Kurz: Zkoumání počítače

Poznámka

K prostředí popsanému na této stránce můžete přistupovat https://security.microsoft.com také v rámci Microsoft 365 Defender.

Microsoft Defender for Identity důkazy o výstrahách poskytují jasné informace o tom, kdy byly počítače zapojeny do podezřelých aktivit nebo kdy existují indikace, že je počítač ohrožen. V tomto kurzu použijete návrhy šetření, které vám pomůžou určit riziko vaší organizace, rozhodnout se, jak napravit, a určit nejlepší způsob, jak zabránit podobným útokům v budoucnu.

  • Zkontrolujte počítač pro přihlášeného uživatele.
  • Ověřte, jestli uživatel obvykle přistupuje k počítačům.
  • Prozkoumejte podezřelé aktivity z počítače.
  • Kde existují další výstrahy přibližně ve stejnou dobu?

Kroky šetření pro podezřelé počítače

Pokud chcete získat přístup ke stránce profilu počítače, klikněte na konkrétní počítač uvedený v upozornění, které chcete prozkoumat. Pokud chcete pomoct s vyšetřováním, vypíše důkazy výstrahy všechny počítače (a uživatele) připojené ke každé podezřelé aktivitě.

Zkontrolujte a prozkoumejte profil počítače s následujícími podrobnostmi a aktivitami:

  • Co se stalo v době podezřelé aktivity?

    1. Který uživatel byl přihlášen k počítači?
    2. Přihlašuje se tento uživatel normálně ke zdrojovému nebo cílovému počítači nebo k němu přistupuje?
    3. Ke kterým prostředkům se dostanete? Podle kterých uživatelů?
    • Pokud byly prostředky přístupné, byly to prostředky s vysokou hodnotou?
    1. Měl uživatel k těmto prostředkům přistupovat?
    2. Provedl uživatel , který k počítači přistupoval, jiné podezřelé aktivity?
  • Další podezřelé aktivity pro šetření:

    1. Byly ostatní výstrahy otevřeny přibližně ve stejnou dobu jako tato výstraha v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender for Cloud nebo Microsoft Defender for Cloud Apps?
    2. Došlo k selhání přihlášení?
  • Pokud je povolená Microsoft Defender for Endpoint integrace, kliknutím na odznak Microsoft Defender for Endpoint počítač dále prozkoumejte. V Microsoft Defender for Endpoint můžete zjistit, ke kterým procesům a upozorněním došlo přibližně ve stejnou dobu jako výstraha.

    • Byly nasazené nebo nainstalované nějaké nové programy?

Další kroky

Další informace