مشاركة عبر

صفحة كيان المستخدم في Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

تساعدك صفحة كيان المستخدم في مدخل Microsoft Defender في التحقيق في كيانات المستخدم. تحتوي الصفحة على جميع المعلومات المهمة حول كيان مستخدم معين. إذا أشار تنبيه أو حدث إلى احتمال تعرض المستخدم للخطر أو أنه مريب، فتحقق من كيان المستخدم وتحقق من ذلك.

يمكنك العثور على معلومات كيان المستخدم في طرق العرض التالية:

  • صفحة الهويات، ضمن الأصول
  • قائمة انتظار التنبيهات
  • أي تنبيه/حادث فردي
  • صفحة الأجهزة
  • أي صفحة كيان جهاز فردية
  • سجل النشاط
  • استعلامات التتبع المتقدمة
  • مركز الصيانة

أينما تظهر كيانات المستخدم في طرق العرض هذه، حدد الكيان لعرض صفحة المستخدم ، والتي تعرض المزيد من التفاصيل حول المستخدم. على سبيل المثال، يمكنك مشاهدة تفاصيل حسابات المستخدمين المحددة في تنبيهات حادث في مدخل Microsoft Defender في الحوادث & تنبيهات > حوادث>> الأصول المستخدمون>.

لقطة شاشة لصفحة المستخدمين لحادث في مدخل Microsoft Defender.

عند التحقق من كيان مستخدم معين، سترى علامات التبويب التالية في صفحة الكيان الخاصة به:

تعرض صفحة المستخدم مؤسسة Microsoft Entra بالإضافة إلى المجموعات، مما يساعدك على فهم المجموعات والأذونات المقترنة بالمستخدم.

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

نظرة عامة

تفاصيل الكيان

توفر لوحة تفاصيل الكيان على الجانب الأيسر من الصفحة معلومات حول المستخدم، مثل مستوى مخاطر هوية Microsoft Entra، وعدد الأجهزة التي قام المستخدم بتسجيل الدخول إليها، وعندما شوهد المستخدم لأول مرة وآخر مرة، حسابات المستخدم والمجموعات التي ينتمي إليها المستخدم ومعلومات الاتصال والمزيد. ترى تفاصيل أخرى اعتمادا على ميزات التكامل التي قمت بتمكينها.

عرض مرئي للحوادث والتنبيهات

تتضمن هذه البطاقة جميع الحوادث والتنبيهات المرتبطة بوحدة المستخدم، مجمعة حسب الخطورة.

أولوية التحقيق

تتضمن هذه البطاقة تصنيف درجة أولوية التحقيق المحسوبة لكيان المستخدم، واتجاه لمدة أسبوعين لتلك النتيجة، بما في ذلك النسبة المئوية للنقاط فيما يتعلق بالمستأجر.

عناصر تحكم حساب Active Directory

تعرض هذه البطاقة إعدادات أمان Microsoft Defender for Identity التي قد تحتاج إلى انتباهك. يمكنك مشاهدة علامات مهمة حول إعدادات حساب المستخدم، مثل ما إذا كان يمكن للمستخدم الضغط على Enter لتجاوز كلمة المرور، وإذا كان لدى المستخدم كلمة مرور لا تنتهي صلاحيتها أبدا، وما إلى ذلك.

لمزيد من المعلومات، راجع علامات التحكم في حساب المستخدم.

الأنشطة المسجلة

تتضمن هذه البطاقة جميع الأنشطة والتنبيهات المساهمة في درجة أولوية التحقيق للكيان على مدار الأيام السبعة الماضية.

شجرة المؤسسة

يعرض هذا القسم مكان كيان المستخدم في التسلسل الهرمي التنظيمي كما تم الإبلاغ عنه بواسطة Microsoft Defender for Identity.

