Udostępnij za pośrednictwem

Badanie zasobów

  • Artykuł

Microsoft Defender for Identity udostępnia Microsoft Defender XDR użytkownikom dowody na to, kiedy użytkownicy, komputery i urządzenia wykonują podejrzane działania lub wykazują oznaki naruszenia bezpieczeństwa.

W tym artykule przedstawiono zalecenia dotyczące sposobu określania ryzyka dla organizacji, decydowania o sposobie korygowania i określania najlepszego sposobu zapobiegania podobnym atakom w przyszłości.

Kroki badania podejrzanych użytkowników

Uwaga

Aby uzyskać informacje na temat wyświetlania profilów użytkowników w Microsoft Defender XDR, zobacz dokumentację Microsoft Defender XDR.

Jeśli alert lub zdarzenie wskazuje, że użytkownik może być podejrzany lub naruszona, sprawdź i zbadaj profil użytkownika, aby uzyskać następujące szczegóły i działania:

  • Tożsamość użytkownika

    • Czy użytkownik jest poufnym użytkownikiem (takim jak administrator, czy na liście obserwowanych itp.)?
    • Jaka jest ich rola w organizacji?
    • Czy są one istotne w drzewie organizacyjnym?

  • Zbadaj podejrzane działania, takie jak:

    • Czy użytkownik ma inne otwarte alerty w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
    • Czy logowanie użytkownika nie powiodło się?
    • Do jakich zasobów dostęp uzyskiwał użytkownik?
    • Czy użytkownik uzyskiwał dostęp do zasobów o wysokiej wartości?
    • Czy użytkownik miał uzyskiwać dostęp do zasobów, do których uzyskiwał dostęp?
    • Na których urządzeniach użytkownik się zalogował?
    • Czy użytkownik miał zalogować się do tych urządzeń?
    • Czy istnieje ścieżka ruchu bocznego (LMP) między użytkownikiem a poufnym użytkownikiem?

Skorzystaj z odpowiedzi na te pytania, aby ustalić, czy konto wydaje się zagrożone, czy podejrzane działania oznaczają złośliwe akcje.

Znajdź informacje o tożsamości w następujących obszarach Microsoft Defender XDR:

  • Strony szczegółów indywidualnej tożsamości
  • Strona szczegółów poszczególnych alertów lub zdarzeń
  • Strony szczegółów urządzenia
  • Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
  • Strona Centrum akcji

Na przykład na poniższej ilustracji przedstawiono szczegóły na stronie szczegółów tożsamości:

Zrzut ekranu przedstawiający stronę określonego użytkownika w portalu Microsoft Defender.

Szczegóły tożsamości

Podczas badania określonej tożsamości na stronie szczegółów tożsamości zostaną wyświetlone następujące szczegóły:

Obszar strony szczegółów tożsamości Opis
Karta Przegląd Ogólne dane tożsamości, takie jak poziom ryzyka Microsoft Entra tożsamości, liczba urządzeń, do których użytkownik jest zalogowany, gdy użytkownik był pierwszy i ostatni raz widziany, konta użytkownika i ważniejsze informacje.

Karta Przegląd umożliwia również wyświetlanie wykresów dla zdarzeń i alertów, wskaźnika priorytetu badania, drzewa organizacyjnego, tagów jednostek i ocenionej osi czasu działania.
Zdarzenia i alerty Listy aktywne zdarzenia i alerty dotyczące użytkownika z ostatnich 180 dni, w tym szczegóły, takie jak ważność alertu i czas wygenerowania alertu.
Obserwowane w organizacji Obejmuje następujące obszary podrzędne:
- Urządzenia: urządzenia, do których loguje się tożsamość, w tym większość i najmniej używane w ciągu ostatnich 180 dni.
- Lokalizacje: obserwowane lokalizacje tożsamości w ciągu ostatnich 30 dni.
- Grupy: wszystkie obserwowane grupy lokalne dla tożsamości.
- Ścieżki ruchu bocznego — wszystkie profilowane ścieżki ruchu bocznego ze środowiska lokalnego.
Oś czasu tożsamości Oś czasu reprezentuje działania i alerty obserwowane na podstawie tożsamości użytkownika z ostatnich 180 dni, ujednolicając wpisy tożsamości w Microsoft Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender.

