تحرير

إدارة التنبيهات الأمنية والاستجابة لها

  • الكيفية

يجمع Defender for Cloud بيانات السجل وتحليلها ودمجها من موارد Azure والمختلطة ومتعددة السحابات والشبكة وحلول الشركاء المتصلة، مثل جدران الحماية ووكلاء نقطة النهاية. يستخدم Defender للسحابة بيانات السجل للكشف عن التهديدات الحقيقية وتقليل الإيجابيات الزائفة. يتم عرض قائمة بتنبيهات الأمان ذات الأولوية في Defender for Cloud إلى جانب المعلومات التي تحتاجها للتحقيق بسرعة في المشكلة والخطوات التي يجب اتخاذها لمعالجة الهجوم.

توضح لك هذه المقالة كيفية عرض تنبيهات Defender for Cloud ومعالجتها وحماية مواردك.

عند فرز تنبيهات الأمان، يجب تحديد أولويات التنبيهات استنادا إلى خطورة التنبيه الخاصة بها، ومعالجة التنبيهات ذات الخطورة الأعلى أولا. تعرف على المزيد حول كيفية تصنيف التنبيهات.

تلميح

يمكنك توصيل Microsoft Defender for Cloud بحلول SIEM بما في ذلك Microsoft Sentinel واستهلاك التنبيهات من الأداة التي تختارها. تعرف على المزيد حول كيفية دفق التنبيهات إلى حل إدارة خدمة SIEM أو SOAR أو تكنولوجيا المعلومات.

المتطلبات الأساسية

للحصول على المتطلبات الأساسية والمتطلبات، راجع مصفوفات الدعم ل Defender for Cloud.

إدارة تنبيهات الأمان

اتبع الخطوات التالية:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. انتقل إلى Microsoft Defender for Cloud >تنبيهات الأمان.

    لقطة شاشة تعرض صفحة تنبيهات الأمان من صفحة نظرة عامة على Microsoft Defender for Cloud.

  3. (اختياري) قم بتصفية قائمة التنبيهات باستخدام أي من عوامل التصفية ذات الصلة. يمكنك إضافة عوامل تصفية إضافية باستخدام الخيار إضافة عامل تصفية .

    لقطة شاشة توضح لك كيفية إضافة عوامل تصفية إلى طريقة عرض التنبيهات.

    يتم تحديث القائمة وفقا لعوامل التصفية المحددة. على سبيل المثال، قد ترغب في معالجة تنبيهات الأمان التي حدثت في آخر 24 ساعة لأنك تحقق في خرق محتمل في النظام.

التحقيق في تنبيه أمان

يحتوي كل تنبيه على معلومات تتعلق بالتنبيه الذي يساعدك في التحقيق الخاص بك.

للتحقيق في تنبيه أمان:

  1. حدد تنبيهًا. يتم فتح جزء جانبي ويعرض وصفًا للتنبيه وكافة الموارد المتأثرة.

    لقطة شاشة لعرض التفاصيل عالية المستوى لتنبيه الأمان.

  2. راجع المعلومات عالية المستوى حول تنبيه الأمان.

    • شدة التنبيه وحالته ووقت نشاطه
    • الوصف الذي يشرح النشاط الدقيق الذي تم اكتشافه
    • الموارد ذات الصلة
    • إنهاء هدف سلسلة النشاط على مصفوفة MITRE ATT&CK (إن أمكن)

  3. حدد "View full details".

    يتضمن الجزء الأيمن علامة التبويب Alert details التي تحتوي على مزيد من تفاصيل التنبيه لمساعدتك في البحث عن المشكلة: عناوين IP والملفات والعمليات والمزيد.

    لقطة شاشة تعرض صفحة التفاصيل الكاملة للتنبيه.

    تظهر علامة التبويب Take action أيضاً في الجزء الأيمن. استخدم علامة التبويب هذه لاتخاذ مزيد من الإجراءات فيما يتعلق بتنبه الأمان. إجراءات مثل:

    • فحص سياق المورد - يرسلك إلى سجلات نشاط المورد التي تدعم تنبيه الأمان
    • التخفيف من حدة التهديد - توفير خطوات تصحيح يدوية لهذا التنبيه الأمني
    • منع الهجمات المستقبلية - تقديم توصيات أمنية للمساعدة في تقليل مساحة الهجوم، وزيادة الحالة الأمنية، ومن ثمَّ منع الهجمات المستقبلية
    • تشغيل الاستجابة التلقائية - توفير خيار لتشغيل تطبيق منطق كاستجابة لهذا التنبيه الأمني
    • Suppress similar alerts - توفر الخيار لمنع التنبيهات المستقبلية ذات الخصائص المماثلة إذا لم يكن التنبيه مناسباً لمؤسستك

    لقطة شاشة تعرض الخيارات المتوفرة في علامة التبويب اتخاذ إجراء.

