Investigar usuários no Microsoft 365 Defender

Observação

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e testar Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Parte da investigação de incidentes pode incluir contas de usuário. Você pode ver os detalhes das contas de usuário identificadas nos alertas de um incidente no portal do Microsoft 365 Defender de Incidentes & alertas > incident_ > _ Users. Veja um exemplo.

A página Usuários de um incidente no Microsoft 365 Defender portal.

Para obter um resumo rápido de uma conta de usuário para o incidente, selecione a marca de seleção ao lado do nome da conta de usuário. Veja um exemplo.

A guia Usuários de um incidente no Microsoft 365 Defender portal

Observação

A página do usuário mostra a organização do Azure Active Directory (Azure AD), bem como grupos, ajudando você a entender os grupos e permissões associados a um usuário.

Nesse painel, você pode examinar as informações de ameaça do usuário, incluindo quaisquer incidentes atuais, alertas ativos e nível de risco, bem como a exposição do usuário, contas, dispositivos e muito mais.

Além disso, você pode tomar medidas diretamente no portal do Microsoft 365 Defender para lidar com um usuário comprometido, como confirmar se a conta de usuário está comprometida ou exigir uma nova entrada.

A partir daqui, você pode selecionar Ir para a página do usuário para ver os detalhes de uma conta de usuário. Veja um exemplo.

Os detalhes da conta de usuário no portal do Microsoft 365 Defender

Você também pode ver essa página selecionando o nome da conta de usuário na lista na página Usuários.

Você pode ver a associação de grupo para o usuário selecionando o número em Grupos. Selecionar um grupo abrirá o painel Grupos , que inclui informações adicionais, como a data de criação e a associação ao grupo.

Observação

A associação de grupo exibe apenas os primeiros 1000 membros do grupo.

As informações sobre a associação de grupo para um usuário no Microsoft 365 Defender portal

Ao selecionar o ícone em Gerente, você pode ver onde o usuário está na árvore da organização.

A Microsoft 365 Defender de usuário do portal combina informações de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem (dependendo de quais licenças você tem).

Esta página mostra informações específicas para o risco de segurança de uma conta de usuário, que inclui uma pontuação que ajuda a avaliar riscos e eventos recentes e alertas que contribuíram para o risco geral.

Nesta página, você pode executar estas ações adicionais:

  • Marcar a conta de usuário como comprometida
  • Exigir que o usuário entre novamente
  • Suspender a conta de usuário
  • Consulte as configurações Azure AD conta de usuário
  • Exibir os arquivos pertencentes à conta de usuário
  • Exibir arquivos compartilhados com esse usuário.

Veja um exemplo.

A seção que descreve as ações em uma conta de usuário para um incidente no Microsoft 365 Defender portal

Exibir caminhos de movimento lateral

Ao selecionar a guia Caminhos de movimento lateral , você pode exibir um mapa totalmente dinâmico e clicável que fornece uma representação visual dos caminhos de movimento lateral de e para esse usuário que podem ser usados para invadir sua rede.

O mapa fornece uma lista de quantos saltos entre computadores ou usuários um invasor teria de e para esse usuário para comprometer uma conta confidencial e, se o usuário tiver uma conta confidencial, você poderá ver quantos recursos e contas estão conectados diretamente.

Se um possível caminho de movimento lateral não tiver sido detectado para a entidade nos últimos dois dias, o grafo não será exibido. Selecione uma data diferente usando Exibir uma data diferente para exibir grafos de caminhos de movimento lateral anteriores descobertos para essa entidade. O relatório de caminho de movimento lateral está sempre disponível para fornecer informações sobre os possíveis caminhos de movimento lateral descobertos e pode ser personalizado por tempo.

O caminho de movimento lateral de um usuário no portal Microsoft 365 Defender

Para obter mais informações, consulte Caminhos de movimento lateral.

Próximas etapas

Conforme necessário para incidentes em processo, continue sua investigação.

Confira também