דף ישות משתמש ב- Microsoft Defender

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

דף ישות המשתמש בפורטל Microsoft Defender עוזר לך בחקירה של ישויות משתמש. הדף מכיל את כל המידע החשוב אודות ישות משתמש נתונה. אם התראה או מקרה מציינים שמשתמש עלול להיחשף לסכנה או שהוא חשוד, בדוק את ישות המשתמש וחקור אותה.

באפשרותך למצוא מידע אודות ישות משתמש בתצוגות הבאות:

  • הדף 'זהויות', תחת 'נכסים'
  • תור התראות
  • כל התראה/אירוע בודדים
  • הדף 'מכשירים'
  • כל דף ישות של מכשיר בודד
  • יומן פעילות
  • שאילתות ציד מתקדמות
  • מרכז הפעולות

בכל מקום שבו ישויות משתמש מופיעות בתצוגות אלה, בחר את הישות כדי להציג את הדף משתמש, המציג פרטים נוספים אודות המשתמש. לדוגמה, באפשרותך לראות את הפרטים של חשבונות משתמשים המזוהים בהתראות של אירוע בפורטל Microsoft Defender תחת אירועים & >>> מתריע על משתמשים באירועים>.

צילום מסך של הדף 'משתמשים' עבור מקרה Microsoft Defender הפורטל.

בעת חקירת ישות משתמש ספציפית, תראה את הכרטיסיות הבאות בדף הישות שלה:

דף המשתמש מציג את Microsoft Entra שלך וכן את הקבוצות, כדי לעזור לך להבין את הקבוצות וההרשאות המשויכות למשתמש.

חשוב

Microsoft Sentinel זמין כחלק מהתצוגה המקדימה הציבורית עבור פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender שלך.

סקירה כללית

פרטי ישות

החלונית פרטי ישות בצד הימני של הדף מספקת מידע אודות המשתמש, כגון רמת סיכון הזהות של Microsoft Entra, מספר המכשירים שאליהם המשתמש נכנס, כאשר המשתמש נראה לראשונה ונראתה לאחרונה, חשבונות המשתמש, קבוצות שאליהן המשתמש שייך, פרטי קשר ועוד. תראה פרטים נוספים בהתאם לתכונות השילוב שהאפשרות זמינה.

תצוגה חזותית של אירועים והתראות

כרטיס זה כולל את כל האירועים וההתראות המשויכים לישות המשתמש, המ מקובצים לפי חומרה.

עדיפות חקירה

כרטיס זה כולל את פירוט הניקוד של העדיפות של החקירה המחושבת של ישות המשתמש, ומגמה של שבועיים עבור ציון זה, כולל האחוזון של הניקוד ביחס לדייר.

פקדי חשבון של Active Directory

כרטיס זה מציין Microsoft Defender עבור זהות האבטחה שעשויות לדרוש את תשומת לבך. באפשרותך לראות דגלים חשובים לגבי הגדרות החשבון של המשתמש, כגון אם המשתמש יכול להקיש Enter כדי לעקוף את הסיסמה, ואם למשתמש יש סיסמה שלעולם לא תפוג, וכו'.

לקבלת מידע נוסף, ראה דגלי בקרת חשבון משתמש.

פעילויות עם ניקוד

כרטיס זה כולל את כל הפעילויות וההתראות שתותר על ניקוד העדיפות של הישות בחקירתה במהלך שבעת הימים האחרונים.

עץ ארגון

מקטע זה מציג את מקום ישות המשתמש בהירארכיה הארגונית כפי שדווח על-ידי Microsoft Defender עבור זהות.

תגיות חשבון

Microsoft Defender עבור זהות למשוך תגיות מ- Active Directory כדי להעניק לך ממשק יחיד לניטור המשתמשים והישויות של Active Directory. תגיות מספקות לך פרטים מ- Active Directory אודות הישות וכוללות:

Name תיאור
חדש מציין שהישות נוצרה לפני פחות מ- 30 יום.
Deleted מציין שהישות נמחקה לצמיתות מ- Active Directory.
לא זמין מציין שהישות אינה זמינה כעת ב- Active Directory. התכונה disabled היא דגל Active Directory הזמין עבור חשבונות משתמשים, חשבונות מחשב או אובייקטים אחרים כדי לציין שהאובייקט אינו נמצא כעת בשימוש.

