Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Strona jednostki użytkownika w portalu Microsoft Defender ułatwia badanie jednostek użytkowników. Strona zawiera wszystkie ważne informacje o danej jednostce użytkownika. Jeśli alert lub zdarzenie wskazuje, że użytkownik może zostać naruszona lub jest podejrzany, sprawdź i zbadaj jednostkę użytkownika.
Informacje o jednostce użytkownika można znaleźć w następujących widokach:
- Strona Tożsamości w obszarze Zasoby
- Kolejka alertów
- Każdy indywidualny alert/zdarzenie
- Strona Urządzenia
- Dowolna strona jednostki urządzenia
- Dziennik aktywności
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
- Centrum akcji
Wszędzie tam, gdzie jednostki użytkownika są wyświetlane w tych widokach, wybierz jednostkę, aby wyświetlić stronę Użytkownik , która zawiera więcej szczegółów na temat użytkownika. Na przykład szczegółowe informacje o kontach użytkowników zidentyfikowane w alertach zdarzenia w portalu Microsoft Defender można znaleźć w temacie Zdarzenia & alerty > Użytkownicy zasobów >zdarzenia> zdarzenia>.
Podczas badania określonej jednostki użytkownika na stronie jednostki są widoczne następujące karty:
Omówienie, w tym szczegóły jednostki, widok wizualny zdarzeń i alertów, flagi kontroli konta użytkownika itd.
Karta Zdarzenia i alerty
Karta Oś czasu
Na stronie tożsamości przedstawiono Microsoft Entra organizacji i grup, co ułatwia zrozumienie grup i uprawnień skojarzonych z użytkownikiem.
Ważna
Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, z licencją Microsoft Defender XDR lub bez licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Omówienie
Szczegóły jednostki
Panel Szczegóły jednostki po lewej stronie zawiera informacje o użytkowniku, takie jak poziom ryzyka tożsamości Microsoft Entra, poziom ważności ryzyka wewnętrznego (wersja zapoznawcza), liczba urządzeń, do których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatni raz widziany, konta użytkownika, grupy, do których należy użytkownik, oraz informacje kontaktowe. Ta karta zawiera wszystkie zdarzenia i alerty skojarzone z jednostką użytkownika pogrupowane według ważności.
Uwaga
Wynik priorytetu badania został przestarzały 3 grudnia 2024 r. Podział wyniku priorytetu badania i karty Ocenione działania nie są już dostępne.
W zależności od włączonych usług i funkcji zostaną wyświetlone inne szczegóły, w tym:
- (wersja zapoznawcza) Microsoft Defender XDR użytkownicy z dostępem do Zarządzanie ryzykiem wewnętrznym w Microsoft Purview mogą teraz zobaczyć ważność ryzyka związanego z wewnętrznym dostępem użytkownika i uzyskać szczegółowe informacje na temat podejrzanych działań użytkownika na stronie użytkownika. Wybierz ważność ryzyka wewnętrznego w obszarze Szczegóły jednostki, aby wyświetlić szczegółowe informacje o ryzyku dotyczące użytkownika.
- (wersja zapoznawcza) Jeśli włączysz Microsoft Sentinel User and Entity Behavior Analytics (UEBA), zobaczysz:
- Trzy najważniejsze anomalie UEBA użytkownika z ostatnich 30 dni.
- Linki do uruchamiania wstępnie utworzonych zaawansowanych zapytań wyszukiwania zagrożeń i wyświetlania wszystkich nietypowych zachowań związanych z użytkownikiem na karcie zdarzeń Sentinel. Jest to dostępne tylko dla klientów, którzy mają włączoną funkcję UEBA.
Kontrolki konta usługi Active Directory
Ta karta wyróżnia ważne Microsoft Defender for Identity ustawienia zabezpieczeń konta użytkownika. Na przykład pokazuje, czy użytkownik może pominąć hasło, naciskając Enter lub jeśli hasło użytkownika nigdy nie wygaśnie. Przejrzyj te flagi, aby zidentyfikować ustawienia konta, które mogą wymagać Twojej uwagi.
Aby uzyskać więcej informacji, zobacz Flagi kontroli konta użytkownika.
Drzewo organizacji
W tej sekcji przedstawiono miejsce jednostki użytkownika w hierarchii organizacyjnej zgłaszane przez Microsoft Defender for Identity.
