Entitásprofilok vizsgálata
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az entitásprofil egy olyan irányítópultot biztosít, amely a felhasználók, számítógépek, eszközök, valamint a hozzáféréssel rendelkező erőforrások és azok előzményeinek teljes körű vizsgálatára szolgál. A profillap az új ATA logikaitevékenység-fordítót használja, amely megtekintheti a folyamatban lévő tevékenységek egy csoportját (akár egyperces összesítéssel), és egyetlen logikai tevékenységbe csoportosíthatja őket, így jobban megértheti a felhasználók tényleges tevékenységeit.
Egy entitásprofil-lap eléréséhez válassza ki az entitás nevét, például egy felhasználónevet a gyanús tevékenység idővonalán.
A bal oldali menüben az entitáson elérhető összes Active Directory-információ megtalálható – e-mail-cím, tartomány, elsőként látott dátum. Ha az entitás bizalmas, meg fogja mondani, hogy miért. Például a felhasználó bizalmasként van megjelölve, vagy egy bizalmas csoport tagja? Ha bizalmas felhasználóról van szó, a felhasználó neve alatt megjelenik az ikon.
Entitástevékenységek megtekintése
A felhasználó által végrehajtott vagy egy entitáson végrehajtott összes tevékenység megtekintéséhez válassza a Tevékenységek lapot.
Alapértelmezés szerint az entitásprofil fő panelje megjeleníti az entitás tevékenységeinek idővonalát, amely legfeljebb 6 hónapos előzményekkel rendelkezik, amelyből a felhasználó által elért entitásokra, illetve az entitásokhoz hozzáférő felhasználókra is lehatolást végezhet.
Felül megtekintheti az összefoglaló csempéket, amelyek gyors áttekintést nyújtanak arról, hogy mit kell megértenie egy pillantással az entitásról. Ezek a csempék attól függően változnak, hogy milyen típusú entitásról van szó, a felhasználó számára a következőt fogja látni:
Hány nyitott gyanús tevékenység van a felhasználó számára
Hány számítógépre jelentkezett be a felhasználó
Hány erőforráshoz fért hozzá a felhasználó
Melyik helyről jelentkezett be a felhasználó a VPN-be?
Számítógépek esetén a következőt láthatja:
Hány nyitott gyanús tevékenység van a gépen?
Hány felhasználó jelentkezett be a gépre
Hány erőforráshoz fért hozzá a számítógép
Hány helyről lett vpn-elérés a számítógépen
A számítógép által használt IP-címek listája
A tevékenység idővonala feletti Szűrés gomb használatával tevékenységtípus szerint szűrheti a tevékenységeket. Egy adott (zajos) tevékenységtípust is kiszűrhet. Ez nagyon hasznos a vizsgálathoz, ha szeretné megismerni az entitások hálózatban végzett műveletének alapjait. Egy adott dátumra is ugorhat, és a tevékenységeket szűrtként exportálhatja az Excelbe. Az exportált fájl egy lapot biztosít a címtárszolgáltatások változásaihoz (a fiók Active Directoryban módosult dolgaihoz), valamint egy külön lapot a tevékenységekhez.
Címtáradatok megtekintése
A Címtáradatok lap az Active Directoryból elérhető statikus információkat tartalmazza, beleértve a felhasználói hozzáférés-vezérlés biztonsági jelzőit is. Az ATA a felhasználó csoporttagságait is megjeleníti, így megállapíthatja, hogy a felhasználó közvetlen vagy rekurzív tagsággal rendelkezik-e. Csoportok esetén az ATA a csoport legfeljebb 1000 tagját listázza.
A Felhasználói hozzáférés-vezérlés szakaszban az ATA felfedi azokat a biztonsági beállításokat, amelyekre szüksége lehet az Ön figyelmének. Megjelennek a felhasználóval kapcsolatos fontos jelzők, például az Enter billentyűt lenyomva megkerülheti a jelszót, rendelkezik-e olyan jelszóval, amely soha nem jár le stb.
Oldalirányú mozgásvonalak megtekintése
Az Oldalirányú mozgási útvonalak lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, amely vizuálisan ábrázolja a felhasználó oldalirányú mozgási útvonalait, amelyek a hálózatba való beszivárgáshoz használhatók.
A térkép felsorolja, hogy egy támadónak hány ugrásra van szüksége a számítógépek vagy a felhasználók között egy bizalmas fiók feltörése érdekében, és ha a felhasználónak is van bizalmas fiókja, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva. További információ: Oldalirányú mozgási útvonalak.
