التحقيق في الأجهزة في قائمة أجهزة Microsoft Defender لنقطة النهاية

ينطبق على:

• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تحقق من تفاصيل التنبيه الذي تم رفعه على جهاز معين لتحديد السلوكيات أو الأحداث الأخرى التي قد تكون مرتبطة بالتنبيه أو النطاق المحتمل للخرق.

ملاحظة

كجزء من عملية التحقيق أو الاستجابة، يمكنك جمع حزمة تحقيق من جهاز. إليك كيفية القيام بها: جمع حزمة التحقيق من الأجهزة.

يمكنك التحديد على الأجهزة المتأثرة كلما رأيتها في المدخل لفتح تقرير مفصل حول هذا الجهاز. يتم تحديد الأجهزة المتأثرة في المجالات التالية:

• قائمة الأجهزة
• قائمة انتظار التنبيهات
• أي تنبيه فردي
• أي طريقة عرض تفاصيل ملف فردية
• أي عنوان IP أو طريقة عرض تفاصيل المجال

عند التحقق من جهاز معين، سترى:

• تفاصيل الجهاز
• إجراءات الاستجابة
• علامات التبويب (نظرة عامة، والتنبيهات، والجدول الزمني، وتوصيات الأمان، ومخزون البرامج، والثغرات الأمنية المكتشفة، وKBs المفقودة)
• البطاقات (التنبيهات النشطة، المستخدمون المسجلون الدخول، تقييم الأمان، حالة سلامة الجهاز)

ملاحظة

نظرا لقيود المنتج، لا يأخذ ملف تعريف الجهاز في الاعتبار جميع الأدلة الإلكترونية عند تحديد الإطار الزمني "آخر رؤية" (كما هو موضح في صفحة الجهاز أيضا). على سبيل المثال، قد تعرض قيمة "آخر ظهور" في صفحة الجهاز إطارا زمنيا أقدم على الرغم من توفر تنبيهات أو بيانات أحدث في المخطط الزمني للجهاز.

تفاصيل الجهاز

يوفر قسم تفاصيل الجهاز معلومات مثل المجال ونظام التشغيل والحالة الصحية للجهاز. إذا كانت هناك حزمة تحقيق متوفرة على الجهاز، فسترى ارتباطا يسمح لك بتنزيل الحزمة.

إجراءات الاستجابة

تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة جهاز معين وتتضمن:

• عرض في الخريطة
• قيمة الجهاز
• تعيين الأهمية
• إدارة العلامات
• عزل الجهاز
• تقييد تنفيذ التطبيق
• تشغيل مسح الحماية من الفيروسات
• تجميع حزمة التحقيق
• بدء جلسة استجابة مباشرة
• بدء التحقيق التلقائي
• استشارة خبير في التهديدات
• مركز الصيانة

يمكنك اتخاذ إجراءات الاستجابة في مركز الصيانة أو في صفحة جهاز معينة أو في صفحة ملف معينة.

لمزيد من المعلومات حول كيفية اتخاذ إجراء على جهاز، راجع اتخاذ إجراء استجابة على جهاز.

لمزيد من المعلومات، راجع التحقيق في كيانات المستخدم.

ملاحظة

العرض في الخريطة وتعيين الأهمية هي ميزات من إدارة التعرض ل Microsoft، والتي هي حاليا في المعاينة العامة.

علامات التبويب

توفر علامات التبويب معلومات الأمان ومنع التهديدات ذات الصلة المتعلقة بالجهاز. في كل علامة تبويب، يمكنك تخصيص الأعمدة التي تظهر عن طريق تحديد تخصيص الأعمدة من الشريط أعلى رؤوس الأعمدة.

نظرة عامة

تعرض علامة التبويب Overviewبطاقات التنبيهات النشطة والمستخدمين المسجلين وتقييم الأمان.

الحوادث والتنبيهات

توفر علامة التبويب الحوادث والتنبيهات قائمة بالحوادث والتنبيهات المقترنة بالجهاز. هذه القائمة هي إصدار تمت تصفيته من قائمة انتظار التنبيهات، وتعرض وصفا قصيرا للحادث والتنبيه والخطورة (عالية ومتوسطة ومنخفضة ومعلوماتية) والحالة في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، والتصنيف (غير معين، والتنبيه الخاطئ، والتنبيه الحقيقي)، وحالة التحقيق، وفئة التنبيه، ومن يعالج التنبيه، والنشاط الأخير. يمكنك أيضا تصفية التنبيهات.

عند تحديد تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.

لمشاهدة طريقة عرض صفحة كاملة للتنبيه، حدد عنوان التنبيه.

المخطط الزمني

توفر علامة التبويب اليوميات طريقة عرض زمنية للأحداث والتنبيهات المقترنة التي تمت ملاحظتها على الجهاز. يمكن أن يساعدك هذا في ربط أي أحداث وملفات وعناوين IP فيما يتعلق بالجهاز.

