Страница сущности пользователя в Microsoft Defender
Страница сущности пользователя на портале Microsoft Defender поможет вам в исследовании сущностей пользователей. Страница содержит все важные сведения о данной сущности пользователя. Если оповещение или инцидент указывает на то, что пользователь может быть скомпрометирован или является подозрительным, проверка и исследовать сущность пользователя.
Сведения об сущности пользователя можно найти в следующих представлениях:
- Страница "Удостоверения" в разделе "Ресурсы"
- Очередь оповещений
- Любое отдельное оповещение или инцидент
- Страница "Устройства"
- Страница сущности любого отдельного устройства
- Журнал действий
- Запросы расширенной охоты
- Центр уведомлений
Где бы в этих представлениях ни отображались сущности пользователей, выберите сущность, чтобы просмотреть страницу Пользователь , на которой отображаются дополнительные сведения о пользователе. Например, можно просмотреть сведения об учетных записях пользователей, определенных в оповещениях об инциденте, на портале Microsoft Defender на странице Инциденты & оповещений > Инциденты Инциденты>> Активы > Пользователи.
При изучении конкретной сущности пользователя на странице сущности отображаются следующие вкладки:
- Обзор, включая сведения о сущностях, визуальное представление инцидентов и оповещений, приоритет исследования и оценку временная шкала
- Вкладка "Инциденты и оповещения "
- Наблюдается на вкладке "Организация "
- Вкладка "Временная шкала "
- Вкладка "События Sentinel "
На странице пользователя отображаются Microsoft Entra организации, а также группы, помогающие понять группы и разрешения, связанные с пользователем.
Важно!
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.
Обзор
Сведения о сущности
Панель Сведений о сущности в левой части страницы содержит сведения о пользователе, такие как уровень риска Microsoft Entra удостоверений, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, учетные записи пользователя, группы, к которым принадлежит пользователь, контактные данные и многое другое. Вы увидите другие сведения в зависимости от включенных функций интеграции.
Визуальное представление инцидентов и оповещений
Это карта включает все инциденты и оповещения, связанные с сущностью пользователя, сгруппированные по серьезности.
Приоритет исследования
Это карта включает в себя разбивку вычисляемой оценки приоритета исследования сущности пользователя и двухнедельную тенденцию для этой оценки, включая процентиль оценки по отношению к клиенту.
Элементы управления учетными записями Active Directory
В этом карта отображаются Microsoft Defender для удостоверений параметры безопасности, которые могут потребовать вашего внимания. Вы можете увидеть важные флаги о параметрах учетной записи пользователя, например, если пользователь может нажать клавишу ВВОД, чтобы обойти пароль, если у пользователя есть пароль, срок действия которого не истекает, и т. д.
Дополнительные сведения см. в разделе Флаги контроля учетных записей пользователей.
Оцененные действия
Эта карта включает в себя все действия и оповещения, способствующие оценке приоритета исследования сущности за последние семь дней.
Дерево организации
В этом разделе показано место сущности пользователя в иерархии организации, о чем сообщает Microsoft Defender для удостоверений.
Теги учетной записи
Microsoft Defender для удостоверений извлекает теги из Active Directory, чтобы предоставить вам единый интерфейс для мониторинга пользователей и сущностей Active Directory. Теги предоставляют сведения о сущности из Active Directory и включают:
| Имя | Описание |
|---|---|
| New | Указывает, что сущность была создана менее 30 дней назад. |
| Deleted | Указывает, что сущность была окончательно удалена из Active Directory. |
| Disabled | Указывает, что сущность в настоящее время отключена в Active Directory. Отключенный атрибут — это флаг Active Directory, доступный для учетных записей пользователей, учетных записей компьютеров и других объектов, указывающий на то, что объект в настоящее время не используется. Если объект отключен, его нельзя использовать для входа или выполнения действий в домене. |
| Enabled | Указывает, что сущность в настоящее время включена в Active Directory, указывая, что сущность в настоящее время используется и может использоваться для входа или выполнения действий в домене. |
| Истек срок действия | Указывает, что срок действия сущности истек в Active Directory. По истечении срока действия учетной записи пользователя пользователь больше не сможет войти в домен или получить доступ к каким-либо сетевым ресурсам. Учетная запись с истекшим сроком действия по существу обрабатывается так, как если бы она была отключена, но с явно заданной датой окончания срока действия. Все службы или приложения, доступ к которым у пользователя был разрешен, также могут быть затронуты в зависимости от того, как они настроены. |
| Honeytoken | Указывает, что сущность вручную помечена как honeytoken. |
| Locked | Указывает, что сущность слишком много раз указывала неправильный пароль и теперь заблокирована. |
| Частично | Указывает, что пользователь, устройство или группа не синхронизированы с доменом и частично разрешается через глобальный каталог. В этом случае некоторые атрибуты недоступны. |
| Неразрешенные | Указывает, что устройство не разрешается в допустимое удостоверение в лесу Active Directory. Сведения о каталоге недоступны. |
| Конфиденциально | Указывает, что сущность считается конфиденциальной. |
Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.
