Untersuchen einer Identität

In Microsoft Defender stellt eine Identität eine Person oder Entität in Ihrem organization dar. Benutzer verfügen häufig über mehrere Anbieterkonten, z. B. lokales Active Directory, Microsoft Entra ID, SaaS-Anwendungen und andere IDPs. Defender korreliert diese Konten zu einer einzelnen Identität.

Jede Identität verfügt über ein primäres Konto. Wenn einer Identität mehrere Konten zugeordnet sind, legt Microsoft Defender ein Konto als primäres Konto fest und verwendet es für Profildetails auf Identitätsebene.

Auf der Seite Identität werden Identitätsdetails, beobachtete Aktivitäten, Warnungen und Offenlegungen über verknüpfte Konten hinweg konsolidiert, sodass Sicherheitsteams risiken schnell bewerten, mögliche Gefährdungen ermitteln, den Zugriff der Identität in der gesamten Umgebung verstehen und mit Abhilfemaßnahmen darauf reagieren können. Sie können die Seite Identität öffnen, indem Sie eine Identität aus mehreren Bereichen im Microsoft Defender-Portal auswählen, einschließlich:

  • Identitätsbestand
  • Benachrichtigungswarteschlange
  • Einzelne Warnungsseiten
  • Incidents oder Geräte
  • Ergebnisse der erweiterten Suche
  • Aktivitätsprotokoll
  • Info-Center

Die Seite Identität ist in einem oberen Abschnitt und einer Reihe von Registerkarten organisiert. Der obere Abschnitt zeigt den Identitätskontext an, z. B. die Organisationsinformationen und Tags, und enthält das Menü Aktionen . Verwenden Sie die Registerkarten, um Zusammenfassungsdetails, verwandte Warnungen und tiefergehende Untersuchungsansichten zu überprüfen.

  • Organisationsinformationen: Die Position der Identität, abteilung und vieles mehr.
  • Kontotags: Active Directory-Tags, die der Identität zugeordnet sind

Screenshot der Seite

Identitätsaktionen

Verwenden Sie auf der Seite Übersicht das Menü Aktionen , um Wartungsaktionen auszulösen. Verfügbare Aktionen umfassen:

  • Aktivieren, Deaktivieren oder Anhalten des Benutzers in Microsoft Entra ID
  • Der Benutzer muss sich erneut anmelden oder eine Kennwortzurücksetzung erzwingen.
  • Anzeigen Microsoft Entra Kontoeinstellungen, zugehöriger Governance, der Dateien im Besitz des Benutzers oder freigegebener Dateien

Screenshot der Identitätsseite mit angezeigtem Menü

Registerkarte „Übersicht“

Die Registerkarte Übersicht bietet eine allgemeine Momentaufnahme, die Analysten dabei hilft, Risiken schnell zu bewerten und zu entscheiden, ob eine eingehendere Untersuchung erforderlich ist.

Die Registerkarte "Übersicht" enthält Abschnitte für:

  • Entitätsdetails
  • Vorfälle und Warnungen
  • Zugeordnete interaktive Anmeldegeräte

Entitätsdetails

Im Bereich Entitätsdetails werden wichtige Identitätsinformationen und Untersuchungssignale zusammengefasst, einschließlich:

  • Microsoft Entra ID Attribute und Kontaktinformationen
  • Schutz und Benutzer-Bedrohungsanzeigen
  • Zeitstempel der ersten und letzten Anzeige
  • Anzahl der Geräte, bei der sich die Identität angemeldet hat
  • Verknüpfte Benutzerkonten, Geräte und Gruppenmitgliedschaften
  • Verwandte Warnungen und Vorfälle, gruppiert nach Schweregrad

Je nach aktivierten Diensten und Features werden weitere Details angezeigt. Zum Beispiel:

  • Umgebungen mit Microsoft Defender for Identity können Folgendes sehen:
    • Active Directory-Kontosteuerungsflags, z. B. Kennwort läuft nie ab oder Kontosperren status
    • Eine organization Struktur, die die Position der Identität in der Berichtshierarchie anzeigt.
  • (Vorschau) Umgebungen mit Microsoft Purview Insider Risk Management können den Insider-Risikoschweregrad eines Benutzers sehen und Einblicke in die verdächtigen Aktivitäten eines Benutzers auf der Benutzerseite gewinnen. Wählen Sie den Insider-Risikoschweregrad aus, um die Risikoerkenntnisse über den Benutzer anzuzeigen.
  • (Vorschau) Umgebungen mit Microsoft Sentinel Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) können Folgendes sehen:
    • Die drei häufigsten UEBA-Anomalien des Benutzers der letzten 30 Tage.
    • Links zum Starten vordefinierter erweiterter Huntingabfragen und zum Anzeigen aller anomalen Verhaltensweisen im Zusammenhang mit dem Benutzer auf der Registerkarte Microsoft Sentinel Ereignisse.

