Investigación de perfiles de entidad
Se aplica a: Advanced Threat Analytics versión 1.9
El perfil de entidad proporciona un panel diseñado para una investigación detallada completa de los usuarios, equipos, dispositivos y los recursos a los que tienen acceso y su historial. La página de perfil aprovecha el nuevo traductor de actividad lógica de ATA que puede examinar un grupo de actividades que se producen (agregadas hasta un minuto) y agruparlas en una sola actividad lógica para proporcionarle una mejor comprensión de las actividades reales de los usuarios.
Para acceder a una página de perfil de entidad, seleccione el nombre de la entidad, como un nombre de usuario, en la escala de tiempo de actividad sospechosa.
El menú izquierdo proporciona toda la información de Active Directory disponible en la entidad: dirección de correo electrónico, dominio, fecha de la primera vista. Si la entidad es confidencial, le indicará por qué. Por ejemplo, ¿el usuario está etiquetado como confidencial o el miembro de un grupo confidencial? Si es un usuario confidencial, verá el icono bajo el nombre del usuario.
Ver actividades de entidad
Para ver todas las actividades realizadas por el usuario o realizadas en una entidad, seleccione la pestaña Actividades .
De forma predeterminada, el panel principal del perfil de entidad muestra una escala de tiempo de las actividades de la entidad con un historial de hasta 6 meses atrás, desde el que también puede explorar en profundidad las entidades a las que accede el usuario o para las entidades, los usuarios que han accedido a la entidad.
En la parte superior, puede ver los iconos de resumen que proporcionan una visión general rápida de lo que necesita comprender de un vistazo sobre la entidad. Estos iconos cambian en función del tipo de entidad que sea, para un usuario, verá lo siguiente:
Cuántas actividades sospechosas abiertas hay para el usuario
Cuántos equipos ha iniciado sesión el usuario
Número de recursos a los que el usuario ha accedido
Desde qué ubicaciones ha iniciado sesión el usuario en VPN
Para los equipos que puede ver:
Cuántas actividades sospechosas abiertas hay para la máquina
Cuántos usuarios han iniciado sesión en la máquina
Número de recursos a los que ha accedido el equipo
Número de ubicaciones a las que se ha accedido a VPN desde el equipo
Una lista de las direcciones IP que ha usado el equipo
Con el botón Filtrar por situado encima de la escala de tiempo de actividad, puede filtrar las actividades por tipo de actividad. También puede filtrar un tipo específico (ruidoso) de actividad. Esto es realmente útil para la investigación cuando se desea comprender los conceptos básicos de lo que una entidad está haciendo en la red. También puede ir a una fecha específica y exportar las actividades como filtradas a Excel. El archivo exportado proporciona una página para los cambios de servicios de directorio (cosas que cambiaron en Active Directory para la cuenta) y una página independiente para las actividades.
Visualización de datos de directorio
La pestaña Datos de directorio proporciona la información estática disponible en Active Directory, incluidas las marcas de seguridad de control de acceso de usuario. ATA también muestra las pertenencias a grupos del usuario para que pueda saber si el usuario tiene una pertenencia directa o una pertenencia recursiva. En el caso de los grupos, ATA muestra hasta 1000 miembros del grupo.
En la sección Control de acceso de usuario , ATA muestra la configuración de seguridad que puede necesitar su atención. Puede ver marcas importantes sobre el usuario, como puede presionar entrar para omitir la contraseña, si el usuario tiene una contraseña que nunca expira, etc.
Ver rutas de desplazamiento lateral
Al seleccionar la pestaña Rutas de desplazamiento lateral , puede ver un mapa totalmente dinámico y en el que se puede hacer clic que proporciona una representación visual de las rutas de desplazamiento lateral hacia y desde este usuario que se pueden usar para infiltrarse en la red.
El mapa proporciona una lista de cuántos saltos entre equipos o usuarios tendría un atacante hacia y desde este usuario para poner en peligro una cuenta confidencial y, si el propio usuario tiene una cuenta confidencial, puede ver cuántos recursos y cuentas están conectados directamente. Para obtener más información, consulte Rutas de desplazamiento lateral.