علامات الحساب

يسحب Microsoft Defender for Identity العلامات من Active Directory لمنحك واجهة واحدة لمراقبة مستخدمي Active Directory وكياناته. توفر لك العلامات تفاصيل من Active Directory حول الكيان، وتتضمن:

الاسم الوصف
الجديد يشير إلى أن الكيان تم إنشاؤه قبل أقل من 30 يوما.
حذف يشير إلى أنه تم حذف الكيان نهائيا من Active Directory.
ذوي الاحتياجات الخاصه يشير إلى أن الكيان معطل حاليا في Active Directory. السمة المعطلة هي علامة Active Directory متوفرة لحسابات المستخدمين وحسابات الكمبيوتر والكائنات الأخرى للإشارة إلى أن الكائن غير مستخدم حاليا.

عند تعطيل كائن، لا يمكن استخدامه لتسجيل الدخول أو تنفيذ الإجراءات في المجال.
تمكين يشير إلى أن الكيان ممكن حاليا في Active Directory، مما يشير إلى أن الكيان قيد الاستخدام حاليا، ويمكن استخدامه لتسجيل الدخول أو تنفيذ الإجراءات في المجال.
انتهت يشير إلى انتهاء صلاحية الكيان في Active Directory. عند انتهاء صلاحية حساب مستخدم، لن يتمكن المستخدم من تسجيل الدخول إلى المجال أو الوصول إلى أي موارد شبكة. يتم التعامل مع الحساب منتهية الصلاحية بشكل أساسي كما لو كان معطلا، ولكن مع تعيين تاريخ انتهاء صلاحية صريح.

قد تتأثر أيضا أي خدمات أو تطبيقات تم تفويض المستخدم بالوصول إليها، اعتمادا على كيفية تكوينها.
الرمز المميز للعسل يشير إلى أن الكيان يتم وضع علامة عليه يدويا كرمز مميز للعسل.
تامين يشير إلى أن الكيان قدم كلمة مرور خاطئة عدة مرات، وهو الآن مؤمن.
الجزئي يشير إلى أن المستخدم أو الجهاز أو المجموعة غير متزامنة مع المجال، ويتم حلها جزئيا عبر كتالوج عمومي. في هذه الحالة، لا تتوفر بعض السمات.
المعلقه يشير إلى أن الجهاز لا يحل إلى هوية صالحة في غابة Active Directory. لا تتوفر معلومات الدليل.
الحساسه يشير إلى أن الكيان يعتبر حساسا.

لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.

ملاحظة

يتوفر قسم شجرة المؤسسة وعلامات الحساب عند توفر ترخيص Microsoft Defender for Identity.

لقطة شاشة لصفحة مستخدم معين في مدخل Microsoft Defender

الحوادث والتنبيهات

يمكنك مشاهدة جميع الحوادث والتنبيهات النشطة التي تتضمن المستخدم من الأشهر الستة الماضية في علامة التبويب هذه. يتم عرض جميع المعلومات من قوائم انتظار الحوادث والتنبيهات الرئيسية هنا. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.

يمكنك تخصيص عدد العناصر المعروضة والأعمدة التي يتم عرضها لكل عنصر. السلوك الافتراضي هو سرد 30 عنصرا لكل صفحة. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.

يشير عمود الكيانات المتأثرة إلى جميع كيانات الجهاز والمستخدم المشار إليها في الحدث أو التنبيه.

عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.

لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.

لقطة شاشة للتنبيهات ذات الصلة بحساب المستخدم التي تظهر في علامة التبويب Alerts في مدخل Microsoft Defender

تمت ملاحظته في المؤسسة

  • الأجهزة: يعرض هذا القسم جميع الأجهزة التي سجل كيان المستخدم الدخول إليها في 180 يوما السابقة، مما يشير إلى الأكثر استخداما وأقلها استخداما.

  • المواقع: يعرض هذا القسم جميع المواقع التي تمت ملاحظتها لكيان المستخدم في آخر 30 يوما.

  • المجموعات: يعرض هذا القسم جميع المجموعات المحلية التي تمت ملاحظتها لكيان المستخدم، كما تم الإبلاغ عنه بواسطة Microsoft Defender for Identity.

  • مسارات الحركة الجانبية: يعرض هذا القسم جميع مسارات الحركة الجانبية التي تم تعريفها من البيئة المحلية، كما تم اكتشافها بواسطة Defender for Identity.

