Microsoft Defender for Endpointでユーザー アカウントを調査する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ユーザー アカウント エンティティを調査する
最もアクティブなアラート ("危険なユーザー" としてダッシュボードに表示) を持つユーザー アカウントを特定し、侵害された可能性のある資格情報のケースを調査するか、アラートまたはデバイスを調査するときに関連するユーザー アカウントをピボットして、そのユーザー アカウントを持つデバイス間の横移動の可能性を特定します。
ユーザー アカウント情報は、次のビューで確認できます。
- ダッシュボード
- アラート キュー
- [デバイスの詳細] ページ
これらのビューでは、クリック可能なユーザー アカウント のリンクを使用できます。これにより、ユーザー アカウントの詳細が表示されるユーザー アカウントの詳細ページに移動できます。
ユーザー アカウント エンティティを調査すると、次の情報が表示されます。
- ユーザー アカウントの詳細、Microsoft Defender for Identityアラート、ログオンしているデバイス、ロール、ログオンの種類、その他の詳細
- インシデントとユーザーのデバイスの概要
- このユーザーに関連するアラート
- organizationで観察 (ログオンしているデバイス)
ユーザーの詳細
左側の [ユーザーの詳細] ウィンドウには、関連するオープン インシデント、アクティブなアラート、SAM 名、SID、Microsoft Defender for Identity アラート、ユーザーがログオンしているデバイスの数、ユーザーが最初に表示されたときと最後に表示されたデバイスの数、ロール、ログオンの種類など、ユーザーに関する情報が表示されます。 有効にした統合機能に応じて、その他の詳細を確認できます。 たとえば、Skype for Business 統合を有効にした場合、ポータルからユーザーに連絡できます。 [Azure ATP アラート] セクションには、Microsoft Defender for Identity機能を有効にしていて、ユーザーに関連するアラートがある場合は、[Microsoft Defender for Identity] ページに移動するリンクが含まれています。 [Microsoft Defender for Identity] ページには、アラートに関する詳細情報が表示されます。
注:
この機能を使用するには、Microsoft Defender for Identityと Defender for Endpoint の両方で統合を有効にする必要があります。 Defender for Endpoint では、高度な機能でこの機能を有効にすることができます。 高度な機能を有効にする方法の詳細については、「 高度な機能を有効にする」を参照してください。
organizationの概要、アラート、および監視は、ユーザー アカウントに関するさまざまな属性を表示する異なるタブです。
注:
Linux デバイスの場合、ログインしているユーザーに関する情報は表示されません。
概要
[ 概要 ] タブには、インシデントの詳細と、ユーザーがログオンしたデバイスの一覧が表示されます。 これらを展開して、各デバイスのログオン イベントの詳細を表示できます。
アラート
[ アラート ] タブには、ユーザー アカウントに関連付けられているアラートの一覧が表示されます。 この一覧は 、アラート キューのフィルター処理されたビューであり、ユーザー コンテキストが選択されたユーザー アカウントであるアラート、最後のアクティビティが検出された日付、アラートの簡単な説明、アラートに関連付けられているデバイス、アラートの重大度、キュー内のアラートの状態、およびアラートが割り当てられているユーザーを示します。
organizationで観察
[organizationで監視] タブを使用すると、日付範囲を指定して、このユーザーがログオンしたことを確認したデバイスの一覧、これらのデバイスごとに最も頻繁かつ最も頻度の低いログオン ユーザー アカウント、および各デバイスの監視対象ユーザーの総数を表示できます。
[organizationテーブルの [観測] で項目を選択すると、項目が展開され、デバイスの詳細が表示されます。 アイテム内のリンクを直接選択すると、対応するページに移動します。
特定のユーザー アカウントを検索する
- [検索バー] ドロップダウン メニューから [ユーザー] を選択します。
- [ 検索 ] フィールドにユーザー アカウントを入力します。
- 検索アイコンをクリックするか 、Enter キーを押します。
クエリ テキストに一致するユーザーの一覧が表示されます。 ユーザー アカウントのドメインと名前、ユーザー アカウントが最後に表示されたとき、および過去 30 日間にログオンしたデバイスの合計数を確認できます。
次の期間で結果をフィルター処理できます。
- 1 日
- 3 日間
- 7 日間
- 30 日間
- 6 か月
関連記事
- Microsoft Defender for Endpoint アラート キューを表示して整理する
- Microsoft Defender for Endpoint アラートを管理する
- Microsoft Defender for Endpointアラートを調査する
- Defender for Endpoint アラートに関連付けられているファイルを調査する
- Defender for Endpoint Devices の一覧でデバイスを調査する
- Defender for Endpoint アラートに関連付けられている IP アドレスを調査する
- Defender for Endpoint アラートに関連付けられているドメインを調査する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示