Sidan Användarentitet i Microsoft Defender

Entitetssidan för användare i Microsoft Defender-portalen hjälper dig att undersöka användarentiteter. Sidan innehåller all viktig information om en viss användarentitet. Om en avisering eller incident indikerar att en användare kan ha komprometterats eller är misstänkt kontrollerar du och undersöker användarentiteten.

Du hittar information om användarentitet i följande vyer:

  • Sidan Identiteter under Tillgångar
  • Varningskö
  • Varje enskild avisering/incident
  • Sidan Enheter
  • En enskild enhetsentitetssida
  • Aktivitetslogg
  • Avancerade jaktfrågor
  • Åtgärdscenter

Oavsett var användarentiteter visas i dessa vyer väljer du entiteten för att visa sidan Användare , som visar mer information om användaren. Du kan till exempel se information om användarkonton som identifieras i aviseringarna för en incident i Microsoft Defender-portalen på Incidenter & aviseringar >Incidentincidenter>> Användare av tillgångar>.

Skärmbild av sidan Användare för en incident i Microsoft Defender-portalen.

När du undersöker en specifik användarentitet visas följande flikar på dess entitetssida:

På användarsidan visas Microsoft Entra organisation samt grupper som hjälper dig att förstå de grupper och behörigheter som är associerade med en användare.

Viktigt

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts enhetliga säkerhetsplattform i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Översikt

Entitetsinformation

Panelen Entitetsinformation till vänster på sidan innehåller information om användaren, till exempel Microsoft Entra identitetsrisknivå, antalet enheter som användaren är inloggad på, när användaren först och senast sågs, användarens konton, grupper som användaren tillhör, kontaktinformation med mera. Du ser annan information beroende på vilka integreringsfunktioner du har aktiverat.

Visuell vy över incidenter och aviseringar

Det här kortet innehåller alla incidenter och aviseringar som är associerade med användarentiteten, grupperade efter allvarlighetsgrad.

Undersökningsprioritet

Det här kortet innehåller användarentitetens beräknade analys av prioritetspoäng och en trend på två veckor för den poängen, inklusive percentilen av poängen i förhållande till klientorganisationen.

Active Directory-kontokontroller

Det här kortet innehåller Microsoft Defender for Identity säkerhetsinställningar som kan behöva din uppmärksamhet. Du kan se viktiga flaggor om användarens kontoinställningar, till exempel om användaren kan trycka på Retur för att kringgå lösenordet, och om användaren har ett lösenord som aldrig upphör att gälla osv.

Mer information finns i Flaggor för kontroll av användarkonton.

Poängsatta aktiviteter

Det här kortet innehåller alla aktiviteter och aviseringar som bidrar till entitetens undersökningsprioritetspoäng under de senaste sju dagarna.

Organisationsträd

Det här avsnittet visar användarentitetens plats i organisationshierarkin enligt Microsoft Defender for Identity.

Kontotaggar

Microsoft Defender for Identity hämtar taggar från Active Directory för att ge dig ett enda gränssnitt för övervakning av dina Active Directory-användare och -entiteter. Taggar ger dig information från Active Directory om entiteten och inkluderar:

Namn Beskrivning
Ny Anger att entiteten skapades för mindre än 30 dagar sedan.
Borttagen Anger att entiteten togs bort permanent från Active Directory.
Inaktiverad Anger att entiteten för närvarande är inaktiverad i Active Directory. Det inaktiverade attributet är en Active Directory-flagga som är tillgänglig för användarkonton, datorkonton och andra objekt för att indikera att objektet inte används för närvarande.

När ett objekt är inaktiverat kan det inte användas för att logga in eller utföra åtgärder i domänen.
Aktiverat Anger att entiteten för närvarande är aktiverad i Active Directory, vilket anger att entiteten används för närvarande och kan användas för att logga in eller utföra åtgärder i domänen.
Förfallen Anger att entiteten har upphört att gälla i Active Directory. När ett användarkonto har upphört att gälla kan användaren inte längre logga in på domänen eller komma åt några nätverksresurser. Det utgångna kontot behandlas i princip som om det var inaktiverat, men med ett uttryckligt utgångsdatum angivet.

Alla tjänster eller program som användaren har behörighet att komma åt kan också påverkas, beroende på hur de konfigureras.
Honeytoken Anger att entiteten är manuellt taggad som en honeytoken.
Låst Anger att entiteten angav fel lösenord för många gånger och nu är låst.
Partiell Anger att användaren, enheten eller gruppen inte är synkroniserad med domänen och delvis matchas via en global katalog. I det här fallet är vissa attribut inte tillgängliga.
Olöst Anger att enheten inte matchar en giltig identitet i Active Directory-skogen. Ingen kataloginformation är tillgänglig.
Känslig Anger att entiteten anses vara känslig.

Mer information finns i Entitetstaggar för Defender for Identity i Microsoft Defender XDR.

