Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal
דף ישות המשתמש בפורטל Microsoft Defender עוזר לך בחקירה של ישויות משתמש. הדף מכיל את כל המידע החשוב אודות ישות משתמש נתונה. אם התראה או מקרה מציינים שמשתמש עלול להיחשף לסכנה או שהוא חשוד, בדוק את ישות המשתמש וחקור אותה.
באפשרותך למצוא מידע אודות ישות משתמש בתצוגות הבאות:
הדף 'זהויות', תחת 'נכסים'
תור התראות
כל התראה/אירוע בודדים
הדף 'מכשירים'
כל דף ישות של מכשיר בודד
יומן פעילות
שאילתות ציד מתקדמות
מרכז הפעולות
בכל מקום שבו ישויות משתמש מופיעות בתצוגות אלה, בחר את הישות כדי להציג את הדף משתמש, המציג פרטים נוספים אודות המשתמש. לדוגמה, באפשרותך לראות את הפרטים של חשבונות משתמשים המזוהים בהתראות של אירוע בפורטל Microsoft Defender תחת אירועים & >>> מתריע על משתמשים באירועים>.
בעת חקירת ישות משתמש ספציפית, תראה את הכרטיסיות הבאות בדף הישות שלה:
מבט כולל, כולל פרטי ישות, אירועים ותצוגה חזותית של התראות, דגלי בקרת חשבון משתמש וכן הלאה.
דף המשתמש מציג את Microsoft Entra שלך וכן את הקבוצות, כדי לעזור לך להבין את הקבוצות וההרשאות המשויכות למשתמש.
חשוב
Microsoft Sentinel זמינה בדרך כלל בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender של Microsoft. לתצוגה מקדימה, Microsoft Sentinel זמין בפורטל Defender ללא Microsoft Defender XDR או רשיון E5. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.
סקירה כללית
פרטי ישות
החלונית פרטי ישות בצד הימני של הדף מספקת מידע אודות המשתמש, כגון רמת סיכון הזהות של Microsoft Entra, רמת החומרה של הסיכון למשתתפי Insider (Preview), מספר המכשירים שאליהם המשתמש נכנס, כאשר המשתמש היה ראשון ונראתה לאחרונה, חשבונות המשתמש, קבוצות שהמשתמש שייך אליהן, פרטי קשר, ועוד. תראה פרטים נוספים בהתאם לתכונות השילוב שהאפשרות זמינה.
הערה
עדיפות החקירה הופחתה ב- 3 בדצמבר, 2025. כתוצאה מכך, כרטיסי הפעילויות 'ניקוד עדיפות חקירה' ו'ניקוד' הוסרו מממשק המשתמש.
הערה
(תצוגה מקדימה) Microsoft Defender XDR משתמשים בעלי גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview יכולים כעת לראות את חומרת הסיכון של משתמש פנימי ולקבל תובנות לגבי פעילויות חשודות של משתמש בדף המשתמש. בחר את חומרת הסיכון למשתתפי Insider תחת פרטי ישות כדי לראות את תובנות הסיכון לגבי המשתמש.
תצוגה חזותית של אירועים והתראות
כרטיס זה כולל את כל האירועים וההתראות המשויכים לישות המשתמש, המ מקובצים לפי חומרה.
פקדי חשבון של Active Directory
כרטיס זה מציין Microsoft Defender עבור זהות האבטחה שעשויות לדרוש את תשומת לבך. באפשרותך לראות דגלים חשובים לגבי הגדרות החשבון של המשתמש, כגון אם המשתמש יכול להקיש Enter כדי לעקוף את הסיסמה, ואם למשתמש יש סיסמה שלעולם לא תפוג, וכו'.
מקטע זה מציג את מקום ישות המשתמש בהירארכיה הארגונית כפי שדווח על-ידי Microsoft Defender עבור זהות.
תגיות חשבון
Microsoft Defender עבור זהות למשוך תגיות מ- Active Directory כדי להעניק לך ממשק יחיד לניטור המשתמשים והישויות של Active Directory. תגיות מספקות לך פרטים מ- Active Directory אודות הישות וכוללות:
Name
תיאור
חדש
מציין שהישות נוצרה לפני פחות מ- 30 יום.
