Undersøke en brukerkonto i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Undersøk brukerkontoenheter

Identifiser brukerkontoer med de mest aktive varslene (vises på instrumentbordet som «Brukere i fare») og undersøk tilfeller av potensiell kompromittert legitimasjon, eller pivoter på den tilknyttede brukerkontoen når du undersøker et varsel eller en enhet for å identifisere mulig sideveis bevegelse mellom enheter med denne brukerkontoen.

Du finner brukerkontoinformasjon i følgende visninger:

• Instrumentbord
• Varselkø
• Side for enhetsdetaljer

En klikkbar brukerkontokobling er tilgjengelig i disse visningene, som tar deg til brukerkontodetaljersiden der flere detaljer om brukerkontoen vises.

Når du undersøker en brukerkontoenhet, kan du se:

• Brukerkontodetaljer, Microsoft Defender for identitet varsler og logget på enheter, rolle, påloggingstype og andre detaljer
• Oversikt over hendelser og brukerens enheter
• Varsler relatert til denne brukeren
• Observert i organisasjonen (enheter logget på)

Brukerdetaljer

Brukerdetaljer-ruten til venstre gir informasjon om brukeren, for eksempel relaterte åpne hendelser, aktive varsler, SAM-navn, SID, Microsoft Defender for identitet varsler, antall enheter brukeren er logget på, når brukeren ble først og sist sett, rolle- og påloggingstyper. Avhengig av integreringsfunksjonene du har aktivert, kan du se andre detaljer. Hvis du for eksempel aktiverer Integrering av Skype for Business, kan du kontakte brukeren fra portalen. Azure ATP-varsler-delen inneholder en kobling som tar deg til Microsoft Defender for identitet-siden, hvis du har aktivert Microsoft Defender for identitet-funksjonen, og det finnes varsler relatert til brukeren. Siden Microsoft Defender for identitet inneholder mer informasjon om varslene.

Obs!

Du må aktivere integreringen på både Microsoft Defender for identitet og Defender for endepunkt for å bruke denne funksjonen. I Defender for endepunkt kan du aktivere denne funksjonen i avanserte funksjoner. Hvis du vil ha mer informasjon om hvordan du aktiverer avanserte funksjoner, kan du se Slå på avanserte funksjoner.

Oversikten, varsler og observert i organisasjonen er forskjellige faner som viser ulike attributter om brukerkontoen.

Obs!

For Linux-enheter vises ikke informasjon om påloggede brukere.

Oversikt

Oversikt-fanen viser hendelsesdetaljene og en liste over enhetene som brukeren har logget seg på. Du kan utvide disse for å se detaljer om påloggingshendelsene for hver enhet.

Varsler

Varsler-fanen inneholder en liste over varsler som er knyttet til brukerkontoen. Denne listen er en filtrert visning av varselkøen, og viser varsler der brukerkonteksten er den valgte brukerkontoen, datoen da den siste aktiviteten ble oppdaget, en kort beskrivelse av varselet, enheten som er knyttet til varselet, alvorsgraden for varselet, varselstatusen i køen og hvem som er tilordnet varselet.

Observert i organisasjonen

Med fanen Observert i organisasjonen kan du angi et datointervall for å se en liste over enheter der denne brukeren ble observert logget på, den hyppigste og hyppigste påloggede brukerkontoen for hver av disse enhetene, og totalt antall observerte brukere på hver enhet.

Hvis du velger et element i tabellen Observert i organisasjonen, utvides elementet, og det vises flere detaljer om enheten. Hvis du velger en kobling i et element direkte, sendes du til den tilsvarende siden.

Søk for bestemte brukerkontoer

1. Velg Bruker fra rullegardinmenyen på Søk stolpe.
2. Skriv inn brukerkontoen i Søk-feltet.
3. Klikk på søkeikonet, eller trykk enter.

En liste over brukere som samsvarer med spørringsteksten, vises. Du kan se brukerkontoens domene og navn når brukerkontoen sist ble sett, og totalt antall enheter den ble observert logget på de siste 30 dagene.

Du kan filtrere resultatene etter følgende tidsperioder:

• 1 dag
• 3 dager
• 7 dager
• 30 dager
• 6 måneder

Relaterte artikler

• Vise og organisere Microsoft Defender for endepunkt Varsler-køen
• Behandle Microsoft Defender for endepunkt varsler
• Undersøke Microsoft Defender for endepunkt varsler
• Undersøke en fil som er knyttet til et Defender for Endpoint-varsel
• Undersøke enheter i listen Over enheter i Defender for endepunkt
• Undersøke en IP-adresse som er knyttet til et Defender for Endpoint-varsel
• Undersøke et domene som er knyttet til et Defender for Endpoint-varsel

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.