엔터티 프로필 조사
적용 대상: Advanced Threat Analytics 버전 1.9
엔터티 프로필은 사용자, 컴퓨터, 디바이스 및 액세스 권한이 있는 리소스 및 해당 기록에 대한 전체 심층 조사를 위해 설계된 dashboard 제공합니다. 프로필 페이지는 발생하는 활동 그룹을 보고(최대 1분까지 집계) 단일 논리 활동으로 그룹화하여 사용자의 실제 활동을 더 잘 이해할 수 있는 새로운 ATA 논리 활동 번역기를 활용합니다.
엔터티 프로필 페이지에 액세스하려면 의심스러운 활동 타임라인 엔터티 이름(예: 사용자 이름)을 선택합니다.
왼쪽 메뉴에서는 엔터티에서 사용할 수 있는 모든 Active Directory 정보(이메일 주소, 도메인, 처음 표시된 날짜)를 제공합니다. 엔터티가 중요한 경우 그 이유를 알 수 있습니다. 예를 들어 사용자에게 중요한 태그가 지정되었나요 아니면 중요한 그룹의 구성원인가요? 중요한 사용자인 경우 사용자 이름 아래에 아이콘이 표시됩니다.
엔터티 활동 보기
사용자가 수행하거나 엔터티에서 수행된 모든 활동을 보려면 작업 탭을 선택합니다.
기본적으로 엔터티 프로필의 기본 창에는 최대 6개월의 기록으로 엔터티 작업의 타임라인 표시되며, 이 창에서는 사용자가 액세스하는 엔터티 또는 엔터티에 액세스한 사용자에 대해서도 드릴다운할 수 있습니다.
맨 위에서 엔터티에 대해 한눈에 이해해야 하는 사항에 대한 간략한 개요를 제공하는 요약 타일을 볼 수 있습니다. 이러한 타일은 엔터티 유형에 따라 변경됩니다. 사용자의 경우 다음이 표시됩니다.
사용자에 대해 열려 있는 의심스러운 활동 수
사용자가 로그온한 컴퓨터 수
사용자가 액세스한 리소스 수
사용자가 VPN에 로그인한 위치
컴퓨터의 경우 다음을 볼 수 있습니다.
머신에 대해 열려 있는 의심스러운 활동 수
컴퓨터에 로그인한 사용자 수
컴퓨터에서 액세스한 리소스 수
컴퓨터에서 VPN에 액세스한 위치 수
컴퓨터에서 사용한 IP 주소 목록
활동 타임라인 위의 필터 기준 단추를 사용하여 활동 유형별로 활동을 필터링할 수 있습니다. 특정(시끄러운) 유형의 활동을 필터링할 수도 있습니다. 이는 네트워크에서 엔터티가 수행하는 작업의 기본 사항을 이해하려는 경우 조사에 매우 유용합니다. 특정 날짜로 이동하여 Excel로 필터링된 활동을 내보낼 수도 있습니다. 내보낸 파일은 디렉터리 서비스 변경(계정의 Active Directory에서 변경된 항목)에 대한 페이지와 활동에 대한 별도의 페이지를 제공합니다.
디렉터리 데이터 보기
디렉터리 데이터 탭은 사용자 액세스 제어 보안 플래그를 포함하여 Active Directory에서 사용할 수 있는 정적 정보를 제공합니다. 또한 ATA는 사용자에게 직접 멤버 자격 또는 재귀 멤버 자격이 있는지 알 수 있도록 사용자에 대한 그룹 멤버 자격을 표시합니다. 그룹의 경우 ATA는 그룹의 최대 1,000명의 멤버를 나열합니다.
사용자 액세스 제어 섹션에서 ATA는 주의가 필요할 수 있는 보안 설정을 표시합니다. 사용자에 대한 중요한 플래그(예: 사용자가 Enter 키를 눌러 암호를 우회할 수 있는지, 사용자에게 만료되지 않는 암호가 있는지 등)를 볼 수 있습니다.
횡적 이동 경로 보기
횡적 이동 경로 탭을 선택하면 네트워크에 침투하는 데 사용할 수 있는 이 사용자와의 횡적 이동 경로에 대한 시각적 표현을 제공하는 완전히 동적이고 클릭 가능한 맵을 볼 수 있습니다.
이 맵은 공격자가 중요한 계정을 손상시키기 위해 이 사용자와 오가는 컴퓨터 또는 사용자 간의 홉 수 목록을 제공하며, 사용자 자신에게 중요한 계정이 있는 경우 직접 연결된 리소스 및 계정 수를 확인할 수 있습니다. 자세한 내용은 횡적 이동 경로를 참조하세요.
