監控裝置上的使用者

Kaspersky Anti Targeted Attack Platform 可以監控應用程式已知的裝置上的使用者帳戶。在監控使用者時，應用程式會自動取得有關在裝置作業系統中註冊的使用者帳戶的資訊。根據這些資訊，應用程式產生使用者表。

當取得有關使用者帳戶的資訊時，應用程式會使用此資訊監控裝置上的所有使用者帳戶，但某些本機系統使用者除外，這些使用者只有作業系統服務可以使用。例如，應用程式不會監控 Windows 裝置上的 LocalSystem 和 NetworkService 帳戶。

若要使用使用者監控功能，必須啟用資產管理方法來偵測裝置活動和裝置資訊。必須在所有具有從其接收資訊的應用程式元件的伺服器上啟用這些方法。

使用者監控基於從以下類型的來源收到的資訊：

1. 遙測 (Endpoint Agent)

   當Endpoint Agent 元件與 NDR 功能整合時，將收到有關裝置及其在這些裝置上執行的處理程序的資訊。

2. 外部來源

   資訊接收自使用 Kaspersky Anti Targeted Attack Platform API NDR並向 Kaspersky Anti Targeted Attack Platform 傳送有關使用者的資訊的系統。

來源按來自這些來源的資訊的優先順序從高到低的順序列出。應用程式根據收到的資訊的優先順序來處理有關使用者的資訊。來自較高優先來源的使用者資訊可能會覆蓋來自其他來源的資訊。如果關於此類使用者的資訊是從“外部來源”獲得的，但是從這些來源收到的新資訊中缺少使用者，則應用程式也會自動從表中刪除使用者。

您可以在“資產”部分的“使用者”標籤上檢視有關使用者的資訊。

檢視使用者表時，您可以設定、篩選、搜尋和排序使用者，以及導覽至相關項目。所有使用者表最多可包含 200000 個使用者。

應用程式在表格中以及選定使用者的詳細資料區域中顯示有關裝置使用者的以下資訊：

• 使用者 ID 是 Kaspersky Anti Targeted Attack Platform 中指派的使用者 ID。
• 使用者名稱是不含裝置網域名稱或主機名稱的使用者帳戶名稱。
• 完整名稱是包含裝置網域名稱或主機名稱的使用者帳戶名稱。
• 群組列出了使用者所屬的使用者群組的名稱。
• 裝置是裝置的名稱和位址。
• 來源是有關使用者資訊的來源。
• SID是使用者的安全ID。
• 帳戶狀態是與收到的啟用或停用帳戶的值對應的狀態。
• 鎖定是與收到的帳戶阻止設定的值對應的狀態。
• 下次登入時變更密碼是反映使用者是否必須在下次登入時變更密碼的屬性。
• 阻止使用者變更密碼是反映是否禁止使用者變更使用者自己的密碼的屬性。
• 密碼有效期限是與收到的啟用或停用使用者密碼有效期限限制的設定的值對應的狀態。
• 收到的資料是上次收到有關使用者帳戶的資訊的日期和時間。
• 描述是為使用者帳戶指定的描述。

在監控使用者時，應用程式使用資產管理技術註冊事件。事件註冊的系統事件類型代碼為4000005600。當裝置上自動新增、修改或刪除使用者帳戶時，會記錄事件。

您可以編輯事件類型的可用設定。

頁面頂部