Tagi konta
Microsoft Defender for Identity ściąga tagi z usługi Active Directory, aby zapewnić jeden interfejs do monitorowania użytkowników i jednostek usługi Active Directory. Tagi zawierają szczegółowe informacje z usługi Active Directory dotyczące jednostki i obejmują:
| Name (Nazwa) | Opis |
|---|---|
| Nowy | Wskazuje, że jednostka została utworzona mniej niż 30 dni temu. |
| Deleted | Wskazuje, że jednostka została trwale usunięta z usługi Active Directory. |
| Wyłączona | Wskazuje, że jednostka jest obecnie wyłączona w usłudze Active Directory.
Wyłączony atrybut to flaga usługi Active Directory, która jest dostępna dla kont użytkowników, kont komputerów i innych obiektów, aby wskazać, że obiekt nie jest obecnie używany. Po wyłączeniu obiektu nie można go użyć do logowania się ani wykonywania akcji w domenie. |
| Włączone | Wskazuje, że jednostka jest obecnie włączona w usłudze Active Directory. Jednostka jest obecnie używana i może służyć do logowania się lub wykonywania akcji w domenie. |
| Wygasła | Wskazuje, że jednostka wygasła w usłudze Active Directory. Po wygaśnięciu konta użytkownika użytkownik nie może już logować się do domeny ani uzyskiwać dostępu do żadnych zasobów sieciowych. Wygasłe konto jest traktowane tak, jakby zostało wyłączone, ale z jawną datą wygaśnięcia ustawioną. Może to mieć wpływ na wszystkie usługi lub aplikacje, do których użytkownik miał autoryzację dostępu, w zależności od sposobu ich konfiguracji. |
| Honeytoken | Wskazuje, że jednostka jest ręcznie oznaczona jako honeytoken. |
| Zablokowane | Wskazuje, że jednostka dostarczyła nieprawidłowe hasło zbyt wiele razy i jest teraz zablokowana. |
| Częściowe | Wskazuje, że użytkownik, urządzenie lub grupa nie jest zsynchronizowane z domeną i jest częściowo rozpoznawany za pośrednictwem wykazu globalnego. W takim przypadku niektóre atrybuty nie są dostępne. |
| Nierozwiązane | Wskazuje, że urządzenie nie rozpoznaje prawidłowej tożsamości w lesie usługi Active Directory. Brak dostępnych informacji o katalogu. |
| Wrażliwe | Wskazuje, że jednostka jest traktowana jako wrażliwa. |
Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR).
Uwaga
Sekcja drzewa organizacji i tagi konta są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.
Zdarzenia i alerty
Możesz zobaczyć wszystkie aktywne zdarzenia i alerty dotyczące użytkownika z ostatnich sześciu miesięcy. Wszystkie informacje z głównych zdarzeń i kolejek alertów są wyświetlane tutaj. Ta lista jest filtrowaną wersją kolejki zdarzeń i zawiera następujące szczegóły:
- Krótki opis zdarzenia lub alertu
- Ważność alertu (wysoka, średnia, niska, informacyjna)
- Stan alertu w kolejce (nowy, w toku, rozwiązany)
- Klasyfikacja alertów (nie ustawiono, fałszywy alert, prawdziwy alert)
- Stanbadaniaa, kategoria, kto jest przypisany do rozwiązania problemu, oraz ostatnia zaobserwowana aktywność.
Możesz dostosować liczbę wyświetlanych elementów i kolumny wyświetlane dla każdego elementu. Domyślnym zachowaniem jest wyświetlenie listy 30 elementów na stronę. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.
Kolumna jednostki, których dotyczy problem , odnosi się do wszystkich jednostek urządzenia i użytkownika, do których odwołuje się zdarzenie lub alert.
Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.
Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.
Obserwowane w organizacji
Urządzenia: w tej sekcji przedstawiono wszystkie urządzenia, do których zalogowała się jednostka użytkownika w ciągu ostatnich 180 dni, wskazując najwięcej i najmniej używane.
Lokalizacje: w tej sekcji przedstawiono wszystkie obserwowane lokalizacje jednostki użytkownika w ciągu ostatnich 30 dni.
Grupy: w tej sekcji przedstawiono wszystkie obserwowane grupy lokalne dla jednostki użytkownika, zgodnie z raportem Microsoft Defender for Identity.
Konta: W tej sekcji przedstawiono wszystkie obserwowane konta jednostki tożsamości, zgodnie z raportem Microsoft Defender for Identity.
