Undersøk aktiva
Microsoft Defender for identitet gir Microsoft Defender XDR brukere bevis på når brukere, datamaskiner og enheter har utført mistenkelige aktiviteter eller viser tegn til å bli kompromittert.
Denne artikkelen gir anbefalinger for hvordan du fastslår risikoer for organisasjonen, bestemmer hvordan du skal utbedre og finne den beste måten å forhindre lignende angrep på i fremtiden.
Undersøkelsestrinn for mistenkelige brukere
Obs!
Hvis du vil ha informasjon om hvordan du viser brukerprofiler i Microsoft Defender XDR, kan du se dokumentasjonen for Microsoft Defender XDR.
Hvis et varsel eller en hendelse indikerer at en bruker kan være mistenkelig eller kompromittert, kan du kontrollere og undersøke brukerprofilen for følgende detaljer og aktiviteter:
Brukeridentitet
- Er brukeren en sensitiv bruker (for eksempel administrator eller på en visningsliste osv.)?
- Hva er deres rolle i organisasjonen?
- Er de viktige i organisasjonstreet?
Undersøk mistenkelige aktiviteter, for eksempel:
- Har brukeren andre åpne varsler i Defender for Identitet, eller i andre sikkerhetsverktøy, for eksempel Microsoft Defender for endepunkt, Microsoft Defender for skyen og/eller Microsoft Defender for Cloud Apps?
- Hadde brukeren mislykkede pålogginger?
- Hvilke ressurser fikk brukeren tilgang til?
- Har brukeren tilgang til ressurser med høy verdi?
- Skulle brukeren få tilgang til ressursene de fikk tilgang til?
- Hvilke enheter logget brukeren på?
- Skulle brukeren logge på disse enhetene?
- Finnes det en sidevei (LMP) mellom brukeren og en sensitiv bruker?
Bruk svarene på disse spørsmålene til å avgjøre om kontoen ser ut til å være kompromittert, eller om mistenkelige aktiviteter antyder ondsinnede handlinger.
Finn identitetsinformasjon i følgende Microsoft Defender XDR områder:
- Detaljersider for individuell identitet
- Side for individuell varsel eller hendelsesdetaljer
- Sider med enhetsdetaljer
- Avanserte jaktspørringer
- Handlingssenter-siden
Bildet nedenfor viser for eksempel detaljene på en side med identitetsdetaljer:
Identitetsdetaljer
Når du undersøker en bestemt identitet, ser du følgende detaljer på en side med identitetsdetaljer:
| Sideområde for identitetsdetaljer | Beskrivelse |
|---|---|
| Oversikt-fanen | Generelle identitetsdata, for eksempel Microsoft Entra identitetsrisikonivå, antall enheter brukeren er logget på, når brukeren først og sist ble sett, brukerens kontoer og viktigere informasjon. Bruk Oversikt-fanen til også å vise grafer for hendelser og varsler, prioritetspoengsummen for undersøkelser, et organisasjonstre, enhetskoder og en tidslinje for poengsumaktivitet. |
| Hendelser og varsler | Lister aktive hendelser og varsler som involverer brukeren fra de siste 180 dagene, inkludert detaljer som alvorsgrad for varsel og tidspunktet varselet ble generert. |
| Observert i organisasjonen | Inkluderer følgende underområder: - Enheter: Enhetene som identiteten er logget på, inkludert de fleste og minst brukte de siste 180 dagene. - Steder: Identitetens observerte plasseringer i løpet av de siste 30 dagene. - Grupper: Alle observerte lokale grupper for identiteten. - Laterale bevegelsesbaner - alle profilerte laterale bevegelsesbaner fra det lokale miljøet. |
| Tidslinje for identitet | Tidslinjen representerer aktiviteter og varsler som er observert fra en brukers identitet fra de siste 180 dagene, samle identitetsoppføringer på tvers av Microsoft Defender for identitet, Microsoft Defender for Cloud Apps og Microsoft Defender for endepunkt. Bruk tidslinjen til å fokusere på aktiviteter en bruker utførte eller ble utført på dem i bestemte tidsrammer. Velg standard 30 dager for å endre tidsintervallet til en annen innebygd verdi, eller til et egendefinert område. |
| Utbedringshandlinger | Svar på kompromitterte brukere ved å deaktivere kontoene deres eller tilbakestille passordet. Når du har tatt affære med brukere, kan du kontrollere aktivitetsdetaljene i Microsoft Defender XDR **Handlingssenter. |
Obs!
