Analizzare un account utente in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Analizzare le entità dell'account utente

Identificare gli account utente con gli avvisi più attivi (visualizzati nel dashboard come "Utenti a rischio") e analizzare i casi di potenziali credenziali compromesse o passare all'account utente associato durante l'analisi di un avviso o di un dispositivo per identificare il possibile spostamento laterale tra i dispositivi con tale account utente.

È possibile trovare informazioni sull'account utente nelle visualizzazioni seguenti:

• Dashboard
• Coda di avvisi
• Pagina dei dettagli del dispositivo

In queste visualizzazioni è disponibile un collegamento all'account utente selezionabile, che consente di accedere alla pagina dei dettagli dell'account utente in cui vengono visualizzati altri dettagli sull'account utente.

Quando si esamina un'entità dell'account utente, è possibile visualizzare:

• Dettagli dell'account utente, avvisi Microsoft Defender per identità e dispositivi connessi, ruolo, tipo di accesso e altri dettagli
• Panoramica degli eventi imprevisti e dei dispositivi dell'utente
• Avvisi correlati a questo utente
• Osservato nell'organizzazione (dispositivi connessi a)

Dettagli utente

Il riquadro Dettagli utente a sinistra fornisce informazioni sull'utente, ad esempio eventi imprevisti aperti correlati, avvisi attivi, nome SAM, SID, avvisi Microsoft Defender per identità, numero di dispositivi a cui l'utente è connesso, quando l'utente è stato visualizzato per la prima volta e l'ultima volta, ruolo e tipi di accesso. A seconda delle funzionalità di integrazione abilitate, è possibile visualizzare altri dettagli. Ad esempio, se si abilita l'integrazione di Skype for Business, è possibile contattare l'utente dal portale. La sezione Avvisi di Azure ATP contiene un collegamento che consente di passare alla pagina Microsoft Defender per identità, se è stata abilitata la funzionalità Microsoft Defender per identità e sono presenti avvisi correlati all'utente. La pagina Microsoft Defender per identità fornisce altre informazioni sugli avvisi.

Nota

Per usare questa funzionalità, è necessario abilitare l'integrazione sia in Microsoft Defender per identità che in Defender per endpoint. In Defender per endpoint è possibile abilitare questa funzionalità nelle funzionalità avanzate. Per altre informazioni su come abilitare le funzionalità avanzate, vedere Attivare le funzionalità avanzate.

Panoramica, Avvisi e Osservato nell'organizzazione sono schede diverse che visualizzano vari attributi sull'account utente.

Nota

Per i dispositivi Linux, le informazioni sugli utenti connessi non vengono visualizzate.

Panoramica

La scheda Panoramica mostra i dettagli degli eventi imprevisti e un elenco dei dispositivi a cui l'utente ha eseguito l'accesso. È possibile espanderli per visualizzare i dettagli degli eventi di accesso per ogni dispositivo.

Avvisi

La scheda Avvisi include un elenco di avvisi associati all'account utente. Questo elenco è una visualizzazione filtrata della coda avvisi e mostra gli avvisi in cui il contesto utente è l'account utente selezionato, la data in cui è stata rilevata l'ultima attività, una breve descrizione dell'avviso, il dispositivo associato all'avviso, la gravità dell'avviso, lo stato dell'avviso nella coda e l'utente a cui viene assegnato l'avviso.

Osservata nell'organizzazione

La scheda Osservata nell'organizzazione consente di specificare un intervallo di date per visualizzare un elenco di dispositivi a cui l'utente è stato osservato connesso, l'account utente connesso più frequente e meno frequente per ognuno di questi dispositivi e il totale degli utenti osservati in ogni dispositivo.

La selezione di un elemento nella tabella Osservata nell'organizzazione espande l'elemento, rivelando altri dettagli sul dispositivo. La selezione diretta di un collegamento all'interno di un elemento consente di passare alla pagina corrispondente.

Search per account utente specifici

1. Selezionare Utente dal menu a discesa della barra Search.
2. Immettere l'account utente nel campo Search.
3. Fare clic sull'icona di ricerca o premere INVIO.

Viene visualizzato un elenco di utenti corrispondenti al testo della query. È possibile visualizzare il dominio e il nome dell'account utente, quando l'account utente è stato visualizzato per l'ultima volta, e il numero totale di dispositivi a cui è stato osservato connesso negli ultimi 30 giorni.

È possibile filtrare i risultati in base ai periodi di tempo seguenti:

• 1 giorno
• 3 giorni
• 7 giorni
• 30 giorni
• 6 mesi

Articoli correlati

• Visualizzare e organizzare la coda degli avvisi di Microsoft Defender per endpoint
• Gestire gli avvisi di Microsoft Defender per endpoint
• Analizzare gli avvisi Microsoft Defender per endpoint
• Analizzare un file associato a un avviso di Defender per endpoint
• Analizzare i dispositivi nell'elenco Dispositivi di Defender per endpoint
• Analizzare un indirizzo IP associato a un avviso di Defender per endpoint
• Analizzare un dominio associato a un avviso di Defender per endpoint

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.