Kurz: Zkoumání počítače

Je tato stránka užitečná?

Máte pro nás ještě něco?

Zpětná vazba se pošle společnosti Microsoft: Po stisknutí tlačítka Odeslat se vaše názory využijí ke zlepšování produktů a služeb Microsoftu. Zásady ochrany osobních údajů

Poznámka

K prostředí popsanému na této stránce můžete přistupovat https://security.microsoft.com také v rámci Microsoft 365 Defender.

Microsoft Defender for Identity důkazy o výstrahách poskytují jasné informace o tom, kdy byly počítače zapojeny do podezřelých aktivit nebo kdy existují indikace, že je počítač ohrožen. V tomto kurzu použijete návrhy šetření, které vám pomůžou určit riziko vaší organizace, rozhodnout se, jak napravit, a určit nejlepší způsob, jak zabránit podobným útokům v budoucnu.

• Zkontrolujte počítač pro přihlášeného uživatele.
• Ověřte, jestli uživatel obvykle přistupuje k počítačům.
• Prozkoumejte podezřelé aktivity z počítače.
• Kde existují další výstrahy přibližně ve stejnou dobu?

Kroky šetření pro podezřelé počítače

Pokud chcete získat přístup ke stránce profilu počítače, klikněte na konkrétní počítač uvedený v upozornění, které chcete prozkoumat. Pokud chcete pomoct s vyšetřováním, vypíše důkazy výstrahy všechny počítače (a uživatele) připojené ke každé podezřelé aktivitě.

Zkontrolujte a prozkoumejte profil počítače s následujícími podrobnostmi a aktivitami:

• Co se stalo v době podezřelé aktivity?

  1. Který uživatel byl přihlášen k počítači?
  2. Přihlašuje se tento uživatel normálně ke zdrojovému nebo cílovému počítači nebo k němu přistupuje?
  3. Ke kterým prostředkům se dostanete? Podle kterých uživatelů?
  • Pokud byly prostředky přístupné, byly to prostředky s vysokou hodnotou?
  1. Měl uživatel k těmto prostředkům přistupovat?
  2. Provedl uživatel , který k počítači přistupoval, jiné podezřelé aktivity?

• Další podezřelé aktivity pro šetření:

  1. Byly ostatní výstrahy otevřeny přibližně ve stejnou dobu jako tato výstraha v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender for Cloud nebo Microsoft Defender for Cloud Apps?
  2. Došlo k selhání přihlášení?

• Pokud je povolená Microsoft Defender for Endpoint integrace, kliknutím na odznak Microsoft Defender for Endpoint počítač dále prozkoumejte. V Microsoft Defender for Endpoint můžete zjistit, ke kterým procesům a upozorněním došlo přibližně ve stejnou dobu jako výstraha.

  • Byly nasazené nebo nainstalované nějaké nové programy?

Další kroky

• Prošetřování uživatelů
• Práce s výstrahami zabezpečení
• Práce s laterálními pohybovými cestami
• Výstrahy před průzkumnými hrozbami
• Výstrahy před ohrožením zabezpečení přihlašovacích údajů
• Výstrahy před taktikou lateral movement
• Výstrahy před dominancí v doméně
• Výstrahy před exfiltrací
• Podívejte se na fórum Defender for Identity!

Další informace

• Vyzkoušejte si naši interaktivní příručku: Zkoumání a reakce na útoky pomocí Microsoft Defender for Identity