Prozkoumání uživatelského účtu v Microsoft Defender for Endpoint

Platí pro:

Chcete si prožít Defender pro koncový bod? Zaregistrujte si bezplatnou zkušební verzi.

Prozkoumat entity uživatelského účtu

Identifikujte uživatelské účty s nejaktivnějšími výstrahami (zobrazenými na řídicím panelu jako "Ohrožení uživatelé") a prošetřujte případy potenciálních ohrožených přihlašovacích údajů nebo otočte přidružený uživatelský účet při zkoumání upozornění nebo zařízení, abyste identifikovali možný boční pohyb mezi zařízeními s tímto uživatelským účtem.

Informace o uživatelském účtu najdete v následujících zobrazeních:

  • Řídicí panel
  • Fronta upozornění
  • Stránka podrobností o zařízení

V těchto zobrazeních je k dispozici odkaz na uživatelský účet s možností kliknutí, který vás zaveze na stránku s podrobnostmi o uživatelském účtu, kde se zobrazí další podrobnosti o uživatelském účtu.

Když prošetřujete entitu uživatelského účtu, uvidíte:

  • Podrobnosti o uživatelském účtu, Microsoft Defender for Identity upozornění a přihlášená zařízení, role, typ přihlášení a další podrobnosti
  • Přehled incidentů a zařízení uživatelů
  • Upozornění týkající se tohoto uživatele
  • Pozorované v organizaci (zařízení přihlášená)

Stránka podrobností entity uživatelského účtu

Podrobnosti o uživateli

Podokno Podrobnosti o uživateli na levé straně obsahuje informace o uživateli, jako jsou související otevřené incidenty, aktivní upozornění, jméno SAM, SID, upozornění Microsoft Defender for Identity, počet zařízení, ke které je uživatel přihlášen, kdy byl uživatel poprvé a naposledy vidět, role Microsoft Defender for Identity typy přihlášení. V závislosti na funkcích integrace, které jste povolili, uvidíte další podrobnosti. Pokud například povolíte integraci Skype pro firmy, budete moct kontaktovat uživatele z portálu. Oddíl upozornění ochrany ATP v programu Azure obsahuje odkaz, který vás zaveze na stránku Microsoft Defender for Identity, pokud jste povolili funkci Microsoft Defender for Identity a existují upozornění týkající se uživatele. Na Microsoft Defender for Identity se zobrazí další informace o upozorněních.

Poznámka

Abyste tuto funkci měli, budete muset povolit integraci v Microsoft Defender for Identity i v Defenderu pro koncový bod. V Defenderu pro koncový bod můžete tuto funkci povolit v pokročilých funkcích. Další informace o tom, jak povolit pokročilé funkce, najdete v tématu Zapnutí pokročilých funkcí.

Karty Přehled, Upozornění a Pozorované v organizaci jsou různé karty, které zobrazují různé atributy uživatelského účtu.

Poznámka

U zařízení s Linuxem se informace o přihlášených uživatelích nezobrazují.

Přehled

Karta Přehled zobrazuje podrobnosti incidentů a seznam zařízení, ke které se uživatel přihlásil. Můžete je rozbalit a zobrazit podrobnosti o událostech přihlášení pro každé zařízení.

Upozornění

Karta Upozornění obsahuje seznam upozornění, která jsou přidružená k uživatelskému účtu. Tento seznam je filtrované zobrazení fronty upozornění a zobrazuje upozornění, kde je kontext uživatele vybraný uživatelský účet, datum, kdy byla zjištěna poslední aktivita, krátký popis upozornění, zařízení přidružené k upozornění, závažnost upozornění, stav upozornění ve frontě a kdo je upozornění přiřazen.

Pozorované v organizaci

Karta Pozorované v organizaci umožňuje zadat rozsah dat, abyste viděli seznam zařízení, na kterých byl tento uživatel přihlášený, nejčastější a nejméně často přihlášený uživatelský účet pro každé z těchto zařízení a celkový počet pozorovaných uživatelů na každém zařízení.

Výběrem položky v tabulce Pozorované v organizaci položku rozbalíte a zobrazí se další podrobnosti o zařízení. Přímo výběrem odkazu v položce se zobrazí odpovídající stránka.

Vyhledání konkrétních uživatelských účtů

  1. V rozevírací nabídce Vyhledávací panel vyberte Uživatel.
  2. Do pole Hledat zadejte uživatelský účet.
  3. Klikněte na ikonu hledání nebo stiskněte Enter.

Zobrazí se seznam uživatelů, kteří odpovídají textu dotazu. Zobrazí se doména a název uživatelského účtu, kdy byl uživatelský účet naposledy vidět, a celkový počet zařízení, na která byl za posledních 30 dní přihlášený.

Výsledky můžete filtrovat podle následujících časových období:

  • 1 den
  • 3 dny
  • 7 dní
  • 30 dní
  • 6 měsíců