לקריאה באנגלית

שתף באמצעות


דף ישות משתמש ב- Microsoft Defender

דף ישות המשתמש בפורטל Microsoft Defender עוזר לך בחקירה של ישויות משתמש. הדף מכיל את כל המידע החשוב אודות ישות משתמש נתונה. אם התראה או מקרה מציינים שמשתמש עלול להיחשף לסכנה או שהוא חשוד, בדוק את ישות המשתמש וחקור אותה.

באפשרותך למצוא מידע אודות ישות משתמש בתצוגות הבאות:

  • הדף 'זהויות', תחת 'נכסים'
  • תור התראות
  • כל התראה/אירוע בודדים
  • הדף 'מכשירים'
  • כל דף ישות של מכשיר בודד
  • יומן פעילות
  • שאילתות ציד מתקדמות
  • מרכז הפעולות

בכל מקום שבו ישויות משתמש מופיעות בתצוגות אלה, בחר את הישות כדי להציג את הדף משתמש, המציג פרטים נוספים אודות המשתמש. לדוגמה, באפשרותך לראות את הפרטים של חשבונות משתמשים המזוהים בהתראות של אירוע בפורטל Microsoft Defender תחת אירועים & >>> מתריע על משתמשים באירועים>.

צילום מסך של הדף 'משתמשים' עבור מקרה Microsoft Defender הפורטל.

בעת חקירת ישות משתמש ספציפית, תראה את הכרטיסיות הבאות בדף הישות שלה:

דף המשתמש מציג את Microsoft Entra שלך וכן את הקבוצות, כדי לעזור לך להבין את הקבוצות וההרשאות המשויכות למשתמש.

חשוב

Microsoft Sentinel זמינה בדרך כלל בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender של Microsoft. לתצוגה מקדימה, Microsoft Sentinel זמין בפורטל Defender ללא Microsoft Defender XDR או רשיון E5. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.

סקירה כללית

פרטי ישות

החלונית פרטי ישות בצד הימני של הדף מספקת מידע אודות המשתמש, כגון רמת סיכון הזהות של Microsoft Entra, רמת החומרה של הסיכון למשתתפי Insider (Preview), מספר המכשירים שאליהם המשתמש נכנס, כאשר המשתמש היה ראשון ונראתה לאחרונה, חשבונות המשתמש, קבוצות שהמשתמש שייך אליהן, פרטי קשר, ועוד. תראה פרטים נוספים בהתאם לתכונות השילוב שהאפשרות זמינה.

הערה

עדיפות החקירה הופחתה ב- 3 בדצמבר, 2025. כתוצאה מכך, כרטיסי הפעילויות 'ניקוד עדיפות חקירה' ו'ניקוד' הוסרו מממשק המשתמש.

הערה

(תצוגה מקדימה) Microsoft Defender XDR משתמשים בעלי גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview יכולים כעת לראות את חומרת הסיכון של משתמש פנימי ולקבל תובנות לגבי פעילויות חשודות של משתמש בדף המשתמש. בחר את חומרת הסיכון למשתתפי Insider תחת פרטי ישות כדי לראות את תובנות הסיכון לגבי המשתמש.

תצוגה חזותית של אירועים והתראות

כרטיס זה כולל את כל האירועים וההתראות המשויכים לישות המשתמש, המ מקובצים לפי חומרה.

פקדי חשבון של Active Directory

כרטיס זה מציין Microsoft Defender עבור זהות האבטחה שעשויות לדרוש את תשומת לבך. באפשרותך לראות דגלים חשובים לגבי הגדרות החשבון של המשתמש, כגון אם המשתמש יכול להקיש Enter כדי לעקוף את הסיסמה, ואם למשתמש יש סיסמה שלעולם לא תפוג, וכו'.

לקבלת מידע נוסף, ראה דגלי בקרת חשבון משתמש.

עץ ארגון

מקטע זה מציג את מקום ישות המשתמש בהירארכיה הארגונית כפי שדווח על-ידי Microsoft Defender עבור זהות.

תגיות חשבון

Microsoft Defender עבור זהות למשוך תגיות מ- Active Directory כדי להעניק לך ממשק יחיד לניטור המשתמשים והישויות של Active Directory. תגיות מספקות לך פרטים מ- Active Directory אודות הישות וכוללות:

Name תיאור
חדש מציין שהישות נוצרה לפני פחות מ- 30 יום.
Deleted מציין שהישות נמחקה לצמיתות מ- Active Directory.
לא זמין מציין שהישות אינה זמינה כעת ב- Active Directory. התכונה disabled היא דגל Active Directory הזמין עבור חשבונות משתמשים, חשבונות מחשב או אובייקטים אחרים כדי לציין שהאובייקט אינו נמצא כעת בשימוש.

