Investigar uma conta de usuário

  • 4 minutos

Identifique contas de usuário com os alertas mais ativos (exibidos no painel como "Usuários em risco") e investigue os casos de possível comprometimento de credenciais. Ou acesse a conta de usuário associada ao investigar um alerta ou um dispositivo para identificar um possível movimento lateral entre dispositivos com essa conta de usuário.

Você pode encontrar informações de conta de usuário nos seguintes modos de exibição:

  • Painel

  • Fila de alertas

  • Página Detalhes do Dispositivo

Um link de conta de usuário clicável está disponível nessas exibições. Ao clicar no link, você acessará a página de detalhes da conta de usuário com mais informações exibidas.

Ao investigar uma entidade de conta de usuário, você verá:

  • Detalhes da conta de usuário, dispositivos conectados, função, tipo de logon e outros detalhes

  • Visão geral dos incidentes e dispositivos do usuário

  • Alertas relacionados a este usuário

  • Locais observados na organização (dispositivos em que está conectado)

Detalhes do usuário

O painel Detalhes do usuário à esquerda mostra informações sobre o usuário, como incidentes abertos relacionados, alertas ativos, nome SAM, SID, número de dispositivos aos quais o usuário está conectado, quando o usuário foi detectado pela primeira e última vez, função e tipos de logon. Dependendo dos recursos de integração que você habilitou, você verá outros detalhes.

Visão geral

A guia Visão geral mostra os detalhes do incidente e uma lista dos dispositivos nos quais o usuário fez logon. Você pode expandir a lista de dispositivos para ver detalhes dos eventos de logon em cada dispositivo.

Alertas

A guia Alertas fornece uma lista de alertas associados à conta de usuário. Essa lista é uma exibição filtrada da Fila de alertas e mostra alertas em que o contexto do usuário é a conta de usuário selecionada, a data em que a última atividade foi detectada, uma breve descrição do alerta, o dispositivo associado a ele, a gravidade do alerta e o status dele na fila, bem como quem o recebe.

Observado na organização

A guia Observado na organização permite que você especifique um intervalo de datas para ver uma lista de dispositivos em que esse usuário fez logon, a conta de usuário conectada mais e menos frequente para cada um desses dispositivos e o total de usuários observados em cada dispositivo. A seleção de um item na tabela Observado na organização expandirá o item, revelando mais detalhes sobre o dispositivo. A seleção direta de um link dentro de um item enviará você para a página correspondente.