Del via

Undersøg aktiver

  • Artikel

Microsoft Defender for Identity giver Microsoft Defender XDR brugere dokumentation for, hvornår brugere, computere og enheder har udført mistænkelige aktiviteter eller viser tegn på, at de er blevet kompromitteret.

Denne artikel indeholder anbefalinger til, hvordan du kan fastslå risici for din organisation, beslutte, hvordan du vil afhjælpe og finde den bedste måde at forhindre lignende angreb på fremover.

Undersøgelsestrin for mistænkelige brugere

Bemærk!

Du kan få oplysninger om, hvordan du får vist brugerprofiler i Microsoft Defender XDR, i dokumentationen til Microsoft Defender XDR.

Hvis en besked eller hændelse angiver, at en bruger kan være mistænkelig eller kompromitteret, skal du kontrollere og undersøge brugerprofilen for følgende oplysninger og aktiviteter:

  • Brugeridentitet

    • Er brugeren en følsom bruger (f.eks. administrator eller på en visningsliste osv.)?
    • Hvad er deres rolle i organisationen?
    • Er de vigtige i organisationstræet?

  • Undersøg mistænkelige aktiviteter, f.eks.:

    • Har brugeren andre åbne beskeder i Defender for Identity eller i andre sikkerhedsværktøjer, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Cloud og/eller Microsoft Defender for Cloud Apps?
    • Har brugeren ikke logget på?
    • Hvilke ressourcer fik brugeren adgang til?
    • Har brugeren adgang til ressourcer med høj værdi?
    • Skulle brugeren have adgang til de ressourcer, vedkommende fik adgang til?
    • Hvilke enheder logger brugeren på?
    • Skulle brugeren logge på disse enheder?
    • Er der en LMP-sti (lateral movement path ) mellem brugeren og en følsom bruger?

Brug svarene på disse spørgsmål til at afgøre, om kontoen vises kompromitteret, eller om de mistænkelige aktiviteter indebærer skadelige handlinger.

Find identitetsoplysninger i følgende Microsoft Defender XDR områder:

  • Sider med oplysninger om individuelle identiteter
  • Side med oplysninger om individuel besked eller hændelse
  • Sider med enhedsdetaljer
  • Avancerede jagtforespørgsler
  • Siden Handlingscenter

Følgende billede viser f.eks. detaljerne på en side med identitetsoplysninger:

Skærmbillede af en bestemt brugers side på Microsoft Defender-portalen.

Identitetsoplysninger

Når du undersøger en bestemt identitet, får du vist følgende oplysninger på en side med identitetsoplysninger:

Sideområde med identitetsoplysninger Beskrivelse
Fanen Oversigt Generelle identitetsdata, f.eks. Microsoft Entra niveau for identitetsrisiko, antallet af enheder, som brugeren er logget på, hvornår brugeren blev først og sidst set, brugerens konti og flere vigtige oplysninger.

Brug fanen Oversigt til også at få vist grafer for hændelser og beskeder, undersøgelsesprioritetsscore, et organisationstræ, enhedskoder og en aktivitetstidslinje med score.
Hændelser og beskeder Lister aktive hændelser og beskeder, der involverer brugeren fra de seneste 180 dage, herunder oplysninger om alvorsgrad af beskeder og det tidspunkt, hvor beskeden blev genereret.
Observeret i organisationen Omfatter følgende underområder:
- Enheder: De enheder, som identiteten er logget på, herunder de fleste og mindst brugte inden for de sidste 180 dage.
- Placeringer: Identitetens observerede placeringer i løbet af de sidste 30 dage.
- Grupper: Alle observerede grupper i det lokale miljø for identiteten.
- Tværgående bevægelsesstier – alle profilerede tværgående bevægelsesstier fra det lokale miljø.
Identitetstidslinje Tidslinjen repræsenterer aktiviteter og beskeder, der er blevet observeret fra en brugers identitet fra de seneste 180 dage, samlende identitetsposter på tværs af Microsoft Defender for Identity, Microsoft Defender for Cloud Apps og Microsoft Defender for Endpoint.

Brug tidslinjen til at fokusere på aktiviteter, som en bruger udførte eller udførte på dem inden for bestemte tidsrammer. Vælg standardintervallet på 30 dage for at ændre tidsintervalmet til en anden indbygget værdi eller til et brugerdefineret interval.
Afhjælpningshandlinger Besvar kompromitterede brugere ved at deaktivere deres konti eller nulstille deres adgangskode. Når du har foretaget en handling på brugerne, kan du kontrollere aktivitetsoplysningerne i Microsoft Defender XDR **Handlingscenter.

Bemærk!

Undersøgelsesprioritetsscore frarådes den 3. december 2025. Derfor er både opdelingen af undersøgelsesprioritetsscoren og de scorede aktivitetstidslinjekort blevet fjernet fra brugergrænsefladen.

Du kan få flere oplysninger under Undersøg brugere i dokumentationen til Microsoft Defender XDR.

Undersøgelsestrin for mistænkelige grupper

Hvis en besked eller undersøgelse af hændelser er relateret til en Active Directory-gruppe, skal du kontrollere gruppeenheden for følgende oplysninger og aktiviteter:

  • Gruppeobjekt

    • Er gruppen en følsom gruppe, f.eks . domæneadministratorer?
    • Omfatter gruppen følsomme brugere?

  • Undersøg mistænkelige aktiviteter, f.eks.:

    • Har gruppen andre åbne, relaterede beskeder i Defender for Identity eller i andre sikkerhedsværktøjer, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Cloud og/eller Microsoft Defender for Cloud Apps?
    • Hvilke brugere blev for nylig føjet til eller fjernet fra gruppen?
    • Blev gruppen for nylig forespurgte, og af hvem?

Brug svarene på disse spørgsmål som en hjælp i din undersøgelse.

Vælg Gå på jagt eller Åbn tidslinje i en rude med oplysninger om gruppeenhed for at undersøge det. Du kan også finde gruppeoplysninger i følgende Microsoft Defender XDR områder:

  • Side med oplysninger om individuel besked eller hændelse
  • Sider med enheds- eller brugeroplysninger
  • Avancerede jagtforespørgsler

På følgende billede kan du f.eks. se aktivitetstidslinjen Serveroperatører , herunder relaterede beskeder og aktiviteter fra de sidste 180 dage:

Skærmbillede af gruppens tidslinjefane.

Undersøgelsestrin for mistænkelige enheder

Microsoft Defender XDR besked viser alle enheder og brugere, der har forbindelse til hver mistænkelig aktivitet. Vælg en enhed for at få vist siden med enhedsoplysninger, og undersøg derefter følgende oplysninger og aktiviteter:

  • Hvad skete der omkring tidspunktet for den mistænkelige aktivitet?

    • Hvilken bruger er logget på enheden?
    • Logger brugeren normalt på eller får adgang til kilde- eller destinationsenheden?
    • Hvilke ressourcer blev der åbnet? Af hvilke brugere? Hvis der blev adgang til ressourcer, var de så ressourcer med høj værdi?
    • Skulle brugeren have adgang til disse ressourcer?
    • Udførte den bruger, der fik adgang til enheden, andre mistænkelige aktiviteter?

  • Flere mistænkelige aktiviteter, der skal undersøges:

    • Blev andre beskeder åbnet omkring samme tid som denne besked i Defender for Identity eller i andre sikkerhedsværktøjer, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Cloud og/eller Microsoft Defender for Cloud Apps?
    • Var der mislykkede logons?
    • Er der installeret nye programmer?

Brug svarene på disse spørgsmål til at afgøre, om enheden vises kompromitteret, eller om de mistænkelige aktiviteter indebærer skadelige handlinger.

Følgende billede viser f.eks. en side med enhedsoplysninger:

Skærmbillede af en side med enhedsoplysninger.

Du kan få flere oplysninger under Undersøg enheder i dokumentationen til Microsoft Defender XDR.

Næste trin

Tip

Prøv vores interaktive vejledning: Undersøg og reager på angreb med Microsoft Defender for Identity