Untersuchen eines Benutzerkontos
Ermitteln Sie die Benutzerkonten mit den meisten aktiven Warnungen – auf dem Dashboard als „Gefährdete Benutzer“ angezeigt – und untersuchen Sie Fälle mit eventuell kompromittierten Anmeldeinformationen. Sie können sich auch mit dem zugehörigen Benutzerkonto befassen, wenn Sie eine Warnung oder ein Gerät untersuchen, um eventuelle Lateral Movements zwischen Geräten mit diesem Benutzerkonto zu ermitteln.
Informationen zu Benutzerkonten finden Sie in den folgenden Ansichten:
Dashboard
Warnungswarteschlage
Seite mit Gerätedetails
In diesen Ansichten ist ein anklickbarer Link zum Benutzerkonto verfügbar. Wenn Sie den Link auswählen, werden Sie zur Detailseite des Benutzerkontos weitergeleitet, wo weitere Informationen dazu angezeigt werden.
Wenn Sie eine Benutzerkontoentität untersuchen, werden folgende Details angezeigt:
Benutzerkontodetails und angemeldete Geräte, Rolle, Anmeldetyp und andere Informationen
Übersicht über Incidents und Geräte des Benutzers
Warnungen für diesen Benutzer
Beobachtete Speicherorte innerhalb der Organisation (Geräte, bei denen sich ein Benutzer angemeldet hat)
Benutzerdetails
Im Detailbereich „Benutzer“ auf der linken Seite finden Sie Informationen zum Benutzer. Dazu zählen z. B. offene Incidents, aktive Warnungen, der SAM-Name, die SID, die Anzahl von Geräten, bei denen der Benutzer oder die Benutzerin angemeldet ist, der Zeitpunkt der ersten und letzten Aktivität des Benutzers oder der Benutzerin, die Rolle und die Anmeldetypen. Abhängig davon, welche Integrationsfunktionen Sie aktiviert haben, werden weitere Details angezeigt.
Übersicht
Auf der Registerkarte „Übersicht“ werden die Incidentdetails sowie eine Liste der Geräte angezeigt, bei denen der Benutzer sich angemeldet hat. Sie können die Geräteliste aufklappen, um für jedes Gerät Details zu den Anmeldeereignissen anzuzeigen.
Alerts
Auf der Registerkarte „Warnungen“ wird eine Liste mit Warnungen angezeigt, die im Zusammenhang mit dem Benutzerkonto stehen. Diese Liste ist eine gefilterte Ansicht der Warnungswarteschlange. Sie enthält Warnungen, bei denen der Benutzerkontext das ausgewählte Benutzerkonto ist. Außerdem sind folgende Informationen aufgeführt: das Datum der letzten Aktivität, eine kurze Beschreibung der Warnung, das mit der Warnung verknüpfte Gerät, der Schweregrad der Warnung, der Status der Warnung in der Warteschlange sowie die Person, der die Warnung zugewiesen ist.
Observed in organization
Auf der Registerkarte „In der Organisation beobachtet“ können Sie einen Datumsbereich angeben, um eine Liste der Geräte anzuzeigen, bei denen der jeweilige Benutzer angemeldet war. Außerdem werden für jedes Gerät das am häufigsten und das am seltensten angemeldete Benutzerkonto sowie die Gesamtzahl der beobachteten Benutzer aufgeführt. Wenn Sie in der Tabelle „In der Organisation beobachtet“ ein Element auswählen, werden für dieses Element weitere Details zum Gerät angezeigt. Bei direkter Auswahl eines Links innerhalb eines Elements werden Sie zur entsprechenden Seite geleitet.