Microsoft Defender for Endpointでユーザー アカウントを調査する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ユーザー アカウント エンティティを調査する

最もアクティブなアラート ("危険なユーザー" としてダッシュボードに表示) を持つユーザー アカウントを特定し、侵害された可能性のある資格情報のケースを調査するか、アラートまたはデバイスを調査するときに関連するユーザー アカウントをピボットして、そのユーザー アカウントを持つデバイス間の横移動の可能性を特定します。

ユーザー アカウント情報は、次のビューで確認できます。

• ダッシュボード
• アラート キュー
• [デバイスの詳細] ページ

これらのビューでは、クリック可能なユーザー アカウント のリンクを使用できます。これにより、ユーザー アカウントの詳細が表示されるユーザー アカウントの詳細ページに移動できます。

ユーザー アカウント エンティティを調査すると、次の情報が表示されます。

• ユーザー アカウントの詳細、Microsoft Defender for Identityアラート、ログオンしているデバイス、ロール、ログオンの種類、その他の詳細
• インシデントとユーザーのデバイスの概要
• このユーザーに関連するアラート
• organizationで観察 (ログオンしているデバイス)

ユーザーの詳細

左側の [ユーザーの詳細] ウィンドウには、関連するオープン インシデント、アクティブなアラート、SAM 名、SID、Microsoft Defender for Identity アラート、ユーザーがログオンしているデバイスの数、ユーザーが最初に表示されたときと最後に表示されたデバイスの数、ロール、ログオンの種類など、ユーザーに関する情報が表示されます。 有効にした統合機能に応じて、その他の詳細を確認できます。 たとえば、Skype for Business 統合を有効にした場合、ポータルからユーザーに連絡できます。 [Azure ATP アラート] セクションには、Microsoft Defender for Identity機能を有効にしていて、ユーザーに関連するアラートがある場合は、[Microsoft Defender for Identity] ページに移動するリンクが含まれています。 [Microsoft Defender for Identity] ページには、アラートに関する詳細情報が表示されます。

注:

この機能を使用するには、Microsoft Defender for Identityと Defender for Endpoint の両方で統合を有効にする必要があります。 Defender for Endpoint では、高度な機能でこの機能を有効にすることができます。 高度な機能を有効にする方法の詳細については、「 高度な機能を有効にする」を参照してください。

organizationの概要、アラート、および監視は、ユーザー アカウントに関するさまざまな属性を表示する異なるタブです。

注:

Linux デバイスの場合、ログインしているユーザーに関する情報は表示されません。

概要

[ 概要 ] タブには、インシデントの詳細と、ユーザーがログオンしたデバイスの一覧が表示されます。 これらを展開して、各デバイスのログオン イベントの詳細を表示できます。

アラート

[ アラート ] タブには、ユーザー アカウントに関連付けられているアラートの一覧が表示されます。 この一覧は 、アラート キューのフィルター処理されたビューであり、ユーザー コンテキストが選択されたユーザー アカウントであるアラート、最後のアクティビティが検出された日付、アラートの簡単な説明、アラートに関連付けられているデバイス、アラートの重大度、キュー内のアラートの状態、およびアラートが割り当てられているユーザーを示します。

organizationで観察

[organizationで監視] タブを使用すると、日付範囲を指定して、このユーザーがログオンしたことを確認したデバイスの一覧、これらのデバイスごとに最も頻繁かつ最も頻度の低いログオン ユーザー アカウント、および各デバイスの監視対象ユーザーの総数を表示できます。

[organizationテーブルの [観測] で項目を選択すると、項目が展開され、デバイスの詳細が表示されます。 アイテム内のリンクを直接選択すると、対応するページに移動します。

特定のユーザー アカウントのSearch

1. [Search バー] ドロップダウン メニューから [ユーザー] を選択します。
2. [Search] フィールドにユーザー アカウントを入力します。
3. 検索アイコンをクリックするか 、Enter キーを押します。

クエリ テキストに一致するユーザーの一覧が表示されます。 ユーザー アカウントのドメインと名前、ユーザー アカウントが最後に表示されたとき、および過去 30 日間にログオンしたデバイスの合計数を確認できます。

次の期間で結果をフィルター処理できます。

• 1 日
• 3 日間
• 7 日間
• 30 日間
• 6 か月

関連記事

• Microsoft Defender for Endpoint アラート キューを表示して整理する
• Microsoft Defender for Endpoint アラートを管理する
• Microsoft Defender for Endpointアラートを調査する
• Defender for Endpoint アラートに関連付けられているファイルを調査する
• Defender for Endpoint Devices の一覧でデバイスを調査する
• Defender for Endpoint アラートに関連付けられている IP アドレスを調査する
• Defender for Endpoint アラートに関連付けられているドメインを調査する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。