Untersuchen von Ressourcen
Microsoft Defender for Identity liefert Microsoft Defender XDR Benutzern Hinweise darauf, wann Benutzer, Computer und Geräte verdächtige Aktivitäten ausgeführt haben oder Anzeichen einer Kompromittierung zeigen.
Dieser Artikel enthält Empfehlungen, wie Sie Risiken für Ihre organization ermitteln, entscheiden, wie Sie Abhilfe schaffen und wie Sie ähnliche Angriffe in Zukunft am besten verhindern können.
Untersuchungsschritte für verdächtige Benutzer
Hinweis
Informationen zum Anzeigen von Benutzerprofilen in Microsoft Defender XDR finden Sie in Microsoft Defender XDR Dokumentation.
Wenn eine Warnung oder ein Incident darauf hinweist, dass ein Benutzer möglicherweise verdächtig oder kompromittiert ist, überprüfen Und untersuchen Sie das Benutzerprofil auf die folgenden Details und Aktivitäten:
Benutzeridentität
- Handelt es sich bei dem Benutzer um einen sensiblen Benutzer (z. B. Administrator, Watchlist usw.)?
- Welche Rolle spielt sie im organization?
- Sind sie in der Organisationsstruktur von Bedeutung?
Untersuchen Sie verdächtige Aktivitäten, z. B.:
- Verfügt der Benutzer über weitere geöffnete Warnungen in Defender for Identity oder in anderen Sicherheitstools wie Microsoft Defender for Endpoint, Microsoft Defender für Cloud und/oder Microsoft Defender for Cloud Apps?
- Hat der Benutzer fehlgeschlagene Anmeldungen?
- Auf welche Ressourcen hat der Benutzer zugegriffen?
- Hat der Benutzer auf hochwertige Ressourcen zugegriffen?
- Sollte der Benutzer auf die Ressourcen zugreifen, auf die er zugegriffen hat?
- Bei welchen Geräten hat sich der Benutzer angemeldet?
- Sollte sich der Benutzer bei diesen Geräten anmelden?
- Gibt es einen Lateral Movement-Pfad (LMP) zwischen dem Benutzer und einem sensiblen Benutzer?
Verwenden Sie die Antworten auf diese Fragen, um festzustellen, ob das Konto kompromittiert erscheint oder ob die verdächtigen Aktivitäten böswillige Aktionen imPlizieren.
Suchen Sie Identitätsinformationen in den folgenden Microsoft Defender XDR Bereichen:
- Detailseiten für einzelne Identitäten
- Seite mit Details zu einzelnen Warnungen oder Vorfällen
- Gerätedetailseite
- Abfragen für die erweiterte Suche
- Seite "Info-Center"
Die folgende Abbildung zeigt beispielsweise die Details auf einer Identitätsdetailseite:
Identitätsdetails
Wenn Sie eine bestimmte Identität untersuchen, werden die folgenden Details auf einer Identitätsdetailseite angezeigt:
Bereich der Seite "Identitätsdetails" | Beschreibung |
---|---|
Registerkarte "Übersicht" | Allgemeine Identitätsdaten, z. B. die Microsoft Entra Identitätsrisikostufe, die Anzahl der Geräte, bei der der Benutzer angemeldet ist, als der Benutzer zum ersten und letzten Mal gesehen wurde, die Konten des Benutzers und wichtigere Informationen. Verwenden Sie die Registerkarte Übersicht, um auch Diagramme für Incidents und Warnungen, die Bewertung der Untersuchungspriorität, eine Organisationsstruktur, Entitätstags und eine bewertete Aktivität Zeitleiste anzuzeigen. |
Vorfälle und Warnungen | Listen aktive Incidents und Warnungen, die den Benutzer aus den letzten 180 Tagen betreffen, einschließlich Details wie dem Schweregrad der Warnung und dem Zeitpunkt, zu dem die Warnung generiert wurde. |
Beobachtet in organization | Umfasst die folgenden Teilbereiche: - Geräte: Die Geräte, bei denen sich die Identität angemeldet hat, einschließlich der meisten und der geringsten Nutzung in den letzten 180 Tagen. - Standorte: Die beobachteten Standorte der Identität in den letzten 30 Tagen. - Gruppen: Alle beobachteten lokalen Gruppen für die Identität. - Lateral Movement-Pfade : Alle Profilpfade für laterale Verschiebungen aus der lokalen Umgebung. |
Identitäts-Zeitleiste | Die Zeitleiste stellt Aktivitäten und Warnungen dar, die von der Identität eines Benutzers in den letzten 180 Tagen beobachtet wurden, und vereinheitlicht Identitätseinträge in Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint. Verwenden Sie die Zeitleiste, um sich auf Aktivitäten zu konzentrieren, die ein Benutzer in bestimmten Zeitrahmen ausgeführt oder ausgeführt hat. Wählen Sie die Standardeinstellung 30 Tage aus, um den Zeitbereich in einen anderen integrierten Wert oder in einen benutzerdefinierten Bereich zu ändern. |
Wartungsaktionen | Reagieren Sie auf kompromittierte Benutzer, indem Sie ihre Konten deaktivieren oder ihr Kennwort zurücksetzen. Nachdem Sie Aktionen für Benutzer ergriffen haben, können Sie die Aktivitätsdetails im Microsoft Defender XDR **Info-Center überprüfen. |
Hinweis
Die Bewertung der Untersuchungspriorität wurde am 3. Dezember 2025 eingestellt. Daher wurden sowohl die Aufschlüsselung der Untersuchungsprioritätsbewertung als auch die bewertete Aktivität Zeitleiste Karten aus der Benutzeroberfläche entfernt.
