Изучение профилей сущностей
Область применения: Advanced Threat Analytics версии 1.9
Профиль сущности предоставляет панель мониторинга, предназначенную для полного подробного изучения пользователей, компьютеров, устройств и ресурсов, к которым у них есть доступ, и их истории. Страница профиля использует новый переводчик логических действий ATA, который может просматривать группу действий (агрегированных до минуты) и группировать их в одно логическое действие, чтобы лучше понять фактические действия пользователей.
Чтобы открыть страницу профиля сущности, выберите имя сущности, например имя пользователя, в временная шкала подозрительных действий.
Меню слева содержит все сведения о Active Directory, доступные для сущности: адрес электронной почты, домен, дата первого просмотренного. Если сущность чувствительна, она сообщит вам, почему. Например, пользователь помечен как конфиденциальный или член конфиденциальной группы? Если это конфиденциальный пользователь, вы увидите значок под именем пользователя.
Просмотр действий сущностей
Чтобы просмотреть все действия, выполняемые пользователем или с сущностью, перейдите на вкладку Действия .
По умолчанию в области main профиля сущности отображается временная шкала действий сущности с историей до 6 месяцев назад, из которой также можно детализировать сущности, к которым обращается пользователь, или для сущностей, пользователей, которые обращались к сущностям.
В верхней части можно просмотреть плитки сводки, которые дают краткий обзор того, что вам нужно, чтобы понять, взглянув на вашу сущность. Эти плитки изменяются в зависимости от типа сущности, для пользователя вы увидите:
Сколько открытых подозрительных действий для пользователя
Количество компьютеров, на которые вошел пользователь
Сколько ресурсов пользователь обращается
Из каких расположений пользователь вошел в VPN
Для компьютеров можно увидеть следующее:
Количество открытых подозрительных действий для компьютера
Сколько пользователей вошли на компьютер
Количество ресурсов, к которые обращается компьютер
Сколько расположений vpn был получен из компьютера
Список IP-адресов, используемых компьютером
С помощью кнопки Фильтровать по временная шкала действия можно отфильтровать действия по типу действия. Вы также можете отфильтровать определенный (шумный) тип действия. Это действительно полезно для исследования, когда вы хотите понять основные сведения о том, что сущность делает в сети. Вы также можете перейти к определенной дате и экспортировать действия как отфильтрованные в Excel. Экспортируемый файл предоставляет страницу для изменений в службах каталогов (то, что изменилось в Active Directory для учетной записи) и отдельную страницу для действий.
Просмотр данных каталога
На вкладке Данные каталога представлены статические сведения, доступные из Active Directory, включая флаги безопасности управления доступом пользователей. ATA также отображает членство в группах для пользователя, чтобы можно было определить, имеет ли пользователь прямое или рекурсивное членство. Для групп ATA содержит до 1000 членов группы.
В разделе Управление доступом пользователей ATA предоставляет параметры безопасности, которые могут потребовать вашего внимания. Вы можете увидеть важные флаги о пользователе, например может ли пользователь нажать клавишу ВВОД, чтобы обойти пароль, есть ли у пользователя пароль, срок действия которого не истекает, и т. д.
Просмотр путей бокового смещения
Выбрав вкладку Пути бокового смещения , можно просмотреть полностью динамическую и щелкаемую карту, которая предоставляет визуальное представление путей бокового смещения к этому пользователю и от этого пользователя, которые можно использовать для проникновения в сеть.
Карта предоставляет список количества прыжков между компьютерами или пользователями, к которым придется перейти злоумышленнику, чтобы скомпрометировать конфиденциальную учетную запись. Если у пользователя есть конфиденциальная учетная запись, вы можете увидеть, сколько ресурсов и учетных записей подключено напрямую. Дополнительные сведения см. в разделе Пути бокового перемещения.
