
Tijdlijn
De tijdlijn geeft gebruikersactiviteiten en waarschuwingen weer die zijn waargenomen vanuit de identiteit van een gebruiker in de afgelopen 180 dagen. Hiermee worden de identiteitsvermeldingen van de gebruiker in Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Microsoft Defender voor Eindpunt workloads samenvoegd. Met behulp van de tijdlijn kunt u zich richten op activiteiten die een gebruiker in specifieke periodes heeft uitgevoerd of uitgevoerd.
In het geïntegreerde SOC-platform ziet u Microsoft Sentinel waarschuwingen van andere gegevensbronnen op het tabblad gebeurtenissen Microsoft Sentinel. Zie gebeurtenissen Microsoft Sentinel voor meer informatie.
Aangepaste tijdsbereikkiezer: U kunt een tijdsbestek kiezen om uw onderzoek te richten op de afgelopen 24 uur, de afgelopen 3 dagen, enzovoort. U kunt ook een specifiek tijdsbestek kiezen door op Aangepast bereik te klikken. Gefilterde gegevens ouder dan 30 dagen worden met intervallen van zeven dagen weergegeven.
Bijvoorbeeld:
Tijdlijnfilters: Om uw onderzoekservaring te verbeteren, kunt u de tijdlijnfilters gebruiken: Type (waarschuwingen en/of gerelateerde activiteiten van de gebruiker), Ernst van waarschuwingen, Activiteitstype, App, Locatie, Protocol. Elk filter is afhankelijk van de andere filters en de opties in elk filter (vervolgkeuzelijst) bevatten alleen de gegevens die relevant zijn voor de specifieke gebruiker.
Knop Exporteren: U kunt de tijdlijn exporteren naar een CSV-bestand. Exporteren is beperkt tot de eerste 5000 records en bevat de gegevens zoals deze worden weergegeven in de gebruikersinterface (dezelfde filters en kolommen).
Aangepaste kolommen: U kunt kiezen welke kolommen u wilt weergeven in de tijdlijn door de knop Kolommen aanpassen te selecteren. Bijvoorbeeld:
Welke gegevenstypen zijn beschikbaar?
De volgende gegevenstypen zijn beschikbaar in de tijdlijn:
- De getroffen waarschuwingen van een gebruiker
- Active Directory- en Microsoft Entra-activiteiten
- Gebeurtenissen van cloud-apps
- Apparaataanmeldingsevenementen
- Wijzigingen in directoryservices
Welke informatie wordt weergegeven?
De volgende informatie wordt weergegeven in de tijdlijn:
- Datum en tijd van de activiteit
- Beschrijving van activiteit/waarschuwing
- Toepassing die de activiteit heeft uitgevoerd
- Bronapparaat/IP-adres
- MITRE ATT&CK-technieken
- Ernst en status van waarschuwing
- Land/regio waar het IP-adres van de client is geolocated
- Protocol dat tijdens de communicatie wordt gebruikt
- Doelapparaat (optioneel, zichtbaar door kolommen aan te passen)
- Aantal keren dat de activiteit heeft plaatsgevonden (optioneel, zichtbaar door kolommen aan te passen)
Bijvoorbeeld:
Opmerking
Microsoft Defender XDR kunt datum- en tijdgegevens weergeven met behulp van uw lokale tijdzone of UTC. De geselecteerde tijdzone is van toepassing op alle datum- en tijdgegevens die worden weergegeven in de identiteitstijdlijn.
Als u de tijdzone voor deze functies wilt instellen, gaat u naar Instellingen>Beveiligingscentrum>Tijdzone.
Beveiligingsaanbeveling
Op dit tabblad worden alle actieve beveiligingspostuurevaluaties (ISPM's) weergegeven die zijn gekoppeld aan een identiteitsaccount. Het bevat Defender for Identity-aanbevelingen voor beschikbare id-providers, zoals Active Directory, Okta en andere. Als u een ISPM selecteert, gaat u naar de aanbevelingspagina in Microsoft Secure Score voor meer informatie.
Aanvalspaden
Dit tabblad biedt inzicht in mogelijke aanvalspaden die leiden tot een kritieke identiteit of het betrekken ervan binnen het pad, zodat beveiligingsrisico's kunnen worden beoordeeld. Zie Overzicht van het aanvalspad in Exposure Management voor meer informatie.
gebeurtenissen Microsoft Sentinel
Als uw organisatie onboarding Microsoft Sentinel naar de Defender-portal heeft uitgevoerd, bevindt dit extra tabblad zich op de pagina van de gebruikersentiteit. Op dit tabblad wordt de pagina Account-entiteit uit Microsoft Sentinel geïmporteerd.
Microsoft Sentinel tijdlijn
Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de gebruikersentiteit. Deze waarschuwingen omvatten de waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en die zijn gemaakt door Microsoft Sentinel van externe, niet-Microsoft-gegevensbronnen.
Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze gebruikersentiteit, gebruikersactiviteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.
Inzichten
Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw gebruikersentiteit en bieden waardevolle beveiligingsinformatie in de vorm van gegevens in tabelvorm en grafieken. De inzichten omvatten gegevens met betrekking tot aanmeldingen, groepstoevoegingen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.
Hier volgen enkele van de inzichten die worden weergegeven:
- Peers van gebruikers op basis van lidmaatschap van beveiligingsgroepen.
- Acties per account.
- Acties op account.
- Gebeurtenislogboeken die door de gebruiker zijn gewist.
- Groeps toevoegingen.
- Afwijkend hoog aantal kantoorbewerkingen.
- Resourcetoegang.
- Afwijkend hoog aantal Azure aanmeldingsresultaten.
- UEBA-inzichten.
- Gebruikerstoegangsmachtigingen voor Azure abonnementen.
- Bedreigingsindicatoren met betrekking tot de gebruiker.
- Watchlist insights (preview).
- Windows-aanmeldingsactiviteit.
De inzichten zijn gebaseerd op de volgende gegevensbronnen:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.
Herstelacties
Op de pagina Overzicht kunt u deze acties uitvoeren:
- De gebruiker inschakelen, uitschakelen of onderbreken in Microsoft Entra ID
- Gebruiker doorsturen om bepaalde acties uit te voeren, zoals de gebruiker verplichten zich opnieuw aan te melden of het opnieuw instellen van het wachtwoord afdwingen
- Bekijk Microsoft Entra accountinstellingen, gerelateerde governance, bestanden die eigendom zijn van de gebruiker of de gedeelde bestanden van de gebruiker
Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.
Volgende stappen
Indien nodig voor in-process incidenten, gaat u verder met uw onderzoek.
Zie ook
- Overzicht van incidenten
- Prioriteit geven aan incidenten
- Incidenten beheren
- Microsoft Defender XDR overzicht
- Microsoft Defender XDR inschakelen
- Pagina Apparaatentiteit in Microsoft Defender
- Entiteitspagina IP-adres in Microsoft Defender
- Microsoft Defender XDR integratie met Microsoft Sentinel
- Microsoft Sentinel verbinden met Microsoft Defender XDR
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.