Поделиться через

Изучение ресурсов

  • Статья

Microsoft Defender для удостоверений предоставляет Microsoft Defender XDR пользователям доказательства того, что пользователи, компьютеры и устройства выполняли подозрительные действия или имеют признаки компрометации.

В этой статье содержатся рекомендации по определению рисков для вашей организации, выбору способов их устранения и определению наилучшего способа предотвращения подобных атак в будущем.

Действия по расследованию подозрительных пользователей

Примечание.

Сведения о просмотре профилей пользователей в Microsoft Defender XDR см. в документации по Microsoft Defender XDR.

Если оповещение или инцидент указывает на то, что пользователь может быть подозрительным или скомпрометирован, проверка и изучите профиль пользователя для получения следующих сведений и действий:

  • Удостоверение пользователя

    • Является ли пользователь конфиденциальным пользователем (например, администратором или в списке отслеживания и т. д.)?
    • Какова их роль в организации?
    • Являются ли они важными в организационном дереве?

  • Исследуйте подозрительные действия, такие как:

    • Есть ли у пользователя другие открытые оповещения в Defender для удостоверений или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
    • Не удалось ли пользователю выполнить вход?
    • К каким ресурсам пользователь получил доступ?
    • Пользователь получил доступ к высокоценным ресурсам?
    • Должен ли пользователь получить доступ к ресурсам, к которые он получил доступ?
    • На каких устройствах входил пользователь?
    • Должен ли пользователь войти на эти устройства?
    • Существует ли путь бокового смещения (LMP) между пользователем и конфиденциальным пользователем?

Используйте ответы на эти вопросы, чтобы определить, скомпрометирована ли учетная запись или подозрительные действия подразумевают вредоносные действия.

Сведения об удостоверениях можно найти в следующих Microsoft Defender XDR областях:

  • Страницы сведений об отдельных удостоверениях
  • Страница сведений об отдельном оповещении или инциденте
  • Страницы сведений об устройстве
  • Запросы расширенной охоты
  • Страница центра уведомлений

Например, на следующем рисунке показаны сведения на странице сведений об удостоверениях:

Снимок экрана: страница определенного пользователя на портале Microsoft Defender.

Сведения об удостоверении

При исследовании определенного удостоверения на странице сведений об удостоверении отображаются следующие сведения:

Область страницы сведений об удостоверениях Описание
Вкладка "Обзор" Общие данные удостоверений, такие как Microsoft Entra уровень риска идентификации, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, учетные записи пользователя и более важная информация.

На вкладке Обзор можно также просмотреть графики инцидентов и оповещений, оценку приоритета исследования, дерево организации, теги сущностей и временная шкала оцененных действий.
Инциденты и оповещения Списки активные инциденты и оповещения с участием пользователя за последние 180 дней, включая такие сведения, как серьезность оповещения и время создания оповещения.
Наблюдается в организации Включает следующие подзоны:
- Устройства: устройства, на которые вошел идентификатор, в том числе наиболее и наименее используемые за последние 180 дней.
- Расположения: местонахождение удостоверения, наблюдаемое за последние 30 дней.
- Группы: все наблюдаемые локальные группы для удостоверения.
- Пути бокового перемещения — все профилированные пути бокового перемещения из локальной среды.
Временная шкала удостоверений временная шкала представляет действия и оповещения, наблюдаемые из удостоверения пользователя за последние 180 дней, объединяющие записи удостоверений в Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки.

Используйте временная шкала, чтобы сосредоточиться на действиях, которые пользователь выполнял или выполнял в определенных временных интервалах. Выберите значение по умолчанию 30 дней , чтобы изменить диапазон времени на другое встроенное значение или на пользовательский диапазон.
Действия по исправлению Реагирование на скомпрометированных пользователей путем отключения учетных записей или сброса пароля. После выполнения действий с пользователями вы можете проверка сведения о действиях в Microsoft Defender XDR **Центр уведомлений.

Примечание.

Оценка приоритета исследования устарела 3 декабря 2025 г. В результате из пользовательского интерфейса были удалены разбивка по оценке приоритета исследования и оцененные временная шкала карточки действий.

Дополнительные сведения см. в статье Исследование пользователей в документации по Microsoft Defender XDR.

Действия по расследованию подозрительных групп

Если оповещение или расследование инцидента связано с группой Active Directory, проверка сущность группы для следующих сведений и действий:

  • Сущность group

    • Является ли группа конфиденциальной группой, например "Администраторы домена"?
    • Включает ли группа конфиденциальных пользователей?

  • Исследуйте подозрительные действия, такие как:

    • Есть ли у группы другие открытые связанные оповещения в Defender для удостоверений или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
    • Какие пользователи были недавно добавлены в группу или удалены из нее?
    • Была ли группа недавно запрошена, и кем?

Используйте ответы на эти вопросы, чтобы помочь в исследовании.

В области сведений о сущности группы выберите Перейти охота или Открыть временная шкала для исследования. Сведения о группах также можно найти в следующих Microsoft Defender XDR областях:

  • Страница сведений об отдельном оповещении или инциденте
  • Страницы сведений об устройстве или пользователе
  • Запросы расширенной охоты

Например, на следующем рисунке показаны временная шкала действий операторов сервера, включая связанные оповещения и действия за последние 180 дней:

Снимок экрана: вкладка

Действия по расследованию подозрительных устройств

Microsoft Defender XDR оповещении перечислены все устройства и пользователи, подключенные к каждому подозрительному действию. Выберите устройство, чтобы просмотреть страницу сведений об устройстве, а затем изучите следующие сведения и действия:

  • Что произошло во время подозрительной активности?

    • Какой пользователь выполнил вход на устройство?
    • Обычно ли этот пользователь входит в исходное или целевое устройство или получает доступ к ней?
    • К каким ресурсам был предоставлен доступ? Какими пользователями? Если доступ к ресурсам был предоставлен, были ли они высокоценными ресурсами?
    • Должен ли пользователь получить доступ к этим ресурсам?
    • Выполнял ли пользователь, который получил доступ к устройству, другие подозрительные действия?

  • Другие подозрительные действия, которые нужно исследовать:

    • Были ли открыты другие оповещения примерно в то же время, что и в Defender для удостоверений, или в других средствах безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для облака и (или) Microsoft Defender for Cloud Apps?
    • Не удалось ли выполнить вход?
    • Были ли развернуты или установлены новые программы?

Используйте ответы на эти вопросы, чтобы определить, скомпрометировано ли устройство или подозрительные действия подразумевают вредоносные действия.

Например, на следующем рисунке показана страница сведений об устройстве:

Снимок экрана: страница сведений об устройстве.

Дополнительные сведения см. в разделе Исследование устройств в документации по Microsoft Defender XDR.

Дальнейшие действия

Совет

Ознакомьтесь с нашим интерактивным руководством: Исследование атак и реагирование на них с помощью Microsoft Defender для удостоверений