Untersuchen eines Benutzerkontos

  • 4 Minuten

Ermitteln Sie die Benutzerkonten mit den meisten aktiven Warnungen – auf dem Dashboard als „Gefährdete Benutzer“ angezeigt – und untersuchen Sie Fälle mit eventuell kompromittierten Anmeldeinformationen. Sie können sich auch mit dem zugehörigen Benutzerkonto befassen, wenn Sie eine Warnung oder ein Gerät untersuchen, um eventuelle Lateral Movements zwischen Geräten mit diesem Benutzerkonto zu ermitteln.

Informationen zu Benutzerkonten finden Sie in den folgenden Ansichten:

  • Dashboard

  • Warnungswarteschlage

  • Seite mit Gerätedetails

In diesen Ansichten ist ein anklickbarer Link zum Benutzerkonto verfügbar. Wenn Sie den Link auswählen, werden Sie zur Detailseite des Benutzerkontos weitergeleitet, wo weitere Informationen dazu angezeigt werden.

Wenn Sie eine Benutzerkontoentität untersuchen, werden folgende Details angezeigt:

  • Benutzerkontodetails und angemeldete Geräte, Rolle, Anmeldetyp und andere Informationen

  • Übersicht über Incidents und Geräte des Benutzers

  • Warnungen für diesen Benutzer

  • Beobachtete Speicherorte innerhalb der Organisation (Geräte, bei denen sich ein Benutzer angemeldet hat)

Benutzerdetails

Im Detailbereich „Benutzer“ auf der linken Seite finden Sie Informationen zum Benutzer. Dazu zählen z. B. offene Incidents, aktive Warnungen, der SAM-Name, die SID, die Anzahl von Geräten, bei denen der Benutzer oder die Benutzerin angemeldet ist, der Zeitpunkt der ersten und letzten Aktivität des Benutzers oder der Benutzerin, die Rolle und die Anmeldetypen. Abhängig davon, welche Integrationsfunktionen Sie aktiviert haben, werden weitere Details angezeigt.

Übersicht

Auf der Registerkarte „Übersicht“ werden die Incidentdetails sowie eine Liste der Geräte angezeigt, bei denen der Benutzer sich angemeldet hat. Sie können die Geräteliste aufklappen, um für jedes Gerät Details zu den Anmeldeereignissen anzuzeigen.

Alerts

Auf der Registerkarte „Warnungen“ wird eine Liste mit Warnungen angezeigt, die im Zusammenhang mit dem Benutzerkonto stehen. Diese Liste ist eine gefilterte Ansicht der Warnungswarteschlange. Sie enthält Warnungen, bei denen der Benutzerkontext das ausgewählte Benutzerkonto ist. Außerdem sind folgende Informationen aufgeführt: das Datum der letzten Aktivität, eine kurze Beschreibung der Warnung, das mit der Warnung verknüpfte Gerät, der Schweregrad der Warnung, der Status der Warnung in der Warteschlange sowie die Person, der die Warnung zugewiesen ist.

Observed in organization

Auf der Registerkarte „In der Organisation beobachtet“ können Sie einen Datumsbereich angeben, um eine Liste der Geräte anzuzeigen, bei denen der jeweilige Benutzer angemeldet war. Außerdem werden für jedes Gerät das am häufigsten und das am seltensten angemeldete Benutzerkonto sowie die Gesamtzahl der beobachteten Benutzer aufgeführt. Wenn Sie in der Tabelle „In der Organisation beobachtet“ ein Element auswählen, werden für dieses Element weitere Details zum Gerät angezeigt. Bei direkter Auswahl eines Links innerhalb eines Elements werden Sie zur entsprechenden Seite geleitet.