مشاركة عبر

صفحة كيان الجهاز في Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

تساعدك صفحة كيان الجهاز في مدخل Microsoft Defender في التحقيق في كيانات الجهاز. تحتوي الصفحة على جميع المعلومات المهمة حول كيان جهاز معين. إذا أشار تنبيه أو حادث إلى أن الجهاز يعمل بشكل مريب أو قد يتعرض للخطر، فتحقق من تفاصيل الجهاز لتحديد السلوكيات أو الأحداث الأخرى التي قد تكون مرتبطة بالتنبيه أو الحادث، واكتشف النطاق المحتمل للخرق. يمكنك أيضا استخدام صفحة كيان الجهاز لتنفيذ بعض مهام الأمان الشائعة، بالإضافة إلى بعض إجراءات الاستجابة للتخفيف من تهديدات الأمان أو معالجتها.

هام

قد تختلف مجموعة المحتوى المعروضة على صفحة كيان الجهاز قليلا، اعتمادا على تسجيل الجهاز في Microsoft Defender لنقطة النهاية وMicrosoft Defender for Identity.

إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فستظهر معلومات إضافية.

في Microsoft Sentinel، تعرف كيانات الجهاز أيضا باسم الكيانات المضيفة . تعرّف على المزيد.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

يمكن العثور على كيانات الجهاز في المجالات التالية:

  • قائمة الأجهزة، ضمن الأصول
  • قائمة انتظار التنبيهات
  • أي تنبيه/حادث فردي
  • أي صفحة كيان مستخدم فردي
  • أي طريقة عرض تفاصيل ملف فردية
  • أي عنوان IP أو طريقة عرض تفاصيل المجال
  • سجل النشاط
  • استعلامات التتبع المتقدمة
  • مركز الصيانة

يمكنك تحديد الأجهزة كلما رأيتها في المدخل لفتح صفحة كيان الجهاز، والتي تعرض المزيد من التفاصيل حول الجهاز. على سبيل المثال، يمكنك مشاهدة تفاصيل الأجهزة المدرجة في تنبيهات حادث في مدخل Microsoft Defender في الحوادث & تنبيهات > أجهزة أصول >حوادث الحوادث>>.

لقطة شاشة لصفحة المستخدمين لحادث في مدخل Microsoft Defender.

تعرض صفحة كيان الجهاز معلوماتها بتنسيق مبوب. توضح هذه المقالة أنواع المعلومات المتوفرة في كل علامة تبويب، وكذلك الإجراءات التي يمكنك اتخاذها على جهاز معين.

يتم عرض علامات التبويب التالية على صفحة كيان الجهاز:

رأس صفحة الكيان

يتضمن القسم العلوي من صفحة الكيان التفاصيل التالية:

  • اسم الكيان
  • مؤشرات خطورة المخاطروالأهميةوقيمة الجهاز
  • العلامات التي يمكن تصنيف الجهاز من خلالها. يمكن إضافتها بواسطة Defender لنقطة النهاية أو Defender for Identity أو من قبل المستخدمين. العلامات من Microsoft Defender for Identity غير قابلة للتحرير.
  • توجد إجراءات الاستجابة أيضا هنا. اقرأ المزيد عنها أدناه.

علامة التبويب "نظرة عامة"

علامة التبويب الافتراضية هي نظرة عامة. يوفر نظرة سريعة على أهم الحقائق الأمنية حول الجهاز. تحتوي علامة التبويب Overview على الشريط الجانبي تفاصيل الجهازولوحة معلومات مع بعض البطاقات التي تعرض معلومات عالية المستوى.

تفاصيل الجهاز

يسرد الشريط الجانبي الاسم الكامل للجهاز ومستوى التعرض له. كما يوفر بعض المعلومات الأساسية الهامة في الأقسام الفرعية الصغيرة، والتي يمكن توسيعها أو طيها، مثل:

قسم المعلومات المضمنة
تفاصيل الجهاز الظاهري أسماء الأجهزة والمجالات ومعرفاتها، وحالة الصحة والإلحاق، والطوابع الزمنية للمشاهدة الأولى والأخيرة، وعناوين IP، والمزيد
تفاصيل مزامنة نهج DLP إذا كان ذلك مناسبا
حالة التكوين التفاصيل المتعلقة بتكوين Microsoft Defender لنقطة النهاية
تفاصيل موارد السحابة النظام الأساسي السحابي ومعرف المورد ومعلومات الاشتراك والمزيد
الأجهزة والبرامج الثابتة معلومات الجهاز الظاهري والمعالج و BIOS والمزيد
إدارة الأجهزة معلومات الإدارة وحالة تسجيل Microsoft Defender لنقطة النهاية
بيانات الدليل علامات UACوSPNs وعضوية المجموعة.

