التنبيهات والحوادث والارتباط في Microsoft Defender XDR

مقالة
06/19/2024
ينطبق على:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

في Microsoft Defender XDR، التنبيهات هي إشارات من مجموعة من المصادر التي تنتج عن أنشطة مختلفة للكشف عن التهديدات. تشير هذه الإشارات إلى حدوث أحداث ضارة أو مشبوهة في بيئتك. غالبا ما تكون التنبيهات جزءا من قصة هجوم أوسع ومعقدة، ويتم تجميع التنبيهات ذات الصلة وربطها معا لتشكيل الحوادث التي تمثل قصص الهجوم هذه.

توفر الحوادث الصورة الكاملة للهجوم. تربط خوارزميات Microsoft Defender XDR تلقائيا الإشارات (التنبيهات) من جميع حلول الأمان والتوافق من Microsoft، وكذلك من أعداد هائلة من الحلول الخارجية من خلال Microsoft Sentinel وMicrosoft Defender for Cloud. يحدد Defender XDR إشارات متعددة على أنها تنتمي إلى نفس قصة الهجوم، باستخدام الذكاء الاصطناعي لمراقبة مصادر بيانات تتبع الاستخدام الخاصة به باستمرار وإضافة المزيد من الأدلة إلى الحوادث المفتوحة بالفعل.

تعمل الحوادث أيضا ك "ملفات حالة"، ما يوفر لك نظاما أساسيا لإدارة وتوثيق تحقيقاتك. لمزيد من المعلومات حول وظائف الحوادث في هذا الصدد، راجع الاستجابة للحوادث في مدخل Microsoft Defender.

هام

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

فيما يلي ملخص للسمات الرئيسية للحوادث والتنبيهات، والاختلافات بينها:

الحوادث:

هي "وحدة القياس" الرئيسية لعمل مركز عمليات الأمان (SOC).
عرض السياق الأوسع للهجوم - قصة الهجوم.
تمثيل "ملفات القضايا" لجميع المعلومات اللازمة للتحقيق في التهديد ونتائج التحقيق.
يتم إنشاؤها بواسطة Microsoft Defender XDR لاحتواء تنبيه واحد على الأقل، وفي كثير من الحالات، تحتوي على العديد من التنبيهات.
قم بتشغيل سلسلة تلقائية من الاستجابات للتهديد، باستخدام قواعد الأتمتة وتعطل الهجوم ودلائل المبادئ.
سجل جميع الأنشطة المتعلقة بالتهديد والتحقيق فيه وحله.

تنبيهات:

تمثيل الأجزاء الفردية من القصة الضرورية لفهم الحادث والتحقيق فيه.
يتم إنشاؤها بواسطة العديد من المصادر المختلفة الداخلية والخارجية لمدخل Defender.
يمكن تحليلها بنفسها لإضافة قيمة عند الحاجة إلى تحليل أعمق.
يمكن أن يؤدي إلى إجراء تحقيقات واستجابات تلقائية على مستوى التنبيه، لتقليل تأثير التهديد المحتمل.

مصادر التنبيه

يتم إنشاء تنبيهات Microsoft Defender XDR بواسطة العديد من المصادر:

الحلول التي تعد جزءا من Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender لـ Office 365
- Microsoft Defender للهوية
- Microsoft Defender for Cloud Apps
- الوظيفة الإضافية لإدارة التطبيق ل Microsoft Defender for Cloud Apps
- حماية معرف Microsoft Entra
- منع فقدان بيانات Microsoft
الخدمات الأخرى التي لديها تكاملات مع مدخل أمان Microsoft Defender
- Microsoft Sentinel
- حلول الأمان غير التابعة ل Microsoft التي تمرر تنبيهاتها إلى Microsoft Sentinel
- Microsoft Defender للسحابة

يقوم Microsoft Defender XDR نفسه أيضا بإنشاء تنبيهات. مع إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، يمكن لمحرك الارتباط ل Microsoft Defender XDR الآن الوصول إلى جميع البيانات الأولية التي تم استيعابها بواسطة Microsoft Sentinel. (يمكنك العثور على هذه البيانات في جداول التتبع المتقدمة .) توفر قدرات الارتباط الفريدة ل Defender XDR طبقة أخرى من تحليل البيانات واكتشاف التهديدات لجميع الحلول غير التابعة ل Microsoft في ممتلكاتك الرقمية. تنتج هذه الاكتشافات تنبيهات Defender XDR، بالإضافة إلى التنبيهات التي تم توفيرها بالفعل بواسطة قواعد تحليلات Microsoft Sentinel.

عند عرض التنبيهات من مصادر مختلفة معا، تتم الإشارة إلى مصدر كل تنبيه بواسطة مجموعات من الأحرف الملحقة مسبقا بمعرف التنبيه. يقوم جدول مصادر التنبيه بتعيين مصادر التنبيه إلى بادئة معرف التنبيه.

