Zelf studie: een entiteit onderzoekenTutorial: Investigate an entity

Notitie

De Micro soft Defender voor identiteitMicrosoft Defender for Identity functies die op deze pagina worden beschreven, zijn ook toegankelijk via de nieuwe Portal.The Micro soft Defender voor identiteitMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

In deze zelf studie leert u hoe u entiteiten kunt onderzoeken die zijn verbonden met verdachte activiteiten gedetecteerd door Micro soft Defender voor identiteitMicrosoft Defender for Identity .In this tutorial you'll learn how to investigate entities connected to suspicious activities detected by Micro soft Defender voor identiteitMicrosoft Defender for Identity. Nadat u een beveiligings waarschuwing in de tijd lijn hebt bekeken, leert u hoe u kunt inzoomen op de entiteit die bij de waarschuwing betrokken is en gebruikt u de volgende para meters en Details voor meer informatie over wat er is gebeurd en wat u nodig hebt om Risico's te beperken.After viewing a security alert in the timeline, you'll learn how to drill down into the entity involved in the alert, and use the following parameters and details to learn more about what happened and what you need to do to mitigate risk.

  • Het entiteits profiel controlerenCheck the entity profile
  • Entiteits codes controlerenCheck entity tags
  • Gebruikers account besturings vlaggen controlerenCheck user account control flags
  • Kruis controle met Windows DefenderCross-check with Windows Defender
  • Blijf op de hoogte van gevoelige gebruikers en groepenKeep an eye on sensitive users and groups
  • Mogelijke paden voor een zijdelingse verplaatsing controlerenReview potential lateral movement paths
  • Status van honeytoken controlerenCheck honeytoken status

Het entiteits profiel controlerenCheck the entity profile

Het entiteits profiel biedt u een uitgebreide entiteits pagina die is ontworpen voor een volledig grondige onderzoek van gebruikers, computers, apparaten en de resources waartoe ze toegang hebben, samen met hun geschiedenis.The entity profile provides you with a comprehensive entity page, designed for full deep-dive investigation of users, computers, devices, and the resources they have access to along with their history. Op de profiel pagina wordt gebruikgemaakt van de nieuwe Defender voor identiteitDefender for Identity conversie van logische activiteiten die een groep activiteiten kan bekijken (samengevoegd tot een minuut) en deze kunt groeperen in één logische activiteit, zodat u een beter inzicht krijgt in de werkelijke activiteiten van uw gebruikers.The profile page takes advantage of the new Defender voor identiteitDefender for Identity logical activity translator that can look at a group of activities occurring (aggregated up to a minute) and group them into a single logical activity to give you a better understanding of the actual activities of your users.

Als u toegang wilt krijgen tot een entiteits profiel pagina, klikt u op de naam van de entiteit, zoals een gebruikers naam, in de tijd lijn van de beveiligings waarschuwing.To access an entity profile page, click on the name of the entity, such as a username, in the security alert timeline. U kunt ook een mini versie van het entiteits profiel zien op de pagina beveiligings waarschuwing door te bewegen over de naam van de entiteit.You can also see a mini-version of the entity profile in the security alert page by hovering over the entity name.

Met het entiteits profiel kunt u entiteits activiteiten weer geven, Directory gegevens weer geven en paden voor een zijdelingse verplaatsing voor de entiteit weer geven.The entity profile lets you view entity activities, view directory data, and view lateral movement paths for the entity. Zie Wat zijn entiteits profielen ? voor meer informatie over entiteiten.For more information about entities, see Understanding entity profiles .

Entiteits codes controlerenCheck entity tags

Defender voor identiteitDefender for Identity haalt Tags uit Active Directory om u een enkele interface te geven voor het bewaken van uw Active Directory gebruikers en entiteiten.Defender voor identiteitDefender for Identity pulls tags out of Active Directory to give you a single interface for monitoring your Active Directory users and entities. Deze Tags bieden u informatie over de entiteit uit Active Directory, waaronder:These tags provide you with information about the entity from Active Directory, including:

  • Gedeeltelijk: deze gebruiker, computer of groep is niet gesynchroniseerd vanuit het domein en is gedeeltelijk omgezet via een globale catalogus.Partial: This user, computer or group was not synced from the domain, and was partially resolved via a global catalog. Sommige kenmerken zijn niet beschikbaar.Some attributes are not available.
  • Niet opgelost: deze computer is niet omgezet naar een geldige entiteit in het Active Directory-forest.Unresolved: This computer was not resolved to a valid entity in the active directory forest. Er is geen directory-informatie beschikbaar.No directory information is available.
  • Verwijderd: de entiteit is verwijderd uit Active Directory.Deleted: The entity was deleted from Active Directory.
  • Uitgeschakeld: de entiteit is uitgeschakeld in Active Directory.Disabled: The entity is disabled in Active Directory.
  • Vergrendeld: de entiteit heeft te vaak een onjuist wacht woord ingevoerd en is vergrendeld.Locked: The entity entered a wrong password too many times and is locked.
  • Verlopen: de entiteit is verlopen in Active Directory.Expired: The entity is expired in Active Directory.
  • Nieuw: de entiteit is minder dan 30 dagen geleden gemaakt.New: The entity was created less than 30 days ago.

Gebruikers account besturings vlaggen controlerenCheck user account control flags

De vlaggen voor Gebruikersaccountbeheer worden ook geïmporteerd uit Active Directory.The user account control flags are also imported from Active Directory. Defender voor identiteitDefender for Identity de gegevens van de entiteits lijst bevatten tien vlaggen die effectief zijn voor onderzoek:Defender voor identiteitDefender for Identity entity directory data includes 10 flags that are effective for investigation:

  • Wacht woord verloopt nooitPassword never expires
  • Vertrouwd voor delegeringTrusted for delegation
  • Smart Card vereistSmartcard required
  • Wacht woord is verlopenPassword expired
  • Leeg wacht woord toegestaanEmpty password allowed
  • Wacht woord voor onbewerkte tekst opgeslagenPlain text password stored
  • Kan niet worden overgedragenCannot be delegated
  • Alleen DES-versleutelingDES encryption only
  • Verificatie vooraf van Kerberos is niet vereistKerberos pre-authentication not required
  • Account uitgeschakeldAccount disabled

Defender voor identiteitDefender for Identity Hiermee weet u of deze vlaggen in Azure Active Directory zijn in-of uitgeschakeld.Defender voor identiteitDefender for Identity lets you know if these flags are On or Off in Azure Active Directory. Gekleurde pictogrammen en de bijbehorende wissel knop geven de status van elke markering aan.Colored icons and the corresponding toggle indicate the status of each flag. In het onderstaande voor beeld is alleen wacht woord verloopt nooit in Active Directory.In the example below, only Password never expires is On in Active Directory.

vlaggen voor Gebruikersaccountbeheer

Kruis controle met Windows DefenderCross-check with Windows Defender

Om u te voorzien van verschillende product inzichten, biedt uw entiteits profiel entiteiten die open waarschuwingen hebben in Windows Defender met een badge.To provide you with cross-product insights, your entity profile provides entities that have open alerts in Windows Defender with a badge. Met deze badge kunt u zien hoeveel openstaande waarschuwingen de entiteit heeft in Windows Defender en wat hun ernst niveau is.This badge lets you know how many open alerts the entity has in Windows Defender, and what their severity level is. Klik op de badge om rechtstreeks naar de waarschuwingen met betrekking tot deze entiteit in Windows Defender te gaan.Click on the badge to go directly to the alerts related to this entity in Windows Defender.

Blijf op de hoogte van gevoelige gebruikers en groepenKeep an eye on sensitive users and groups

Defender voor identiteitDefender for Identity Hiermee worden gebruikers-en groeps gegevens uit Azure Active Directory geïmporteerd, waardoor u kunt bepalen welke gebruikers automatisch worden beschouwd als gevoelig omdat ze lid zijn van de volgende groepen in Active Directory:Defender voor identiteitDefender for Identity imports user and group information from Azure Active Directory, enabling you to identify which users are automatically considered sensitive because they are members of the following groups in Active Directory:

  • BeheerdersAdministrators
  • HoofdgebruikersPower Users
  • AccountoperatorsAccount Operators
  • ServeroperatorsServer Operators
  • PrintoperatorsPrint Operators
  • Back-upoperatorsBackup Operators
  • ReplicatorsReplicators
  • Extern bureaublad-gebruikersRemote Desktop Users
  • Network Configuration OperatorsNetwork Configuration Operators
  • Builders van binnenkomende forestvertrouwensrelatiesIncoming Forest Trust Builders
  • DomeinadministratorsDomain Admins
  • DomeincontrollersDomain Controllers
  • Maker Eigenaars GroepsbeleidGroup Policy Creator Owners
  • alleen-lezen domein controllersread-only Domain Controllers
  • Alleen-lezen domein controllers op ondernemings niveauEnterprise Read-only Domain Controllers
  • Schema-AdministratorsSchema Admins
  • OndernemingsadministratorsEnterprise Admins

Daarnaast kunt u entiteiten hand matig als vertrouwelijk labelen Defender voor identiteitDefender for Identity .In addition, you can manually tag entities as sensitive within Defender voor identiteitDefender for Identity. Dit is belang rijk omdat sommige Defender voor identiteitDefender for Identity detecties, zoals de detectie van gevoelige groeps wijzigingen en het pad voor de zijdelingse verplaatsing, afhankelijk zijn van de gevoeligheids status van een entiteit.This is important because some Defender voor identiteitDefender for Identity detections, such as sensitive group modification detection and lateral movement path, rely on an entity's sensitivity status. Als u hand matig extra gebruikers of groepen als gevoelig labelt, zoals leden van het bord, leidinggevenden van het bedrijf en verkoop managers, Defender voor identiteitDefender for Identity beschouwt u ze vertrouwelijk.If you manually tag additional users or groups as sensitive, such as board members, company executives, and sales directors, Defender voor identiteitDefender for Identity will consider them sensitive. Zie werken met gevoelige accountsvoor meer informatie.For more information, see Working with sensitive accounts.

Paden voor zijdelingse verplaatsing bekijkenReview lateral movement paths

Defender voor identiteitDefender for Identity kan u helpen bij het voor komen van aanvallen die gebruikmaken van paden met een zijdelingse verplaatsing.Defender voor identiteitDefender for Identity can help you prevent attacks that use lateral movement paths. De zijdelingse verplaatsing is wanneer een aanvaller een proactief gebruik maakt van niet-gevoelige accounts om toegang te krijgen tot gevoelige accounts.Lateral movement is when an attacker proactively uses non-sensitive accounts to gain access to sensitive accounts.

Als er een pad naar de zijdelingse verplaatsing voor een entiteit bestaat, kunt u op de pagina entiteits profiel op het tabblad paden voor zijdelingse verplaatsing klikken. In het diagram dat wordt weer gegeven, krijgt u een overzicht van de mogelijke paden voor uw gevoelige gebruiker.If a lateral movement path exists for an entity, in the entity profile page, you will be able to click the Lateral movement paths tab. The diagram that is displayed provides you with a map of the possible paths to your sensitive user.

Zie paden voor zijdelingse verplaatsing onderzoeken met Defender voor identiteitDefender for Identity voor meer informatie.For more information, see Investigating lateral movement paths with Defender voor identiteitDefender for Identity.

Status van honeytoken controlerenCheck honeytoken status

Voordat u met uw onderzoek verdergaat, is het belang rijk te weten of de entiteit een honeytoken is.Before you move on with your investigation, it's important to know if the entity is a honeytoken. U kunt accounts en entiteiten als honeytokens labelen in Defender voor identiteitDefender for Identity .You can tag accounts and entities as honeytokens in Defender voor identiteitDefender for Identity. Wanneer u het entiteits profiel of mini Profiel van een account of entiteit opent dat u als een honeytoken hebt gelabeld, wordt de honeytoken badge weer geven.When you open the entity profile or mini-profile of an account or entity you tagged as a honeytoken, you will see the honeytoken badge. Bij het onderzoeken van het honeytoken badge wordt u gewaarschuwd dat de activiteit onder controle is uitgevoerd door een account dat u als een honeytoken hebt gelabeld.When investigating, the honeytoken badge alerts you that the activity under review was performed by an account that you tagged as a honeytoken.

Zie ookSee also