Prioritetspoengsum for undersøkelse er avskrevet 3. desember 2025. Som et resultat er både analyse av undersøkelsesprioritetspoengsum og tidslinjekortene for målaktivitet fjernet fra brukergrensesnittet.
Hvis du vil ha mer informasjon, kan du se Undersøke brukere i Microsoft Defender XDR dokumentasjonen.
Undersøkelsestrinn for mistenkelige grupper
Hvis en varslings- eller hendelsesundersøkelse er relatert til en Active Directory-gruppe, kan du kontrollere gruppeenheten for følgende detaljer og aktiviteter:
Gruppeenhet
- Er gruppen en sensitiv gruppe, for eksempel domeneadministratorer?
- Inkluderer gruppen sensitive brukere?
Undersøk mistenkelige aktiviteter, for eksempel:
- Har gruppen andre åpne, relaterte varsler i Defender for Identitet, eller i andre sikkerhetsverktøy, for eksempel Microsoft Defender for endepunkt, Microsoft Defender for skyen og/eller Microsoft Defender for Cloud Apps?
- Hvilke brukere ble nylig lagt til eller fjernet fra gruppen?
- Ble gruppen nylig spurt, og av hvem?
Bruk svarene på disse spørsmålene for å hjelpe deg i undersøkelsen.
Velg Gå til jakt eller Åpne tidslinje i en detaljrute for gruppeenhet for å undersøke. Du kan også finne gruppeinformasjon i følgende Microsoft Defender XDR områder:
- Side for individuell varsel eller hendelsesdetaljer
- Sider for enhets- eller brukerdetaljer
- Avanserte jaktspørringer
Bildet nedenfor viser for eksempel aktivitetstidslinjen for serveroperatører , inkludert relaterte varsler og aktiviteter fra de siste 180 dagene:
Undersøkelsestrinn for mistenkelige enheter
Microsoft Defender XDR varselet viser alle enheter og brukere som er koblet til hver mistenkelig aktivitet. Velg en enhet for å vise siden for enhetsdetaljer, og undersøk deretter følgende detaljer og aktiviteter:
Hva skjedde rundt tidspunktet for den mistenkelige aktiviteten?
- Hvilken bruker ble logget på enheten?
- Logger denne brukeren vanligvis på eller får tilgang til kilde- eller målenheten?
- Hvilke ressurser ble åpnet? Hvilke brukere? Hvis det ble åpnet ressurser, var de ressurser med høy verdi?
- Skulle brukeren få tilgang til disse ressursene?
- Utførte brukeren som fikk tilgang til enheten andre mistenkelige aktiviteter?
Flere mistenkelige aktiviteter å undersøke:
- Ble andre varsler åpnet omtrent samtidig med dette varselet i Defender for Identity, eller i andre sikkerhetsverktøy, for eksempel Microsoft Defender for endepunkt, Microsoft Defender for skyen og/eller Microsoft Defender for Cloud Apps?
- Var det mislykkede pålogginger?
- Ble nye programmer distribuert eller installert?
Bruk svarene på disse spørsmålene til å avgjøre om enheten ser kompromittert ut, eller om mistenkelige aktiviteter antyder ondsinnede handlinger.
Bildet nedenfor viser for eksempel en side for enhetsdetaljer:
Hvis du vil ha mer informasjon, kan du se Undersøke enheter i dokumentasjonen for Microsoft Defender XDR.
Neste trinn
- Undersøk sideflyttingsbaner (LMP-er)
- Undersøke brukere i Microsoft Defender XDR
- Undersøk hendelser i Microsoft Defender XDR
Tips
Prøv vår interaktive veiledning: Undersøke og svare på angrep med Microsoft Defender for identitet