Investigar perfis de entidade
Aplica-se a: Advanced Threat Analytics versão 1.9
O perfil de entidade fornece-lhe um dashboard concebido para uma investigação aprofundada completa de utilizadores, computadores, dispositivos e recursos aos quais têm acesso e o respetivo histórico. A página de perfil tira partido do novo tradutor de atividade lógica do ATA que pode analisar um grupo de atividades que ocorrem (agregadas até um minuto) e agrupá-las numa única atividade lógica para lhe dar uma melhor compreensão das atividades reais dos seus utilizadores.
Para aceder a uma página de perfil de entidade, selecione o nome da entidade, como um nome de utilizador, na atividade suspeita linha do tempo.
O menu esquerdo fornece-lhe todas as informações do Active Directory disponíveis na entidade – endereço de e-mail, domínio, data de visualização inicial. Se a entidade for sensível, irá indicar-lhe porquê. Por exemplo, o utilizador está identificado como confidencial ou membro de um grupo confidencial? Se for um utilizador confidencial, verá o ícone por baixo do nome do utilizador.
Ver atividades de entidades
Para ver todas as atividades realizadas pelo utilizador ou executadas numa entidade, selecione o separador Atividades .
Por predefinição, o painel main do perfil de entidade apresenta um linha do tempo das atividades da entidade com um histórico de até 6 meses atrás, a partir do qual também pode desagregar as entidades acedidas pelo utilizador ou para entidades que acederam à entidade.
Na parte superior, pode ver os mosaicos de resumo que lhe dão uma descrição geral rápida do que precisa de compreender rapidamente sobre a sua entidade. Estes mosaicos mudam com base no tipo de entidade que é, para um utilizador, verá:
Quantas atividades suspeitas abertas existem para o utilizador
Quantos computadores o utilizador iniciou sessão
Quantos recursos o utilizador acedeu
A partir das localizações em que o utilizador iniciou sessão na VPN
Para computadores, pode ver:
Quantas atividades suspeitas abertas existem para o computador
Quantos utilizadores iniciaram sessão no computador
Quantos recursos o computador acedeu
A partir de quantas localizações foi acedida a VPN no computador
Uma lista dos endereços IP que o computador utilizou
Ao utilizar o botão Filtrar por acima do linha do tempo de atividade, pode filtrar as atividades por tipo de atividade. Também pode filtrar um tipo de atividade (ruidoso) específico. Isto é realmente útil para investigação quando quer compreender as noções básicas do que uma entidade está a fazer na rede. Também pode ir para uma data específica e pode exportar as atividades como filtradas para o Excel. O ficheiro exportado fornece uma página para alterações de serviços de diretório (coisas que foram alteradas no Active Directory para a conta) e uma página separada para atividades.
Ver dados do diretório
O separador Dados do diretório fornece as informações estáticas disponíveis no Active Directory, incluindo sinalizadores de segurança de controlo de acesso de utilizadores. O ATA também apresenta associações de grupo para o utilizador, para que possa saber se o utilizador tem uma associação direta ou uma associação recursiva. Para grupos, o ATA lista até 1000 membros do grupo.
Na secção Controlo de acesso do utilizador , o ATA apresenta as definições de segurança que podem necessitar das suas atenções. Pode ver sinalizadores importantes sobre o utilizador, como pode o utilizador premir enter para ignorar a palavra-passe, se o utilizador tem uma palavra-passe que nunca expira, etc.
Ver caminhos de movimento lateral
Ao selecionar o separador Caminhos de movimento lateral , pode ver um mapa totalmente dinâmico e clicável que lhe fornece uma representação visual dos caminhos de movimento lateral de e para este utilizador que podem ser utilizados para se infiltrar na sua rede.
O mapa fornece-lhe uma lista de quantos saltos entre computadores ou utilizadores um atacante teria de e para este utilizador comprometer uma conta confidencial e, se o próprio utilizador tiver uma conta confidencial, pode ver quantos recursos e contas estão diretamente ligados. Para obter mais informações, veja Caminhos de movimento lateral.
