Freigeben über


Seite "Benutzerentität" in Microsoft Defender

Die Seite "Benutzerentität" im Microsoft Defender-Portal hilft Ihnen bei der Untersuchung von Benutzerentitäten. Die Seite enthält alle wichtigen Informationen zu einer bestimmten Benutzerentität. Wenn eine Warnung oder ein Incident darauf hinweist, dass ein Benutzer möglicherweise kompromittiert oder verdächtig ist, überprüfen und untersuchen Sie die Benutzerentität.

Informationen zur Benutzerentität finden Sie in den folgenden Ansichten:

  • Seite "Identitäten" unter Assets
  • Benachrichtigungswarteschlange
  • Jede einzelne Warnung/jeder Incident
  • Seite „Geräte“
  • Seite "Jede einzelne Geräteentität"
  • Aktivitätsprotokoll
  • Abfragen für die erweiterte Suche
  • Info-Center

Wählen Sie überall dort, wo Benutzerentitäten in diesen Ansichten angezeigt werden, die Entität aus, um die Seite Benutzer anzuzeigen, auf der weitere Details zum Benutzer angezeigt werden. Beispielsweise können Sie die Details der Benutzerkonten, die in den Warnungen zu einem Incident im Microsoft Defender-Portal identifiziert wurden, unter Incidents & Warnungen > Incidents Incidents> Assets >> Users anzeigen.

Screenshot der Seite

Wenn Sie eine bestimmte Benutzerentität untersuchen, werden auf der Entitätsseite die folgenden Registerkarten angezeigt:

Auf der Seite "Benutzer" werden die Microsoft Entra organization sowie Gruppen angezeigt, die Ihnen helfen, die Gruppen und Berechtigungen zu verstehen, die einem Benutzer zugeordnet sind.

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Übersicht

Entitätsdetails

Der Bereich Entitätsdetails auf der linken Seite der Seite enthält Informationen zum Benutzer, z. B. die Microsoft Entra Identitätsrisikostufe, die Anzahl der Geräte, bei denen der Benutzer angemeldet ist, als der Benutzer zum ersten und letzten Mal gesehen wurde, die Konten des Benutzers, die Gruppen, zu denen der Benutzer gehört, Kontaktinformationen und vieles mehr. Abhängig von den von Ihnen aktivierten Integrationsfeatures werden weitere Details angezeigt.

Visuelle Ansicht von Incidents und Warnungen

Diese Karte umfasst alle Incidents und Warnungen, die der Benutzerentität zugeordnet sind, gruppiert nach Schweregrad.

Untersuchungspriorität

Diese Karte enthält die berechnete Bewertung der Untersuchungspriorität der Benutzerentität und einen zweiwöchigen Trend für diese Bewertung, einschließlich des Perzentils der Bewertung in Bezug auf den Mandanten.

Active Directory-Kontosteuerelemente

Diese Karte werden Microsoft Defender for Identity Sicherheitseinstellungen angezeigt, die Möglicherweise Ihre Aufmerksamkeit erfordern. Sie können wichtige Flags zu den Kontoeinstellungen des Benutzers anzeigen, z. B. wenn der Benutzer die EINGABETASTE drücken kann, um das Kennwort zu umgehen, und ob der Benutzer über ein Kennwort verfügt, das nie abläuft usw.

Weitere Informationen finden Sie unter Flags für die Benutzerkontensteuerung.

Bewertete Aktivitäten

Diese Karte umfasst alle Aktivitäten und Warnungen, die zur Bewertung der Untersuchungspriorität der Entität in den letzten sieben Tagen beigetragen haben.

Organisationsstruktur

In diesem Abschnitt wird die Position der Benutzerentität in der Organisationshierarchie angezeigt, wie von Microsoft Defender for Identity gemeldet.

Kontotags

Microsoft Defender for Identity ruft Tags aus Active Directory ab, um Ihnen eine einzige Schnittstelle zum Überwachen Ihrer Active Directory-Benutzer und -Entitäten zu bieten. Tags stellen Details aus Active Directory zur Entität bereit und umfassen Folgendes:

Name Beschreibung
New Gibt an, dass die Entität vor weniger als 30 Tagen erstellt wurde.
Gelöscht Gibt an, dass die Entität endgültig aus Active Directory gelöscht wurde.
Disabled Gibt an, dass die Entität derzeit in Active Directory deaktiviert ist. Das disabled-Attribut ist ein Active Directory-Flag, das für Benutzerkonten, Computerkonten und andere Objekte verfügbar ist, um anzugeben, dass das Objekt derzeit nicht verwendet wird.

