調查使用者帳號實體
識別顯示在儀表板上 (「風險使用者」的警示最活躍的使用者帳號 ) 並調查潛在的憑證被盜案例,或在調查警示或裝置時,聚焦於該使用者帳號,以辨識該使用者帳號間可能的橫向移動。
您可以在以下檢視中找到使用者帳號資訊:
- 儀表板
- 警報佇列
- 裝置詳情頁面
這些檢視中有一個可點擊的使用者帳號連結,會帶你進入使用者帳號詳情頁面,裡面會顯示更多關於該用戶帳號的詳細資訊。
當你調查一個使用者帳號實體時,你會看到:
- 使用者帳號詳細資料、適用於身分識別的 Microsoft Defender 警示,以及登入裝置、角色、登入類型及其他細節
- 事件概述及使用者裝置
- 與此使用者相關的警示
- 在組織中觀察到 (裝置登入)
使用者資料
左側的使用者詳細資料欄格提供使用者資訊,例如相關的未解決事件、活躍警報、SAM 名稱、SID、適用於身分識別的 Microsoft Defender 警示、使用者登入的裝置數量、使用者首次與最後被看到的時間、角色及登入類型。 根據你啟用的整合功能,你可以看到其他細節。 例如,如果你啟用 Skype for Business 的整合,就能從入口網站聯絡使用者。 Azure ATP 警示區塊包含一個連結,如果你啟用了 適用於身分識別的 Microsoft Defender 功能,會帶你進入 適用於身分識別的 Microsoft Defender 頁面,並且有與使用者相關的警示。 適用於身分識別的 Microsoft Defender 頁面提供了更多關於這些警示的資訊。
注意事項
你需要在 適用於身分識別的 Microsoft Defender 和 Defender for Endpoint 上啟用此整合,才能使用此功能。 在 Defender for Endpoint 中,你可以在進階功能中啟用此功能。 欲了解更多如何啟用進階功能,請參見 「開啟進階功能」。
組織中的「概覽」、「警示」和「觀察」是不同的分頁,會顯示使用者帳號的各種屬性。
注意事項
對於 Linux 裝置,登入使用者的資訊不會顯示。
注意事項
適用於企業的 Microsoft Defender預設不包含適用於身分識別的 Microsoft Defender (MDI) 。 在基於中小企業的環境中,登入用戶資料若未安裝 MDI 感測器,將無法取得。 為確保登入事件的可視性,客戶必須部署 MDI 感測器。
概觀
概覽標籤會顯示事件細節以及使用者已登入的裝置清單。 你可以展開這些資料,查看每個裝置的登入事件細節。
警示
警示標籤提供與使用者帳號相關的警示清單。 此清單是警 示佇列的篩選檢視,顯示使用者情境為所選使用者帳號、最後一次偵測活動的日期、警示簡短描述、與警示相關聯的裝置、警示嚴重程度、警示在佇列中的狀態,以及警示的分配者。
組織中觀察到
組織 中的觀察 標籤允許你指定日期範圍,以查看該使用者被觀察登入的裝置清單、每個裝置最常登入與最少登入的使用者帳號,以及每台裝置上被觀察到的總用戶數。
在組織中觀察到的表格中選取項目,會展開該項目,顯示更多關於該裝置的細節。 直接選擇商品內的連結會帶你到對應的頁面。
搜尋特定的使用者帳號
- 從搜尋欄下拉選單選擇使用者。
- 在 搜尋 欄位輸入使用者帳號。
- 點擊搜尋圖示或按下 Enter。
會顯示與查詢文字相符的使用者清單。 你可以看到使用者帳號的網域和名稱、該帳號最後出現的時間,以及過去 30 天內被觀察到登入的裝置總數。
您可以依下列時間段篩選結果:
- 1 天
- 三天
- 7 天
- 30 天
- 6 個月