تحديد أولويات الحوادث في مدخل Microsoft Defender

  • ينطبق على: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

يطبق مدخل Microsoft Defender تحليلات الارتباط ويجمع التنبيهات ذات الصلة والتحقيقات التلقائية من منتجات مختلفة في حادث. Microsoft Sentinel Defender XDR أيضا تنبيهات فريدة حول الأنشطة التي لا يمكن تحديدها إلا على أنها ضارة نظرا للرؤية الشاملة في النظام الأساسي الموحد عبر مجموعة المنتجات بأكملها. تمنح طريقة العرض هذه محللي الأمان قصة هجوم أوسع، مما يساعدهم على فهم التهديدات المعقدة والتعامل معها بشكل أفضل عبر مؤسستك.

هام

تتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، مع أو بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

بعد 31 مارس 2027، لن يتم دعم Microsoft Sentinel في مدخل Azure ولن يتوفر إلا في مدخل Microsoft Defender.

إذا كنت تستخدم حاليا Microsoft Sentinel في مدخل Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender الآن لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي تقدمها Microsoft Defender. لمزيد من المعلومات، راجع نقل بيئة Microsoft Sentinel إلى مدخل Defenderوتخطيط انتقالك إلى مدخل Microsoft Defender لجميع العملاء Microsoft Sentinel (مدونة).

قائمة انتظار الحوادث

تعرض قائمة انتظار الحوادث قائمة انتظار بالحوادث التي تم إنشاؤها عبر الأجهزة والمستخدمين وعلب البريد والموارد الأخرى. يساعدك على فرز الحوادث وتحديد أولويات وإنشاء قرار استجابة مستنير للأمان عبر الإنترنت.

ابحث عن قائمة انتظار الحوادث في الحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender.

حدد أحدث الحوادث والتنبيهات لتبديل مخطط زمني لعدد التنبيهات المستلمة والحوادث التي تم إنشاؤها في آخر 24 ساعة.

لقطة شاشة للرسم البياني للحوادث على مدار 24 ساعة.

تتضمن قائمة انتظار الحوادث Defender Queue Assistant التي تساعد فرق الأمان على قص العدد الكبير من الحوادث والتركيز على الحوادث الأكثر أهمية. باستخدام خوارزمية تحديد أولويات التعلم الآلي، يعرض مساعد قائمة الانتظار الحوادث ذات الأولوية القصوى، ويشرح المنطق وراء تحديد الأولويات، ويوفر أدوات بديهية لفرز وتصفية قائمة انتظار الحوادث. يتم تشغيل الخوارزمية لجميع التنبيهات أو تنبيهات Microsoft الأصلية أو الاكتشافات المخصصة أو إشارات الجهات الخارجية. يتم تدريب الخوارزمية على البيانات مجهولة المصدر في العالم الحقيقي وتراعي، من بين أمور أخرى، نقاط البيانات التالية عند حساب درجة الأولوية:

  • إشارات تعطيل الهجوم
  • تحليلات المخاطر
  • شده
  • Snr
  • تقنيات MITRE
  • أهمية الأصول
  • أنواع التنبيهات وندرتها
  • التهديدات البارزة مثل برامج الفدية الضارة وهجمات الدولة القومية.

يتم تعيين درجة الأولوية للحوادث تلقائيا من 0 إلى 100، مع 100 على رأس أولوياتها. يتم ترميز نطاقات النقاط حسب اللون كما يلي:

  • أحمر: الأولوية القصوى (النتيجة > 85)
  • برتقالي: أولوية متوسطة (15-85)
  • رمادي: أولوية منخفضة (<15)

لقطة شاشة لقائمة انتظار الحوادث في مدخل Microsoft Defender.

حدد صف الحادث في أي مكان باستثناء اسم الحدث، لعرض جزء ملخص يحتوي على معلومات رئيسية حول الحادث. يتضمن الجزء تقييم الأولوية والعوامل التي تؤثر على درجة الأولوية وتفاصيل الحادث والإجراءات الموصى بها والتهديدات ذات الصلة. استخدم السهمين لأعلى ولأسفل في أعلى الجزء للانتقال إلى الحدث السابق أو التالي في قائمة انتظار الحدث. لمزيد من المعلومات حول التحقيق في الحادث، راجع التحقيق في الحوادث.

تحديد حادث في مدخل Microsoft Defender

بشكل افتراضي، تعرض قائمة انتظار الحوادث الحوادث التي تم إنشاؤها في الأسبوع الماضي. اختر إطارا زمنيا مختلفا عن طريق تحديد القائمة المنسدلة لمحدد الوقت أعلى قائمة الانتظار.

