Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A página da entidade de utilizador no portal do Microsoft Defender ajuda-o na investigação de entidades de utilizador. A página contém todas as informações importantes sobre uma determinada entidade de utilizador. Se um alerta ou incidente indicar que um utilizador pode estar comprometido ou ser suspeito, verifique e investigue a entidade do utilizador.
Pode encontrar as informações da entidade do utilizador nas seguintes vistas:
- Página Identidades, em Recursos
- Fila de alertas
- Qualquer alerta/incidente individual
- Página dispositivos
- Qualquer página de entidade de dispositivo individual
- Registo de atividades
- Consultas de investigação avançadas
- Centro de ação
Sempre que as entidades de utilizador aparecerem nestas vistas, selecione a entidade para ver a página Utilizador , que apresenta mais detalhes sobre o utilizador. Por exemplo, pode ver os detalhes das contas de utilizador identificadas nos alertas de um incidente no portal do Microsoft Defender em Incidentes & alertas Incidentes >>incidentes> Utilizadores de Recursos>.
Quando investiga uma entidade de utilizador específica, vê os seguintes separadores na respetiva página de entidade:
Descrição geral, incluindo detalhes da entidade, vista visual de incidentes e alertas, sinalizadores de controlo de conta de utilizador, etc.
Observado no separador organização
A página de identidade mostra o Microsoft Entra organização e grupos, ajudando-o a compreender os grupos e permissões associados a um utilizador.
Importante
Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, com ou sem Microsoft Defender XDR ou uma licença E5. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Descrição geral
Detalhes da entidade
O painel Detalhes da entidade no lado esquerdo da página fornece informações sobre o utilizador, como o nível de risco de identidade Microsoft Entra, o nível de gravidade de risco interno (Pré-visualização), o número de dispositivos aos quais o utilizador tem sessão iniciada, quando o utilizador foi visto pela primeira e última vez, as contas do utilizador, os grupos aos quais o utilizador pertence e as informações de contacto. Este cartão inclui todos os incidentes e alertas associados à entidade de utilizador, agrupados por gravidade.
Nota
A Classificação de Prioridade de Investigação foi preterida a 3 de dezembro de 2024. A discriminação da Classificação de Prioridade de Investigação e os cartões atividades classificadas já não estão disponíveis.
Verá outros detalhes consoante os serviços e funcionalidades que ativou, incluindo:
- (Pré-visualização) Microsoft Defender XDR utilizadores com acesso ao Gestão do risco interno do Microsoft Purview podem agora ver a gravidade do risco interno de um utilizador e obter informações sobre as atividades suspeitas de um utilizador na página do utilizador. Selecione a gravidade do risco interno em Detalhes da entidade para ver as informações de risco sobre o utilizador.
- (Pré-visualização) Se ativar Microsoft Sentinel Análise de Comportamento do Utilizador e da Entidade (UEBA), verá:
- As três principais anomalias da UEBA do utilizador dos últimos 30 dias.
- Ligações para iniciar consultas de investigação avançadas pré-criadas e ver todos os comportamentos anómalos relacionados com o utilizador no separador Sentinel eventos. Esta opção só está disponível para clientes que tenham o UEBA ativado.
Controlos de conta do Active Directory
Este cartão realça as definições de segurança Microsoft Defender para Identidade importantes para a conta do utilizador. Por exemplo, mostra se o utilizador pode ignorar a palavra-passe ao premir Enter ou se a palavra-passe do utilizador nunca expira. Reveja estes sinalizadores para identificar as definições da conta que podem necessitar da sua atenção.
Para obter mais informações, veja Sinalizadores de Controlo de Conta de Utilizador.
Árvore da organização
Esta secção mostra o lugar da entidade do utilizador na hierarquia organizacional, conforme comunicado por Microsoft Defender para Identidade.
