Käyttäjän entiteettisivu Microsoft Defender
käyttäjäentiteettisivu Microsoft Defender portaalissa auttaa käyttäjäentiteettien tutkimisessa. Sivu sisältää kaikki tärkeät tiedot tietystä käyttäjäentiteetistä. Jos ilmoitus tai tapaus osoittaa, että käyttäjä saattaa olla vaarantunut tai epäilyttävä, tarkista ja tutki käyttäjäentiteetti.
Käyttäjäentiteetin tiedot ovat seuraavissa näkymissä:
- Käyttäjätiedot-sivu Assets-kohdassa
- Ilmoitusjono
- Yksittäiset hälytykset tai tapahtumat
- Laitteet-sivu
- Mikä tahansa yksittäisen laitteen entiteettisivu
- Toimintoloki
- Kehittyneet metsästyskyselyt
- Toimintokeskus
Jos käyttäjäentiteetit näkyvät näissä näkymissä, valitse entiteetti, jotta näet Käyttäjä-sivun , joka näyttää lisätietoja käyttäjästä. Voit esimerkiksi nähdä tapahtuman hälytyksissä tunnistettujen käyttäjätilien tiedot Microsoft Defender-portaalissa kohdassa Tapaukset & hälytykset >Tapaukset TapausResurssien>>> käyttäjät.
Kun tutkit tiettyä käyttäjäentiteettiä, näet seuraavat välilehdet sen entiteettisivulla:
Yleiskatsaus, mukaan lukien entiteetin tiedot, tapaukset ja hälytykset -visualisointinäkymä, käyttäjätilin valvontamerkinnät ja niin edelleen.
Tapaukset ja hälytykset -välilehti
Sentinel tapahtumat -välilehti
Käyttäjäsivulla näkyvät sekä Microsoft Entra organisaatiossa että ryhmissä, mikä auttaa ymmärtämään käyttäjään liittyviä ryhmiä ja käyttöoikeuksia.
Tärkeää
Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.
Yleiskatsaus
Entiteetin tiedot
Sivun vasemmassa reunassa olevassa Entiteetin tiedot -paneelissa on tietoja käyttäjästä, kuten Microsoft Entra käyttäjätietojen riskitaso, insider-riskin vakavuustaso (esikatselu), niiden laitteiden määrä, joihin käyttäjä on kirjautunut, kun käyttäjä nähtiin ensimmäisen ja edellisen kerran, käyttäjän tilit, ryhmät, joihin käyttäjä kuuluu, yhteystiedot, ja paljon muuta. Näet muita tietoja sen mukaan, mitä integrointiominaisuuksia olet ottanut käyttöön.
Huomautus
Tutkimuksen prioriteettipisteet on vanhentunut 3.12.2025. Tämän seurauksena sekä Investigation Priority Score -erittely että Pisteytetyt toiminnot -kortit on poistettu käyttöliittymästä.
Huomautus
(Esikatselu) Microsoft Defender XDR käyttäjät, joilla on Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta käyttöoikeus, voivat nyt nähdä käyttäjän insider-riskin vakavuuden ja saada tietoja käyttäjän epäilyttävistä toiminnoista käyttäjäsivulla. Valitse Insider-riskin vakavuus Entiteetin tiedot -kohdasta, jotta näet käyttäjän riskin merkitykselliset tiedot.
Tapausten ja hälytysten visuaalinen näkymä
Tämä kortti sisältää kaikki käyttäjäentiteettiin liittyvät tapaukset ja hälytykset vakavuuden mukaan ryhmiteltynä.
Active Directory -tilin ohjausobjektit
Tämä kortti tuo näyttöön Microsoft Defender for Identity suojausasetuksia, jotka saattavat edellyttää käyttäjän toimia. Näet tärkeitä merkintöjä käyttäjän tilin asetuksista, kuten jos käyttäjä voi painaa Enter-näppäintä ohittaakseen salasanan, ja onko käyttäjällä salasana, joka ei vanhene koskaan, jne.
Lisätietoja on kohdassa Käyttäjätilien valvonnan merkinnät.
Organisaatiopuu
Tässä osiossa näytetään käyttäjäentiteetin paikka organisaatiohierarkiassa Microsoft Defender for Identity raportoimana.
Tilitunnisteet
Microsoft Defender for Identity hakee tunnisteet Active Directorysta, jotta saat yhden käyttöliittymän Active Directory -käyttäjien ja -entiteettien seurantaa varten. Tunnisteet antavat Active Directoryn tietoja entiteetistä ja sisältävät seuraavat:
| Nimi | Kuvaus |
|---|---|
| Uusi | Ilmaisee, että entiteetti luotiin alle 30 päivää sitten. |
| Deleted | Ilmaisee, että entiteetti poistettiin pysyvästi Active Directorysta. |
| Vammainen | Ilmaisee, että entiteetti on tällä hetkellä poistettu käytöstä Active Directoryssa.
Käytöstä poistettu -määrite on Active Directory -merkintä, joka on käytettävissä käyttäjätileille, tietokonetileille ja muille objekteille osoittamaan, ettei objekti ole tällä hetkellä käytössä. Kun objekti on poistettu käytöstä, sillä ei voi kirjautua sisään tai suorittaa toimintoja toimialueella. |
| Käytössä | Ilmaisee, että entiteetti on tällä hetkellä käytössä Active Directoryssa, mikä ilmaisee, että entiteetti on tällä hetkellä käytössä, ja sen avulla voidaan kirjautua sisään tai suorittaa toimintoja toimialueella. |
| Erääntynyt | Ilmaisee, että entiteetti on vanhentunut Active Directoryssa. Kun käyttäjätili on vanhentunut, käyttäjä ei voi enää kirjautua toimialueelle tai käyttää verkkoresursseja. Vanhentunutta tiliä käsitellään lähinnä ikään kuin se olisi poistettu käytöstä, mutta siinä on määritetty eksplisiittinen vanhentumispäivä. Tämä voi vaikuttaa myös palveluihin tai sovelluksiin, joihin käyttäjällä on käyttöoikeus, riippuen siitä, miten ne on määritetty. |
| Hunajainen tunnus | Ilmaisee, että entiteetti on merkitty manuaalisesti hunajatunnuksena. |
| Lukittu | Ilmaisee, että entiteetti antoi väärän salasanan liian monta kertaa ja on nyt lukittu. |
| Osittainen | Ilmaisee, että käyttäjä, laite tai ryhmä ei ole synkronoitu toimialueen kanssa ja että se ratkaistaan osittain yleisen luettelon kautta. Tässä tapauksessa jotkin määritteet eivät ole käytettävissä. |
| Ratkaisematon | Ilmaisee, että laite ei ratkaise kelvollisia käyttäjätietoja Active Directory -toimialuepuuryhmässä. Hakemistotietoja ei ole käytettävissä. |
| Herkkä | Ilmaisee, että entiteettiä pidetään arkaluontoisena. |
Lisätietoja on artikkelissa Defender for Identity -entiteettitunnisteet Microsoft Defender XDR.
Huomautus
Organisaatiopuu-osa ja tilin tunnisteet ovat käytettävissä, kun Microsoft Defender for Identity käyttöoikeus on käytettävissä.
Tapaukset ja hälytykset
Näet kaikki käyttäjään liittyvät aktiiviset tapaukset ja hälytykset viimeisten kuuden kuukauden ajalta tässä välilehdessä. Kaikki päätapausten ja hälytysjonojen tiedot näkyvät tässä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.
Voit mukauttaa näytettävien kohteiden määrää ja sitä, mitkä sarakkeet näytetään kullekin kohteelle. Oletustoiminta on luetteloi 30 kohdetta sivua kohden. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.
Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.
Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.
Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.
Havaittu organisaatiossa
Laitteet: tässä osiossa näkyvät kaikki laitteet, joissa käyttäjäentiteetti on kirjautunut sisään 180 edellisen päivän aikana, mikä ilmaisee käytetyimmän ja vähiten käytetyn.
Sijainnit: tässä osiossa näkyvät kaikki havaitut sijainnit käyttäjäentiteetille viimeisten 30 päivän ajalta.
