調查使用者帳戶
識別具有最活躍警示的使用者帳戶 (在儀表板上顯示為「具有風險的使用者」),並調查認證可能遭到盜用的案例。 或者,在調查警示或裝置時以相關聯的使用者帳戶為中心,來識別在具有該使用者帳戶的裝置之間可能發生的橫向移動。
您可以在下列檢視中找到使用者帳戶資訊:
儀表板
警示佇列
[裝置詳細資料] 頁面
這些檢視中均提供可按式使用者帳戶連結。 選取該連結,將帶您進入使用者帳戶詳細資料頁面,其中顯示更多有關使用者帳戶的詳細資料。
當您調查使用者帳戶實體時,您會看到:
使用者帳戶詳細資料,以及已登入的裝置、角色、登入類型和其他詳細資料
事件和使用者裝置的概觀
與此使用者相關的警示
在組織中觀察到的位置 (登入裝置)
使用者詳細資料
左邊的 [使用者詳細資料] 窗格會提供使用者的相關資訊,例如,相關的未解決事件、作用中警示、SAM 名稱、SID、使用者登入的裝置數目、使用者第一次與最後一次出現的時間、角色,以及登入類型。 根據您已啟用的整合功能,您將會看到其他詳細資料。
概觀
[概觀] 索引標籤會顯示事件詳細資料,以及使用者已登入的裝置清單。 您可展開裝置清單,以查看每個裝置的登入事件詳細資料。
警示
[警示] 索引標籤會提供與使用者帳戶相關聯的警示清單。 此清單是篩選過的 [警示] 佇列檢視並會顯示下列內容:使用者內容是所選取使用者帳戶的警示、偵測到最後一次活動的日期、警示的簡短描述、與警示相關聯的裝置、警示嚴重性、佇列中的警示狀態,以及指派警示的對象。
已在組織中觀察到
[已在組織中觀察到] 索引標籤可讓您指定日期範圍,以查看系統觀察到此使用者已登入的裝置清單、最常/最少用來登入這其中每個裝置的使用者帳戶,以及在每個裝置上觀察到的使用者總數。 在 [已在組織中觀察到] 資料表中選取項目,將展開該項目,以顯示更多有關裝置的詳細資料。 直接選取項目內的連結會將您傳送至對應的頁面。