Страница сущности пользователя в Microsoft Defender

Страница сущности пользователя на портале Microsoft Defender поможет вам в исследовании сущностей пользователей. Страница содержит все важные сведения о данной сущности пользователя. Если оповещение или инцидент указывает на то, что пользователь может быть скомпрометирован или является подозрительным, проверка и исследовать сущность пользователя.

Сведения об сущности пользователя можно найти в следующих представлениях:

  • Страница "Удостоверения" в разделе "Ресурсы"
  • Очередь оповещений
  • Любое отдельное оповещение или инцидент
  • Страница "Устройства"
  • Страница сущности любого отдельного устройства
  • Журнал действий
  • Запросы расширенной охоты
  • Центр уведомлений

Где бы в этих представлениях ни отображались сущности пользователей, выберите сущность, чтобы просмотреть страницу Пользователь , на которой отображаются дополнительные сведения о пользователе. Например, можно просмотреть сведения об учетных записях пользователей, определенных в оповещениях об инциденте, на портале Microsoft Defender на странице Инциденты & оповещений > Инциденты Инциденты>> Активы > Пользователи.

Снимок экрана: страница

При изучении конкретной сущности пользователя на странице сущности отображаются следующие вкладки:

На странице пользователя отображаются Microsoft Entra организации, а также группы, помогающие понять группы и разрешения, связанные с пользователем.

Важно!

Microsoft Sentinel теперь общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Обзор

Сведения о сущности

Панель Сведений о сущности в левой части страницы содержит сведения о пользователе, такие как уровень риска Microsoft Entra удостоверений, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, учетные записи пользователя, группы, к которым принадлежит пользователь, контактные данные и многое другое. Вы увидите другие сведения в зависимости от включенных функций интеграции.

Визуальное представление инцидентов и оповещений

Это карта включает все инциденты и оповещения, связанные с сущностью пользователя, сгруппированные по серьезности.

Приоритет исследования

Это карта включает в себя разбивку вычисляемой оценки приоритета исследования сущности пользователя и двухнедельную тенденцию для этой оценки, включая процентиль оценки по отношению к клиенту.

Элементы управления учетными записями Active Directory

В этом карта отображаются Microsoft Defender для удостоверений параметры безопасности, которые могут потребовать вашего внимания. Вы можете увидеть важные флаги о параметрах учетной записи пользователя, например, если пользователь может нажать клавишу ВВОД, чтобы обойти пароль, если у пользователя есть пароль, срок действия которого не истекает, и т. д.

Дополнительные сведения см. в разделе Флаги контроля учетных записей пользователей.

Оцененные действия

Эта карта включает в себя все действия и оповещения, способствующие оценке приоритета исследования сущности за последние семь дней.

Дерево организации

В этом разделе показано место сущности пользователя в иерархии организации, о чем сообщает Microsoft Defender для удостоверений.

Теги учетной записи

Microsoft Defender для удостоверений извлекает теги из Active Directory, чтобы предоставить вам единый интерфейс для мониторинга пользователей и сущностей Active Directory. Теги предоставляют сведения о сущности из Active Directory и включают:

Имя Описание
New Указывает, что сущность была создана менее 30 дней назад.
Deleted Указывает, что сущность была окончательно удалена из Active Directory.
Disabled Указывает, что сущность в настоящее время отключена в Active Directory. Отключенный атрибут — это флаг Active Directory, доступный для учетных записей пользователей, учетных записей компьютеров и других объектов, указывающий на то, что объект в настоящее время не используется.

Если объект отключен, его нельзя использовать для входа или выполнения действий в домене.
Enabled Указывает, что сущность в настоящее время включена в Active Directory, указывая, что сущность в настоящее время используется и может использоваться для входа или выполнения действий в домене.
Истек срок действия Указывает, что срок действия сущности истек в Active Directory. По истечении срока действия учетной записи пользователя пользователь больше не сможет войти в домен или получить доступ к каким-либо сетевым ресурсам. Учетная запись с истекшим сроком действия по существу обрабатывается так, как если бы она была отключена, но с явно заданной датой окончания срока действия.