لوحه القياده

يعرض الجزء الرئيسي من علامة التبويب نظرة عامة العديد من بطاقات العرض من نوع لوحة المعلومات:

  • التنبيهات النشطة ومستوى المخاطر التي تتضمن الجهاز على مدى الأشهر الستة الماضية، مجمعة حسب الخطورة
  • التقييمات الأمنية ومستوى التعرض للجهاز
  • تم تسجيل دخول المستخدمين على الجهاز خلال آخر 30 يوما
  • حالة سلامة الجهاز ومعلومات أخرى حول أحدث عمليات الفحص للجهاز.

تلميح

يتعلق مستوى التعرض بمدى امتثال الجهاز لتوصيات الأمان، بينما يتم حساب مستوى المخاطر استنادا إلى عدد من العوامل، بما في ذلك أنواع التنبيهات النشطة وشدتها.

لقطة شاشة لعلامة التبويب نظرة عامة لصفحة كيان الجهاز في مدخل Microsoft Defender.

علامة تبويب الحوادث والتنبيهات

تحتوي علامة التبويب الحوادث والتنبيهات على قائمة بالحوادث التي تحتوي على تنبيهات تم رفعها على الجهاز، من أي من عدد من مصادر الكشف عن Microsoft Defender، بما في ذلك Microsoft Sentinel، إذا تم إلحاقها. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.

يمكنك تخصيص الأعمدة التي يتم عرضها لكل عنصر. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.

يشير عمود الكيانات المتأثرة إلى جميع كيانات الجهاز والمستخدم المشار إليها في الحدث أو التنبيه.

عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.

لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.

لقطة شاشة لعلامة تبويب الحوادث والتنبيهات لصفحة كيان الجهاز في مدخل Microsoft Defender.

علامة تبويب المخطط الزمني

تعرض علامة التبويب اليوميات طريقة عرض زمنية لجميع الأحداث التي تمت ملاحظتها على الجهاز. يمكن أن يساعدك هذا في ربط أي أحداث وملفات وعناوين IP فيما يتعلق بالجهاز.

يمكن تخصيص اختيار الأعمدة المعروضة في القائمة. تسرد الأعمدة الافتراضية وقت الحدث والمستخدم النشط ونوع الإجراء والكيانات المقترنة (العمليات والملفات وعناوين IP) ومعلومات إضافية حول الحدث.

يمكنك التحكم في الفترة الزمنية التي يتم عرض الأحداث لها عن طريق تمرير حدود الفترة الزمنية على طول الرسم البياني للمخطط الزمني الإجمالي في أعلى الصفحة. يمكنك أيضا اختيار فترة زمنية من القائمة المنسدلة في أعلى القائمة (الافتراضي هو 30 يوما). لمزيد من التحكم في طريقة العرض، يمكنك التصفية حسب مجموعات الأحداث أو تخصيص الأعمدة.

يمكنك تصدير ما يصل إلى سبعة أيام من الأحداث إلى ملف CSV، للتنزيل.

انتقل لأسفل إلى تفاصيل الأحداث الفردية عن طريق تحديد الحدث وعرض تفاصيله في لوحة القائمة المنبثقة الناتجة. راجع تفاصيل الحدث أدناه.

ملاحظة

لعرض أحداث جدار الحماية، ستحتاج إلى تمكين نهج التدقيق، راجع اتصال النظام الأساسي لتصفية التدقيق.

يغطي جدار الحماية الأحداث التالية:

  • 5025 - توقفت خدمة جدار الحماية
  • 5031 - تم حظر التطبيق من قبول الاتصالات الواردة على الشبكة
  • 5157 - اتصال محظور

لقطة شاشة لعلامة تبويب اليوميات لصفحة كيان الجهاز في مدخل Microsoft Defender.

تفاصيل الحدث

حدد حدثا لعرض التفاصيل ذات الصلة حول هذا الحدث. تعرض لوحة القائمة المنبثقة لعرض المزيد من المعلومات حول الحدث. تعتمد أنواع المعلومات المعروضة على نوع الحدث. عند الاقتضاء وتتوفر البيانات، قد ترى رسما بيانيا يعرض الكيانات ذات الصلة وعلاقاتها، مثل سلسلة من الملفات أو العمليات. قد ترى أيضا وصفا موجزا لتكتيكات وتقنيات MITRE ATT&CK المطبقة على الحدث.

لمزيد من فحص الحدث والأحداث ذات الصلة، يمكنك تشغيل استعلام تتبع متقدم بسرعة عن طريق تحديد Hunt للأحداث ذات الصلة. يقوم الاستعلام بإرجاع الحدث المحدد وقائمة الأحداث الأخرى التي حدثت في نفس الوقت تقريبا على نفس نقطة النهاية.

لقطة شاشة للوحة تفاصيل الحدث.