يمكنك المخطط الزمني أيضا من التنقل لأسفل بشكل انتقائي في الأحداث التي حدثت خلال فترة زمنية معينة. يمكنك عرض التسلسل الزمني للأحداث التي حدثت على جهاز خلال فترة زمنية محددة. لمزيد من التحكم في طريقة العرض، يمكنك التصفية حسب مجموعات الأحداث أو تخصيص الأعمدة.

ملاحظة

لعرض أحداث جدار الحماية، ستحتاج إلى تمكين نهج التدقيق، راجع اتصال النظام الأساسي لتصفية التدقيق.

يغطي جدار الحماية الأحداث التالية:

• 5025 - توقفت خدمة جدار الحماية
• 5031 - تم حظر التطبيق من قبول الاتصالات الواردة على الشبكة
• 5157 - اتصال محظور

تتضمن بعض الوظائف ما يلي:

• البحث لأحداث معينة
  • استخدم شريط البحث للبحث عن أحداث مخطط زمني محدد.
• تصفية الأحداث من تاريخ معين
  • حدد أيقونة التقويم في أعلى يسار الجدول لعرض الأحداث في اليوم الماضي أو الأسبوع أو 30 يوما أو النطاق المخصص. بشكل افتراضي، يتم تعيين المخطط الزمني للجهاز لعرض الأحداث من آخر 30 يوما.
  • استخدم المخطط الزمني للانتقال إلى لحظة معينة في الوقت المناسب من خلال تمييز المقطع. تحدد الأسهم الموجودة في المخطط الزمني التحقيقات التلقائية
• تصدير أحداث المخطط الزمني التفصيلي للجهاز
  • تصدير المخطط الزمني للجهاز للتاريخ الحالي أو نطاق تاريخ محدد يصل إلى سبعة أيام.

يتم توفير مزيد من التفاصيل حول أحداث معينة في قسم معلومات إضافية . تختلف هذه التفاصيل اعتمادا على نوع الحدث، على سبيل المثال:

• مضمن بواسطة حماية التطبيقات - تم تقييد حدث مستعرض الويب بواسطة حاوية معزولة
• تم الكشف عن التهديد النشط - حدث الكشف عن التهديدات أثناء تشغيل التهديد
• المعالجة غير ناجحة - تم استدعاء محاولة معالجة التهديد المكتشف ولكنها فشلت
• نجاح المعالجة - تم إيقاف التهديد المكتشف وتنظيفه
• تحذير تجاوزه المستخدم - تم تجاهل تحذير SmartScreen ل Windows Defender وتجاوزه من قبل مستخدم
• تم الكشف عن برنامج نصي مريب - تم العثور على برنامج نصي يحتمل أن يكون ضارا قيد التشغيل
• فئة التنبيه - إذا أدى الحدث إلى إنشاء تنبيه، يتم توفير فئة التنبيه (الحركة الجانبية، على سبيل المثال)

تفاصيل الحدث

حدد حدثا لعرض التفاصيل ذات الصلة حول هذا الحدث. يتم عرض لوحة لإظهار معلومات الحدث العامة. عند الاقتضاء وتتوفر البيانات، يتم أيضا عرض رسم بياني يوضح الكيانات ذات الصلة وعلاقاتها.

لمزيد من فحص الحدث والأحداث ذات الصلة، يمكنك تشغيل استعلام تتبع متقدم بسرعة عن طريق تحديد Hunt للأحداث ذات الصلة. يقوم الاستعلام بإرجاع الحدث المحدد وقائمة الأحداث الأخرى التي حدثت في نفس الوقت تقريبا على نفس نقطة النهاية.

توصيات الأمان

يتم إنشاء توصيات الأمان من قدرة إدارة الثغرات الأمنية Microsoft Defender لنقطة النهاية. يظهر تحديد توصية لوحة حيث يمكنك عرض التفاصيل ذات الصلة مثل وصف التوصية والمخاطر المحتملة المرتبطة بعدم سنها. راجع توصية الأمان للحصول على التفاصيل.

نهج الأمان

تعرض علامة التبويب نهج الأمان نهج أمان نقطة النهاية المطبقة على الجهاز. يمكنك مشاهدة قائمة بالنهج والنوع والحالة ووقت تسجيل الوصول الأخير. يؤدي تحديد اسم النهج إلى الانتقال إلى صفحة تفاصيل النهج حيث يمكنك رؤية حالة إعدادات النهج والأجهزة المطبقة والمجموعات المعينة.

بيانات البرامج

تتيح لك علامة التبويب مخزون البرامج عرض البرامج على الجهاز، إلى جانب أي نقاط ضعف أو تهديدات. يؤدي تحديد اسم البرنامج إلى الانتقال إلى صفحة تفاصيل البرنامج حيث يمكنك عرض توصيات الأمان والثغرات الأمنية المكتشفة والأجهزة المثبتة وتوزيع الإصدار. راجع مخزون البرامج للحصول على التفاصيل.

الثغرات الأمنية المكتشفة

تعرض علامة التبويب الثغرات الأمنية المكتشفة الاسم والخطورة ورؤى التهديد للثغرات الأمنية المكتشفة على الجهاز. إذا حددت ثغرة أمنية معينة، فسترى وصفا وتفاصيل.

KBs مفقودة

تسرد علامة التبويب KBs المفقودة تحديثات الأمان المفقودة للجهاز.

