مشاركة عبر

تحديد أولويات الحوادث في مدخل Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

يطبق النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender تحليلات الارتباط ويجمع التنبيهات ذات الصلة والتحقيقات التلقائية من منتجات مختلفة في حادث. يقوم Microsoft Sentinel وDefender XDR أيضا بتشغيل تنبيهات فريدة حول الأنشطة التي يمكن تعريفها فقط على أنها ضارة نظرا للرؤية الشاملة في النظام الأساسي الموحد عبر مجموعة المنتجات بأكملها. تمنح طريقة العرض هذه محللي الأمان قصة هجوم أوسع، مما يساعدهم على فهم التهديدات المعقدة والتعامل معها بشكل أفضل عبر مؤسستك.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

قائمة انتظار الحوادث

تعرض قائمة انتظار الحدث مجموعة من الحوادث التي تم إنشاؤها عبر الأجهزة والمستخدمين وعلب البريد والموارد الأخرى. يساعدك على فرز الحوادث لتحديد أولويات وإنشاء قرار استجابة مستنير للأمان عبر الإنترنت، وهي عملية تعرف باسم فرز الحوادث.

يمكنك الوصول إلى قائمة انتظار الحوادث من الحوادث & التنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender. فيما يلي مثال.

لقطة شاشة لقائمة انتظار الحوادث في مدخل Microsoft Defender.

حدد أحدث الحوادث والتنبيهات للتبديل بين توسيع القسم العلوي، والذي يعرض رسما بيانيا زمنيا لعدد التنبيهات المستلمة والحوادث التي تم إنشاؤها في آخر 24 ساعة.

لقطة شاشة للرسم البياني للحوادث على مدار 24 ساعة.

أسفل ذلك، تعرض قائمة انتظار الحوادث في مدخل Microsoft Defender الحوادث التي شوهدت في الأشهر الستة الماضية. يمكنك اختيار إطار زمني مختلف عن طريق تحديده من القائمة المنسدلة في الأعلى. يتم ترتيب الحوادث وفقا لأحدث التحديثات التلقائية أو اليدوية التي تم إجراؤها على حادث. يمكنك ترتيب الحوادث حسب عمود وقت التحديث الأخير لعرض الحوادث وفقا لآخر التحديثات التلقائية أو اليدوية التي تم إجراؤها.

تحتوي قائمة انتظار الحوادث على أعمدة قابلة للتخصيص تمنحك رؤية للخصائص المختلفة للحادث أو الكيانات المتأثرة. تساعدك هذه التصفية على اتخاذ قرار مستنير بشأن تحديد أولويات الحوادث للتحليل. حدد تخصيص الأعمدة لإجراء التخصيصات التالية استنادا إلى طريقة العرض المفضلة لديك:

  • تحقق/قم بإلغاء تحديد الأعمدة التي تريد رؤيتها في قائمة انتظار الحوادث.
  • ترتيب الأعمدة عن طريق سحبها.

لقطة شاشة لعامل تصفية صفحة الحادث وعناصر تحكم العمود.

أسماء الحوادث

لمزيد من الرؤية في لمحة، يقوم Microsoft Defender XDR بإنشاء أسماء الحوادث تلقائيا، استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. تسمح لك هذه التسمية المحددة بفهم نطاق الحدث بسرعة.

على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، فمن المحتمل أن تتغير أسماء أي تنبيهات وحوادث قادمة من Microsoft Sentinel (بغض النظر عما إذا كانت قد تم إنشاؤها قبل الإعداد أو منذه).

نوصي بتجنب استخدام اسم الحدث كشرط لتشغيل قواعد التشغيل التلقائي. إذا كان اسم الحدث شرطا، وتغير اسم الحدث، فلن يتم تشغيل القاعدة.

مرشحات

توفر قائمة انتظار الحوادث أيضا خيارات تصفية متعددة، والتي عند تطبيقها، تمكنك من إجراء مسح واسع لجميع الحوادث الموجودة في بيئتك، أو تقرر التركيز على سيناريو أو تهديد معين. يمكن أن يساعد تطبيق عوامل التصفية على قائمة انتظار الحوادث في تحديد الحدث الذي يتطلب اهتماما فوريا.

تعرض قائمة عوامل التصفية أعلى قائمة الحوادث عوامل التصفية المطبقة حاليا.

من قائمة انتظار الحوادث الافتراضية، يمكنك تحديد إضافة عامل تصفية لمشاهدة القائمة المنسدلة إضافة عامل تصفية ، والتي تحدد منها عوامل التصفية لتطبيقها على قائمة انتظار الحوادث للحد من مجموعة الحوادث المعروضة. فيما يلي مثال.

جزء عوامل التصفية لقائمة انتظار الحوادث في مدخل Microsoft Defender.

حدد عوامل التصفية التي تريد استخدامها، ثم حدد إضافة في أسفل القائمة لتوفيرها.

الآن يتم عرض عوامل التصفية التي حددتها مع عوامل التصفية المطبقة الموجودة. حدد عامل التصفية الجديد لتحديد شروطه. على سبيل المثال، إذا اخترت عامل التصفية "مصادر الخدمة/الكشف"، فحدده لاختيار المصادر التي تريد تصفية القائمة من خلالها.

يمكنك أيضا رؤية جزء Filter عن طريق تحديد أي من عوامل التصفية في قائمة عوامل التصفية أعلى قائمة الحوادث.

يسرد هذا الجدول أسماء عوامل التصفية المتوفرة.

اسم عامل التصفية الوصف/الشروط
حالة حدد جديد أو قيد التقدم أو تم حله.
خطورة التنبيه
خطورة الحادث		 تشير خطورة التنبيه أو الحادث إلى التأثير الذي يمكن أن يحدثه على أصولك. كلما ارتفعت درجة الخطورة، كان التأثير أكبر ويتطلب عادة الاهتمام الأكثر إلحاحا. حدد High أو Medium أو Low أو Informational.
تعيين الحدث حدد المستخدم أو المستخدمين المعينين.
مصادر خدمة متعددة حدد ما إذا كان عامل التصفية لأكثر من مصدر خدمة واحد.
مصادر الخدمة/الكشف حدد الحوادث التي تحتوي على تنبيهات من واحد أو أكثر مما يلي:
  • Microsoft Defender للهوية
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender لـ Office 365
  • إدارة التطبيقات
  • حماية معرف Microsoft Entra
  • منع فقدان بيانات Microsoft
  • Microsoft Defender للسحابة
  • Microsoft Sentinel

    يمكن توسيع العديد من هذه الخدمات في القائمة للكشف عن المزيد من الخيارات لمصادر الكشف داخل خدمة معينة.
    		•
    العلامات حدد اسما واحدا أو أسماء علامات متعددة من القائمة.
    فئة متعددة حدد ما إذا كان عامل التصفية لأكثر من فئة واحدة.
    فئات اختر الفئات للتركيز على تكتيكات أو تقنيات أو مكونات هجوم محددة ينظر إليها.
    الكيانات حدد اسم أصل مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق.
    حساسية البيانات تركز بعض الهجمات على الاستهداف لتصفية البيانات الحساسة أو القيمة. من خلال تطبيق عامل تصفية لتسميات حساسية معينة، يمكنك بسرعة تحديد ما إذا كان من المحتمل اختراق المعلومات الحساسة وتحديد أولويات معالجة هذه الحوادث.

    يعرض عامل التصفية هذا المعلومات فقط عند تطبيق أوصاف الحساسية من Microsoft Purview Information Protection.
    مجموعات الأجهزة حدد اسم مجموعة الأجهزة .
    النظام الأساسي لنظام التشغيل حدد أنظمة تشغيل الجهاز.
    التصنيف حدد مجموعة تصنيفات التنبيهات ذات الصلة.
    حالة التحقيق التلقائي حدد حالة التحقيق التلقائي.
    التهديد المرتبط حدد تهديدا مسمى.
    نُهج التنبيهات حدد عنوان نهج التنبيه.
    معرفات اشتراك التنبيه حدد تنبيها استنادا إلى معرف الاشتراك.

    عامل التصفية الافتراضي هو إظهار جميع التنبيهات والحوادث بحالة جديدوقيد التقدم وبخطورة عالية أو متوسطة أو منخفضة.

    يمكنك إزالة عامل تصفية بسرعة عن طريق تحديد X باسم عامل تصفية في قائمة عوامل التصفية .

