Microsoft Defender 入口網站中的使用者實體頁面能協助你調查使用者實體。 該頁面包含關於特定使用者實體的所有重要資訊。 若有警示或事件顯示使用者可能遭到入侵或可疑,請檢查並調查該使用者實體。
您可以在以下檢視中找到使用者實體資訊:
- 身份頁面,位於 資產
- 警示佇列
- 任何個別警報或事件
- 裝置頁面
- 任何單一裝置實體頁面
- 活動記錄
- 進階搜捕查詢
- 控制中心
當使用者實體出現在這些檢視中,選擇該實體以查看 使用者 頁面,該頁面會顯示更多關於該使用者的詳細資訊。 例如,您可以在Microsoft Defender入口網站的事件 & 警示>>>>事件資產使用者中查看事件警示中識別的使用者帳號詳情。
當您調查特定使用者實體時,您會在其實體頁面看到以下標籤:
身份頁面顯示 Microsoft Entra 的組織與群組,幫助您了解與使用者相關的群組與權限。
重要事項
Microsoft Sentinel 通常可在 Microsoft Defender 入口網站中取得,無論是否使用 Microsoft Defender 全面偵測回應或 E5 授權。 欲了解更多資訊,請參閱Microsoft Defender入口網站的Microsoft Sentinel。
概觀
實體詳情
頁面左側的實體詳細面板提供使用者資訊,例如Microsoft Entra身份風險等級、預覽) (內部風險嚴重程度、使用者登入的裝置數量、使用者首次與最後出現時間、使用者帳號、所屬群組等。 以及聯絡資訊。 此卡片包含所有與使用者實體相關的事件與警示,並依嚴重程度分組。
注意事項
調查優先分數 於 2024 年 12 月 3 日停用。 調查優先分數分解及已評分活動卡已不再提供。
你會根據你啟用的服務和功能,看到其他細節,包括:
- (預覽) Microsoft Defender 全面偵測回應 有權限存取Microsoft Purview 內部風險管理的使用者現在可以看到用戶內部風險的嚴重程度,並深入了解用戶頁面中可疑活動。 在實體詳情中選擇 內部風險嚴重度 ,以查看該用戶的風險洞察。
- (預覽) 如果你啟用 UEBA) (Microsoft Sentinel 使用者與實體行為分析,你會看到:
- 用戶過去 30 天內發現的三大 UEBA 異常。
- 連結可啟動預設的進階狩獵查詢,並查看 Sentinel 事件標籤中與使用者相關的所有異常行為。此功能僅適用於啟用 UEBA 的客戶。
Active Directory 帳號控制
此卡片突顯了使用者帳號中重要的 適用於身分識別的 Microsoft Defender 安全設定。 例如,它顯示使用者是否能透過按下回車來繞過密碼,或使用者的密碼是否永遠不會過期。 檢視這些標記,找出需要您注意的帳戶設定。
欲了解更多資訊,請參閱使用者帳戶控制標誌。
組織樹
此區塊顯示使用者實體在組織階層中的位置,適用於身分識別的 Microsoft Defender 報告。
帳號標籤
適用於身分識別的 Microsoft Defender 從 Active Directory 中擷取標籤,提供單一介面來監控你的 Active Directory 使用者與實體。 標籤會提供Active Directory關於該實體的詳細資訊,包括:
| 名稱 | 描述 |
|---|---|
| 新增 | 表示該實體成立不到 30 天。 |
| Deleted | 表示該實體已從 Active Directory 永久刪除。 |
| Disabled | 表示該實體目前在 Active Directory 中被停用。
disabled 屬性是一個 Active Directory 標誌,可用於使用者帳號、電腦帳號及其他物件,用以表示該物件目前未被使用。 當物件被停用時,無法用於登入或執行網域內的操作。 |
| Enabled | 表示該實體目前在 Active Directory 中啟用。 該實體目前仍在使用中,可用於登入或執行網域內的操作。 |
| 已到期 | 表示該實體在 Active Directory 中已過期。 當使用者帳號過期時,使用者將無法再登入該網域或存取任何網路資源。 過期帳戶會被視為被停用,但會設定明確的到期日。 使用者被授權存取的任何服務或應用程式也可能受到影響,視其設定方式而定。 |
| 蜜幣 | 表示該實體被手動標記為蜜幣。 |
| Locked | 表示該實體多次輸入錯誤密碼,現在已被鎖定。 |
| 部分 | 表示使用者、裝置或群組與網域未同步,且部分透過全域目錄解決。 在這種情況下,有些屬性無法使用。 |