Deleted
מציין שהישות נמחקה לצמיתות מ- Active Directory.
לא זמין
מציין שהישות אינה זמינה כעת ב- Active Directory. התכונה disabled היא דגל Active Directory הזמין עבור חשבונות משתמשים, חשבונות מחשב או אובייקטים אחרים כדי לציין שהאובייקט אינו נמצא כעת בשימוש.
כאשר אובייקט אינו זמין, לא ניתן להשתמש בו כדי להיכנס או לבצע פעולות בתחום.
מופעלת
מציין שהישות זמינה כעת ב- Active Directory, המציינת כי הישות נמצאת כעת בשימוש ובאפשרותך להשתמש בה כדי להיכנס או לבצע פעולות בתחום.
פג
מציין שתוקף הישות פג ב- Active Directory. כאשר פג תוקף חשבון משתמש, למשתמש אין עוד אפשרות להיכנס לתחום או לגשת למשאבי רשת כלשהם. החשבון שפג תוקפו נחשב למעשה ללא זמין, אך עם תאריך תפוגה מפורש מוגדר.
שירותים או יישומים שהמשתמש קיבל הרשאה לגשת אליהם עשויים להיות מושפעים גם הם, בהתאם לאופן שבו הוא מוגדר.
מניק דבש
מציין שהישות מתויגת באופן ידני כ- honeytoken.
נעול
מציין שהישות סיפקה סיסמה שגויה פעמים רבות מדי, והיא נעולה כעת.
חלקית
מציין שהמשתמש, המכשיר או הקבוצה אינם מסונכרנים עם התחום, והוא נפתר באופן חלקי באמצעות קטלוג כללי. במקרה זה, תכונות מסוימות אינן זמינות.
לא נפתרה
מציין שההתקן אינו מזהה זהות חוקית ביער Active Directory. אין מידע זמין אודות מדריך הכתובות.
מקטע עץ הארגון ותגיות החשבון זמינים Microsoft Defender עבור זהות זמין.
אירועים והתראות
באפשרותך לראות את כל האירועים הפעילים וההתראות הכוללים את המשתמש מששת החודשים האחרונים בכרטיסיה זו. כל המידע מהתקריות הראשיות ומתורי ההתראות מוצג כאן. רשימה זו היא גירסה מסוננת של תור האירועים, ומציגה תיאור קצר של האירוע או ההתראה, החומרה שלה (גבוהה, בינונית, נמוכה, מידע), המצב שלה בתור (חדש, מתבצע, נפתר), הסיווג שלה (לא מוגדר, התראה מוטעית, התראה אמיתית), מצב חקירה, קטגוריה, שהוקצה לטפל בה והפעילות האחרונה שנצפתה.
באפשרותך להתאים אישית את מספר הפריטים המוצגים ואת העמודות המוצגות עבור כל פריט. אופן הפעולה המהווה ברירת מחדל הוא רשימה של 30 פריטים לעמוד. באפשרותך גם לסנן את ההתראות לפי חומרה, מצב או כל עמודה אחרת בתצוגה.
עמודת הישויות המושפעות מתייחסת לכל ישויות המכשיר והמשתמשים שאליהן מתבצעת הפניה באירוע או בהתראה.
בעת בחירת אירוע או התראה, מופיע תפריט נשלף. מלוח זה תוכל לנהל את המקרה או ההתראה ולהצג פרטים נוספים כגון מספר אירוע/התראה ומכשירים קשורים. ניתן לבחור התראות מרובות בכל פעם.
כדי לראות תצוגת עמוד מלא של אירוע או התראה, בחר את הכותרת שלה.
התבוננות בארגון
מכשירים: סעיף זה מציג את כל המכשירים שאליהם נכנסת ישות המשתמש ב- 180 הימים הקודמים, המציינים את המכשירים שנמצאים בשימוש הרב ביותר והפחות.
מיקומים: מקטע זה מציג את כל המיקומים שנצפה עבור ישות המשתמש ב- 30 הימים האחרונים.