Użyj osi czasu, aby skoncentrować się na działaniach wykonywanych przez użytkownika lub wykonanych na nich w określonych przedziałach czasu. Wybierz domyślne 30 dni , aby zmienić zakres czasu na inną wbudowaną wartość lub na zakres niestandardowy.
Działania naprawcze Odpowiedz użytkownikom, których bezpieczeństwo zostało naruszone, wyłączając ich konta lub resetując ich hasło. Po wykonaniu akcji dla użytkowników możesz sprawdzić szczegóły działania w Microsoft Defender XDR **Centrum akcji.

Uwaga

Wynik priorytetu badania został przestarzały 3 grudnia 2025 r. W związku z tym zarówno podział wyniku priorytetu badania, jak i karty osi czasu ocenianego działania zostały usunięte z interfejsu użytkownika.

Aby uzyskać więcej informacji, zobacz Badanie użytkowników w dokumentacji Microsoft Defender XDR.

Kroki badania podejrzanych grup

Jeśli badanie alertu lub zdarzenia jest powiązane z grupą usługi Active Directory, sprawdź jednostkę grupy pod kątem następujących szczegółów i działań:

  • Jednostka grupy

    • Czy grupa jest grupą wrażliwą, taką jak Administratorzy domeny?
    • Czy grupa obejmuje poufnych użytkowników?

  • Zbadaj podejrzane działania, takie jak:

    • Czy grupa ma inne otwarte, powiązane alerty w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
    • Którzy użytkownicy zostali ostatnio dodani do grupy lub usunięci z tej grupy?
    • Czy grupa została ostatnio zapytana i przez kogo?

Skorzystaj z odpowiedzi na te pytania, aby pomóc w badaniu.

W okienku szczegółów jednostki grupy wybierz pozycję Wyszukaj lub Otwórz oś czasu do zbadania. Informacje o grupie można również znaleźć w następujących obszarach Microsoft Defender XDR:

  • Strona szczegółów poszczególnych alertów lub zdarzeń
  • Strony szczegółów urządzenia lub użytkownika
  • Zaawansowane zapytania dotyczące wyszukiwania zagrożeń

Na przykład na poniższej ilustracji przedstawiono oś czasu działania Operatory serwera , w tym powiązane alerty i działania z ostatnich 180 dni:

Zrzut ekranu przedstawiający kartę Oś czasu grupy.

Kroki badania podejrzanych urządzeń

Microsoft Defender XDR alert wyświetla listę wszystkich urządzeń i użytkowników połączonych z każdym podejrzanym działaniem. Wybierz urządzenie, aby wyświetlić stronę szczegółów urządzenia, a następnie zbadaj następujące szczegóły i działania:

  • Co się stało w czasie podejrzanego działania?

    • Który użytkownik został zalogowany na urządzeniu?
    • Czy ten użytkownik zwykle loguje się do urządzenia źródłowego lub docelowego lub uzyskuje do nich dostęp?
    • Do których zasobów uzyskano dostęp? Przez których użytkowników? Jeśli uzyskano dostęp do zasobów, czy były to zasoby o wysokiej wartości?
    • Czy użytkownik miał uzyskiwać dostęp do tych zasobów?
    • Czy użytkownik, który uzyskiwał dostęp do urządzenia, wykonał inne podejrzane działania?

  • Bardziej podejrzane działania do zbadania:

    • Czy inne alerty były otwierane mniej więcej w tym samym czasie co ten alert w usłudze Defender for Identity lub w innych narzędziach zabezpieczeń, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla chmury i/lub Microsoft Defender for Cloud Apps?
    • Czy logowanie nie powiodło się?
    • Czy jakieś nowe programy zostały wdrożone lub zainstalowane?

Skorzystaj z odpowiedzi na te pytania, aby ustalić, czy urządzenie wydaje się zagrożone, czy podejrzane działania oznaczają złośliwe akcje.

Na przykład na poniższej ilustracji przedstawiono stronę szczegółów urządzenia:

Zrzut ekranu przedstawiający stronę szczegółów urządzenia.

Aby uzyskać więcej informacji, zobacz Badanie urządzeń w dokumentacji Microsoft Defender XDR.

Następne kroki

Porada

Wypróbuj nasz interaktywny przewodnik: Badanie ataków i reagowanie na nie za pomocą Microsoft Defender for Identity