Förstå säkerhetsaviseringar

Microsoft Defender for Identity säkerhetsaviseringar förklaras med tydligt språk och grafik, vilka misstänkta aktiviteter som identifierades i nätverket och vilka aktörer och datorer som var inblandade i hoten. Aviseringar graderas efter allvarlighetsgrad, färgkodas för att göra dem enkla att filtrera visuellt och ordnade efter hotfas. Varje avisering är utformad för att hjälpa dig att snabbt förstå exakt vad som händer i nätverket. Listor över aviseringsbevis innehåller direkta länkar till berörda användare och datorer för att göra dina undersökningar enkla och direkta.

I den här artikeln får du lära dig strukturen för säkerhetsaviseringar för Defender for Identity och hur du använder dem.

• Säkerhetsaviseringsstruktur
• Klassificeringar av säkerhetsaviseringar
• Kategorier för säkerhetsaviseringar
• Avancerad säkerhetsaviseringsundersökning
• Relaterade entiteter
• Defender for Identity och NNR (nätverksnamnmatchning)

Säkerhetsaviseringsstruktur

Varje Defender för identitetssäkerhetsavisering innehåller en aviseringsartikel. Det här är händelsekedjan som är relaterad till den här aviseringen i kronologisk ordning och annan viktig information som är relaterad till aviseringen.

På aviseringssidan kan du:

• Hantera avisering – ändra aviseringens status, tilldelning och klassificering. Du kan också lägga till en kommentar här.

• Exportera – ladda ned en detaljerad Excel-rapport för analys

• Länka avisering till en annan incident – länka en avisering till en ny befintlig incident

  

Mer information om aviseringar finns i Undersöka aviseringar i Microsoft Defender XDR.

Klassificeringar av säkerhetsaviseringar

Efter en korrekt undersökning kan alla säkerhetsaviseringar för Defender för identitet klassificeras som någon av följande aktivitetstyper:

• Sann positiv (TP): En skadlig åtgärd som identifierats av Defender for Identity.

• Godartad sann positiv (B-TP): En åtgärd som identifieras av Defender for Identity som är verklig, men inte skadlig, till exempel ett intrångstest eller känd aktivitet som genereras av ett godkänt program.

• Falskt positivt (FP): Ett falskt larm, vilket innebär att aktiviteten inte inträffade.

Är säkerhetsaviseringen en TP, B-TP eller FP

För varje avisering ställer du följande frågor för att fastställa aviseringsklassificeringen och avgöra vad du ska göra härnäst:

1. Hur vanligt är den här specifika säkerhetsaviseringen i din miljö?
2. Utlöstes aviseringen av samma typer av datorer eller användare? Till exempel servrar med samma roll eller användare från samma grupp/avdelning? Om datorerna eller användarna var liknande kan du välja att undanta dem för att undvika ytterligare framtida FP-aviseringar.

Obs!

En ökning av aviseringar av exakt samma typ minskar vanligtvis aviseringens misstänkta/viktiga nivå. För upprepade aviseringar kontrollerar du konfigurationerna och använder information och definitioner för säkerhetsaviseringar för att förstå exakt vad som händer som utlöser upprepningarna.

Kategorier för säkerhetsaviseringar

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, till exempel faserna som visas i en typisk cyberattack-kill-kedja. Läs mer om varje fas och aviseringar som utformats för att identifiera varje attack med hjälp av följande länkar:

• Rekognoseringsaviseringar
• Aviseringar om komprometterade autentiseringsuppgifter
• Laterala förflyttningsaviseringar
• Aviseringar om domändominans
• Exfiltreringsaviseringar

Avancerad undersökning av säkerhetsaviseringar

Om du vill ha mer information om en säkerhetsavisering väljer du Exportera på en aviseringsinformationssida för att ladda ned den detaljerade Excel-aviseringsrapporten.

Den nedladdade filen innehåller sammanfattningsinformation om aviseringen på den första fliken, inklusive:

• Rubrik
• Beskrivning
• Starttid (UTC)
• Sluttid (UTC)
• Allvarlighetsgrad – låg/medel/hög
• Status – Öppen/stängd
• Statusuppdateringstid (UTC)
• Visa i webbläsaren

Alla berörda entiteter, inklusive konton, datorer och resurser listas, avgränsade med deras roll. Information finns för källan, målet eller den angripna entiteten, beroende på aviseringen.