بطاقات

التنبيهات النشطة

تعرض بطاقة Azure Advanced Threat Protection نظرة عامة عالية المستوى على التنبيهات المتعلقة بالجهاز ومستوى المخاطر الخاصة بها، إذا كنت تستخدم ميزة Microsoft Defender for Identity، وكانت هناك أي تنبيهات نشطة. يتوفر المزيد من المعلومات في التنقل لأسفل في التنبيهات .

ملاحظة

ستحتاج إلى تمكين التكامل على كل من Microsoft Defender for Identity وDefender لنقطة النهاية لاستخدام هذه الميزة. في Defender لنقطة النهاية، يمكنك تمكين هذه الميزة في الميزات المتقدمة. لمزيد من المعلومات حول كيفية تمكين الميزات المتقدمة، راجع تشغيل الميزات المتقدمة.

المستخدمون الذين تم تسجيل دخولهم

تظهر بطاقة المستخدمين الذين تم تسجيل دخولهم عدد المستخدمين الذين سجلوا الدخول في آخر 30 يوما، إلى جانب المستخدمين الأكثر والأقل تكرارا. يؤدي تحديد الارتباط See all users إلى فتح جزء التفاصيل، والذي يعرض معلومات مثل نوع المستخدم ونوع تسجيل الدخول ومتى شوهد المستخدم لأول مرة وآخر مرة. لمزيد من المعلومات، راجع التحقيق في كيانات المستخدم.

ملاحظة

يتم حساب قيمة المستخدم "الأكثر تكرارا" فقط استنادا إلى أدلة المستخدمين الذين سجلوا الدخول بنجاح بشكل تفاعلي. ومع ذلك، يحسب الجزء الجانبي All users جميع أنواع عمليات تسجيل دخول المستخدم لذلك من المتوقع أن يرى المزيد من المستخدمين المتكررين في الجزء الجانبي، نظرا لأن هؤلاء المستخدمين قد لا يكونوا تفاعليين.

تقييمات الأمان

تظهر بطاقة تقييمات الأمان مستوى التعرض العام وتوصيات الأمان والبرامج المثبتة والثغرات الأمنية المكتشفة. يتم تحديد مستوى تعرض الجهاز من خلال التأثير التراكمي لتوصيات الأمان المعلقة الخاصة به.

حالة سلامة الجهاز

تعرض بطاقة حالة سلامة الجهاز تقريرا صحيا ملخصا للجهاز المحدد. يتم عرض إحدى الرسائل التالية في أعلى البطاقة للإشارة إلى الحالة الإجمالية للجهاز (مدرجة بترتيب من أعلى إلى أدنى أولوية):

• برنامج الحماية من الفيروسات من Defender غير نشط
• معلومات الأمان غير محدثة
• المحرك غير محدث
• فشل الفحص السريع
• فشل الفحص الكامل
• النظام الأساسي غير محدث
• حالة تحديث التحليل الذكي للأمان غير معروفة
• حالة تحديث المحرك غير معروفة
• حالة الفحص السريع غير معروفة
• حالة الفحص الكامل غير معروفة
• حالة تحديث النظام الأساسي غير معروفة
• الجهاز محدث
• الحالة غير متوفرة لنظام التشغيل macOS & Linux

تتضمن المعلومات الأخرى في البطاقة: آخر فحص كامل، وآخر فحص سريع، وإصدار تحديث التحليل الذكي للأمان، وإصدار تحديث المحرك، وإصدار تحديث النظام الأساسي، ووضع Defender Antivirus.

تشير دائرة رمادية إلى أن البيانات غير معروفة.

ملاحظة

تظهر رسالة الحالة العامة لأجهزة macOS وLinux حاليا على أنها "الحالة غير متوفرة لنظام التشغيل macOS & Linux". حاليا، يتوفر ملخص الحالة فقط لأجهزة Windows. جميع المعلومات الأخرى في الجدول محدثة لإظهار الحالات الفردية لكل إشارة سلامة جهاز لجميع الأنظمة الأساسية المدعومة.

للحصول على عرض متعمق لتقرير سلامة الجهاز، يمكنك الانتقال إلى تقارير > سلامة الأجهزة. لمزيد من المعلومات، راجع تقرير سلامة الجهاز وتوافقه في Microsoft Defender لنقطة النهاية.

ملاحظة

تاريخ ووقت وضع الحماية من الفيروسات ل Defender غير متوفر حاليا.

المقالات ذات الصلة

• عرض قائمة انتظار Microsoft Defender لنقطة النهاية Alerts وتنظيمها
• إدارة تنبيهات Microsoft Defender لنقطة النهاية
• التحقيق في تنبيهات Microsoft Defender لنقطة النهاية
• التحقيق في ملف مقترن بتنبيه Defender لنقطة النهاية
• التحقيق في عنوان IP المقترن بتنبيه Defender لنقطة النهاية
• التحقيق في مجال مقترن بتنبيه Defender لنقطة النهاية
• التحقيق في حساب مستخدم في Defender لنقطة النهاية
• توصية الأمان
• بيانات البرامج

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.