Undersöka ett användarkonto i Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Undersöka användarkontoentiteter
Identifiera användarkonton med de mest aktiva aviseringarna (visas på instrumentpanelen som "Användare i riskzonen") och undersöka fall av potentiellt komprometterade autentiseringsuppgifter, eller pivot på det associerade användarkontot när du undersöker en avisering eller enhet för att identifiera eventuell lateral förflyttning mellan enheter med det användarkontot.
Du hittar information om användarkonton i följande vyer:
- Instrumentpanel
- Aviseringskö
- Sidan Enhetsinformation
En klickbar länk till användarkontot finns i dessa vyer, som tar dig till sidan med användarkontoinformation där mer information om användarkontot visas.
När du undersöker en användarkontoentitet kan du se:
- Användarkontoinformation, Microsoft Defender for Identity aviseringar och inloggade enheter, roll, inloggningstyp och annan information
- Översikt över incidenter och användarens enheter
- Aviseringar relaterade till den här användaren
- Observeras i organisationen (enheter som är inloggade på)
Användarinformation
Fönstret Användarinformation till vänster innehåller information om användaren, till exempel relaterade öppna incidenter, aktiva aviseringar, SAM-namn, SID, Microsoft Defender for Identity aviseringar, antalet enheter som användaren är inloggad på, när användaren först och senast sågs, roll- och inloggningstyper. Beroende på vilka integreringsfunktioner du har aktiverat kan du se annan information. Om du till exempel aktiverar Skype för företag-integrering kan du kontakta användaren från portalen. Avsnittet Azure ATP-aviseringar innehåller en länk som tar dig till sidan Microsoft Defender for Identity, om du har aktiverat funktionen Microsoft Defender for Identity och det finns aviseringar relaterade till användaren. Sidan Microsoft Defender for Identity innehåller mer information om aviseringarna.
Obs!
Du måste aktivera integreringen på både Microsoft Defender for Identity och Defender för Endpoint för att kunna använda den här funktionen. I Defender för Endpoint kan du aktivera den här funktionen i avancerade funktioner. Mer information om hur du aktiverar avancerade funktioner finns i Aktivera avancerade funktioner.
Översikt, Aviseringar och Observerad i organisationen är olika flikar som visar olika attribut om användarkontot.
Obs!
För Linux-enheter visas inte information om inloggade användare.
Översikt
Fliken Översikt visar incidentinformationen och en lista över de enheter som användaren har loggat in på. Du kan expandera dessa om du vill se information om inloggningshändelserna för varje enhet.
Varningar
Fliken Aviseringar innehåller en lista över aviseringar som är associerade med användarkontot. Den här listan är en filtrerad vy över aviseringskö och visar aviseringar där användarkontexten är det valda användarkontot, datumet då den senaste aktiviteten identifierades, en kort beskrivning av aviseringen, enheten som är associerad med aviseringen, aviseringens allvarlighetsgrad, aviseringens status i kön och vem som har tilldelats aviseringen.
Observeras i organisationen
På fliken Observerad i organisationen kan du ange ett datumintervall för att se en lista över enheter där den här användaren observerades inloggad, det vanligaste och minst frekventa inloggade användarkontot för var och en av dessa enheter och totalt antal observerade användare på varje enhet.
Om du väljer ett objekt i tabellen Observerat i organisationen expanderas objektet, vilket visar mer information om enheten. Om du väljer en länk direkt i ett objekt skickas du till motsvarande sida.
Search för specifika användarkonton
- Välj Användare i listrutan Search bar.
- Ange användarkontot i fältet Search.
- Klicka på sökikonen eller tryck på Retur.
En lista över användare som matchar frågetexten visas. Du kan se användarkontots domän och namn, när användarkontot senast visades och det totala antalet enheter som det observerades loggade in på under de senaste 30 dagarna.
Du kan filtrera resultatet efter följande tidsperioder:
- 1 dag
- 3 dagar
- 7 dagar
- 30 dagar
- 6 månader
Relaterade artiklar
- Visa och organisera kön för Microsoft Defender för Endpoint-aviseringar
- Hantera Microsoft Defender för Endpoint aviseringar
- Undersöka Microsoft Defender för Endpoint aviseringar
- Undersöka en fil som är associerad med en Defender för Endpoint-avisering
- Undersöka enheter i listan Defender för Endpoint-enheter
- Undersöka en IP-adress som är associerad med en Defender för Endpoint-avisering
- Undersöka en domän som är associerad med en Defender för Endpoint-avisering
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för