Weitere Informationen finden Sie unter Untersuchen von Benutzern in der Microsoft Defender XDR-Dokumentation.
Untersuchungsschritte für verdächtige Gruppen
Wenn eine Warnungs- oder Incidentuntersuchung mit einer Active Directory-Gruppe zusammenhängt, überprüfen Sie die Gruppenentität auf die folgenden Details und Aktivitäten:
Gruppenentität
- Handelt es sich bei der Gruppe um eine vertrauliche Gruppe, z. B. Domänenadministratoren?
- Enthält die Gruppe sensible Benutzer?
Untersuchen Sie verdächtige Aktivitäten, z. B.:
- Verfügt die Gruppe über weitere geöffnete, verwandte Warnungen in Defender for Identity oder in anderen Sicherheitstools wie Microsoft Defender for Endpoint, Microsoft Defender für Cloud und/oder Microsoft Defender for Cloud Apps?
- Welche Benutzer wurden kürzlich der Gruppe hinzugefügt oder daraus entfernt?
- Wurde die Gruppe kürzlich abgefragt, und von wem?
Verwenden Sie die Antworten auf diese Fragen, um Ihre Untersuchung zu unterstützen.
Wählen Sie im Detailbereich einer Gruppenentität die Option Gehe zur Suche oder Zeitleiste öffnen aus, um sie zu untersuchen. Gruppeninformationen finden Sie auch in den folgenden Microsoft Defender XDR Bereichen:
- Seite mit Details zu einzelnen Warnungen oder Vorfällen
- Seite mit Geräte- oder Benutzerdetails
- Abfragen für die erweiterte Suche
Die folgende Abbildung zeigt z. B. die Aktivität von Serveroperatoren Zeitleiste, einschließlich zugehöriger Warnungen und Aktivitäten der letzten 180 Tage:
Untersuchungsschritte für verdächtige Geräte
Microsoft Defender XDR Warnung listet alle Geräte und Benutzer auf, die mit jeder verdächtigen Aktivität verbunden sind. Wählen Sie ein Gerät aus, um die Seite mit den Gerätedetails anzuzeigen, und untersuchen Sie dann die folgenden Details und Aktivitäten:
Was ist zum Zeitpunkt der verdächtigen Aktivität passiert?
- Welcher Benutzer war beim Gerät angemeldet?
- Melden sie sich normalerweise beim Quell- oder Zielgerät an oder greifen sie darauf zu?
- Auf welche Ressourcen wurde zugegriffen? Von welchen Benutzern? Wenn auf Ressourcen zugegriffen wurde, handelte es sich um hochwertige Ressourcen?
- Sollte der Benutzer auf diese Ressourcen zugreifen?
- Hat der Benutzer, der auf das Gerät zugegriffen hat, andere verdächtige Aktivitäten ausgeführt?
Weitere verdächtige Aktivitäten, die untersucht werden müssen:
- Wurden etwa zur gleichen Zeit wie diese Warnung in Defender for Identity oder in anderen Sicherheitstools wie Microsoft Defender for Endpoint, Microsoft Defender für Cloud und/oder Microsoft Defender for Cloud Apps weitere Warnungen geöffnet?
- Gab es fehlgeschlagene Anmeldungen?
- Wurden neue Programme bereitgestellt oder installiert?
Verwenden Sie die Antworten auf diese Fragen, um festzustellen, ob das Gerät kompromittiert erscheint oder ob die verdächtigen Aktivitäten böswillige Aktionen imPlizieren.
Die folgende Abbildung zeigt z. B. eine Gerätedetailseite:
Weitere Informationen finden Sie unter Untersuchen von Geräten in der Microsoft Defender XDR Dokumentation.
Nächste Schritte
- Untersuchen von Lateral Movement-Pfaden (LMPs)
- Untersuchen von Benutzern in Microsoft Defender XDR
- Untersuchen von Vorfällen in Microsoft Defender XDR
Tipp
Probieren Sie unseren interaktiven Leitfaden aus: Untersuchen und Reagieren auf Angriffe mit Microsoft Defender for Identity