Analizzare un account utente
Identificare gli account utente con gli avvisi più attivi (visualizzati nel dashboard come "Utenti a rischio") e indagare per casi di credenziali potenzialmente compromesse. Oppure passare all'account utente associato quando si analizza un avviso o un dispositivo per identificare un possibile spostamento laterale tra i dispositivi con tale account utente.
È possibile trovare le informazioni sull'account utente nelle viste seguenti:
Dashboard
Coda avvisi
Pagina Dettagli dispositivo
In queste visualizzazioni è disponibile un collegamento all'account utente selezionabile. Selezionando il collegamento verrà visualizzata la pagina dei dettagli dell'account utente in cui sono visualizzate altre informazioni dettagliate sull'account.
Quando si esamina un'entità account utente, verrà visualizzato quanto segue:
Dettagli dell'account utente, dispositivi connessi, ruolo, tipo di accesso e altri dettagli
Panoramica degli eventi imprevisti e dei dispositivi utente
Avvisi correlati all’utente
Posizioni osservate nell'organizzazione (dispositivi a cui è stato eseguito l'accesso)
Dettagli utente
Il riquadro Dettagli utente a sinistra fornisce informazioni sull'utente, ad esempio eventi imprevisti aperti correlati, avvisi attivi, nome SAM, SID, numero di dispositivi a cui l'utente ha eseguito l'accesso, primo e ultimo accesso dell'utente, ruolo e tipi di accesso. A seconda delle funzionalità di integrazione abilitate, verranno visualizzati altri dettagli.
Panoramica
La scheda Panoramica mostra i dettagli dell'evento imprevisto e un elenco dei dispositivi a cui l'utente ha effettuato l'accesso. È possibile espandere l’elenco dei dispositivi per visualizzare i dettagli degli eventi di accesso per ogni dispositivo.
Avvisi
La scheda relativa agli avvisi contiene un elenco degli avvisi associati all'account utente. Questo elenco è una visualizzazione filtrata della coda degli avvisi e mostra gli avvisi in cui il contesto utente è l'account utente selezionato, la data in cui è stata rilevata l'ultima attività, una breve descrizione dell'avviso, il dispositivo associato all'avviso, la gravità dell'avviso, lo stato dell'avviso nella coda e l'utente a cui l'avviso è assegnato.
Osservati nell'organizzazione
La scheda relativa agli elementi osservati nell'organizzazione consente di specificare un intervallo di date per visualizzare un elenco di dispositivi in cui l'utente ha effettuato l'accesso, l'account utente connesso più di frequente e meno di frequente per ognuno di questi dispositivi e gli utenti osservati totali in ogni dispositivo. Se si seleziona un elemento nella tabella Observed in organization (Elementi osservati nell'organizzazione), tale elemento viene espanso per visualizzare maggiori dettagli. Se si seleziona direttamente un collegamento all'interno di un elemento, viene visualizzata la pagina corrispondente.