Enquête sur les profils d’entitéInvestigating entity profiles

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Le profil d’entité vous fournit un tableau de bord conçu pour des investigations approfondies sur les utilisateurs, les ordinateurs, les appareils et les ressources auxquelles ils ont accès et leur historique.The entity profile provides you with a dashboard designed for full deep-dive investigation of users, computers, devices and the resources they have access to and their history. La page de profil tire parti du nouveau traducteur d’activité logique ATA qui peut examiner un groupe d’activités en cours (agrégées jusqu'à une minute) et les regrouper en une seule activité logique pour vous permettre de mieux comprendre les activités réelles de vos utilisateurs.The profile page takes advantage of the new ATA logical activity translator which can look at a group of activities occurring (aggregated up to a minute) and group them into a single logical activity to give you a better understanding of the actual activities of your users.

Pour accéder à une page de profil d’entité, cliquez sur le nom de l’entité, par exemple sur son nom d’utilisateur, dans la chronologie des activités suspectes.To access an entity profile page, click on the name of the entity, such as a username, in the suspicious activity timeline.

Le menu de gauche vous fournit toutes les informations Active Directory disponibles sur l’entité – adresse e-mail, domaine, date à laquelle elle a été vue pour la première fois.The left menu provides you with all the Active Directory information available on the entity - email address, domain, first seen date. Si l’entité est sensible, il vous indique pourquoi.If the entity is sensitive it will tell you why. Par exemple, l’utilisateur est-il marqué comme sensible ou membre d’un groupe sensible ?For example, is the user tagged as sensitive or the member of a sensitive group? Si l’utilisateur est sensible, vous voyez l’icône sous le nom de l’utilisateur.If it's a sensitive user you'll see the icon under the user's name.

Afficher les activités de l’entitéView entity activities

Pour afficher toutes les activités effectuées par l’utilisateur ou effectuées sur une entité, cliquez sur l’onglet Activités.To view all the activities performed by the user, or performed on an entity, click on the Activities tab.

activités du profil utilisateur

Par défaut, le volet principal du profil d’entité affiche une chronologie des activités de l’entité avec un historique pouvant couvrir jusqu’aux 6 derniers mois. Ce dernier vous permet d’explorer les entités auxquelles l’utilisateur a accédé ou, pour une entité, les utilisateurs ayant accédé à l’entité.By default, the main pane of the entity profile displays a timeline of the entity's activities with a history of up to 6 months back, from which you can also drill down into the entities accessed by the user, or for entities, users who accessed the entity.

En haut, vous pouvez voir les vignettes de résumé qui vous donnent un petit aperçu de ce que vous devez rapidement comprendre sur votre entité.At the top, you can view the summary tiles that give you a quick overview of what you need to understand in a glance about your entity. Ces vignettes varient selon le type d’entité. Pour un utilisateur, vous verrez :These tiles change based on what type of entity it is, for a user, you will see:

  • Le nombre d’activités suspectes ouvertes pour l’utilisateurHow many open suspicious activities there are for the user

  • Le nombre d’ordinateurs auxquels l’utilisateur s’est connectéHow many computers the user logged onto

  • Le nombre de ressources auxquelles l’utilisateur a accédéHow many resources the user accessed

  • À partir de quels emplacements l’utilisateur s’est connecté au VPNFrom which locations the user logged into VPN

    menu des entités

Pour les ordinateurs, vous verrez :For computers you can see:

  • Le nombre d’activités suspectes ouvertes pour l’ordinateurHow many open suspicious activities there are for the machine

  • Le nombre d’utilisateurs connectés à l’ordinateurHow many users logged into the machine

  • Le nombre de ressources auxquelles l’ordinateur a accédéHow many resources the computer accessed

  • Le nombre d’emplacements sur l’ordinateur à partir desquels un accès au VPN a été effectuéHow many locations VPN was accessed from on the computer

  • La liste des adresses IP que l’ordinateur a utiliséesA list of which IP addresses the computer has used

    ordinateur de menu des entités

À l’aide du bouton Filtrer par, situé au-dessus de la chronologie des activités, vous pouvez filtrer les activités par type d’activité.Using the Filter by button above the activity timeline, you can filter the activities by activity type. Vous pouvez également éliminer par filtrage un type spécifique (bruyant) d’activité.You can also filter out a specific (noisy) type of activity. C’est vraiment utile pour votre investigation lorsque vous voulez comprendre les bases de ce que fait une entité sur le réseau.This is really helpful for investigation when you want to understand the basics of what an entity is doing in the network. Vous pouvez également accéder à une date spécifique et exporter vers Excel les activités filtrées.You can also go to a specific date, and you can export the activities as filtered to Excel. Le fichier exporté fournit une page pour les modifications des services d’annuaire (éléments ayant changé dans Active Directory pour ce compte) et une page distincte pour les activités.The exported file provides a page for directory services changes (things that changed in Active Directory for the account) and a separate page for activities.

Consulter les données d'annuaireView directory data

L’onglet Données de l'annuaire fournit les informations statiques disponibles à partir d’Active Directory, y compris les indicateurs de sécurité de contrôle d’accès utilisateur.The Directory data tab provides the static information available from Active Directory, including user access control security flags. ATA affiche également les appartenances aux groupes de l’utilisateur pour vous permettre de dire si l’utilisateur a une appartenance directe ou une appartenance récursive.ATA also displays group memberships for the user so that you can tell if the user has a direct membership or a recursive membership. Pour les groupes, ATA liste les membres du groupe.For groups, ATA lists members of the group.

données d’annuaire du profil utilisateur

Dans la section Contrôle d’accès d’utilisateur, ATA expose les paramètres de sécurité pouvant demander votre attention.In the User access control section, ATA surfaces security settings that may need your attentions. Vous pouvez voir des indicateurs importants sur l’utilisateur, indiquant par exemple si l’utilisateur peut appuyer sur Entrée pour contourner le mot de passe, si l’utilisateur a un mot de passe qui n’expire jamais, etc.You can see important flags about the user, such as can the user press enter to bypass the password, does the user have a password that never expires, etc.

Visualiser les chemins de mouvement latéralView lateral movement paths

En cliquant sur l’onglet Chemins d'accès de mouvement latéral, vous pouvez afficher une image entièrement interactive et dynamique offrant une représentation visuelle des chemins de mouvement latéral en direction et en provenance de cet utilisateur qui peuvent être utilisés pour infiltrer votre réseau.By clicking the Lateral movement paths tab you can view a fully dynamic and clickable map that provides you with a visual representation of the lateral movement paths to and from this user that can be used to infiltrate your network.

Cette image vous fournit le nombre de tronçons entre ordinateurs ou utilisateurs qu’un attaquant aurait en direction et en provenance de cet utilisateur pour compromettre un compte sensible. De plus, si l’utilisateur lui-même a un compte sensible, vous pouvez voir combien de ressources et de comptes sont directement connectés.The map provides you with a list of how many hops between computers or users an attacker would have to and from this user to compromise a sensitive account, and if the user themselves has a sensitive account, you can see how many resources and accounts are directly connected. Pour plus d’informations, consultez Chemins de mouvement latéral.For more information, see Lateral movement paths.

chemins de mouvement latéral du profil utilisateur

Voir aussiSee Also

Consultez le forum ATA !Check out the ATA forum!