Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Страница сущности пользователя на портале Microsoft Defender поможет вам в исследовании сущностей пользователей. Страница содержит все важные сведения о данной сущности пользователя. Если оповещение или инцидент указывает на то, что пользователь может быть скомпрометирован или является подозрительным, проверка и исследовать сущность пользователя.
Сведения об сущности пользователя можно найти в следующих представлениях:
- Страница "Удостоверения" в разделе "Ресурсы"
- Очередь оповещений
- Любое отдельное оповещение или инцидент
- Страница "Устройства"
- Страница сущности любого отдельного устройства
- Журнал действий
- Запросы расширенной охоты
- Центр уведомлений
Где бы в этих представлениях ни отображались сущности пользователей, выберите сущность, чтобы просмотреть страницу Пользователь , на которой отображаются дополнительные сведения о пользователе. Например, можно просмотреть сведения об учетных записях пользователей, определенных в оповещениях об инциденте, на портале Microsoft Defender на странице Инциденты & оповещений > Инциденты Инциденты>> Активы > Пользователи.
При изучении конкретной сущности пользователя на странице сущности отображаются следующие вкладки:
Обзор, включая сведения о сущностях, визуальное представление инцидентов и оповещений, флаги управления учетными записями пользователей и т. д.
На странице удостоверений отображаются Microsoft Entra организации и группы, помогающие понять группы и разрешения, связанные с пользователем.
Важно!
Microsoft Sentinel общедоступна на портале Microsoft Defender с Microsoft Defender XDR или лицензией E5 или без нее. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Обзор
Сведения о сущности
Панель Сведений о сущности в левой части страницы содержит сведения о пользователе, такие как уровень риска Microsoft Entra удостоверений, уровень серьезности внутренних рисков (предварительная версия), количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, учетные записи пользователя, группы, к которым принадлежит пользователь, и контактные данные. Это карта включает все инциденты и оповещения, связанные с сущностью пользователя, сгруппированные по серьезности.
Примечание.
Оценка приоритета исследования была устарела 3 декабря 2024 г. Карточки с разбивкой по оценке приоритета исследования и оцененные действия больше не доступны.
Вы увидите другие сведения в зависимости от включенных служб и функций, в том числе:
- (предварительная версия) Microsoft Defender XDR пользователи с доступом к Управление внутренними рисками Microsoft Purview теперь могут видеть степень серьезности внутренних рисков пользователя и получать аналитические сведения о подозрительных действиях пользователя на странице пользователя. Выберите уровень серьезности внутренних рисков в разделе Сведения о сущности, чтобы просмотреть аналитические сведения о рисках о пользователе.
- (предварительная версия) Если вы включите Microsoft Sentinel аналитику поведения пользователей и сущностей (UEBA), вы увидите следующее:
- Три основных аномалии UEBA за последние 30 дней.
- Ссылки для запуска предварительно созданных расширенных запросов охоты и просмотра всех аномальных действий, связанных с пользователем, на вкладке события Sentinel. Это доступно только для клиентов, у которых включен UEBA.
Элементы управления учетными записями Active Directory
В этом карта выделены важные параметры безопасности Microsoft Defender для удостоверений для учетной записи пользователя. Например, он показывает, может ли пользователь обойти пароль, нажав клавишу ВВОД, или если срок действия пароля пользователя не истекает. Просмотрите эти флаги, чтобы определить параметры учетной записи, которым может потребоваться ваше внимание.
Дополнительные сведения см. в разделе Флаги контроля учетных записей пользователей.
Дерево организации
В этом разделе показано место сущности пользователя в иерархии организации, о чем сообщает Microsoft Defender для удостоверений.
Теги учетной записи
Microsoft Defender для удостоверений извлекает теги из Active Directory, чтобы предоставить вам единый интерфейс для мониторинга пользователей и сущностей Active Directory. Теги предоставляют сведения о сущности из Active Directory и включают:
| Имя | Описание |
|---|---|
| New | Указывает, что сущность была создана менее 30 дней назад. |
| Deleted | Указывает, что сущность была окончательно удалена из Active Directory. |
| Disabled | Указывает, что сущность в настоящее время отключена в Active Directory. Атрибут disabled — это флаг Active Directory, доступный для учетных записей пользователей, учетных записей компьютеров и других объектов, указывающий на то, что объект в настоящее время не используется. Если объект отключен, его нельзя использовать для входа или выполнения действий в домене. |
| Enabled | Указывает, что сущность в настоящее время включена в Active Directory. Сущность в настоящее время используется и может использоваться для входа или выполнения действий в домене. |
| Истек срок действия | Указывает, что срок действия сущности истек в Active Directory. По истечении срока действия учетной записи пользователя пользователь больше не сможет войти в домен или получить доступ к каким-либо сетевым ресурсам. Учетная запись с истекшим сроком действия обрабатывается так, как если бы она была отключена, но с явной датой окончания срока действия. Все службы или приложения, к которым пользователь получил доступ, также могут быть затронуты в зависимости от того, как они настроены. |
| Honeytoken | Указывает, что сущность вручную помечена как honeytoken. |
| Locked | Указывает, что сущность слишком много раз указывала неправильный пароль и теперь заблокирована. |
| Частично | Указывает, что пользователь, устройство или группа не синхронизированы с доменом и частично разрешается через глобальный каталог. В этом случае некоторые атрибуты недоступны. |
| Неразрешенные | Указывает, что устройство не разрешается в допустимое удостоверение в лесу Active Directory. Сведения о каталоге недоступны. |
| Конфиденциально | Указывает, что сущность считается конфиденциальной. |
Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.
