Felhasználói fiók vizsgálata a Végponthoz készült Microsoft Defender-ben
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Felhasználóifiók-entitások vizsgálata
Azonosítsa a legaktívabb riasztásokkal rendelkező felhasználói fiókokat (az irányítópulton "Veszélyeztetett felhasználók" néven jelenik meg), és vizsgálja meg az esetlegesen feltört hitelesítő adatok eseteit, vagy kimutatást ad a társított felhasználói fiókon egy riasztás vagy eszköz vizsgálatakor, hogy azonosítsa az adott felhasználói fiókkal rendelkező eszközök közötti lehetséges oldalirányú mozgást.
A felhasználói fiók adatait a következő nézetekben találja:
- Irányítópult
- Riasztási üzenetsor
- Eszközadatok lap
Ezekben a nézetekben egy kattintható felhasználói fiókra mutató hivatkozás érhető el, amely a felhasználói fiók részleteit tartalmazó lapra irányítja, ahol további részletek jelennek meg a felhasználói fiókról.
A felhasználói fiók entitásának vizsgálatakor a következőt láthatja:
- Felhasználói fiók adatai, Microsoft Defender for Identity riasztások, valamint bejelentkezett eszközök, szerepkör, bejelentkezési típus és egyéb adatok
- Az incidensek és a felhasználói eszközök áttekintése
- A felhasználóhoz kapcsolódó riasztások
- Szervezeten belül megfigyelt (bejelentkezett eszközök)
Felhasználói adatok
A felhasználó adatainak bal oldali panelje információkat biztosít a felhasználóról, például a kapcsolódó nyitott incidenseket, aktív riasztásokat, SAM-nevet, SID-t, Microsoft Defender for Identity riasztásokat, azon eszközök számát, amelyekbe a felhasználó be van jelentkezve, amikor a felhasználó először és utoljára látta, a szerepkört és a bejelentkezési típusokat. Az engedélyezett integrációs funkcióktól függően további részleteket is megtekinthet. Ha például engedélyezi a Skype Vállalati verzió integrációját, kapcsolatba léphet a felhasználóval a portálon. Az Azure ATP riasztások szakasza tartalmaz egy hivatkozást, amely a Microsoft Defender for Identity oldalra irányítja, ha engedélyezte a Microsoft Defender for Identity funkciót, és vannak a felhasználóval kapcsolatos riasztások. A Microsoft Defender for Identity oldalon további információkat talál a riasztásokról.
Megjegyzés:
A funkció használatához engedélyeznie kell az integrációt a Microsoft Defender for Identity és a Végponthoz készült Defenderen is. A Végponthoz készült Defenderben ezt a funkciót speciális funkciókban engedélyezheti. A speciális szolgáltatások engedélyezéséről további információt a Speciális szolgáltatások bekapcsolása című témakörben talál.
Az Áttekintés, a Riasztások és a Megfigyelt a szervezetben különböző lapok, amelyek a felhasználói fiók különböző attribútumait jelenítik meg.
Megjegyzés:
Linux-eszközök esetén a bejelentkezett felhasználók adatai nem jelennek meg.
Áttekintés
Az Áttekintés lapon láthatók az incidensek részletei és azon eszközök listája, amelyekbe a felhasználó bejelentkezett. Ezeket kibontva megtekintheti az egyes eszközök bejelentkezési eseményeinek részleteit.
Riasztások
A Riasztások lap a felhasználói fiókhoz társított riasztások listáját tartalmazza. Ez a lista a Riasztási üzenetsor szűrt nézete, és megjeleníti azokat a riasztásokat, amelyekben a felhasználói környezet a kiválasztott felhasználói fiók, az utolsó tevékenység észlelésének dátuma, a riasztás rövid leírása, a riasztáshoz társított eszköz, a riasztás súlyossága, a riasztás állapota az üzenetsorban, valamint a riasztáshoz rendelt ki.
Szervezeten belül megfigyelve
A Szervezeten belül megfigyelt lapon megadhat egy dátumtartományt azoknak az eszközöknek a listájához, ahol a felhasználó bejelentkezve volt, az egyes eszközök leggyakoribb és legkevésbé bejelentkezett felhasználói fiókját, valamint az összes megfigyelt felhasználót az egyes eszközökön.
Ha kiválaszt egy elemet a Szervezeti környezetben megfigyelt táblában, azzal kibontja az elemet, és további részleteket jelenít meg az eszközről. Ha közvetlenül kijelöl egy hivatkozást egy elemen belül, az a megfelelő lapra irányítja.
Keresés adott felhasználói fiókokhoz
- A Keresés sáv legördülő menüjében válassza a Felhasználó lehetőséget.
- Írja be a felhasználói fiókot a Keresés mezőbe.
- Kattintson a keresés ikonra, vagy nyomja le az Enter billentyűt.
Megjelenik a lekérdezés szövegének megfelelő felhasználók listája. Láthatja a felhasználói fiók tartományát és nevét, a felhasználói fiók utolsó megtekintésekor, valamint az elmúlt 30 napban bejelentkezett eszközök teljes számát.
Az eredményeket a következő időszakok szerint szűrheti:
- 1 nap
- 3 nap
- 7 nap
- 30 nap
- 6 hónap
Kapcsolódó cikkek
- A Végponthoz készült Microsoft Defender-riasztások üzenetsorának megtekintése és rendszerezése
- Végponthoz készült Microsoft Defender-riasztások kezelése
- Végponthoz készült Microsoft Defender-riasztások vizsgálata
- Végponthoz készült Defender-riasztáshoz társított fájl vizsgálata
- Eszközök vizsgálata a Végponthoz készült Defender-eszközök listájában
- Végponthoz készült Defender-riasztáshoz társított IP-cím vizsgálata
- Végponthoz készült Defender-riasztáshoz társított tartomány vizsgálata
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: