Investigar usuários no Microsoft 365 DefenderInvestigate users in Microsoft 365 Defender

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Aplica-se a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Parte da investigação de incidentes pode incluir contas de usuário.Part of your incident investigation can include user accounts. Comece com a guia Usuários para um incidente de Incidentes & alertas > incidente > Usuários.Start with the Users tab for an incident from Incidents & alerts > incident > Users.

Exemplo de uma página Usuários para um incidente

Para obter um resumo rápido de uma conta de usuário para o incidente, selecione a marca de seleção ao lado do nome da conta de usuário.To get a quick summary of a user account for the incident, select the check mark next to the user account name. Veja um exemplo.Here's an example.

Exemplo do painel de resumo da conta de usuário para um incidente no Microsoft 365 de segurança

Observação

A página Usuário mostra Azure Active Directory organização (Azure AD), bem como grupos, ajudando você a entender os grupos e permissões associados a um usuário.The User page shows Azure Active Directory (Azure AD) organization as well as groups, helping you understand the groups and permissions associated with a user.

Nesta página de pré-saída, você pode revisar as informações de ameaça do usuário, incluindo quaisquer incidentes atuais, alertas ativos e nível de risco, bem como a exposição do usuário, contas, dispositivos e muito mais.In this fly-out page, you can review user threat information, including any current incidents, active alerts, and risk level as well as user exposure, accounts, devices, and more.

Além disso, você pode tomar medidas diretamente no centro de segurança Microsoft 365 para lidar com um usuário comprometido, confirmando que o usuário está comprometido ou exigindo que ele entre novamente.In addition, you can take action directly in the Microsoft 365 security center to address a compromised user, confirming the user is compromised or requiring them to sign in again.

A partir daqui, você pode selecionar Ir para a página do usuário para ver os detalhes de uma conta de usuário.From here, you can select Go to user page to see the details of a user account. Veja um exemplo.Here's an example.

Exemplo da página de conta de usuário para um incidente no centro Microsoft 365 segurança

Você também pode ver esta página selecionando o nome da conta de usuário na lista na página Usuários.You can also see this page by selecting the name of the user account from the list on the Users page.

A Microsoft 365 de usuário do centro de segurança combina informações do Microsoft Defender para Ponto de Extremidade, Do Microsoft Defender para Identidade e Microsoft Cloud App Security (dependendo das licenças que você tiver).The Microsoft 365 security center user page combines information from Microsoft Defender for Endpoint, Microsoft Defender for Identity, and Microsoft Cloud App Security (depending on what licenses you have).

Esta página mostra informações específicas do risco de segurança de uma conta de usuário.This page shows information specific to the security risk of a user account. Isso inclui uma pontuação que ajuda a avaliar riscos e eventos recentes e alertas que contribuíram para o risco geral do usuário.This includes a score that helps assess risk and recent events and alerts that contributed to the overall risk of the user.

Nesta página, você pode fazer essas ações adicionais:From this page, you can do these additional actions:

  • Marcar a conta de usuário como comprometidaMark the user account as compromised
  • Exigir que o usuário entre novamenteRequire the user to sign in again
  • Suspender a conta de usuárioSuspend the user account
  • Consulte as configurações de Azure Active Directory de usuário (Azure AD)See the Azure Active Directory (Azure AD) user account settings
  • Exibir os arquivos pertencentes à conta de usuárioView the files owned by the user account
  • Exibir arquivos compartilhados com esse usuário.View files shared with this user.

Veja um exemplo.Here's an example.

Exemplo das ações em uma conta de usuário para um incidente no centro Microsoft 365 segurança

Próximas etapasNext steps

Conforme necessário para incidentes no processo, continue sua investigação.As needed for in-process incidents, continue your investigation.

Confira tambémSee also