Исследование пользователей в Microsoft 365 Defender

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Часть расследования инцидента может включать учетные записи пользователей. Сведения об учетных записях пользователей, выявленных в оповещении об инциденте, можно увидеть на портале Microsoft 365 Defender из incidents & > оповещений incident_ > _ Users. Ниже приведен пример.

Страница Пользователи для инцидента на Microsoft 365 Defender портале.

Чтобы получить краткое описание учетной записи пользователя для инцидента, выберите контрольный знак рядом с именем учетной записи пользователя. Ниже приведен пример.

Вкладка Пользователи для инцидента на Microsoft 365 Defender портале

Примечание

На странице пользователя Azure Active Directory (Azure AD), а также группы, помогающие понять группы и разрешения, связанные с пользователем.

В этой области можно просмотреть сведения об угрозах пользователей, включая текущие инциденты, активные оповещения и уровень риска, а также экспозицию пользователей, учетные записи, устройства и т. д.

Кроме того, вы можете принять меры непосредственно на портале Microsoft 365 Defender для устранения скомпрометированного пользователя, например подтверждения взлома учетной записи пользователя или необходимости в новом входе.

Здесь вы можете выбрать страницу Перейти на страницу пользователя , чтобы узнать подробности учетной записи пользователя. Ниже приведен пример.

Сведения об учетной записи пользователя на Microsoft 365 Defender портале

Вы также можете увидеть эту страницу, выбрав имя учетной записи пользователя из списка на странице Пользователи .

Вы можете увидеть членство в группе для пользователя, выбрав номер в группах.

Сведения о членстве в группе для пользователя на Microsoft 365 Defender портале

Выбрав значок в диспетчере, можно увидеть, где находится пользователь в дереве организации.

На Microsoft 365 Defender страницы пользователей портала сочетаются сведения из Microsoft Defender for Endpoint, Microsoft Defender for Identity и Microsoft Defender for Cloud Apps (в зависимости от лицензий).

На этой странице показаны сведения, относящуюся к риску безопасности учетной записи пользователя, которая включает оценку рисков и недавних событий и оповещений, которые способствовали общему риску.

На этой странице можно сделать дополнительные действия:

  • Пометить учетную запись пользователя как скомпрометированную
  • Требовать от пользователя снова войти
  • Приостановка учетной записи пользователя
  • См. параметры учетной записи пользователя Azure AD
  • Просмотр файлов, которые принадлежат учетной записи пользователя
  • Просмотр файлов, общих этому пользователю.

Ниже приведен пример.

Раздел, описывая действия учетной записи пользователя в случае инцидента на Microsoft 365 Defender портале

Просмотр путей движения с последующим движением

Выбрав вкладку "Пути движения в стороны", вы можете просмотреть полностью динамическую и щелкантную карту, которая обеспечивает визуальное представление путей движения в стороны и от этого пользователя, которые могут быть использованы для проникновения в сеть.

Карта предоставляет вам список хмеля между компьютерами или пользователями, которые злоумышленник должен был бы использовать для взлома конфиденциальной учетной записи, и если у пользователя есть чувствительная учетная запись, вы можете увидеть, сколько ресурсов и учетных записей подключено напрямую.

Если в течение последних двух дней потенциальный путь к дальнейшему движению не был обнаружен для объекта, график не отображается. Выберите другую дату с помощью Просмотра другой даты, чтобы просмотреть ранее обнаруженные для этого объекта графики маршрутов движения. В отчете о путях движения всегда доступна информация об обнаружении потенциальных путей, которые могут быть настроены по времени.

Для пользователя на портале Microsoft 365 Defender путь Microsoft 365 Defender движения.

Дополнительные сведения см. в дополнительных сведениях.

Дальнейшие действия

При необходимости для инцидентов в процессе продолжайте расследование.

См. также