ملاحظة

تتوفر المجموعات ومسارات الحركة الجانبية عند توفر ترخيص Microsoft Defender for Identity.

يتيح لك تحديد علامة التبويب الحركات الجانبية عرض خريطة ديناميكية تماما وقابلة للنقر حيث يمكنك رؤية مسارات الحركة الجانبية من وإلى المستخدم. يمكن للمهاجم استخدام معلومات المسار للتسلل إلى شبكتك.

توفر الخريطة قائمة بالأجهزة الأخرى أو المستخدمين الذين يمكن للمهاجم الاستفادة من اختراق حساب حساس. إذا كان لدى المستخدم حساب حساس، يمكنك معرفة عدد الموارد والحسابات المتصلة مباشرة.

يتوفر دائما تقرير مسار الحركة الجانبية، الذي يمكن عرضه حسب التاريخ، لتوفير معلومات حول مسارات الحركة الجانبية المحتملة المكتشفة ويمكن تخصيصها حسب الوقت. حدد تاريخا مختلفا باستخدام عرض تاريخ مختلف لعرض مسارات الحركة الجانبية السابقة التي تم العثور عليها لكيان. يعرض الرسم البياني فقط إذا تم العثور على مسار حركة جانبية محتملة لكيان في اليومين الماضيين.

لقطة شاشة لطريقة عرض تمت ملاحظتها في المؤسسة تعرض مسارات الجهاز والمجموعة والموقع والحركة الجانبية لمستخدم في مدخل Microsoft Defender

المخطط الزمني

يعرض المخطط الزمني أنشطة المستخدم والتنبيهات التي تمت ملاحظتها من هوية المستخدم في آخر 30 يوما. فهو يوحد إدخالات هوية المستخدم عبر Microsoft Defender for Identity وMicrosoft Defender for Cloud Apps وأحمال عمل Microsoft Defender لنقطة النهاية. باستخدام المخطط الزمني، يمكنك التركيز على الأنشطة التي قام بها المستخدم أو تم تنفيذها عليه في إطارات زمنية محددة.

لمستخدمي النظام الأساسي الموحد SOC لمشاهدة التنبيهات من Microsoft Sentinel استنادا إلى مصادر البيانات بخلاف تلك الموجودة في الفقرة السابقة، يمكنهم العثور على هذه التنبيهات والمعلومات الأخرى في علامة التبويب أحداث Sentinel ، الموضحة أدناه.

  • منتقي النطاق الزمني المخصص: يمكنك اختيار إطار زمني لتركيز تحقيقك على آخر 24 ساعة، وآخر 3 أيام وما إلى ذلك. أو يمكنك اختيار إطار زمني محدد بالنقر فوق نطاق مخصص. على سبيل المثال:

    لقطة شاشة توضح كيفية اختيار الإطار الزمني.

  • عوامل تصفية المخطط الزمني: لتحسين تجربة التحقيق، يمكنك استخدام عوامل تصفية المخطط الزمني: النوع (التنبيهات و/أو الأنشطة ذات الصلة بالمستخدم)، وخطورة التنبيه، ونوع النشاط، والتطبيق، والموقع، والبروتوكول. يعتمد كل عامل تصفية على عوامل التصفية الأخرى، وتحتوي الخيارات الموجودة في كل عامل تصفية (القائمة المنسدلة) فقط على البيانات ذات الصلة بالمستخدم المحدد.

  • زر التصدير: يمكنك تصدير المخطط الزمني إلى ملف CSV. يقتصر التصدير على أول 5000 سجل ويحتوي على البيانات كما هو معروض في واجهة المستخدم (نفس عوامل التصفية والأعمدة).

  • الأعمدة المخصصة: يمكنك اختيار الأعمدة التي تريد عرضها في المخطط الزمني عن طريق تحديد الزر تخصيص الأعمدة . على سبيل المثال:

    لقطة شاشة تعرض صورة المستخدم.

