Examiner un compte d’utilisateur dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Examiner les entités de compte d’utilisateur

Identifiez les comptes d’utilisateur avec les alertes les plus actives (affichées sur le tableau de bord sous la forme « Utilisateurs à risque ») et examinez les cas d’informations d’identification potentiellement compromises, ou effectuez un tableau croisé dynamique sur le compte d’utilisateur associé lors de l’examen d’une alerte ou d’un appareil pour identifier les mouvements latéraux possibles entre les appareils avec ce compte d’utilisateur.

Vous trouverez les informations de compte d’utilisateur dans les affichages suivants :

• Tableau de bord
• File d’attente d’alerte
• Page détails de l’appareil

Un lien de compte d’utilisateur cliquable est disponible dans ces affichages, qui vous permet d’accéder à la page des détails du compte d’utilisateur où plus de détails sur le compte d’utilisateur sont affichés.

Lorsque vous examinez une entité de compte d’utilisateur, vous pouvez voir :

• Détails du compte d’utilisateur, Microsoft Defender pour Identity alertes et les appareils connectés, rôle, type d’ouverture de session et autres détails
• Vue d’ensemble des incidents et des appareils de l’utilisateur
• Alertes liées à cet utilisateur
• Observé dans organization (appareils connectés à)

Détails de l’utilisateur

Le volet Détails de l’utilisateur sur la gauche fournit des informations sur l’utilisateur, telles que les incidents ouverts associés, les alertes actives, le nom SAM, le SID, les alertes Microsoft Defender pour Identity, le nombre d’appareils auxquels l’utilisateur est connecté, le moment où l’utilisateur a été vu pour la première et la dernière fois, le rôle et les types d’ouverture de session. Selon les fonctionnalités d’intégration que vous avez activées, vous pouvez voir d’autres détails. Par exemple, si vous activez l’intégration de Skype Entreprise, vous pouvez contacter l’utilisateur à partir du portail. La section Alertes Azure ATP contient un lien qui vous dirige vers la page Microsoft Defender pour Identity, si vous avez activé la fonctionnalité Microsoft Defender pour Identity et qu’il existe des alertes liées à l’utilisateur. La page Microsoft Defender pour Identity fournit plus d’informations sur les alertes.

Remarque

Vous devez activer l’intégration sur Microsoft Defender pour Identity et Defender pour point de terminaison pour utiliser cette fonctionnalité. Dans Defender pour point de terminaison, vous pouvez activer cette fonctionnalité dans les fonctionnalités avancées. Pour plus d’informations sur l’activation des fonctionnalités avancées, consultez Activer les fonctionnalités avancées.

Vue d’ensemble, Alertes et Observé dans organization sont des onglets différents qui affichent différents attributs sur le compte d’utilisateur.

Remarque

Pour les appareils Linux, les informations sur les utilisateurs connectés ne sont pas affichées.

Vue d’ensemble

L’onglet Vue d’ensemble affiche les détails des incidents et une liste des appareils auxquels l’utilisateur s’est connecté. Vous pouvez les développer pour afficher les détails des événements de connexion pour chaque appareil.

Alertes

L’onglet Alertes fournit la liste des alertes associées au compte d’utilisateur. Cette liste est une vue filtrée de la file d’attente d’alerte et affiche les alertes où le contexte utilisateur est le compte d’utilisateur sélectionné, la date à laquelle la dernière activité a été détectée, une brève description de l’alerte, l’appareil associé à l’alerte, la gravité de l’alerte, la status de l’alerte dans la file d’attente et à qui l’alerte est affectée.

Observé en organization

L’onglet Observé dans organization vous permet de spécifier une plage de dates pour afficher la liste des appareils sur lesquels cet utilisateur a été observé connecté, le compte d’utilisateur connecté le plus fréquent et le moins fréquent pour chacun de ces appareils et le nombre total d’utilisateurs observés sur chaque appareil.

La sélection d’un élément dans le tableau Observé dans organization développe l’élément et révèle plus de détails sur l’appareil. La sélection directe d’un lien dans un élément vous envoie à la page correspondante.

Recherche pour des comptes d’utilisateur spécifiques

1. Sélectionnez Utilisateur dans le menu déroulant de la barre de Recherche.
2. Entrez le compte d’utilisateur dans le champ Recherche.
3. Cliquez sur l’icône de recherche ou appuyez sur Entrée.

Une liste d’utilisateurs correspondant au texte de la requête s’affiche. Vous pouvez voir le domaine et le nom du compte d’utilisateur, la date de la dernière consultation du compte d’utilisateur et le nombre total d’appareils auxquels il a été connecté au cours des 30 derniers jours.

Vous pouvez filtrer les résultats selon les périodes suivantes :

• 1 jour
• 3 jours
• 7 jours
• 30 jours
• 6 mois

Articles connexes

• Afficher et organiser la file d’attente d’alertes Microsoft Defender pour point de terminaison
• Gérer les alertes Microsoft Defender pour point de terminaison
• Examiner les alertes Microsoft Defender pour point de terminaison
• Examiner un fichier associé à une alerte Defender pour point de terminaison
• Examiner les appareils dans la liste des appareils Defender pour point de terminaison
• Examiner une adresse IP associée à une alerte Defender pour point de terminaison
• Examiner un domaine associé à une alerte Defender pour point de terminaison

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.