Ryhmät: tässä osiossa näkyvät kaikki havaitut paikalliset ryhmät käyttäjäentiteetille, kuten Microsoft Defender for Identity on ilmoittanut.
Sivuttaisten siirtojen polut: tässä osiossa näkyvät kaikki profiloituja sivuttaisten siirtojen polkuja paikallisesta ympäristöstä, kuten Defender for Identity on havainnut.
Huomautus
Ryhmät- ja sivusuuntaiset siirtopolut ovat käytettävissä, kun Microsoft Defender for Identity käyttöoikeus on käytettävissä.
Valitsemalla Sivuttaiset liikkeet -välilehden voit tarkastella täysin dynaamista ja napsautettavaa karttaa, jossa voit tarkastella sivuttaisten siirtojen polkuja käyttäjälle ja käyttäjältä. Hyökkääjä voi soluttautua verkkoosi polkutietojen avulla.
Kartassa on luettelo muista laitteista tai käyttäjistä, joiden avulla hyökkääjä voi vaarantaa arkaluontoisen tilin. Jos käyttäjällä on arkaluontoinen tili, näet, kuinka monta resurssia ja tiliä on yhdistetty suoraan.
Sivuttaisen liikkeen polkuraportti, jota voidaan tarkastella päivämäärän mukaan, on aina käytettävissä, jotta se voi antaa tietoja löytyneet ja ajan mukaan mukautettavat mahdolliset sivuttaiset siirtopolut. Valitse toinen päivämäärä käyttämällä Näytä eri päivämäärä -toimintoa , jos haluat tarkastella entiteetin aiempia sivuttaisten siirtojen polkuja. Kaavio näyttää vain, jos entiteetille on löydetty mahdollinen sivuttaisliikepolku kahden viime päivän aikana.
Aikajana
Aikajana näyttää käyttäjän toiminnot ja hälytykset, joita on havaittu käyttäjän identiteetistä viimeisten 180 päivän aikana. Se yhdistää käyttäjän käyttäjätiedot Microsoft Defender for Identity, Microsoft Defender for Cloud Apps ja Microsoft Defender for Endpoint kuormitusten välillä. Aikajanan avulla voit keskittyä käyttäjän suorittamiin tai niille tiettyihin aikajaksoihin kohdistettuihin toimintoihin.
Jotta yhdistetyn SOC-ympäristön käyttäjät voivat tarkastella Microsoft Sentinel hälytyksiä muiden tietolähteiden kuin edellisessä kappaleessa mainittujen tietolähteiden perusteella, he löytävät nämä ilmoitukset ja muut tiedot alla kuvatustaSentinel -tapahtumavälilehdeltä.
Mukautettu aika-alueen valitsin: Voit valita aikarajan, jonka kuluessa tutkimus on kohdistettuna viimeiselle 24 tunnissa, viimeiselle kolmelle päivälle ja niin edelleen. Voit myös valita tietyn aikataulun valitsemalla Mukautettu alue. Yli 30 päivää vanhemmat suodatetut tiedot näytetään seitsemän päivän välein.
Esimerkki:
Aikajanasuodattimet: Voit parantaa tutkimuskokemusta käyttämällä aikajanasuodattimia: Tyyppi (ilmoitukset ja/tai käyttäjän liittyvät toiminnot), Ilmoituksen vakavuus, Toimintatyyppi, Sovellus, Sijainti, Protokolla. Kukin suodatin on riippuvainen muista, ja kunkin suodattimen vaihtoehdot (avattava valikko) sisältävät vain tietylle käyttäjälle olennaiset tiedot.
Vientipainike: Voit viedä aikajanan CSV-tiedostoon. Vienti on rajoitettu 5 000 ensimmäiseen tietueeseen, ja se sisältää tiedot sellaisina kuin ne näkyvät käyttöliittymässä (samat suodattimet ja sarakkeet).
Mukautetut sarakkeet: Voit valita, mitkä sarakkeet näkyvät aikajanalla, valitsemalla Mukauta sarakkeita -painikkeen. Esimerkki:
Mitkä tietotyypit ovat käytettävissä?
