Investigar utilizadores no Microsoft 365 Defender

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Parte da investigação de incidentes pode incluir contas de utilizador. Pode ver os detalhes das contas de utilizador identificadas nos alertas de um incidente no portal da Microsoft 365 Defender a partir de Incidentes & alertas > _ > _ Utilizadores. Eis um exemplo.

Página Utilizadores de um incidente no portal Microsoft 365 Defender Empresas.

Para obter um resumo rápido de uma conta de utilizador com o incidente, selecione a marca de verificação junto ao nome da conta de utilizador. Eis um exemplo.

Separador Utilizadores para um incidente no portal Microsoft 365 Defender Utilizadores

Nota

A página de utilizador apresenta o Azure Active Directory (Azure AD), bem como grupos, ajudando-o a compreender os grupos e permissões associados a um utilizador.

Neste painel, pode rever as informações sobre ameaças dos utilizadores, incluindo todos os incidentes atuais, alertas ativos e nível de risco, bem como exposição do utilizador, contas, dispositivos e muito mais.

Além disso, pode tomar medidas diretamente no portal do Microsoft 365 Defender para abordar um utilizador comprometido, como confirmar que a conta de utilizador está comprometida ou que requer um novo sinal.

A partir daqui, pode selecionar Ir para a página de utilizador para ver os detalhes de uma conta de utilizador. Eis um exemplo.

Os detalhes da conta de utilizador no portal de Microsoft 365 Defender Dados

Também pode ver esta página ao selecionar o nome da conta de utilizador na lista na página Utilizadores.

Pode ver a associação a grupos do utilizador ao selecionar o número em Grupos. Selecionar um grupo irá abrir o painel Grupos , que inclui informações adicionais como a data de criação e a associação a grupos.

Nota

A associação a grupos só apresenta os primeiros 1000 membros do grupo.

As informações sobre a associação do grupo a um utilizador no portal Microsoft 365 Defender Grupo

Ao selecionar o ícone em Gestor, pode ver onde está o utilizador na árvore da organização.

A Microsoft 365 Defender de utilizador do portal de Serviços Web combina informações de Microsoft Defender para Endpoint, Microsoft Defender para Identidade e Microsoft Defender for Cloud Apps licenças (dependendo das licenças que tiver).

Esta página apresenta informações específicas do risco de segurança de uma conta de utilizador, que inclui uma pontuação que ajuda a avaliar os riscos e eventos recentes e alertas que contribuíram para o risco geral.

A partir desta página, pode fazer estas ações adicionais:

  • Marcar a conta de utilizador como comprometida
  • Exigir que o utilizador inscreva novamente
  • Suspender a conta de utilizador
  • Ver as definições Azure AD conta de utilizador
  • Ver os ficheiros da conta de utilizador
  • Ver ficheiros partilhados com este utilizador.

Eis um exemplo.

A secção que descreve as ações de um incidente numa conta de utilizador no portal Microsoft 365 Defender Utilizador

Ver trajetórias de movimento lateral

Ao selecionar o separador Trajetórias de movimento lateral, pode ver um mapa completamente dinâmico e clicável que lhe fornece uma representação visual dos caminhos do movimento lateral de e para este utilizador que podem ser utilizados para desviar a sua rede.

O mapa fornece-lhe uma lista de quantos saltos entre computadores ou utilizadores um atacante teria de e deste utilizador para comprometer uma conta sensível e, se o utilizador tiver uma conta sensível, pode ver quantos recursos e contas estão ligados diretamente.

Se não tiver sido detetado um potencial caminho de movimento lateral para a entidade nos últimos dois dias, o gráfico não é apresentado. Selecione uma data diferente utilizando Ver uma data diferente para ver caminhos de movimentos laterais anteriores detetos para esta entidade. O relatório de trajetória de movimento lateral está sempre disponível para fornecer informações sobre os possíveis caminhos de movimento lateral detetos e pode ser personalizado por hora.

O caminho do movimento lateral para um utilizador no portal Microsoft 365 Defender lado

Para obter mais informações, consulte Caminhos de movimento lateral.

Passos seguintes

Conforme necessário para incidentes no processo, continue a sua investigação.

Consulte também