Käyttäjätilin tutkiminen Microsoft Defender for Endpoint
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Käyttäjätilientiteettien tutkiminen
Tunnista käyttäjätilit, joilla on aktiivisimmat hälytykset (näytetään koontinäytössä muodossa "Riskialttiit käyttäjät") ja tutki mahdollisia vaarantuneita tunnistetietoja tai pivotoi liittyvä käyttäjätili tutkiessasi ilmoitusta tai laitetta tunnistaaksesi mahdollisen sivuttaisen liikkeen laitteiden välillä kyseisellä käyttäjätilillä.
Käyttäjätilin tiedot ovat seuraavissa näkymissä:
- Koontinäyttö
- Ilmoitusjono
- Laitteen tietosivu
Näissä näkymissä on käytettävissä napsautettava käyttäjätililinkki, joka vie sinut käyttäjätilin tietosivulle, jossa näytetään lisätietoja käyttäjätilistä.
Kun tutkit käyttäjätilientiteettiä, näet seuraavaa:
- Käyttäjätilin tiedot, Microsoft Defender for Identity ilmoituksia ja kirjautuneena laitteisiin, rooliin, kirjautumistyyppiin ja muihin tietoihin
- Yleiskatsaus tapauksiin ja käyttäjän laitteisiin
- Tähän käyttäjään liittyvät ilmoitukset
- Havaittu organisaatiossa (laitteet, jotka on kirjautuneena sisään)
Käyttäjän tiedot
Vasemmanpuoleisessa Käyttäjätiedot-ruudussa on tietoja käyttäjästä, kuten liittyvät avoimet tapaukset, aktiiviset hälytykset, SAM-nimi, SID-tunnus, Microsoft Defender for Identity ilmoitukset, niiden laitteiden määrä, joihin käyttäjä on kirjautunut, milloin käyttäjä oli ensimmäinen ja viimeksi nähty, rooli ja kirjautumistyypit. Käytettävissä olevista integrointiominaisuuksista riippuen näet muita tietoja. Jos esimerkiksi otat Skype for Business -integroinnin käyttöön, voit ottaa yhteyttä käyttäjään portaalista. Azure ATP -ilmoitukset -osio sisältää linkin, joka vie sinut Microsoft Defender for Identity-sivulle, jos olet ottanut Microsoft Defender for Identity-ominaisuuden käyttöön ja käyttäjään liittyy ilmoituksia. Microsoft Defender for Identity-sivulla on lisätietoja ilmoituksista.
Huomautus
Sinun on otettava integrointi käyttöön sekä Microsoft Defender for Identity että Defender for Endpointissa, jotta voit käyttää tätä ominaisuutta. Defender for Endpointissa voit ottaa tämän ominaisuuden käyttöön lisäominaisuuksissa. Lisätietoja kehittyneiden ominaisuuksien käyttöönotosta on artikkelissa Kehittyneiden ominaisuuksien ottaminen käyttöön.
Yleiskatsaus, Hälytykset ja Havaittu organisaatiossa ovat eri välilehtiä, jotka näyttävät eri määritteitä käyttäjätilistä.
Huomautus
Linux-laitteissa kirjautuneen käyttäjän tietoja ei näytetä.
Yleiskatsaus
Yleiskatsaus-välilehdessä näkyvät tapahtumien tiedot ja luettelo laitteista, joihin käyttäjä on kirjautunut. Voit laajentaa näitä nähdäksesi kunkin laitteen kirjautumistapahtumien tiedot.
Ilmoitukset
Ilmoitukset-välilehdessä on luettelo käyttäjätiliin liittyvistä ilmoituksista. Tämä luettelo on ilmoitusjonon suodatettu näkymä. Se näyttää ilmoitukset, joissa käyttäjäkonteksti on valittu käyttäjätili, päivämäärä, jolloin viimeinen toimi havaittiin, lyhyen kuvauksen ilmoituksesta, hälytykseen liittyvän laitteen, hälytyksen vakavuuden, hälytyksen tilan jonossa ja sen, kenelle ilmoitus on määritetty.
Havaittu organisaatiossa
Havaittu organisaatiossa -välilehden avulla voit määrittää päivämääräalueen, jolloin näet luettelon laitteista, joihin tämä käyttäjä kirjautui, useimmin ja useimmin kirjautuneena jokaisen laitteen käyttäjätilille sekä havaittujen käyttäjien kokonaismäärän kussakin laitteessa.
Kohteen valitseminen Organisaation havaittu -taulukosta laajentaa kohteen paljastaen lisätietoja laitteesta. Linkin valitseminen suoraan kohteesta siirtää sinut vastaavalle sivulle.
Haku tietyille käyttäjätileille
- Valitse Hakupalkin avattavasta valikosta Käyttäjä.
- Kirjoita käyttäjätili Haku-kenttään.
- Napsauta hakukuvaketta tai paina Enter-näppäintä.
Näkyviin tulee luettelo käyttäjistä, jotka vastaavat kyselyn tekstiä. Näet käyttäjätilin toimialueen ja nimen, milloin käyttäjätili nähtiin viimeksi, ja niiden laitteiden kokonaismäärän, joilla se on kirjautunut sisään viimeisten 30 päivän aikana.
Voit suodattaa tulokset seuraavien ajanjaksojen mukaan:
- 1 päivä
- 3 päivää
- 7 päivää
- 30 päivää
- 6 kuukautta
Aiheeseen liittyviä artikkeleita
- Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen
- Microsoft Defender for Endpoint ilmoitusten hallinta
- Microsoft Defender for Endpoint ilmoitusten tutkiminen
- Defender for Endpoint -hälytykseen liittyvän tiedoston tutkiminen
- Laitteiden tutkiminen Defender for Endpoint Devices -luettelossa
- Defender for Endpoint -hälytykseen liittyvän IP-osoitteen tutkiminen
- Defender for Endpoint -hälytykseen liittyvän toimialueen tutkiminen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.