Wenn ein Objekt deaktiviert ist, kann es nicht zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden.
Enabled Gibt an, dass die Entität derzeit in Active Directory aktiviert ist. Dies gibt an, dass die Entität derzeit verwendet wird und zum Anmelden oder Ausführen von Aktionen in der Domäne verwendet werden kann.
Abgelaufen Gibt an, dass die Entität in Active Directory abgelaufen ist. Wenn ein Benutzerkonto abgelaufen ist, kann sich der Benutzer nicht mehr bei der Domäne anmelden oder auf Netzwerkressourcen zugreifen. Das abgelaufene Konto wird im Wesentlichen so behandelt, als wäre es deaktiviert, aber mit einem expliziten Ablaufdatum festgelegt.

Alle Dienste oder Anwendungen, für die der Benutzer autorisiert war, können ebenfalls betroffen sein, je nachdem, wie sie konfiguriert sind.
Honeytoken Gibt an, dass die Entität manuell als Honeytoken gekennzeichnet ist.
Locked Gibt an, dass die Entität das falsche Kennwort zu oft angegeben hat und jetzt gesperrt ist.
Teilweise Gibt an, dass der Benutzer, das Gerät oder die Gruppe nicht mit der Domäne synchronisiert ist und teilweise über einen globalen Katalog aufgelöst wird. In diesem Fall sind einige Attribute nicht verfügbar.
Ungelöst Gibt an, dass das Gerät nicht in eine gültige Identität in der Active Directory-Gesamtstruktur aufgelöst wird. Es sind keine Verzeichnisinformationen verfügbar.
Vertraulich Gibt an, dass die Entität als vertraulich betrachtet wird.

Weitere Informationen finden Sie unter Defender for Identity-Entitätstags in Microsoft Defender XDR.

Hinweis

Der organization-Strukturabschnitt und die Kontotags sind verfügbar, wenn eine Microsoft Defender for Identity Lizenz verfügbar ist.

Screenshot der Seite eines bestimmten Benutzers im Microsoft Defender-Portal

Vorfälle und Warnungen

Auf dieser Registerkarte werden alle aktiven Incidents und Warnungen angezeigt, die den Benutzer aus den letzten sechs Monaten betreffen. Alle Informationen aus den Standard Incidents und Warnungswarteschlangen werden hier angezeigt. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seiner status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falsch, true alert), des Untersuchungszustands, der Kategorie, der Person, die ihm zugewiesen ist, und der letzten beobachteten Aktivität.

Sie können die Anzahl der angezeigten Elemente und die Spalten anpassen, die für jedes Element angezeigt werden. Das Standardverhalten besteht darin, 30 Elemente pro Seite aufzulisten. Sie können die Warnungen auch nach Schweregrad, status oder einer anderen Spalte in der Anzeige filtern.

Die Spalte betroffener Entitäten bezieht sich auf alle Geräte- und Benutzerentitäten, auf die in dem Incident oder der Warnung verwiesen wird.

Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.

Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.

Screenshot der zugehörigen Warnungen des Benutzerkontos auf der Registerkarte

Beobachtet in organization

  • Geräte: In diesem Abschnitt werden alle Geräte angezeigt, bei denen sich die Benutzerentität in den vorherigen 180 Tagen angemeldet hat, wobei die am häufigsten und am wenigsten verwendeten Geräte angegeben sind.

  • Speicherorte: In diesem Abschnitt werden alle beobachteten Speicherorte für die Benutzerentität in den letzten 30 Tagen angezeigt.

  • Gruppen: In diesem Abschnitt werden alle beobachteten lokalen Gruppen für die Benutzerentität angezeigt, wie von Microsoft Defender for Identity gemeldet.

  • Lateral Movement-Pfade: In diesem Abschnitt werden alle Lateral Movement-Pfade aus der lokalen Umgebung angezeigt, die von Defender for Identity erkannt wurden.

