Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender for Identity daje Microsoft Defender XDR użytkownikom dowody, gdy użytkownicy, komputery i urządzenia wykazują oznaki podejrzanych działań lub naruszenia zabezpieczeń.
W tym artykule przedstawiono zalecenia dotyczące sposobu określania ryzyka dla organizacji, decydowania o sposobie korygowania i określania najlepszego sposobu zapobiegania podobnym atakom w przyszłości.
Kroki badania podejrzanych użytkowników
Uwaga
Aby uzyskać informacje na temat wyświetlania profilów użytkowników w Microsoft Defender XDR, zobacz dokumentację Microsoft Defender XDR.
Jeśli alert lub zdarzenie wskazuje, że użytkownik może być podejrzany lub naruszona, sprawdź i zbadaj profil użytkownika, aby uzyskać następujące szczegóły i działania:
Tożsamość użytkownika
- Czy użytkownik jest poufnym użytkownikiem (takim jak administrator, czy na liście obserwowanych itp.)?
- Jaka jest ich rola w organizacji?
- Czy są one istotne w drzewie organizacyjnym?
Zbadaj podejrzane działania, takie jak:
- Czy użytkownik ma inne otwarte alerty w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
- Czy logowanie użytkownika nie powiodło się?
- Do jakich zasobów dostęp uzyskiwał użytkownik?
- Czy użytkownik uzyskiwał dostęp do zasobów o wysokiej wartości?
- Czy użytkownik miał uzyskiwać dostęp do zasobów, do których uzyskiwał dostęp?
- Na których urządzeniach użytkownik się zalogował?
- Czy użytkownik miał zalogować się do tych urządzeń?
- Czy istnieje ścieżka ruchu bocznego (LMP) między użytkownikiem a poufnym użytkownikiem?
Skorzystaj z odpowiedzi na te pytania, aby ustalić, czy konto wydaje się zagrożone, czy podejrzane działania oznaczają złośliwe akcje.
Znajdź informacje o tożsamości w następujących obszarach Microsoft Defender XDR:
- Strony szczegółów indywidualnej tożsamości
- Strona szczegółów poszczególnych alertów lub zdarzeń
- Strony szczegółów urządzenia
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
- Strona Centrum akcji
Na przykład na poniższej ilustracji przedstawiono szczegóły na stronie szczegółów tożsamości:
Szczegóły tożsamości
Podczas badania określonej tożsamości na stronie szczegółów tożsamości zostaną wyświetlone następujące szczegóły:
| Obszar strony szczegółów tożsamości | Opis |
|---|---|
| Karta Przegląd | Karta Przegląd umożliwia wyświetlanie wykresów dla zdarzeń i alertów, drzewa organizacyjnego i tagów jednostek. Ogólne dane tożsamości obejmują: — poziom ryzyka Microsoft Entra tożsamości — liczba urządzeń, do których jest zalogowana tożsamość - Kiedy tożsamość była pierwsza i ostatnio widziana - Konta tożsamości i ważniejsze informacje. |
| Zdarzenia i alerty | Wyświetla listę aktywnych zdarzeń i alertów dotyczących użytkownika z ostatnich 180 dni, w tym szczegóły, takie jak ważność alertu i czas wygenerowania alertu. |
| Obserwowane w organizacji | Obejmuje następujące obszary podrzędne: - Urządzenia: urządzenia, do których loguje się tożsamość, w tym większość i najmniej używane w ciągu ostatnich 180 dni. - Lokalizacje: obserwowane lokalizacje tożsamości w ciągu ostatnich 30 dni. - Grupy: wszystkie obserwowane grupy lokalne dla tożsamości. - Ścieżki ruchu bocznego — wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego. - Konta Wyświetl wszystkie konta połączone z określoną tożsamością. |
| Oś czasu tożsamości | Oś czasu reprezentuje działania i alerty obserwowane na podstawie tożsamości użytkownika w ciągu ostatnich 180 dni, aby ułatwić ujednolicenie wpisów tożsamości w Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender. Możesz użyć osi czasu, aby skoncentrować się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasu. Wybierz domyślne 30 dni , aby zmienić zakres czasu na inną wbudowaną wartość lub na zakres niestandardowy. |
| Zalecenia dotyczące zabezpieczeń | Na tej karcie są wyświetlane wszystkie aktywne oceny stanu zabezpieczeń (ISPM) skojarzone z kontem tożsamości. Obejmuje ona rekomendacje usługi Defender for Identity dla dostępnych dostawców tożsamości, takich jak Active Directory, Okta i inne. Wybranie modułu ISPM powoduje przesunie Cię na stronę rekomendacji w usłudze Microsoft Secure Score w celu uzyskania dodatkowych szczegółów. |
| Ścieżki ataku | Ta karta zapewnia wgląd w potencjalne ścieżki ataku prowadzące do tożsamości krytycznej lub angażującej ją w ścieżkę, pomagając ocenić zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Omówienie ścieżki ataku w usłudze Exposure Management. |
| Działania naprawcze | Odpowiedz użytkownikom, których bezpieczeństwo zostało naruszone, wyłączając ich konta lub resetując ich hasło. Po wykonaniu akcji dla użytkowników możesz sprawdzić szczegóły działania w Microsoft Defender XDR **Centrum akcji. |
Uwaga
Wynik priorytetu badania został przestarzały 3 grudnia 2024 r. W związku z tym podział wyniku priorytetu badania i karty osi czasu ocenianej aktywności nie są już dostępne.