Ścieżki ruchu bocznego: w tej sekcji przedstawiono wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego wykryte przez usługę Defender for Identity.
Na karcie Konta są wyświetlane wszystkie konta połączone z określoną tożsamością w połączonych systemach. Konsoliduje ona ręczne i automatyczne korelacje w jedną tabelę, zapewniając scentralizowany widok śladu tożsamości.
W tabeli przedstawiono następujące pola:
Typ połączenia: pokazuje, jak konto zostało połączone z tożsamością (ręczne, identyfikatory StrongID, interfejs API lub reguła).
Data ostatniego połączenia: Rejestruje ostatnią datę połączenia konta z tożsamością.
Połączone przez: Określa, kto utworzył link (identyfikatory StrongID, identyfikator użytkownika lub nazwa reguły).
Komentarz dotyczący powiązania: Zawiera krótki opis wyjaśniający, dlaczego konta zostały połączone. Komentarz jest ograniczony do 25 znaków.
Konto podstawowe: Wskazuje, czy system określa to konto jako podstawowe dla tożsamości.
Uwaga
Grupy i ścieżki przenoszenia bocznego są dostępne, gdy jest dostępna licencja Microsoft Defender for Identity.
Wybranie karty Ruchy boczne umożliwia wyświetlenie w pełni dynamicznej i klikalnej mapy, na której można zobaczyć ścieżki ruchu bocznego do i od użytkownika. Osoba atakująca może użyć informacji o ścieżce do infiltracji sieci.
Mapa zawiera listę innych urządzeń lub użytkowników, z których osoba atakująca może skorzystać, aby naruszyć poufne konto. Jeśli użytkownik ma poufne konto, możesz zobaczyć, ile zasobów i kont jest bezpośrednio połączonych.
Raport ścieżki ruchu bocznego, który można wyświetlić według daty, jest zawsze dostępny, aby dostarczyć informacji o potencjalnych odnalezionych ścieżkach ruchu bocznego i można go dostosować według czasu. Wybierz inną datę przy użyciu opcji Wyświetl inną datę , aby wyświetlić poprzednie ścieżki ruchu bocznego znalezione dla jednostki. Wykres jest wyświetlany tylko wtedy, gdy w ciągu ostatnich dwóch dni znaleziono potencjalną ścieżkę ruchu bocznego dla jednostki.
Oś czasu
Na osi czasu są wyświetlane działania użytkownika i alerty obserwowane na podstawie tożsamości użytkownika w ciągu ostatnich 180 dni. Ujednolica ona wpisy tożsamości użytkownika w obciążeniach Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender. Korzystając z osi czasu, możesz skupić się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasowych.
Na ujednoliconej platformie SOC na karcie zdarzeń Microsoft Sentinel można wyświetlić alerty Microsoft Sentinel z innych źródeł danych. Aby uzyskać więcej informacji, zobacz zdarzenia Microsoft Sentinel.
Niestandardowy selektor zakresu czasu: Możesz wybrać przedział czasu, aby skoncentrować badanie na ostatnich 24 godzinach, ostatnich 3 dniach itd. Możesz też wybrać określony przedział czasu, klikając pozycję Zakres niestandardowy. Przefiltrowane dane starsze niż 30 dni są wyświetlane w siedmiodniowych interwałach.
Przykład:
Filtry osi czasu: Aby ulepszyć środowisko badania, można użyć filtrów osi czasu: Typ (Alerty i/lub powiązane działania użytkownika), Ważność alertu, Typ działania, Aplikacja, Lokalizacja, Protokół. Każdy filtr zależy od innych, a opcje w każdym filtrze (lista rozwijana) zawierają tylko dane, które są istotne dla określonego użytkownika.
Przycisk Eksportuj: Możesz wyeksportować oś czasu do pliku CSV. Eksport jest ograniczony do pierwszych 5000 rekordów i zawiera dane wyświetlane w interfejsie użytkownika (te same filtry i kolumny).
Dostosowane kolumny: Możesz wybrać kolumny, które mają zostać uwidoczniane na osi czasu, wybierając przycisk Dostosuj kolumny . Przykład:
Jakie typy danych są dostępne?
Na osi czasu są dostępne następujące typy danych:
- Alerty użytkownika, których dotyczy problem
- Działania usługi Active Directory i Microsoft Entra
- Zdarzenia aplikacji w chmurze
- Zdarzenia logowania urządzenia
- Zmiany usług katalogowych
Jakie informacje są wyświetlane?