כאשר אובייקט אינו זמין, לא ניתן להשתמש בו כדי להיכנס או לבצע פעולות בתחום.
מופעלת מציין שהישות זמינה כעת ב- Active Directory, המציינת כי הישות נמצאת כעת בשימוש ובאפשרותך להשתמש בה כדי להיכנס או לבצע פעולות בתחום.
פג מציין שתוקף הישות פג ב- Active Directory. כאשר פג תוקף חשבון משתמש, למשתמש אין עוד אפשרות להיכנס לתחום או לגשת למשאבי רשת כלשהם. החשבון שפג תוקפו נחשב למעשה ללא זמין, אך עם תאריך תפוגה מפורש מוגדר.

שירותים או יישומים שהמשתמש קיבל הרשאה לגשת אליהם עשויים להיות מושפעים גם הם, בהתאם לאופן שבו הוא מוגדר.
מניק דבש מציין שהישות מתויגת באופן ידני כ- honeytoken.
נעול מציין שהישות סיפקה סיסמה שגויה פעמים רבות מדי, והיא נעולה כעת.
חלקית מציין שהמשתמש, המכשיר או הקבוצה אינם מסונכרנים עם התחום, והוא נפתר באופן חלקי באמצעות קטלוג כללי. במקרה זה, תכונות מסוימות אינן זמינות.
לא נפתרה מציין שההתקן אינו מזהה זהות חוקית ביער Active Directory. אין מידע זמין אודות מדריך הכתובות.
רגיש מציין שהישות נחשבת לרגישה.

לקבלת מידע נוסף, ראה תגיות ישויות של Defender for Identity Microsoft Defender XDR.

הערה

מקטע עץ הארגון ותגיות החשבון זמינים Microsoft Defender עבור זהות זמין.

צילום מסך של דף משתמש ספציפי בפורטל Microsoft Defender.

אירועים והתראות

באפשרותך לראות את כל האירועים הפעילים וההתראות הכוללים את המשתמש מששת החודשים האחרונים בכרטיסיה זו. כל המידע מהתקריות הראשיות ומתורי ההתראות מוצג כאן. רשימה זו היא גירסה מסוננת של תור האירועים, ומציגה תיאור קצר של האירוע או ההתראה, החומרה שלה (גבוהה, בינונית, נמוכה, מידע), המצב שלה בתור (חדש, מתבצע, נפתר), הסיווג שלה (לא מוגדר, התראה מוטעית, התראה אמיתית), מצב חקירה, קטגוריה, שהוקצה לטפל בה והפעילות האחרונה שנצפתה.

באפשרותך להתאים אישית את מספר הפריטים המוצגים ואת העמודות המוצגות עבור כל פריט. אופן הפעולה המהווה ברירת מחדל הוא רשימה של 30 פריטים לעמוד. באפשרותך גם לסנן את ההתראות לפי חומרה, מצב או כל עמודה אחרת בתצוגה.

עמודת הישויות המושפעות מתייחסת לכל ישויות המכשיר והמשתמשים שאליהן מתבצעת הפניה באירוע או בהתראה.

בעת בחירת אירוע או התראה, מופיע תפריט נשלף. מלוח זה תוכל לנהל את המקרה או ההתראה ולהצג פרטים נוספים כגון מספר אירוע/התראה ומכשירים קשורים. ניתן לבחור התראות מרובות בכל פעם.

כדי לראות תצוגת עמוד מלא של אירוע או התראה, בחר את הכותרת שלה.

צילום מסך של ההתראות הקשורות של חשבון המשתמש שנכללו בכרטיסיה 'התראות' Microsoft Defender שלך

התבוננות בארגון

  • מכשירים: סעיף זה מציג את כל המכשירים שאליהם נכנסת ישות המשתמש ב- 180 הימים הקודמים, המציינים את המכשירים שנמצאים בשימוש הרב ביותר והפחות.

  • מיקומים: מקטע זה מציג את כל המיקומים שנצפה עבור ישות המשתמש ב- 30 הימים האחרונים.

  • קבוצות: סעיף זה מציג את כל הקבוצות המקומיות שנצפתו עבור ישות המשתמש, כפי שדווח על-ידי Microsoft Defender עבור זהות.

  • נתיבי תנועה רוחביים: סעיף זה מציג את כל נתיבי התנועה הצדדיים הפרופיליים מהסביבה המקומית, כפי שזוהה על-ידי Defender for Identity.