إنشاء الحدث وارتباط التنبيه

عند إنشاء التنبيهات بواسطة آليات الكشف المختلفة في مدخل أمان Microsoft Defender، كما هو موضح في القسم السابق، يضعها Defender XDR في حوادث جديدة أو موجودة وفقا للمنطق التالي:

السيناريو	مقرر
التنبيه فريد بما فيه الكفاية عبر جميع مصادر التنبيه ضمن إطار زمني معين.	ينشئ Defender XDR حادثا جديدا ويضيف التنبيه إليه.
يرتبط التنبيه بشكل كاف بالتنبيهات الأخرى - من نفس المصدر أو عبر المصادر - ضمن إطار زمني معين.	يضيف Defender XDR التنبيه إلى حادث موجود.

المعايير التي يستخدمها Microsoft Defender لربط التنبيهات معا في حادث واحد هي جزء من منطق الارتباط الداخلي الخاص به. هذا المنطق مسؤول أيضا عن إعطاء اسم مناسب للحادث الجديد.

ارتباط الحادث ودمجه

لا تتوقف أنشطة ارتباط Microsoft Defender XDR عند إنشاء الحوادث. يستمر Defender XDR في الكشف عن القواسم المشتركة والعلاقات بين الحوادث، وبين التنبيهات عبر الحوادث. عندما يتم تحديد حادثين أو أكثر على أنهما متشابهان بشكل كاف، يدمج Defender XDR الحوادث في حادث واحد.

كيف يتخذ Defender XDR هذا التحديد؟

يدمج محرك الارتباط ل Defender XDR الحوادث عندما يتعرف على العناصر الشائعة بين التنبيهات في حوادث منفصلة، بناء على معرفته العميقة بالبيانات وسلوك الهجوم. وتشمل بعض هذه العناصر ما يلي:

الكيانات - أصول مثل المستخدمين والأجهزة وعلب البريد وغيرها
البيانات الاصطناعية - الملفات والعمليات ومرسلي البريد الإلكتروني وغيرهم
الإطارات الزمنية
تسلسلات الأحداث التي تشير إلى هجمات متعددة المراحل - على سبيل المثال، حدث النقر فوق بريد إلكتروني ضار يتبع عن كثب اكتشاف البريد الإلكتروني للتصيد الاحتيالي.

متى لا يتم دمج الحوادث؟

حتى عندما يشير منطق الارتباط إلى أنه يجب دمج حادثين، لا يدمج Defender XDR الحوادث في ظل الظروف التالية:

أحد الحوادث له حالة "مغلق". لا يتم إعادة فتح الحوادث التي تم حلها.
يتم تعيين الحدثين المؤهلين للدمج لشخصين مختلفين.
سيؤدي دمج الحادثين إلى زيادة عدد الكيانات في الحادث المدمج فوق الحد الأقصى المسموح به.
يحتوي الحادثان على أجهزة في مجموعات أجهزة مختلفة كما هو محدد من قبل المؤسسة.
(هذا الشرط غير ساري بشكل افتراضي؛ يجب تمكينه.)

ماذا يحدث عند دمج الحوادث؟

عند دمج حادثين أو أكثر، لا يتم إنشاء حدث جديد لاستيعابهما. بدلا من ذلك، يتم ترحيل محتويات حدث واحد إلى الحادث الآخر، ويتم إغلاق الحدث الذي تم التخلي عنه في العملية تلقائيا. لم يعد الحدث المهجور مرئيا أو متوفرا في Microsoft Defender XDR، ويتم إعادة توجيه أي إشارة إليه إلى الحدث الموحد. يظل الحدث المهجور والمغلق متاحا في Microsoft Sentinel في مدخل Microsoft Azure. تتم معالجة محتويات الحوادث بالطرق التالية:

يتم نقل التنبيهات الواردة في الحادث المهجور إلى الحادث الموحد.
تتبع الكيانات (الأصول وما إلى ذلك) التنبيهات المرتبطة بها.
تضاف قواعد التحليلات المسجلة على أنها متورطة في إنشاء الحادث المهجور إلى القواعد المسجلة في الحادث الموحد.
حاليا، لا يتم نقل التعليقات وإدخالات سجل النشاط في الحادث المهجور إلى الحدث الموحد. لمشاهدة تعليقات الحدث المهجور وسجل النشاط، افتح الحدث في Microsoft Sentinel في مدخل Microsoft Azure.

الارتباط اليدوي

بينما يستخدم Microsoft Defender XDR بالفعل آليات ارتباط متقدمة، قد ترغب في تحديد ما إذا كان تنبيه معين ينتمي إلى حدث معين أم لا. في مثل هذه الحالة، يمكنك إلغاء ربط تنبيه من حادث وربطه بآخر. يجب أن ينتمي كل تنبيه إلى حادث، بحيث يمكنك إما ربط التنبيه بحادث موجود آخر، أو بحادث جديد تقوم بإنشائه على الفور.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

الخطوات التالية

اقرأ المزيد حول الحوادث والتحقيق والاستجابة: الاستجابة للحوادث في مدخل Microsoft Defender

مشاركة عبر