Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Analizzare le entità dell'account utente
Identificare gli account utente con gli avvisi più attivi (visualizzati nel dashboard come "Utenti a rischio") e analizzare i casi di potenziali credenziali compromesse o passare all'account utente associato durante l'analisi di un avviso o di un dispositivo per identificare il possibile spostamento laterale tra i dispositivi con tale account utente.
È possibile trovare informazioni sull'account utente nelle visualizzazioni seguenti:
- Dashboard
- Coda di avvisi
- Pagina dei dettagli del dispositivo
In queste visualizzazioni è disponibile un collegamento all'account utente selezionabile, che consente di accedere alla pagina dei dettagli dell'account utente in cui vengono visualizzati altri dettagli sull'account utente.
Quando si esamina un'entità dell'account utente, è possibile visualizzare:
- Dettagli dell'account utente, Microsoft Defender per gli avvisi di identità e dispositivi connessi, ruolo, tipo di accesso e altri dettagli
- Panoramica degli eventi imprevisti e dei dispositivi dell'utente
- Avvisi correlati a questo utente
- Osservato nell'organizzazione (dispositivi connessi a)
Dettagli utente
Il riquadro Dettagli utente a sinistra fornisce informazioni sull'utente, ad esempio eventi imprevisti aperti correlati, avvisi attivi, nome SAM, SID, Microsoft Defender per gli avvisi di identità, numero di dispositivi a cui l'utente è connesso, quando l'utente è stato visualizzato per la prima volta, ruolo e tipi di accesso. A seconda delle funzionalità di integrazione abilitate, è possibile visualizzare altri dettagli. Ad esempio, se si abilita l'integrazione di Skype for Business, è possibile contattare l'utente dal portale. La sezione Avvisi di Azure ATP contiene un collegamento che consente di passare alla pagina Microsoft Defender per identità, se è stata abilitata la funzionalità Microsoft Defender for Identity e sono presenti avvisi correlati all'utente. La pagina Microsoft Defender per identità fornisce altre informazioni sugli avvisi.
Nota
Per usare questa funzionalità, è necessario abilitare l'integrazione sia in Microsoft Defender per Identity che in Defender per endpoint. In Defender per endpoint è possibile abilitare questa funzionalità nelle funzionalità avanzate. Per altre informazioni su come abilitare le funzionalità avanzate, vedere Attivare le funzionalità avanzate.
Panoramica, Avvisi e Osservato nell'organizzazione sono schede diverse che visualizzano vari attributi sull'account utente.
Nota
Per i dispositivi Linux, le informazioni sugli utenti connessi non vengono visualizzate.
Nota
Microsoft Defender for Business non include Microsoft Defender per l'identità (MDI) per impostazione predefinita. Negli ambienti basati su SMB, i dati utente di accesso non saranno disponibili a meno che non siano installati sensori MDI. Per garantire la visibilità sugli eventi di accesso, i clienti devono distribuire sensori MDI.
Panoramica
La scheda Panoramica mostra i dettagli degli eventi imprevisti e un elenco dei dispositivi a cui l'utente ha eseguito l'accesso. È possibile espanderli per visualizzare i dettagli degli eventi di accesso per ogni dispositivo.
Avvisi
La scheda Avvisi include un elenco di avvisi associati all'account utente. Questo elenco è una visualizzazione filtrata della coda avvisi e mostra gli avvisi in cui il contesto utente è l'account utente selezionato, la data in cui è stata rilevata l'ultima attività, una breve descrizione dell'avviso, il dispositivo associato all'avviso, la gravità dell'avviso, lo stato dell'avviso nella coda e l'utente a cui viene assegnato l'avviso.
Osservata nell'organizzazione
La scheda Osservata nell'organizzazione consente di specificare un intervallo di date per visualizzare un elenco di dispositivi a cui l'utente è stato osservato connesso, l'account utente connesso più frequente e meno frequente per ognuno di questi dispositivi e il totale degli utenti osservati in ogni dispositivo.
La selezione di un elemento nella tabella Osservata nell'organizzazione espande l'elemento, rivelando altri dettagli sul dispositivo. La selezione diretta di un collegamento all'interno di un elemento consente di passare alla pagina corrispondente.
Cercare account utente specifici
- Selezionare Utente dal menu a discesa Della barra di ricerca .
- Immettere l'account utente nel campo Cerca .
- Fare clic sull'icona di ricerca o premere INVIO.
Viene visualizzato un elenco di utenti corrispondenti al testo della query. È possibile visualizzare il dominio e il nome dell'account utente, quando l'account utente è stato visualizzato per l'ultima volta, e il numero totale di dispositivi a cui è stato osservato connesso negli ultimi 30 giorni.
È possibile filtrare i risultati in base ai periodi di tempo seguenti:
- 1 giorno
- 3 giorni
- 7 giorni
- 30 giorni
- 6 mesi
Articoli correlati
- Visualizzare e organizzare la coda degli avvisi di Microsoft Defender per endpoint
- Gestire gli avvisi di Microsoft Defender per endpoint
- Analizzare gli avvisi Microsoft Defender per endpoint
- Analizzare un file associato a un avviso di Defender per endpoint
- Analizzare i dispositivi nell'elenco Dispositivi di Defender per endpoint
- Analizzare un indirizzo IP associato a un avviso di Defender per endpoint
- Analizzare un dominio associato a un avviso di Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.