علامة تبويب توصيات الأمان

تسرد علامة التبويب توصيات الأمان الإجراءات التي يمكنك اتخاذها لحماية الجهاز. يؤدي تحديد عنصر في هذه القائمة إلى فتح قائمة منبثقة حيث يمكنك الحصول على إرشادات حول كيفية تطبيق التوصية.

كما هو الحال مع علامات التبويب السابقة، يمكن تخصيص اختيار الأعمدة المعروضة.

تتضمن طريقة العرض الافتراضية أعمدة توضح بالتفصيل نقاط الضعف الأمنية التي تمت معالجتها، والتهديد المرتبط، والمكون أو البرامج ذات الصلة المتأثرة بالتهديد، والمزيد. يمكن تصفية العناصر حسب حالة التوصية.

تعرف على المزيد حول توصيات الأمان.

لقطة شاشة لعلامة تبويب توصيات الأمان لصفحة كيان الجهاز.

علامة تبويب قوائم الجرد

تعرض علامة التبويب هذه قوائم جرد لأربعة أنواع من المكونات: البرامج والمكونات المعرضة للخطر وملحقات المستعرض والشهادات.

بيانات البرامج

تسرد هذه البطاقة البرامج المثبتة على الجهاز.

تعرض طريقة العرض الافتراضية مورد البرنامج ورقم الإصدار المثبت وعدد نقاط ضعف البرامج المعروفة ونتائج تحليلات التهديد ورمز المنتج والعلامات. يمكن تخصيص عدد العناصر المعروضة والأعمدة التي يتم عرضها.

يؤدي تحديد عنصر من هذه القائمة إلى فتح قائمة منبثقة تحتوي على مزيد من التفاصيل حول البرنامج المحدد، والمسار والطابع الزمني لآخر مرة تم فيها العثور على البرنامج.

يمكن تصفية هذه القائمة حسب التعليمات البرمجية للمنتج ونقاط الضعف ووجود التهديدات.

لقطة شاشة لعلامة تبويب مخزون البرامج لملف تعريف الجهاز في مدخل Microsoft Defender

المكونات المعرضة للخطر

تسرد هذه البطاقة مكونات البرامج التي تحتوي على نقاط ضعف.

خيارات العرض والتصفية الافتراضية هي نفسها بالنسبة للبرامج.

حدد عنصرا لعرض مزيد من المعلومات في قائمة منبثقة.

ملحقات المستعرض

تعرض هذه البطاقة ملحقات المستعرض المثبتة على الجهاز. الحقول الافتراضية المعروضة هي اسم الملحق، والمستعرض الذي تم تثبيته له، والإصدار، ومخاطر الإذن (استنادا إلى نوع الوصول إلى الأجهزة أو المواقع التي يطلبها الملحق)، والحالة. اختياريا، يمكن أيضا عرض المورد.

حدد عنصرا لعرض مزيد من المعلومات في قائمة منبثقة.

الشهادات

تعرض هذه البطاقة جميع الشهادات المثبتة على الجهاز.

الحقول المعروضة بشكل افتراضي هي اسم الشهادة وتاريخ الإصدار وتاريخ انتهاء الصلاحية وحجم المفتاح والمصدر وخوارزمية التوقيع واستخدام المفتاح وعدد المثيلات.

يمكن تصفية القائمة حسب الحالة والموقعة ذاتيا أم لا وحجم المفتاح وتجزئة التوقيع واستخدام المفتاح.

حدد شهادة لعرض مزيد من المعلومات في قائمة منبثقة.

علامة تبويب الثغرات الأمنية المكتشفة

تسرد علامة التبويب هذه أي نقاط ضعف ومآثر شائعة (CVEs) قد تؤثر على الجهاز.

تسرد طريقة العرض الافتراضية خطورة CVE، ودرجة الثغرات الأمنية الشائعة (CVSS)، والبرامج المتعلقة ب CVE، عند نشر CVE، وعندما تم اكتشاف CVE لأول مرة وتحديثه آخر مرة، والتهديدات المرتبطة ب CVE.

كما هو الحال مع علامات التبويب السابقة، يمكن تخصيص اختيار الأعمدة التي سيتم عرضها. يمكن تصفية القائمة حسب الخطورة وحالة التهديد والتعرض للجهاز والعلامات.

يؤدي تحديد عنصر من هذه القائمة إلى فتح قائمة منبثقة تصف CVE.

لقطة شاشة لعلامة التبويب الثغرات الأمنية المكتشفة لملف تعريف الجهاز في مدخل Microsoft Defender

علامة تبويب KBs مفقودة

تسرد علامة التبويب KBs المفقودة أي تحديثات Microsoft لم يتم تطبيقها على الجهاز بعد. "KBs" المعنية هي مقالات قاعدة المعارف، والتي تصف هذه التحديثات؛ على سبيل المثال، KB4551762.