Registerkarte "Incidents and Alerts" (Incidents und Warnungen)

Auf der Registerkarte Incidents and alerts (Vorfälle und Warnungen ) werden alle Warnungen und Incidents aufgeführt, die die Identität innerhalb des unterstützten Aufbewahrungsfensters betreffen. Eine detaillierte Beschreibung des jeweiligen Elements finden Sie auf der Seite incidents oder auf der Seite mit den Warnungen.

Screenshot der Registerkarte

Auf organization Registerkarte beobachtet

Die Registerkarte In organization beobachtet zeigt, wo und wie die Identität in der Umgebung angezeigt wird, sodass Analysten den Explosionsradius und potenzielle Lateral Movement verstehen können.

Diese Registerkarte kann Folgendes enthalten:

Abschnitt Beschreibung
Konten Alle Konten, die der Identität über Identitätssysteme hinweg zugeordnet sind, einschließlich automatisch und manuell korrelierter Konten. Analysten können andere verwandte Konten manuell verknüpfen. Ein Indikator zeigt an, welches Konto das primäre Konto ist.
Geräte Geräte, bei der die Identität angemeldet ist. Dies zeigt in der Regel die letzten Aktivitäten an,
Speicherorte Für Anmeldungen beobachtete Speicherorte
Gruppen Der Identität zugeordnete Gruppen (sofern verfügbar)

Primäre Konten

Jede Identität kann mehrere verwandte Konten von verschiedenen Identitätsanbietern enthalten. Microsoft Defender identifiziert ein Konto als primäres Konto und verwendet die Profilwerte dieses Kontos für Felder auf Identitätsebene, z. B. Anzeigename und Position.

Microsoft Defender verwendet interne Korrelationslogik, um das primäre Konto zu bestimmen.

Screenshot der Registerkarte

Registerkarte "Risikobewertung" (Vorschau)

Auf der Registerkarte Risikobewertung wird die Risikostufe der Identität zusammengefasst, indem die Warnungsaktivität mit Identitätsattributen wie Rollenzuweisungen und Vertraulichkeitsklassifizierung kombiniert wird. Verwenden Sie diese Registerkarte, um die Risikobewertung einer Identität zu verstehen, mitwirkende Faktoren zu identifizieren und die Untersuchung zu priorisieren.

Abschnitt Beschreibung
Risikozusammenfassung Zeigt:
  • Die Gesamtrisikobewertung der Identität (0–100)
  • Vergleich der Identität mit anderen Identitäten in Ihrem organization nach Perzentil
  • Die mit der Identität verknüpften Kontosätze
  • Die Microsoft Entra ID Risikostufe für jedes Microsoft Entra-Konto. Wählen Sie die Microsoft Entra ID Risikostufe aus, um Zeitleiste Details anzuzeigen.
  • Wahrscheinlichkeit einer Kompromittierung
  • Auswirkungen der Kompromittierung
Wahrscheinlichkeit einer Kompromittierung Zeigt den Schweregrad der Wahrscheinlichkeit an und unterbricht Warnungen nach MITRE ATT&CK-Kill Chain-Phase (z. B. Erstzugriff, Persistenz und Berechtigungsausweitung) für jeden Kontosatz.
Auswirkungen der Kompromittierung Zeigt die potenzielle Auswirkungsstufe basierend auf der Wichtigkeitsstufe der Identität, der Klassifizierung (z. B. globaler Administrator) und Microsoft Entra Privileged Identity Management (PIM)-Rollenzuweisungen an.
Risikotrend Ein Liniendiagramm, das zeigt, wie sich die Risikobewertung über einen konfigurierbaren Zeitraum (z. B. 30 Tage) geändert hat. Wählen Sie Zu Zeitleiste wechseln aus, um die vollständige Aktivität Zeitleiste anzuzeigen.
Wahrscheinlichkeit von Gefährdungsdetails Ein Balkendiagramm, das die Verteilung von Warnungen über MITRE ATT&CK-Kategorien mit einer filterbaren Warnungstabelle zeigt. Verwenden Sie die Umschaltfläche Nur Aktive Warnungen , um sich auf nicht aufgelöste Warnungen zu konzentrieren. Filtern Sie nach Kontosatz, status oder Kill Chain-Phase.

Wählen Sie oben auf der Registerkarte Risiko zurücksetzen aus, um die Risikobewertung der Identität manuell zurückzusetzen, z. B. nach Abschluss der Korrektur.

Registerkarte "Zeitachse"

Die Registerkarte Zeitachse bietet eine chronologische Ansicht der identitätsbezogenen Aktivitäten und Warnungen, die von integrierten Microsoft-Sicherheitsprodukten wie Microsoft Defender for Identity, Microsoft Defender for Endpoint aggregiert wurden. Microsoft Defender for Cloud Apps und Microsoft Sentinel.

Die Zeitleiste hilft dabei, Aktivitätssequenzen zu rekonstruieren und Ereignisse während der Untersuchungen zu korrelieren.

Screenshot der Registerkarte

Typen von Aktivitäten, die im Zeitleiste angezeigt werden

Die folgenden Datentypen sind im Zeitleiste verfügbar:

  • Die betroffenen Warnungen eines Benutzers
  • Active Directory- und Microsoft Entra-Aktivitäten
  • Cloud-Apps-Ereignisse
  • Geräteanmeldungsereignisse
  • Änderungen an Verzeichnisdiensten

Informationen für jede Aktivität im Zeitleiste

Die folgenden Informationen werden im Zeitleiste angezeigt:

  • Datum und Uhrzeit der Aktivität
  • Beschreibung der Aktivität/Warnung
  • Anwendung, die die Aktivität ausgeführt hat
  • Quellgerät/IP-Adresse
  • MITRE ATT&CK-Techniken
  • Schweregrad und status von Warnungen
  • Land/Region, in dem die Client-IP-Adresse geolokal ist
  • Während der Kommunikation verwendetes Protokoll
  • Zielgerät (optional, durch Anpassen von Spalten sichtbar)
  • Anzahl der Aktivitätsausführungen (optional, durch Anpassen von Spalten sichtbar)

Arbeiten mit dem Zeitleiste

Hinweis

Microsoft Defender XDR können Datums- und Uhrzeitinformationen mithilfe Ihrer lokalen Zeitzone oder UTC anzeigen. Die ausgewählte Zeitzone gilt für alle Datums- und Uhrzeitinformationen, die im Identitäts-Zeitleiste angezeigt werden.

Um die Zeitzone für diese Features festzulegen, wechseln Sie zu Einstellungen>Security Center>Zeitzone.

  • Benutzerdefinierte Zeitbereichsauswahl: Wählen Sie einen Zeitrahmen aus, um ihre Untersuchung auf die letzten 24 Stunden, die letzten 3 Tage usw. zu konzentrieren. Oder wählen Sie einen bestimmten Zeitrahmen aus, indem Sie Benutzerdefinierter Bereich auswählen. Gefilterte Daten, die älter als 30 Tage sind, werden in Intervallen von sieben Tagen angezeigt.

  • Zeitachsenfilter: Verwenden Sie die Zeitleiste Filter, um die Ergebnisse nach Typ (Warnungen und/oder den zugehörigen Aktivitäten des Benutzers), Warnungsschweregrad, Aktivitätstyp, App, Standort oder Protokoll einzugrenzen. Jeder Filter hängt von den anderen ab, und die Optionen in jedem Filter enthalten nur Daten, die für den jeweiligen Benutzer relevant sind.

  • Benutzerdefinierte Spalten: Wählen Sie die Schaltfläche Spalten anpassen aus, um auszuwählen, welche Spalten im Zeitleiste verfügbar gemacht werden sollen.

  • Exportieren: Exportieren Sie die Zeitleiste in eine CSV-Datei. Der Export ist auf die ersten 5.000 Datensätze beschränkt und enthält die Daten, die auf der Benutzeroberfläche angezeigt werden (dieselben Filter und Spalten).

Registerkarte "Sicherheitsempfehlungen"

Auf der Registerkarte Sicherheitsempfehlungen werden identitätsbezogene Statusbewertungen angezeigt, die durch Identity Security Posture Management (ISPM) identifiziert wurden. Diese Empfehlungen heben Fehlkonfigurationen oder risikobehaftete Einstellungen in den Konten der Identität hervor, und wenn Sie eine Empfehlung auswählen, werden die Details unter Microsoft-Sicherheitsbewertung für Anleitungen zur Behebung geöffnet.