Seuraavat tietotyypit ovat käytettävissä aikajanalla:
- Käyttäjän hälytykset, joihin tämä vaikuttaa
- Active Directory- ja Microsoft Entra-toiminnot
- Pilvisovellusten tapahtumat
- Laitteen kirjautumistapahtumat
- Hakemistopalveluiden muutokset
Mitä tietoja näytetään?
Seuraavat tiedot näkyvät aikajanalla:
- Aktiviteetin päivämäärä ja aika
- Toiminnon tai hälytyksen kuvaus
- Toiminnon suorittanut sovellus
- Lähdelaite/IP-osoite
- MITRE ATT&CK-tekniikat
- Ilmoituksen vakavuus ja tila
- Maa tai alue, jossa asiakkaan IP-osoite on geolokattu
- Tiedonsiirron aikana käytettävä protokolla
- Kohdelaite (valinnainen, tarkasteltavissa sarakkeita mukauttamalla)
- Kuinka monta kertaa toiminto tapahtui (valinnainen, tarkasteltavissa mukauttamalla sarakkeita)
Esimerkki:
Huomautus
Microsoft Defender XDR voi näyttää päivämäärä- ja aikatiedot joko paikallisen aikavyöhykkeen tai UTC:n avulla. Valittu aikavyöhyke koskee kaikkia päivämäärä- ja aikatietoja, jotka näkyvät Käyttäjätiedot-aikajanalla.
Jos haluat määrittää aikavyöhykkeen näille ominaisuuksille, siirry kohtaan Asetukset>Tietoturvakeskuksen>aikavyöhyke.
Sentinel tapahtumat
Jos organisaatiosi Microsoft Sentinel Defender-portaaliin, tämä lisävälilehti on käyttäjän entiteettisivulla. Tämä välilehti tuo Tili-entiteettisivun Microsoft Sentinel.
Sentinel aikajana
Tällä aikajanalla näkyvät käyttäjän entiteettiin liittyvät ilmoitukset. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä kolmansien osapuolten, muiden kuin Microsoftin tietolähteiden Microsoft Sentinel luomat hälytykset.
Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja epätavallisiin käyttäytymisiin, joita Microsoft Sentinel poikkeamasäännöt havaitsevat.
Oivalluksia
Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä käyttäjäentiteetistäsi ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, poikkeavia tapahtumia ja paljon muuta. Ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.
Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:
- Käyttäjän vertaiset käyttöoikeusryhmien jäsenyyden perusteella.
- Toiminnot tilin mukaan.
- Tilin toiminnot.
- Käyttäjä on poistanut tapahtumalokit.
- Ryhmän lisäykset.
- Toimistojen toimintojen määrä on epätavallisen suuri.
- Resurssien käyttö.
- Poikkeavan suuri Azure-kirjautumistulosten määrä.
- UEBA-merkitykselliset tiedot.
- Azure-tilausten käyttöoikeudet.
- Käyttäjään liittyvät uhkailmaisimet.
- Katseluluettelon merkitykselliset tiedot (esikatselu).
- Windowsin kirjautumistoiminta.
Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Syke (Azure Monitor -agentti)
- CommonSecurityLog (Microsoft Sentinel)
Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.
Korjaustoimet
Yleiskatsaus-sivulla voit tehdä seuraavia lisätoimia:
- Ota käyttöön, poista käytöstä tai keskeytä käyttäjä Microsoft Entra ID
- Ohjaa käyttäjä tekemään tiettyjä toimintoja, kuten vaatimaan käyttäjää kirjautumaan uudelleen tai pakottamaan salasanan palauttamisen
- Näytä Microsoft Entra tilin asetukset, liittyvä hallinto, käyttäjän omistamat tiedostot tai käyttäjän jaetut tiedostot
Lisätietoja on artikkelissa Microsoft Defender for Identity korjaustoiminnot.
Seuraavat vaiheet
Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tapausten yleiskatsaus
- Priorisoi tapaukset
- Tapausten hallinta
- Microsoft Defender XDR yleiskatsaus
- Ota Microsoft Defender XDR käyttöön
- Laitteen entiteettisivu Microsoft Defender
- IP-osoite-entiteettisivu kohteessa Microsoft Defender
- Microsoft Defender XDR integrointi Microsoft Sentinel kanssa
- Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.