Untersuchen eines Benutzerkontos in Microsoft Defender für Endpunkt

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Untersuchen von Benutzerkontoentitäten

Identifizieren Sie Benutzerkonten mit den aktivsten Warnungen (auf dem Dashboard als "Gefährdete Benutzer" angezeigt) und untersuchen Sie Fälle potenziell gefährdeter Anmeldeinformationen, oder pivotieren Sie sich auf das zugeordnete Benutzerkonto, wenn Sie eine Warnung oder ein Gerät untersuchen, um mögliche laterale Bewegungen zwischen Geräten mit diesem Benutzerkonto zu identifizieren.

Informationen zum Benutzerkonto finden Sie in den folgenden Ansichten:

  • Dashboard
  • Warnungswarteschlange
  • Seite "Gerätedetails"

In diesen Ansichten steht ein klickbarer Benutzerkontolink zur Seite mit den Benutzerkontodetails zur Verfügung, auf der weitere Details zum Benutzerkonto angezeigt werden.

Wenn Sie eine Benutzerkontoentität untersuchen, wird Folgendes angezeigt:

  • Benutzerkontodetails, Microsoft Defender for Identity-Warnungen und angemeldete Geräte, Rolle, Anmeldetyp und andere Details
  • Übersicht über die Vorfälle und Geräte des Benutzers
  • Warnungen im Zusammenhang mit diesem Benutzer
  • Beobachtet in der Organisation (angemeldete Geräte)

Die Seite mit den Details zur Benutzerkontenentität

Benutzerdetails

Der Bereich "Benutzerdetails " auf der linken Seite enthält Informationen über den Benutzer, z. B. verwandte offene Vorfälle, aktive Warnungen, SAM-Name, SID, Microsoft Defender for Identity-Warnungen, Anzahl der Geräte, bei denen der Benutzer angemeldet ist, wann der Benutzer zum ersten und letzten Mal gesehen wurde, Rollen- und Anmeldetypen. Je nach den von Ihnen aktivierten Integrationsfeatures werden weitere Details angezeigt. Wenn Sie beispielsweise die Skype für die Geschäftsintegration aktivieren, können Sie den Benutzer über das Portal kontaktieren. Der Abschnitt zu Azure ATP-Warnungen enthält einen Link, der Sie zur Microsoft Defender for Identity-Seite führt, wenn Sie das Microsoft Defender for Identity-Feature aktiviert haben und es Warnungen im Zusammenhang mit dem Benutzer gibt. Die Microsoft Defender for Identity-Seite enthält weitere Informationen zu den Warnungen.

Hinweis

Sie müssen die Integration sowohl in Microsoft Defender for Identity als auch in Defender für Endpunkt aktivieren, um dieses Feature verwenden zu können. In Defender für Endpunkt können Sie dieses Feature in erweiterten Features aktivieren. Weitere Informationen zum Aktivieren erweiterter Features finden Sie unter Aktivieren erweiterter Features.

Die Registerkarten "Übersicht", "Warnungen" und "Beobachtet" in der Organisation sind unterschiedliche Registerkarten, die verschiedene Attribute zum Benutzerkonto anzeigen.

Hinweis

Bei Linux-Geräten werden keine Informationen zu angemeldeten Benutzern angezeigt.

Übersicht

Auf der Registerkarte "Übersicht " werden die Vorfalldetails und eine Liste der Geräte angezeigt, bei denen sich der Benutzer angemeldet hat. Sie können diese erweitern, um Details zu den Anmeldeereignissen für jedes Gerät anzuzeigen.

Warnungen

Die Registerkarte "Warnungen " enthält eine Liste der Warnungen, die dem Benutzerkonto zugeordnet sind. Diese Liste ist eine gefilterte Ansicht der Warnungswarteschlange und zeigt Warnungen an, bei denen der Benutzerkontext das ausgewählte Benutzerkonto ist, das Datum, an dem die letzte Aktivität erkannt wurde, eine kurze Beschreibung der Warnung, das Gerät, das der Warnung zugeordnet ist, der Schweregrad der Warnung, der Status der Warnung in der Warteschlange und wer der Warnung zugewiesen ist.

Beobachtet in der Organisation

Auf der Registerkarte Beobachtet in Organisation können Sie einen Datumsbereich angeben, um eine Liste der Geräte anzuzeigen, auf denen sich dieser Benutzer angemeldet hat, das konto mit der häufigsten und am wenigsten häufigen Anmeldung für jedes dieser Geräte sowie die Gesamtzahl der beobachteten Benutzer auf jedem Gerät.

Wenn Sie ein Element in der Tabelle "Beobachtet in der Organisation" auswählen, wird das Element erweitert, und es werden weitere Details zum Gerät angezeigt. Wenn Sie direkt einen Link in einem Element auswählen, werden Sie zur entsprechenden Seite gesendet.

Suchen nach bestimmten Benutzerkonten

  1. Wählen Sie im Dropdownmenü der Suchleiste die Option "Benutzer" aus.
  2. Geben Sie das Benutzerkonto in das Suchfeld ein.
  3. Klicken Sie auf das Suchsymbol, oder drücken Sie die EINGABETASTE.

Eine Liste der Benutzer, die dem Abfragetext entsprechen, wird angezeigt. Sie sehen die Domäne und den Namen des Benutzerkontos, wann das Benutzerkonto zuletzt angezeigt wurde, und die Gesamtzahl der Geräte, auf denen es in den letzten 30 Tagen angemeldet war.

Sie können die Ergebnisse nach den folgenden Zeiträumen filtern:

  • 1 Tag
  • 3 Tage
  • 7 Tage
  • 30 Tage
  • 6 Monate