קבוצות: סעיף זה מציג את כל הקבוצות המקומיות שנצפתו עבור ישות המשתמש, כפי שדווח על-ידי Microsoft Defender עבור זהות.
נתיבי תנועה רוחביים: סעיף זה מציג את כל נתיבי התנועה הצדדיים הפרופיליים מהסביבה המקומית, כפי שזוהה על-ידי Defender for Identity.
הערה
קבוצות תנועה רוחבית ונתילי תנועה זמינים כאשר Microsoft Defender עבור זהות זמין.
בחירה בכרטיסיה תנועות רוחביות מאפשרת לך להציג מפה דינאמית וניתנת ללחיצה באופן מלא שבה ניתן לראות את נתיבי התנועה הרוחביים אל וממשתמש. תוקף יכול להשתמש במידע הנתיב כדי לחדור לרשת שלך.
המפה מספקת רשימה של מכשירים או משתמשים אחרים שתוקף יכול לנצל כדי לסכן חשבון רגיש. אם למשתמש יש חשבון רגיש, באפשרותך לראות כמה משאבים וחשבונות מחוברים ישירות.
דוח נתיב תנועה רוחבי, שניתן להציגו לפי תאריך, זמין תמיד לספק מידע על נתיבי התנועה הרוחביים הפוטנציאליים שהתגלו וניתן להתאים אותם אישית לפי זמן. בחר תאריך אחר באמצעות הצג תאריך אחר כדי להציג נתיבי תנועה רוחביים קודמים שנמצאו עבור ישות. הגרף מוצג רק אם נתיב תנועה רוחבי פוטנציאלי נמצא עבור ישות ביומיים האחרונים.
ציר זמן
ציר הזמן מציג פעילויות משתמש והתראות שנצפתו מ זהות משתמש ב- 180 הימים האחרונים. הוא מאחד את ערכי זהות המשתמשים על-פני Microsoft Defender עבור זהות, יישומי ענן של Microsoft Defender עומסי עבודה Microsoft Defender עבור נקודת קצה עבודה. באמצעות ציר הזמן, באפשרותך להתמקד בפעילויות שמשתמש ביצע או ביצע בהן במסגרות זמן ספציפיות.
כדי שמשתמשים של פלטפורמת SOC המאוחדת יראו התראות מ- Microsoft Sentinel בהתבסס על מקורות נתונים שאינם אלה שבפיסקה הקודמת, הם יכולים למצוא התראות אלה ומידע נוסף בכרטיסיה אירועי Sentinel, כמתואר להלן.
בורר טווח זמן מותאם אישית: באפשרותך לבחור מסגרת זמן כדי למקד את החקירה שלך ב- 24 השעות האחרונות, ב- 3 הימים האחרונים וכן הלאה. לחלופין, באפשרותך לבחור מסגרת זמן ספציפית על-ידי לחיצה על טווח מותאם אישית. נתונים מסוננים שגילם עולה על 30 יום מוצגים במרווחי זמן של שבעה ימים.
לדוגמה:
מסנני ציר זמן: כדי לשפר את חוויית החקירה שלך, באפשרותך להשתמש במסנני ציר הזמן: סוג (התראות ו/או פעילויות קשורות של המשתמש), חומרת התראה, סוג פעילות, יישום, מיקום, פרוטוקול. כל מסנן תלוי באחרים, והאפשרויות בכל מסנן (רשימה נפתחת) מכילות רק את הנתונים הרלוונטיים עבור המשתמש הספציפי.
לחצן ייצוא: באפשרותך לייצא את ציר הזמן לקובץ CSV. הייצוא מוגבל ל- 5000 הרשומות הראשונות והוא מכיל את הנתונים כפי שהוא מציג בממשק המשתמש (אותם מסננים ועמודות).
