Del via


Undersøg en brugerkonto i Microsoft Defender for Endpoint

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Undersøg brugerkontoobjekter

Identificer brugerkonti med de mest aktive beskeder (vises på dashboardet som "Brugere i fare"), og undersøg tilfælde af potentielle kompromitterede legitimationsoplysninger, eller pivoter den tilknyttede brugerkonto, når du undersøger en besked eller enhed for at identificere mulige tværgående bevægelser mellem enheder med den pågældende brugerkonto.

Du kan finde brugerkontooplysninger i følgende visninger:

  • Dashboard
  • Beskedkø
  • Side med enhedsdetaljer

Der findes et klikbart brugerkontolink i disse visninger, som fører dig til siden med oplysninger om brugerkontoen, hvor der vises flere oplysninger om brugerkontoen.

Når du undersøger en brugerkontoenhed, kan du se:

  • Oplysninger om brugerkonto, Microsoft Defender for Identity beskeder og logget på enheder, rolle, logontype og andre oplysninger
  • Oversigt over hændelserne og brugerens enheder
  • Beskeder, der er relateret til denne bruger
  • Observeret i organisationen (enheder, der er logget på)

Detaljesiden for brugerkontoobjektet

Brugeroplysninger

Ruden Brugeroplysninger til venstre indeholder oplysninger om brugeren, f.eks. relaterede åbne hændelser, aktive beskeder, SAM-navn, SID, Microsoft Defender for Identity beskeder, antallet af enheder, som brugeren er logget på, hvornår brugeren blev første og sidst set, rolle og logontyper. Afhængigt af de integrationsfunktioner, du har aktiveret, kan du se andre oplysninger. Hvis du f.eks. aktiverer Skype for Business-integration, kan du kontakte brugeren fra portalen. Afsnittet med Azure ATP-beskeder indeholder et link, der fører dig til siden Microsoft Defender for Identity, hvis du har aktiveret funktionen Microsoft Defender for Identity, og der er beskeder relateret til brugeren. Siden Microsoft Defender for Identity indeholder flere oplysninger om beskederne.

Bemærk!

Du skal aktivere integrationen på både Microsoft Defender for Identity og Defender for Endpoint for at bruge denne funktion. I Defender for Endpoint kan du aktivere denne funktion i avancerede funktioner. Du kan få flere oplysninger om, hvordan du aktiverer avancerede funktioner, under Slå avancerede funktioner til.

Oversigt, Beskeder og Observeret i organisationen er forskellige faner, der viser forskellige attributter for brugerkontoen.

Bemærk!

For Linux-enheder vises oplysninger om brugere, der er logget på, ikke.

Oversigt

Fanen Oversigt viser oplysninger om hændelser og en liste over de enheder, som brugeren har logget på. Du kan udvide disse for at få vist oplysninger om logonhændelser for hver enhed.

Beskeder

Fanen Beskeder indeholder en liste over beskeder, der er knyttet til brugerkontoen. Denne liste er en filtreret visning af beskedkøen og viser beskeder, hvor brugerkonteksten er den valgte brugerkonto, den dato, hvor den sidste aktivitet blev registreret, en kort beskrivelse af beskeden, den enhed, der er knyttet til beskeden, beskedens alvorsgrad, beskedens status i køen, og hvem der er tildelt beskeden.

Observeret i organisationen

Under fanen Observeret i organisationen kan du angive et datointerval for at få vist en liste over de enheder, hvor denne bruger blev observeret logget på, den hyppigste og mindst hyppige, der er logget på brugerkontoen for hver af disse enheder, og det samlede antal observerede brugere på hver enhed.

Hvis du vælger et element i tabellen Observeret i organisationen, udvides elementet, og der vises flere oplysninger om enheden. Hvis du vælger et link direkte i et element, sendes du til den tilsvarende side.

Søg for bestemte brugerkonti

  1. Vælg Bruger i rullemenuen Søg.
  2. Angiv brugerkontoen i feltet Søg.
  3. Klik på søgeikonet, eller tryk på Enter.

Der vises en liste over brugere, der svarer til forespørgselsteksten. Du kan se brugerkontoens domæne og navn, hvornår brugerkontoen sidst blev set, og det samlede antal enheder, den blev observeret logget på inden for de sidste 30 dage.

Du kan filtrere resultaterne efter følgende tidsperioder:

  • 1 dag
  • 3 dage
  • 7 dage
  • 30 dage
  • 6 måneder

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.