Gilt für: ThreatSync+ SaaS
Die Seite Benutzer in der ThreatSync+ Verwaltungsoberfläche zeigt Details über Benutzeraktivität und Bedrohungserkennung in Microsoft 365. Sie können die Informationen auf dieser Seite nutzen, um detaillierte Informationen über ungewöhnliche Microsoft 365-Benutzeraktivität oder Anmeldeverlauf anzuzeigen und Sie können Aktivier- und Deaktivier-Aktionen für spezifische Benutzer durchführen.
Auf der Seite Benutzer können Sie sehen, welche Benutzer in Ihrer Organisation die höchsten Bedrohungsbewertungen haben, die potenzielle Risiken auf Basis der von ThreatSync+ SaaS erkannten Aktivität darstellen.
Diese Seite ist nur mit einer ThreatSync+ SaaS-Lizenz verfügbar. Weitere Informationen finden Sie unter Über ThreatSync+ SaaS-Lizenzen.
So öffnen Sie die Seite Benutzer in der ThreatSync+ Verwaltungsoberfläche:
- Wählen Sie Überwachen > ThreatSync+ > Benutzer.
Die Seite Benutzer wird geöffnet und zeigt eine Liste der Benutzer in der Tabelle.
Seite Benutzerdetails
Um Details über spezifische Benutzeraktivitäten anzuzeigen, klicken Sie auf einen Benutzer, um die Seite Benutzerdetails zu öffnen.
Wenn es keine Regel-Warnmeldungen für den ausgewählten Zeitraum gibt, stehen keine Benutzerdetails zur Verfügung.
Die Seite Benutzerdetails zeigt Informationen über Anmeldeverlauf, Benutzerverlauf und Problembehebungsstatus des ausgewählten Benutzers. Diese Informationen beinhalten die mit dem Microsoft 365-Benutzer verknüpfte Benutzer-ID und die aktuelle Bedrohungsbewertung des Benutzers. Die Benutzerbedrohungsbewertung zeigt, wie stark Sie der Gefahr von Cyberangriffen über Microsoft 365 ausgesetzt sind.
Aktionen für Benutzer durchführen
ThreatSync+ SaaS für Microsoft 365 umfasst sowohl manuelle als auch automatische Problembehebungsaktionen.
Bevor Sie beginnen
Bevor Sie Problembehebungsaktionen durchführen können, müssen Sie die Problembehebung in Ihrer Microsoft 365 SaaS-Integration aktivieren. Sie können die Problembehebung für eine bestehende Microsoft 365 SaaS-Integration aktivieren oder Problembehebung aktivieren, wenn Sie eine neue SaaS-Integration hinzufügen.
So aktivieren Sie die Benutzerproblembehebung für eine bestehende SaaS-Integration:
- Wählen Sie Konfigurieren > ThreatSync+ Integrationen > SaaS-Integration.
Die Seite SaaS-Integrationen wird geöffnet. - Klicken Sie auf den Namen der SaaS-Integration, die Sie bearbeiten wollen.
Die Seite SaaS-Integrationen bearbeiten wird geöffnet. - Um die Möglichkeit zum Deaktivieren bzw. Aktivieren von Microsoft 365-Benutzern zu aktivieren, wählen Sie Problembehebung aktivieren.
Wenn Sie die Problembehebung für eine bestehende SaaS-Integration mit Microsoft 365 aktivieren oder deaktivieren, müssen Sie die Integration neu aktivieren und die Einwilligung für die Integration erneut erteilen.
- Klicken Sie auf Speichern.
Um die Problembehebung für eine neue SaaS-Integration zu aktivieren, gehen Sie zu SaaS-Integrationen erstellen.