Obs!

Avsnittet organisationsträd och kontotaggar är tillgängliga när en Microsoft Defender for Identity licens är tillgänglig.

Skärmbild av en specifik användares sida i Microsoft Defender-portalen

Incidenter och aviseringar

Du kan se alla aktiva incidenter och aviseringar som involverar användaren från de senaste sex månaderna på den här fliken. All information från huvudköerna för incidenter och aviseringar visas här. Den här listan är en filtrerad version av incidentkön och visar en kort beskrivning av incidenten eller aviseringen, dess allvarlighetsgrad (hög, medel, låg, information), dess status i kön (ny, pågår, löst), dess klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori, vem som har tilldelats att åtgärda den och senaste aktivitet observerad.

Du kan anpassa antalet objekt som visas och vilka kolumner som visas för varje objekt. Standardbeteendet är att visa 30 objekt per sida. Du kan också filtrera aviseringarna efter allvarlighetsgrad, status eller någon annan kolumn i visningen.

Kolumnen påverkade entiteter refererar till alla enheter och användarentiteter som refereras i incidenten eller aviseringen.

När en incident eller avisering har valts visas en utfällning. I den här panelen kan du hantera incidenten eller aviseringen och visa mer information, till exempel incident-/aviseringsnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.

Om du vill se en helsidesvy över en incident eller avisering väljer du dess rubrik.

Skärmbild av användarkontots relaterade aviseringar som visas på fliken Aviseringar i Microsoft Defender-portalen

Observeras i organisationen

  • Enheter: Det här avsnittet visar alla enheter som användarentiteten loggade in på under de senaste 180 dagarna, vilket anger de mest och minst använda.

  • Platser: Det här avsnittet visar alla observerade platser för användarentiteten under de senaste 30 dagarna.

  • Grupper: Det här avsnittet visar alla observerade lokala grupper för användarentiteten, enligt Microsoft Defender for Identity.

  • Laterala rörelsevägar: Det här avsnittet visar alla profilerade laterala förflyttningsvägar från den lokala miljön, vilket identifieras av Defender för identitet.

Obs!

Grupper och laterala förflyttningsvägar är tillgängliga när en Microsoft Defender for Identity licens är tillgänglig.

Om du väljer fliken Laterala rörelser kan du visa en helt dynamisk och klickbar karta där du kan se de laterala rörelsevägarna till och från en användare. En angripare kan använda sökvägsinformationen för att infiltrera nätverket.

Kartan innehåller en lista över andra enheter eller användare som en angripare kan dra nytta av för att kompromettera ett känsligt konto. Om användaren har ett känsligt konto kan du se hur många resurser och konton som är direkt anslutna.

Rapporten för lateral förflyttningssökväg, som kan visas efter datum, är alltid tillgänglig för att ge information om potentiella laterala rörelsevägar som identifieras och kan anpassas efter tid. Välj ett annat datum med visa ett annat datum för att visa tidigare laterala förflyttningssökvägar som hittats för en entitet. Diagrammet visar bara om en potentiell lateral förflyttningsväg har hittats för en entitet under de senaste två dagarna.

Skärmbild av vyn Observerad i organisationen som visar sökvägar för enhet, grupp, plats och lateral förflyttning för en användare i Microsoft Defender-portalen

Tidslinje

Tidslinjen visar användaraktiviteter och aviseringar som observerats från en användares identitet under de senaste 180 dagarna. Den förenar användarens identitetsposter i Microsoft Defender for Identity, Microsoft Defender for Cloud Apps och Microsoft Defender för Endpoint arbetsbelastningar. Med hjälp av tidslinjen kan du fokusera på aktiviteter som en användare har utfört eller utfört på dem inom specifika tidsramar.

För att användare av den enhetliga SOC-plattformen ska kunna se aviseringar från Microsoft Sentinel baserat på andra datakällor än dem i föregående stycke kan de hitta dessa aviseringar och annan information på fliken Sentinel händelser, som beskrivs nedan.

  • Anpassad tidsintervallväljare: Du kan välja en tidsram för att fokusera undersökningen på de senaste 24 timmarna, de senaste tre dagarna och så vidare. Eller så kan du välja en viss tidsram genom att klicka på Anpassat intervall. Filtrerade data som är äldre än 30 dagar visas i sjudagarsintervall.
    Till exempel:

    Skärmbild som visar hur du väljer tidsram.

  • Tidslinjefilter: För att förbättra undersökningsupplevelsen kan du använda tidslinjefiltren: Typ (Aviseringar och/eller användarens relaterade aktiviteter), Allvarlighetsgrad för aviseringar, Aktivitetstyp, App, Plats, Protokoll. Varje filter är beroende av de andra, och alternativen i varje filter (listruta) innehåller bara de data som är relevanta för den specifika användaren.