Etiquetas de conta
Microsoft Defender para Identidade extrai etiquetas do Active Directory para lhe fornecer uma única interface para monitorizar os seus utilizadores e entidades do Active Directory. As etiquetas fornecem-lhe detalhes do Active Directory sobre a entidade e incluem:
| Name | Descrição |
|---|---|
| Novo | Indica que a entidade foi criada há menos de 30 dias. |
| Eliminado | Indica que a entidade foi eliminada permanentemente do Active Directory. |
| Desativado | Indica que a entidade está atualmente desativada no Active Directory. O atributo desativado é um sinalizador do Active Directory que está disponível para contas de utilizador, contas de computador e outros objetos para indicar que o objeto não está atualmente a ser utilizado. Quando um objeto é desativado, não pode ser utilizado para iniciar sessão ou efetuar ações no domínio. |
| Ativado | Indica que a entidade está atualmente ativada no Active Directory. A entidade está atualmente em utilização e pode ser utilizada para iniciar sessão ou realizar ações no domínio. |
| Expirado | Indica que a entidade expirou no Active Directory. Quando uma conta de utilizador expira, o utilizador já não consegue iniciar sessão no domínio ou aceder a quaisquer recursos de rede. A conta expirada é tratada como se estivesse desativada, mas com uma data de expiração explícita definida. Quaisquer serviços ou aplicações aos quais o utilizador tenha autorização para aceder também poderão ser afetados, dependendo da forma como estão configurados. |
| Honeytoken | Indica que a entidade é etiquetada manualmente como um honeytoken. |
| Bloqueado | Indica que a entidade forneceu a palavra-passe errada demasiadas vezes e está agora bloqueada. |
| Parcial | Indica que o utilizador, dispositivo ou grupo não está sincronizado com o domínio e está parcialmente resolvido através de um catálogo global. Neste caso, alguns atributos não estão disponíveis. |
| Não resolvido | Indica que o dispositivo não resolve para uma identidade válida na floresta do Active Directory. Não existem informações de diretório disponíveis. |
| Sensível | Indica que a entidade é considerada confidencial. |
Para obter mais informações, veja Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR.
Nota
A secção árvore da organização e as etiquetas de conta estão disponíveis quando está disponível uma licença de Microsoft Defender para Identidade.
Incidentes e alertas
Pode ver todos os incidentes e alertas ativos que envolvem o utilizador dos últimos seis meses. Todas as informações das filas de alertas e incidentes principais são apresentadas aqui. Esta lista é uma versão filtrada da fila de incidentes e mostra os seguintes detalhes:
- Uma breve descrição do incidente ou alerta
- A gravidade do alerta (alta, média, baixa, informativa)
- O estado do alerta na fila (novo, em curso, resolvido)
- A classificação de alertas (não definido, alerta falso, alerta verdadeiro)
- O estado de investigação, a categoria, quem está atribuído para o resolver e a última atividade observada.
Pode personalizar o número de itens apresentados e que colunas são apresentadas para cada item. O comportamento predefinido é listar 30 itens por página. Também pode filtrar os alertas por gravidade, estado ou qualquer outra coluna no ecrã.
A coluna entidades afetadas refere-se a todas as entidades de dispositivo e utilizador referenciadas no incidente ou alerta.
Quando um incidente ou alerta é selecionado, é apresentada uma lista de opções. Pode gerir o incidente ou o alerta e ver mais detalhes, como o número de incidente/alerta e os dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.
Para ver uma vista de página inteira de um incidente ou alerta, selecione o respetivo título.
Observado na organização
Dispositivos: esta secção mostra todos os dispositivos nos quais a entidade de utilizador iniciou sessão nos 180 dias anteriores, indicando os mais e menos utilizados.
Localizações: esta secção mostra todas as localizações observadas para a entidade de utilizador nos últimos 30 dias.
Grupos: esta secção mostra todos os grupos no local observados para a entidade de utilizador, conforme comunicado por Microsoft Defender para Identidade.
Contas: esta secção mostra todas as contas observadas para a entidade de identidade, conforme comunicado pelo Microsoft Defender para Identidade.
Caminhos de movimento lateral: esta secção mostra todos os caminhos de movimento lateral criados no perfil do ambiente no local, conforme detetado pelo Defender para Identidade.
O separador Contas apresenta todas as contas ligadas a uma identidade específica em sistemas ligados. Consolida as correlações manuais e automáticas numa única tabela, dando-lhe uma vista centralizada dos requisitos de espaço da identidade.
A tabela mostra os seguintes campos:
Tipo de ligação: mostra como a conta foi associada à identidade (manual, StrongIDs, API ou regra).
Data da última ligação: Regista a data mais recente em que uma conta foi associada à identidade.
