Microsoft Defender ATP のユーザーアカウントを調査する

適用対象:

Microsoft Defender ATP を経験していますか? 無料試用版にサインアップしてください。

ユーザー アカウント エンティティを調査する

最もアクティブなアラート (ダッシュボードで "危険な状態のユーザー" と表示される) でユーザー アカウントを識別し、潜在的な資格情報の侵害のケースを調査します。また、アラートやコンピューターの調査時に、関連付けられているユーザー アカウントに注目して、そのユーザー アカウントによるコンピューター間の横方向の移動の可能性を識別します。

次のビューでユーザー アカウント情報を確認することができます。

  • ダッシュボード
  • アラート キュー
  • コンピューターの詳細ページ

これらのビューにはクリック可能なユーザー アカウントのリンクがあり、クリックすると、ユーザー アカウントに関する詳細が表示されるユーザー アカウントの詳細ページに移動します。

ユーザー アカウント エンティティを調べる場合、次の項目が表示されます。

  • ユーザーアカウントの詳細、Azure Advanced Threat Protection (Azure ATP) の警告、およびログオンしているコンピューター
  • このユーザーに関連するアラート
  • 組織内での観察状況 (ログオンしているコンピューター)

ユーザー アカウント エンティティの詳細ページの画像

ユーザーアカウントの詳細、Azure ATP の警告、およびログオンしているコンピューターのカードには、ユーザーアカウントに関するさまざまな属性が表示されます。

ユーザの詳細

ユーザーの詳細カードには、ユーザーが最初に表示された日時、最後に表示された日時など、ユーザーに関する情報が記載されています。 有効にした統合機能に応じて、その他の詳細が表示されます。 たとえば、Skype for business の統合を有効にすると、ポータルからユーザーに連絡できるようになります。

Azure Advanced Threat Protection

Azure Advanced Threat Protectionカードには、azure atp 機能を有効にしていて、ユーザーに関連するアラートがある場合に、azure atp のページに移動するためのリンクが含まれています。 Azure ATP ページでは、通知に関する詳細情報を提供します。 このカードには、ユーザーに関連付けられている最後の広告サイト、グループメンバーシップ、ログインエラーなどの詳細情報も表示されます。

注意

この機能を使用するには、Azure ATP と Microsoft Defender ATP の両方の統合を有効にする必要があります。 Microsoft Defender ATP では、高度な機能でこの機能を有効にすることができます。 高度な機能を有効にする方法について詳しくは、「高度な機能を有効にする」をご覧ください。

ログオンしているコンピューター

[ログオンしているコンピューター] カードには、ユーザーがログオンしたコンピューターの一覧が表示されます。 これらを展開して、各コンピューターのログオンイベントの詳細を表示することができます。

このユーザーに関連するアラート

[Alerts related to this user] (このユーザーに関連するアラート) セクションには、ユーザー アカウントに関連付けられたアラートの一覧が示されます。 この一覧は、アラートキューのフィルター処理されたビューであり、ユーザーコンテキストが選択されたユーザーアカウントであること、最後のアクティビティが検出された日付、通知の短い説明、アラートに関連付けられているコンピューター、アラートの重大度などの通知を示しています。キュー内のアラートの状態、およびアラートが割り当てられているユーザー。

Observed in organization (組織内での観察状況)

[組織内で監視] セクションでは、日付の範囲を指定して、このユーザーが監視されたコンピューターの一覧、各コンピューターに対して最も頻繁にログオンしているユーザーアカウント、およびそれぞれのユーザーの合計数を確認することができます。fax.

[組織内の観測] でアイテムを選ぶと、アイテムが展開され、コンピューターの詳細が表示されます。 アイテム内のリンクを直接選択すると、対応するページに送信されます。

組織内での観察状況のセクションの画像

特定のユーザー アカウントを検索する

  1. 検索バーのドロップダウン メニューから [ユーザー] を選びます。
  2. [検索] フィールドにユーザー アカウントを入力します。
  3. 検索アイコンをクリックするか、Enter キーを押します。

クエリ テキストに一致するユーザーの一覧が表示されます。 ユーザー アカウントのドメインと名前、ユーザー アカウントが最後に確認された日時、過去 30 日間にユーザー アカウントがログオンしたことが確認されたコンピューターの合計数が表示されます。

次の期間で結果をフィルター処理することができます。

  • 1 日
  • 3 日
  • 7 日
  • 30 日
  • 6 か月

関連トピック