שתף באמצעות

דף ישות מכשיר ב- Microsoft Defender

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

דף ישות המכשיר בפורטל Microsoft Defender עוזר לך בחקירה של ישויות מכשירים. הדף מכיל את כל המידע החשוב אודות ישות מכשיר נתונה. אם התראה או מקרה מציינים שמכשיר פועל באופן חשוד או עלול להיחשף לסכנה, בדוק את פרטי המכשיר כדי לזהות אופני פעולה או אירועים אחרים שעשויים להיות קשורים להתראה או לאירוע, ולגלות את היקף ההפרה הפוטנציאלי. באפשרותך גם להשתמש בדף ישות המכשיר כדי לבצע כמה משימות אבטחה נפוצות, וכן פעולות תגובה מסוימות כדי לצמצם או לתקנו איומי אבטחה.

חשוב

ערכת התוכן המוצגת בדף הישות של המכשיר עשויה להיות מעט שונה, בהתאם להרשמה של המכשיר ב- Microsoft Defender for Endpoint וב- Microsoft Defender עבור Identity.

אם הארגון שלך קלוט את Microsoft Sentinel לפורטל Defender, יופיע מידע נוסף.

ב- Microsoft Sentinel, ישויות מכשיר נקראות גם ישויות מארחות. למידע נוסף.

Microsoft Sentinel זמין כעת באופן כללי בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.

ניתן למצוא ישויות מכשיר באזורים הבאים:

  • רשימת מכשירים, תחת נכסים
  • תור התראות
  • כל התראה/אירוע בודדים
  • כל דף ישות משתמש בודד
  • כל תצוגה של פרטי קובץ בודדים
  • כל תצוגה של כתובת IP או פרטי תחום
  • יומן פעילות
  • שאילתות ציד מתקדמות
  • מרכז הפעולות

באפשרותך לבחור מכשירים בכל פעם שאתה רואה אותם בפורטל כדי לפתוח את דף הישות של המכשיר, המציג פרטים נוספים אודות המכשיר. לדוגמה, באפשרותך לראות את פרטי המכשירים המפורטים בהתראות של אירוע בפורטל Microsoft Defender תחת מקרים & >>> מקרי מקריות במכשירי > נכסים.

צילום מסך של הדף 'משתמשים' עבור מקרה בפורטל Microsoft Defender.

דף ישות המכשיר מציג את המידע שלו בתבנית בכרטיסיות. מאמר זה מספק את סוגי המידע הזמינים בכל כרטיסיה, וגם את הפעולות שניתן לבצע במכשיר נתון.

הכרטיסיות הבאות מוצגות בדף ישות המכשיר:

כותרת עליונה של דף ישות

המקטע העליון של דף הישות כולל את הפרטים הבאים:

  • שם ישות
  • מחווני חומרה, קריטיותוערך מכשיר
  • תגיות של פיהן ניתן לסווג את המכשיר. ניתן להוסיף את Defender for Endpoint, Defender for Identity או על-ידי משתמשים. תגיות מ- Microsoft Defender for Identity אינן ניתנות לעריכה.
  • פעולות תגובה ממוקמות גם כאן. קרא עוד אודות אותן להלן.

הכרטיסיה 'מבט כולל '

כרטיסיית ברירת המחדל היא מבט כולל. הוא מספק מבט מהיר על עובדות האבטחה החשובות ביותר לגבי המכשיר. הכרטיסיה מבט כולל מכילה את הסרגל הצידי של פרטי המכשיר ולוח מחוונים עם כרטיסים מסוימים המציגים מידע ברמה גבוהה.

פרטי המכשיר

הסרגל הצידי מפרט את השם המלא ואת רמת החשיפה של המכשיר. בנוסף, היא מספקת מידע בסיסי חשוב במקטעי משנה קטנים, שניתן להרחיב או לכווץ, כגון:

במקטע מידע כלול
פרטי מחשב וירטואלי שמות מחשב ושמות תחומים ומ זהים, מצבי תקינות וצירוף, חותמות זמן למסך הראשון והאחרונה שנראה, כתובות IP ועוד
פרטי סינכרון מדיניות DLP אם רלוונטי
מצב תצורה פרטים בנוגע לתצורות של Microsoft Defender עבור נקודת קצה
פרטי משאב ענן פלטפורמת ענן, מזהה משאב, פרטי מנוי ועוד
חומרה קושחה מידע אודות מחשבים וירטואליים, מעבדים ו- BIOS ועוד
ניהול מכשירים Microsoft Defender עבור פרטי הרשמה וניהול של נקודות קצה
נתוני מדריך כתובות דגלי UAC , ספקי SPN חברויות בקבוצות.

