Procéder à une investigation sur un compte d’utilisateur
Identifiez les comptes d’utilisateurs avec le plus d’alertes actives (avec « Utilisateurs à risque » sur le tableau de bord) et investiguez les cas où les informations d’identification sont potentiellement compromises. Ou, basculez sur le compte d’utilisateur associé lors de l’investigation d’une alerte ou d’un appareil pour identifier un éventuel mouvement latéral entre les appareils avec ce compte d’utilisateur.
Vous trouverez des informations sur le compte d’utilisateur dans les vues suivantes :
tableau de bord
File d’attente des alertes
Page Détails de l’appareil
Un lien de compte d’utilisateur cliquable est disponible dans ces vues. Sélectionnez le lien pour arriver à la page de détails du compte d’utilisateur où vous trouverez plus d’informations sur le compte.
Lorsque vous examinez une entité de compte d’utilisateur, vous voyez :
Détails sur le compte d’utilisateur, appareils connectés, rôle, type de connexion et autres informations
Vue d’ensemble des incidents et des appareils de l’utilisateur
Alertes associées à cet utilisateur
Emplacements observés dans l’organisation (appareils connectés à)
Détails de l’utilisateur
Le volet Détails de l’utilisateur sur la gauche fournit des informations sur l’utilisateur, telles que les incidents ouverts associés, les alertes actives, le nom SAM, l’ID de sécurité, le nombre d’appareils sur lesquels l’utilisateur s’est connecté, la date à laquelle l’utilisateur a été vu pour la première et la dernière fois, le rôle et les types de connexion. Selon les fonctionnalités d’intégration que vous avez activées, vous verrez d’autres détails.
Vue d’ensemble
L’onglet Vue d’ensemble affiche les détails de l’incident et une liste des appareils sur lesquels l’utilisateur s’est connecté. Vous pouvez développer la liste des appareils pour voir les détails des événements d’ouverture de session pour chaque appareil.
Alertes
L’onglet Alertes fournit une liste des alertes associées au compte d’utilisateur. Cette liste est une vue filtrée de la file d’attente des alertes et indique les alertes pour lesquelles le contexte utilisateur est le compte d’utilisateur sélectionné, la date à laquelle la dernière activité a été détectée, une brève description de l’alerte, l’appareil associé à l’alerte, la gravité de l’alerte, l’état de l’alerte dans la file d’attente et à qui est affectée l’alerte.
Éléments observés dans l’organisation
La mention Observé dans l’onglet Organisation vous permet de spécifier une plage de dates pour afficher la liste des appareils sur lesquels cet utilisateur a été observé, le compte d’utilisateur connecté le plus fréquent et le moins fréquent pour chacun de ces appareils, ainsi que le nombre total d’utilisateurs observés sur chaque appareil. Sélectionner un élément Observé dans la table de l’organisation le développera pour révéler plus de détails sur l’appareil. La sélection directe d’un lien dans un élément vous enverra à la page correspondante.