Analizzare gli utenti in Microsoft 365 DefenderInvestigate users in Microsoft 365 Defender

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Parte dell'indagine degli eventi imprevisti può includere account utente.Part of your incident investigation can include user accounts. Iniziare con la scheda Utenti per un evento imprevisto da Eventi imprevisti & avvisi > evento > utenti.Start with the Users tab for an incident from Incidents & alerts > incident > Users.

Esempio di pagina Utenti per un evento imprevisto

Per ottenere un breve riepilogo di un account utente per l'evento imprevisto, selezionare il segno di spunta accanto al nome dell'account utente.To get a quick summary of a user account for the incident, select the check mark next to the user account name. Di seguito viene riportato un esempio.Here's an example.

Esempio del riquadro di riepilogo dell'account utente per un evento imprevisto nel centro Microsoft 365 sicurezza

Nota

La pagina Utente mostra Azure Active Directory (Azure AD) e i gruppi, consentendoti di comprendere i gruppi e le autorizzazioni associati a un utente.The User page shows Azure Active Directory (Azure AD) organization as well as groups, helping you understand the groups and permissions associated with a user.

In questa pagina a comparsa è possibile esaminare le informazioni sulle minacce degli utenti, inclusi eventuali eventi imprevisti correnti, avvisi attivi e livello di rischio, nonché l'esposizione degli utenti, gli account, i dispositivi e altro ancora.In this fly-out page, you can review user threat information, including any current incidents, active alerts, and risk level as well as user exposure, accounts, devices, and more.

Inoltre, è possibile eseguire un'azione direttamente nel centro sicurezza Microsoft 365 per risolvere un utente compromesso, confermando che l'utente è compromesso o richiedendo loro di accedere di nuovo.In addition, you can take action directly in the Microsoft 365 security center to address a compromised user, confirming the user is compromised or requiring them to sign in again.

Da qui puoi selezionare Vai alla pagina utente per visualizzare i dettagli di un account utente.From here, you can select Go to user page to see the details of a user account. Di seguito viene riportato un esempio.Here's an example.

Esempio di pagina dell'account utente per un evento imprevisto nel centro sicurezza Microsoft 365 sicurezza

Puoi anche visualizzare questa pagina selezionando il nome dell'account utente nell'elenco nella pagina Utenti.You can also see this page by selecting the name of the user account from the list on the Users page.

La Microsoft 365 utente del Centro sicurezza e sicurezza combina le informazioni di Microsoft Defender per Endpoint, Microsoft Defender per l'identità e Microsoft Cloud App Security (a seconda delle licenze di cui si dispone).The Microsoft 365 security center user page combines information from Microsoft Defender for Endpoint, Microsoft Defender for Identity, and Microsoft Cloud App Security (depending on what licenses you have).

In questa pagina vengono visualizzate informazioni specifiche del rischio per la sicurezza di un account utente.This page shows information specific to the security risk of a user account. Include un punteggio che consente di valutare i rischi e gli eventi e gli avvisi recenti che hanno contribuito al rischio complessivo dell'utente.This includes a score that helps assess risk and recent events and alerts that contributed to the overall risk of the user.

Da questa pagina puoi eseguire queste azioni aggiuntive:From this page, you can do these additional actions:

  • Contrassegnare l'account utente come compromessoMark the user account as compromised
  • Richiedere all'utente di eseguire di nuovo l'accessoRequire the user to sign in again
  • Sospendere l'account utenteSuspend the user account
  • Vedere le impostazioni Azure Active Directory (Azure AD) dell'account utenteSee the Azure Active Directory (Azure AD) user account settings
  • Visualizzare i file di proprietà dell'account utenteView the files owned by the user account
  • Visualizzare i file condivisi con questo utente.View files shared with this user.

Di seguito viene riportato un esempio.Here's an example.

Esempio di azioni su un account utente per un evento imprevisto nel centro sicurezza Microsoft 365 sicurezza

Passaggi successiviNext steps

In base alle esigenze per gli eventi imprevisti in-process, continuare l'indagine.As needed for in-process incidents, continue your investigation.

Vedere ancheSee also