עמודות מותאמות אישית: באפשרותך לבחור אילו עמודות לחשוף בציר הזמן על-ידי בחירה בלחצן התאם אישית עמודות . לדוגמה:
מדינה/אזור שבהם כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
הפרוטוקול המשמש במהלך התקשורת
התקן יעד (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)
מספר הפעמים שהפעילות התרחשה (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)
לדוגמה:
הערה
Microsoft Defender XDR להציג פרטי תאריך ושעה באמצעות אזור הזמן המקומי או לפי שעון UTC. אזור הזמן שנבחר יחול על כל פרטי התאריך והשעה המוצגים בציר הזמן של הזהות.
כדי להגדיר את אזור הזמן עבור תכונות אלה, עבור אל אזור הזמן>של מרכז האבטחה של>ההגדרות.
ציר זמן זה מציג התראות המשויכות לישות המשתמש. התראות אלה כוללות את אלה שנכללו בכרטיסיה מקרים והתראות ואת אלה שנוצרו על-ידי Microsoft Sentinel ממקורות נתונים של ספקים חיצוניים שאינם של Microsoft.
ציר זמן זה מציג גם ציד בסימניה מחקירות אחרות המפנה לישות משתמש זו, אירועי פעילות משתמשים ממקורות נתונים חיצוניים וה אופני פעולה חריגים שזוהו על-ידי כללי הסטייה Microsoft Sentinel של המשתמש.
תובנות
תובנות לגבי ישות הן שאילתות שהוגדרו על-ידי חוקרי האבטחה של Microsoft כדי לסייע לך לחקור בצורה יעילה ויעילה יותר. תובנות אלה שואלות באופן אוטומטי את השאלות החשובות לגבי ישות המשתמש שלך, ומספקות מידע אבטחה חשוב בצורת נתונים ותרשימים טבלאיים. התובנות כוללות נתונים בנוגע לכניסה, תוספות לקבוצה, אירועים חריגים ועוד, וכוללות אלגוריתמים מתקדמים של למידת מכונה כדי לזהות התנהגות חריגה.
להלן כמה מהתובנות המוצגות:
עמיתים של משתמשים המבוססים על חברות בקבוצות אבטחה.
פעולות לפי חשבון.
פעולות בחשבון.
יומני אירועים נוקו על-ידי המשתמש.
תוספות לקבוצה.
ספירת פעולות Office גבוהה בצורה חריגה.
גישה למשאבים.
ספירת תוצאות כניסה גבוהה של Azure חריגה.
תובנות UEBA.
הרשאות גישה של משתמשים למנויים של Azure.
מחווני איומים הקשורים למשתמש.
תובנות מרשימת המעקב (תצוגה מקדימה).
פעילות הכניסה של Windows.
התובנות מבוססות על מקורות הנתונים הבאים:
Syslog (Linux)
SecurityEvent (Windows)
יומני ביקורת (Microsoft Entra מזהה)
SigninLogs (Microsoft Entra מזהה)
OfficeActivity (Office 365)
BehaviorAnalytics (Microsoft Sentinel UEBA)
Heartbeat (Azure Monitor Agent)
CommonSecurityLog (Microsoft Sentinel)
אם ברצונך להמשיך ולחקור אחת מהתובנות בלוח זה, בחר את הקישור הנלווה לתובנות. הקישור מוביל אותך לדף ' ציד מתקדם ', שבו הוא מציג את השאילתה המשמשת בסיס לתובנות, יחד עם התוצאות הגולמיות שלה. באפשרותך לשנות את השאילתה או להסתעף לתוצאות כדי להרחיב את החקירה או פשוט לספק את הסקרנות שלך.
פעולות תיקון
מהדף מבט כולל, באפשרותך לבצע פעולות נוספות אלה:
הפיכת המשתמש לזמין, ללא זמין או להשעות אותו Microsoft Entra מזהה
הפנה את המשתמש לביצוע פעולות מסוימות, כגון דרישת המשתמש להיכנס שוב או כפייה על איפוס סיסמה
הצגת Microsoft Entra החשבון, הפיקוח הקשור, הקבצים שבבעלות המשתמש או הקבצים המשותפים של המשתמש
Audit and diagnostic logs within Microsoft Entra ID provide a rich view into how users are accessing your Azure solution. Learn to monitor, troubleshoot, and analyze sign-in data.