Een gebruikersaccount onderzoeken in Microsoft Defender voor Eindpunt
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Entiteiten van gebruikersaccounts onderzoeken
Identificeer gebruikersaccounts met de meest actieve waarschuwingen (weergegeven op het dashboard als 'Gebruikers die risico lopen') en onderzoek gevallen van mogelijk gecompromitteerde referenties, of draai op het gekoppelde gebruikersaccount bij het onderzoeken van een waarschuwing of apparaat om mogelijke laterale verplaatsing tussen apparaten met dat gebruikersaccount te identificeren.
U vindt gebruikersaccountgegevens in de volgende weergaven:
- Dashboard
- Waarschuwingswachtrij
- Pagina Apparaatdetails
Er is een koppeling naar een gebruikersaccount beschikbaar in deze weergaven, die u naar de pagina met details van het gebruikersaccount brengt, waar meer informatie over het gebruikersaccount wordt weergegeven.
Wanneer u een entiteit voor een gebruikersaccount onderzoekt, ziet u het volgende:
- Gebruikersaccountgegevens, Microsoft Defender for Identity waarschuwingen en aangemelde apparaten, rol, aanmeldingstype en andere details
- Overzicht van de incidenten en de apparaten van de gebruiker
- Waarschuwingen met betrekking tot deze gebruiker
- Waargenomen in de organisatie (apparaten die zijn aangemeld bij)
Gebruikersgegevens
Het deelvenster Gebruikersdetails aan de linkerkant bevat informatie over de gebruiker, zoals gerelateerde openstaande incidenten, actieve waarschuwingen, SAM-naam, SID, Microsoft Defender for Identity waarschuwingen, het aantal apparaten waarop de gebruiker is aangemeld, wanneer de gebruiker voor het eerst en voor het laatst is gezien, rol- en aanmeldingstypen. Afhankelijk van de integratiefuncties die u hebt ingeschakeld, kunt u andere details zien. Als u bijvoorbeeld de integratie van Skype voor Bedrijven inschakelt, kunt u contact opnemen met de gebruiker vanuit de portal. De sectie Azure ATP-waarschuwingen bevat een koppeling waarmee u naar de pagina Microsoft Defender for Identity gaat, als u de functie Microsoft Defender for Identity hebt ingeschakeld en er waarschuwingen zijn met betrekking tot de gebruiker. De pagina Microsoft Defender for Identity bevat meer informatie over de waarschuwingen.
Opmerking
U moet de integratie inschakelen op zowel Microsoft Defender for Identity als Defender voor Eindpunt om deze functie te kunnen gebruiken. In Defender voor Eindpunt kunt u deze functie inschakelen in geavanceerde functies. Zie Geavanceerde functies inschakelen voor meer informatie over het inschakelen van geavanceerde functies.
Overzicht, Waarschuwingen en Waargenomen in organisatie zijn verschillende tabbladen met verschillende kenmerken over het gebruikersaccount.
Opmerking
Voor Linux-apparaten wordt geen informatie over aangemelde gebruikers weergegeven.
Overzicht
Op het tabblad Overzicht ziet u de details van incidenten en een lijst met de apparaten waarop de gebruiker zich heeft aangemeld. U kunt deze uitvouwen om details te bekijken van de aanmeldingsgebeurtenissen voor elk apparaat.
Waarschuwingen
Het tabblad Waarschuwingen bevat een lijst met waarschuwingen die zijn gekoppeld aan het gebruikersaccount. Deze lijst is een gefilterde weergave van de waarschuwingswachtrij en toont waarschuwingen waarbij de gebruikerscontext het geselecteerde gebruikersaccount is, de datum waarop de laatste activiteit is gedetecteerd, een korte beschrijving van de waarschuwing, het apparaat dat aan de waarschuwing is gekoppeld, de ernst van de waarschuwing, de status van de waarschuwing in de wachtrij en wie de waarschuwing is toegewezen.
Waargenomen in organisatie
Op het tabblad Geobserveerd in organisatie kunt u een datumbereik opgeven voor een lijst met apparaten waarbij deze gebruiker is aangemeld, het meest frequente en minst frequent aangemelde gebruikersaccount voor elk van deze apparaten en het totale aantal waargenomen gebruikers op elk apparaat.
Als u een item selecteert in de tabel Waargenomen in organisatie, wordt het item uitgevouwen, waardoor meer details over het apparaat worden weergegeven. Als u rechtstreeks een koppeling in een item selecteert, gaat u naar de bijbehorende pagina.
Zoeken naar specifieke gebruikersaccounts
- Selecteer Gebruiker in de vervolgkeuzelijst Zoekbalk .
- Voer het gebruikersaccount in het veld Zoeken in.
- Klik op het zoekpictogram of druk op Enter.
Er wordt een lijst weergegeven met gebruikers die overeenkomen met de querytekst. U kunt het domein en de naam van het gebruikersaccount zien, wanneer het gebruikersaccount voor het laatst is gezien, en het totale aantal apparaten waarop het is aangemeld in de afgelopen 30 dagen.
U kunt de resultaten filteren op de volgende perioden:
- 1 dag
- 3 dagen
- 7 dagen
- 30 dagen
- 6 maanden
Verwante artikelen
- De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
- Microsoft Defender voor Eindpunt-waarschuwingen beheren
- Microsoft Defender voor Eindpunt-waarschuwingen onderzoeken
- Een bestand onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
- Apparaten onderzoeken in de lijst met Defender voor Eindpunt-apparaten
- Een IP-adres onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
- Een domein onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor