توفر صفحة التنبيه في Microsoft Defender لنقطة النهاية سياقا كاملا للتنبيه، من خلال الجمع بين إشارات الهجوم والتنبيهات المتعلقة بالتنبيه المحدد، لإنشاء قصة تنبيه مفصلة.
قم بسرعة بفرز التنبيهات التي تؤثر على مؤسستك والتحقيق فيها واتخاذ إجراء فعال بشأنها. فهم سبب تشغيلها وتأثيرها من موقع واحد. تعرف على المزيد في هذه النظرة العامة.
بدء استخدام تنبيه
سيؤدي تحديد اسم تنبيه في Defender لنقطة النهاية إلى وضعك على صفحة التنبيه الخاصة به. في صفحة التنبيه، سيتم عرض جميع المعلومات في سياق التنبيه المحدد. تتكون كل صفحة تنبيه من 4 أقسام:
يظهر عنوان التنبيه اسم التنبيه وهو موجود لتذكيرك بالتنبيه الذي بدأ التحقيق الحالي بغض النظر عما حددته على الصفحة.
تسرد الأصول المتأثرة بطاقات الأجهزة والمستخدمين المتأثرين بهذا التنبيه القابلة للنقر للحصول على مزيد من المعلومات والإجراءات.
تعرض قصة التنبيه جميع الكيانات المتعلقة بالتنبيه، المترابطة بواسطة طريقة عرض الشجرة. سيكون التنبيه في العنوان هو التنبيه الذي يتم التركيز عليه عند وصولك لأول مرة إلى صفحة التنبيه المحددة. الكيانات في قصة التنبيه قابلة للتوسيع والنقر فوقها، لتوفير معلومات إضافية وتسريع الاستجابة من خلال السماح لك باتخاذ الإجراءات مباشرة في سياق صفحة التنبيه. استخدم قصة التنبيه لبدء التحقيق. تعرف على كيفية إجراء ذلك في التحقيق في التنبيهات في Microsoft Defender لنقطة النهاية.
سيعرض جزء التفاصيل تفاصيل التنبيه المحدد في البداية، مع التفاصيل والإجراءات المتعلقة بهذا التنبيه. إذا حددت أيا من الأصول أو الكيانات المتأثرة في قصة التنبيه، فسيتغير جزء التفاصيل لتوفير معلومات وإجراءات سياقية للكائن المحدد.
لاحظ حالة الكشف للتنبيه الخاص بك.
منع: تم تجنب محاولة اتخاذ إجراء مشبوه. على سبيل المثال، لم تتم كتابة ملف على القرص أو تنفيذه.
محظور: تم تنفيذ السلوك المشبوه ثم حظره. على سبيل المثال، تم تنفيذ عملية ولكن نظرا لأنها أظهرت لاحقا سلوكيات مشبوهة، تم إنهاء العملية.
تم الكشف عن: تم الكشف عن هجوم وربما لا يزال نشطا.
يمكنك بعد ذلك أيضا مراجعة تفاصيل التحقيق التلقائي في جزء تفاصيل التنبيه الخاص بك، لمعرفة الإجراءات التي تم اتخاذها بالفعل، بالإضافة إلى قراءة وصف التنبيه للإجراءات الموصى بها.
تتضمن المعلومات الأخرى المتوفرة في جزء التفاصيل عند فتح التنبيه تقنيات MITRE والمصدر وتفاصيل سياقية إضافية.
ملاحظة
إذا رأيت حالة تنبيه نوع التنبيه غير المدعومة ، فهذا يعني أن قدرات التحقيق التلقائية لا يمكنها التقاط هذا التنبيه لتشغيل تحقيق تلقائي. ومع ذلك، يمكنك التحقق من هذه التنبيهات يدويا.
مراجعة الأصول المتأثرة
سيؤدي تحديد جهاز أو بطاقة مستخدم في أقسام الأصول المتأثرة إلى التبديل إلى تفاصيل الجهاز أو المستخدم في جزء التفاصيل.
بالنسبة للأجهزة، سيعرض جزء التفاصيل معلومات حول الجهاز نفسه، مثل المجال ونظام التشغيل وعنوان IP. تتوفر أيضا التنبيهات النشطة والمستخدمون الذين تم تسجيل دخولهم على هذا الجهاز. يمكنك اتخاذ إجراء فوري عن طريق عزل الجهاز أو تقييد تنفيذ التطبيق أو تشغيل فحص مكافحة الفيروسات. بدلا من ذلك، يمكنك جمع حزمة تحقيق أو بدء تحقيق تلقائي أو الانتقال إلى صفحة الجهاز للتحقيق من وجهة نظر الجهاز.
بالنسبة للمستخدمين، سيعرض جزء التفاصيل معلومات مفصلة عن المستخدم، مثل اسم SAM الخاص بالمستخدم وSID، بالإضافة إلى أنواع تسجيل الدخول التي يقوم بها هذا المستخدم وأي تنبيهات وحوادث تتعلق به. يمكنك تحديد فتح صفحة المستخدم لمتابعة التحقيق من وجهة نظر هذا المستخدم.