調查 適用於端點的 Microsoft Defender中的用戶帳戶

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

調查用戶帳戶實體

將儀錶板上顯示最活躍警示 (的使用者帳戶識別為「有風險的使用者」) 並調查可能遭入侵認證的案例,或在調查警示或裝置時,在相關聯的使用者帳戶上進行樞紐分析,以識別具有該用戶帳戶的裝置之間可能的橫向移動。

您可以在下列檢視中找到使用者帳戶資訊:

  • 儀表板
  • 警示佇列
  • 裝置詳細數據頁面

這些檢視中提供可點選的用戶帳戶連結,這會帶您前往使用者帳戶詳細數據頁面,其中會顯示更多有關使用者帳戶的詳細數據。

當您調查使用者帳戶實體時,您可以看到:

  • 用戶帳戶詳細數據、適用於身分識別的 Microsoft Defender警示,以及登入裝置、角色、登入類型和其他詳細數據
  • 事件和用戶裝置的概觀
  • 與此使用者相關的警示
  • 在登入 (裝置的組織中觀察到)

用戶帳戶實體詳細數據頁面

使用者詳細數據

左側的 [使用者詳細數據] 窗格提供使用者的相關信息,例如相關的開啟事件、作用中警示、SAM 名稱、SID、適用於身分識別的 Microsoft Defender 警示、使用者登入的裝置數目、使用者第一次和最後一次看見的時間、角色和登入類型。 根據您已啟用的整合功能,您可以看到其他詳細數據。 例如,如果您啟用商務用Skype整合,就能夠從入口網站連絡使用者。 如果您已啟用 適用於身分識別的 Microsoft Defender 功能,且有與使用者相關的警示,則 Azure ATP 警示區段包含一個連結,可帶您前往 適用於身分識別的 Microsoft Defender 頁面。 [適用於身分識別的 Microsoft Defender] 頁面提供警示的詳細資訊。

注意事項

您必須在 適用於身分識別的 Microsoft Defender 和適用於端點的 Defender 上啟用整合,才能使用此功能。 在適用於端點的 Defender 中,您可以在進階功能中啟用這項功能。 如需如何啟用進階功能的詳細資訊,請 參閱開啟進階功能

組織中的概觀、警示和觀察到的索引標籤會顯示用戶帳戶的各種屬性。

注意事項

針對 Linux 裝置,不會顯示登入使用者的相關信息。

概觀

[ 概觀] 索引 標籤會顯示事件詳細數據,以及使用者已登入的裝置清單。 您可以展開這些專案,以查看每個裝置的登入事件詳細數據。

警示

[ 警示] 索引標籤 會提供與使用者帳戶相關聯的警示清單。 此清單是 警示佇列的篩選檢視,並顯示警示,其中使用者內容是選取的使用者帳戶、偵測到最後一個活動的日期、警示的簡短描述、與警示相關聯的裝置、警示的嚴重性、佇列中的警示狀態,以及指派警示的人員。

在組織中觀察到

[ 在組織中觀察 到] 索引標籤可讓您指定日期範圍,以查看觀察到此使用者登入的裝置清單、每部裝置最頻繁且最不常登入的用戶帳戶,以及每個裝置上觀察到的用戶總數。

在組織中觀察到的數據表上選取專案會展開專案,並顯示有關裝置的更多詳細數據。 直接選取專案內的連結會將您傳送至對應的頁面。

特定用戶帳戶的 搜尋

  1. 搜尋 列下拉功能表中選取 [使用者]。
  2. 在 [搜尋] 字段中輸入用戶帳戶。
  3. 按一下搜尋圖示或按 Enter

會顯示符合查詢文字的用戶清單。 您可以看到使用者帳戶的網域和名稱、上次看到使用者帳戶的時間,以及過去 30 天內觀察到登入的裝置總數。

您可以依下列時間週期篩選結果:

  • 1 天
  • 3 天
  • 7 天
  • 30 天
  • 6 個月

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。