Hinweis

Gruppen- und Lateral Movement-Pfade sind verfügbar, wenn eine Microsoft Defender for Identity-Lizenz verfügbar ist.

Wenn Sie die Registerkarte Lateral movements (Seitliche Bewegungen) auswählen, können Sie eine vollständig dynamische und klickbare Karte anzeigen, auf der Sie die Lateral Movement-Pfade zu und von einem Benutzer anzeigen können. Ein Angreifer kann die Pfadinformationen verwenden, um Ihr Netzwerk zu infiltrieren.

Die Karte enthält eine Liste anderer Geräte oder Benutzer, die ein Angreifer ausnutzen kann, um ein sensibles Konto zu kompromittieren. Wenn der Benutzer über ein vertrauliches Konto verfügt, können Sie sehen, wie viele Ressourcen und Konten direkt verbunden sind.

Der Lateral Movement-Pfadbericht, der nach Datum angezeigt werden kann, ist immer verfügbar, um Informationen über die ermittelten potenziellen Lateral Movement-Pfade bereitzustellen und kann nach Zeit angepasst werden. Wählen Sie ein anderes Datum aus, indem Sie ein anderes Datum anzeigen verwenden, um frühere Lateral Movement-Pfade anzuzeigen, die für eine Entität gefunden wurden. Das Diagramm wird nur angezeigt, wenn in den letzten zwei Tagen ein potenzieller Lateral Movement-Pfad für eine Entität gefunden wurde.

Screenshot der Ansicht

Zeitachse

Die Zeitleiste zeigt Benutzeraktivitäten und Warnungen an, die von der Identität eines Benutzers in den letzten 180 Tagen beobachtet wurden. Sie vereinheitlicht die Identitätseinträge des Benutzers über Microsoft Defender for Identity-, Microsoft Defender for Cloud Apps- und Microsoft Defender for Endpoint-Workloads hinweg. Mithilfe der Zeitleiste können Sie sich auf Aktivitäten konzentrieren, die ein Benutzer in bestimmten Zeitrahmen ausgeführt oder ausgeführt hat.

Damit Benutzer der einheitlichen SOC-Plattform Warnungen von Microsoft Sentinel basierend auf anderen Datenquellen als den im vorherigen Absatz anzeigen können, finden sie diese Warnungen und andere Informationen auf der Registerkarte Sentinel Ereignisse, die unten beschrieben wird.

  • Benutzerdefinierte Zeitbereichsauswahl: Sie können einen Zeitrahmen auswählen, um ihre Untersuchung auf die letzten 24 Stunden, die letzten 3 Tage usw. zu konzentrieren. Alternativ können Sie einen bestimmten Zeitrahmen auswählen, indem Sie auf Benutzerdefinierter Bereich klicken. Gefilterte Daten, die älter als 30 Tage sind, werden in Intervallen von sieben Tagen angezeigt.
    Zum Beispiel:

    Screenshot: Auswählen des Zeitrahmens

  • Zeitachsenfilter: Um Ihre Untersuchungserfahrung zu verbessern, können Sie die Zeitleiste Filter verwenden: Typ (Warnungen und/oder benutzerbezogene Aktivitäten), Warnungsschweregrad, Aktivitätstyp, App, Standort, Protokoll. Jeder Filter hängt von den anderen ab, und die Optionen in den einzelnen Filtern (Dropdownliste) enthalten nur die Daten, die für den jeweiligen Benutzer relevant sind.

  • Schaltfläche "Exportieren": Sie können die Zeitleiste in eine CSV-Datei exportieren. Der Export ist auf die ersten 5.000 Datensätze beschränkt und enthält die Daten, wie sie auf der Benutzeroberfläche angezeigt werden (dieselben Filter und Spalten).

  • Benutzerdefinierte Spalten: Sie können auswählen, welche Spalten im Zeitleiste verfügbar gemacht werden sollen, indem Sie die Schaltfläche Spalten anpassen auswählen. Zum Beispiel:

    Screenshot, der das Bild des Benutzers zeigt.

Welche Datentypen sind verfügbar?