הערה

קבוצות תנועה רוחבית ונתילי תנועה זמינים כאשר Microsoft Defender עבור זהות זמין.

בחירה בכרטיסיה תנועות רוחביות מאפשרת לך להציג מפה דינאמית וניתנת ללחיצה באופן מלא שבה ניתן לראות את נתיבי התנועה הרוחביים אל וממשתמש. תוקף יכול להשתמש במידע הנתיב כדי לחדור לרשת שלך.

המפה מספקת רשימה של מכשירים או משתמשים אחרים שתוקף יכול לנצל כדי לסכן חשבון רגיש. אם למשתמש יש חשבון רגיש, באפשרותך לראות כמה משאבים וחשבונות מחוברים ישירות.

דוח נתיב תנועה רוחבי, שניתן להציגו לפי תאריך, זמין תמיד לספק מידע על נתיבי התנועה הרוחביים הפוטנציאליים שהתגלו וניתן להתאים אותם אישית לפי זמן. בחר תאריך אחר באמצעות הצג תאריך אחר כדי להציג נתיבי תנועה רוחביים קודמים שנמצאו עבור ישות. הגרף מוצג רק אם נתיב תנועה רוחבי פוטנציאלי נמצא עבור ישות ביומיים האחרונים.

צילום מסך של תצוגת 'נצפה בארגון' המציגה נתיבי תנועה רוחביים עבור משתמש בפורטל Microsoft Defender המכשיר, המיקום והתנועה הנלווית

ציר זמן

ציר הזמן מציג פעילויות משתמש והתראות שנצפתו מ זהות משתמש ב- 180 הימים האחרונים. הוא מאחד את ערכי זהות המשתמשים על-פני Microsoft Defender עבור זהות, יישומי ענן של Microsoft Defender עומסי עבודה Microsoft Defender עבור נקודת קצה עבודה. באמצעות ציר הזמן, באפשרותך להתמקד בפעילויות שמשתמש ביצע או ביצע בהן במסגרות זמן ספציפיות.

כדי שמשתמשים של פלטפורמת SOC המאוחדת יראו התראות מ- Microsoft Sentinel בהתבסס על מקורות נתונים שאינם אלה שבפיסקה הקודמת, הם יכולים למצוא התראות אלה ומידע נוסף בכרטיסיה אירועי Sentinel, כמתואר להלן.

  • בורר טווח זמן מותאם אישית: באפשרותך לבחור מסגרת זמן כדי למקד את החקירה שלך ב- 24 השעות האחרונות, ב- 3 הימים האחרונים וכן הלאה. לחלופין, באפשרותך לבחור מסגרת זמן ספציפית על-ידי לחיצה על טווח מותאם אישית. נתונים מסוננים שגילם עולה על 30 יום מוצגים במרווחי זמן של שבעה ימים.
    לדוגמה:

    צילום מסך שמראה כיצד לבחור מסגרת זמן.

  • מסנני ציר זמן: כדי לשפר את חוויית החקירה שלך, באפשרותך להשתמש במסנני ציר הזמן: סוג (התראות ו/או פעילויות קשורות של המשתמש), חומרת התראה, סוג פעילות, יישום, מיקום, פרוטוקול. כל מסנן תלוי באחרים, והאפשרויות בכל מסנן (רשימה נפתחת) מכילות רק את הנתונים הרלוונטיים עבור המשתמש הספציפי.

  • לחצן ייצוא: באפשרותך לייצא את ציר הזמן לקובץ CSV. הייצוא מוגבל ל- 5000 הרשומות הראשונות והוא מכיל את הנתונים כפי שהוא מציג בממשק המשתמש (אותם מסננים ועמודות).

  • עמודות מותאמות אישית: באפשרותך לבחור אילו עמודות לחשוף בציר הזמן על-ידי בחירה בלחצן התאם אישית עמודות . לדוגמה:

    צילום מסך שמראה את תמונת המשתמש.

אילו סוגי נתונים זמינים?

סוגי הנתונים הבאים זמינים בציר הזמן:

  • התראות מושפעות של משתמש
  • פעילויות Active Directory Microsoft Entra נוספות
  • אירועים של אפליקציות ענן
  • אירועי כניסה למכשיר
  • שינויים בשירותים של מדריך הכתובות

איזה מידע מוצג?

המידע הבא מוצג בציר הזמן:

  • תאריך ושעה של הפעילות
  • תיאור פעילות/התראה
  • יישום שביצע את הפעילות
  • התקן מקור/כתובת IP
  • טכניקות MITRE ATT&CK
  • חומרה ומצב של התראה
  • מדינה/אזור שבהם כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
  • הפרוטוקול המשמש במהלך התקשורת
  • התקן יעד (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)
  • מספר הפעמים שהפעילות התרחשה (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)

לדוגמה:

צילום מסך של הכרטיסיה 'ציר זמן'.

