Felhasználók vizsgálata a Microsoft 365 Defender
Megjegyzés
Szeretne Microsoft 365 Defender tapasztalni? További információ a Microsoft 365 Defender kiértékeléséről és kipróbálásáról.
Érintett szolgáltatás:
- Microsoft 365 Defender
Az incidensvizsgálat részét képezhetik felhasználói fiókok is. Az Incidensek > & riasztási incidens>_ _ Felhasználók területen megtekintheti az incidensek riasztásaiban azonosított felhasználói fiókok részleteit a Microsoft 365 Defender portálon. Íme egy példa.
Az incidenshez tartozó felhasználói fiók gyors összegzéséhez jelölje be a felhasználói fiók neve melletti pipát. Íme egy példa.
Megjegyzés
A felhasználói oldalon az Azure Active Directory -szervezet (Azure AD) és a csoportok láthatók, amelyek segítenek megérteni a felhasználóhoz társított csoportokat és engedélyeket.
Ezen a panelen áttekintheti a felhasználói fenyegetésekre vonatkozó információkat, beleértve az aktuális incidenseket, az aktív riasztásokat és a kockázati szintet, valamint a felhasználók kitettségét, a fiókokat, az eszközöket és egyebeket.
Emellett közvetlenül a Microsoft 365 Defender portálon is végrehajthat egy műveletet a feltört felhasználók kezelése érdekében, például ellenőrizheti, hogy a felhasználói fiók biztonsága sérült-e, vagy új bejelentkezésre van szükség.
Innen kiválaszthatja az Ugrás a felhasználói oldalra lehetőséget a felhasználói fiók részleteinek megtekintéséhez. Íme egy példa.
Ezt a lapot úgy is megtekintheti, ha kiválasztja a felhasználói fiók nevét a Felhasználók lap listájából.
A felhasználó csoporttagságának megtekintéséhez válassza ki a Csoport csoportban lévő számot. Ha kiválaszt egy csoportot, megnyílik a Csoportok panel, amely további információkat tartalmaz, például a létrehozás dátumát és a csoporttagságokat.
Megjegyzés
A csoporttagság csak az első 1000 csoporttagot jeleníti meg.
A Kezelő alatti ikon kiválasztásával láthatja, hogy a felhasználó hol található a szervezeti fában.
A Microsoft 365 Defender portál felhasználói oldala Végponthoz készült Microsoft Defender, Microsoft Defender for Identity és Microsoft Defender for Cloud Apps (attól függően, hogy milyen licencekkel rendelkezik).
Ezen az oldalon a felhasználói fiókok biztonsági kockázatára vonatkozó információk láthatók, amelyek egy olyan pontszámot tartalmaznak, amely segít felmérni a kockázatokat, valamint a legutóbbi eseményeket és riasztásokat, amelyek hozzájárultak a teljes kockázathoz.
Ezen a lapon az alábbi műveleteket végezheti el:
- A felhasználói fiók megjelölése sérültként
- A felhasználó ismételt bejelentkezésének megkövetelése
- A felhasználói fiók felfüggesztése
- A Azure AD felhasználói fiók beállításainak megtekintése
- A felhasználói fiók tulajdonában lévő fájlok megtekintése
- A felhasználóval megosztott fájlok megtekintése.
Íme egy példa.
Oldalirányú mozgási útvonalak megtekintése
Az Oldalirányú mozgási útvonalak lap kiválasztásával egy teljesen dinamikus és kattintható térképet tekinthet meg, amely vizuálisan ábrázolja a felhasználó oldalirányú mozgási útvonalait, amelyekkel beszivároghat a hálózatba.
A térkép felsorolja, hogy egy támadó hány ugrást tehet a számítógépek vagy felhasználók között egy bizalmas fiók feltörése érdekében, és ha a felhasználó bizalmas fiókkal rendelkezik, láthatja, hogy hány erőforrás és fiók van közvetlenül csatlakoztatva.
Ha az entitáshoz az elmúlt két napban nem észlelhető egy lehetséges oldalirányú mozgási útvonal, a gráf nem jelenik meg. Válasszon egy másik dátumot az entitáshoz felderített korábbi oldalirányú mozgási útvonalak diagramjának megtekintéséhez a Másik dátum megtekintése paranccsal. Az oldalirányú mozgás útvonaláról szóló jelentés mindig elérhető, hogy információt nyújtson a felderített lehetséges oldalirányú mozgási útvonalakról, és idő szerint testre szabható.
További információ: Oldalirányú mozgási útvonalak.
Következő lépések
A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.