調查Microsoft 365 Defender中的使用者

注意

想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender

適用於:

  • Microsoft 365 Defender

事件調查的一部分可以包含使用者帳戶。 您可以在 Microsoft 365 Defender 入口網站中從事件&警示 > 事件_ > _ Users 中查看事件警示中識別的使用者帳戶詳細資料。 以下為範例。

Microsoft 365 Defender入口網站中事件的 [使用者] 頁面。

若要取得事件的使用者帳戶快速摘要,請選取使用者帳戶名稱旁邊的核取記號。 以下為範例。

Microsoft 365 Defender入口網站中事件的 [使用者] 索引標籤

注意

使用者頁面會顯示 Azure Active Directory (Azure AD) 組織和群組,協助您瞭解與使用者相關聯的群組和許可權。

在此窗格中,您可以檢閱使用者威脅資訊,包括任何目前的事件、作用中警示和風險層級,以及使用者暴露、帳戶、裝置等等。

此外,您可以直接在Microsoft 365 Defender入口網站中採取動作來解決遭入侵的使用者,例如確認使用者帳戶遭到入侵或需要新的登入。

您可以從這裡選取 [ 移至使用者] 頁面 ,以查看使用者帳戶的詳細資料。 以下為範例。

Microsoft 365 Defender入口網站中使用者帳戶的詳細資料

您也可以從 [ 使用者 ] 頁面上的清單中選取使用者帳戶的名稱來查看此頁面。

您可以選取 [群組] 底下的號碼,以查看使用者的群 成員資格。 選取群組將會開啟 [ 群組 ] 窗格,其中包含其他資訊,例如建立日期和群組成員資格。

注意

群組成員資格只會顯示前 1000 個群組成員。

Microsoft 365 Defender入口網站中使用者群組成員資格的相關資訊

選取 [ 管理員] 底下的圖示,即可查看使用者在組織樹狀結構中的位置。

Microsoft 365 Defender入口網站使用者頁面會結合來自適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender和Microsoft Defender for Cloud Apps (的資訊取決於您擁有的授權) 。

此頁面會顯示使用者帳戶安全性風險的特定資訊,其中包含可協助評估風險的分數,以及造成整體風險的最新事件和警示。

您可以從此頁面執行下列其他動作:

  • 將使用者帳戶標示為遭入侵
  • 要求使用者再次登入
  • 暫停使用者帳戶
  • 請參閱 Azure AD 使用者帳戶設定
  • 檢視使用者帳戶所擁有的檔案
  • 檢視與此使用者共用的檔案。

以下為範例。

描述Microsoft 365 Defender入口網站中事件使用者帳戶動作的區段

檢視橫向移動路徑

藉由選取 [ 橫向移動路徑 ] 索引標籤,您可以檢視完全動態且可點選的地圖,為您提供橫向移動路徑的視覺化表示,該路徑可以用來滲透您的網路。

地圖會提供一份清單,列出攻擊者必須與此使用者之間有多少個躍點來回入侵敏感性帳戶,而且如果使用者有敏感性帳戶,您可以查看直接連線的資源和帳戶數目。

如果在過去兩天內未偵測到實體的潛在橫向移動路徑,則不會顯示圖表。 使用 [檢視不同的日期] 來選取不同的日期,以檢視針對此實體探索到的先前橫向移動路徑圖形。 橫向移動路徑報告一律可用來提供您探索到之可能橫向移動路徑的相關資訊,並可依時間自訂。

Microsoft 365 Defender入口網站中使用者的橫向移動路徑

如需詳細資訊,請參閱 橫向移動路徑

後續步驟

如同進程事件需要,請繼續 調查

另請參閱