Sdílet prostřednictvím

Zkoumání prostředků

  • Článek

Microsoft Defender for Identity poskytuje Microsoft Defender XDR uživatelům důkazy o tom, kdy uživatelé, počítače a zařízení provedli podezřelé aktivity nebo kdy vykazují známky ohrožení zabezpečení.

Tento článek obsahuje doporučení, jak určit rizika pro vaši organizaci, rozhodnout se, jak napravit, a určit nejlepší způsob, jak podobným útokům v budoucnu zabránit.

Postup šetření pro podezřelé uživatele

Poznámka

Informace o tom, jak zobrazit profily uživatelů v Microsoft Defender XDR, najdete v dokumentaci k Microsoft Defender XDR.

Pokud výstraha nebo incident indikuje, že uživatel může být podezřelý nebo ohrožený, zkontrolujte a prošetřete profil uživatele, kde najdete následující podrobnosti a aktivity:

  • Identita uživatele

    • Je uživatel citlivým uživatelem (například správce, je na seznamu ke zhlédnutí atd.)?
    • Jaká je jejich role v rámci organizace?
    • Jsou významné v organizačním stromu?

  • Prošetřování podezřelých aktivit, jako jsou:

    • Má uživatel další otevřená upozornění ve službě Defender for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender pro cloud nebo Microsoft Defender for Cloud Apps?
    • Došlo k selhání přihlášení uživatele?
    • Ke kterým prostředkům uživatel přistupoval?
    • Přistupoval uživatel k prostředkům s vysokou hodnotou?
    • Měl uživatel přistupovat k prostředkům, ke kterým přistupoval?
    • Ke kterým zařízením se uživatel přihlásil?
    • Měl se uživatel přihlásit k těmto zařízením?
    • Existuje mezi uživatelem a citlivým uživatelem cesta laterálního pohybu ?

Odpovědi na tyto otázky použijte k určení, jestli se zdá, že je účet ohrožený nebo jestli podezřelé aktivity znamenají škodlivé akce.

Informace o identitě najdete v následujících Microsoft Defender XDR oblastech:

  • Stránky s podrobnostmi o jednotlivých identitách
  • Stránka s podrobnostmi o jednotlivých výstrahách nebo incidentech
  • Stránky s podrobnostmi o zařízení
  • Rozšířené dotazy proaktivního vyhledávání
  • Stránka Centra akcí

Například následující obrázek ukazuje podrobnosti na stránce s podrobnostmi o identitě:

Snímek obrazovky se stránkou konkrétního uživatele na portálu Microsoft Defender

Podrobnosti o identitě

Při zkoumání konkrétní identity uvidíte na stránce s podrobnostmi o identitě následující podrobnosti:

Oblast stránky s podrobnostmi o identitě Popis
Karta Přehled Obecná data identity, jako je úroveň rizika identity Microsoft Entra, počet zařízení, ke které je uživatel přihlášený, kdy byl uživatel první a naposledy vidět, účty uživatele a další důležité informace.

Na kartě Přehled můžete také zobrazit grafy incidentů a výstrah, skóre priority šetření, organizační strom, značky entit a časovou osu aktivity se skóre.
Incidenty a výstrahy Seznamy aktivní incidenty a výstrahy týkající se uživatele z posledních 180 dnů, včetně podrobností, jako je závažnost výstrahy a čas vygenerování výstrahy.
Pozorované v organizaci Zahrnuje následující dílčí oblasti:
- Zařízení: Zařízení, ke kterým se identita přihlásila, včetně většiny a nejméně používaných za posledních 180 dnů.
- Umístění: Zjištěná umístění identity za posledních 30 dnů.
- Skupiny: Všechny zjištěné místní skupiny pro identitu.
- Cesty laterálního pohybu – všechny profilované cesty laterálního pohybu z místního prostředí.
Časová osa identity Časová osa představuje aktivity a výstrahy zjištěné z identity uživatele za posledních 180 dnů a sjednocuje položky identity napříč Microsoft Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint.

