Analizzare gli asset

  • Articolo

Microsoft Defender per identità fornisce agli utenti di Microsoft Defender XDR l'evidenza di quando utenti, computer e dispositivi hanno eseguito attività sospette o mostrano segni di compromissione.

Questo articolo fornisce consigli su come determinare i rischi per l'organizzazione, decidere come correggere e determinare il modo migliore per evitare attacchi simili in futuro.

Passaggi di indagine per utenti sospetti

Nota

Per informazioni su come visualizzare i profili utente in Microsoft Defender XDR, vedere la documentazione di Microsoft Defender XDR.

Se un avviso o un evento imprevisto indica che un utente potrebbe essere sospetto o compromesso, controllare e analizzare il profilo utente per i dettagli e le attività seguenti:

  • Identità utente

    • L'utente è un utente sensibile (ad esempio amministratore o watchlist e così via)?
    • Qual è il loro ruolo all'interno dell'organizzazione?
    • Sono significativi nell'albero dell'organizzazione?

  • Analizzare le attività sospette, ad esempio:

    • L'utente ha altri avvisi aperti in Defender per identità o in altri strumenti di sicurezza, ad esempio Microsoft Defender per endpoint, Microsoft Defender per il cloud e/o app Microsoft Defender per il cloud?
    • L'utente non è riuscito ad accedere?
    • Quali risorse hanno eseguito l'accesso all'utente?
    • L'utente ha eseguito l'accesso a risorse di valore elevato?
    • L'utente doveva accedere alle risorse a cui ha eseguito l'accesso?
    • A quali dispositivi l'utente ha eseguito l'accesso?
    • L'utente doveva accedere a tali dispositivi?
    • Esiste un percorso di spostamento laterale (LMP) tra l'utente e un utente sensibile?

Usare le risposte a queste domande per determinare se l'account viene compromesso o se le attività sospette implicano azioni dannose.

Trovare le informazioni sull'identità nelle aree seguenti di Microsoft Defender XDR:

  • Pagine dei dettagli delle identità individuali
  • Pagina dei dettagli di singoli avvisi o eventi imprevisti
  • Pagine dei dettagli del dispositivo
  • Query di ricerca avanzate
  • Pagina Centro notifiche

Ad esempio, l'immagine seguente mostra i dettagli in una pagina dei dettagli dell'identità:

Screenshot di una pagina dei dettagli dell'identità.

Dettagli identità

Quando si esamina un'identità specifica, verranno visualizzati i dettagli seguenti in una pagina dei dettagli dell'identità:

Area della pagina Dettagli identità Descrizione
Scheda Panoramica Dati di identità generali, ad esempio il livello di rischio di identità di Microsoft Entra, il numero di dispositivi a cui l'utente ha eseguito l'accesso, quando l'utente è stato visualizzato per la prima e l'ultima volta, gli account dell'utente e informazioni più importanti.

Usare la scheda Panoramica per visualizzare anche grafici per eventi imprevisti e avvisi, il punteggio di priorità di indagine, un albero dell'organizzazione, i tag di entità e una sequenza temporale delle attività con punteggio.
Eventi imprevisti e avvisi Elenca gli eventi imprevisti attivi e gli avvisi che coinvolgono l'utente negli ultimi 180 giorni, inclusi dettagli come la gravità dell'avviso e l'ora di generazione dell'avviso.
Osservato nell'organizzazione Include le aree secondarie seguenti:
- Dispositivi: dispositivi a cui l'identità ha eseguito l'accesso, inclusa la maggior parte e meno usata negli ultimi 180 giorni.
- Località: le posizioni osservate dall'identità negli ultimi 30 giorni.
- Gruppi: tutti i gruppi locali osservati per l'identità.
- Percorsi di spostamento laterale: tutti i percorsi di spostamento laterale profilati dall'ambiente locale.
Sequenza temporale delle identità La sequenza temporale rappresenta le attività e gli avvisi osservati dall'identità di un utente, unificando le voci di identità tra Microsoft Defender per identità, app Microsoft Defender per il cloud e Microsoft Defender per endpoint.