Ligado por: Identifica quem criou a ligação (StrongIDs, ID de utilizador ou nome de regra).
Comentário de ligação: Fornece uma breve descrição que explica o motivo pelo qual as contas foram associadas. O comentário está limitado a 25 carateres.
Conta primária: Indica se o sistema designa esta conta como a principal da identidade.
Nota
Os grupos e caminhos de movimento lateral estão disponíveis quando está disponível uma licença de Microsoft Defender para Identidade.
Selecionar o separador Movimentos laterais permite-lhe ver um mapa totalmente dinâmico e clicável, onde pode ver os caminhos de movimento lateral de e para um utilizador. Um atacante pode utilizar as informações do caminho para se infiltrar na sua rede.
O mapa fornece uma lista de outros dispositivos ou utilizadores dos quais um atacante pode tirar partido para comprometer uma conta confidencial. Se o utilizador tiver uma conta confidencial, pode ver quantos recursos e contas estão diretamente ligados.
O relatório do caminho de movimento lateral, que pode ser visualizado por data, está sempre disponível para fornecer informações sobre os potenciais caminhos de movimento lateral detetados e pode ser personalizado por tempo. Selecione uma data diferente utilizando Ver uma data diferente para ver os caminhos de movimento lateral anteriores encontrados para uma entidade. O gráfico só é apresentado se tiver sido encontrado um potencial caminho de movimento lateral para uma entidade nos últimos dois dias.
Linha cronológica
A linha cronológica apresenta as atividades do utilizador e os alertas observados a partir da identidade de um utilizador nos últimos 180 dias. Unifica as entradas de identidade do utilizador nas cargas de trabalho Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e Microsoft Defender para Endpoint. Ao utilizar a linha cronológica, pode focar-se nas atividades que um utilizador realizou ou que lhes foram executadas em intervalos de tempo específicos.
Na plataforma SOC unificada, pode ver Microsoft Sentinel alertas de outras origens de dados no separador Microsoft Sentinel eventos. Para obter mais informações, veja Microsoft Sentinel Events (Eventos do Microsoft Sentinel).
Seletor de intervalo de tempo personalizado: Pode escolher um período de tempo para focar a sua investigação nas últimas 24 horas, nos últimos 3 dias e assim sucessivamente. Em alternativa, pode escolher um período de tempo específico ao clicar em Intervalo personalizado. Os dados filtrados com mais de 30 dias são apresentados em intervalos de sete dias.
Por exemplo:
Filtros de linha cronológica: Para melhorar a sua experiência de investigação, pode utilizar os filtros de linha cronológica: Tipo (Alertas e/ou atividades relacionadas do utilizador), Gravidade do alerta, Tipo de atividade, Aplicação, Localização, Protocolo. Cada filtro depende dos outros e as opções em cada filtro (menu pendente) contêm apenas os dados relevantes para o utilizador específico.
Botão Exportar: Pode exportar a linha cronológica para um ficheiro CSV. A exportação está limitada aos primeiros 5000 registos e contém os dados apresentados na IU (os mesmos filtros e colunas).
Colunas personalizadas: Pode escolher as colunas a expor na linha cronológica ao selecionar o botão Personalizar colunas . Por exemplo:
Que tipos de dados estão disponíveis?
Os seguintes tipos de dados estão disponíveis na linha cronológica:
- Alertas afetados por um utilizador
- Atividades do Active Directory e Microsoft Entra
- Eventos de aplicações na cloud
- Eventos de início de sessão do dispositivo
- Alterações nos serviços de diretório
Que informações são apresentadas?
As seguintes informações são apresentadas na linha cronológica:
- Data e hora da atividade
- Descrição da atividade/alerta
- Aplicação que realizou a atividade
- Endereço IP/dispositivo de origem
- MITRE ATT& técnicas CK
- Estado e gravidade do alerta
- País/região onde o endereço IP do cliente é geolocalizado
- Protocolo utilizado durante a comunicação
- Dispositivo de destino (opcional, visível ao personalizar colunas)
- Número de vezes que a atividade ocorreu (opcional, visível ao personalizar colunas)
Por exemplo:
Nota
Microsoft Defender XDR pode apresentar informações de data e hora com o fuso horário local ou UTC. O fuso horário selecionado aplica-se a todas as informações de data e hora apresentadas na linha cronológica da Identidade.
