Megosztás a következőn keresztül:


Objektumok vizsgálata

Microsoft Defender for Identity Microsoft Defender XDR felhasználók számára bizonyítékokat biztosít arról, hogy a felhasználók, számítógépek és eszközök mikor végeztek gyanús tevékenységeket, vagy jelzik a biztonsági rések jeleit.

Ez a cikk javaslatokat nyújt a szervezetet fenyegető kockázatok meghatározásához, a szervizelés módjának meghatározásához és a hasonló támadások megelőzésének legjobb módjának meghatározásához a jövőben.

Gyanús felhasználók vizsgálati lépései

Megjegyzés:

A felhasználói profilok Microsoft Defender XDR való megtekintéséről további információt Microsoft Defender XDR dokumentációjában talál.

Ha egy riasztás vagy incidens azt jelzi, hogy egy felhasználó gyanús vagy sérült lehet, ellenőrizze és vizsgálja meg a felhasználói profilt a következő részletekért és tevékenységekért:

  • Felhasználói identitás

    • A felhasználó bizalmas felhasználó (például rendszergazda, figyelőlista stb.)?
    • Mi a szerepkörük a szervezeten belül?
    • Jelentősek a szervezeti fában?
  • Gyanús tevékenységek vizsgálata, például:

    • Rendelkezik a felhasználó más megnyitott riasztásokkal a Defender for Identityben vagy más biztonsági eszközökben, például a Végponthoz készült Microsoft Defender, a felhőhöz Microsoft Defender és/vagy Microsoft Defender for Cloud Apps?
    • Nem sikerült bejelentkezni a felhasználónak?
    • Mely erőforrásokhoz fért hozzá a felhasználó?
    • Magas értékű erőforrásokhoz fért hozzá a felhasználó?
    • A felhasználónak hozzá kellett volna férnie azokhoz az erőforrásokhoz, amelyekhez hozzáfért?
    • Mely eszközökre jelentkezett be a felhasználó?
    • A felhasználónak be kellett volna jelentkeznie az eszközökre?
    • Van oldalirányú mozgási útvonal (LMP) a felhasználó és egy bizalmas felhasználó között?

A kérdésekre adott válaszok segítségével megállapíthatja, hogy a fiók feltörtnek tűnik-e, vagy hogy a gyanús tevékenységek rosszindulatú műveleteket vonnak-e maga után.

Identitásadatok keresése az alábbi Microsoft Defender XDR területeken:

  • Egyedi identitásadatok lapjai
  • Egyéni riasztás vagy incidens részleteinek oldala
  • Eszközadatok lapjai
  • Speciális keresési lekérdezések
  • A Műveletközpont lapja

Az alábbi képen például egy identitás részleteinek oldalán láthatók a részletek:

Képernyőkép egy adott felhasználó oldaláról a Microsoft Defender portálon.

Identitás részletei

Egy adott identitás vizsgálatakor az alábbi részleteket fogja látni egy identitás részleteinek lapján:

Identitás részletei lapterület Leírás
Áttekintés lap Általános identitásadatok, például az Microsoft Entra identitás kockázati szintje, a felhasználó bejelentkezett eszközeinek száma, a felhasználó első és utolsó megtekintésekor a felhasználói fiókok és a fontosabb információk.

Az Áttekintés lapon megtekintheti az incidensek és riasztások grafikonjait, a vizsgálat prioritási pontszámát, a szervezeti fát, az entitáscímkéket és a pontozott tevékenység ütemtervét.
Incidensek és riasztások Listák felhasználót érintő aktív incidensek és riasztások az elmúlt 180 napból, beleértve az olyan részleteket, mint a riasztás súlyossága és a riasztás létrehozásának időpontja.
Szervezeten belül megfigyelve A következő alterületeket tartalmazza:
- Eszközök: Azok az eszközök, amelyekbe az identitás bejelentkezett, beleértve a legtöbb és legkevésbé használt eszközt az elmúlt 180 napban.
- Helyek: Az identitás megfigyelt helyei az elmúlt 30 napban.
- Csoportok: Az identitás összes megfigyelt helyszíni csoportja.
- Oldalirányú mozgási útvonalak – a helyszíni környezetből származó összes profilalapú oldalirányú mozgási útvonal.
Identitás idővonala Az idősor a felhasználó identitásából az elmúlt 180 napban megfigyelt tevékenységeket és riasztásokat jelöli, egységesíti az identitásbejegyzéseket Microsoft Defender for Identity, Microsoft Defender for Cloud Apps és Végponthoz készült Microsoft Defender.

