Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Изучение сущностей учетной записи пользователя
Определите учетные записи пользователей с наиболее активными оповещениями (на панели мониторинга отображается как "Пользователи, подверженные риску") и изучите случаи потенциального компрометации учетных данных или сведите сведения о связанной учетной записи пользователя при изучении оповещения или устройства, чтобы определить возможное боковое перемещение между устройствами с этой учетной записью пользователя.
Сведения об учетной записи пользователя можно найти в следующих представлениях:
- Панель мониторинга
- Очередь оповещений
- Страница сведений об устройстве
В этих представлениях доступна ссылка на учетную запись пользователя, в результате которой вы перейдете на страницу сведений об учетной записи пользователя, где отображаются дополнительные сведения об учетной записи пользователя.
При изучении сущности учетной записи пользователя вы увидите следующее:
- Сведения об учетной записи пользователя, Microsoft Defender для удостоверений оповещения и вход на устройствах, роль, тип входа и другие сведения
- Обзор инцидентов и устройств пользователей
- Оповещения, связанные с этим пользователем
- Наблюдается в организации (устройства, на которые выполнен вход)
Сведения о пользователе
В области Сведений о пользователе слева содержатся сведения о пользователе, такие как связанные открытые инциденты, активные оповещения, имя SAM, идентификатор безопасности Microsoft Defender для удостоверений оповещения, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, роли и типы входа. В зависимости от включенных функций интеграции можно просмотреть другие сведения. Например, если включить интеграцию Skype для бизнеса, вы сможете связаться с пользователем на портале. Раздел Azure atp alerts содержит ссылку на страницу Microsoft Defender для удостоверений, если вы включили функцию Microsoft Defender для удостоверений и есть оповещения, связанные с пользователем. На странице Microsoft Defender для удостоверений содержатся дополнительные сведения об оповещениях.
Примечание.
Чтобы использовать эту функцию, необходимо включить интеграцию как в Microsoft Defender для удостоверений, так и в Defender для конечной точки. В Defender для конечной точки эту функцию можно включить в расширенных функциях. Дополнительные сведения о включении дополнительных функций см. в статье Включение дополнительных функций.
Вкладки Обзор, Оповещения и Наблюдаемое в организации — это разные вкладки, на которых отображаются различные атрибуты учетной записи пользователя.
Примечание.
На устройствах Linux сведения о пользователях, вошедшего в систему, не отображаются.
Примечание.
Microsoft Defender для бизнеса по умолчанию не включает Microsoft Defender для удостоверений (MDI). В средах на основе SMB данные пользователя входа будут недоступны, если не установлены датчики MDI. Чтобы обеспечить видимость событий входа, клиенты должны развернуть датчики MDI.
Обзор
На вкладке Обзор отображаются сведения об инцидентах и список устройств, на которые пользователь выполнил вход. Их можно развернуть, чтобы просмотреть сведения о событиях входа для каждого устройства.
Оповещения
На вкладке Оповещения представлен список оповещений, связанных с учетной записью пользователя. Этот список представляет собой отфильтрованное представление очереди оповещений, где контекст пользователя — выбранная учетная запись пользователя, дата обнаружения последнего действия, краткое описание оповещения, устройство, связанное с оповещением, серьезность оповещения, состояние оповещения в очереди и кому назначено оповещение.
Наблюдается в организации
На вкладке Наблюдаемо в организации можно указать диапазон дат, чтобы просмотреть список устройств, на которых этот пользователь вошел в систему, наиболее частый и наименее частый вход в учетную запись пользователя для каждого из этих устройств, а также общее количество наблюдаемых пользователей на каждом устройстве.
Если выбрать элемент в таблице Наблюдаемо в организации, он будет расширен, что позволяет получить дополнительные сведения об устройстве. При непосредственном выборе ссылки в элементе вы будете отправлены на соответствующую страницу.
Поиск определенных учетных записей пользователей
- Выберите Пользователь в раскрывающемся меню Панель поиска .
- Введите учетную запись пользователя в поле Поиск .
- Щелкните значок поиска или нажмите клавишу ВВОД.
Отобразится список пользователей, соответствующих тексту запроса. Вы можете просмотреть домен и имя учетной записи пользователя, когда учетная запись пользователя была в последний раз видна, а также общее количество устройств, на которые она вошел в систему за последние 30 дней.
Результаты можно отфильтровать по следующим периодам времени:
- 1 день
- за 3 дня;
- 7 дней
- 30 дней
- 6 месяцев
Статьи по теме
- Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
- Управление оповещениями Microsoft Defender для конечной точки
- Изучение оповещений Microsoft Defender для конечной точки
- Изучение файла, связанного с оповещением Defender для конечной точки
- Изучение устройств в списке устройств Defender для конечных точек
- Изучение IP-адреса, связанного с оповещением Defender для конечной точки
- Изучение домена, связанного с оповещением Defender для конечной точки