Sdílet prostřednictvím

Zkoumání profilů entit

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

Profil entity poskytuje řídicí panel navržený pro podrobné zkoumání uživatelů, počítačů, zařízení a prostředků, ke kterým mají přístup, a jejich historie. Stránka profilu využívá nového překladače logických aktivit ATA, který se může podívat na skupinu probíhajících aktivit (agregovaných až minutu) a seskupit je do jedné logické aktivity, abyste lépe porozuměli skutečným aktivitám vašich uživatelů.

Pokud chcete získat přístup ke stránce profilu entity, vyberte na časové ose podezřelé aktivity název entity, například uživatelské jméno.

V levé nabídce najdete všechny informace o službě Active Directory, které jsou k dispozici pro entitu – e-mailová adresa, doména, datum prvního výskytu. Pokud je entita citlivá, řekne vám proč. Je například uživatel označený jako citlivý, nebo je členem citlivé skupiny? Pokud se jedná o citlivého uživatele, zobrazí se ikona pod jeho jménem.

Zobrazení aktivit entit

Pokud chcete zobrazit všechny aktivity prováděné uživatelem nebo s entitou, vyberte kartu Aktivity .

aktivity profilů uživatelů.

Ve výchozím nastavení se v hlavním podokně profilu entity zobrazuje časová osa aktivit entity s historií až 6 měsíců zpět, ze které můžete také přejít k podrobnostem o entitách, ke kterým uživatel přistupuje, nebo k entitě uživatelům, kteří k entitě přistupovali.

Nahoře si můžete zobrazit souhrnné dlaždice, které vám poskytnou rychlý přehled o tom, co potřebujete v přehledném přehledu o vaší entitě pochopit. Tyto dlaždice se mění podle toho, o jaký typ entity se jedná. U uživatele uvidíte:

  • Počet otevřených podezřelých aktivit pro uživatele

  • K kolika počítačům se uživatel přihlásil

  • Kolik prostředků uživatel přistupoval

  • Ze kterých umístění se uživatel přihlásil k síti VPN

    nabídka entity.

U počítačů můžete vidět:

  • Počet otevřených podezřelých aktivit pro tento počítač

  • Kolik uživatelů se přihlásilo k počítači

  • Kolik prostředků počítač přistupoval

  • Z kolika umístění byla síť VPN v počítači přístupná

  • Seznam IP adres, které počítač použil

    počítač s nabídkou entity.

Pomocí tlačítka Filtrovat podle nad časovou osou aktivity můžete filtrovat aktivity podle typu aktivity. Můžete také vyfiltrovat určitý (hlučný) typ aktivity. To je opravdu užitečné pro šetření, když chcete pochopit základy toho, co entita v síti dělá. Můžete také přejít na konkrétní datum a exportovat aktivity jako filtrované do Excelu. Exportovaný soubor poskytuje stránku pro změny adresářových služeb (věci, které se změnily ve službě Active Directory pro účet) a samostatnou stránku pro aktivity.

Zobrazení dat adresáře

Karta Data adresáře obsahuje statické informace dostupné ze služby Active Directory, včetně příznaků zabezpečení řízení přístupu uživatelů. ATA také zobrazí členství ve skupinách pro uživatele, abyste mohli zjistit, jestli má uživatel přímé nebo rekurzivní členství. U skupin ata uvádí až 1000 členů skupiny.

data adresáře profilu uživatele.

V části Řízení přístupu uživatele ata zobrazí nastavení zabezpečení, která můžou vyžadovat vaši pozornost. Můžete vidět důležité příznaky týkající se uživatele, například může uživatel stisknutím klávesy Enter obejít heslo, jestli má uživatel heslo, jehož platnost nikdy nevyprší atd.

Zobrazení cest laterálního pohybu

Když vyberete kartu Cesty bočního pohybu , můžete zobrazit plně dynamickou mapu s možností kliknutí, která poskytuje vizuální znázornění cest laterálního pohybu k tomuto uživateli a z něj, které lze použít k infiltraci vaší sítě.

Mapa poskytuje seznam, kolik segmentů směrování mezi počítači nebo uživateli by útočník musel napadnout a od tohoto uživatele, aby mohl ohrozit citlivý účet. Pokud má uživatel samotný citlivý účet, můžete zjistit, kolik prostředků a účtů je přímo propojených. Další informace najdete v tématu Cesty laterálního pohybu.

cesty k laterálnímu pohybu profilu uživatele.

Viz taky

Podívejte se na fórum ATA!