Изучение оповещений в Microsoft Defender для удостоверений

Изучите оповещения, влияющие на вашу среду, поймите, что они означают и как их устранять.

Начните исследование, выбрав оповещение на странице Оповещения на портале Microsoft Defender. На странице оповещений отображается список всех оповещений системы безопасности, созданных Defender для удостоверений, включая их серьезность, состояние и затронутые ресурсы. При выборе оповещения открывается страница оповещения, которая содержит заголовок оповещения, затронутые ресурсы, боковую панель сведений и, в некоторых случаях, историю оповещения.

Исследование с помощью истории оповещений

История оповещений предоставляет хронологическое представление событий, связанных с оповещением. Он показывает, что произошло, когда это произошло и какие сущности были задействованы до и после события триггера. Он помогает отслеживать последовательность событий и понимать, как было создано оповещение.

Граф оповещений визуально сопоставляет пользователей, устройства и контроллеры домена, участвующие в оповещении. В ней показано, как взаимодействуют эти сущности, что упрощает выявление связей и шаблонов с первого взгляда.

В разделе Важные сведения содержатся дополнительные технические сведения, которые поддерживают ваше исследование. Она помогает понять, какие действия были выполнены, кто их инициировал и где возникло действие. В этом разделе приведены необработанные доказательства, которые помогут проверить оповещение и помогут вам выполнить дальнейшие действия.

Вместе история оповещений, граф оповещений и важная информация дают вам полную картину оповещения. Они помогают понять, что вызвало оповещение, какие сущности были вовлечены и требует ли действие дальнейшего исследования или действия.

Действие из области сведений

После выбора интересующего оповещения область сведений изменится, чтобы отобразить сведения о выбранном оповещении, историческую информацию, если оно доступно, и предложить рекомендуемые действия по выполнению действий с этим оповещением.

Завершив исследование, вернитесь к оповещению, с которым вы начали работу, пометьте состояние оповещения как Разрешено и классифицируйте его как ложное или истинное оповещение. Классификация оповещений помогает настроить эту возможность для предоставления более верных оповещений и меньше ложных оповещений.

Расширенное исследование оповещений системы безопасности

Чтобы получить дополнительные сведения об оповещении системы безопасности, выберите Экспорт на странице сведений об оповещении, чтобы скачать подробный отчет об оповещении Excel.

Скачанный файл содержит сводные сведения об оповещении на первой вкладке, в том числе:

• Название
• Описание
• Время начала (UTC)
• Время окончания (UTC)
• Серьезность — низкий, средний или высокий
• Состояние — открытый/закрытый
• Время обновления состояния (UTC)
• Просмотр в браузере

Перечислены все задействованные сущности, включая учетные записи, компьютеры и ресурсы, разделенные их ролью. В зависимости от оповещения предоставляются сведения об исходной, целевой или атакуемой сущности.

Большинство вкладок содержат следующие данные для каждой сущности:

• Имя

• Сведения

• Тип

• SamName

• Исходный компьютер

• Исходный пользователь (если доступно)

• Контроллеры домена

• Доступ к ресурсу: Time, Computer, Name, Details, Type, Service.

• Связанные сущности: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json

• Все необработанные действия, захваченные датчиками Defender для удостоверений, связанные с оповещением (действия сети или события), включая:

  • Сетевые действия
  • Действия по событиям

Для некоторых оповещений есть дополнительные вкладки, например сведения о:

• Атакуемые учетные записи, когда предполагаемая атака использовала метод подбора.
• Серверы системы доменных имен (DNS), когда предполагаемая атака была вовлечена в разведывательную разведку сетевого сопоставления (DNS).

Например:

Как использовать сведения Defender для удостоверений в расследовании?

Исследования могут быть подробными по мере необходимости. Ниже приведены некоторые идеи о способах исследования с использованием данных, предоставляемых Defender для удостоверений.

Связанные сущности

В каждом оповещении последняя вкладка содержит связанные сущности. Связанные сущности — это все сущности, участвующие в подозрительном действии, без разделения "роли", которую они играли в оповещении. Каждая сущность содержит два файла JSON: Json уникальной сущности и Json профиля уникальной сущности. Используйте эти два файла JSON, чтобы узнать больше о сущности и помочь вам изучить оповещение.

Json-файл уникальной сущности

Включает сведения об учетной записи в Защитнике данных для удостоверений, полученном из Active Directory. Сюда входят все атрибуты, такие как различающееся имя, SID, LockoutTime и PasswordExpiryTime. Для учетных записей пользователей включает такие данные, как Department, Mail и PhoneNumber. Для учетных записей компьютеров включает такие данные, как OperatingSystem, IsDomainController и DnsName.

Json-файл уникального профиля сущности

Включает все данные Defender для удостоверений, профилированные в сущности. Defender для удостоверений использует действия сети и событий, захваченные для получения сведений о пользователях и компьютерах среды. Defender для удостоверений профилирование релевантных сведений для каждой сущности. Эти сведения обеспечивают возможности идентификации угроз в Defender для удостоверений.

Дополнительные сведения о работе с оповещениями системы безопасности Defender для удостоверений см. в статье Работа с оповещениями системы безопасности.

Связанные материалы

• Разрешение сетевых имен в Microsoft Defender для удостоверений
• Оповещения о рекогносцировках и обнаружении
• Оповещения о сохраняемости и эскалации привилегий