التحقيق في الأصول

مقالة
12/18/2024

يوفر Microsoft Defender for Identity للمستخدمين Microsoft Defender XDR أدلة على وقت قيام المستخدمين وأجهزة الكمبيوتر والأجهزة بأنشطة مشبوهة أو إظهار علامات تعرضهم للخطر.

تقدم هذه المقالة توصيات حول كيفية تحديد المخاطر التي تتعرض لها مؤسستك، وتحديد كيفية المعالجة، وتحديد أفضل طريقة لمنع هجمات مماثلة في المستقبل.

خطوات التحقيق للمستخدمين المشبوهين

ملاحظة

للحصول على معلومات حول كيفية عرض ملفات تعريف المستخدمين في Microsoft Defender XDR، راجع وثائق Microsoft Defender XDR.

إذا أشار تنبيه أو حدث إلى أن المستخدم قد يكون مريبا أو مخترقا، فتحقق من ملف تعريف المستخدم وتحقق من التفاصيل والأنشطة التالية:

هوية المستخدم
- هل المستخدم مستخدم حساس (مثل المسؤول، أو على قائمة المشاهدة، وما إلى ذلك)؟
- ما هو دورهم داخل المؤسسة؟
- هل هي مهمة في الشجرة التنظيمية؟
التحقيق في الأنشطة المشبوهة، مثل:
- هل لدى المستخدم تنبيهات مفتوحة أخرى في Defender for Identity، أو في أدوات أمان أخرى مثل Microsoft Defender لنقطة النهاية Microsoft Defender للسحابة و/أو Microsoft Defender for Cloud Apps؟
- هل فشل المستخدم في عمليات تسجيل الدخول؟
- ما هي الموارد التي قام المستخدم بالوصول إليها؟
- هل قام المستخدم بالوصول إلى الموارد ذات القيمة العالية؟
- هل كان من المفترض أن يصل المستخدم إلى الموارد التي تم الوصول إليها؟
- ما هي الأجهزة التي سجل المستخدم الدخول إليها؟
- هل كان من المفترض أن يقوم المستخدم بتسجيل الدخول إلى تلك الأجهزة؟
- هل هناك مسار حركة جانبية (LMP) بين المستخدم والمستخدم الحساس؟

استخدم الإجابات على هذه الأسئلة لتحديد ما إذا كان الحساب يبدو مخترقا أو ما إذا كانت الأنشطة المشبوهة تنطوي على إجراءات ضارة.

ابحث عن معلومات الهوية في مناطق Microsoft Defender XDR التالية:

صفحات تفاصيل الهوية الفردية
صفحة تفاصيل التنبيه أو الحادث الفردي
صفحات تفاصيل الجهاز
استعلامات التتبع المتقدمة
صفحة مركز الصيانة

على سبيل المثال، تعرض الصورة التالية التفاصيل في صفحة تفاصيل الهوية:

لقطة شاشة لصفحة مستخدم معين في مدخل Microsoft Defender.

تفاصيل الهوية

عند التحقق من هوية معينة، سترى التفاصيل التالية في صفحة تفاصيل الهوية:

منطقة صفحة تفاصيل الهوية	الوصف
علامة التبويب "نظرة عامة"	بيانات الهوية العامة، مثل مستوى مخاطر الهوية Microsoft Entra، وعدد الأجهزة التي قام المستخدم بتسجيل الدخول إليها، وعندما شوهد المستخدم لأول مرة وآخر مرة، حسابات المستخدم ومعلومات أكثر أهمية. استخدم علامة التبويب Overview لعرض الرسوم البيانية للحوادث والتنبيهات ودرجة أولوية التحقيق وشجرة تنظيمية وعلامات الكيان والجدول الزمني للنشاط المسجل.
الحوادث والتنبيهات	القوائم الحوادث والتنبيهات النشطة التي تتضمن المستخدم من آخر 180 يوما، بما في ذلك تفاصيل مثل خطورة التنبيه ووقت إنشاء التنبيه.
تمت ملاحظته في المؤسسة	يتضمن المجالات الفرعية التالية: - الأجهزة: الأجهزة التي سجلت الهوية الدخول إليها، بما في ذلك معظم وأقلها استخداما في آخر 180 يوما. - المواقع: المواقع التي تمت ملاحظتها للهوية على مدار آخر 30 يوما. - مجموعات: جميع المجموعات المحلية التي تمت ملاحظتها للهوية. - مسارات الحركة الجانبية - جميع مسارات الحركة الجانبية التي تم تعريفها من البيئة المحلية.
المخطط الزمني للهوية	يمثل المخطط الزمني الأنشطة والتنبيهات التي تمت ملاحظتها من هوية المستخدم من آخر 180 يوما، وتوحيد إدخالات الهوية عبر Microsoft Defender for Identity Microsoft Defender for Cloud Apps و Microsoft Defender لنقطة النهاية. استخدم المخطط الزمني للتركيز على الأنشطة التي قام بها المستخدم أو تم تنفيذها عليه في إطارات زمنية محددة. حدد 30 يوما الافتراضي لتغيير النطاق الزمني إلى قيمة مضمنة أخرى، أو إلى نطاق مخصص.
إجراءات المعالجة	الاستجابة للمستخدمين الذين تم اختراقهم عن طريق تعطيل حساباتهم أو إعادة تعيين كلمة المرور الخاصة بهم. بعد اتخاذ إجراء بشأن المستخدمين، يمكنك التحقق من تفاصيل النشاط في Microsoft Defender XDR **مركز الصيانة.

