エンドポイントの Microsoft Defender でユーザーアカウントを調査するInvestigate a user account in Microsoft Defender for Endpoint

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

エンドポイントの Defender を使用する場合Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

ユーザー アカウント エンティティを調査するInvestigate user account entities

最もアクティブな通知 (ダッシュボードに "リスクのユーザー" と表示されます) を持つユーザーアカウントを特定し、侵害された可能性のある資格情報のケースを調査します。または、通知またはデバイスを調査して、そのユーザーアカウントを持つデバイス間で発生する可能性のある部分を特定します。Identify user accounts with the most active alerts (displayed on dashboard as "Users at risk") and investigate cases of potential compromised credentials, or pivot on the associated user account when investigating an alert or device to identify possible lateral movement between devices with that user account.

次のビューでユーザー アカウント情報を確認することができます。You can find user account information in the following views:

  • ダッシュボードDashboard
  • アラート キューAlert queue
  • デバイスの詳細ページDevice details page

これらのビューにはクリック可能なユーザー アカウントのリンクがあり、クリックすると、ユーザー アカウントに関する詳細が表示されるユーザー アカウントの詳細ページに移動します。A clickable user account link is available in these views, that will take you to the user account details page where more details about the user account are shown.

ユーザー アカウント エンティティを調べる場合、次の項目が表示されます。When you investigate a user account entity, you'll see:

  • [ユーザーアカウントの詳細]、[Azure Advanced Threat Protection (Azure ATP)] アラート、およびログオンしているデバイス、役割、ログオンの種類、その他の詳細User account details, Azure Advanced Threat Protection (Azure ATP) alerts, and logged on devices, role, logon type, and other details
  • インシデントとユーザーのデバイスの概要Overview of the incidents and user's devices
  • このユーザーに関連するアラートAlerts related to this user
  • 組織で見た (デバイスにログオンしているデバイス)Observed in organization (devices logged on to)

ユーザー アカウント エンティティの詳細ページの画像

ユーザの詳細User details

左側の [ ユーザーの詳細 ] ウィンドウには、そのユーザーに関する情報が表示されます。たとえば、関連するオープンインシデント、アクティブな通知、SAM 名、SID、Azure ATP アラート、ユーザーが最初に表示されたデバイス数、最後に表示されたユーザーの数、役割、ログオンの種類などがあります。The User details pane on left provides information about the user, such as related open incidents, active alerts, SAM name, SID, Azure ATP alerts, number of devices the user is logged on to, when the user was first and last seen, role, and logon types. 有効にした統合機能に応じて、その他の詳細が表示されます。Depending on the integration features you've enabled, you'll see other details. たとえば、Skype for business の統合を有効にすると、ポータルからユーザーに連絡できるようになります。For example, if you enable the Skype for business integration, you'll be able to contact the user from the portal. Azure atp の 通知 セクションには、azure atp 機能を有効にしていて、ユーザーに関連する通知がある場合に、azure atp のページに移動するためのリンクが含まれています。The Azure ATP alerts section contains a link that will take you to the Azure ATP page, if you have enabled the Azure ATP feature, and there are alerts related to the user. Azure ATP ページでは、通知に関する詳細情報を提供します。The Azure ATP page will provide more information about the alerts.

注意

この機能を使用するには、Azure ATP と Defender の両方で統合を有効にする必要があります。You'll need to enable the integration on both Azure ATP and Defender for Endpoint to use this feature. エンドポイントの Defender では、高度な機能でこの機能を有効にすることができます。In Defender for Endpoint, you can enable this feature in advanced features. 高度な機能を有効にする方法について詳しくは、「 高度な機能を有効にする」をご覧ください。For more information on how to enable advanced features, see Turn on advanced features.

組織での概要、警告、観察には、ユーザーアカウントに関するさまざまな属性を表示するさまざまなタブがあります。The Overview, Alerts, and Observed in organization are different tabs that display various attributes about the user account.

概要Overview

[ 概要 ] タブには、インシデントの詳細と、ユーザーがログオンしたデバイスの一覧が表示されます。The Overview tab shows the incidents details and a list of the devices that the user has logged on to. これらを展開して、各デバイスのログオンイベントの詳細を表示することができます。You can expand these to see details of the log-on events for each device.

アラートAlerts

[ 通知 ] タブには、ユーザーアカウントに関連付けられているアラートの一覧が表示されます。The Alerts tab provides a list of alerts that are associated with the user account. この一覧は、 通知キューのフィルター処理されたビューであり、ユーザーコンテキストが選択されたユーザーアカウントであること、最後のアクティビティが検出された日付、通知の短い説明、アラートに関連付けられているデバイス、アラートの重大度、キュー内の通知の状態、アラートが割り当てられているユーザーを示します。This list is a filtered view of the Alert queue, and shows alerts where the user context is the selected user account, the date when the last activity was detected, a short description of the alert, the device associated with the alert, the alert's severity, the alert's status in the queue, and who is assigned the alert.

Observed in organization (組織内での観察状況)Observed in organization

[ 組織 ] タブでは、日付の範囲を指定して、このユーザーが監視したデバイスの一覧を表示することができます。これらの各デバイスについては、最も頻繁にログオンするユーザーアカウントと、各デバイスで監視されているユーザーの合計数を確認できます。The Observed in organization tab allows you to specify a date range to see a list of devices where this user was observed logged on to, the most frequent and least frequent logged on user account for each of these devices, and total observed users on each device.

[組織内の観測] でアイテムを選ぶと、アイテムが展開され、デバイスの詳細が表示されます。Selecting an item on the Observed in organization table will expand the item, revealing more details about the device. アイテム内のリンクを直接選択すると、対応するページに送信されます。Directly selecting a link within an item will send you to the corresponding page.

特定のユーザー アカウントを検索するSearch for specific user accounts

  1. 検索バーのドロップダウン メニューから [ユーザー] を選びます。Select User from the Search bar drop-down menu.
  2. [検索] フィールドにユーザー アカウントを入力します。Enter the user account in the Search field.
  3. 検索アイコンをクリックするか、Enter キーを押します。Click the search icon or press Enter.

クエリ テキストに一致するユーザーの一覧が表示されます。A list of users matching the query text is displayed. ユーザーアカウントのドメインと名前、ユーザーアカウントが最後に表示された日時、および過去30日以内にログオンしたデバイスの合計数が表示されます。You'll see the user account's domain and name, when the user account was last seen, and the total number of devices it was observed logged on to in the last 30 days.

次の期間で結果をフィルター処理することができます。You can filter the results by the following time periods:

  • 1 日1 day
  • 3 日3 days
  • 7 日7 days
  • 30 日30 days
  • 6 か月6 months

関連トピックRelated topics