Screenshot der Registerkarte

Registerkarte "Angriffspfade"

Auf der Registerkarte Angriffspfade werden potenzielle Lateral Movement-Pfade visualisiert, die die Identität betreffen oder zu ihr führen. Diese Erkenntnisse helfen Sicherheitsteams dabei, ausnutzbare Beziehungen zu verstehen und die identitätsbasierte Angriffsfläche zu reduzieren.

Registerkarte "Richtlinien"

Auf der Registerkarte Richtlinien werden identitätsbezogene Sicherheitsrichtlinien angezeigt, die basierend auf ihren Attributen, Rollen und beobachteten Aktivitäten für die Identität relevant sind.

Diese Ansicht bietet einen Untersuchungskontext, indem sie zeigt, welche Richtlinien für die Identität gelten und wie sie den Zugriff oder die Risikobewertung beeinflussen. Richtlinien werden an anderer Stelle verwaltet. Auf dieser Registerkarte können Analysten die Richtlinienerzwingung mit Anmeldungen, Warnungen und Untersuchungsergebnissen korrelieren.

Registerkarte "Identity Explorer" (Vorschau)

Hinweis

Die Registerkarte Identity Explorer erfordert eine Microsoft Sentinel Data Lake-Lizenz.

Auf der Registerkarte Identität Explorer wird das Hunting-Diagramm verwendet, um Identitätsangriffspfade und Expositionsszenarien als interaktive Diagramme zu visualisieren. Das Diagramm ist vorab mit der aktuellen Identität versehen, sodass Sie sofort sehen können, wie sich die Identität auf andere Entitäten in Ihrer Umgebung bezieht.

Verwenden Sie die Identitäts-Explorer, um Lateral Movement-Pfade, Rechteausweitungsrouten und Anmeldeinformationen im Zusammenhang mit der Identität zu ermitteln.

Screenshot der Registerkarte

Suchen mit vordefinierten Szenarien

Wählen Sie Mit vordefinierten Szenarien suchen aus, um identitätsorientierte Abfragen auszuführen. Jedes Szenario ist einer oder mehreren MITRE ATT&CK-Techniken zugeordnet und konzentriert sich auf eine bestimmte Art von Identitätsrisiko.

Screenshot des Bereichs für vordefinierte Identitätsszenarien in Identity Explorer.

In der folgenden Tabelle werden die vordefinierten Identitätsszenarien beschrieben, die in Identity Explorer verfügbar sind.

Szenario Beschreibung MITRE-Technik
Synchronisierte Entra Benutzern mit Berechtigungen für die OAuth-Anwendung, wodurch die Authentifizierung als privilegierter Dienstprinzipal zugelassen wird OAuth-Anwendungen, die als privilegierte Dienstprinzipale fungieren, die ohne Benutzerinteraktion auf Ressourcen zugreifen können. Rechteausweitung, Lateral Movement
Nicht privilegierte Benutzer verfügen über einen Pfad, der zu sensiblen Benutzern/Gruppen (Lokal/Cloud) führt. Nicht privilegierte Benutzer, die Über Pfade zu sensiblen Identitäten verfügen, zeigen eine potenzielle Rechteausweitung an. Rechteausweitung, Lateral Movement
Dienstkonten mit RDP-Zugriff auf kritische Geräte Dienstkonten, die remote auf kritische Geräte über RDP zugreifen können, was zu dauerhaften Zugriffsrisiken führen kann, wenn sie kompromittiert werden. Laterale Bewegung
Kerberoastable-Benutzer mit einem Pfad zu einer kritischen Ressource Kerberoastable-Benutzer mit Angriffspfaden zu kritischen Ressourcen, was Offline-Kennwortangriffe ermöglicht, die zur Rechteausweitung führen können. Rechteausweitung, Zugriff auf Anmeldeinformationen
Synchronisierte Entra Benutzer mit direkten Berechtigungen für Cloudressourcen Microsoft Entra Benutzer mit Hybridberechtigungen für mehrere Cloudressourcen, überschreiten Sicherheitsgrenzen und verletzen die geringsten Berechtigungen. Laterale Bewegung
Externe Entra Benutzer mit direkten Berechtigungen für Cloudressourcen Externe Identitäten mit direktem Zugriff auf Cloudressourcen, die risiken von Drittanbietern und mögliche Datenexposition darstellen. Laterale Bewegung
Nicht privilegierte Benutzer mit einem Pfad zur eigenen AD-Domäne (DCSync) Nicht privilegierte Benutzer mit Pfaden, die eine vollständige Gefährdung der Active Directory-Domäne über DCSync ermöglichen. Rechteausweitung, Zugriff auf Anmeldeinformationen
Nicht privilegierte Benutzer, die die Gruppe "Domänenadministratoren" erreichen können (<5 Hops) Nicht privilegierte Benutzer, die die Gruppe Domänenadministratoren in weniger als fünf Schritten erreichen können. Rechteausweitung, Lateral Movement
ASREPRoastable-Benutzer mit einem Pfad zu einer kritischen Ressource AS-REP-röstbare Konten mit Pfaden zu kritischen Ressourcen, die durch Offline-Kennwort-Cracking angegriffen werden können. Rechteausweitung, Zugriff auf Anmeldeinformationen
Nicht privilegiertes Benutzerkonto, das auf mehreren Geräten verfügbar gemacht wird, verfügt über RDP-Anmeldeberechtigungen für kritische Ressourcen (Lokal/Cloud) Nicht privilegierte Benutzer, die auf mehreren Geräten verfügbar gemacht werden und über RDP remote auf kritische Ressourcen zugreifen können. Zugriff auf Anmeldeinformationen

