共用方式為

調查資產

  • 發行項

適用於身分識別的 Microsoft Defender 為 Microsoft Defender 全面偵測回應 使用者提供使用者、計算機和裝置何時執行可疑活動或顯示遭入侵之徵兆的辨識項。

本文提供如何判斷組織風險、決定如何補救,以及決定未來防止類似攻擊的最佳方式的建議。

可疑用戶的調查步驟

注意事項

如需如何在 Microsoft Defender 全面偵測回應 中檢視使用者配置文件的資訊,請參閱 Microsoft Defender 全面偵測回應 檔。

如果警示或事件指出使用者可能可疑或遭到入侵,請檢查並調查使用者配置檔中的下列詳細數據和活動:

  • 使用者身分識別

    • 使用者是否為 敏感性使用者 (例如系統管理員或關注清單等 ) ?
    • 其在組織中的角色為何?
    • 它們在組織樹狀結構中是否重要?

  • 調查可疑的活動,例如:

    • 使用者是否在適用於身分識別的Defender中,或在其他安全性工具中開啟其他警示,例如 適用於端點的 Microsoft Defender、雲端 Microsoft Defender和/或 Microsoft Defender for Cloud Apps?
    • 使用者登入失敗嗎?
    • 使用者存取了哪些資源?
    • 使用者是否存取高價值資源?
    • 使用者是否應該存取他們存取的資源?
    • 使用者登入了哪些裝置?
    • 使用者是否應該登入這些裝置?
    • 使用者與敏感性用戶之間是否有 LMP) (橫向 動作路徑

使用這些問題的解答來判斷帳戶是否遭到入侵,或可疑活動是否表示惡意動作。

在下列 Microsoft Defender 全面偵測回應 區域中尋找身分識別資訊:

  • 個別身分識別詳細數據頁面
  • 個別警示或事件詳細數據頁面
  • 裝置詳細數據頁面
  • 進階搜捕查詢
  • 控制 中心 頁面

例如,下圖顯示身分識別詳細數據頁面上的詳細數據:

Microsoft Defender入口網站中特定用戶頁面的螢幕快照。

身分識別詳細數據

當您調查特定身分識別時,您會在身分識別詳細數據頁面上看到下列詳細數據:

身分識別詳細數據頁面區域 描述
[概觀] 索引標籤 一般身分識別數據,例如 Microsoft Entra 身分識別風險層級、使用者登入的裝置數目、使用者第一次和最後一次看見的時間、用戶的帳戶,以及更重要的資訊。

使用 [ 概觀] 索引標籤,同時檢視事件和警示、調查優先順序分數、組織樹狀結構、實體標籤和評分啟用時程表的圖表。
事件和警示 清單 過去 180 天內涉及使用者的作用中事件和警示,包括警示嚴重性和警示產生時間等詳細數據。
在組織中觀察到 包含下列子區域:
- 裝置:身分識別登入的裝置,包括過去 180 天內使用最多和最少的裝置。
- 位置:身分識別在過去 30 天內觀察到的位置。
- 群組:針對身分識別觀察到的所有內部部署群組。
- 橫向動作路徑 - 來自內部部署環境的所有已分析橫向動作路徑。
身分識別時程表 時間軸代表過去 180 天內從使用者身分識別觀察到的活動和警示,可統一 適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於端點的 Microsoft Defender 的身分識別專案。

使用時間軸,將焦點放在使用者在特定時間範圍內執行或執行的活動。 選取預設 值 30 天 ,將時間範圍變更為另一個內建值或自定義範圍。
補救動作 藉由停用其帳戶或重設其密碼來回應遭入侵的使用者。 對使用者採取動作之後,您可以在 Microsoft Defender 全面偵測回應 **控制中心查看活動詳細數據。

注意事項

調查優先順序分數 已於 2025 年 12 月 3 日淘汰。 因此,調查優先順序分數明細和評分啟用時程表卡片都已從 UI 中移除。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 檔中的調查使用者

可疑群組的調查步驟

如果警示或事件調查與Active Directory 群組相關,請檢查群組實體中是否有下列詳細數據和活動:

  • 群組實體

    • 群組是否為 敏感性群組,例如 Domain Admins
    • 群組是否包含敏感性使用者?

  • 調查可疑的活動,例如:

    • 群組是否在適用於身分識別的Defender中,或在其他安全性工具中開啟其他相關警示,例如 適用於端點的 Microsoft Defender、雲端 Microsoft Defender和/或 Microsoft Defender for Cloud Apps?
    • 群組中最近新增或移除哪些使用者?
    • 群組最近是否已查詢,以及由誰查詢?

使用這些問題的解答來協助調查。

從群組實體詳細數據窗格中,選取 [搜捕] 或 [ 開啟時程表 ] 以進行調查。 您也可以在下列 Microsoft Defender 全面偵測回應 區域中找到群組資訊:

  • 個別警示或事件詳細數據頁面
  • 裝置或使用者詳細數據頁面
  • 進階搜捕查詢

例如,下圖顯示 伺服器操作員 啟用時程表,包括過去 180 天的相關警示和活動:

群組 [時程表] 索引標籤的螢幕快照。

可疑裝置的調查步驟

Microsoft Defender 全面偵測回應 警示會列出連線到每個可疑活動的所有裝置和使用者。 選取裝置以檢視裝置詳細數據頁面,然後調查下列詳細數據和活動:

  • 可疑活動發生什麼事?

    • 哪個使用者已登入裝置?
    • 該使用者通常會登入或存取來源或目的地裝置嗎?
    • 哪些資源已存取? 由哪些使用者? 如果已存取資源,是否為高價值資源?
    • 使用者是否應該存取這些資源?
    • 存取裝置的使用者是否執行其他可疑活動?

  • 要調查的更多可疑活動

    • 其他警示開啟的時間是否與適用於身分識別的 Defender 中的此警示相同,或是在其他安全性工具中開啟,例如 適用於端點的 Microsoft Defender、Microsoft Defender 用於雲端和/或 Microsoft Defender for Cloud Apps?
    • 登入失敗嗎?
    • 是否已部署或安裝任何新程式?

使用這些問題的解答來判斷裝置是否遭到入侵,或可疑活動是否表示惡意動作。

例如,下圖顯示裝置詳細數據頁面:

裝置詳細數據頁面的螢幕快照。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 檔中的調查裝置

後續步驟

提示

試用我們的互動式指南:使用 適用於身分識別的 Microsoft Defender 調查和回應攻擊