Untersuchen eines Benutzerkontos in Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Untersuchen von Benutzerkontoentitäten
Identifizieren Sie Benutzerkonten mit den aktivsten Warnungen (die auf Dashboard als "Gefährdete Benutzer" angezeigt werden), und untersuchen Sie Fälle von potenziell kompromittierten Anmeldeinformationen, oder wechseln Sie zum zugehörigen Benutzerkonto, wenn Sie eine Warnung oder ein Gerät untersuchen, um mögliche Lateral Movements zwischen Geräten mit diesem Benutzerkonto zu identifizieren.
Informationen zu Benutzerkonten finden Sie in den folgenden Ansichten:
- Dashboard
- Warnungswarteschlange
- Seite "Gerätedetails"
In diesen Ansichten ist ein klickbarer Benutzerkontolink verfügbar, der Sie zur Detailseite des Benutzerkontos bringt, auf der weitere Details zum Benutzerkonto angezeigt werden.
Wenn Sie eine Benutzerkontoentität untersuchen, sehen Sie Folgendes:
- Benutzerkontodetails, Microsoft Defender for Identity Warnungen und angemeldete Geräte, Rolle, Anmeldetyp und andere Details
- Übersicht über die Incidents und Benutzergeräte
- Warnungen im Zusammenhang mit diesem Benutzer
- Beobachtet in organization (bei angemeldeten Geräten)
Benutzerdetails
Der Bereich Benutzerdetails auf der linken Seite enthält Informationen zum Benutzer, z. B. verwandte offene Vorfälle, aktive Warnungen, SAM-Name, SID, Microsoft Defender for Identity Warnungen, Anzahl der Geräte, auf die der Benutzer angemeldet ist, wann der Benutzer zum ersten und letzten Mal angezeigt wurde, Rollen- und Anmeldetypen. Abhängig von den von Ihnen aktivierten Integrationsfeatures werden weitere Details angezeigt. Wenn Sie beispielsweise die Skype for Business-Integration aktivieren, können Sie den Benutzer über das Portal kontaktieren. Der Abschnitt Azure ATP-Warnungen enthält einen Link, über den Sie zur Seite Microsoft Defender for Identity gelangen, wenn Sie das feature Microsoft Defender for Identity aktiviert haben und Warnungen im Zusammenhang mit dem Benutzer vorhanden sind. Die Seite Microsoft Defender for Identity enthält weitere Informationen zu den Warnungen.
Hinweis
Sie müssen die Integration sowohl für Microsoft Defender for Identity als auch für Defender für Endpunkt aktivieren, um dieses Feature verwenden zu können. In Defender für Endpunkt können Sie dieses Feature in erweiterten Features aktivieren. Weitere Informationen zum Aktivieren erweiterter Features finden Sie unter Aktivieren erweiterter Features.
Die Registerkarten Übersicht, Warnungen und Beobachtet in organization sind verschiedene Registerkarten, auf denen verschiedene Attribute zum Benutzerkonto angezeigt werden.
Hinweis
Bei Linux-Geräten werden keine Informationen zu angemeldeten Benutzern angezeigt.
Übersicht
Auf der Registerkarte Übersicht werden die Details zu Vorfällen und eine Liste der Geräte angezeigt, bei denen sich der Benutzer angemeldet hat. Sie können diese erweitern, um Details zu den Anmeldeereignissen für jedes Gerät anzuzeigen.
Warnungen
Die Registerkarte Warnungen enthält eine Liste der Warnungen, die dem Benutzerkonto zugeordnet sind. Diese Liste ist eine gefilterte Ansicht der Warnungswarteschlange und zeigt Warnungen an, bei denen der Benutzerkontext dem ausgewählten Benutzerkonto entspricht, das Datum, an dem die letzte Aktivität erkannt wurde, eine kurze Beschreibung der Warnung, das der Warnung zugeordnete Gerät, der Schweregrad der Warnung, die status der Warnung in der Warteschlange und wem die Warnung zugewiesen ist.
Beobachtet in organization
Auf der Registerkarte Beobachtet in organization können Sie einen Datumsbereich angeben, um eine Liste der Geräte anzuzeigen, bei denen dieser Benutzer angemeldet wurde, das am häufigsten und am wenigsten häufig angemeldete Benutzerkonto für jedes dieser Geräte und die Gesamtzahl der beobachteten Benutzer auf jedem Gerät.
Wenn Sie in der Tabelle Beobachtet in organization ein Element auswählen, wird das Element erweitert, und es werden weitere Details zum Gerät angezeigt. Durch die direkte Auswahl eines Links innerhalb eines Elements gelangen Sie zur entsprechenden Seite.
Search für bestimmte Benutzerkonten
- Wählen Sie im Dropdownmenü Search leiste die Option Benutzer aus.
- Geben Sie das Benutzerkonto in das Feld Search ein.
- Klicken Sie auf das Suchsymbol, oder drücken Sie die EINGABETASTE.
Eine Liste der Benutzer, die dem Abfragetext entsprechen, wird angezeigt. Sie sehen die Domäne und den Namen des Benutzerkontos, wann das Benutzerkonto zuletzt angezeigt wurde, sowie die Gesamtzahl der Geräte, bei der es in den letzten 30 Tagen angemeldet wurde.
Sie können die Ergebnisse nach den folgenden Zeiträumen filtern:
- 1 Tag
- 3 Tage
- 7 Tage
- 30 Tage
- 6 Monate
Verwandte Artikel
- Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt
- Verwalten von Microsoft Defender for Endpoint Warnungen
- Untersuchen von Microsoft Defender for Endpoint Warnungen
- Untersuchen einer Datei, die einer Defender für Endpunkt-Warnung zugeordnet ist
- Untersuchen von Geräten in der Liste "Defender für Endpunktgeräte"
- Untersuchen einer IP-Adresse, die einer Defender für Endpunkt-Warnung zugeordnet ist
- Untersuchen einer Domäne, die einer Defender für Endpunkt-Warnung zugeordnet ist
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.