Na osi czasu są wyświetlane następujące informacje:
- Data i godzina działania
- Opis działania/alertu
- Aplikacja, która wykonała działanie
- Urządzenie źródłowe/adres IP
- MITRE ATT&techniki CK
- Ważność i stan alertu
- Kraj/region, w którym adres IP klienta jest geolokalizowany
- Protokół używany podczas komunikacji
- Urządzenie docelowe (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
- Ile razy wystąpiło działanie (opcjonalne, możliwe do wyświetlenia przez dostosowanie kolumn)
Przykład:
Uwaga
Microsoft Defender XDR mogą wyświetlać informacje o dacie i godzinie przy użyciu lokalnej strefy czasowej lub czasu UTC. Wybrana strefa czasowa ma zastosowanie do wszystkich informacji o dacie i godzinie wyświetlanych na osi czasu tożsamości.
Aby ustawić strefę czasowa dla tych funkcji, przejdź do pozycji Ustawienia>Strefaczasowa Centrum > zabezpieczeń.
Zalecenia dotyczące zabezpieczeń
Na tej karcie są wyświetlane wszystkie aktywne oceny stanu zabezpieczeń (ISPM) skojarzone z kontem tożsamości. Obejmuje ona rekomendacje usługi Defender for Identity dla dostępnych dostawców tożsamości, takich jak Active Directory, Okta i inne. Wybranie modułu ISPM powoduje przesunie Cię na stronę rekomendacji w usłudze Microsoft Secure Score w celu uzyskania dodatkowych szczegółów.
Ścieżki ataku
Ta karta zapewnia wgląd w potencjalne ścieżki ataku prowadzące do tożsamości krytycznej lub angażującej ją w ścieżkę, pomagając ocenić zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Omówienie ścieżki ataku w usłudze Exposure Management.
zdarzenia Microsoft Sentinel
Jeśli twoja organizacja dołączyła Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki użytkownika. Ta karta importuje stronę Jednostki konta z Microsoft Sentinel.
oś czasu Microsoft Sentinel
Na tej osi czasu są wyświetlane alerty skojarzone z jednostką użytkownika. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez Microsoft Sentinel ze źródeł danych innych firm, spoza firmy Microsoft.
Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań odwołujące się do tej jednostki użytkownika, zdarzenia aktywności użytkownika z zewnętrznych źródeł danych oraz nietypowe zachowania wykryte przez reguły anomalii Microsoft Sentinel.
Wyniki analizy
Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące jednostki użytkownika, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane dotyczące logowania, dodawania grup, nietypowych zdarzeń i innych elementów oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.
Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:
- Elementy równorzędne użytkowników oparte na członkostwie w grupach zabezpieczeń.
- Akcje według konta.
- Akcje na koncie.
- Dzienniki zdarzeń wyczyszczone przez użytkownika.
- Dodatki grupowe.
- Nietypowo wysoka liczba operacji w biurze.
- Dostęp do zasobów.
- Nietypowo wysoka Azure liczba wyników logowania.
- Szczegółowe informacje o ueba.
- Uprawnienia dostępu użytkowników do Azure subskrypcji.
- Wskaźniki zagrożeń związane z użytkownikiem.
- Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
- Działanie logowania w systemie Windows.
Szczegółowe informacje są oparte na następujących źródłach danych:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Tożsamość Microsoft Entra)
- SigninLogs (Tożsamość Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Puls (agent Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.
Działania naprawcze
Na stronie Przegląd można wykonać następujące akcje:
- Włączanie, wyłączanie lub zawieszanie użytkownika w Tożsamość Microsoft Entra
- Bezpośredni użytkownik wykonuje pewne akcje, takie jak wymaganie od użytkownika ponownego zalogowania się lub wymuszanie resetowania hasła
- Wyświetlanie Microsoft Entra ustawień konta, powiązanego ładu, plików należących do użytkownika lub udostępnionych plików użytkownika
Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity.
Następne kroki
W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.
Zobacz też
- Omówienie zdarzeń
- Określanie priorytetów zdarzeń
- Zarządzanie zdarzeniami
- omówienie Microsoft Defender XDR
- Włącz Microsoft Defender XDR
- Strona jednostki urządzenia w Microsoft Defender
- Strona jednostki adresu IP w Microsoft Defender
- integracja Microsoft Defender XDR z Microsoft Sentinel
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.