Weitere Informationen zum Hunting graph und seinen Features finden Sie unter Suchen nach Bedrohungen mithilfe des Huntinggraphen.

Registerkarte "Ereignisse Microsoft Sentinel"

Wenn Microsoft Sentinel mit dem Defender-Portal verbunden ist, wird auf dieser Registerkarte eine Microsoft Sentinel Zeitleiste für die Identität angezeigt. Die Zeitleiste enthält Warnungen, die der Identität zugeordnet sind, einschließlich Warnungen, die auch auf der Registerkarte Vorfälle und Warnungen angezeigt werden, und Warnungen, die von Microsoft Sentinel erstellt wurden. Außerdem werden mit Lesezeichen versehene Hunts angezeigt, die auf die Identität verweisen, Aktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die durch Microsoft Sentinel Anomalieregeln identifiziert werden.

Screenshot der Registerkarte

Einblicke

Im Abschnitt Insights werden Entitätserkenntnisse angezeigt, bei denen es sich um Untersuchungsabfragen handelt, die von Microsoft-Sicherheitsexperten definiert wurden, um Analysten dabei zu helfen, Identitäten effizienter zu untersuchen. Diese Erkenntnisse heben automatisch wichtige Sicherheitssignale wie Anmeldeaktivitäten, Gruppenänderungen und anomales Verhalten hervor und präsentieren Ergebnisse als Tabellen und Diagramme. Erkenntnisse basieren auf Microsoft Sentinel und den damit verbundenen Datenquellen, einschließlich Microsoft Entra ID Protokollen und Microsoft Sentinel UEBA, sofern aktiviert.

Arten von Erkenntnissen

Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:

  • Benutzerpeers basierend auf der Mitgliedschaft in Sicherheitsgruppen
  • Aktionen nach Konto
  • Aktionen für Konto
  • Vom Benutzer gelöschte Ereignisprotokolle
  • Gruppenerweiterungen
  • Anomale hohe Anzahl von Bürovorgängen
  • Ressourcenzugriff
  • Anomale Hohe Azure Anmeldeergebnisanzahl
  • UEBA-Erkenntnisse
  • Benutzerzugriffsberechtigungen für Azure Abonnements
  • Bedrohungsindikatoren im Zusammenhang mit dem Benutzer
  • Watchlist-Erkenntnisse (Vorschau)
  • Windows-Anmeldeaktivität

Datenquellen für Erkenntnisse

Erkenntnisse basieren auf den folgenden Datenquellen:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Erkunden von Erkenntnissen in der erweiterten Suche

Um weitere Erkenntnisse zu untersuchen, wählen Sie den Link aus, der die Erkenntnis begleitet. Der Link öffnet die Seite Erweiterte Suche mit der Abfrage, die der Erkenntnis zugrunde liegt, und deren Rohergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern.

Screenshot des Bildschirms

Nächste Schritte

  • Last updated on