صفحة كيان المستخدم في Microsoft Defender

تساعدك صفحة كيان المستخدم في مدخل Microsoft Defender في التحقيق في كيانات المستخدم. تحتوي الصفحة على جميع المعلومات المهمة حول كيان مستخدم معين. إذا أشار تنبيه أو حدث إلى احتمال تعرض المستخدم للخطر أو أنه مريب، فتحقق من كيان المستخدم وتحقق من ذلك.

يمكنك العثور على معلومات كيان المستخدم في طرق العرض التالية:

• صفحة الهويات، ضمن الأصول
• قائمة انتظار التنبيهات
• أي تنبيه/حادث فردي
• صفحة الأجهزة
• أي صفحة كيان جهاز فردية
• سجل النشاط
• استعلامات التتبع المتقدمة
• مركز الصيانة

أينما تظهر كيانات المستخدم في طرق العرض هذه، حدد الكيان لعرض صفحة المستخدم ، والتي تعرض المزيد من التفاصيل حول المستخدم. على سبيل المثال، يمكنك مشاهدة تفاصيل حسابات المستخدمين المحددة في تنبيهات حادث في مدخل Microsoft Defender في الحوادث & تنبيهات > حوادث>> الأصول المستخدمون>.

عند التحقق من كيان مستخدم معين، سترى علامات التبويب التالية في صفحة الكيان الخاصة به:

• نظرة عامة، بما في ذلك تفاصيل الكيان، والحوادث والتنبيهات العرض المرئي، وعلامات التحكم في حساب المستخدم وما إلى ذلك.

• علامة تبويب الحوادث والتنبيهات

• تمت ملاحظته في علامة تبويب المؤسسة

• علامة تبويب المخطط الزمني

• علامة تبويب Sentinel الأحداث

تعرض صفحة المستخدم المؤسسة Microsoft Entra بالإضافة إلى المجموعات، مما يساعدك على فهم المجموعات والأذونات المقترنة بالمستخدم.

نظرة عامة

تفاصيل الكيان

توفر لوحة تفاصيل الكيان على الجانب الأيسر من الصفحة معلومات حول المستخدم، مثل مستوى مخاطر الهوية Microsoft Entra، ومستوى خطورة المخاطر الداخلية (معاينة)، وعدد الأجهزة التي سجل المستخدم الدخول إليها، عندما شوهد المستخدم لأول مرة وآخر مرة، حسابات المستخدم، والمجموعات التي ينتمي إليها المستخدم، ومعلومات الاتصال، والمزيد. ترى تفاصيل أخرى اعتمادا على ميزات التكامل التي قمت بتمكينها.

عرض مرئي للحوادث والتنبيهات

تتضمن هذه البطاقة جميع الحوادث والتنبيهات المرتبطة بوحدة المستخدم، مجمعة حسب الخطورة.

عناصر تحكم حساب Active Directory

تظهر هذه البطاقة Microsoft Defender for Identity إعدادات الأمان التي قد تحتاج إلى انتباهك. يمكنك مشاهدة علامات مهمة حول إعدادات حساب المستخدم، مثل ما إذا كان يمكن للمستخدم الضغط على Enter لتجاوز كلمة المرور، وإذا كان لدى المستخدم كلمة مرور لا تنتهي صلاحيتها أبدا، وما إلى ذلك.

لمزيد من المعلومات، راجع علامات التحكم في حساب المستخدم.

شجرة المؤسسة

يعرض هذا القسم مكان كيان المستخدم في التسلسل الهرمي التنظيمي كما تم الإبلاغ عنه بواسطة Microsoft Defender for Identity.

علامات الحساب

Microsoft Defender for Identity سحب العلامات من Active Directory لمنحك واجهة واحدة لمراقبة مستخدمي Active Directory وكياناته. توفر لك العلامات تفاصيل من Active Directory حول الكيان، وتتضمن:

لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.

الحوادث والتنبيهات

يمكنك مشاهدة جميع الحوادث والتنبيهات النشطة التي تتضمن المستخدم من الأشهر الستة الماضية في علامة التبويب هذه. يتم عرض جميع المعلومات من قوائم انتظار الحوادث والتنبيهات الرئيسية هنا. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.