לוח מחוונים

החלק הראשי של הכרטיסיה 'מבט כולל ' מציג כמה כרטיסי תצוגה מסוג לוח מחוונים:

  • התראות פעילות ורמת סיכון הכוללות את המכשיר במהלך ששת החודשים האחרונים, מקובצות לפי חומרה
  • הערכות אבטחה ורמת חשיפה של המכשיר
  • משתמשים מחוברים במכשיר ב- 30 הימים האחרונים
  • מצב תקינות המכשיר ומידע נוסף על הסריקות העדכניות ביותר של המכשיר.

עצה

רמת החשיפה מתייחסת לכמות המכשיר מציית להמלצות אבטחה, בעוד שרמת הסיכון מחושבת בהתבסס על מספר גורמים, כולל סוגי ההתראות הפעילות וחומרתן.

צילום מסך של הכרטיסיה 'מבט כולל' עבור דף ישות המכשיר בפורטל Microsoft Defender.

הכרטיסיה 'אירועים והתראות '

הכרטיסיה אירועים והתראות מכילה רשימה של אירועים המכילים התראות שהועלו במכשיר, מכל אחד ממספר מקורות זיהוי של Microsoft Defender, כולל Microsoft Sentinel, אם הם מחוברים. רשימה זו היא גירסה מסוננת של תור האירועים, ומציגה תיאור קצר של האירוע או ההתראה, החומרה שלה (גבוהה, בינונית, נמוכה, מידע), המצב שלה בתור (חדש, מתבצע, נפתר), הסיווג שלה (לא מוגדר, התראה מוטעית, התראה אמיתית), מצב חקירה, קטגוריה, שהוקצה לטפל בה והפעילות האחרונה שנצפתה.

באפשרותך להתאים אישית את העמודות המוצגות עבור כל פריט. באפשרותך גם לסנן את ההתראות לפי חומרה, מצב או כל עמודה אחרת בתצוגה.

עמודת הישויות המושפעות מתייחסת לכל ישויות המכשיר והמשתמשים שאליהן מתבצעת הפניה באירוע או בהתראה.

בעת בחירת אירוע או התראה, מופיע תפריט נשלף. מלוח זה תוכל לנהל את המקרה או ההתראה ולהצג פרטים נוספים כגון מספר אירוע/התראה ומכשירים קשורים. ניתן לבחור התראות מרובות בכל פעם.

כדי לראות תצוגת עמוד מלא של אירוע או התראה, בחר את הכותרת שלה.

צילום מסך של הכרטיסיה 'מקרים והתראות' עבור דף ישות המכשיר בפורטל Microsoft Defender.

הכרטיסיה 'ציר זמן '

הכרטיסיה ציר זמן מציגה תצוגה כרונולוגית של כל האירועים שנצפתו במכשיר. הדבר יכול לעזור לך לתאם אירועים, קבצים וכתובות IP ביחס למכשיר.

ניתן להתאים אישית את שתי העמודות המוצגות ברשימה. עמודות ברירת המחדל מציגות את מועד האירוע, המשתמש הפעיל, סוג הפעולה, הישויות המשויכות (תהליכים, קבצים, כתובות IP) ומידע נוסף אודות האירוע.

באפשרותך לקבוע את פרק הזמן שעבורו אירועים מוצגים על-ידי החלקת הגבולות של פרק הזמן לאורך גרף ציר הזמן הכולל בחלק העליון של הדף. באפשרותך גם לבחור פרק זמן מהרשימה הנפתחת בראש הרשימה (ברירת המחדל היא 30 יום). כדי לשלוט בתצוגה שלך עוד יותר, באפשרותך לסנן לפי קבוצות אירועים או להתאים אישית את העמודות.

