صفحة كيان المستخدم في Microsoft Defender
تساعدك صفحة كيان المستخدم في مدخل Microsoft Defender في التحقيق في كيانات المستخدم. تحتوي الصفحة على جميع المعلومات المهمة حول كيان مستخدم معين. إذا أشار تنبيه أو حدث إلى احتمال تعرض المستخدم للخطر أو أنه مريب، فتحقق من كيان المستخدم وتحقق من ذلك.
يمكنك العثور على معلومات كيان المستخدم في طرق العرض التالية:
- صفحة الهويات، ضمن الأصول
- قائمة انتظار التنبيهات
- أي تنبيه/حادث فردي
- صفحة الأجهزة
- أي صفحة كيان جهاز فردية
- سجل النشاط
- استعلامات التتبع المتقدمة
- مركز الصيانة
أينما تظهر كيانات المستخدم في طرق العرض هذه، حدد الكيان لعرض صفحة المستخدم ، والتي تعرض المزيد من التفاصيل حول المستخدم. على سبيل المثال، يمكنك مشاهدة تفاصيل حسابات المستخدمين المحددة في تنبيهات حادث في مدخل Microsoft Defender في الحوادث & تنبيهات > حوادث>> الأصول المستخدمون>.
عند التحقق من كيان مستخدم معين، سترى علامات التبويب التالية في صفحة الكيان الخاصة به:
نظرة عامة، بما في ذلك تفاصيل الكيان، والحوادث والتنبيهات العرض المرئي، وعلامات التحكم في حساب المستخدم وما إلى ذلك.
علامة تبويب الحوادث والتنبيهات
تمت ملاحظته في علامة تبويب المؤسسة
علامة تبويب المخطط الزمني
علامة تبويب Sentinel الأحداث
تعرض صفحة المستخدم المؤسسة Microsoft Entra بالإضافة إلى المجموعات، مما يساعدك على فهم المجموعات والأذونات المقترنة بالمستخدم.
هام
تتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender دون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
نظرة عامة
تفاصيل الكيان
توفر لوحة تفاصيل الكيان على الجانب الأيسر من الصفحة معلومات حول المستخدم، مثل مستوى مخاطر الهوية Microsoft Entra، ومستوى خطورة المخاطر الداخلية (معاينة)، وعدد الأجهزة التي سجل المستخدم الدخول إليها، عندما شوهد المستخدم لأول مرة وآخر مرة، حسابات المستخدم، والمجموعات التي ينتمي إليها المستخدم، ومعلومات الاتصال، والمزيد. ترى تفاصيل أخرى اعتمادا على ميزات التكامل التي قمت بتمكينها.
ملاحظة
تم إهمال درجة أولوية التحقيق في 3 ديسمبر 2025. ونتيجة لذلك، تمت إزالة كل من تصنيف درجة أولوية التحقيق وبطاقات الأنشطة المسجلة من واجهة المستخدم.
ملاحظة
(معاينة) Microsoft Defender XDR يمكن للمستخدمين الذين لديهم حق الوصول إلى إدارة المخاطر الداخلية في Microsoft Purview الآن رؤية خطورة المخاطر الداخلية للمستخدم واكتساب رؤى حول الأنشطة المشبوهة للمستخدم في صفحة المستخدم. حدد خطورة المخاطر الداخلية ضمن تفاصيل الكيان لمعرفة رؤى المخاطر حول المستخدم.
عرض مرئي للحوادث والتنبيهات
تتضمن هذه البطاقة جميع الحوادث والتنبيهات المرتبطة بوحدة المستخدم، مجمعة حسب الخطورة.
عناصر تحكم حساب Active Directory
تظهر هذه البطاقة Microsoft Defender for Identity إعدادات الأمان التي قد تحتاج إلى انتباهك. يمكنك مشاهدة علامات مهمة حول إعدادات حساب المستخدم، مثل ما إذا كان يمكن للمستخدم الضغط على Enter لتجاوز كلمة المرور، وإذا كان لدى المستخدم كلمة مرور لا تنتهي صلاحيتها أبدا، وما إلى ذلك.
