الحوادث - دليل مرجعي
إشعار
بالنسبة للحوادث قيد المعاينة: تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك التي لم يتم إصدارها بعد في التوفر العام.
تسرد هذه المقالة الأحداث التي قد تحصل عليها من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد الحوادث المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
الحادث الأمني هو ارتباط التنبيهات بقصة هجوم تشترك في كيان. على سبيل المثال، المورد أو عنوان IP أو المستخدم أو مشاركة نمط سلسلة إنهاء.
يمكنك تحديد حدث لعرض جميع التنبيهات المتعلقة بالحادث والحصول على مزيد من المعلومات.
تعرف على كيفية إدارة الحوادث الأمنية.
إشعار
يمكن أن يوجد التنبيه نفسه كجزء من حادث ما، بالإضافة إلى أن يكون مرئياً كتنبيه مستقل.
حادث أمني
| التنبيه | الوصف | خطورة |
|---|---|---|
| كشف حادث أمني عن نشاط مستخدم مشبوه (معاينة) | يشير هذا الحادث إلى عمليات المستخدم المشبوهة في بيئتك. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بواسطة هذا المستخدم، ما يزيد من دقة النشاط الضار في بيئتك. على الرغم من أن هذا النشاط قد يكون شرعيا، قد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لتهديد الموارد في بيئتك. قد يشير هذا إلى أن الحساب معرض للخطر ويتم استخدامه بهدف ضار. | درجة عالية |
| كشف حادث أمني عن نشاط أساسي للخدمة مشبوه (معاينة) | يشير هذا الحادث إلى العمليات الرئيسية للخدمة المشبوهة في بيئتك. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بواسطة كيان الخدمة هذا، ما يزيد من دقة النشاط الضار في بيئتك. على الرغم من أن هذا النشاط قد يكون شرعيا، قد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لتهديد الموارد في بيئتك. قد يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار. | درجة عالية |
| كشف حادث أمني عن نشاط تعدين تشفير مشبوه (معاينة) | السيناريو 1: يشير هذا الحادث إلى أنه تم الكشف عن نشاط تعدين التشفير المشبوه بعد نشاط مستخدم أو كيان خدمة مشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط تعدين التشفير الناجح إلى أنها نجحت في اختراق موردك وتستخدمه في تعدين العملات المشفرة، ما قد يؤدي إلى زيادة التكاليف لمؤسستك. السيناريو 2: يشير هذا الحادث إلى أنه تم الكشف عن نشاط تعدين التشفير المشبوه بعد هجوم القوة الغاشمة على نفس مورد الجهاز الظاهري. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير هجوم القوة الغاشمة على الجهاز الظاهري إلى أن جهة التهديد تحاول الحصول على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط تعدين التشفير الناجح إلى أنها نجحت في اختراق موردك واستخدامه لتعدين العملات المشفرة، ما قد يؤدي إلى زيادة التكاليف لمؤسستك. |
درجة عالية |
| كشف حادث أمني عن نشاط Key Vault مريب (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه في بيئتك المتعلقة باستخدام Key Vault. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بواسطة هذا المستخدم أو كيان الخدمة، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط Key Vault المشبوه إلى أن جهة التهديد تحاول الوصول إلى بياناتك الحساسة، مثل المفاتيح والأسرار والشهادات، ويتم اختراق الحساب ويتم استخدامه بهدف ضار. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه في بيئتك المتعلقة باستخدام Key Vault. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط Key Vault المشبوه إلى أن جهة التهديد تحاول الوصول إلى بياناتك الحساسة، مثل المفاتيح والأسرار والشهادات، ويتم اختراق الحساب ويتم استخدامه بهدف ضار. السيناريو 3: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه في بيئتك المتعلقة باستخدام Key Vault. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط Key Vault المشبوه إلى أن جهة التهديد تحاول الوصول إلى بياناتك الحساسة، مثل المفاتيح والأسرار والشهادات، ويتم اختراق الحساب ويتم استخدامه بهدف ضار. |
درجة عالية |
| كشف حادث أمني عن نشاط SAS مريب (معاينة) | يشير هذا الحادث إلى أنه تم الكشف عن نشاط مشبوه بعد إساءة استخدام رمز SAS المميز المحتمل. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. يمكن أن يشير استخدام رمز SAS المميز إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى حساب التخزين الخاص بك وتحاول الوصول إلى البيانات الحساسة أو تسربها. | درجة عالية |
| كشف حادث أمني عن نشاط موقع جغرافي شاذ (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط موقع جغرافي شاذ في بيئتك. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير النشاط المشبوه الناشئ من مواقع شاذة إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط موقع جغرافي شاذ في بيئتك. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير النشاط المشبوه الناشئ من مواقع شاذة إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. |
درجة عالية |
| كشف حادث أمني عن نشاط IP مريب (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه ينشأ من عنوان IP مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير النشاط المشبوه الذي ينشأ من عنوان IP مريب إلى أن المهاجم قد حصل على وصول غير مصرح به إلى بيئتك ويحاول اختراقه. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه ينشأ من عنوان IP مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المستخدم أو كيان الخدمة، ما يزيد من دقة النشاط الضار في بيئتك. يمكن أن يشير النشاط المشبوه الذي ينشأ من عنوان IP مريب إلى أن المهاجم قد حصل على وصول غير مصرح به إلى بيئتك ويحاول اختراقه. |
درجة عالية |
| كشف حادث أمني عن نشاط هجوم مشبوه بدون ملفات (معاينة) | يشير هذا الحادث إلى أنه تم الكشف عن مجموعة أدوات هجوم بدون ملف على جهاز ظاهري بعد محاولة استغلال محتملة على نفس المورد. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس الجهاز الظاهري، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير وجود مجموعة أدوات هجوم بدون ملف على الجهاز الظاهري إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول التهرب من الكشف أثناء تنفيذ المزيد من الأنشطة الضارة. | درجة عالية |
| كشف حادث أمني عن نشاط DDOS مريب (معاينة) | يشير هذا الحدث إلى أنه تم الكشف عن نشاط رفض الخدمة الموزعة (DDOS) المشبوه في بيئتك. تم تصميم هجمات DDOS لإرباك الشبكة أو التطبيق الخاص بك مع حجم كبير من حركة المرور، مما تسبب في أن تصبح غير متوفرة للمستخدمين الشرعيين. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. | درجة عالية |
| كشف حادث أمني عن نشاط تسرب البيانات المشبوهة (معاينة) | السيناريو 1: يشير هذا الحادث إلى أنه تم الكشف عن نشاط النقل غير المصرح للبيانات المشبوهة بعد نشاط مستخدم أو كيان خدمة مشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط النقل غير المصرح للبيانات الناجح إلى أنه يحاول سرقة معلومات حساسة. السيناريو 2: يشير هذا الحادث إلى أنه تم الكشف عن نشاط النقل غير المصرح للبيانات المشبوهة بعد نشاط مستخدم أو كيان خدمة مشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط النقل غير المصرح للبيانات الناجح إلى أنه يحاول سرقة معلومات حساسة. السيناريو 3: يشير هذا الحدث إلى أنه تم الكشف عن نشاط النقل غير المصرح للبيانات المشبوهة بعد إعادة تعيين كلمة المرور غير العادية على جهاز ظاهري. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط النقل غير المصرح للبيانات الناجح إلى أنه يحاول سرقة معلومات حساسة. |
درجة عالية |
| كشف حادث الأمان عن نشاط API مشبوه (معاينة) | يشير هذا الحادث إلى أنه تم الكشف عن نشاط API مشبوه. تم تشغيل تنبيهات متعددة من Defender for Cloud على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير استخدام واجهة برمجة التطبيقات المشبوه إلى أن ممثل التهديد يحاول الوصول إلى المعلومات الحساسة أو تنفيذ إجراءات غير مصرح بها. | درجة عالية |
| كشف حادث أمني عن نشاط مجموعة Kubernetes مريب (معاينة) | يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه على مجموعة Kubernetes الخاصة بك بعد نشاط المستخدم المشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المجموعة، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير النشاط المشبوه على مجموعة Kubernetes إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | درجة عالية |
| كشف حادث أمني عن نشاط تخزين مشبوه (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط تخزين مشبوه بعد نشاط مستخدم أو كيان خدمة مشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط التخزين المشبوه التالي إلى أنه يحاول الوصول إلى بيانات يحتمل أن تكون حساسة. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط تخزين مشبوه بعد نشاط مستخدم أو كيان خدمة مشبوه. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط الحساب المشبوه إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك، وقد يشير نشاط التخزين المشبوه التالي إلى أنه يحاول الوصول إلى بيانات يحتمل أن تكون حساسة. |
درجة عالية |