| 未解決 | 表示該裝置在 Active Directory 森林中無法解析為有效的身份。 目前沒有目錄資訊。 |
| 敏感度 | 表示該實體被視為敏感。 |
欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應中的 Defender for Identity 實體標籤。
注意事項
組織樹區塊和帳號標籤會在有 適用於身分識別的 Microsoft Defender 授權時使用。
事件和警示
您可以查看過去六個月內所有涉及該使用者的活躍事件與警示。 主要事件與警報隊列中的所有資訊皆在此顯示。 此清單為事件 隊列的過濾版本,顯示以下細節:
- 事件或警報的簡短描述
- 警報嚴重程度 (高、中、低、資訊)
- 佇列中的警報狀態 (新的,正在進行中,已解決)
- 警報分類 (未設定,為假警報,真警報)
- 調查內容、類別、負責處理此案的人員,以及最後觀察到的活動。
你可以自訂顯示的項目數量以及每個項目顯示的欄位。 預設行為是每頁列出 30 個項目。 你也可以依照嚴重度、狀態或顯示器中的任何其他欄位來篩選警報。
受影響實體欄位指的是事件或警示中提及的所有裝置與使用者實體。
當選擇事件或警報時,會出現一個飛出畫面。 你可以管理事件或警示,並查看更多細節,例如事件/警示號碼及相關裝置。 可同時選擇多個警報。
若要查看事件或警示的完整頁面瀏覽,請選擇其標題。
組織中觀察到
裝置:本區塊顯示使用者實體在過去 180 天內登入的所有裝置,顯示使用量最高與最少的裝置。
地點:本區塊顯示該使用者實體過去 30 天內觀察到的所有位置。
群組:本節顯示所有觀察到的用戶端群組,這些群組皆適用於身分識別的 Microsoft Defender。
帳戶:本區塊顯示所有觀察到的身份實體帳戶,依據 適用於身分識別的 Microsoft Defender 報告。
橫向移動路徑:本節顯示 Defender for Identity 偵測到的所有本地環境中的側向移動路徑。
帳戶標籤 會 顯示所有跨連接系統與特定身份相關的帳戶。 它將手動與自動的關聯整合到單一表格中,讓你能集中檢視身份的足跡。
表格顯示以下欄位:
連結類型:顯示帳號如何與身份 (手冊、StrongIDS、API 或規則) 連結。
最後連結日期: 記錄帳戶與身份最近連結的日期。
連結者: 識別誰創建了連結 (強ID、使用者ID或規則名稱) 。
連結評論: 提供簡短說明,說明為什麼這些帳戶會被連結。 留言限制為25字元。
主要帳號: 表示系統是否將此帳戶指定為該身份的主要帳戶。
注意事項
當有 適用於身分識別的 Microsoft Defender 授權時,群組與橫向移動路徑皆可使用。
選擇「 橫向移動」 標籤,可以讓你看到一張完全動態且可點擊的地圖,可以看到使用者之間橫向移動的路徑。 攻擊者可以利用路徑資訊滲透你的網路。
地圖會列出攻擊者可能利用的其他裝置或使用者來入侵敏感帳號。 如果使用者有敏感帳號,你可以看到有多少資源和帳號直接連結。
橫向移動路徑報告可依日期查看,隨時提供潛在橫向移動路徑資訊,並可依時間自訂。 選擇「 查看不同日期 」以查看該實體先前的橫向移動路徑。 圖表僅顯示過去兩天內是否找到潛在的橫向移動路徑。
時間表
時間軸顯示過去180天內使用者的活動與警示。 它統一使用者在 適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 及 適用於端點的 Microsoft Defender 工作負載中的身份條目。 透過使用時間軸,你可以聚焦於使用者在特定時間範圍內執行或被執行的活動。
在統一的 SOC 平台中,您可以在 Microsoft Sentinel 事件標籤中看到來自其他資料來源的 Microsoft Sentinel 警示。更多資訊請參閱 Microsoft Sentinel 活動。
自訂時間範圍選擇器: 你可以選擇一個時間範圍,將調查重點放在過去24小時、過去3天等等。 或者你也可以點擊 自訂範圍來選擇特定的時間範圍。 超過30天的過濾資料以七天為間隔顯示。
例如:
時間軸篩選器: 為了提升調查體驗,您可以使用時間軸篩選器:輸入 (警示及/或使用者相關活動) 、警示嚴重度、活動類型、應用程式、位置、協議。 每個篩選器彼此依賴,且每個篩選器 (下拉選單) 選項只包含對特定使用者相關的資料。
匯出按鈕: 你可以把時間軸匯出成 CSV 檔。 匯出限制為前 5,000 筆紀錄,並包含在使用者介面中顯示的資料, (相同的篩選條件和欄位) 。
自訂欄位: 你可以選擇「 自訂欄位 」按鈕,選擇要在時間軸中顯示哪些欄位。 例如:
有哪些資料型態可用?