Usare la sequenza temporale per concentrarsi sulle attività eseguite o eseguite da un utente in intervalli di tempo specifici. Selezionare il valore predefinito di 30 giorni per modificare l'intervallo di tempo in un altro valore predefinito o in un intervallo personalizzato.
Azioni correttive Rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Dopo aver eseguito azioni sugli utenti, è possibile controllare i dettagli delle attività nel Centro notifiche di Microsoft Defender XDR **.

Per altre informazioni, vedere Analizzare gli utenti nella documentazione di Microsoft Defender XDR.

Passaggi di indagine per i gruppi sospetti

Se un avviso o un'indagine sugli eventi imprevisti è correlato a un gruppo di Active Directory, controllare l'entità di gruppo per i dettagli e le attività seguenti:

  • Entità gruppo

    • Il gruppo è un gruppo sensibile, ad esempio Domain Amministrazione s?
    • Il gruppo include utenti sensibili?

  • Analizzare le attività sospette, ad esempio:

    • Il gruppo ha altri avvisi correlati aperti in Defender per identità o in altri strumenti di sicurezza, ad esempio Microsoft Defender per endpoint, Microsoft Defender per il cloud e/o app Microsoft Defender per il cloud?
    • Quali utenti sono stati aggiunti o rimossi di recente dal gruppo?
    • Il gruppo è stato sottoposto di recente a query e da chi?

Usare le risposte a queste domande per facilitare l'indagine.

Nel riquadro dei dettagli di un'entità di gruppo selezionare Vai alla ricerca o Apri sequenza temporale per analizzare. È anche possibile trovare informazioni sui gruppi nelle aree di Microsoft Defender XDR seguenti:

  • Pagina dei dettagli di singoli avvisi o eventi imprevisti
  • Pagine dei dettagli del dispositivo o dell'utente
  • Query di ricerca avanzate

Ad esempio, l'immagine seguente mostra la sequenza temporale dell'attività Server Operators , inclusi gli avvisi e le attività correlati degli ultimi 180 giorni:

Screenshot della scheda Sequenza temporale del gruppo.

Passaggi di indagine per i dispositivi sospetti

Gli avvisi di Microsoft Defender XDR elencano tutti i dispositivi e gli utenti connessi a ogni attività sospetta. Selezionare un dispositivo per visualizzare la pagina dei dettagli del dispositivo e quindi esaminare i dettagli e le attività seguenti:

  • Che cosa è successo intorno al momento dell'attività sospetta?

    • Quale utente ha eseguito l'accesso al dispositivo?
    • L'utente accede normalmente o accede al dispositivo di origine o di destinazione?
    • Quali risorse sono state accessibili? Da quali utenti? Se si accede alle risorse, si tratta di risorse ad alto valore?
    • L'utente doveva accedere a tali risorse?
    • L'utente che ha eseguito l'accesso al dispositivo ha eseguito altre attività sospette?

  • Attività più sospette da analizzare:

    • Altri avvisi sono stati aperti nello stesso momento di questo avviso in Defender per identità o in altri strumenti di sicurezza, ad esempio Microsoft Defender per endpoint, Microsoft Defender per il cloud e/o app Microsoft Defender per il cloud?
    • Sono stati rilevati accessi non riusciti?
    • Sono stati distribuiti o installati nuovi programmi?

Usare le risposte a queste domande per determinare se il dispositivo viene compromesso o se le attività sospette implicano azioni dannose.

Ad esempio, l'immagine seguente mostra una pagina dei dettagli del dispositivo:

Screenshot della pagina dei dettagli di un dispositivo.

Per altre informazioni, vedere Analizzare i dispositivi nella documentazione di Microsoft Defender XDR.

Passaggi successivi

Suggerimento

Provare la guida interattiva: Analizzare e rispondere agli attacchi con Microsoft Defender per identità