כאשר אובייקט אינו זמין, לא ניתן להשתמש בו כדי להיכנס או לבצע פעולות בתחום.
מופעלת מציין שהישות זמינה כעת ב- Active Directory, המציינת כי הישות נמצאת כעת בשימוש ובאפשרותך להשתמש בה כדי להיכנס או לבצע פעולות בתחום.
פג מציין שתוקף הישות פג ב- Active Directory. כאשר פג תוקף חשבון משתמש, למשתמש אין עוד אפשרות להיכנס לתחום או לגשת למשאבי רשת כלשהם. החשבון שפג תוקפו נחשב למעשה ללא זמין, אך עם תאריך תפוגה מפורש מוגדר.

שירותים או יישומים שהמשתמש קיבל הרשאה לגשת אליהם עשויים להיות מושפעים גם הם, בהתאם לאופן שבו הוא מוגדר.
מניק דבש מציין שהישות מתויגת באופן ידני כ- honeytoken.
נעול מציין שהישות סיפקה סיסמה שגויה פעמים רבות מדי, והיא נעולה כעת.
חלקית מציין שהמשתמש, המכשיר או הקבוצה אינם מסונכרנים עם התחום, והוא נפתר באופן חלקי באמצעות קטלוג כללי. במקרה זה, תכונות מסוימות אינן זמינות.
לא נפתרה מציין שההתקן אינו מזהה זהות חוקית ביער Active Directory. אין מידע זמין אודות מדריך הכתובות.
רגיש מציין שהישות נחשבת לרגישה.

לקבלת מידע נוסף, ראה תגיות ישויות של Defender for Identity Microsoft Defender XDR.

הערה

מקטע עץ הארגון ותגיות החשבון זמינים Microsoft Defender עבור זהות זמין.

צילום מסך של דף משתמש ספציפי בפורטל Microsoft Defender שלך

אירועים והתראות

באפשרותך לראות את כל האירועים הפעילים וההתראות הכוללים את המשתמש מששת החודשים האחרונים בכרטיסיה זו. כל המידע מהתקריות הראשיות ומתורי ההתראות מוצג כאן. רשימה זו היא גירסה מסוננת של תור האירועים, ומציגה תיאור קצר של האירוע או ההתראה, החומרה שלה (גבוהה, בינונית, נמוכה, מידע), המצב שלה בתור (חדש, מתבצע, נפתר), הסיווג שלה (לא מוגדר, התראה מוטעית, התראה אמיתית), מצב חקירה, קטגוריה, שהוקצה לטפל בה והפעילות האחרונה שנצפתה.

באפשרותך להתאים אישית את מספר הפריטים המוצגים ואת העמודות המוצגות עבור כל פריט. אופן הפעולה המהווה ברירת מחדל הוא רשימה של 30 פריטים לעמוד. באפשרותך גם לסנן את ההתראות לפי חומרה, מצב או כל עמודה אחרת בתצוגה.

עמודת הישויות המושפעות מתייחסת לכל ישויות המכשיר והמשתמשים שאליהן מתבצעת הפניה באירוע או בהתראה.

בעת בחירת אירוע או התראה, מופיע תפריט נשלף. מלוח זה תוכל לנהל את המקרה או ההתראה ולהצג פרטים נוספים כגון מספר אירוע/התראה ומכשירים קשורים. ניתן לבחור התראות מרובות בכל פעם.

כדי לראות תצוגת עמוד מלא של אירוע או התראה, בחר את הכותרת שלה.

צילום מסך של ההתראות הקשורות של חשבון המשתמש שנכללו בכרטיסיה 'התראות' Microsoft Defender שלך

התבוננות בארגון

  • מכשירים: סעיף זה מציג את כל המכשירים שאליהם נכנסת ישות המשתמש ב- 180 הימים הקודמים, המציינים את המכשירים שנמצאים בשימוש הרב ביותר והפחות.

  • מיקומים: מקטע זה מציג את כל המיקומים שנצפה עבור ישות המשתמש ב- 30 הימים האחרונים.

  • קבוצות: סעיף זה מציג את כל הקבוצות המקומיות שנצפתו עבור ישות המשתמש, כפי שדווח על-ידי Microsoft Defender עבור זהות.

  • נתיבי תנועה רוחביים: סעיף זה מציג את כל נתיבי התנועה הצדדיים הפרופיליים מהסביבה המקומית, כפי שזוהה על-ידי Defender for Identity.

הערה

קבוצות וניתלי תנועה רוחביים זמינים כאשר Microsoft Defender עבור זהות זמין.