| كشف حادث الأمان عن نشاط مجموعة أدوات Azure مريب (معاينة) | يشير هذا الحادث إلى أنه تم الكشف عن نشاط مريب بعد الاستخدام المحتمل مجموعة أدوات Azure. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المستخدم أو كيان الخدمة، ما يزيد من دقة النشاط الضار في بيئتك. يمكن أن يشير استخدام مجموعة أدوات Azure إلى أن المهاجم قد حصل على وصول غير مصرح به إلى بيئتك ويحاول اختراقها. | درجة عالية |
| كشف حادث أمني عن نشاط DNS مريب (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط DNS مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط DNS المشبوه إلى أن ممثل التهديد حصل على وصول غير مصرح به إلى بيئتك ويحاول اختراقه. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط DNS مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط DNS المشبوه إلى أن ممثل التهديد حصل على وصول غير مصرح به إلى بيئتك ويحاول اختراقه. |
متوسط |
| كشف حادث أمني عن نشاط SQL مريب (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط SQL مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط SQL المشبوه إلى أن ممثل التهديد يستهدف خادم SQL الخاص بك ويحاول اختراقه. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط SQL مريب. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط SQL المشبوه إلى أن ممثل التهديد يستهدف خادم SQL الخاص بك ويحاول اختراقه. |
درجة عالية |
| كشف حادث الأمان عن نشاط خدمة تطبيق مشبوه (معاينة) | السيناريو 1: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه في بيئة خدمة التطبيق. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة على نفس المورد، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط خدمة التطبيق المشبوه إلى أن جهة التهديد تستهدف تطبيقك وقد تحاول اختراقه. السيناريو 2: يشير هذا الحدث إلى أنه تم الكشف عن نشاط مشبوه في بيئة خدمة التطبيق. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة من نفس عنوان IP، ما يزيد من دقة النشاط الضار في بيئتك. قد يشير نشاط خدمة التطبيق المشبوه إلى أن جهة التهديد تستهدف تطبيقك وقد تحاول اختراقه. |
درجة عالية |
| تم الكشف عن حادث أمني جهاز مخترق مع اتصال botnet | يشير هذا الحادث إلى نشاط botnet مشبوه على جهازك الظاهري. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس المورد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | متوسط/ عالي |
| كشف حادث أمني عن الأجهزة المخترقة مع اتصال botnet | يشير هذا الحادث إلى نشاط شبكة الروبوت المشبوهة على أجهزتك الظاهرية. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس المورد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | متوسط/ عالي |
| تم الكشف عن حادث أمني جهاز مخترق مع نشاط صادر ضار | يشير هذا الحادث إلى نشاط صادر مريب على جهازك الظاهري. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس المورد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | متوسط/ عالي |
| الكشف عن حوادث أمنية الأجهزة المخترقة | يشير هذا الحدث إلى نشاط مشبوه على جهاز ظاهري واحد أو أكثر. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس الموارد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك واختراق هذه الأجهزة بنجاح. | متوسط/ عالي |
| كشف حادث أمني عن الأجهزة المخترقة ذات النشاط الصادر الضار | يشير هذا الحدث إلى نشاط صادر مريب من الأجهزة الظاهرية. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس الموارد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | متوسط/ عالي |
| تم الكشف عن حادث أمني على أجهزة متعددة | يشير هذا الحدث إلى نشاط مشبوه على جهاز ظاهري واحد أو أكثر. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة بترتيب زمني على نفس المورد، بعد إطار عمل MITRE ATT&CK. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. | متوسط/ عالي |
| تم الكشف عن حادث أمني مع عملية مشتركة | السيناريو 1: يشير هذا الحادث إلى نشاط مشبوه على جهازك الظاهري. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة تشارك نفس العملية. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. السيناريو 2: يشير هذا الحادث إلى نشاط مشبوه على أجهزتك الظاهرية. تم تشغيل تنبيهات متعددة من خطط Defender for Cloud المختلفة تشارك نفس العملية. قد يشير هذا إلى أن جهة التهديد قد حصلت على وصول غير مصرح به إلى بيئتك وتحاول اختراقها. |
متوسط/ عالي |
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