Pomocí časové osy se můžete zaměřit na aktivity, které uživatel provedl nebo s nimi provedl v konkrétních časových rámcích. Pokud chcete změnit časový rozsah na jinou integrovanou hodnotu nebo na vlastní rozsah, vyberte výchozí 30 dnů .
Nápravné akce Reagujte na ohrožené uživatele zakázáním jejich účtů nebo resetováním hesla. Po provedení akce s uživateli můžete zkontrolovat podrobnosti o aktivitě v Microsoft Defender XDR **Centru akcí.

Poznámka

Skóre priority šetření bylo 3. prosince 2025 vyřazeno. V důsledku toho byly z uživatelského rozhraní odebrány jak rozpis priority šetření, tak karty časové osy hodnocené aktivity.

Další informace najdete v tématu Zkoumání uživatelů v dokumentaci Microsoft Defender XDR.

Postup šetření podezřelých skupin

Pokud výstraha nebo šetření incidentu souvisí se skupinou služby Active Directory, zkontrolujte u entity skupiny následující podrobnosti a aktivity:

  • Entita skupiny

    • Jedná se o citlivou skupinu, například Domain Admins?
    • Zahrnuje skupina citlivé uživatele?

  • Prošetřování podezřelých aktivit, jako jsou:

    • Má skupina další otevřená související upozornění v Defenderu for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender pro cloud nebo Microsoft Defender for Cloud Apps?
    • Kteří uživatelé byli nedávno přidáni do skupiny nebo ze skupiny odebráni?
    • Byla skupina nedávno dotazována a kým?

Odpovědi na tyto otázky vám pomůžou při vyšetřování.

V podokně podrobností entity skupiny vyberte Přejít proaktivní vyhledávání nebo Otevřít časovou osu a prozkoumejte ji. Informace o skupině najdete také v následujících Microsoft Defender XDR oblastech:

  • Stránka s podrobnostmi o jednotlivých výstrahách nebo incidentech
  • Stránky s podrobnostmi o zařízení nebo uživateli
  • Rozšířené dotazy proaktivního vyhledávání

Například na následujícím obrázku je časová osa aktivity Operátoři serveru , včetně souvisejících výstrah a aktivit za posledních 180 dnů:

Snímek obrazovky s kartou Časová osa skupiny

Postup šetření podezřelých zařízení

Microsoft Defender XDR výstrahy zobrazí seznam všech zařízení a uživatelů připojených ke každé podezřelé aktivitě. Výběrem zařízení zobrazte stránku s podrobnostmi o zařízení a pak prozkoumejte následující podrobnosti a aktivity:

  • Co se stalo v době podezřelé aktivity?

    • Který uživatel byl přihlášený k zařízení?
    • Přihlašuje se tento uživatel obvykle ke zdrojovému nebo cílovému zařízení nebo k tomuto zařízení přistupuje?
    • Ke kterým prostředkům se přistupovalo? Kterými uživateli? Pokud se k prostředkům přistupovalo, jednalo se o vysoce hodnotné prostředky?
    • Měl uživatel k těmto prostředkům přistupovat?
    • Prováděl uživatel, který k zařízení přistupoval, jiné podezřelé aktivity?

  • Další podezřelé aktivity k prošetření:

    • Otevřely se ve službě Defender for Identity ve stejnou dobu jako tato upozornění další výstrahy, nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender pro cloud nebo Microsoft Defender for Cloud Apps?
    • Došlo k neúspěšným přihlášením?
    • Byly nasazeny nebo nainstalovány nějaké nové programy?

Odpovědi na tyto otázky použijte k určení, jestli se zařízení jeví jako ohrožené nebo jestli podezřelé aktivity znamenají škodlivé akce.

Například na následujícím obrázku je stránka s podrobnostmi o zařízení:

Snímek obrazovky se stránkou podrobností o zařízení

Další informace najdete v tématu Zkoumání zařízení v dokumentaci k Microsoft Defender XDR.

Další kroky

Tip

Vyzkoušejte našeho interaktivního průvodce: Zkoumání útoků a reakce na ně pomocí Microsoft Defender for Identity