Delen via

Entiteitsprofielen onderzoeken

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Het entiteitsprofiel biedt u een dashboard dat is ontworpen voor uitgebreid onderzoek naar gebruikers, computers, apparaten en de resources waar ze toegang toe hebben en hun geschiedenis. De profielpagina maakt gebruik van de nieuwe LOGISCHE ACTIVITEITENvertaler van ATA die een groep activiteiten kan bekijken die plaatsvinden (geaggregeerd tot een minuut) en deze kan groeperen in één logische activiteit om u een beter inzicht te geven in de werkelijke activiteiten van uw gebruikers.

Als u toegang wilt krijgen tot een entiteitsprofielpagina, selecteert u de naam van de entiteit, zoals een gebruikersnaam, in de tijdlijn voor verdachte activiteiten.

In het linkermenu vindt u alle Active Directory-informatie die beschikbaar is op de entiteit: e-mailadres, domein, datum voor het eerst gezien. Als de entiteit gevoelig is, wordt uitgelegd waarom. Is de gebruiker bijvoorbeeld gemarkeerd als gevoelig of lid van een gevoelige groep? Als het een gevoelige gebruiker is, ziet u het pictogram onder de naam van de gebruiker.

Entiteitsactiviteiten weergeven

Als u alle activiteiten wilt weergeven die door de gebruiker zijn uitgevoerd of die zijn uitgevoerd op een entiteit, selecteert u het tabblad Activiteiten .

gebruikersprofielactiviteiten.

In het hoofdvenster van het entiteitsprofiel wordt standaard een tijdlijn weergegeven van de activiteiten van de entiteit met een geschiedenis van maximaal 6 maanden terug, van waaruit u ook kunt inzoomen op de entiteiten die door de gebruiker zijn geopend, of voor entiteiten, gebruikers die toegang hebben tot de entiteit.

Bovenaan kunt u de overzichtstegels bekijken die u een snel overzicht geven van wat u in een oogopslag moet begrijpen over uw entiteit. Deze tegels worden gewijzigd op basis van het type entiteit dat het is, voor een gebruiker ziet u het volgende:

  • Hoeveel open verdachte activiteiten er zijn voor de gebruiker

  • Op hoeveel computers de gebruiker zich heeft aangemeld

  • Hoeveel resources de gebruiker heeft geopend

  • Vanaf welke locaties de gebruiker zich heeft aangemeld bij VPN

    menu entiteit.

Voor computers kunt u het volgende zien:

  • Hoeveel open verdachte activiteiten er zijn voor de machine

  • Hoeveel gebruikers zijn aangemeld bij de computer

  • Hoeveel resources de computer heeft geopend

  • Hoeveel locaties VPN is geopend vanaf de computer

  • Een lijst van de IP-adressen die de computer heeft gebruikt

    entiteitsmenu computer.

Met de knop Filteren op boven de tijdlijn van de activiteit kunt u de activiteiten filteren op activiteitstype. U kunt ook een specifiek type activiteit (luidruchtig) uitfilteren. Dit is erg handig voor onderzoek als u de basisbeginselen wilt begrijpen van wat een entiteit doet in het netwerk. U kunt ook naar een specifieke datum gaan en de activiteiten exporteren zoals gefilterd naar Excel. Het geëxporteerde bestand bevat een pagina voor wijzigingen in directoryservices (items die zijn gewijzigd in Active Directory voor het account) en een afzonderlijke pagina voor activiteiten.

Directorygegevens weergeven

Het tabblad Adreslijstgegevens bevat de statische informatie die beschikbaar is in Active Directory, waaronder beveiligingsvlagmen voor gebruikerstoegangsbeheer. ATA geeft ook groepslidmaatschappen weer voor de gebruiker, zodat u kunt zien of de gebruiker een direct of recursief lidmaatschap heeft. Voor groepen bevat ATA maximaal 1000 leden van de groep.

gebruikersprofielmapgegevens.

In de sectie Gebruikerstoegangsbeheer worden beveiligingsinstellingen weergegeven die mogelijk uw aandacht nodig hebben. U kunt belangrijke vlaggen over de gebruiker zien, zoals kan de gebruiker op Enter drukken om het wachtwoord te omzeilen, of de gebruiker een wachtwoord heeft dat nooit verloopt, enzovoort.

Laterale verplaatsingspaden weergeven

Als u het tabblad Paden voor laterale beweging selecteert, kunt u een volledig dynamische en klikbare kaart weergeven met een visuele weergave van de zijwaartse verplaatsingspaden van en naar deze gebruiker die kunnen worden gebruikt om uw netwerk te infiltreren.

De kaart bevat een lijst met het aantal hops tussen computers of gebruikers dat een aanvaller zou moeten gebruiken om een gevoelig account in gevaar te komen. Als de gebruiker zelf een gevoelig account heeft, kunt u zien hoeveel resources en accounts rechtstreeks zijn verbonden. Zie Paden voor laterale verplaatsing voor meer informatie.

gebruikersprofiel laterale verplaatsingspaden.

Zie ook

Bekijk het ATA-forum!