调查实体配置文件
适用于:高级威胁分析版本 1.9
实体配置文件提供仪表板,旨在对用户、计算机、设备和其有权访问的资源及其历史记录进行全面深入地调查。 配置文件页利用新的 ATA 逻辑活动转换器,该转换器可查看一组出现的活动(合计 1 分钟)并将其分组为单个逻辑活动,以便你更好地了解用户的实际活动。
要访问实体配置文件页,请在可疑活动时间线中选择实体的名称(例如用户名)。
左侧菜单提供实体可用的所有 Active Directory 信息 – 电子邮件地址、域、首次看到的日期。 如果实体是敏感的,它会告诉你原因。 例如,用户是被标记为敏感用户还是敏感组的成员? 如果是敏感用户,将在用户名下看到图标。
查看实体活动
要查看用户执行的所有活动,或对实体执行的所有活动,请选择“活动”选项卡。
默认情况下,实体配置文件的主窗格显示实体活动的时间线,其历史记录最多可追溯到 6 个月前,还可以从中向下钻取用户访问的实体,或者对于实体来说是访问实体的用户。
在顶部,可以查看摘要磁贴,以便快速了解实体的内容。 这些磁贴会根据实体类型而变化,而对于用户,你则会看到:
用户有多少个未决的可疑活动
用户登录了多少台计算机
用户访问了多少资源
用户从哪个位置登录 VPN
对于计算机,可以看到:
这台计算机有多少个未决的可疑活动
有多少用户登录到这台计算机
计算机访问了多少资源
在计算机上访问了多少个 VPN 位置
计算机已使用的 IP 地址列表
使用活动时间线上方的筛选依据按钮,可以按活动类型筛选活动。 还可以筛选出某个特定(干扰)类型的活动。 如果想要大致了解某个实体在网络中所执行的操作,这对调查非常有帮助。 还可以转到某个具体日期,并且可以将筛选出的活动导出到 Excel 中。 导出的文件为目录服务的更改(在 Active directory 中为帐户更改的内容)和活动都提供了独立的页面。
查看目录数据
“目录数据”选项卡提供 Active Directory 中可用的静态信息,包括用户访问控制安全标志。 ATA 还会显示用户的组成员身份,以便你可以判断用户是具有直接成员身份还是递归成员身份。 对于组,ATA 最多会列出该组的 1,000 个成员。
在“用户访问控制”部分中,ATA 会显示可能需要注意的安全设置。 可以看到关于用户的重要标志,例如,用户是否可以按 Enter 键来绕过密码,用户是否拥有永不过期的密码,等等。
查看横向移动路径
通过选择“横向移动路径”选项卡,可以查看一个完全动态且可点击的映射,该映射提供了一个用于渗透网络的来往于该用户的横向移动路径的可视化表示。
该映射提供了一个列表,其中列出了攻击者需要在计算机或用户之间往返多少跃点才能危及敏感帐户,如果用户本身有一个敏感帐户,则可以看到有多少资源和帐户是直接连接的。 有关详细信息,请参阅横向移动路径。