הערה

Microsoft Defender XDR להציג פרטי תאריך ושעה באמצעות אזור הזמן המקומי או לפי שעון UTC. אזור הזמן שנבחר יחול על כל פרטי התאריך והשעה המוצגים בציר הזמן של הזהות.

כדי להגדיר את אזור הזמן עבור תכונות אלה, עבור אל אזור הזמן>של מרכז האבטחה של>ההגדרות.

Sentinel אירועים

אם הארגון שלך Microsoft Sentinel לפורטל Defender, כרטיסיה נוספת זו נמצאת בדף ישות המשתמש. כרטיסיה זו מייבאת את דף ישות החשבון Microsoft Sentinel.

Sentinel זמן

ציר זמן זה מציג התראות המשויכות לישות המשתמש. התראות אלה כוללות את אלה שנכללו בכרטיסיה מקרים והתראות ואת אלה שנוצרו על-ידי Microsoft Sentinel ממקורות נתונים של ספקים חיצוניים שאינם של Microsoft.

ציר זמן זה מציג גם ציד בסימניה מחקירות אחרות המפנה לישות משתמש זו, אירועי פעילות משתמשים ממקורות נתונים חיצוניים וה אופני פעולה חריגים שזוהו על-ידי כללי הסטייה Microsoft Sentinel של המשתמש.

תובנות

תובנות לגבי ישות הן שאילתות שהוגדרו על-ידי חוקרי האבטחה של Microsoft כדי לסייע לך לחקור בצורה יעילה ויעילה יותר. תובנות אלה שואלות באופן אוטומטי את השאלות החשובות לגבי ישות המשתמש שלך, ומספקות מידע אבטחה חשוב בצורת נתונים ותרשימים טבלאיים. התובנות כוללות נתונים בנוגע לכניסה, תוספות לקבוצה, אירועים חריגים ועוד, וכוללות אלגוריתמים מתקדמים של למידת מכונה כדי לזהות התנהגות חריגה.

להלן כמה מהתובנות המוצגות:

  • עמיתים של משתמשים המבוססים על חברות בקבוצות אבטחה.
  • פעולות לפי חשבון.
  • פעולות בחשבון.
  • יומני אירועים נוקו על-ידי המשתמש.
  • תוספות לקבוצה.
  • ספירת פעולות Office גבוהה בצורה חריגה.
  • גישה למשאבים.
  • ספירת תוצאות כניסה גבוהה של Azure חריגה.
  • תובנות UEBA.
  • הרשאות גישה של משתמשים למנויים של Azure.
  • מחווני איומים הקשורים למשתמש.
  • תובנות מרשימת המעקב (תצוגה מקדימה).
  • פעילות הכניסה של Windows.

התובנות מבוססות על מקורות הנתונים הבאים:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • יומני ביקורת (Microsoft Entra מזהה)
  • SigninLogs (Microsoft Entra מזהה)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

צילום מסך Sentinel 'אירועים' בדף 'ישות משתמש'.

אם ברצונך להמשיך ולחקור אחת מהתובנות בלוח זה, בחר את הקישור הנלווה לתובנות. הקישור מוביל אותך לדף ' ציד מתקדם ', שבו הוא מציג את השאילתה המשמשת בסיס לתובנות, יחד עם התוצאות הגולמיות שלה. באפשרותך לשנות את השאילתה או להסתעף לתוצאות כדי להרחיב את החקירה או פשוט לספק את הסקרנות שלך.

צילום מסך של מסך ציד מתקדם עם שאילתת תובנות.

פעולות תיקון

מהדף מבט כולל, באפשרותך לבצע פעולות נוספות אלה:

  • הפיכת המשתמש לזמין, ללא זמין או להשעות אותו Microsoft Entra מזהה
  • הפנה את המשתמש לביצוע פעולות מסוימות, כגון דרישת המשתמש להיכנס שוב או כפייה על איפוס סיסמה
  • הצגת Microsoft Entra החשבון, הפיקוח הקשור, הקבצים שבבעלות המשתמש או הקבצים המשותפים של המשתמש

צילום מסך של הפעולות לתיקון עבור משתמש בפורטל Microsoft Defender.

לקבלת מידע נוסף, ראה פעולות תיקון Microsoft Defender עבור זהות.

השלבים הבאים

בהתאם לצורך עבור אירועים בתהליך, המשך בחקירה שלך.

למידע נוסף

טיפ

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.