监控设备上的用户

Kaspersky Anti Targeted Attack Platform 可以监控应用程序已知的设备上的用户账户。在监控用户时，应用程序会自动获取有关在设备操作系统中注册的用户账户的信息。根据这些信息，应用程序生成用户表。

当获取有关用户账户的信息时，应用程序会使用此信息监控设备上的所有用户账户，但某些本地系统用户除外，这些用户只有操作系统服务可以使用。例如，应用程序不监控 Windows 设备上的 LocalSystem 和 NetworkService 账户。

要使用用户监控功能，必须启用资产管理方法来检测设备活动和设备信息。必须在所有具有从其接收信息的应用程序组件的服务器上启用这些方法。

用户监控基于从以下类型的来源收到的信息：

1. 遥测 (Endpoint Agent)

   当Endpoint Agent 组件与 NDR 功能集成时，将收到有关设备及其在这些设备上运行的进程的信息。

2. 外部源

   信息接收自使用 Kaspersky Anti Targeted Attack Platform API NDR 并向 Kaspersky Anti Targeted Attack Platform 发送有关用户的信息的系统。

来源按来自这些来源的信息的优先级从高到低的顺序列出。应用程序根据收到的信息的优先级来处理有关用户的信息。来自较高优先级来源的用户信息可能会覆盖来自其他来源的信息。如果关于此类用户的信息是从“外部来源”获得的，但是从这些来源收到的新信息中缺少用户，则应用程序还会自动从表中删除用户。

您可以在“资产”部分的“用户”选项卡上查看有关用户的信息。

查看用户表时，您可以配置、过滤、搜索和排序用户，以及导航到相关项目。所有用户表最多可包含 200,000 个用户。

应用程序在表格中以及选定用户的详细信息区域中显示有关设备用户的以下信息：

• 用户 ID 是 Kaspersky Anti Targeted Attack Platform 中分配的用户 ID。
• 用户名是不含设备域名或主机名的用户账户名称。
• 全名是包含设备域名或主机名的用户账户名称。
• 组列出了用户所属的用户组的名称。
• 设备是设备的名称和地址。
• 来源是有关用户的信息来源。
• SID 是用户的安全 ID。
• 账户状态是与收到的启用或禁用账户的值对应的状态。
• 锁定是与收到的账户阻止设置的值对应的状态。
• 下次登录时更改密码是一个反映用户是否必须在下次登录时更改密码的属性。
• 阻止用户更改密码是反映是否禁止用户更改用户自己的密码的属性。
• 密码有效期是与收到的启用或禁用用户密码有效期限制的设置的值对应的状态。
• 收到的数据是上次收到有关用户账户的信息的日期和时间。
• 描述是为用户账户指定的描述。

在监控用户时，应用程序使用资产管理技术注册事件。事件注册的系统事件类型代码为 4000005600。当设备上自动添加、修改或删除用户账户时，会记录事件。

您可以编辑事件类型的可用设置。

页面顶部