يمكنك تخصيص عدد العناصر المعروضة والأعمدة التي يتم عرضها لكل عنصر. السلوك الافتراضي هو سرد 30 عنصرا لكل صفحة. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.

يشير عمود الكيانات المتأثرة إلى جميع كيانات الجهاز والمستخدم المشار إليها في الحدث أو التنبيه.

عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.

لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.

تمت ملاحظته في المؤسسة

• الأجهزة: يعرض هذا القسم جميع الأجهزة التي سجل كيان المستخدم الدخول إليها في 180 يوما السابقة، مما يشير إلى الأكثر استخداما وأقلها استخداما.

• المواقع: يعرض هذا القسم جميع المواقع التي تمت ملاحظتها لكيان المستخدم في آخر 30 يوما.

• المجموعات: يعرض هذا القسم جميع المجموعات المحلية التي تمت ملاحظتها لكيان المستخدم، كما تم الإبلاغ عنها بواسطة Microsoft Defender for Identity.

• مسارات الحركة الجانبية: يعرض هذا القسم جميع مسارات الحركة الجانبية التي تم تعريفها من البيئة المحلية، كما تم اكتشافها بواسطة Defender for Identity.

يتيح لك تحديد علامة التبويب الحركات الجانبية عرض خريطة ديناميكية تماما وقابلة للنقر حيث يمكنك رؤية مسارات الحركة الجانبية من وإلى المستخدم. يمكن للمهاجم استخدام معلومات المسار للتسلل إلى شبكتك.

توفر الخريطة قائمة بالأجهزة الأخرى أو المستخدمين الذين يمكن للمهاجم الاستفادة من اختراق حساب حساس. إذا كان لدى المستخدم حساب حساس، يمكنك معرفة عدد الموارد والحسابات المتصلة مباشرة.

يتوفر دائما تقرير مسار الحركة الجانبية، الذي يمكن عرضه حسب التاريخ، لتوفير معلومات حول مسارات الحركة الجانبية المحتملة المكتشفة ويمكن تخصيصها حسب الوقت. حدد تاريخا مختلفا باستخدام عرض تاريخ مختلف لعرض مسارات الحركة الجانبية السابقة التي تم العثور عليها لكيان. يعرض الرسم البياني فقط إذا تم العثور على مسار حركة جانبية محتملة لكيان في اليومين الماضيين.

مخطط زمني

يعرض المخطط الزمني أنشطة المستخدم والتنبيهات التي تمت ملاحظتها من هوية المستخدم في آخر 180 يوما. فهو يوحد إدخالات هوية المستخدم عبر أحمال العمل Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Defender لنقطة النهاية. باستخدام المخطط الزمني، يمكنك التركيز على الأنشطة التي قام بها المستخدم أو تم تنفيذها عليه في إطارات زمنية محددة.

لمستخدمي النظام الأساسي الموحد SOC لمشاهدة التنبيهات من Microsoft Sentinel استنادا إلى مصادر بيانات أخرى غير تلك الموجودة في الفقرة السابقة، يمكنهم العثور على هذه التنبيهات والمعلومات الأخرى في علامة التبويب Sentinel الأحداث، الموضحة أدناه.

• منتقي النطاق الزمني المخصص: يمكنك اختيار إطار زمني لتركيز تحقيقك على آخر 24 ساعة، وآخر 3 أيام وما إلى ذلك. أو يمكنك اختيار إطار زمني محدد بالنقر فوق نطاق مخصص. يتم عرض البيانات المصفاة الأقدم من 30 يوما في فواصل زمنية مدتها سبعة أيام.
  على سبيل المثال:

  

• عوامل تصفية المخطط الزمني: لتحسين تجربة التحقيق، يمكنك استخدام عوامل تصفية المخطط الزمني: النوع (التنبيهات و/أو الأنشطة ذات الصلة بالمستخدم)، وخطورة التنبيه، ونوع النشاط، والتطبيق، والموقع، والبروتوكول. يعتمد كل عامل تصفية على عوامل التصفية الأخرى، وتحتوي الخيارات الموجودة في كل عامل تصفية (القائمة المنسدلة) فقط على البيانات ذات الصلة بالمستخدم المحدد.