    لمزيد من التفاصيل، اتصل بمالك المورد للتحقق مما إذا كان النشاط المكتشف إيجابيا خاطئا. يمكنك أيضا التحقق من السجلات الأولية التي تم إنشاؤها بواسطة المورد الذي تمت مهاجمته.

تغيير حالة تنبيهات الأمان المتعددة في وقت واحد

تتضمن قائمة التنبيهات مربعات اختيار حتى تتمكن من التعامل مع تنبيهات متعددة في وقت واحد. على سبيل المثال، لأغراض الفرز، قد تقرر تجاهل جميع التنبيهات الإعلامية لمورد معين.

  1. قم بالتصفية وفقاً للتنبيهات التي تريد التعامل معها بشكل مجمّع.

    في هذا المثال، يتم تحديد التنبيهات ذات الخطورة Informational للمورد ASC-AKS-CLOUD-TALK .

    لقطة شاشة توضح كيفية تصفية التنبيهات لإظهار التنبيهات ذات الصلة.

  2. استخدم خانات الاختيار لتحديد التنبيهات التي ستتم معالجتها.

    في هذا المثال، يتم تحديد جميع التنبيهات. يتوفر زر تغيير الحالة الآن.

    لقطة شاشة لاختيار جميع التنبيهات للتعامل معها بشكل مجمّع.

  3. استخدم خيارات Change status لتعيين الحالة المطلوبة.

    لقطة شاشة لعلامة تبويب حالة تنبيهات الأمان.

    تم تغيير حالتها إلى القيمة المحددة في التنبيهات المعروضة في الصفحة الحالية.

الاستجابة لتنبيه أمان

بعد التحقق من تنبيه الأمان، يمكنك الاستجابة للتنبيه من داخل Microsoft Defender for Cloud.

للاستجابة لتنبيه أمان:

  1. افتح علامة التبويب اتخاذ إجراء لمشاهدة الاستجابات الموصى بها.

    لقطة شاشة لعلامة تبويب إجراءات اتخاذ التنبيهات الأمنية.

  2. راجع قسم التخفيف من التهديد لخطوات التحقيق اليدوية اللازمة لتخفيف المشكلة.

  3. لتشديد الموارد ومنع هجمات المستقبلية من هذا النوع، قم بإعادة معالجة توصيات الأمان في قسم منع الهجمات المستقبلية.

  4. لتشغيل تطبيق منطقي بخطوات استجابة تلقائية، استخدم قسم الاستجابة التلقائية المشغل وحدد Trigger logic app.

  5. إذا لم يكن النشاط المكتشف ضارا، يمكنك منع التنبيهات المستقبلية من هذا النوع باستخدام قسم منع التنبيهات المماثلة وتحديد إنشاء قاعدة منع.

  6. حدد تكوين إعدادات إعلام البريد الإلكتروني، لعرض من يتلقى رسائل البريد الإلكتروني المتعلقة بتنبيهات الأمان على هذا الاشتراك. اتصل بمالك الاشتراك لتكوين إعدادات رسائل البريد الإلكتروني.

  7. عند إكمال التحقيق في التنبيه والاستجابة بالطريقة المناسبة، قم بتغيير الحالة إلى مرفوض.

    لقطة شاشة للقائمة المنسدلة لحالة التنبيه.

    تتم إزالة التنبيه من قائمة التنبيهات الرئيسية. يمكنك استخدام عامل التصفية من صفحة قائمة التنبيهات لعرض جميع التنبيهات بالحالة "مرفوض".

  8. نحن نشجعك على تقديم ملاحظات حول التنبيه إلى Microsoft:

    1. وضع علامة التنبيه على أنه مفيد أو غير مفيد.
    2. حدد سببا وأضف تعليقاً.

    لقطة شاشة لتقديم ملاحظات إلى نافذة Microsoft التي تسمح لك بتحديد فائدة التنبيه.

    تلميح

    نحن نراجع ملاحظاتك لتحسين خوارزمياتنا وتوفير تنبيهات أمنية أفضل.

    للتعرُّف على أنواع التنبيهات المختلفة، راجع تنبيهات الأمان - دليل مرجعي.

    للحصول على نظرة عامة حول كيفية إنشاء Defender للسحابة للتنبيهات، راجع كيفية اكتشاف Microsoft Defender للسحابة للتهديدات والاستجابة لها.

    مراجعة نتائج الفحص بدون عامل

    تظهر نتائج كل من الماسح الضوئي المستند إلى العامل والماسح الضوئي بدون عامل في صفحة تنبيهات الأمان.

    لقطة شاشة لصفحة تنبيهات الأمان التي تعرض نتائج كل من نتائج الفحص المستندة إلى العامل وبدون عامل.

    إشعار

    لن تتم معالجة أحد هذه التنبيهات لمعالجة التنبيه الآخر حتى يكتمل الفحص التالي.

المحتوى ذو الصلة