De flesta flikarna innehåller följande data per entitet:

• Namn

• Information

• Typ

• SamName

• Källdator

• Källanvändare (om tillgängligt)

• Domänkontrollant

• Åtkomst till resurs: Tid, Dator, Namn, Information, Typ, Tjänst.

• Relaterade entiteter: ID, typ, namn, unik entitets-Json, unik entitetsprofil Json

• Alla råa aktiviteter som registrerats av Defender för identitetssensorer som är relaterade till aviseringen (nätverks- eller händelseaktiviteter) inklusive:

  • Nätverksaktiviteter
  • Händelseaktiviteter

Vissa aviseringar har extra flikar, till exempel information om:

• Attackerade konton när den misstänkta attacken använde Brute Force.
• DNS-servrar (Domain Name System) när de misstänkta angreps omfattade rekognosering av nätverksmappning (DNS).

Till exempel:

Relaterade entiteter

I varje avisering innehåller den sista fliken Relaterade entiteter. Relaterade entiteter är alla entiteter som är involverade i en misstänkt aktivitet, utan uppdelningen av den "roll" som de spelade i aviseringen. Varje entitet har två Json-filer, Unique Entity Json och Unique Entity Profile Json. Använd dessa två Json-filer för att lära dig mer om entiteten och för att undersöka aviseringen.

Unik Json-fil för entitet

Innehåller data som Defender for Identity har lärt sig från Active Directory om kontot. Detta inkluderar alla attribut som Distinguished Name, SID, LockoutTime och PasswordExpiryTime. För användarkonton innehåller data som Avdelning, E-post och PhoneNumber. För datorkonton innehåller data som OperatingSystem, IsDomainController och DnsName.

Unik Json-fil för entitetsprofil

Innehåller alla data som Defender for Identity är profilerat i entiteten. Defender for Identity använder de nätverks- och händelseaktiviteter som samlas in för att lära sig mer om miljöns användare och datorer. Defender för identitetsprofiler relevant information per entitet. Den här informationen bidrar till Funktionerna för hotidentifiering i Defender for Identity.

Hur kan jag använda Defender for Identity-information i en undersökning?

Undersökningar kan vara så detaljerade som behövs. Här följer några tips på hur du kan undersöka med hjälp av de data som tillhandahålls av Defender for Identity.

• Kontrollera om alla relaterade användare tillhör samma grupp eller avdelning.
• Delar relaterade användare resurser, program eller datorer?
• Är ett konto aktivt trots att dess PasswordExpiryTime redan har skickats?

Defender for Identity och NNR (nätverksnamnmatchning)

Defender for Identity-identifieringsfunktioner förlitar sig på aktiv NNR (Network Name Resolution) för att matcha IP-adresser till datorer i din organisation. Med hjälp av NNR kan Defender for Identity korrelera mellan råa aktiviteter (som innehåller IP-adresser) och de relevanta datorer som ingår i varje aktivitet. Baserat på råaktiviteterna profilerar Defender for Identity entiteter, inklusive datorer, och genererar aviseringar.

NNR-data är avgörande för att identifiera följande aviseringar:

• Misstänkt identitetsstöld (pass-the-ticket)
• Misstänkt DCSync-attack (replikering av katalogtjänster)
• Rekognosering av nätverksmappning (DNS)

Använd NNR-informationen på fliken Nätverksaktiviteter i aviseringsnedladdningsrapporten för att avgöra om en avisering är en FP. I fall av en FP-avisering är det vanligt att NNR-säkerhetsresultatet ges med låg konfidens.

Ladda ned rapportdata visas i två kolumner:

• Käll-/måldator

  • Säkerhet – lågupplösningssäkerhet kan tyda på felaktig namnmatchning.

• Käll-/måldator

  • Lösningsmetod – tillhandahåller de NNR-metoder som används för att matcha IP-adressen till datorn i organisationen.

Mer information om hur du arbetar med Säkerhetsaviseringar för Defender för identiteter finns i Arbeta med säkerhetsaviseringar.

Relaterat innehåll

• Undersöka en användare
• Undersöka en dator
• Arbeta med laterala rörelsevägar
• Kolla in Defender for Identity-forumet!