Tutorial: Untersuchen eines BenutzersTutorial: Investigate a user

Hinweis

Die auf dieser Seite erläuterten Azure ATP-Features sind auch über das neue Portal zugänglich.The Azure ATP features explained on this page are also accessible using the new portal.

Azure ATP-Beweise für Warnungen und Lateral Movement-Pfade zeigen klar an, wenn Benutzer verdächtige Aktivitäten durchgeführt haben oder Anzeichen dafür vorhanden sind, dass ihre Konten kompromittiert worden sind.Azure ATP alert evidence and lateral movement paths provide clear indications when users have performed suspicious activities or indications exist that their account has been compromised. In diesem Tutorial verwenden Sie die Untersuchungsempfehlungen dazu, das Risiko für Ihre Organisation zu ermitteln, Abhilfemaßnahmen zu bestimmen und festzulegen, wie ähnliche Angriffe in der Zukunft am besten verhindert werden können.In this tutorial you'll use the investigation suggestions to help determine the risk to your organization, decide how to remediate, and determine the best way to prevent similar future attacks.

  • Sammeln Sie Informationen zum Benutzer.Gather information about the user.
  • Untersuchen Sie vom Benutzer durchgeführte Aktivitäten.Investigate activities that the user performed.
  • Untersuchen Sie die Ressourcen, auf die der Benutzer zugegriffen hat.Investigate resources the user accessed.
  • Untersuchen Sie Lateral Movement-Pfade.Investigate lateral movement paths.

Überprüfen und untersuchen Sie das Benutzerprofil auf die folgenden Details und Aktivitäten:Check and investigate the user profile for the following details and activities:

  1. Wer ist der Benutzer?Who is the user?

    1. Ist der Benutzer ein sensibler Benutzer (z. B. Administrator oder auf einer Watchlist o.ä.)?Is the user a sensitive user (such as admin, or on a watchlist, etc.)?
    2. Was ist seine Rolle innerhalb der Organisation?What is their role within the organization?
    3. Ist er in der Organisationsstruktur wichtig?Are they significant in the organizational tree?
  2. Zu untersuchende verdächtige Aktivitäten:Suspicious activities to investigate:

    1. Hat der Benutzer weitere Warnungen in Azure ATP oder in anderen Sicherheitstools wie Windows Defender ATP, Azure Security Center und/oder Microsoft CAS geöffnet?Does the user have other opened alerts in Azure ATP, or in other security tools such as Windows Defender-ATP, Azure Security Center and/or Microsoft CAS?
    2. Hatte der Benutzer fehlgeschlagene Anmeldungsversuche?Did the user have failed log ons?
    3. Auf welche Ressourcen hat der Benutzer zugegriffen?Which resources did the user access?
    4. Hat der Benutzer auf wertvolle Ressourcen zugegriffen?Did the user access high value resources?
    5. Hatte der Benutzer Zugriffsrechte für die Ressourcen, auf die er zugegriffen hat?Was the user supposed to access the resources they accessed?
    6. Auf welchen Computern hat sich der Benutzer angemeldet?Which computers did the user log in to?
    7. Hätte der Benutzer sich auf diesen Computern anmelden dürfen?Was the user supposed to log in to those computers?
    8. Ist ein Lateral Movement-Pfad (LMP) zwischen dem Benutzer und einem sensiblen Benutzer vorhanden?Is there a lateral movement path (LMP) between the user and a sensitive user?

Weitere InformationenSee Also