لمزيد من المعلومات، راجع علامات التحكم في حساب المستخدم.
شجرة المؤسسة
يعرض هذا القسم مكان كيان المستخدم في التسلسل الهرمي التنظيمي كما تم الإبلاغ عنه بواسطة Microsoft Defender for Identity.
علامات الحساب
Microsoft Defender for Identity سحب العلامات من Active Directory لمنحك واجهة واحدة لمراقبة مستخدمي Active Directory وكياناته. توفر لك العلامات تفاصيل من Active Directory حول الكيان، وتتضمن:
الاسم | الوصف |
---|---|
الجديد | يشير إلى أن الكيان تم إنشاؤه قبل أقل من 30 يوما. |
محذوف | يشير إلى أنه تم حذف الكيان نهائيا من Active Directory. |
ذوي الاحتياجات الخاصه | يشير إلى أن الكيان معطل حاليا في Active Directory.
السمة المعطلة هي علامة Active Directory متوفرة لحسابات المستخدمين وحسابات الكمبيوتر والكائنات الأخرى للإشارة إلى أن الكائن غير مستخدم حاليا. عند تعطيل كائن، لا يمكن استخدامه لتسجيل الدخول أو تنفيذ الإجراءات في المجال. |
تمكين | يشير إلى أن الكيان ممكن حاليا في Active Directory، مما يشير إلى أن الكيان قيد الاستخدام حاليا، ويمكن استخدامه لتسجيل الدخول أو تنفيذ الإجراءات في المجال. |
انتهت | يشير إلى انتهاء صلاحية الكيان في Active Directory. عند انتهاء صلاحية حساب مستخدم، لن يتمكن المستخدم من تسجيل الدخول إلى المجال أو الوصول إلى أي موارد شبكة. يتم التعامل مع الحساب منتهية الصلاحية بشكل أساسي كما لو كان معطلا، ولكن مع تعيين تاريخ انتهاء صلاحية صريح. قد تتأثر أيضا أي خدمات أو تطبيقات تم تفويض المستخدم بالوصول إليها، اعتمادا على كيفية تكوينها. |
الرمز المميز للعسل | يشير إلى أن الكيان يتم وضع علامة عليه يدويا كرمز مميز للعسل. |
مقفل | يشير إلى أن الكيان قدم كلمة مرور خاطئة عدة مرات، وهو الآن مؤمن. |
جزئي | يشير إلى أن المستخدم أو الجهاز أو المجموعة غير متزامنة مع المجال، ويتم حلها جزئيا عبر كتالوج عمومي. في هذه الحالة، لا تتوفر بعض السمات. |
المعلقه | يشير إلى أن الجهاز لا يحل إلى هوية صالحة في غابة Active Directory. لا تتوفر معلومات الدليل. |
حساس | يشير إلى أن الكيان يعتبر حساسا. |
لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.
ملاحظة
يتوفر قسم شجرة المؤسسة وعلامات الحساب عند توفر ترخيص Microsoft Defender for Identity.
الحوادث والتنبيهات
يمكنك مشاهدة جميع الحوادث والتنبيهات النشطة التي تتضمن المستخدم من الأشهر الستة الماضية في علامة التبويب هذه. يتم عرض جميع المعلومات من قوائم انتظار الحوادث والتنبيهات الرئيسية هنا. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.
يمكنك تخصيص عدد العناصر المعروضة والأعمدة التي يتم عرضها لكل عنصر. السلوك الافتراضي هو سرد 30 عنصرا لكل صفحة. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.
يشير عمود الكيانات المتأثرة إلى جميع كيانات الجهاز والمستخدم المشار إليها في الحدث أو التنبيه.
عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.
لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.
تمت ملاحظته في المؤسسة
الأجهزة: يعرض هذا القسم جميع الأجهزة التي سجل كيان المستخدم الدخول إليها في 180 يوما السابقة، مما يشير إلى الأكثر استخداما وأقلها استخداما.
المواقع: يعرض هذا القسم جميع المواقع التي تمت ملاحظتها لكيان المستخدم في آخر 30 يوما.
