Undersöka entitetsprofiler
Gäller för: Advanced Threat Analytics version 1.9
Entitetsprofilen ger dig en instrumentpanel som är utformad för fullständig djupdykning av användare, datorer, enheter och de resurser som de har åtkomst till och deras historik. Profilsidan drar nytta av den nya logiska ATA-aktivitetsöversättaren som kan titta på en grupp aktiviteter som inträffar (aggregerade upp till en minut) och gruppera dem i en enda logisk aktivitet för att ge dig en bättre förståelse för användarnas faktiska aktiviteter.
Om du vill komma åt en entitetsprofilsida väljer du namnet på entiteten, till exempel ett användarnamn, i tidslinjen för misstänkt aktivitet.
Den vänstra menyn innehåller all Active Directory-information som är tillgänglig på entiteten – e-postadress, domän, först sett datum. Om entiteten är känslig talar den om för dig varför. Är användaren till exempel taggad som känslig eller medlem i en känslig grupp? Om det är en känslig användare visas ikonen under användarens namn.
Visa entitetsaktiviteter
Om du vill visa alla aktiviteter som utförs av användaren eller som utförs på en entitet väljer du fliken Aktiviteter .
Som standard visar huvudfönstret i entitetsprofilen en tidslinje för entitetens aktiviteter med en historik på upp till 6 månader tillbaka, där du också kan öka detaljnivån i de entiteter som användaren har åtkomst till eller för entiteter, användare som har åtkomst till entiteten.
Överst kan du visa sammanfattningspanelerna som ger dig en snabb översikt över vad du behöver förstå i en snabb överblick över din entitet. Dessa paneler ändras baserat på vilken typ av entitet det är, för en användare ser du:
Hur många öppna misstänkta aktiviteter som finns för användaren
Hur många datorer användaren loggade in på
Hur många resurser som användaren har åtkomst till
Från vilka platser användaren loggade in på VPN
För datorer som du kan se:
Hur många öppna misstänkta aktiviteter som finns för datorn
Hur många användare som är inloggade på datorn
Hur många resurser datorn har åtkomst till
Hur många platser VPN användes från på datorn
En lista över vilka IP-adresser som datorn har använt
Med knappen Filtrera efter ovanför aktivitetstidslinjen kan du filtrera aktiviteterna efter aktivitetstyp. Du kan också filtrera bort en specifik (bullrig) typ av aktivitet. Detta är verkligen användbart för undersökning när du vill förstå grunderna i vad en entitet gör i nätverket. Du kan också gå till ett visst datum och exportera aktiviteterna som filtrerade till Excel. Den exporterade filen innehåller en sida för ändringar i katalogtjänster (saker som har ändrats i Active Directory för kontot) och en separat sida för aktiviteter.
Visa katalogdata
Fliken Katalogdata innehåller statisk information som är tillgänglig från Active Directory, inklusive säkerhetsflaggor för användaråtkomstkontroll. ATA visar också gruppmedlemskap för användaren så att du kan se om användaren har ett direkt medlemskap eller ett rekursivt medlemskap. För grupper listar ATA upp till 1 000 medlemmar i gruppen.
I avsnittet Användaråtkomstkontroll visar ATA säkerhetsinställningar som kan behöva din uppmärksamhet. Du kan se viktiga flaggor om användaren, till exempel kan användaren trycka på Retur för att kringgå lösenordet, har användaren ett lösenord som aldrig upphör att gälla osv.
Visa laterala förflyttningsvägar
Genom att välja fliken Laterala förflyttningsvägar kan du visa en helt dynamisk och klickbar karta som ger dig en visuell representation av de laterala rörelsevägarna till och från den här användaren som kan användas för att infiltrera nätverket.
Kartan ger dig en lista över hur många hopp mellan datorer eller användare som en angripare skulle behöva och från den här användaren för att kompromettera ett känsligt konto, och om användaren själva har ett känsligt konto kan du se hur många resurser och konton som är direkt anslutna. Mer information finns i Laterala rörelsevägar.