באפשרותך לייצא עד שבעה ימים של אירועים לקובץ CSV, להורדה.

בצע הסתעפות לתוך הפרטים של אירועים בודדים על-ידי בחירת אירוע והצגת הפרטים שלו בלוח הנשלף המתוכם. עיין בפרטי האירוע להלן.

הערה

כדי להציג אירועי חומת אש, יהיה עליך להפוך את מדיניות הביקורת לזמינה, ראה חיבור פלטפורמת סינון ביקורת.

חומת האש מכסה את האירועים הבאים:

  • 5025 - שירות חומת האש הופסק
  • 5031 - יישום שנחסם מקבלת חיבורים נכנסים ברשת
  • 5157 - חיבור חסום

צילום מסך של הכרטיסיה 'ציר זמן' עבור דף ישות המכשיר בפורטל Microsoft Defender.

פרטי אירוע

בחר אירוע כדי להציג פרטים רלוונטיים אודות אירוע זה. לוח נשלף מוצג כדי להציג מידע רב נוסף אודות האירוע. סוגי המידע המוצגים תלויים בסוג האירוע. כאשר ישים ונתונים זמינים, ייתכן שתראה גרף המציג ישויות קשורות ואת קשרי הגומלין שלהן, כגון שרשרת קבצים או תהליכים. ייתכן שתראה גם תיאור סיכום של הטקטיקה והטכניקות של MITRE ATT&CK החלים על האירוע.

כדי להמשיך לבדוק את האירוע ואת האירועים הקשורים, באפשרותך להפעיל במהירות שאילתת ציד מתקדמת על-ידי בחירה באפשרות חפש אירועים קשורים. השאילתה מחזירה את האירוע שנבחר ואת רשימת האירועים האחרים שהתרחשו בערך באותו זמן באותה נקודת קצה.

צילום מסך של לוח פרטי האירוע.

הכרטיסיה 'המלצות אבטחה '

הכרטיסיה המלצות אבטחה מפרטת את הפעולות שניתן לבצע כדי להגן על המכשיר. בחירת פריט ברשימה זו פותחת תפריט נשלף שבו תוכל לקבל הוראות להחלת ההמלצה.

בדומה הכרטיסיות הקודמות, ניתן להתאים אישית את בחירת העמודות המוצגות.

תצוגת ברירת המחדל כוללת עמודות המפרטות את נקודות החולשות של האבטחה הממוענות, האיום המשויך, הרכיב או התוכנה הקשורים המושפעים מהאיום ועוד. ניתן לסנן פריטים לפי מצב ההמלצה.

קבל מידע נוסף על המלצות אבטחה.

צילום מסך של הכרטיסיה 'המלצות אבטחה' עבור דף הישות של המכשיר.

הכרטיסיה 'מלאי '

כרטיסיה זו מציגה רשימות מלאי של ארבעה סוגי רכיבים: תוכנה, רכיבים פגיעים, הרחבות דפדפן ואישורים.

מלאי תוכנה

כרטיס זה מפרט תוכנה המותקנת במכשיר.

תצוגת ברירת המחדל מציגה את ספק התוכנה, מספר הגירסה המותקנת, מספר החולשות הידועות של התוכנה, תובנות מפני איומים, קוד מוצר ותגיות. ניתן להתאים אישית את מספר הפריטים המוצגים ואת העמודות המוצגות.

בחירת פריט מרשימה זו פותחת תפריט נשלף המכיל פרטים נוספים אודות התוכנה שנבחרה, ואת הנתיב ו חותמת הזמן בפעם האחרונה שהתוכנה נמצאה.

ניתן לסנן רשימה זו לפי קוד מוצר, חולשות והנוכחות של איומים.

צילום מסך של הכרטיסיה 'מלאי תוכנה' עבור פרופיל המכשיר בפורטל Microsoft Defender

רכיבים פגיעים

כרטיס זה מפרט רכיבי תוכנה המכילים פגיעויות.

אפשרויות ברירת המחדל של תצוגה וסינון זהות לתוכנות.

בחר פריט כדי להציג מידע נוסף בתפריט נשלף.