Manuelle oder automatische Aktionen für Benutzer durchführen
Auf der Seite Benutzer können Sie die folgenden manuellen Aktionen durchführen:
- Benutzer aktivieren/Benutzer deaktivieren — Aktiviert bzw. deaktiviert einen Benutzer in Microsoft 365. Wenn Sie diese Aktion auswählen, wird der Benutzer in Microsoft 365 aktiviert bzw. deaktiviert. Wenn Sie einen Microsoft 365-Benutzer deaktivieren, kann er sich nicht länger mit seinem Microsoft 365-Konto anmelden.
Um eine automatische Problembehebung mittels ThreatSync+ SaaS-Regeln durchzuführen, gehen Sie zu Benutzerdefinierte ThreatSync+ Regeln hinzufügen — ThreatSync+ SaaS.
Um den Benutzerproblembehebungsverlauf eines Benutzers anzuzeigen, gehen Sie zu ThreatSync+ Auditprotokolle.
Anmeldeverlauf
Der Abschnitt Anmeldeverlauf zeigt die folgenden Details:
- Anmeldezeit — Zeit und Datum des Benutzer-Logins.
- Quelle — Die Anwendung, bei der sich der Benutzer angemeldet hat. Beispielsweise Microsoft 365.
- Von IP — Die Quell-IP-Adresse der Benutzeraktivität.
- Letzter bekannter Standort — Stadt, Bundesland oder Provinz und Land des letzten bekannten Standortes des Benutzers.
Benutzerverlauf
Der Abschnitt Benutzerverlauf zeigt die folgenden Details:
- Datum — Zeit und Datum eine spezifischen Aktion.
- Aktion — Die mit einem spezifischen Benutzer verknüpfte Aktion. Zu den Aktionen gehören:
- Aktualisierung Bedrohungsbewertung — Die Bedrohungsbewertung wird nach einer neuen Benutzeraktivität aktualisiert.
- Initialisierung Bedrohungsbewertung — Die erste erfasste Bedrohungsbewertung des Benutzers.
- Aktiviert — Ein Benutzer kann sich bei Microsoft 365 anmelden und eine Verbindung zu Microsoft 365-Diensten herstellen.
- Deaktiviert — Ein Benutzer kann sich nicht bei Microsoft 365 anmelden und kann keine Verbindung zu Microsoft 365-Diensten herstellen.
- Quelle — Die mit der Benutzeraktion in Verbindung stehende Anwendung. Beispielsweise Microsoft 365.
- Letzter bekannter Standort — Stadt, Bundesland oder Provinz und Land des letzten bekannten Standortes des Benutzers.
- Zugriffs-IP — Die Quell-IP-Adresse des Benutzers für ein spezifisches Datum und eine spezifische Uhrzeit.
- Bedrohungsbewertung — Die mit dem Benutzer zum Zeitpunkt der Aktivität verknüpfte Bedrohungsbewertung. Die Tabelle Benutzerverlauf zeigt, wie sich die Bedrohungsbewertung im Zeitverlauf auf Basis der Benutzeraktivität ändert. Die aktuelle Benutzerbedrohungsbewertung wird oben auf der Seite Benutzerdetails angezeigt und trägt zur allgemeinen Netzwerkbedrohungsbewertung bei. Weitere Informationen finden Sie unter Netzwerkbedrohungsbewertung.
Um weitere Benutzerseiten wie mit einer Benutzeraktion verknüpfte Regel-Warnmeldungen, Smart Alerts, Zonen und Geräteaktivitäten, anzuzeigen, klicken Sie auf die Zugriff-IP-Adresse.
Sie müssen über eine ThreatSync+ NDR-Lizenz verfügen, um die Benutzerdetails der Zugriff-IP-Adresse anzuzeigen. Weitere Informationen finden Sie unter Über ThreatSync+ NDR-Lizenzen.
Die Widgets Benutzer insgesamt und Benutzeraktivität auf der Seite Zusammenfassung zeigen ebenfalls weitere Benutzerinformationen. Weitere Informationen finden Sie unter Über die ThreatSync+ Zusammenfassungsseite.