בחירה בכרטיסיה תנועות רוחביות מאפשרת לך להציג מפה דינאמית וניתנת ללחיצה באופן מלא שבה ניתן לראות את נתיבי התנועה הרוחביים אל וממשתמש. תוקף יכול להשתמש במידע הנתיב כדי לחדור לרשת שלך.

המפה מספקת רשימה של מכשירים או משתמשים אחרים שתוקף יכול לנצל כדי לסכן חשבון רגיש. אם למשתמש יש חשבון רגיש, באפשרותך לראות כמה משאבים וחשבונות מחוברים ישירות.

דוח נתיב תנועה רוחבי, שניתן להציגו לפי תאריך, זמין תמיד לספק מידע על נתיבי התנועה הרוחביים הפוטנציאליים שהתגלו וניתן להתאים אותם אישית לפי זמן. בחר תאריך אחר באמצעות הצג תאריך אחר כדי להציג נתיבי תנועה רוחביים קודמים שנמצאו עבור ישות. הגרף מוצג רק אם נתיב תנועה רוחבי פוטנציאלי נמצא עבור ישות ביומיים האחרונים.

צילום מסך של תצוגת 'נצפה בארגון' המציגה נתיבי תנועה רוחביים עבור משתמש בפורטל Microsoft Defender המכשיר, המיקום והתנועה הנלווית

ציר הזמן

ציר הזמן מציג פעילויות משתמש והתראות שנצפתו מ זהות משתמש ב- 30 הימים האחרונים. הוא מאחד את ערכי זהות המשתמשים על-פני Microsoft Defender עבור זהות, יישומי ענן של Microsoft Defender עומסי עבודה Microsoft Defender עבור נקודת קצה עבודה. באמצעות ציר הזמן, באפשרותך להתמקד בפעילויות שמשתמש ביצע או ביצע בהן במסגרות זמן ספציפיות.

כדי שמשתמשים של פלטפורמת SOC המאוחדת יראו התראות מ- Microsoft Sentinel בהתבסס על מקורות נתונים שאינם אלה בפיסקה הקודמת, הם יכולים למצוא התראות אלה ומידע נוסף בכרטיסיה אירועים של Sentinel, כמתואר להלן.

  • בורר טווח זמן מותאם אישית: באפשרותך לבחור מסגרת זמן כדי למקד את החקירה שלך ב- 24 השעות האחרונות, ב- 3 הימים האחרונים וכן הלאה. לחלופין, באפשרותך לבחור מסגרת זמן ספציפית על-ידי לחיצה על טווח מותאם אישית. לדוגמה:

    צילום מסך שמראה כיצד לבחור מסגרת זמן.

  • מסנני ציר זמן: כדי לשפר את חוויית החקירה שלך, באפשרותך להשתמש במסנני ציר הזמן: סוג (התראות ו/או פעילויות קשורות של המשתמש), חומרת התראה, סוג פעילות, יישום, מיקום, פרוטוקול. כל מסנן תלוי באחרים, והאפשרויות בכל מסנן (רשימה נפתחת) מכילות רק את הנתונים הרלוונטיים עבור המשתמש הספציפי.

  • לחצן ייצוא: באפשרותך לייצא את ציר הזמן לקובץ CSV. הייצוא מוגבל ל- 5000 הרשומות הראשונות והוא מכיל את הנתונים כפי שהוא מציג בממשק המשתמש (אותם מסננים ועמודות).

  • עמודות מותאמות אישית: באפשרותך לבחור אילו עמודות לחשוף בציר הזמן על-ידי בחירה בלחצן התאם אישית עמודות . לדוגמה:

    צילום מסך שמראה את תמונת המשתמש.

אילו סוגי נתונים זמינים?

סוגי הנתונים הבאים זמינים בציר הזמן:

  • התראות מושפעות של משתמש
  • פעילויות Active Directory Microsoft Entra נוספות
  • אירועים של אפליקציות ענן
  • אירועי כניסה למכשיר
  • שינויים בשירותים של מדריך הכתובות

איזה מידע מוצג?

המידע הבא מוצג בציר הזמן:

  • תאריך ושעה של הפעילות
  • תיאור פעילות/התראה
  • יישום שביצע את הפעילות
  • התקן מקור/כתובת IP
  • טכניקות MITRE ATT&CK
  • חומרה ומצב של התראה
  • מדינה/אזור שבהם כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
  • הפרוטוקול המשמש במהלך התקשורת
  • התקן יעד (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)
  • מספר הפעמים שהפעילות התרחשה (אופציונלי, ניתן להצגה על-ידי התאמה אישית של עמודות)

לדוגמה:

צילום מסך של הכרטיסיה 'ציר זמן'.

