Undersök användare i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
En del av incidentundersökningen kan omfatta användarkonton. Börja med fliken Användare för en händelse från incidenten & incidenten > aviseringar_ > _ Användare.
Om du vill få en snabb sammanfattning av ett användarkonto för incidenten väljer du bockmarkeringen bredvid användarnamnet. Här är ett exempel.
Anteckning
Användarsidan visar organisationen Azure Active Directory (Azure AD) samt grupper, vilket hjälper dig att förstå vilka grupper och behörigheter som är kopplade till en användare.
På den här utfällande sidan kan du granska information om användarhot, inklusive aktuella incidenter, aktiva varningar och risknivå samt exponering av användare, konton, enheter med mera.
Dessutom kan du vidta åtgärder direkt i Microsoft 365 Defender-portalen för att adressera en komprometterad användare, bekräfta att användaren har komprometterats eller att de måste logga in igen.
Härifrån kan du välja Gå till användarsida om du vill visa information om ett användarkonto. Här är ett exempel.
Du kan även visa den här sidan genom att välja namnet på användarkontot i listan på sidan Användare.
Du kan se gruppmedlemskap för användaren genom att välja antalet under Grupper.
Genom att välja ikonen under Chef kan du se var användaren är i organisationsträdet.
Användarsidan Microsoft 365 Defender portal kombinerar information från Microsoft Defender för Endpoint, Microsoft Defender för identitet och Microsoft Cloud App Security (beroende på vilka licenser du har).
På den här sidan visas information som är specifik för säkerhetsrisken för ett användarkonto. Detta omfattar en poäng som hjälper till att utvärdera risker och nya händelser och varningar som bidragit till den totala risken för användaren.
Från den här sidan kan du utföra följande ytterligare åtgärder:
- Markera användarkontot som komprometterat
- Kräv att användaren loggar in igen
- Stäng av användarkontot
- Visa inställningar Azure Active Directory användarkonton (Azure AD)
- Visa de filer som ägs av användarkontot
- Visa filer som delats med den här användaren.
Här är ett exempel.
Visa rörelsebanor för rörelser i en 100-åring
Genom att välja fliken Förgreningsbanor kan du visa en helt dynamisk och klickbar karta som ger dig en visuell representation av de rörelsebanor till och från användaren som kan användas för att infiltrera ditt nätverk.
Kartan innehåller en lista över hur många hopp mellan datorer eller användare en attack skulle ha till och från den här användaren för att avslöja ett känsligt konto, och om användaren har ett känsligt konto kan du se hur många resurser och konton som är direkt anslutna.
Om det inte har upptäckts en möjlig rörelsebana för entiteten under de senaste två dagarna visas inte diagrammet. Välj ett annat datum med Visa ett annat datum för att visa tidigare diagram med rörelsebanor som identifierats för den här enheten. Rapporten om rörelsebanor för så kallad flyttning är alltid tillgänglig så att du får information om potentiella rörelsebanor för rörelsebanor som kan upptäckas och kan anpassas med tiden.
Mer information finns i Så här ser rörelsebanorna ut.
Nästa steg
Fortsätt din undersökning om det behövs för händelser i processen.