Para definir o fuso horário destas funcionalidades, aceda aFuso horário do Centro> de Segurança de Definições>.
Recomendações de segurança
Este separador apresenta todas as avaliações de postura de segurança ativas (ISPMs) associadas a uma conta de identidade. Inclui recomendações do Defender para Identidade em fornecedores de identidade disponíveis, como o Active Directory, o Okta, entre outros. Selecionar um ISPM ajuda-o a aceder à página de recomendação na Classificação de Segurança da Microsoft para obter detalhes adicionais.
Caminhos de ataque
Este separador fornece visibilidade sobre potenciais caminhos de ataque que conduzem a uma identidade crítica ou que a envolvem no caminho, ajudando a avaliar os riscos de segurança. Para obter mais informações, veja Descrição geral do caminho de ataque na Gestão de Exposição.
Microsoft Sentinel eventos
Se a sua organização tiver integrado Microsoft Sentinel no portal do Defender, este separador adicional encontra-se na página da entidade de utilizador. Este separador importa a página entidade Conta de Microsoft Sentinel.
linha cronológica Microsoft Sentinel
Esta linha cronológica mostra os alertas associados à entidade do utilizador. Estes alertas incluem os visualizados no separador Incidentes e alertas e os criados por Microsoft Sentinel de origens de dados de terceiros e não da Microsoft.
Esta linha cronológica também mostra as caçadas com marcadores de outras investigações que referenciam esta entidade de utilizador, eventos de atividade do utilizador de origens de dados externas e comportamentos invulgares detetados pelas regras de anomalias de Microsoft Sentinel.
Informações
As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para o ajudar a investigar de forma mais eficiente e eficaz. Estas informações colocam automaticamente as grandes questões sobre a sua entidade de utilizador, fornecendo informações de segurança valiosas sob a forma de dados e gráficos tabulares. As informações incluem dados sobre inícios de sessão, adições de grupo, eventos anómalos e muito mais, e incluem algoritmos de machine learning avançados para detetar comportamentos anómalos.
Seguem-se algumas das informações apresentadas:
- Elementos de utilizador com base na associação a grupos de segurança.
- Ações por conta.
- Ações na conta.
- Registos de eventos limpos pelo utilizador.
- Adições de grupo.
- Contagem anómalo de operações de escritório elevada.
- Acesso a recursos.
- Contagem de resultados de início de sessão anómalomente elevada Azure.
- Informações da UEBA.
- Permissões de acesso de utilizador para Azure subscrições.
- Indicadores de ameaças relacionados com o utilizador.
- Informações da lista de observação (Pré-visualização).
- Atividade de início de sessão do Windows.
As informações baseiam-se nas seguintes origens de dados:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
Se quiser explorar mais aprofundadamente qualquer uma das informações neste painel, selecione a ligação que acompanha as informações. A ligação direciona-o para a página Investigação avançada , onde apresenta a consulta subjacente às informações, juntamente com os respetivos resultados não processados. Pode modificar a consulta ou desagregar os resultados para expandir a investigação ou apenas satisfazer a sua curiosidade.
Ações de remediação
Na página Descrição geral, pode efetuar estas ações:
- Ativar, desativar ou suspender o utilizador no Microsoft Entra ID
- Direcionar o utilizador para efetuar determinadas ações, tais como exigir que o utilizador inicie sessão novamente ou forçar a reposição de palavra-passe
- Ver Microsoft Entra definições de conta, governação relacionada, ficheiros pertencentes ao utilizador ou ficheiros partilhados do utilizador
Para obter mais informações, veja Remediação de ações no Microsoft Defender para Identidade.
Passos seguintes
Conforme necessário para incidentes em processo, continue a investigação.
Consulte também
- Descrição geral dos incidentes
- Priorizar incidentes
- Gerir incidentes
- descrição geral do Microsoft Defender XDR
- Ativar Microsoft Defender XDR
- Página entidade do dispositivo no Microsoft Defender
- Página de entidade de endereço IP no Microsoft Defender
- Microsoft Defender XDR integração com Microsoft Sentinel
- Ligar o Microsoft Sentinel ao Microsoft Defender XDR
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.