調查實體配置檔
適用於:Advanced Threat Analytics 1.9 版
實體配置檔為您提供儀錶板,專為完整深入調查使用者、計算機、裝置,以及其可存取的資源及其歷程記錄而設計。 配置文件頁面會利用新的 ATA 邏輯活動轉譯器,查看 (匯總最多一分鐘) 的活動群組,並將其分組為單一邏輯活動,讓您更了解用戶的實際活動。
若要存取實體配置檔頁面,請在可疑的啟用時間軸中選取實體的名稱,例如用戶名稱。
左側功能表會提供實體上所有可用的 Active Directory 資訊 - 電子郵件地址、網域、第一次看到的日期。 如果實體為敏感性,則會告訴您原因。 例如,使用者是否標記為敏感性群組或敏感性群組的成員? 如果是敏感性使用者,您會在用戶名稱下看到圖示。
檢視實體活動
若要檢視使用者執行或在實體上執行的所有活動,請選取 [ 活動] 索 引標籤。
根據預設,實體配置檔的主要窗格會顯示實體活動的時間軸,其歷程記錄最多為 6 個月,您也可以從中向下切入使用者存取的實體,或存取實體的實體使用者。
在頂端,您可以檢視摘要磚,讓您快速概觀您需要了解的實體概觀。 這些圖格會根據實體類型而變更,針對使用者,您會看到:
使用者有多少開啟的可疑活動
使用者登入的計算機數目
使用者存取的資源數目
使用者登入 VPN 的位置
針對電腦,您可以看到:
計算機有多少開啟的可疑活動
登入計算機的用戶數目
計算機存取的資源數目
從計算機存取 VPN 的位置數目
計算機已使用哪些IP位址的清單
使用啟用時間軸上方 的 [依篩選 ] 按鈕,您可以依活動類型篩選活動。 您也可以篩選出特定 (雜訊) 類型的活動。 當您想要瞭解實體在網路中執行工作的基本概念時,這對於調查非常有説明。 您也可以移至特定日期,並可將活動導出為已篩選至 Excel。 導出的檔案會提供目錄服務變更頁面, (在 Active Directory 中針對帳戶) 變更的專案,以及活動的另一個頁面。
檢視目錄數據
[ 目錄數據] 索引 標籤提供 Active Directory 提供的靜態資訊,包括使用者存取控制安全性旗標。 ATA 也會顯示使用者的群組成員資格,讓您可以判斷使用者是否具有直接成員資格或遞歸成員資格。 針對群組,ATA 最多會列出 1000 個群組成員。
在 [ 使用者存取控制] 區段中,ATA 會呈現可能需要您注意的安全性設定。 您可以看到關於使用者的重要旗標,例如使用者可以按 Enter 以略過密碼、使用者是否擁有永不過期的密碼等等。
檢視橫向動作路徑
藉由選取 [ 橫向動作路徑 ] 索引標籤,您可以檢視完全動態且可點選的地圖,為您提供橫向動作路徑的可視化表示,以供您用來滲透網络。
地圖會提供一份清單,列出攻擊者必須與此用戶之間有多少個躍點來回入侵敏感性帳戶,而且如果使用者本身有敏感性帳戶,您可以查看直接連線的資源和帳戶數目。 如需詳細資訊,請參閱 橫向動作路徑。
