Изучение учетной записи пользователя в Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Изучение сущностей учетной записи пользователя
Определите учетные записи пользователей с наиболее активными оповещениями (на панели мониторинга отображается как "Пользователи, подверженные риску") и изучите случаи потенциального компрометации учетных данных или сведите сведения о связанной учетной записи пользователя при изучении оповещения или устройства, чтобы определить возможное боковое перемещение между устройствами с этой учетной записью пользователя.
Сведения об учетной записи пользователя можно найти в следующих представлениях:
- Панель мониторинга
- Очередь оповещений
- Страница сведений об устройстве
В этих представлениях доступна ссылка на учетную запись пользователя, в результате которой вы перейдете на страницу сведений об учетной записи пользователя, где отображаются дополнительные сведения об учетной записи пользователя.
При изучении сущности учетной записи пользователя вы увидите следующее:
- Сведения об учетной записи пользователя, Microsoft Defender для удостоверений оповещения и вход на устройствах, роль, тип входа и другие сведения
- Обзор инцидентов и устройств пользователей
- Оповещения, связанные с этим пользователем
- Наблюдается в организации (устройства, на которые выполнен вход)
Сведения о пользователе
В области Сведений о пользователе слева содержатся сведения о пользователе, такие как связанные открытые инциденты, активные оповещения, имя SAM, идентификатор безопасности Microsoft Defender для удостоверений оповещения, количество устройств, на которых пользователь вошел, когда пользователь был впервые и в последний раз виден, роли и типы входа. В зависимости от включенных функций интеграции можно просмотреть другие сведения. Например, если включить интеграцию Skype для бизнеса, вы сможете связаться с пользователем на портале. Раздел Оповещения Azure ATP содержит ссылку на страницу Microsoft Defender для удостоверений, если вы включили функцию Microsoft Defender для удостоверений и есть оповещения, связанные с пользователем. На странице Microsoft Defender для удостоверений содержатся дополнительные сведения об оповещениях.
Примечание.
Чтобы использовать эту функцию, необходимо включить интеграцию как в Microsoft Defender для удостоверений, так и в Defender для конечной точки. В Defender для конечной точки эту функцию можно включить в расширенных функциях. Дополнительные сведения о включении дополнительных функций см. в статье Включение дополнительных функций.
Вкладки Обзор, Оповещения и Наблюдаемое в организации — это разные вкладки, на которых отображаются различные атрибуты учетной записи пользователя.
Примечание.
На устройствах Linux сведения о пользователях, вошедшего в систему, не отображаются.
Обзор
На вкладке Обзор отображаются сведения об инцидентах и список устройств, на которые пользователь выполнил вход. Их можно развернуть, чтобы просмотреть сведения о событиях входа для каждого устройства.
Оповещения
На вкладке Оповещения представлен список оповещений, связанных с учетной записью пользователя. Этот список представляет собой отфильтрованное представление очереди оповещений, где контекст пользователя — выбранная учетная запись пользователя, дата обнаружения последнего действия, краткое описание оповещения, устройство, связанное с оповещением, серьезность оповещения, состояние оповещения в очереди и кому назначено оповещение.
Наблюдается в организации
На вкладке Наблюдаемо в организации можно указать диапазон дат, чтобы просмотреть список устройств, на которых этот пользователь вошел в систему, наиболее частый и наименее частый вход в учетную запись пользователя для каждого из этих устройств, а также общее количество наблюдаемых пользователей на каждом устройстве.
Если выбрать элемент в таблице Наблюдаемо в организации, он будет расширен, что позволяет получить дополнительные сведения об устройстве. При непосредственном выборе ссылки в элементе вы будете отправлены на соответствующую страницу.
Поиск для определенных учетных записей пользователей
- Выберите Пользователь в раскрывающемся меню Поиск панели.
- Введите учетную запись пользователя в поле Поиск.
- Щелкните значок поиска или нажмите клавишу ВВОД.
Отобразится список пользователей, соответствующих тексту запроса. Вы можете просмотреть домен и имя учетной записи пользователя, когда учетная запись пользователя была в последний раз видна, а также общее количество устройств, на которые она вошел в систему за последние 30 дней.
Результаты можно отфильтровать по следующим периодам времени:
- 1 день
- за 3 дня;
- 7 дней
- 30 дней
- 6 месяцев
Связанные статьи
- Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
- Управление оповещениями Microsoft Defender для конечной точки
- Изучение оповещений Microsoft Defender для конечной точки
- Изучение файла, связанного с оповещением Defender для конечной точки
- Изучение устройств в списке устройств Defender для конечных точек
- Изучение IP-адреса, связанного с оповещением Defender для конечной точки
- Изучение домена, связанного с оповещением Defender для конечной точки
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.