הרחבות דפדפן

כרטיס זה מציג את הרחבות הדפדפן המותקנות במכשיר. שדות ברירת המחדל המוצגים הם שם ההרחבה, הדפדפן שעבורו הוא מותקן, הגירסה, סיכון ההרשאה (בהתבסס על סוג הגישה למכשירים או לאתרים שההרחבה תבקש) והמצב. באופן אופציונלי, ניתן גם להציג את הספק.

בחר פריט כדי להציג מידע נוסף בתפריט נשלף.

אישורים

כרטיס זה מציג את כל האישורים המותקנים במכשיר.

השדות המוצגים כברירת מחדל הם שם האישור, תאריך ההנפה, תאריך התפוגה, גודל המפתח, הנפפיק, האלגוריתם של החתימה, השימוש במפתח ומספר המופעים.

ניתן לסנן את הרשימה לפי מצב, בחתימה עצמית או לא, גודל מפתח, קוד Hash של חתימה ושימוש במפתח.

בחר אישור כדי להציג מידע נוסף בתפריט נשלף.

הכרטיסיה 'פגיעויות' שהתגלתה

כרטיסיה זו מפרטת פגיעויות נפוצות ומנצלים (CVEs) שעשויים להשפיע על המכשיר.

תצוגת ברירת המחדל מפרטת את החומרה של CVE, ניקוד הפגיעות הנפוצה (CVSS), התוכנה הקשורה ל- CVE, מועד פרסום ה- CVE, כאשר ה- CVE זוהה לראשונה והתעדכן לאחרונה, ואיומים המשויכים ל- CVE.

בדומה הכרטיסיות הקודמות, ניתן להתאים אישית את בחירת העמודות שיוצגו. ניתן לסנן את הרשימה לפי חומרה, מצב איומים, חשיפת מכשיר ותגיות.

בחירת פריט מרשימה זו פותחת תפריט נשלף המתאר את ה- CVE.

צילום מסך של הכרטיסיה 'פגיעויות שהתגלו' עבור פרופיל המכשיר בפורטל Microsoft Defender

כרטיסיית KB חסרה

הכרטיסיה KBS חסרה מפרטת את כל עדכוני Microsoft שעדיין לא הוחלו על המכשיר. "KBs" המדובר הם מאמרי Knowledge Base, המתארים עדכונים אלה; לדוגמה, KB4551762.

תצוגת ברירת המחדל מפרטת את העלון המכיל את העדכונים, גירסת מערכת ההפעלה, מספר מזהה ה- KB, המוצרים המושפעים, ה- CVEs טופלו ותגיות.

ניתן להתאים אישית את בחירת העמודות שיוצגו.

בחירת פריט פותחת תפריט נשלף המקשר לעדכון.

הכרטיסיה 'אירועי Sentinel '

אם הארגון שלך קלוט את Microsoft Sentinel לפורטל Defender, כרטיסיה נוספת זו נמצאת בדף ישות המכשיר. כרטיסיה זו מייבאת את דף הישות של המחשב המארח מ- Microsoft Sentinel.

ציר זמן של Sentinel

ציר זמן זה מציג התראות המשויכות לישות המכשיר, הידועות ב- Microsoft Sentinel כישות המארחת. התראות אלה כוללות את אלה שנכללו בכרטיסיה אירועים והתראות ואת אלה שנוצרו על-ידי Microsoft Sentinel ממקורות נתונים של ספקים חיצוניים שאינם של Microsoft.

ציר זמן זה מציג גם ציד בסימניה מחקירות אחרות המפנה לישות משתמש זו, אירועי פעילות משתמשים ממקורות נתונים חיצוניים וה אופני פעולה חריגים שזוהו על-ידי כללי הסטייה של Microsoft Sentinel.

תובנות

תובנות לגבי ישות הן שאילתות שהוגדרו על-ידי חוקרי האבטחה של Microsoft כדי לסייע לך לחקור בצורה יעילה ויעילה יותר. תובנות אלה שואלות באופן אוטומטי את השאלות החשובות לגבי ישות המכשיר שלך, ומספקות מידע אבטחה חשוב בצורה של נתונים טבלאיים ותרשימים. התובנות כוללות נתונים בנוגע לכניסה, תוספות לקבוצה, ביצועי תהליך, אירועים חריגים ועוד, וכוללות אלגוריתמים מתקדמים של למידת מכונה כדי לזהות התנהגות חריגה.