  • Knappen Exportera: Du kan exportera tidslinjen till en CSV-fil. Exporten är begränsad till de första 5 000 posterna och innehåller data som visas i användargränssnittet (samma filter och kolumner).

  • Anpassade kolumner: Du kan välja vilka kolumner som ska visas på tidslinjen genom att välja knappen Anpassa kolumner . Till exempel:

    Skärmbild som visar användarens bild.

Vilka datatyper är tillgängliga?

Följande datatyper är tillgängliga på tidslinjen:

  • En användares påverkade aviseringar
  • Active Directory- och Microsoft Entra-aktiviteter
  • Händelser i molnappar
  • Händelser för enhetsinloggning
  • Ändringar i katalogtjänster

Vilken information visas?

Följande information visas på tidslinjen:

  • Datum och tid för aktiviteten
  • Beskrivning av aktivitet/avisering
  • Program som utförde aktiviteten
  • Källenhet/IP-adress
  • MITRE ATT&CK-tekniker
  • Allvarlighetsgrad och status för aviseringar
  • Land/region där klientens IP-adress är geoallokerad
  • Protokoll som används under kommunikationen
  • Målenhet (valfritt, visningsbart genom att anpassa kolumner)
  • Antal gånger aktiviteten har inträffat (valfritt, kan visas genom att anpassa kolumner)

Till exempel:

Skärmbild av fliken Tidslinje.

Obs!

Microsoft Defender XDR kan visa information om datum och tid med hjälp av antingen din lokala tidszon eller UTC. Den valda tidszonen gäller för all datum- och tidsinformation som visas i identitetens tidslinje.

Om du vill ange tidszonen för de här funktionerna går du till Inställningar>Säkerhetscenter>Tidszon.

Sentinel händelser

Om din organisation har registrerat Microsoft Sentinel till Defender-portalen finns den här ytterligare fliken på användarentitetssidan. På den här fliken importeras sidan Kontoentitet från Microsoft Sentinel.

Sentinel tidslinje

Den här tidslinjen visar aviseringar som är associerade med användarentiteten. Dessa aviseringar inkluderar de som visas på fliken Incidenter och aviseringar och de som skapats av Microsoft Sentinel från datakällor från tredje part som inte kommer från Microsoft.

Den här tidslinjen visar även bokmärkta jakter från andra undersökningar som refererar till den här användarentiteten, användaraktivitetshändelser från externa datakällor och ovanliga beteenden som identifieras av Microsoft Sentinel avvikelseregler.

Insikter

Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dig att undersöka mer effektivt och effektivt. Dessa insikter ställer automatiskt de stora frågorna om din användarentitet och ger värdefull säkerhetsinformation i form av tabelldata och diagram. Insikterna omfattar data om inloggningar, grupptillägg, avvikande händelser med mera och inkluderar avancerade maskininlärningsalgoritmer för att identifiera avvikande beteende.

Följande är några av de insikter som visas:

  • Användarkolleger baserat på medlemskap i säkerhetsgrupper.
  • Åtgärder per konto.
  • Åtgärder för kontot.
  • Händelseloggar rensas av användaren.
  • Grupptillägg.
  • Avvikande högt antal kontorsåtgärder.
  • Resursåtkomst.
  • Avvikande högt antal azure-inloggningsresultat.
  • UEBA-insikter.
  • Användaråtkomstbehörigheter till Azure-prenumerationer.
  • Hotindikatorer relaterade till användaren.
  • Visningslista insikter (förhandsversion).
  • Windows-inloggningsaktivitet.

Insikterna baseras på följande datakällor:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Pulsslag (Azure Monitor-agent)
  • CommonSecurityLog (Microsoft Sentinel)

Skärmbild av fliken Sentinel händelser på användarentitetssidan.

Om du vill utforska någon av insikterna i den här panelen ytterligare väljer du länken som medföljer insikten. Länken tar dig till sidan Avancerad jakt , där den visar frågan som ligger till grund för insikten, tillsammans med dess råresultat. Du kan ändra frågan eller öka detaljnivån i resultaten för att utöka undersökningen eller bara tillfredsställa din nyfikenhet.

Skärmbild av skärmen Avancerad jakt med insiktsfråga.

Reparationsåtgärder

På sidan Översikt kan du göra följande ytterligare åtgärder:

  • Aktivera, inaktivera eller inaktivera användaren i Microsoft Entra ID
  • Uppmana användaren att utföra vissa åtgärder, till exempel kräva att användaren loggar in igen eller framtvingar lösenordsåterställning
  • Återställa prioritetspoäng för undersökning för användaren
  • Visa Microsoft Entra kontoinställningar, relaterad styrning, användarens ägda filer eller användarens delade filer

Skärmbild av åtgärder för reparation för en användare i Microsoft Defender-portalen

Mer information finns i Reparationsåtgärder i Microsoft Defender for Identity.

Nästa steg

Fortsätt undersökningen efter behov för pågående incidenter.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.