ما هي أنواع البيانات المتوفرة؟

تتوفر أنواع البيانات التالية في المخطط الزمني:

  • تنبيهات المستخدم المتأثرة
  • أنشطة Active Directory وMicrosoft Entra
  • أحداث تطبيقات السحابة
  • أحداث تسجيل دخول الجهاز
  • تغييرات خدمات الدليل

ما هي المعلومات المعروضة؟

يتم عرض المعلومات التالية في المخطط الزمني:

  • تاريخ النشاط ووقته
  • وصف النشاط/التنبيه
  • التطبيق الذي قام بتنفيذ النشاط
  • الجهاز المصدر/عنوان IP
  • MITRE ATT&تقنيات CK
  • خطورة التنبيه وحالته
  • البلد/المنطقة التي يتم فيها تحديد موقع عنوان IP للعميل جغرافيا
  • البروتوكول المستخدم أثناء الاتصال
  • الجهاز الهدف (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)
  • عدد المرات التي حدث فيها النشاط (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)

على سبيل المثال:

لقطة شاشة لعلامة تبويب اليوميات.

ملاحظة

يمكن ل Microsoft Defender XDR عرض معلومات التاريخ والوقت باستخدام المنطقة الزمنية المحلية أو UTC. سيتم تطبيق المنطقة الزمنية المحددة على جميع معلومات التاريخ والوقت المعروضة في المخطط الزمني للهوية.

لتعيين المنطقة الزمنية لهذه الميزات، انتقل إلىالمنطقة الزمنيةلمركز> أمان الإعدادات>.

أحداث Sentinel

إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان المستخدم. تستورد علامة التبويب هذه صفحة كيان الحساب من Microsoft Sentinel.

المخطط الزمني ل Sentinel

يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان المستخدم. تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.

يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان المستخدم هذا، وأحداث نشاط المستخدم من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد الشذوذ في Microsoft Sentinel.

رؤي

رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان المستخدم الخاص بك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى بيانات تتعلق بتسجيل الدخول وإضافات المجموعة والأحداث الشاذة والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.

فيما يلي بعض الرؤى المعروضة:

  • نظراء المستخدم استنادا إلى عضوية مجموعات الأمان.
  • الإجراءات حسب الحساب.
  • الإجراءات على الحساب.
  • سجلات الأحداث التي تم مسحها بواسطة المستخدم.
  • إضافات المجموعة.
  • عدد عمليات المكاتب المرتفعة بشكل غير مألوف.
  • الوصول إلى الموارد.
  • عدد نتائج تسجيل الدخول إلى Azure مرتفع بشكل غير مألوف.
  • نتائج تحليلات UEBA.
  • أذونات وصول المستخدم إلى اشتراكات Azure.
  • مؤشرات التهديد المتعلقة بالمستخدم.
  • نتائج تحليلات قائمة المشاهدة (معاينة).
  • نشاط تسجيل الدخول إلى Windows.

تستند الرؤى إلى مصادر البيانات التالية:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (معرف Microsoft Entra)
  • SigninLogs (معرف Microsoft Entra)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

لقطة شاشة لعلامة تبويب أحداث Sentinel في صفحة كيان المستخدم.

إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.

لقطة شاشة لشاشة التتبع المتقدم مع استعلام نتيجة التحليلات.

إجراءات المعالجة

من صفحة نظرة عامة، يمكنك القيام بهذه الإجراءات الإضافية:

  • تمكين المستخدم أو تعطيله أو تعليقه في معرف Microsoft Entra
  • المستخدم المباشر للقيام بإجراءات معينة مثل مطالبة المستخدم بتسجيل الدخول مرة أخرى أو فرض إعادة تعيين كلمة المرور
  • إعادة تعيين درجة أولوية التحقيق للمستخدم
  • عرض إعدادات حساب Microsoft Entra أو الحوكمة ذات الصلة أو الملفات المملوكة للمستخدم أو الملفات المشتركة للمستخدم

لقطة شاشة لإجراءات المعالجة لمستخدم في مدخل Microsoft Defender

لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender for Identity.

الخطوات التالية

حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.