• زر التصدير: يمكنك تصدير المخطط الزمني إلى ملف CSV. يقتصر التصدير على أول 5000 سجل ويحتوي على البيانات كما هو معروض في واجهة المستخدم (نفس عوامل التصفية والأعمدة).

• الأعمدة المخصصة: يمكنك اختيار الأعمدة التي تريد عرضها في المخطط الزمني عن طريق تحديد الزر تخصيص الأعمدة . على سبيل المثال:

  

ما هي أنواع البيانات المتوفرة؟

تتوفر أنواع البيانات التالية في المخطط الزمني:

• تنبيهات المستخدم المتأثرة
• Active Directory وأنشطة Microsoft Entra
• أحداث تطبيقات السحابة
• أحداث تسجيل دخول الجهاز
• تغييرات خدمات الدليل

ما هي المعلومات المعروضة؟

يتم عرض المعلومات التالية في المخطط الزمني:

• تاريخ النشاط ووقته
• وصف النشاط/التنبيه
• التطبيق الذي قام بتنفيذ النشاط
• الجهاز المصدر/عنوان IP
• MITRE ATT&تقنيات CK
• خطورة التنبيه وحالته
• البلد/المنطقة التي يتم فيها تحديد موقع عنوان IP للعميل جغرافيا
• البروتوكول المستخدم أثناء الاتصال
• الجهاز الهدف (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)
• عدد المرات التي حدث فيها النشاط (اختياري، قابل للعرض عن طريق تخصيص الأعمدة)

على سبيل المثال:

أحداث Sentinel

إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان المستخدم. تستورد علامة التبويب هذه صفحة كيان الحساب من Microsoft Sentinel.

مخطط زمني Sentinel

يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان المستخدم. تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.

يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان المستخدم هذا، وأحداث نشاط المستخدم من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد Microsoft Sentinel الشاذة.

البصائر

رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان المستخدم الخاص بك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى بيانات تتعلق بتسجيل الدخول وإضافات المجموعة والأحداث الشاذة والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.

فيما يلي بعض الرؤى المعروضة:

• نظراء المستخدم استنادا إلى عضوية مجموعات الأمان.
• الإجراءات حسب الحساب.
• الإجراءات على الحساب.
• سجلات الأحداث التي تم مسحها بواسطة المستخدم.
• إضافات المجموعة.
• عدد عمليات المكاتب المرتفعة بشكل غير مألوف.
• الوصول إلى الموارد.
• عدد نتائج تسجيل الدخول إلى Azure مرتفع بشكل غير مألوف.
• نتائج تحليلات UEBA.
• أذونات وصول المستخدم إلى اشتراكات Azure.
• مؤشرات التهديد المتعلقة بالمستخدم.
• نتائج تحليلات قائمة المشاهدة (معاينة).
• نشاط تسجيل الدخول إلى Windows.

تستند الرؤى إلى مصادر البيانات التالية:

• Syslog (Linux)
• SecurityEvent (Windows)
• سجلات التدقيق (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
• CommonSecurityLog (Microsoft Sentinel)

إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.

إجراءات المعالجة

من صفحة نظرة عامة، يمكنك القيام بهذه الإجراءات الإضافية:

• تمكين المستخدم أو تعطيله أو إيقافه مؤقتا في Microsoft Entra ID
• المستخدم المباشر للقيام بإجراءات معينة مثل مطالبة المستخدم بتسجيل الدخول مرة أخرى أو فرض إعادة تعيين كلمة المرور
• عرض إعدادات الحساب Microsoft Entra أو الحوكمة ذات الصلة أو الملفات المملوكة للمستخدم أو الملفات المشتركة للمستخدم

لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender for Identity.

الخطوات التالية

حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

راجع أيضًا

• نظرة عامة على الحوادث
• تحديد أولوية الأحداث
• إدارة الأحداث
• نظرة عامة على Microsoft Defender XDR
• تشغيل Microsoft Defender XDR
• صفحة كيان الجهاز في Microsoft Defender
• صفحة كيان عنوان IP في Microsoft Defender
• تكامل Microsoft Defender XDR مع Microsoft Sentinel
• توصيل Microsoft Sentinel بـ Microsoft Defender XDR