Все службы или приложения, доступ к которым у пользователя был разрешен, также могут быть затронуты в зависимости от того, как они настроены.
Honeytoken Указывает, что сущность вручную помечена как honeytoken.
Locked Указывает, что сущность слишком много раз указывала неправильный пароль и теперь заблокирована.
Частично Указывает, что пользователь, устройство или группа не синхронизированы с доменом и частично разрешается через глобальный каталог. В этом случае некоторые атрибуты недоступны.
Неразрешенные Указывает, что устройство не разрешается в допустимое удостоверение в лесу Active Directory. Сведения о каталоге недоступны.
Конфиденциально Указывает, что сущность считается конфиденциальной.

Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.

Примечание.

Раздел дерева организации и теги учетных записей доступны при наличии лицензии на Microsoft Defender для удостоверений.

Снимок экрана: страница определенного пользователя на портале Microsoft Defender

Инциденты и оповещения

На этой вкладке отображаются все активные инциденты и оповещения с участием пользователя за последние шесть месяцев. Здесь отображаются все сведения из main очередей инцидентов и оповещений. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.

Вы можете настроить количество отображаемых элементов и столбцы для каждого элемента. По умолчанию выводится список по 30 элементов на странице. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.

Столбец затронутых сущностей относится ко всем сущностям устройства и пользователей, на которые ссылается инцидент или оповещение.

При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.

Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.

Снимок экрана: оповещения, связанные с учетной записью пользователя, на вкладке Оповещения на портале Microsoft Defender

Наблюдается в организации

  • Устройства: в этом разделе отображаются все устройства, на которые вошел пользователь за предыдущие 180 дней, с указанием наиболее и наименее используемых устройств.

  • Расположения: в этом разделе показаны все наблюдаемые расположения для сущности пользователя за последние 30 дней.

  • Группы: в этом разделе показаны все наблюдаемые локальные группы для сущности пользователя, как сообщает Microsoft Defender для удостоверений.

  • Пути бокового перемещения. В этом разделе показаны все профилированные пути бокового перемещения из локальной среды, обнаруженные Defender для удостоверений.

Примечание.

Группы и пути бокового смещения доступны при наличии лицензии на Microsoft Defender для удостоверений.

Выбор вкладки Боковое движение позволяет просмотреть полностью динамическую и доступную для щелчка карту, на которой можно увидеть пути бокового перемещения пользователя и от пользователя. Злоумышленник может использовать сведения о пути, чтобы проникнуть в сеть.

Карта предоставляет список других устройств или пользователей, которые злоумышленник может использовать для компрометации конфиденциальной учетной записи. Если у пользователя есть конфиденциальная учетная запись, можно увидеть, сколько ресурсов и учетных записей подключено напрямую.

Отчет по пути бокового смещения, который можно просмотреть по дате, всегда доступен для предоставления сведений о потенциальных обнаруженных путях бокового смещения и может быть настроен по времени. Выберите другую дату с помощью команды Просмотреть другую дату , чтобы просмотреть предыдущие пути бокового смещения, найденные для сущности. Диаграмма отображается только в том случае, если за последние два дня для сущности обнаружен потенциальный путь бокового смещения.

Снимок экрана: представление

Временная шкала

В временная шкала отображаются действия пользователей и оповещения, наблюдаемые из удостоверения пользователя за последние 180 дней. Он объединяет записи удостоверений пользователя для рабочих нагрузок Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки. Используя временная шкала, вы можете сосредоточиться на действиях, которые пользователь выполнил или выполнял в определенные сроки.

Чтобы пользователи единой платформы SOC могли просматривать оповещения из Microsoft Sentinel на основе источников данных, отличных от источников данных, приведенных в предыдущем абзаце, они могут найти эти оповещения и другую информацию на вкладке события Sentinel, описанной ниже.

  • Настраиваемое средство выбора диапазона времени: Вы можете выбрать период времени, чтобы сосредоточиться на последних 24 часах, последних 3 днях и т. д. Или можно выбрать определенный период времени, щелкнув Настраиваемый диапазон. Отфильтрованные данные старше 30 дней отображаются с интервалом в семь дней.
    Например:

    Снимок экрана: выбор интервала времени.