Примечание.
Раздел дерева организации и теги учетных записей доступны при наличии лицензии на Microsoft Defender для удостоверений.
Инциденты и оповещения
На этой вкладке отображаются все активные инциденты и оповещения с участием пользователя за последние шесть месяцев. Здесь отображаются все сведения из main очередей инцидентов и оповещений. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.
Вы можете настроить количество отображаемых элементов и столбцы для каждого элемента. По умолчанию выводится список по 30 элементов на странице. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.
Столбец затронутых сущностей относится ко всем сущностям устройства и пользователей, на которые ссылается инцидент или оповещение.
При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.
Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.
Наблюдается в организации
Устройства: в этом разделе отображаются все устройства, на которые вошел пользователь за предыдущие 180 дней, с указанием наиболее и наименее используемых устройств.
Расположения: в этом разделе показаны все наблюдаемые расположения для сущности пользователя за последние 30 дней.
Группы: в этом разделе показаны все наблюдаемые локальные группы для сущности пользователя, как сообщает Microsoft Defender для удостоверений.
Пути бокового перемещения. В этом разделе показаны все профилированные пути бокового перемещения из локальной среды, обнаруженные Defender для удостоверений.
Примечание.
Группы и пути бокового перемещения доступны при наличии лицензии на Microsoft Defender для удостоверений.
Выбор вкладки Боковое движение позволяет просмотреть полностью динамическую и доступную для щелчка карту, на которой можно увидеть пути бокового перемещения пользователя и от пользователя. Злоумышленник может использовать сведения о пути, чтобы проникнуть в сеть.
Карта предоставляет список других устройств или пользователей, которые злоумышленник может использовать для компрометации конфиденциальной учетной записи. Если у пользователя есть конфиденциальная учетная запись, можно увидеть, сколько ресурсов и учетных записей подключено напрямую.
Отчет по пути бокового смещения, который можно просмотреть по дате, всегда доступен для предоставления сведений о потенциальных обнаруженных путях бокового смещения и может быть настроен по времени. Выберите другую дату с помощью команды Просмотреть другую дату , чтобы просмотреть предыдущие пути бокового смещения, найденные для сущности. Диаграмма отображается только в том случае, если за последние два дня для сущности обнаружен потенциальный путь бокового смещения.
Временная шкала
В временная шкала отображаются действия пользователей и оповещения, наблюдаемые из удостоверения пользователя за последние 30 дней. Он объединяет записи удостоверений пользователя для рабочих нагрузок Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки. Используя временная шкала, вы можете сосредоточиться на действиях, которые пользователь выполнил или выполнял в определенные сроки.
Чтобы пользователи единой платформы SOC могли просматривать оповещения из Microsoft Sentinel на основе источников данных, отличных от тех, которые указаны в предыдущем абзаце, они могут найти эти оповещения и другую информацию на вкладке События Sentinel , описанной ниже.