Die folgenden Datentypen sind im Zeitleiste verfügbar:

  • Die betroffenen Warnungen eines Benutzers
  • Active Directory- und Microsoft Entra-Aktivitäten
  • Ereignisse von Cloud-Apps
  • Geräteanmeldungsereignisse
  • Änderungen an Verzeichnisdiensten

Welche Informationen werden angezeigt?

Die folgenden Informationen werden im Zeitleiste angezeigt:

  • Datum und Uhrzeit der Aktivität
  • Beschreibung der Aktivität/Warnung
  • Anwendung, die die Aktivität ausgeführt hat
  • Quellgerät/IP-Adresse
  • MITRE ATT&CK-Techniken
  • Schweregrad und status von Warnungen
  • Land/Region, in dem die Client-IP-Adresse geolokal ist
  • Während der Kommunikation verwendetes Protokoll
  • Zielgerät (optional, durch Anpassen von Spalten sichtbar)
  • Anzahl der Aktivitätsausführungen (optional, durch Anpassen von Spalten sichtbar)

Zum Beispiel:

Screenshot der Registerkarte

Hinweis

Microsoft Defender XDR können Datums- und Uhrzeitinformationen mithilfe Ihrer lokalen Zeitzone oder UTC anzeigen. Die ausgewählte Zeitzone gilt für alle Datums- und Uhrzeitinformationen, die im Identitäts-Zeitleiste angezeigt werden.

Um die Zeitzone für diese Features festzulegen, wechseln Sie zu Einstellungen>Security Center>Zeitzone.

Sentinel Ereignisse

Wenn Ihr organization in das Defender-Portal integriert Microsoft Sentinel, befindet sich diese zusätzliche Registerkarte auf der Benutzerentitätsseite. Auf dieser Registerkarte wird die Entitätsseite Konto aus Microsoft Sentinel importiert.

Sentinel Zeitleiste

In diesem Zeitleiste werden Warnungen angezeigt, die der Benutzerentität zugeordnet sind. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, sowie Warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.

Dieses Zeitleiste zeigt auch Mit Lesezeichen versehene Huntings aus anderen Untersuchungen, die auf diese Benutzerentität verweisen, Benutzeraktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln Microsoft Sentinel erkannt wurden.

Einblicke

Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer Benutzerentität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Zu den Erkenntnissen gehören Daten zu Anmeldungen, Gruppenerfügungen, anomalen Ereignissen und mehr sowie erweiterte Algorithmen für maschinelles Lernen, um anomales Verhalten zu erkennen.

Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:

  • Benutzerpeers basierend auf der Mitgliedschaft in Sicherheitsgruppen.
  • Aktionen nach Konto.
  • Aktionen auf Konto.
  • Vom Benutzer gelöschte Ereignisprotokolle.
  • Gruppenzufügungen.
  • Anomale hohe Anzahl von Bürovorgängen.
  • Ressourcenzugriff.
  • Ungewöhnlich hohe Anzahl von Azure-Anmeldeergebnissen.
  • UEBA-Erkenntnisse.
  • Benutzerzugriffsberechtigungen für Azure-Abonnements.
  • Bedrohungsindikatoren im Zusammenhang mit dem Benutzer.
  • Watchlist-Erkenntnisse (Vorschau)
  • Windows-Anmeldeaktivität.

Die Erkenntnisse basieren auf den folgenden Datenquellen:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Screenshot der Registerkarte Sentinel Ereignisse auf der Benutzerentitätsseite.

Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.

Screenshot des Bildschirms

Wartungsaktionen

Auf der Seite Übersicht können Sie die folgenden zusätzlichen Aktionen ausführen:

  • Aktivieren, Deaktivieren oder Anhalten des Benutzers in Microsoft Entra ID
  • Weisen Sie den Benutzer an, bestimmte Aktionen auszuführen, z. B. die erneute Anmeldung des Benutzers oder die Erzwingung der Kennwortzurücksetzung.
  • Zurücksetzen der Bewertung der Untersuchungspriorität für den Benutzer
  • Anzeigen Microsoft Entra Kontoeinstellungen, zugehöriger Governance, der Dateien im Besitz des Benutzers oder der freigegebenen Dateien des Benutzers

Screenshot der Wartungsaktionen für einen Benutzer im Microsoft Defender-Portal

Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.