Undersöka ett användarkonto i Microsoft Defender för Endpoint

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Undersöka enheter för användarkonton

Identifiera användarkonton med de mest aktiva aviseringarna (visas på instrumentpanelen som "Användare på risk") och undersöker fall av potentiella komprometterade autentiseringsuppgifter, eller pivotera på det associerade användarkontot när du undersöker en avisering eller enhet för att identifiera möjlig mobil rörelse mellan enheter med det användarkontot.

Användarkontoinformationen finns i följande vyer:

  • Instrumentpanel
  • Aviseringskö
  • Sidan Enhetsinformation

I de här vyerna finns det en klickbar länk till användarkontots informationssida där mer information om användarkontot visas.

När du undersöker en användarkontotitet visas:

  • Användarkontoinformation, Microsoft Defender för identitetsaviseringar och inloggad på enheter, roll, inloggningstyp och annan information
  • Översikt över incidenter och användarens enheter
  • Aviseringar relaterade till den här användaren
  • Observerad i organisationen (enheter som är inloggade)

Bild av informationssidan för användarkontott.

Användarinformation

I fönstret Användarinformation till vänster finns information om användaren, till exempel relaterade öppna incidenter, aktiva aviseringar, SAM-namn, SID, Microsoft Defender för identitetsaviseringar, antal enheter som användaren är inloggad på, när användaren sågs för första och sista gången, roll och inloggning. Beroende på vilka integrationsfunktioner du har aktiverat visas annan information. Om du till exempel aktiverar Skype för företag-integrering kommer du att kunna kontakta användaren från portalen. Avsnittet Azure ATP-aviseringar innehåller en länk som tar dig till sidan Microsoft Defender för identitet om du har aktiverat Microsoft Defender för identitetsfunktionen och det finns aviseringar relaterade till användaren. På sidan Microsoft Defender för identitet hittar du mer information om aviseringarna.

Anteckning

Du måste aktivera integreringen på både Microsoft Defender för identitet och Defender för Endpoint om du vill använda den här funktionen. I Defender för Slutpunkt kan du aktivera den här funktionen i avancerade funktioner. Mer information om hur du aktiverar avancerade funktioner finns i Aktivera avancerade funktioner.

Översikt, aviseringar och observerade i organisationen är olika flikar som visar olika attribut om användarkontot.

Anteckning

Information om inloggade användare visas inte för Linux-enheter.

Översikt

fliken Översikt visas incidentinformation och en lista med de enheter som användaren har loggat in på. Du kan expandera dessa om du vill se information om inloggningshändelserna för varje enhet.

Varningar

fliken Aviseringar finns en lista med aviseringar som är kopplade till användarkontot. Den här listan är en filtrerad vy av aviseringskön och visar aviseringar där användarkontexten är det valda användarkontot, datumet när den senaste aktiviteten upptäcktes, en kort beskrivning av aviseringen, enheten som är kopplad till aviseringen, aviseringens allvarlighetsgrad, aviseringens status i kön och vem som har tilldelats aviseringen.

Observerad i organisationen

På fliken Observerad på organisation kan du ange ett datumintervall för att visa en lista över enheter där användaren har varit inloggad, den vanligaste och minst frekventa inloggade användaren på användarkontot för var och en av dessa enheter samt totalt antal observerade användare på varje enhet.

Om du markerar ett objekt i organisationstabellen Observerat utökas objektet och mer information om enheten visas. Om du direkt markerar en länk i ett objekt skickas du till motsvarande sida.

Söka efter specifika användarkonton

  1. Välj Användare i sökfältets nedrullningsbar meny.
  2. Ange användarkontot i sökfältet.
  3. Klicka på sökikonen eller tryck på Retur.

En lista med användare som matchar frågetexten visas. Du ser användarkontots domän och namn, när användarkontot senast sågs och det totala antalet enheter som det observerades loggade in på under de senaste 30 dagarna.

Du kan filtrera resultatet efter följande tidsperioder:

  • 1 dag
  • 3 dagar
  • 7 dagar
  • 30 dagar
  • 6 månader