Настраиваемое средство выбора диапазона времени: Вы можете выбрать период времени, чтобы сосредоточиться на последних 24 часах, последних 3 днях и т. д. Или можно выбрать определенный период времени, щелкнув Настраиваемый диапазон. Например:
Фильтры временной шкалы: Чтобы улучшить работу с исследованием, можно использовать фильтры временная шкала: Тип (оповещения и(или) действия пользователя), Серьезность оповещений, Тип действия, Приложение, Расположение, Протокол. Каждый фильтр зависит от других, а параметры в каждом фильтре (раскрывающемся списке) содержат только данные, относящиеся к конкретному пользователю.
Кнопка экспорта: Вы можете экспортировать временная шкала в CSV-файл. Экспорт ограничен первыми 5000 записями и содержит данные, отображаемые в пользовательском интерфейсе (те же фильтры и столбцы).
Настраиваемые столбцы: Чтобы выбрать столбцы для предоставления в временная шкала, нажмите кнопку Настроить столбцы. Например:
Какие типы данных доступны?
В временная шкала доступны следующие типы данных:
- Затронутые оповещения пользователя
- Действия Active Directory и Microsoft Entra
- События облачных приложений
- События входа устройства
- Изменения служб каталогов
Какая информация отображается?
В временная шкала отображаются следующие сведения:
- Дата и время действия
- Описание действий или оповещений
- Приложение, выполняющее действие
- Исходное устройство или IP-адрес
- Методы CK&MITRE ATT
- Серьезность и состояние оповещений
- Страна или регион, в которых ip-адрес клиента геолокационирован
- Протокол, используемый во время обмена данными
- Целевое устройство (необязательно, просматривается путем настройки столбцов)
- Количество случаев выполнения действия (необязательное, просматриваемое путем настройки столбцов)
Например:
Примечание.
Microsoft Defender XDR может отображать сведения о дате и времени с помощью местного часового пояса или utc. Выбранный часовой пояс будет применяться ко всем сведениям о дате и времени, отображаемым в временная шкала удостоверений.
Чтобы задать часовой пояс для этих функций, перейдите в раздел Параметры>Центр> безопасностиЧасовой пояс.
События Sentinel
Если ваша организация подключена к microsoft Sentinel на портале Defender, эта дополнительная вкладка находится на странице сущности пользователя. Эта вкладка импортирует страницу сущности учетная запись из Microsoft Sentinel.
Временная шкала Sentinel
В этом временная шкала отображаются оповещения, связанные с сущностью пользователя. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения , а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.
В этом временная шкала также отображаются охоты на закладки из других исследований, которые ссылаются на эту сущность пользователя, события активности пользователей из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.
Insights
Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о вашей сущности пользователя, предоставляя ценные сведения о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают данные о входах, добавлении групп, аномальных событиях и т. д., а также расширенные алгоритмы машинного обучения для обнаружения аномального поведения.
Ниже приведены некоторые аналитические сведения.
- Одноранговые узлы пользователей на основе членства в группах безопасности.
- Действия по учетной записи.
- Действия с учетной записью.
- Журналы событий, очищенные пользователем.
- Добавление групп.
- Аномально большое число офисных операций.
- Доступ к ресурсам.
- Количество результатов входа в Azure с аномально высоким уровнем.
- Аналитика UEBA.
- Разрешения доступа пользователей к подпискам Azure.
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка просмотров (предварительная версия).
- Действия входа в Windows.
Аналитические сведения основаны на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (агент Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.
Действия по исправлению
На странице Обзор можно выполнить следующие дополнительные действия:
- Включение, отключение или приостановка пользователя в Microsoft Entra ID
- Указание пользователя на выполнение определенных действий, например требование повторного входа пользователя или принудительное сброс пароля
- Сброс оценки приоритета исследования для пользователя
- Просмотр параметров учетной записи Microsoft Entra, связанного управления, файлов, принадлежащих пользователю, или общих файлов пользователя
Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.
Дальнейшие действия
При необходимости для внутрипроцессных инцидентов продолжайте расследование.
См. также
- Обзор инцидентов
- Управление приоритетом инцидентов
- Управление инцидентами
- Обзор Microsoft Defender XDR
- Включение Microsoft Defender XDR
- Страница сущности устройства в Microsoft Defender
- Страница сущности IP-адреса в Microsoft Defender
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Подключение Microsoft Sentinel к Microsoft Defender XDR (предварительная версия)
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по