להלן כמה מהתובנות המוצגות:

  • צילום מסך שצולמ במארח.
  • תהליכים שלא הוקצה על-ידי Microsoft זוהו.
  • מידע על ביצוע תהליך Windows.
  • פעילות הכניסה של Windows.
  • פעולות בחשבונות.
  • יומני אירועים נוקו במארח.
  • תוספות לקבוצה.
  • ספירה של מארחים, משתמשים, קבוצות במארח.
  • בקרת אפליקציות של Microsoft Defender.
  • עיבוד rarity באמצעות חישוב אנטרופיה.
  • מספר חריג של אירוע אבטחה.
  • תובנות מרשימת המעקב (תצוגה מקדימה).
  • אירועי אנטי-וירוס של Windows Defender.

התובנות מבוססות על מקורות הנתונים הבאים:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (מזהה Microsoft Entra)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

צילום מסך של הכרטיסיה 'אירועי Sentinel' בדף 'ישות משתמש'.

אם ברצונך להמשיך ולחקור אחת מהתובנות בלוח זה, בחר את הקישור הנלווה לתובנות. הקישור מוביל אותך לדף ' ציד מתקדם ', שבו הוא מציג את השאילתה המשמשת בסיס לתובנות, יחד עם התוצאות הגולמיות שלה. באפשרותך לשנות את השאילתה או להסתעף לתוצאות כדי להרחיב את החקירה או פשוט לספק את הסקרנות שלך.

צילום מסך של מסך ציד מתקדם עם שאילתת תובנות.

פעולות תגובה

פעולות תגובה מציעות קיצורי דרך לניתוח, לחקור ולהתגונן מפני איומים.

צילום מסך של סרגל הפעולות עבור דף ישות המכשיר בפורטל Microsoft Defender.

חשוב

  • פעולות תגובה זמינות רק אם המכשיר רשום ב- Microsoft Defender for Endpoint.
  • מכשירים שרשום ב- Microsoft Defender for Endpoint עשויים להציג מספרים שונים של פעולות תגובה, בהתבסס על מערכת ההפעלה ומספר הגירסה של המכשיר.

פעולות תגובה פועלות לאורך החלק העליון של דף מכשיר ספציפי וכוללות:

פעולה תיאור
ערך מכשיר
הגדר קריטיות
ניהול תגיות עדכון תגיות מותאמות אישית שהחלת על מכשיר זה.
דווח על אי-דיוק בהתקן
הפעל סריקת אנטי-וירוס עדכון הגדרות האנטי-וירוס של Microsoft Defender והפעלה מיידית של סריקת אנטי-וירוס. בחר בין סריקה מהירה או סריקה מלאה.
איסוף חבילת חקירה איסוף מידע אודות המכשיר. לאחר השלמת החקירה, תוכל להוריד אותה.
הגבל ביצוע אפליקציה מונע מאפליקציות שאינן חתומות על-ידי Microsoft לפעול.
הפעלת חקירה אוטומטית חוקר ומתקן איומים באופן אוטומטי. על אף שבאפשרותך להפעיל חקירות אוטומטיות באופן ידני מתוך דף זה, מדיניות התראה מסוימת מפעילה חקירות אוטומטיות בעצמם.
הפעל הפעלת תגובה חיה טוען מעטפת מרוחקת במכשיר לחקירות אבטחה מעמיקות.
בודד מכשיר מבודד את המכשיר מהרשת של הארגון שלך תוך שמירה על החיבור שלו ל- Microsoft Defender. באפשרותך לבחור לאפשר ל- Outlook, Teams ו- Skype for Business לפעול כאשר המכשיר מבודד, למטרות תקשורת.
שאל מומחי Defender
מרכז הפעולות הצגת מידע אודות פעולות תגובה הפועלות כעת. זמין רק אם כבר נבחרה פעולה אחרת.
הורד שחרור כוח מקובץ Script של בידוד
אל תכלול
לך לצוד
הפעלת מצב פתרון בעיות
סינכרון מדיניות

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.