Поделиться через


Исследование ресурсов

Microsoft Defender для удостоверений предоставляет пользователям XDR в Microsoft Defender с доказательствами того, что пользователи, компьютеры и устройства выполнили подозрительные действия или показывают признаки компрометации.

В этой статье приводятся рекомендации по определению рисков для вашей организации, принятию решения об исправлении и определении оптимального способа предотвращения подобных атак в будущем.

Действия по расследованию подозрительных пользователей

Примечание.

Сведения о просмотре профилей пользователей в XDR в Microsoft Defender см . в документации по XDR в Microsoft Defender.

Если оповещение или инцидент указывает, что пользователь может быть подозрительным или скомпрометирован, проверка и изучите профиль пользователя для следующих сведений и действий:

  • Удостоверение пользователя

    • Является ли пользователь конфиденциальным пользователем (например, администратором или списком наблюдения и т. д.)?
    • Какова их роль в организации?
    • Они важны в дереве организации?
  • Исследование подозрительных действий, таких как:

    • Есть ли для пользователя другие открытые оповещения в Defender для удостоверений или других средствах обеспечения безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
    • Произошел ли сбой входа пользователя?
    • Какие ресурсы были доступны пользователю?
    • Доступ пользователем к ресурсам с высоким уровнем ценности?
    • Должен ли пользователь получить доступ к ресурсам, к которые они обращаются?
    • На каких устройствах входил пользователь?
    • Должен ли пользователь войти на эти устройства?
    • Существует ли боковой путь перемещения (LMP) между пользователем и конфиденциальным пользователем?

Используйте ответы на эти вопросы, чтобы определить, отображается ли учетная запись скомпрометирована или что подозрительные действия подразумевают вредоносные действия.

Найдите сведения об удостоверениях в следующих областях XDR в Microsoft Defender:

  • Страницы сведений об отдельных удостоверениях
  • Страница сведений о отдельном оповещении или инциденте
  • Страницы сведений об устройстве
  • Запросы расширенной охоты
  • Страница Центра уведомлений

Например, на следующем рисунке показаны сведения на странице сведений об удостоверениях:

Снимок экрана: страница сведений об удостоверениях.

Сведения об удостоверениях

При изучении определенного удостоверения вы увидите следующие сведения на странице сведений об удостоверениях:

Область страницы сведений об удостоверениях Description
Вкладка "Обзор" Общие данные удостоверений, такие как уровень риска удостоверений Microsoft Entra, количество устройств, на которых пользователь вошел в систему, когда пользователь был первым и последним, учетные записи пользователя и более важные сведения.

Используйте вкладку "Обзор" для просмотра графиков инцидентов и оповещений, оценки приоритета исследования, дерева организации, тегов сущностей и временная шкала оценок действий.
Инциденты и оповещения Выводит список активных инцидентов и оповещений, связанных с пользователем за последние 180 дней, включая сведения о серьезности оповещений и время создания оповещения.
Наблюдаемые в организации Включает следующие подзоны:
- Устройства: устройства, вошедшие в систему, включая наиболее и наименее используемые за последние 180 дней.
- Расположения: наблюдаемые расположения удостоверения за последние 30 дней.
- Группы: все наблюдаемые локальные группы для удостоверения.
- Пути бокового перемещения — все профилированные пути бокового перемещения из локальной среды.
Удостоверение временная шкала Временная шкала представляет действия и оповещения, наблюдаемые с удостоверения пользователя, объединение записей удостоверений между Microsoft Defender для удостоверений, Microsoft Defender для облака приложениями и Microsoft Defender для конечной точки.

Используйте временная шкала, чтобы сосредоточиться на действиях, выполняемых пользователем или выполненных на них в определенных временных интервалах. Выберите значение по умолчанию 30 дней , чтобы изменить диапазон времени на другое встроенное значение или на настраиваемый диапазон.
Действия по исправлению Отвечайте на скомпрометированные пользователи, отключив учетные записи или сбросив пароль. После принятия действий с пользователями вы можете проверка сведения о действиях в центре действий XDR ***.

Дополнительные сведения см. в статье "Изучение пользователей " в документации по XDR в Microsoft Defender.

Действия по расследованию для подозрительных групп

Если оповещение или расследование инцидентов связано с группой Active Directory, проверка сущность группы для следующих сведений и действий:

  • Сущность группы

    • Группа представляет собой конфиденциальную группу, например доменные Администратор?
    • Включает ли группа конфиденциальных пользователей?
  • Исследование подозрительных действий, таких как:

    • Есть ли другие открытые, связанные оповещения в Defender для удостоверений или другие средства безопасности, такие как Microsoft Defender для конечной точки, Microsoft Defender для облака и /или Microsoft Defender для облака Приложения?
    • В группу недавно добавлены или удалены пользователи?
    • Была ли группа недавно запрошена, и кем?

Используйте ответы на эти вопросы, чтобы помочь в расследовании.

В области сведений о сущности группы выберите "Перейти охота" или "Открыть временная шкала" для изучения. Сведения о группе также можно найти в следующих областях XDR в Microsoft Defender:

  • Страница сведений о отдельном оповещении или инциденте
  • Страницы сведений об устройстве или пользователе
  • Запросы расширенной охоты

Например, на следующем рисунке показаны действия операторов сервера временная шкала, включая связанные оповещения и действия за последние 180 дней:

Снимок экрана: вкладка

Действия по расследованию подозрительных устройств

Оповещение XDR в Microsoft Defender выводит список всех устройств и пользователей, подключенных к каждому подозрительному действию. Выберите устройство для просмотра страницы сведений об устройстве, а затем изучите следующие сведения и действия:

  • Что произошло во время подозрительной активности?

    • Какой пользователь вошел на устройство?
    • Обычно пользователь входит в систему или обращается к исходному или целевому устройству?
    • Какие ресурсы были доступны? По каким пользователям? Если доступ к ресурсам был предоставлен, были ли они высокоценными ресурсами?
    • Должен ли пользователь получить доступ к этим ресурсам?
    • Пользователь, который обращается к устройству, выполняет другие подозрительные действия?
  • Дополнительные подозрительные действия для исследования:

    • Были ли открыты другие оповещения во время создания этого оповещения в Microsoft Defender для удостоверений или в других средствах обеспечения безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
    • Произошел сбой входа?
    • Были ли развернуты или установлены новые программы?

Используйте ответы на эти вопросы, чтобы определить, отображается ли устройство скомпрометировано или что подозрительные действия подразумевают вредоносные действия.

Например, на следующем рисунке показана страница сведений об устройстве:

Снимок экрана: страница сведений об устройстве.

Дополнительные сведения см. в документации по XDR в Microsoft Defender.

Следующие шаги

Совет

Ознакомьтесь с нашим интерактивным руководством. Исследование и реагирование на атаки с помощью Microsoft Defender для удостоверений