Примечание.
Раздел дерева организации и теги учетных записей доступны при наличии лицензии на Microsoft Defender для удостоверений.
Инциденты и оповещения
Вы можете просмотреть все активные инциденты и оповещения с участием пользователя за последние шесть месяцев. Здесь показана вся информация из основных очередей инцидентов и оповещений. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит следующие сведения:
- Краткое описание инцидента или оповещения
- Уровень серьезности оповещений (высокий, средний, низкий, информационный)
- Состояние оповещения в очереди (новое, выполняется, разрешено)
- Классификация оповещений (не задано, ложное оповещение, истинное оповещение)
- Состояние исследования, категория, кому назначено решение, и последнее наблюдаемое действие.
Вы можете настроить количество отображаемых элементов и столбцы для каждого элемента. По умолчанию выводится список по 30 элементов на странице. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.
Столбец затронутых сущностей относится ко всем сущностям устройства и пользователей, на которые ссылается инцидент или оповещение.
При выборе инцидента или оповещения появляется всплывающее окно. Вы можете управлять инцидентом или оповещением и просматривать дополнительные сведения, такие как номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.
Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.
Наблюдается в организации
Устройства. В этом разделе отображаются все устройства, на которые вход входит сущность пользователя за предыдущие 180 дней, с указанием наиболее и наименее используемых.
Расположения. В этом разделе показаны все наблюдаемые расположения для сущности пользователя за последние 30 дней.
Группы. В этом разделе показаны все наблюдаемые локальные группы для сущности пользователя, как сообщает Microsoft Defender для удостоверений.
Учетные записи. В этом разделе отображаются все наблюдаемые учетные записи для сущности удостоверения, как сообщает Microsoft Defender для удостоверений.
Пути бокового смещения. В этом разделе показаны все профилированные пути бокового перемещения из локальной среды, обнаруженные Defender для удостоверений.
На вкладке Учетные записи отображаются все учетные записи, связанные с определенным удостоверением в подключенных системах. Она объединяет ручные и автоматические корреляции в одну таблицу, предоставляя централизованное представление о занимаемой удостоверении.
В таблице показаны следующие поля:
Тип компоновки. Показывает, как учетная запись была связана с удостоверением (вручную, StrongID, API или правило).
Дата последней компоновки: Записывает последнюю дату, когда учетная запись была связана с удостоверением.
Связано по: Определяет, кто создал ссылку (идентификаторы StrongID, идентификатор пользователя или имя правила).
Комментарий к компоновке: Содержит краткое описание, объясняющее причину связывания учетных записей. Комментарий ограничен 25 символами.
Основная учетная запись: Указывает, назначает ли система эту учетную запись в качестве основной учетной записи для удостоверения.
Примечание.
Группы и пути бокового перемещения доступны при наличии лицензии на Microsoft Defender для удостоверений.
Выбор вкладки Боковое движение позволяет просмотреть полностью динамическую и доступную для щелчка карту, на которой можно увидеть пути бокового перемещения пользователя и от пользователя. Злоумышленник может использовать сведения о пути, чтобы проникнуть в сеть.
Карта предоставляет список других устройств или пользователей, которые злоумышленник может использовать для компрометации конфиденциальной учетной записи. Если у пользователя есть конфиденциальная учетная запись, можно увидеть, сколько ресурсов и учетных записей подключено напрямую.
Отчет по пути бокового смещения, который можно просмотреть по дате, всегда доступен для предоставления сведений о потенциальных обнаруженных путях бокового смещения и может быть настроен по времени. Выберите другую дату с помощью команды Просмотреть другую дату , чтобы просмотреть предыдущие пути бокового смещения, найденные для сущности. Диаграмма отображается только в том случае, если за последние два дня для сущности обнаружен потенциальный путь бокового смещения.
Временная шкала
В временная шкала отображаются действия пользователей и оповещения, наблюдаемые из удостоверения пользователя за последние 180 дней. Он объединяет записи удостоверений пользователя для рабочих нагрузок Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки. Используя временная шкала, вы можете сосредоточиться на действиях, которые пользователь выполнил или выполнял в определенные сроки.
На унифицированной платформе SOC можно просмотреть оповещения Microsoft Sentinel из других источников данных на вкладке события Microsoft Sentinel. Дополнительные сведения см. в разделе События Microsoft Sentinel.
Настраиваемое средство выбора диапазона времени: Вы можете выбрать период времени, чтобы сосредоточиться на последних 24 часах, последних 3 днях и т. д. Или можно выбрать определенный период времени, щелкнув Настраиваемый диапазон. Отфильтрованные данные старше 30 дней отображаются с интервалом в семь дней.
