Untersuchen von Benutzern in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender

Ein Teil Ihrer Vorfalluntersuchung kann Benutzerkonten umfassen. Sie können die Details der Benutzerkonten, die in den Warnungen zu einem Vorfall identifiziert wurden, im Microsoft 365 Defender Portal aus Vorfällen & Warnungen > Vorfall_ > _ Benutzer anzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Seite "Benutzer" für einen Vorfall im Microsoft 365 Defender Portal.

Um eine schnelle Zusammenfassung eines Benutzerkontos für den Vorfall zu erhalten, aktivieren Sie das Häkchen neben dem Benutzernamen. Im Folgenden sehen Sie ein Beispiel.

Registerkarte "Benutzer" für einen Vorfall im Microsoft 365 Defender-Portal

Hinweis

Auf der Benutzerseite werden die Azure Active Directory (Azure AD)-Organisation sowie Gruppen angezeigt, die Ihnen helfen, die Einem Benutzer zugeordneten Gruppen und Berechtigungen zu verstehen.

In diesem Bereich können Sie Informationen zu Benutzerbedrohungen überprüfen, einschließlich aktueller Vorfälle, aktiver Warnungen und Risikostufen sowie Benutzerexposition, Konten, Geräte und mehr.

Darüber hinaus können Sie direkt im Microsoft 365 Defender Portal Maßnahmen ergreifen, um einen kompromittierten Benutzer zu adressieren, z. B. um zu bestätigen, dass das Benutzerkonto kompromittiert ist oder eine neue Anmeldung erforderlich ist.

Von hier aus können Sie die Option "Zur Benutzerseite wechseln" auswählen, um die Details eines Benutzerkontos anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Details des Benutzerkontos im Microsoft 365 Defender Portal

Sie können diese Seite auch anzeigen, indem Sie den Namen des Benutzerkontos aus der Liste auf der Seite "Benutzer " auswählen.

Sie können die Gruppenmitgliedschaft für den Benutzer anzeigen, indem Sie die Nummer unter "Gruppen" auswählen. Wenn Sie eine Gruppe auswählen, wird der Bereich "Gruppen " geöffnet, der zusätzliche Informationen wie das Erstellungsdatum und die Gruppenmitgliedschaft enthält.

Hinweis

In der Gruppenmitgliedschaft werden nur die ersten 1000 Gruppenmitglieder angezeigt.

Die Informationen zur Gruppenmitgliedschaft für einen Benutzer im Microsoft 365 Defender-Portal

Durch Auswählen des Symbols unter "Manager" können Sie sehen, wo sich der Benutzer in der Organisationsstruktur befindet.

Die Benutzerseite des Microsoft 365 Defender Portals kombiniert Informationen aus Microsoft Defender for Endpoint, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps (je nachdem, über welche Lizenzen Sie verfügen).

Auf dieser Seite werden Informationen angezeigt, die für das Sicherheitsrisiko eines Benutzerkontos spezifisch sind. Dies umfasst eine Bewertung, die die Bewertung von Risiken und kürzlichen Ereignissen und Warnungen unterstützt, die zum Gesamtrisiko beigetragen haben.

Auf dieser Seite können Sie die folgenden zusätzlichen Aktionen ausführen:

  • Markieren des Benutzerkontos als kompromittiert
  • Fordern Sie den Benutzer auf, sich erneut anzumelden
  • Aussetzen des Benutzerkontos
  • Siehe die Azure AD-Benutzerkontoeinstellungen
  • Anzeigen der Dateien im Besitz des Benutzerkontos
  • Dateien anzeigen, die für diesen Benutzer freigegeben wurden.

Im Folgenden sehen Sie ein Beispiel.

Der Abschnitt, in dem die Aktionen für ein Benutzerkonto für einen Vorfall im Microsoft 365 Defender-Portal beschrieben werden

Anzeigen lateraler Bewegungspfade

Durch Auswählen der Registerkarte " Lateral Movement Paths " können Sie eine vollständig dynamische und klickbare Karte anzeigen, die Ihnen eine visuelle Darstellung der lateralen Bewegungspfade zu und von diesem Benutzer bietet, die zum Infiltrieren Ihres Netzwerks verwendet werden können.

Die Karte enthält eine Liste der Hops zwischen Computern oder Benutzern, die ein Angreifer von diesem Benutzer ausführen müsste, um ein vertrauliches Konto zu kompromittieren. Wenn der Benutzer über ein vertrauliches Konto verfügt, können Sie sehen, wie viele Ressourcen und Konten direkt verbunden sind.

Wenn in den letzten zwei Tagen kein potenzieller lateraler Bewegungspfad für die Entität erkannt wurde, wird das Diagramm nicht angezeigt. Wählen Sie ein anderes Datum mithilfe von "Ein anderes Datum anzeigen" aus, um die für diese Entität ermittelten Diagramme für laterale Bewegungspfade anzuzeigen. Der Bericht über laterale Bewegungspfade ist immer verfügbar, um Ihnen Informationen über die potenziellen lateralen Bewegungspfade bereitzustellen, die ermittelt wurden, und kann nach Zeit angepasst werden.

Der laterale Bewegungspfad für einen Benutzer im Microsoft 365 Defender-Portal

Weitere Informationen finden Sie unter Lateral Movement Paths.

Nächste Schritte

Fahren Sie bei Bedarf bei Vorfällen in Einem Prozess mit Ihrer Untersuchung fort.

Siehe auch