Kurz: Prozkoumání uživatele

Poznámka

K prostředí popsanému na této stránce je také možné přistupovat https://security.microsoft.com v rámci Microsoft 365 Defender.

Microsoft Defender for Identity důkazy výstrahy a cesty laterálního pohybu poskytují jasné informace o tom, kdy uživatelé provedli podezřelé aktivity nebo indikace, že došlo k ohrožení jejich účtu. V tomto kurzu použijete návrhy šetření, které vám pomůžou určit riziko pro vaši organizaci, rozhodnout se, jak napravit, a určit nejlepší způsob, jak zabránit podobným budoucím útokům.

  • Shromážděte informace o uživateli.
  • Prozkoumejte aktivity, které uživatel provedl.
  • Prozkoumejte prostředky, ke které uživatel přistupoval.
  • Prozkoumejte cesty laterálního pohybu.

Zkontrolujte a prozkoumejte profil uživatele, kde najdete následující podrobnosti a aktivity:

  1. Kdo je uživatel?

    1. Je uživatel citlivým uživatelem (například správcem nebo na seznamu ke zhlédnutí atd.)?
    2. Jaká je jejich role v rámci organizace?
    3. Jsou významné ve stromu organizace?
  2. Podezřelé aktivity k prošetření:

    1. Má uživatel jiné otevřené výstrahy v programu Defender for Identity nebo v jiných nástrojích zabezpečení, jako jsou Microsoft Defender for Endpoint, Microsoft Defender for Cloud nebo Microsoft Defender for Cloud Apps?
    2. Došlo k selhání přihlášení uživatele?
    3. Ke kterým prostředkům uživatel přistupoval?
    4. Přistupoval uživatel k prostředkům s vysokou hodnotou?
    5. Měl uživatel přistupovat k prostředkům, ke kterým přistupoval?
    6. Ke kterým počítačům se uživatel přihlásil?
    7. Měl se uživatel k těmto počítačům přihlásit?
    8. Existuje laterální cesta pohybu (LMP) mezi uživatelem a citlivým uživatelem?

Viz také

Další informace