Например, вы можете:
Фильтры временной шкалы: Чтобы улучшить работу с исследованием, можно использовать фильтры временная шкала: Тип (оповещения и(или) действия пользователя), Серьезность оповещений, Тип действия, Приложение, Расположение, Протокол. Каждый фильтр зависит от других, а параметры в каждом фильтре (раскрывающемся списке) содержат только данные, относящиеся к конкретному пользователю.
Кнопка экспорта: Вы можете экспортировать временная шкала в CSV-файл. Экспорт ограничен первыми 5000 записями и содержит данные, отображаемые в пользовательском интерфейсе (те же фильтры и столбцы).
Настраиваемые столбцы: Чтобы выбрать столбцы для предоставления в временная шкала, нажмите кнопку Настроить столбцы. Например, вы можете:
Какие типы данных доступны?
В временная шкала доступны следующие типы данных:
- Затронутые оповещения пользователя
- Действия Active Directory и Microsoft Entra
- События облачных приложений
- События входа устройства
- Изменения служб каталогов
Какая информация отображается?
В временная шкала отображаются следующие сведения:
- Дата и время действия
- Описание действий или оповещений
- Приложение, выполняющее действие
- Исходное устройство или IP-адрес
- Методы CK&MITRE ATT
- Серьезность и состояние оповещений
- Страна или регион, в которых ip-адрес клиента геолокационирован
- Протокол, используемый во время обмена данными
- Целевое устройство (необязательно, просматривается путем настройки столбцов)
- Количество случаев выполнения действия (необязательное, просматриваемое путем настройки столбцов)
Например, вы можете:
Примечание.
Microsoft Defender XDR может отображать сведения о дате и времени с помощью местного часового пояса или utc. Выбранный часовой пояс применяется ко всем сведениям о дате и времени, отображаемым в временная шкала удостоверений.
Чтобы задать часовой пояс для этих функций, перейдите в раздел Параметры>Центр> безопасностиЧасовой пояс.
Рекомендации по безопасности
На этой вкладке отображаются все активные оценки состояния безопасности (ISPM), связанные с учетной записью удостоверения. Он включает рекомендации Defender для удостоверений для доступных поставщиков удостоверений, таких как Active Directory, Okta и другие. При выборе ispm pivot you to the recommendation page in Microsoft Secure Score (Оценка безопасности Майкрософт) для получения дополнительных сведений.
Пути атаки
Эта вкладка обеспечивает видимость потенциальных путей атаки, ведущих к критическому удостоверению или его вовлечения в пути, помогая оценить риски безопасности. Дополнительные сведения см. в разделе Общие сведения о пути атаки в управлении экспозицией.
события Microsoft Sentinel
Если ваша организация подключена Microsoft Sentinel к порталу Defender, эта дополнительная вкладка находится на странице сущности пользователя. Эта вкладка импортирует страницу сущности учетная запись из Microsoft Sentinel.
Microsoft Sentinel временная шкала
В этом временная шкала отображаются оповещения, связанные с сущностью пользователя. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения, а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.
В этом временная шкала также показаны поиски закладок из других исследований, которые ссылаются на эту сущность пользователя, события активности пользователей из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.
Insights
Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о вашей сущности пользователя, предоставляя ценные сведения о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают данные о входах, добавлении групп, аномальных событиях и т. д., а также расширенные алгоритмы машинного обучения для обнаружения аномального поведения.
Ниже приведены некоторые аналитические сведения.
- Одноранговые узлы пользователей на основе членства в группах безопасности.
- Действия по учетной записи.
- Действия с учетной записью.
- Журналы событий, очищенные пользователем.
- Добавление групп.
- Аномально большое число офисных операций.
- Доступ к ресурсам.
- Аномально высокий Azure количество результатов входа.
- Аналитика UEBA.
- Разрешения на доступ пользователей к Azure подпискам.
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка просмотров (предварительная версия).
- Действия входа в Windows.
Аналитические сведения основаны на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Пульс (агент мониторинга Azure)
- CommonSecurityLog (Microsoft Sentinel)
Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.
Действия по исправлению
На странице Обзор можно выполнить следующие действия:
- Включение, отключение или приостановка пользователя в Microsoft Entra ID
- Указание пользователя на выполнение определенных действий, например требование повторного входа пользователя или принудительное сброс пароля
- Просмотр параметров учетной записи Microsoft Entra, связанного управления, файлов, принадлежащих пользователю, или общих файлов пользователя
Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.
Дальнейшие действия
При необходимости для внутрипроцессных инцидентов продолжайте расследование.
См. также
- Обзор инцидентов
- Управление приоритетом инцидентов
- Управление инцидентами
- Обзор Microsoft Defender XDR
- Включение Microsoft Defender XDR
- Страница сущности устройства в Microsoft Defender
- Страница сущности IP-адреса в Microsoft Defender
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Подключение Microsoft Sentinel к Microsoft Defender XDR
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.