  • Фильтры временной шкалы: Чтобы улучшить работу с исследованием, можно использовать фильтры временная шкала: Тип (оповещения и(или) действия пользователя), Серьезность оповещений, Тип действия, Приложение, Расположение, Протокол. Каждый фильтр зависит от других, а параметры в каждом фильтре (раскрывающемся списке) содержат только данные, относящиеся к конкретному пользователю.

  • Кнопка экспорта: Вы можете экспортировать временная шкала в CSV-файл. Экспорт ограничен первыми 5000 записями и содержит данные, отображаемые в пользовательском интерфейсе (те же фильтры и столбцы).

  • Настраиваемые столбцы: Чтобы выбрать столбцы для предоставления в временная шкала, нажмите кнопку Настроить столбцы. Например:

    Снимок экрана: изображение пользователя.

Какие типы данных доступны?

В временная шкала доступны следующие типы данных:

  • Затронутые оповещения пользователя
  • Действия Active Directory и Microsoft Entra
  • События облачных приложений
  • События входа устройства
  • Изменения служб каталогов

Какая информация отображается?

В временная шкала отображаются следующие сведения:

  • Дата и время действия
  • Описание действий или оповещений
  • Приложение, выполняющее действие
  • Исходное устройство или IP-адрес
  • Методы CK&MITRE ATT
  • Серьезность и состояние оповещений
  • Страна или регион, в которых ip-адрес клиента геолокационирован
  • Протокол, используемый во время обмена данными
  • Целевое устройство (необязательно, просматривается путем настройки столбцов)
  • Количество случаев выполнения действия (необязательное, просматриваемое путем настройки столбцов)

Например:

Снимок экрана: вкладка

Примечание.

Microsoft Defender XDR может отображать сведения о дате и времени с помощью местного часового пояса или utc. Выбранный часовой пояс будет применяться ко всем сведениям о дате и времени, отображаемым в временная шкала удостоверений.

Чтобы задать часовой пояс для этих функций, перейдите в раздел Параметры>Центр> безопасностиЧасовой пояс.

события Sentinel

Если ваша организация подключена Microsoft Sentinel к порталу Defender, эта дополнительная вкладка находится на странице сущности пользователя. Эта вкладка импортирует страницу сущности учетная запись из Microsoft Sentinel.

Sentinel временная шкала

В этом временная шкала отображаются оповещения, связанные с сущностью пользователя. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения, а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.

В этом временная шкала также показаны поиски закладок из других исследований, которые ссылаются на эту сущность пользователя, события активности пользователей из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.

Insights

Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о вашей сущности пользователя, предоставляя ценные сведения о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают данные о входах, добавлении групп, аномальных событиях и т. д., а также расширенные алгоритмы машинного обучения для обнаружения аномального поведения.

Ниже приведены некоторые аналитические сведения.

  • Одноранговые узлы пользователей на основе членства в группах безопасности.
  • Действия по учетной записи.
  • Действия с учетной записью.
  • Журналы событий, очищенные пользователем.
  • Добавление групп.
  • Аномально большое число офисных операций.
  • Доступ к ресурсам.
  • Количество результатов входа в Azure с аномально высоким уровнем.
  • Аналитика UEBA.
  • Разрешения доступа пользователей к подпискам Azure.
  • Индикаторы угроз, связанные с пользователем.
  • Аналитика списка просмотров (предварительная версия).
  • Действия входа в Windows.

Аналитические сведения основаны на следующих источниках данных:

  • Системный журнал (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (агент Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Снимок экрана: вкладка событий Sentinel на странице сущности пользователя.

Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.

Снимок экрана: экран расширенной охоты с запросом аналитических сведений.

Действия по исправлению

На странице Обзор можно выполнить следующие дополнительные действия:

  • Включение, отключение или приостановка пользователя в Microsoft Entra ID
  • Указание пользователя на выполнение определенных действий, например требование повторного входа пользователя или принудительное сброс пароля
  • Сброс оценки приоритета исследования для пользователя
  • Просмотр параметров учетной записи Microsoft Entra, связанного управления, файлов, принадлежащих пользователю, или общих файлов пользователя

Снимок экрана: действия по исправлению для пользователя на портале Microsoft Defender

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.

Дальнейшие действия

При необходимости для внутрипроцессных инцидентов продолжайте расследование.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.