Badanie konta użytkownika w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Badanie jednostek konta użytkownika

Zidentyfikuj konta użytkowników z najbardziej aktywnymi alertami (wyświetlanymi na pulpicie nawigacyjnym jako "Użytkownicy narażeni na ryzyko") i zbadaj przypadki potencjalnych naruszeń poświadczeń lub przestawij się na skojarzonym koncie użytkownika podczas badania alertu lub urządzenia w celu zidentyfikowania możliwego przenoszenia bocznego między urządzeniami przy użyciu tego konta użytkownika.

Informacje o koncie użytkownika można znaleźć w następujących widokach:

• Pulpit nawigacyjny
• Kolejka alertów
• Strona szczegółów urządzenia

W tych widokach jest dostępny link do klikalnego konta użytkownika, który prowadzi do strony szczegółów konta użytkownika, na której są wyświetlane więcej szczegółów dotyczących konta użytkownika.

Podczas badania jednostki konta użytkownika można zobaczyć:

• Szczegóły konta użytkownika, alerty Microsoft Defender for Identity i zalogowane na urządzeniach, rola, typ logowania i inne szczegóły
• Omówienie zdarzeń i urządzeń użytkownika
• Alerty związane z tym użytkownikiem
• Obserwowane w organizacji (urządzenia zalogowane do)

Szczegóły użytkownika

Okienko Szczegóły użytkownika po lewej stronie zawiera informacje o użytkowniku, takie jak powiązane otwarte zdarzenia, aktywne alerty, nazwa SAM, identyfikator SID, alerty Microsoft Defender for Identity, liczba urządzeń, na których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatni raz widziany, role i typy logowania. W zależności od włączonych funkcji integracji można wyświetlić inne szczegóły. Jeśli na przykład włączysz integrację programu Skype dla firm, możesz skontaktować się z użytkownikiem z portalu. Sekcja Alerty usługi Azure ATP zawiera link, który prowadzi do strony Microsoft Defender for Identity, jeśli włączono funkcję Microsoft Defender for Identity i istnieją alerty związane z użytkownikiem. Strona Microsoft Defender for Identity zawiera więcej informacji o alertach.

Uwaga

Aby korzystać z tej funkcji, musisz włączyć integrację zarówno w Microsoft Defender for Identity, jak i w usłudze Defender for Endpoint. W usłudze Defender for Endpoint możesz włączyć tę funkcję w zaawansowanych funkcjach. Aby uzyskać więcej informacji na temat włączania funkcji zaawansowanych, zobacz Włączanie funkcji zaawansowanych.

Przegląd, alerty i obserwowane w organizacji to różne karty, które wyświetlają różne atrybuty dotyczące konta użytkownika.

Uwaga

W przypadku urządzeń z systemem Linux informacje o zalogowanych użytkownikach nie są wyświetlane.

Omówienie

Karta Przegląd zawiera szczegóły zdarzeń i listę urządzeń, na których zalogował się użytkownik. Możesz je rozwinąć, aby wyświetlić szczegóły zdarzeń logowania dla każdego urządzenia.

Alerty

Karta Alerty zawiera listę alertów skojarzonych z kontem użytkownika. Ta lista jest filtrowanym widokiem kolejki alertów i pokazuje alerty, w których kontekst użytkownika to wybrane konto użytkownika, data wykrycia ostatniego działania, krótki opis alertu, urządzenie skojarzone z alertem, ważność alertu, stan alertu w kolejce i osoba, do której przypisano alert.

Obserwowane w organizacji

Karta Obserwowane w organizacji umożliwia określenie zakresu dat w celu wyświetlenia listy urządzeń, na których ten użytkownik był zalogowany, najczęściej i najczęściej rejestrowanego konta użytkownika dla każdego z tych urządzeń oraz łącznej liczby obserwowanych użytkowników na każdym urządzeniu.

Wybranie elementu w tabeli Obserwowane w organizacji rozszerza element, ujawniając więcej szczegółów na temat urządzenia. Bezpośrednie wybranie linku w elemencie spowoduje wysłanie cię na odpowiednią stronę.

Search dla określonych kont użytkowników

1. Wybierz pozycję Użytkownik z menu rozwijanego paska Search.
2. Wprowadź konto użytkownika w polu Search.
3. Kliknij ikonę wyszukiwania lub naciśnij klawisz Enter.

Zostanie wyświetlona lista użytkowników pasujących do tekstu zapytania. Możesz wyświetlić domenę i nazwę konta użytkownika, kiedy konto użytkownika było ostatnio widoczne, oraz łączną liczbę urządzeń, na których zaobserwowano jego zalogowanie w ciągu ostatnich 30 dni.

Wyniki można filtrować według następujących okresów:

• 1 dzień
• 3 dni
• 7 dni
• 30 dni
• 6 miesięcy

Artykuły pokrewne

• Wyświetlanie i organizowanie kolejki alertów Ochrona punktu końcowego w usłudze Microsoft Defender
• Zarządzanie alertami Ochrona punktu końcowego w usłudze Microsoft Defender
• Badanie alertów Ochrona punktu końcowego w usłudze Microsoft Defender
• Badanie pliku skojarzonego z alertem usługi Defender for Endpoint
• Badanie urządzeń na liście Defender for Endpoint Devices
• Badanie adresu IP skojarzonego z alertem usługi Defender for Endpoint
• Badanie domeny skojarzonej z alertem usługi Defender for Endpoint

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.