Investigar uma conta de utilizador no Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Investigar entidades de conta de utilizador
Identifique as contas de utilizador com os alertas mais ativos (apresentados no dashboard como "Utilizadores em risco") e investigue casos de potenciais credenciais comprometidas ou dinamize a conta de utilizador associada ao investigar um alerta ou dispositivo para identificar um possível movimento lateral entre dispositivos com essa conta de utilizador.
Pode encontrar informações da conta de utilizador nas seguintes vistas:
- Dashboard
- Fila de alertas
- Página de detalhes do dispositivo
Está disponível uma ligação de conta de utilizador clicável nestas vistas, que o levam à página de detalhes da conta de utilizador onde são apresentados mais detalhes sobre a conta de utilizador.
Quando investiga uma entidade de conta de utilizador, pode ver:
- Detalhes da conta de utilizador, Microsoft Defender para Identidade alertas e com sessão iniciada em dispositivos, função, tipo de início de sessão e outros detalhes
- Descrição geral dos incidentes e dos dispositivos do utilizador
- Alertas relacionados com este utilizador
- Observado na organização (dispositivos com sessão iniciada em)
Detalhes do utilizador
O painel Detalhes do utilizador à esquerda fornece informações sobre o utilizador, tais como incidentes abertos relacionados, alertas ativos, nome SAM, SID, alertas de Microsoft Defender para Identidade, número de dispositivos nos quais o utilizador tem sessão iniciada, quando o utilizador foi visto pela primeira e última vez, tipos de função e início de sessão. Consoante as funcionalidades de integração que ativou, pode ver outros detalhes. Por exemplo, se ativar a integração do Skype para empresas, poderá contactar o utilizador a partir do portal. A secção alertas do Azure ATP contém uma ligação que o direciona para a página Microsoft Defender para Identidade, se tiver ativado a funcionalidade Microsoft Defender para Identidade e existirem alertas relacionados com o utilizador. A página Microsoft Defender para Identidade fornece mais informações sobre os alertas.
Nota
Terá de ativar a integração no Microsoft Defender para Identidade e no Defender para Endpoint para utilizar esta funcionalidade. No Defender para Endpoint, pode ativar esta funcionalidade em funcionalidades avançadas. Para obter mais informações sobre como ativar funcionalidades avançadas, consulte Ativar funcionalidades avançadas.
A Descrição Geral, Os Alertas e Observados na organização são separadores diferentes que apresentam vários atributos sobre a conta de utilizador.
Nota
Para dispositivos Linux, não são apresentadas informações sobre utilizadores com sessão iniciada.
Descrição geral
O separador Descrição geral mostra os detalhes dos incidentes e uma lista dos dispositivos nos quais o utilizador iniciou sessão. Pode expandi-los para ver detalhes dos eventos de início de sessão para cada dispositivo.
Alertas
O separador Alertas fornece uma lista de alertas associados à conta de utilizador. Esta lista é uma vista filtrada da Fila de alertas e mostra alertas em que o contexto de utilizador é a conta de utilizador selecionada, a data em que a última atividade foi detetada, uma breve descrição do alerta, o dispositivo associado ao alerta, a gravidade do alerta, o estado do alerta na fila e a quem foi atribuído o alerta.
Observado na organização
O separador Observado na organização permite-lhe especificar um intervalo de datas para ver uma lista de dispositivos nos quais este utilizador foi observado com sessão iniciada, a conta de utilizador com sessão iniciada mais frequente e menos frequente para cada um destes dispositivos e o total de utilizadores observados em cada dispositivo.
Selecionar um item na tabela Observado na organização expande o item, revelando mais detalhes sobre o dispositivo. Selecionar diretamente uma ligação num item envia-o para a página correspondente.
Pesquisa para contas de utilizador específicas
- Selecione Utilizador no menu pendente da barra de Pesquisa.
- Introduza a conta de utilizador no campo Pesquisa.
- Clique no ícone de pesquisa ou prima Enter.
É apresentada uma lista de utilizadores que correspondem ao texto da consulta. Pode ver o domínio e o nome da conta de utilizador, quando a conta de utilizador foi vista pela última vez, e o número total de dispositivos em que foi registada nos últimos 30 dias.
Pode filtrar os resultados pelos seguintes períodos de tempo:
- 1 dia
- 3 dias
- 7 dias
- 30 dias
- 6 meses
Artigos relacionados
- Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
- Gerir alertas de Microsoft Defender para Endpoint
- Investigar alertas de Microsoft Defender para Endpoint
- Investigar um ficheiro associado a um alerta do Defender para Endpoint
- Investigar dispositivos na lista de Dispositivos do Defender para Endpoint
- Investigar um endereço IP associado a um alerta do Defender para Endpoint
- Investigar um domínio associado a um alerta do Defender para Endpoint
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.