    يمكنك أيضا إنشاء مجموعات تصفية داخل صفحة الحوادث عن طريق تحديد استعلامات عامل التصفية المحفوظة > إنشاء مجموعة تصفية. إذا لم يتم إنشاء مجموعات عوامل تصفية، فحدد حفظ لإنشاء واحدة.

    خيار إنشاء مجموعات عوامل التصفية لقائمة انتظار الحوادث في مدخل Microsoft Defender.

    ملاحظة

    يمكن لعملاء Microsoft Defender XDR الآن تصفية الحوادث باستخدام التنبيهات حيث يتصل جهاز مخترق بأجهزة التكنولوجيا التشغيلية (OT) المتصلة بشبكة المؤسسة من خلال تكامل اكتشاف الجهاز ل Microsoft Defender for IoT وMicrosoft Defender لنقطة النهاية. لتصفية هذه الحوادث، حدد أي في مصادر الخدمة/الكشف، ثم حدد Microsoft Defender for IoT في اسم المنتج أو راجع التحقيق في الحوادث والتنبيهات في Microsoft Defender for IoT في مدخل Defender. يمكنك أيضا استخدام مجموعات الأجهزة لتصفية التنبيهات الخاصة بالموقع. لمزيد من المعلومات حول متطلبات Defender for IoT الأساسية، راجع البدء في مراقبة إنترنت الأشياء للمؤسسات في Microsoft Defender XDR.

    حفظ عوامل التصفية المخصصة كعناوين URL

    بمجرد تكوين عامل تصفية مفيد في قائمة انتظار الحوادث، يمكنك وضع إشارة مرجعية على عنوان URL لعلامة تبويب المستعرض أو حفظه كارتباط على صفحة ويب أو مستند Word أو مكان من اختيارك. تمنحك الإشارات المرجعية إمكانية الوصول بنقرة واحدة إلى طرق العرض الرئيسية لقائمة انتظار الحوادث، مثل:

    • حوادث جديدة
    • الحوادث عالية الخطورة
    • الحوادث غير المعينة
    • الحوادث عالية الخطورة وغير المعينة
    • الحوادث المعينة لي
    • الحوادث المعينة لي ول Microsoft Defender لنقطة النهاية
    • الحوادث ذات علامة أو علامات معينة
    • الحوادث ذات فئة تهديد محددة
    • الحوادث ذات التهديد المرتبط المحدد
    • الحوادث مع جهة فاعلة معينة

    بمجرد تجميع قائمة طرق عرض التصفية المفيدة وتخزينها كعناوين URL، استخدمها لمعالجة الحوادث في قائمة الانتظار وتحديد أولوياتها بسرعة وإدارتها للتعيين والتحليل اللاحقين.

    من مربع البحث عن الاسم أو المعرف أعلى قائمة الحوادث، يمكنك البحث عن الحوادث بعدة طرق، للعثور بسرعة على ما تبحث عنه.

    البحث حسب اسم الحدث أو المعرف

    ابحث مباشرة عن حادث عن طريق كتابة معرف الحادث أو اسم الحادث. عند تحديد حدث من قائمة نتائج البحث، يفتح مدخل Microsoft Defender علامة تبويب جديدة مع خصائص الحادث، والتي يمكنك بدء التحقيق منها.

    البحث حسب الأصول المتأثرة

    يمكنك تسمية أصل - مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق أو مورد سحابي - والعثور على جميع الحوادث المتعلقة بهذا الأصل.

    تحديد نطاق زمني

    القائمة الافتراضية للحوادث مخصصة لتلك التي حدثت في الأشهر الستة الماضية. يمكنك تحديد نطاق زمني جديد من مربع القائمة المنسدلة بجوار أيقونة التقويم عن طريق تحديد:

    • يوم واحد
    • ثلاث أيام
    • أسبوع واحد
    • 30 يوماً
    • 30 يوماً
    • ستة أشهر
    • نطاق مخصص يمكنك من خلاله تحديد كل من التواريخ والأوقات

    الخطوات التالية

    بعد تحديد الحدث الذي يتطلب الأولوية القصوى، حدده و:

    • إدارة خصائص الحدث للعلامات والتعيين والحل الفوري للحوادث الإيجابية الزائفة والتعليقات.
    • ابدأ تحقيقاتك.

    راجع أيضًا

    تلميح

    هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.