Badanie konta użytkownika
Zidentyfikuj konta użytkowników z najbardziej aktywnymi alertami (wyświetlanymi na pulpicie nawigacyjnym jako "Narażeni użytkownicy") i zbadaj przypadki potencjalnie naruszonych poświadczeń. Możesz też przełożyć się na skojarzone konto użytkownika podczas badania alertu lub urządzenia w celu zidentyfikowania możliwego przenoszenia bocznego między urządzeniami przy użyciu tego konta użytkownika.
Informacje o koncie użytkownika można znaleźć w następujących widokach:
Pulpit nawigacyjny
Kolejka alertów
Strona szczegółów urządzenia
Link do konta użytkownika z możliwością kliknięcia jest dostępny w tych widokach. Wybranie linku spowoduje przejście do strony szczegółów konta użytkownika, na której są wyświetlane więcej szczegółów dotyczących konta użytkownika.
Podczas badania jednostki konta użytkownika zobaczysz:
Szczegóły konta użytkownika i zalogowane urządzenia, rola, typ logowania i inne szczegóły
Omówienie zdarzeń i urządzeń użytkownika
Alerty związane z tym użytkownikiem
Obserwowane lokalizacje w organizacji (urządzenia zalogowane do)
Szczegóły użytkownika
Okienko Szczegóły użytkownika po lewej stronie zawiera informacje o użytkowniku, takie jak powiązane zdarzenia otwarte, aktywne alerty, nazwa SAM, identyfikator SID, liczba urządzeń, do których użytkownik jest zalogowany, kiedy użytkownik był pierwszy i ostatnio widziany, rola i typy logowania. W zależności od funkcji integracji, które zostały włączone, zobaczysz inne szczegóły.
Omówienie
Karta Przegląd zawiera szczegóły zdarzenia i listę urządzeń, do których zalogował się użytkownik. Listę urządzeń można rozwinąć, aby wyświetlić szczegółowe informacje o zdarzeniach logowania dla każdego urządzenia.
Alerty
Karta Alerty zawiera listę alertów skojarzonych z kontem użytkownika. Ta lista jest filtrowany widok kolejki alertów i pokazuje alerty, w których kontekst użytkownika jest wybranym kontem użytkownika, data wykrycia ostatniego działania, krótki opis alertu, urządzenie skojarzone z alertem, ważność alertu, stan alertu w kolejce i osoba, która ma przypisany alert.
Obserwowane w organizacji
Karta Obserwowane w organizacji umożliwia określenie zakresu dat, aby wyświetlić listę urządzeń, na których zaobserwowano logowanie tego użytkownika, najczęściej i najmniej często zalogowanych kont użytkowników dla każdego z tych urządzeń oraz łączną liczbę obserwowanych użytkowników na każdym urządzeniu. Wybranie elementu w tabeli Obserwowane w organizacji spowoduje rozwinięcie elementu, co spowoduje wyświetlenie dodatkowych szczegółów dotyczących urządzenia. Bezpośrednie wybranie linku w elemencie spowoduje wysłanie Cię do odpowiedniej strony.