مشاركة عبر

التحقيق في تنبيهات أمان Defender for Identity في Microsoft Defender XDR

  • مقالة

ملاحظة

لم يتم تصميم Defender for Identity ليكون بمثابة حل تدقيق أو تسجيل يلتقط كل عملية أو نشاط واحد على الخوادم التي تم تثبيت المستشعر فيها. لا يلتقط سوى البيانات المطلوبة لآليات الكشف والتوصية الخاصة به.

تشرح هذه المقالة أساسيات كيفية العمل مع تنبيهات الأمان Microsoft Defender for Identity في Microsoft Defender XDR.

يتم دمج تنبيهات Defender for Identity في الأصل في Microsoft Defender XDR بتنسيق صفحة تنبيه هوية مخصص.

تمنح صفحة تنبيه الهوية العملاء Microsoft Defender for Identity تحسين إثراء الإشارات عبر المجالات وقدرات استجابة الهوية التلقائية الجديدة. يضمن لك البقاء آمنا ويساعد على تحسين كفاءة عمليات الأمان الخاصة بك.

تتمثل إحدى فوائد التحقيق في التنبيهات من خلال Microsoft Defender XDR في أن التنبيهات Microsoft Defender for Identity ترتبط بشكل أكبر بالمعلومات التي يتم الحصول عليها من كل منتج من المنتجات الأخرى في المجموعة. تتوافق هذه التنبيهات المحسنة مع تنسيقات التنبيه Microsoft Defender XDR الأخرى التي تنشأ من Microsoft Defender لـ Office 365Microsoft Defender لنقطة النهاية. تلغي الصفحة الجديدة بشكل فعال الحاجة إلى الانتقال إلى مدخل منتج آخر للتحقيق في التنبيهات المرتبطة بالهوية.

يمكن للتنبيهات الناشئة من Defender for Identity الآن تشغيل قدرات التحقيق والاستجابة التلقائية Microsoft Defender XDR (AIR)، بما في ذلك معالجة التنبيهات تلقائيا والتخفيف من الأدوات والعمليات التي يمكن أن تساهم في النشاط المشبوه.

هام

كجزء من التقارب مع Microsoft Defender XDR، تغيرت بعض الخيارات والتفاصيل من موقعها في مدخل Defender for Identity. يرجى قراءة التفاصيل أدناه لاكتشاف مكان العثور على كل من الميزات المألوفة والجديدة.

مراجعة تنبيهات الأمان

يمكن الوصول إلى التنبيهات من مواقع متعددة، بما في ذلك صفحة التنبيهات وصفحة الحوادث وصفحات الأجهزة الفردية ومن صفحة التتبع المتقدم . في هذا المثال، سنراجع صفحة التنبيهات.

في Microsoft Defender XDR، انتقل إلى الحوادث & التنبيهات ثم إلى التنبيهات.

عنصر قائمة التنبيهات

لمشاهدة التنبيهات من Defender for Identity، في أعلى اليمين حدد Filter، ثم ضمن Service sources حدد Microsoft Defender for Identity، وحدد Apply:

عامل التصفية لأحداث Defender for Identity

يتم عرض التنبيهات بمعلومات في الأعمدة التالية: اسم التنبيهوالعلاماتوالخطورةوحالة التحقيقوالحالة والفئةومصدر الكشفوالأصول المتأثرةوالنشاط الأولوالنشاط الأخير.

أحداث Defender for Identity

فئات تنبيه الأمان

تنقسم تنبيهات أمان Defender for Identity إلى الفئات أو المراحل التالية، مثل المراحل التي شوهدت في سلسلة قتل نموذجية للهجوم الإلكتروني.

إدارة التنبيهات

إذا حددت اسم التنبيه لأحد التنبيهات، فستنتقل إلى الصفحة مع تفاصيل حول التنبيه. في الجزء الأيمن، سترى ملخصا لما حدث:

جزء ما حدث

أعلى المربع ما حدث توجد أزرار للحساباتومضيف الوجهةومضيف المصدر للتنبيه. بالنسبة للتنبيهات الأخرى، قد ترى أزرارا للحصول على تفاصيل حول المضيفين الإضافيين والحسابات وعناوين IP والمجالات ومجموعات الأمان. حدد أي منها للحصول على مزيد من التفاصيل حول الكيانات المعنية.

في الجزء الأيمن، سترى تفاصيل التنبيه. هنا يمكنك مشاهدة المزيد من التفاصيل وتنفيذ العديد من المهام:

  • تصنيف هذا التنبيه - هنا يمكنك تعيين هذا التنبيه كتنبيه صحيح أو تنبيه خاطئ

    الصفحة التي يمكنك تصنيف تنبيه عليها

  • حالة التنبيه - في Set Classification، يمكنك تصنيف التنبيه على أنه True أو False. في Assigned to، يمكنك تعيين التنبيه لنفسك أو إلغاء تعيينه.

    جزء حالة التنبيه

  • تفاصيل التنبيه - ضمن تفاصيل التنبيه، يمكنك العثور على مزيد من المعلومات حول التنبيه المحدد، واتباع ارتباط إلى وثائق حول نوع التنبيه، ومعرفة الحادث الذي يرتبط به التنبيه، ومراجعة أي تحقيقات تلقائية مرتبطة بنوع التنبيه هذا، ورؤية الأجهزة والمستخدمين المتأثرين.

    صفحة تفاصيل التنبيه

  • التعليقات & المحفوظات - هنا يمكنك إضافة تعليقاتك إلى التنبيه، ورؤية محفوظات جميع الإجراءات المقترنة بالتنبيه.

    صفحة محفوظات & التعليقات

  • إدارة التنبيه - إذا حددت إدارة التنبيه، فستنتقل إلى جزء يسمح لك بتحرير:

    • الحالة - يمكنك اختيار جديد أو تم حله أو قيد التقدم.

    • التصنيف - يمكنك اختيار تنبيه صحيح أو تنبيه خاطئ.

    • تعليق - يمكنك إضافة تعليق حول التنبيه.

    • إذا حددت النقاط الثلاث بجوار إدارة التنبيه، يمكنك ربط التنبيه بحادث آخر، أو إنشاء قاعدة منع (متاحة لعملاء المعاينة فقط)، أو اسأل خبراء Defender.

      الخيار

      يمكنك أيضا تصدير التنبيه إلى ملف Excel. للقيام بذلك، حدد تصدير.

      ملاحظة

      في ملف Excel، يتوفر الآن ارتباطان: عرض في Microsoft Defender for Identity وعرض في Microsoft Defender XDR. سيوصلك كل ارتباط إلى المدخل ذي الصلة، ويوفر معلومات حول التنبيه هناك.

ضبط التنبيهات

قم بضبط التنبيهات لضبطها وتحسينها، ما يقلل من الإيجابيات الخاطئة. يسمح ضبط التنبيه لفرق SOC بالتركيز على التنبيهات ذات الأولوية العالية وتحسين تغطية الكشف عن التهديدات عبر نظامك. في Microsoft Defender XDR، قم بإنشاء شروط القاعدة استنادا إلى أنواع الأدلة، ثم قم بتطبيق القاعدة الخاصة بك على أي نوع قاعدة يطابق شروطك.

لمزيد من المعلومات، راجع ضبط تنبيه.

راجع أيضًا

التعرف على المزيد