تسرد طريقة العرض الافتراضية النشرة التي تحتوي على التحديثات وإصدار نظام التشغيل ورقم معرف KB والمنتجات المتأثرة و CVEs التي تمت معالجتها والعلامات.

يمكن تخصيص اختيار الأعمدة التي سيتم عرضها.

يؤدي تحديد عنصر إلى فتح قائمة منبثقة ترتبط بتحديث .

علامة تبويب أحداث Sentinel

إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان الجهاز. تستورد علامة التبويب هذه صفحة كيان المضيف من Microsoft Sentinel.

المخطط الزمني ل Sentinel

يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان الجهاز، والمعروفة في Microsoft Sentinel ككيان مضيف . تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.

يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان المستخدم هذا، وأحداث نشاط المستخدم من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد الشذوذ في Microsoft Sentinel.

البصائر

رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان جهازك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى البيانات المتعلقة بتسجيل الدخول وإضافات المجموعة وعمليات تنفيذ العمليات والأحداث الشاذة والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.

فيما يلي بعض الرؤى المعروضة:

  • لقطة شاشة مأخوذة على المضيف.
  • تم الكشف عن العمليات التي لم يتم توقيعها بواسطة Microsoft.
  • معلومات تنفيذ عملية Windows.
  • نشاط تسجيل الدخول إلى Windows.
  • الإجراءات على الحسابات.
  • تم مسح سجلات الأحداث على المضيف.
  • إضافات المجموعة.
  • تعداد المضيفين والمستخدمين والمجموعات على المضيف.
  • التحكم في تطبيق Microsoft Defender.
  • معالجة الندرة عبر حساب entropy.
  • عدد كبير بشكل غير مألوف لحدث أمان.
  • نتائج تحليلات قائمة المشاهدة (معاينة).
  • أحداث برنامج الحماية من الفيروسات ل Windows Defender.

تستند الرؤى إلى مصادر البيانات التالية:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (معرف Microsoft Entra)
  • SigninLogs (معرف Microsoft Entra)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

لقطة شاشة لعلامة تبويب أحداث Sentinel في صفحة كيان المستخدم.

إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.

لقطة شاشة لشاشة التتبع المتقدم مع استعلام نتيجة التحليلات.

إجراءات الاستجابة

توفر إجراءات الاستجابة اختصارات لتحليل التهديدات والتحقيق فيها والدفاع عنها.

لقطة شاشة لشريط الإجراءات لصفحة كيان الجهاز في مدخل Microsoft Defender.

هام

  • لا تتوفر إجراءات الاستجابة إلا إذا كان الجهاز مسجلا في Microsoft Defender لنقطة النهاية.
  • قد تعرض الأجهزة المسجلة في Microsoft Defender لنقطة النهاية أعدادا مختلفة من إجراءات الاستجابة، استنادا إلى نظام التشغيل ورقم الإصدار الخاص بالجهاز.

تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة جهاز معين وتتضمن:

فعل الوصف
قيمة الجهاز
تعيين الأهمية
إدارة العلامات تحديث العلامات المخصصة التي قمت بتطبيقها على هذا الجهاز.
الإبلاغ عن عدم دقة الجهاز
تشغيل فحص مكافحة الفيروسات تحديث تعريفات برنامج الحماية من الفيروسات من Microsoft Defender وتشغيل فحص مكافحة الفيروسات على الفور. اختر بين الفحص السريع أو الفحص الكامل.
جمع حزمة التحقيق جمع معلومات حول الجهاز. عند اكتمال التحقيق، يمكنك تنزيله.
تقييد تنفيذ التطبيق يمنع التطبيقات التي لم يتم توقيعها من قبل Microsoft من التشغيل.
بدء التحقيق التلقائي التحقيق في التهديدات ومعالجتها تلقائيا. على الرغم من أنه يمكنك تشغيل التحقيقات التلقائية يدويا من هذه الصفحة، إلا أن بعض نهج التنبيه تؤدي إلى إجراء تحقيقات تلقائية من تلقاء نفسها.
بدء جلسة استجابة مباشرة تحميل shell عن بعد على الجهاز لإجراء تحقيقات أمنية متعمقة.
عزل الجهاز عزل الجهاز عن شبكة مؤسستك مع الحفاظ على اتصاله ب Microsoft Defender. يمكنك اختيار السماح بتشغيل Outlook وTeams Skype للأعمال أثناء عزل الجهاز لأغراض الاتصال.
اسأل خبراء Defender
مركز الصيانة يعرض معلومات حول أي إجراءات استجابة قيد التشغيل حاليا. متوفر فقط إذا تم تحديد إجراء آخر بالفعل.
تنزيل فرض الإصدار من البرنامج النصي للعزل
استبعاد
Go hunt
تشغيل وضع استكشاف الأخطاء وإصلاحها
مزامنة النهج

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.