ملاحظة

تم إهمال درجة أولوية التحقيق في 3 ديسمبر 2025. ونتيجة لذلك، تمت إزالة كل من تصنيف درجة أولوية التحقيق وبطاقات المخطط الزمني للنشاط المسجل من واجهة المستخدم.

لمزيد من المعلومات، راجع التحقيق في المستخدمين في وثائق Microsoft Defender XDR.

خطوات التحقيق للمجموعات المشبوهة

إذا كان التنبيه أو التحقيق في الحوادث مرتبطا بمجموعة Active Directory، فتحقق من كيان المجموعة للحصول على التفاصيل والأنشطة التالية:

كيان المجموعة
- هل المجموعة مجموعة حساسة، مثل مسؤولي المجال؟
- هل تتضمن المجموعة مستخدمين حساسين؟
التحقيق في الأنشطة المشبوهة، مثل:
- هل تحتوي المجموعة على تنبيهات أخرى مفتوحة ذات صلة في Defender for Identity، أو في أدوات أمان أخرى مثل Microsoft Defender لنقطة النهاية Microsoft Defender للسحابة و/أو Microsoft Defender for Cloud Apps؟
- ما المستخدمين الذين تمت إضافتهم مؤخرا إلى المجموعة أو إزالتهم منها؟
- هل تم الاستعلام عن المجموعة مؤخرا، ومن قبل من؟

استخدم إجابات هذه الأسئلة للمساعدة في تحقيقك.

من جزء تفاصيل كيان المجموعة، حدد Go hunt أو Open timeline للتحقيق. يمكنك أيضا العثور على معلومات المجموعة في مناطق Microsoft Defender XDR التالية:

صفحة تفاصيل التنبيه أو الحادث الفردي
صفحات تفاصيل الجهاز أو المستخدم
استعلامات التتبع المتقدمة

على سبيل المثال، تعرض الصورة التالية المخطط الزمني لنشاط عوامل تشغيل الخادم ، بما في ذلك التنبيهات والأنشطة ذات الصلة من آخر 180 يوما:

خطوات التحقيق للأجهزة المشبوهة

يسرد التنبيه Microsoft Defender XDR جميع الأجهزة والمستخدمين المتصلين بكل نشاط مريب. حدد جهازا لعرض صفحة تفاصيل الجهاز، ثم تحقق من التفاصيل والأنشطة التالية:

ماذا حدث في وقت النشاط المشبوه؟
- ما المستخدم الذي سجل الدخول إلى الجهاز؟
- هل يقوم هذا المستخدم عادة بتسجيل الدخول إلى الجهاز المصدر أو الوجهة أو الوصول إليه؟
- ما هي الموارد التي تم الوصول إليها؟ من قبل أي مستخدمين؟ إذا تم الوصول إلى الموارد، هل كانت موارد عالية القيمة؟
- هل كان من المفترض أن يصل المستخدم إلى تلك الموارد؟
- هل قام المستخدم الذي قام بالوصول إلى الجهاز بتنفيذ أنشطة مشبوهة أخرى؟
المزيد من الأنشطة المشبوهة للتحقيق فيها:
- هل تم فتح التنبيهات الأخرى في نفس الوقت تقريبا مثل هذا التنبيه في Defender for Identity، أو في أدوات أمان أخرى مثل Microsoft Defender لنقطة النهاية Microsoft Defender للسحابة و/أو Microsoft Defender for Cloud Apps؟
- هل كانت هناك عمليات تسجيل دخول فاشلة؟
- هل تم نشر أي برامج جديدة أو تثبيتها؟

استخدم إجابات هذه الأسئلة لتحديد ما إذا كان الجهاز يظهر مخترقا أو ما إذا كانت الأنشطة المشبوهة تنطوي على إجراءات ضارة.

على سبيل المثال، تعرض الصورة التالية صفحة تفاصيل الجهاز:

لمزيد من المعلومات، راجع التحقيق في الأجهزة في وثائق Microsoft Defender XDR.

الخطوات التالية

تلميح

جرب دليلنا التفاعلي: التحقيق في الهجمات والاستجابة لها باستخدام Microsoft Defender for Identity

مشاركة عبر