المجموعات: يعرض هذا القسم جميع المجموعات المحلية التي تمت ملاحظتها لكيان المستخدم، كما تم الإبلاغ عنها بواسطة Microsoft Defender for Identity.
مسارات الحركة الجانبية: يعرض هذا القسم جميع مسارات الحركة الجانبية التي تم تعريفها من البيئة المحلية، كما تم اكتشافها بواسطة Defender for Identity.
ملاحظة
تتوفر المجموعات ومسارات الحركة الجانبية عند توفر ترخيص Microsoft Defender for Identity.
يتيح لك تحديد علامة التبويب الحركات الجانبية عرض خريطة ديناميكية تماما وقابلة للنقر حيث يمكنك رؤية مسارات الحركة الجانبية من وإلى المستخدم. يمكن للمهاجم استخدام معلومات المسار للتسلل إلى شبكتك.
توفر الخريطة قائمة بالأجهزة الأخرى أو المستخدمين الذين يمكن للمهاجم الاستفادة من اختراق حساب حساس. إذا كان لدى المستخدم حساب حساس، يمكنك معرفة عدد الموارد والحسابات المتصلة مباشرة.
يتوفر دائما تقرير مسار الحركة الجانبية، الذي يمكن عرضه حسب التاريخ، لتوفير معلومات حول مسارات الحركة الجانبية المحتملة المكتشفة ويمكن تخصيصها حسب الوقت. حدد تاريخا مختلفا باستخدام عرض تاريخ مختلف لعرض مسارات الحركة الجانبية السابقة التي تم العثور عليها لكيان. يعرض الرسم البياني فقط إذا تم العثور على مسار حركة جانبية محتملة لكيان في اليومين الماضيين.
مخطط زمني
يعرض المخطط الزمني أنشطة المستخدم والتنبيهات التي تمت ملاحظتها من هوية المستخدم في آخر 180 يوما. فهو يوحد إدخالات هوية المستخدم عبر أحمال العمل Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Defender لنقطة النهاية. باستخدام المخطط الزمني، يمكنك التركيز على الأنشطة التي قام بها المستخدم أو تم تنفيذها عليه في إطارات زمنية محددة.
لمستخدمي النظام الأساسي الموحد SOC لمشاهدة التنبيهات من Microsoft Sentinel استنادا إلى مصادر بيانات أخرى غير تلك الموجودة في الفقرة السابقة، يمكنهم العثور على هذه التنبيهات والمعلومات الأخرى في علامة التبويب Sentinel الأحداث، الموضحة أدناه.
منتقي النطاق الزمني المخصص: يمكنك اختيار إطار زمني لتركيز تحقيقك على آخر 24 ساعة، وآخر 3 أيام وما إلى ذلك. أو يمكنك اختيار إطار زمني محدد بالنقر فوق نطاق مخصص. يتم عرض البيانات المصفاة الأقدم من 30 يوما في فواصل زمنية مدتها سبعة أيام.
على سبيل المثال:عوامل تصفية المخطط الزمني: لتحسين تجربة التحقيق، يمكنك استخدام عوامل تصفية المخطط الزمني: النوع (التنبيهات و/أو الأنشطة ذات الصلة بالمستخدم)، وخطورة التنبيه، ونوع النشاط، والتطبيق، والموقع، والبروتوكول. يعتمد كل عامل تصفية على عوامل التصفية الأخرى، وتحتوي الخيارات الموجودة في كل عامل تصفية (القائمة المنسدلة) فقط على البيانات ذات الصلة بالمستخدم المحدد.
زر التصدير: يمكنك تصدير المخطط الزمني إلى ملف CSV. يقتصر التصدير على أول 5000 سجل ويحتوي على البيانات كما هو معروض في واجهة المستخدم (نفس عوامل التصفية والأعمدة).
