ユーザー アカウントを調査する
アクティブなアラートが最も多いユーザー アカウント ("危険な状態のユーザー" とダッシュボードに表示されます) を特定し、資格情報が危険な状態にあることが考えられるケースを調査します。 あるいは、アラートまたはデバイスの調査中に、関連するユーザー アカウントを中心に、そのユーザー アカウントのデバイス間において考えられる横の動きを特定します。
次のビューでユーザー アカウント情報を確認することができます。
ダッシュボード
アラート キュー
[デバイスの詳細] ページ
これらのビューでは、クリックできるユーザー アカウント リンクが利用できます。 そのリンクを選択すると、ユーザー アカウントの詳細ページが表示され、ユーザー アカウントに関する詳細がさらに表示されます。
ユーザー アカウント エンティティを調べる場合、次の項目が表示されます。
ユーザー アカウントの詳細とログオンしたデバイス、ロール、ログオンの種類、その他の詳細
インシデントとユーザーのデバイスの概要
このユーザーに関連するアラート
組織内の観察された場所 (ログオンに使用したデバイス)
ユーザーの詳細
左側の [ユーザーの詳細] ウィンドウには、関連するオープン インシデント、アクティブなアラート、SAM 名、SID、ユーザーがログオンしているデバイスの数、ユーザーが最初と最後に表示された日時、ロール、ログオンの種類など、ユーザーに関する情報が表示されます。 有効にした統合機能によっては、その他の詳細が表示されます。
概要
[概要] タブには、インシデントの詳細と、ユーザーがログオンしたデバイスの一覧が表示されます。 デバイスの一覧を展開すると、各デバイスのログオン イベントの詳細が表示されます。
警告
[アラート] タブには、ユーザー アカウントに関連付けられているアラートの一覧が表示されます。 この一覧は、アラート キューのフィルター処理されたビューであり、アラートが表示されています。そのユーザーコンテキストは、選択されたユーザー アカウント、最後のアクティビティが検出された日付、アラートの簡単な説明、アラートに関連付けられたデバイス、アラートの重大度、キュー内のアラートの状態、およびアラートを割り当てたユーザーです。
Observed in organization (組織内での観察状況)
[組織の観察対象] タブでは、日付範囲を指定して、このユーザーがログオンしたことが観察されたデバイス一覧を表示できます。ここには、各デバイスでログオンした頻度が最高および最低のユーザー アカウント、各デバイスで観察されたユーザーの総数も表示されます。 [組織内の観察対象] テーブルの項目を選択すると、その項目が展開され、デバイスの詳細が表示されます。 項目内のリンクを直接選択すると、対応するページに移動します。