Az idősor használatával azokra a tevékenységekre összpontosíthat, amelyeket a felhasználó adott időkeretekben hajtott végre vagy hajtott végre rajtuk. Az alapértelmezett 30 nap kiválasztásával módosítsa az időtartományt egy másik beépített értékre vagy egy egyéni tartományra.
Szervizelési műveletek Válaszoljon a feltört felhasználókra a fiókjaik letiltásával vagy a jelszavuk alaphelyzetbe állításával. Miután műveletet végzett a felhasználókon, megtekintheti a tevékenység részleteit a Microsoft Defender XDR **Műveletközpontban.

Megjegyzés:

A vizsgálat prioritási pontszáma 2025. december 3-án elavult. Ennek eredményeképpen a vizsgálat prioritási pontszámának lebontása és a pontozott tevékenység ütemtervkártyái is el lettek távolítva a felhasználói felületről.

További információ: Felhasználók vizsgálata a Microsoft Defender XDR dokumentációjában.

Gyanús csoportok vizsgálati lépései

Ha egy riasztás vagy incidens vizsgálata egy Active Directory-csoporthoz kapcsolódik, ellenőrizze a csoportentitásban a következő részleteket és tevékenységeket:

  • Csoportentitás

    • A csoport bizalmas csoport, például tartományi rendszergazdák?
    • A csoport bizalmas felhasználókat is tartalmaz?
  • Gyanús tevékenységek vizsgálata, például:

    • A csoport rendelkezik más megnyitott, kapcsolódó riasztásokkal a Defender for Identityben vagy más biztonsági eszközökben, például a Végponthoz készült Microsoft Defender, a felhőhöz Microsoft Defender és/vagy Microsoft Defender for Cloud Apps?
    • Mely felhasználók lettek nemrégiben hozzáadva vagy eltávolítva a csoportból?
    • A csoportot nemrég kérdezték le, és ki?

Az alábbi kérdésekre adott válaszokkal segíthet a vizsgálatban.

Egy csoportentitás részletei panelen válassza a Keresés megnyitása vagy az Ütemterv megnyitása lehetőséget a vizsgálathoz. A csoportinformációkat a következő Microsoft Defender XDR területeken is megtalálhatja:

  • Egyéni riasztás vagy incidens részleteinek oldala
  • Eszköz- vagy felhasználóadatok lapjai
  • Speciális keresési lekérdezések

Az alábbi képen például a Kiszolgálói operátorok tevékenységének idővonala látható, beleértve az elmúlt 180 naphoz kapcsolódó riasztásokat és tevékenységeket:

Képernyőkép a csoport Idősor lapról.

Gyanús eszközök vizsgálati lépései

Microsoft Defender XDR riasztás felsorolja az egyes gyanús tevékenységekhez kapcsolódó összes eszközt és felhasználót. Válasszon ki egy eszközt az eszközadatok lap megtekintéséhez, majd vizsgálja meg a következő részleteket és tevékenységeket:

  • Mi történt a gyanús tevékenység idején?

    • Melyik felhasználó jelentkezett be az eszközre?
    • A felhasználó általában bejelentkezik vagy hozzáfér a forrás- vagy céleszközhöz?
    • Mely erőforrásokhoz fértek hozzá? Mely felhasználóktól? Ha erőforrásokhoz fértek hozzá, akkor nagy értékű erőforrások voltak?
    • A felhasználónak hozzá kellett volna férnie ezekhez az erőforrásokhoz?
    • Az eszközhöz hozzáférő felhasználó más gyanús tevékenységeket is végzett?
  • További gyanús tevékenységek kivizsgálása:

    • Más riasztások is megnyíltak a riasztással egy időben a Defender for Identityben, vagy más biztonsági eszközökben, például a Végponthoz készült Microsoft Defender, a felhőhöz Microsoft Defender és/vagy Microsoft Defender for Cloud Apps?
    • Voltak sikertelen bejelentkezések?
    • Telepítettek vagy telepítettek új programokat?

A kérdésekre adott válaszok segítségével megállapíthatja, hogy az eszköz sérültnek tűnik-e, vagy hogy a gyanús tevékenységek rosszindulatú műveleteket vonnak-e maga után.

Az alábbi képen például egy eszközadatok lap látható:

Képernyőkép egy eszközadatok lapról.

További információ: Eszközök vizsgálata a Microsoft Defender XDR dokumentációjában.

Következő lépések