الأعمدة المخصصة: يمكنك اختيار الأعمدة التي تريد عرضها في المخطط الزمني عن طريق تحديد الزر تخصيص الأعمدة . على سبيل المثال:
ما هي أنواع البيانات المتوفرة؟
تتوفر أنواع البيانات التالية في المخطط الزمني:
- تنبيهات المستخدم المتأثرة
- Active Directory وأنشطة Microsoft Entra
- أحداث تطبيقات السحابة
- أحداث تسجيل دخول الجهاز
- تغييرات خدمات الدليل
ما هي المعلومات المعروضة؟
يتم عرض المعلومات التالية في المخطط الزمني:
- تاريخ النشاط ووقته
- وصف النشاط/التنبيه
- التطبيق الذي قام بتنفيذ النشاط
- الجهاز المصدر/عنوان IP
- MITRE ATT&تقنيات CK
- خطورة التنبيه وحالته
- البلد/المنطقة التي يتم فيها تحديد موقع عنوان IP للعميل جغرافيا
- البروتوكول المستخدم أثناء الاتصال
- الجهاز الهدف (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)
- عدد المرات التي حدث فيها النشاط (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)
على سبيل المثال:
ملاحظة
يمكن Microsoft Defender XDR عرض معلومات التاريخ والوقت باستخدام المنطقة الزمنية المحلية أو التوقيت العالمي المتفق عليه. سيتم تطبيق المنطقة الزمنية المحددة على جميع معلومات التاريخ والوقت المعروضة في المخطط الزمني للهوية.
لتعيين المنطقة الزمنية لهذه الميزات، انتقل إلىالمنطقة الزمنيةلمركز> أمان الإعدادات>.
أحداث Sentinel
إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان المستخدم. تستورد علامة التبويب هذه صفحة كيان الحساب من Microsoft Sentinel.
مخطط زمني Sentinel
يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان المستخدم. تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.
يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان المستخدم هذا، وأحداث نشاط المستخدم من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد Microsoft Sentinel الشاذة.
البصائر
رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان المستخدم الخاص بك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى بيانات تتعلق بتسجيل الدخول وإضافات المجموعة والأحداث الشاذة والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.
فيما يلي بعض الرؤى المعروضة:
- نظراء المستخدم استنادا إلى عضوية مجموعات الأمان.
- الإجراءات حسب الحساب.
- الإجراءات على الحساب.
- سجلات الأحداث التي تم مسحها بواسطة المستخدم.
- إضافات المجموعة.
- عدد عمليات المكاتب المرتفعة بشكل غير مألوف.
- الوصول إلى الموارد.
- عدد نتائج تسجيل الدخول إلى Azure مرتفع بشكل غير مألوف.
- نتائج تحليلات UEBA.
- أذونات وصول المستخدم إلى اشتراكات Azure.
- مؤشرات التهديد المتعلقة بالمستخدم.
- نتائج تحليلات قائمة المشاهدة (معاينة).
- نشاط تسجيل الدخول إلى Windows.
تستند الرؤى إلى مصادر البيانات التالية:
- Syslog (Linux)
- SecurityEvent (Windows)
- سجلات التدقيق (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.
إجراءات المعالجة
من صفحة نظرة عامة، يمكنك القيام بهذه الإجراءات الإضافية:
- تمكين المستخدم أو تعطيله أو إيقافه مؤقتا في Microsoft Entra ID
- المستخدم المباشر للقيام بإجراءات معينة مثل مطالبة المستخدم بتسجيل الدخول مرة أخرى أو فرض إعادة تعيين كلمة المرور
- عرض إعدادات الحساب Microsoft Entra أو الحوكمة ذات الصلة أو الملفات المملوكة للمستخدم أو الملفات المشتركة للمستخدم
لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender for Identity.
الخطوات التالية
حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.
راجع أيضًا
- نظرة عامة على الحوادث
- تحديد أولوية الأحداث
- إدارة الأحداث
- نظرة عامة على Microsoft Defender XDR
- تشغيل Microsoft Defender XDR
- صفحة كيان الجهاز في Microsoft Defender
- صفحة كيان عنوان IP في Microsoft Defender
- تكامل Microsoft Defender XDR مع Microsoft Sentinel
- توصيل Microsoft Sentinel بـ Microsoft Defender XDR
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.