時間軸中提供以下資料類型:
- 使用者受影響的警示
- Active Directory 與 Microsoft Entra 活動
- 雲端應用程式活動
- 裝置登入事件
- 目錄服務變更
會顯示哪些資訊?
時間軸中顯示以下資訊:
- 活動日期與時間
- 活動/警報描述
- 執行該活動的應用程式
- 來源裝置/IP 位址
- MITRE ATT&CK 技術
- 警報嚴重度與狀態
- 用戶端 IP 位址所在的國家/地區
- 通訊中使用的協定
- 目標裝置 (可選,可透過自訂欄位) 來查看
- 活動發生次數 (可選,可透過自訂欄位) 查看
例如:
注意事項
Microsoft Defender 全面偵測回應可使用您的當地時區或 UTC 顯示日期與時間資訊。 所選時區適用於身份時間軸中顯示的所有日期與時間資訊。
要設定這些功能的時區,請到設定>安全中心>的時區。
安全建議
此分頁顯示所有與身份帳號) 關聯的 ISPM (進行的安全態勢評估。 它包含了針對 Active Directory、Okta 等可用身份提供者的 Defender for Identity 建議。 選擇 ISPM 會跳轉至 Microsoft 安全分數的推薦頁面以獲得更多細節。
攻擊路徑
此分頁提供潛在攻擊路徑的可視化,無論是指向關鍵身份或將其納入路徑,協助評估安全風險。 欲了解更多資訊,請參閱 暴露管理中的攻擊路徑概述。
Microsoft Sentinel events
如果您的組織已將 Microsoft Sentinel 導入 Defender 入口網站,這個額外分頁位於使用者實體頁面。 此分頁會從 Microsoft Sentinel 匯入帳戶實體頁面。
Microsoft Sentinel 時間軸
此時間軸顯示與使用者實體相關的警示。 這些警報包括事件與警報標籤上的警報,以及由 Microsoft Sentinel 根據第三方非 Microsoft 資料來源產生的警報。
此時間軸同時顯示其他調查中提及此使用者實體的書籤搜尋紀錄、來自外部資料來源的使用者活動事件,以及 Microsoft Sentinel 異常規則偵測到的異常行為。
Insights
實體洞察是由 Microsoft 資安研究人員定義的查詢,幫助你更有效率且有效地調查。 這些洞察會自動提出關於用戶實體的重大問題,並以表格資料和圖表的形式提供有價值的安全資訊。 這些洞見包括登入、群組新增、異常事件等資料,並包含先進的機器學習演算法以偵測異常行為。
以下是部分見解:
- 使用者對等者基於安全群組成員身份。
- 按帳號行動。
- 行動是應有的。
- 事件日誌由使用者清除。
- 群體增援。
- 異常高的辦公室運作數。
- 資源取得。
- Azure 登入結果異常高。
- UEBA 見解。
- 使用者對 Azure 訂閱的存取權限。
- 與使用者相關的威脅指標。
- 觀察清單洞察 (預覽) 。
- Windows 登入活動。
這些見解基於以下資料來源:
- Syslog (Linux)
- SecurityEvent (Windows)
- 審計日誌 (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- 辦公室活動 (Office 365)
- 行為分析 (Microsoft Sentinel UEBA)
- 心跳 (Azure 監測特工)
- CommonSecurityLog (Microsoft Sentinel)
如果你想進一步探討本面板中的任何見解,請點選與見解相關的連結。 連結會帶你到 進階狩獵 頁面,顯示洞察背後的查詢及其原始結果。 你可以修改查詢或深入結果,以擴展你的調查範圍,或只是滿足你的好奇心。
補救動作
從概覽頁面,你可以執行以下操作:
- 啟用、停用或暫停 Microsoft Entra ID 中的使用者
- 指示使用者執行特定動作,例如要求使用者重新登入或強制重設密碼
- 查看 Microsoft Entra 帳號設定、相關治理、使用者擁有的檔案,或使用者的共享檔案
欲了解更多資訊,請參閱 適用於身分識別的 Microsoft Defender 中的修復措施。
後續步驟
對於處理中事件,請繼續 調查。
另請參閱
- 事件概觀
- 設定事件優先順序
- 管理事件
- Microsoft Defender 全面偵測回應概述
- 開啟 Microsoft Defender 全面偵測回應
- Microsoft Defender 中的裝置實體頁面
- Microsoft Defender 中的 IP 位址實體頁面
- Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的整合
- 將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。