הערה

Microsoft Defender XDR להציג פרטי תאריך ושעה באמצעות אזור הזמן המקומי או לפי שעון UTC. אזור הזמן שנבחר יחול על כל פרטי התאריך והשעה המוצגים בציר הזמן של הזהות.

כדי להגדיר את אזור הזמן עבור תכונות אלה, עבור אל אזור הזמן>של מרכז האבטחה של>ההגדרות.

אירועי Sentinel

אם הארגון שלך קלוט את Microsoft Sentinel לפורטל Defender, כרטיסיה נוספת זו נמצאת בדף ישות המשתמש. כרטיסיה זו מייבאת את דף ישות החשבון מ- Microsoft Sentinel.

ציר זמן של Sentinel

ציר זמן זה מציג התראות המשויכות לישות המשתמש. התראות אלה כוללות את אלה שנכללו בכרטיסיה אירועים והתראות ואת אלה שנוצרו על-ידי Microsoft Sentinel ממקורות נתונים של ספקים חיצוניים שאינם של Microsoft.

ציר זמן זה מציג גם ציד בסימניה מחקירות אחרות המפנה לישות משתמש זו, אירועי פעילות משתמשים ממקורות נתונים חיצוניים וה אופני פעולה חריגים שזוהו על-ידי כללי הסטייה של Microsoft Sentinel.

תובנות

תובנות לגבי ישות הן שאילתות שהוגדרו על-ידי חוקרי האבטחה של Microsoft כדי לסייע לך לחקור בצורה יעילה ויעילה יותר. תובנות אלה שואלות באופן אוטומטי את השאלות החשובות לגבי ישות המשתמש שלך, ומספקות מידע אבטחה חשוב בצורת נתונים ותרשימים טבלאיים. התובנות כוללות נתונים בנוגע לכניסה, תוספות לקבוצה, אירועים חריגים ועוד, וכוללות אלגוריתמים מתקדמים של למידת מכונה כדי לזהות התנהגות חריגה.

להלן כמה מהתובנות המוצגות:

  • עמיתים של משתמשים המבוססים על חברות בקבוצות אבטחה.
  • פעולות לפי חשבון.
  • פעולות בחשבון.
  • יומני אירועים נוקו על-ידי המשתמש.
  • תוספות לקבוצה.
  • ספירת פעולות Office גבוהה בצורה חריגה.
  • גישה למשאבים.
  • ספירת תוצאות כניסה גבוהה של Azure חריגה.
  • תובנות UEBA.
  • הרשאות גישה של משתמשים למנויים של Azure.
  • מחווני איומים הקשורים למשתמש.
  • תובנות מרשימת המעקב (תצוגה מקדימה).
  • פעילות הכניסה של Windows.

התובנות מבוססות על מקורות הנתונים הבאים:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • יומני ביקורת (Microsoft Entra מזהה)
  • SigninLogs (Microsoft Entra מזהה)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

צילום מסך של הכרטיסיה 'אירועי Sentinel' בדף 'ישות משתמש'.

אם ברצונך להמשיך ולחקור אחת מהתובנות בלוח זה, בחר את הקישור הנלווה לתובנות. הקישור מוביל אותך לדף ' ציד מתקדם ', שבו הוא מציג את השאילתה המשמשת בסיס לתובנות, יחד עם התוצאות הגולמיות שלה. באפשרותך לשנות את השאילתה או להסתעף לתוצאות כדי להרחיב את החקירה או פשוט לספק את הסקרנות שלך.

צילום מסך של מסך ציד מתקדם עם שאילתת תובנות.

פעולות תיקון

מהדף מבט כולל, באפשרותך לבצע פעולות נוספות אלה:

  • הפיכת המשתמש לזמין, ללא זמין או להשעות אותו Microsoft Entra מזהה
  • הפנה את המשתמש לביצוע פעולות מסוימות, כגון דרישת המשתמש להיכנס שוב או כפייה על איפוס סיסמה
  • אפס את ניקוד העדיפות של החקירה עבור המשתמש
  • הצגת Microsoft Entra החשבון, הפיקוח הקשור, הקבצים שבבעלות המשתמש או הקבצים המשותפים של המשתמש

צילום מסך של הפעולות לתיקון עבור משתמש בפורטל Microsoft Defender שלך

לקבלת מידע נוסף, ראה פעולות תיקון Microsoft Defender עבור זהות.

השלבים הבאים

בהתאם לצורך עבור אירועים בתהליך, המשך בחקירה שלך.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.