Aby uzyskać więcej informacji, zobacz Badanie użytkowników w dokumentacji Microsoft Defender XDR.
Kroki badania podejrzanych grup
Jeśli badanie alertu lub zdarzenia jest powiązane z grupą usługi Active Directory, sprawdź jednostkę grupy pod kątem następujących szczegółów i działań:
Jednostka grupy
- Czy grupa jest grupą wrażliwą, taką jak Administratorzy domeny?
- Czy grupa obejmuje poufnych użytkowników?
Zbadaj podejrzane działania, takie jak:
- Czy grupa ma inne otwarte, powiązane alerty w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
- Którzy użytkownicy zostali ostatnio dodani do grupy lub usunięci z tej grupy?
- Czy grupa została ostatnio zapytana i przez kogo?
Skorzystaj z odpowiedzi na te pytania, aby pomóc w badaniu.
W okienku szczegółów jednostki grupy wybierz pozycję Wyszukaj lub Otwórz oś czasu do zbadania. Informacje o grupie można również znaleźć w następujących obszarach Microsoft Defender XDR:
- Strona szczegółów poszczególnych alertów lub zdarzeń
- Strony szczegółów urządzenia lub użytkownika
- Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
Na przykład na poniższej ilustracji przedstawiono oś czasu działania Operatory serwera , w tym powiązane alerty i działania z ostatnich 180 dni:
Kroki badania podejrzanych urządzeń
Microsoft Defender XDR alert wyświetla listę wszystkich urządzeń i użytkowników połączonych z każdym podejrzanym działaniem. Wybierz urządzenie, aby wyświetlić stronę szczegółów urządzenia, a następnie zbadaj następujące szczegóły i działania:
Co się stało w czasie podejrzanego działania?
- Który użytkownik został zalogowany na urządzeniu?
- Czy ten użytkownik zwykle loguje się do urządzenia źródłowego lub docelowego lub uzyskuje do nich dostęp?
- Do których zasobów uzyskano dostęp? Przez których użytkowników? Jeśli uzyskano dostęp do zasobów, czy były to zasoby o wysokiej wartości?
- Czy użytkownik miał uzyskiwać dostęp do tych zasobów?
- Czy użytkownik, który uzyskiwał dostęp do urządzenia, wykonał inne podejrzane działania?
Bardziej podejrzane działania do zbadania:
- Czy inne alerty były otwierane mniej więcej w tym samym czasie co ten alert w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
- Czy logowanie nie powiodło się?
- Czy jakieś nowe programy zostały wdrożone lub zainstalowane?
Skorzystaj z odpowiedzi na te pytania, aby ustalić, czy urządzenie wydaje się zagrożone, czy podejrzane działania oznaczają złośliwe akcje.
Na przykład na poniższej ilustracji przedstawiono stronę szczegółów urządzenia:
Aby uzyskać więcej informacji, zobacz Badanie urządzeń w dokumentacji Microsoft Defender XDR.
Następne kroki
- Badanie ścieżek ruchu bocznego (LMPs)
- Badanie użytkowników w Microsoft Defender XDR
- Badanie zdarzeń w usłudze Microsoft Defender XDR
Porada
Wypróbuj nasz interaktywny przewodnik: Badanie ataków i reagowanie na nie za pomocą Microsoft Defender for Identity