Share via


Investigar uma conta de usuário no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Investigar entidades de conta de usuário

Identifique contas de usuário com os alertas mais ativos (exibidos em dashboard como "Usuários em risco") e investigue casos de credenciais comprometidas potenciais ou pivô na conta de usuário associada ao investigar um alerta ou dispositivo para identificar possíveis movimentações laterais entre dispositivos com essa conta de usuário.

Você pode encontrar informações da conta de usuário nas seguintes exibições:

  • Painel
  • Fila de alertas
  • Página de detalhes do dispositivo

Um link de conta de usuário clicável está disponível nesses modos de exibição, que levam você para a página de detalhes da conta de usuário em que mais detalhes sobre a conta de usuário são mostrados.

Ao investigar uma entidade de conta de usuário, você pode ver:

  • Detalhes da conta de usuário, Microsoft Defender para Identidade alertas e conectados em dispositivos, função, tipo de logon e outros detalhes
  • Visão geral dos incidentes e dos dispositivos do usuário
  • Alertas relacionados a esse usuário
  • Observado na organização (dispositivos conectados)

A página de detalhes da entidade da conta de usuário

Detalhes do usuário

O painel Detalhes do usuário à esquerda fornece informações sobre o usuário, como incidentes abertos relacionados, alertas ativos, nome sam, SID, alertas Microsoft Defender para Identidade, número de dispositivos aos quais o usuário está conectado, quando o usuário foi visto pela primeira e última vez, função e tipos de logon. Dependendo dos recursos de integração habilitados, você pode ver outros detalhes. Por exemplo, se você habilitar a integração do Skype for business, poderá entrar em contato com o usuário por meio do portal. A seção alertas do ATP do Azure contém um link que leva você para a página Microsoft Defender para Identidade, se você habilitou o recurso Microsoft Defender para Identidade e há alertas relacionados ao usuário. A página Microsoft Defender para Identidade fornece mais informações sobre os alertas.

Observação

Você precisará habilitar a integração no Microsoft Defender para Identidade e no Defender para Ponto de Extremidade para usar esse recurso. No Defender para Ponto de Extremidade, você pode habilitar esse recurso em recursos avançados. Para obter mais informações sobre como habilitar recursos avançados, consulte Ativar recursos avançados.

A visão geral, alertas e observados na organização são guias diferentes que exibem vários atributos sobre a conta de usuário.

Observação

Para dispositivos Linux, as informações sobre usuários conectados não são exibidas.

Visão Geral

A guia Visão geral mostra os detalhes dos incidentes e uma lista dos dispositivos aos quais o usuário se conectou. Você pode expandi-los para ver detalhes dos eventos de logon para cada dispositivo.

Alertas

A guia Alertas fornece uma lista de alertas associados à conta de usuário. Essa lista é uma exibição filtrada da fila alerta e mostra alertas em que o contexto do usuário é a conta de usuário selecionada, a data em que a última atividade foi detectada, uma breve descrição do alerta, o dispositivo associado ao alerta, a gravidade do alerta, o status do alerta na fila e quem recebe o alerta.

Observado na organização

A guia Observação na organização permite que você especifique um intervalo de datas para ver uma lista de dispositivos em que esse usuário foi observado conectado, o log mais frequente e menos frequente na conta de usuário para cada um desses dispositivos e o total de usuários observados em cada dispositivo.

Selecionar um item na tabela Observação na organização expande o item, revelando mais detalhes sobre o dispositivo. Selecionar diretamente um link em um item envia você para a página correspondente.

Pesquisa para contas de usuário específicas

  1. Selecione Usuário no menu suspenso da barra de Pesquisa.
  2. Insira a conta de usuário no campo Pesquisa.
  3. Clique no ícone de pesquisa ou pressione Enter.

Uma lista de usuários que correspondem ao texto da consulta é exibida. Você pode ver o domínio e o nome da conta de usuário, quando a conta de usuário foi vista pela última vez e o número total de dispositivos aos quais ela foi observada registrada nos últimos 30 dias.

Você pode filtrar os resultados pelos seguintes períodos de tempo:

  • 1 dia
  • 3 dias
  • 7 dias
  • 30 dias
  • 6 meses

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.