Analizzare un account utente in Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Analizzare le entità dell'account utente
Identificare gli account utente con gli avvisi più attivi (visualizzati nel dashboard come "Utenti a rischio") e analizzare i casi di potenziali credenziali compromesse o passare all'account utente associato durante l'analisi di un avviso o di un dispositivo per identificare il possibile spostamento laterale tra i dispositivi con tale account utente.
È possibile trovare informazioni sull'account utente nelle visualizzazioni seguenti:
- Dashboard
- Coda di avvisi
- Pagina dei dettagli del dispositivo
In queste visualizzazioni è disponibile un collegamento all'account utente selezionabile, che consente di accedere alla pagina dei dettagli dell'account utente in cui vengono visualizzati altri dettagli sull'account utente.
Quando si esamina un'entità dell'account utente, è possibile visualizzare:
- Dettagli dell'account utente, avvisi Microsoft Defender per identità e dispositivi connessi, ruolo, tipo di accesso e altri dettagli
- Panoramica degli eventi imprevisti e dei dispositivi dell'utente
- Avvisi correlati a questo utente
- Osservato nell'organizzazione (dispositivi connessi a)
Dettagli utente
Il riquadro Dettagli utente a sinistra fornisce informazioni sull'utente, ad esempio eventi imprevisti aperti correlati, avvisi attivi, nome SAM, SID, avvisi Microsoft Defender per identità, numero di dispositivi a cui l'utente è connesso, quando l'utente è stato visualizzato per la prima volta e l'ultima volta, ruolo e tipi di accesso. A seconda delle funzionalità di integrazione abilitate, è possibile visualizzare altri dettagli. Ad esempio, se si abilita l'integrazione di Skype for Business, è possibile contattare l'utente dal portale. La sezione Avvisi di Azure ATP contiene un collegamento che consente di passare alla pagina Microsoft Defender per identità, se è stata abilitata la funzionalità Microsoft Defender per identità e sono presenti avvisi correlati all'utente. La pagina Microsoft Defender per identità fornisce altre informazioni sugli avvisi.
Nota
Per usare questa funzionalità, è necessario abilitare l'integrazione sia in Microsoft Defender per identità che in Defender per endpoint. In Defender per endpoint è possibile abilitare questa funzionalità nelle funzionalità avanzate. Per altre informazioni su come abilitare le funzionalità avanzate, vedere Attivare le funzionalità avanzate.
Panoramica, Avvisi e Osservato nell'organizzazione sono schede diverse che visualizzano vari attributi sull'account utente.
Nota
Per i dispositivi Linux, le informazioni sugli utenti connessi non vengono visualizzate.
Panoramica
La scheda Panoramica mostra i dettagli degli eventi imprevisti e un elenco dei dispositivi a cui l'utente ha eseguito l'accesso. È possibile espanderli per visualizzare i dettagli degli eventi di accesso per ogni dispositivo.
Avvisi
La scheda Avvisi include un elenco di avvisi associati all'account utente. Questo elenco è una visualizzazione filtrata della coda avvisi e mostra gli avvisi in cui il contesto utente è l'account utente selezionato, la data in cui è stata rilevata l'ultima attività, una breve descrizione dell'avviso, il dispositivo associato all'avviso, la gravità dell'avviso, lo stato dell'avviso nella coda e l'utente a cui viene assegnato l'avviso.
Osservata nell'organizzazione
La scheda Osservata nell'organizzazione consente di specificare un intervallo di date per visualizzare un elenco di dispositivi a cui l'utente è stato osservato connesso, l'account utente connesso più frequente e meno frequente per ognuno di questi dispositivi e il totale degli utenti osservati in ogni dispositivo.
La selezione di un elemento nella tabella Osservata nell'organizzazione espande l'elemento, rivelando altri dettagli sul dispositivo. La selezione diretta di un collegamento all'interno di un elemento consente di passare alla pagina corrispondente.
Cercare account utente specifici
- Selezionare Utente dal menu a discesa Della barra di ricerca .
- Immettere l'account utente nel campo Cerca .
- Fare clic sull'icona di ricerca o premere INVIO.
Viene visualizzato un elenco di utenti corrispondenti al testo della query. È possibile visualizzare il dominio e il nome dell'account utente, quando l'account utente è stato visualizzato per l'ultima volta, e il numero totale di dispositivi a cui è stato osservato connesso negli ultimi 30 giorni.
È possibile filtrare i risultati in base ai periodi di tempo seguenti:
- 1 giorno
- 3 giorni
- 7 giorni
- 30 giorni
- 6 mesi
Articoli correlati
- Visualizzare e organizzare la coda degli avvisi di Microsoft Defender per endpoint
- Gestire gli avvisi di Microsoft Defender per endpoint
- Analizzare gli avvisi Microsoft Defender per endpoint
- Analizzare un file associato a un avviso di Defender per endpoint
- Analizzare i dispositivi nell'elenco Dispositivi di Defender per endpoint
- Analizzare un indirizzo IP associato a un avviso di Defender per endpoint
- Analizzare un dominio associato a un avviso di Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per