Prošetřovat uživatele v Microsoft 365 Defender

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Součástí vašeho vyšetřování incidentu může být i uživatelské účty. Podrobnosti o uživatelských účtech identifikovaných v upozorněních na incident najdete na portálu Microsoft 365 Defender od incidentů > & incident_ > _ Users. Tady je příklad.

Stránka Uživatelé pro incident na Microsoft 365 Defender portálu.

Pokud chcete získat rychlý přehled uživatelského účtu pro incident, zaškrtněte políčko vedle názvu uživatelského účtu. Tady je příklad.

Karta Uživatelé pro incident na Microsoft 365 Defender portálu

Poznámka

Stránka uživatele zobrazuje Azure Active Directory (Azure AD) a skupiny, které vám pomáhají porozumět skupinám a oprávněním přidruženým k uživateli.

V tomto podokně můžete zkontrolovat informace o hrozbách uživatelů, včetně všech aktuálních incidentů, aktivních upozornění a úrovně rizik, stejně jako o expozici uživatelů, účtech, zařízeních a dalších.

Kromě toho můžete provést akci přímo na portálu Microsoft 365 Defender, která se týká ohrožených uživatelů, například potvrzení ohrožení zabezpečení uživatelského účtu nebo vyžadování nového přihlášení.

Tady můžete vybrat Přejít na stránku uživatele a zobrazit podrobnosti o uživatelském účtu. Tady je příklad.

Podrobnosti o uživatelském účtu na Microsoft 365 Defender portálu

Tuto stránku můžete také zobrazit tak, že ze seznamu na stránce Uživatelé vyberete jméno uživatelského účtu.

Členství ve skupině pro uživatele můžete zobrazit tak, že v části Skupiny vyberete číslo.

Informace o členství ve skupině pro uživatele na Microsoft 365 Defender portálu

Když v části Správce vyberete ikonu, uvidíte, kde je uživatel ve stromové struktuře organizace.

Stránka Microsoft 365 Defender uživatele portálu kombinuje informace z Microsoft Defender for Endpoint, Microsoft Defender for Identity a Microsoft Defender for Cloud Apps (podle toho, jaké licence máte).

Tato stránka zobrazuje informace specifické pro bezpečnostní riziko uživatelského účtu, které obsahuje skóre, které pomáhá vyhodnotit rizika a nedávné události a upozornění, která přispěla k celkovému riziku.

Na této stránce můžete provést tyto další akce:

  • Označení uživatelského účtu jako ohrožené
  • Vyžadovat, aby se uživatel znovu přihlašoval
  • Pozastavení uživatelského účtu
  • Podívejte se na nastavení uživatelského účtu Azure AD.
  • Zobrazení souborů vlastněných uživatelským účtem
  • Zobrazení souborů sdílených s tímto uživatelem

Tady je příklad.

Oddíl, který popisuje akce na uživatelském účtu pro incident na Microsoft 365 Defender portálu

Zobrazení cest bočního pohybu

Výběrem karty Cesty bočního pohybu můžete zobrazit plně dynamickou a klikatelnou mapu, která vám poskytne vizuální znázornění cest bočního pohybu do a od tohoto uživatele, který se může použít k infiltraci do vaší sítě.

Mapa obsahuje seznam toho, kolik směrování mezi počítači nebo uživateli by útočník musel a od tohoto uživatele, aby mohl ohrozit citlivý účet, a pokud má uživatel citlivý účet, můžete zjistit, kolik zdrojů a účtů je přímo připojených.

Pokud v posledních dvou dnech nebyla zjištěna potenciální dráha bočního pohybu pro entitu, graf se nezobrazí. Vyberte jiné datum pomocí zobrazení jiného data, abyste si prohlíželi předchozí grafy cest bočního pohybu zjištěné pro tuto entitu. Sestava dráhy bočního pohybu je vždy dostupná, aby vám poskytla informace o zjištěných potenciálních cestách bočního pohybu a může být přizpůsobená podle času.

Cesta k bočnímu pohybu pro uživatele na Microsoft 365 Defender portálu

Další informace najdete v článku Cesty bočního pohybu.

Další kroky

Podle potřeby pro případy v průběhu procesu pokračujte ve vyšetřování.

Viz také