لقطة شاشة لمحدد الوقت لقائمة انتظار الحوادث.

يتم عرض العدد الإجمالي للحوادث في قائمة الانتظار بجوار محدد الوقت. يختلف عدد الحوادث اعتمادا على عوامل التصفية المستخدمة. يمكنك البحث عن الحوادث حسب الاسم أو معرف الحدث

حدد تخصيص الأعمدة لتحديد الأعمدة المعروضة في قائمة الانتظار. تحقق من الأعمدة التي تريد رؤيتها في قائمة انتظار الحوادث أو قم بإلغاء تحديدها. ترتيب الأعمدة عن طريق سحبها لأعلى ولأسفل.

لقطة شاشة لعامل تصفية صفحة الحادث وعناصر تحكم العمود.

يسمح لك الزر Export بتصدير البيانات التي تمت تصفيتها في قائمة انتظار الحوادث إلى ملف CSV. الحد الأقصى لعدد السجلات التي يمكنك تصديرها إلى ملف CSV هو 10000.

أسماء الحوادث

لمزيد من الرؤية في لمحة سريعة، يقوم Microsoft Defender XDR بإنشاء أسماء الحوادث تلقائيا، استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. تسمح لك هذه التسمية المحددة بفهم نطاق الحدث بسرعة.

على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

إذا قمت بإلحاق Microsoft Sentinel بمدخل Defender، فمن المحتمل أن تتغير أسماء التنبيهات والحوادث القادمة من Microsoft Sentinel (بغض النظر عما إذا كانت قد تم إنشاؤها قبل الإعداد أو منذه).

نوصي بتجنب استخدام اسم الحدث كشرط لتشغيل قواعد التشغيل التلقائي. إذا كان اسم الحدث شرطا، وتغير اسم الحدث، فلن يتم تشغيل القاعدة.

عوامل التصفيه

توفر قائمة انتظار الحوادث أيضا خيارات تصفية متعددة، والتي عند تطبيقها، تمكنك من إجراء مسح واسع لجميع الحوادث الموجودة في بيئتك، أو تقرر التركيز على سيناريو أو تهديد معين. يمكن أن يساعد تطبيق عوامل التصفية على قائمة انتظار الحوادث في تحديد الحدث الذي يتطلب اهتماما فوريا.

قائمة عوامل تصفية قائمة انتظار الأحداث.

تعرض قائمة عوامل التصفية أعلى قائمة انتظار الحوادث عوامل التصفية الحالية المطبقة حاليا على قائمة الانتظار. حدد إضافة عامل تصفية لتطبيق المزيد من عوامل التصفية للحد من مجموعة الحوادث المعروضة.

جزء عوامل التصفية لقائمة انتظار الحوادث في مدخل Microsoft Defender.

حدد عوامل التصفية التي تريد استخدامها، ثم حدد إضافة. يتم عرض عوامل التصفية المحددة جنبا إلى جنب مع عوامل التصفية المطبقة الموجودة. حدد عامل التصفية الجديد لتحديد شروطه. على سبيل المثال، إذا اخترت عامل التصفية "مصادر الخدمة/الكشف"، فحدده لاختيار المصادر التي تريد تصفية القائمة من خلالها.

يمكنك إزالة عامل تصفية عن طريق تحديد X على اسم عامل التصفية في قائمة عوامل التصفية.

يسرد الجدول التالي عوامل التصفية المتوفرة.

اسم عامل التصفية الوصف/الشروط
حاله حدد جديد أو قيد التقدم أو تم حله.
خطورة التنبيه
خطورة الحادث		 تشير خطورة التنبيه أو الحادث إلى التأثير الذي يمكن أن يحدثه على أصولك. كلما ارتفعت درجة الخطورة، كان التأثير أكبر ويتطلب عادة الاهتمام الأكثر إلحاحا. حدد High أو Medium أو Low أو Informational.
تعيين الحدث حدد المستخدم أو المستخدمين المعينين.
مصادر خدمة متعددة حدد ما إذا كان عامل التصفية لأكثر من مصدر خدمة واحد.
مصادر الخدمة/الكشف حدد الحوادث التي تحتوي على تنبيهات من واحد أو أكثر مما يلي:
  • Microsoft Defender للهوية
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender XDR
  • Microsoft Defender لـ Office 365
  • إدارة التطبيقات
  • حماية Microsoft Entra ID
  • منع فقدان بيانات Microsoft
  • Microsoft Defender للسحابة
  • Microsoft Sentinel
  • إدارة المخاطر الداخلية لـ Microsoft Purview

    يمكن توسيع العديد من هذه الخدمات في القائمة للكشف عن المزيد من الخيارات لمصادر الكشف داخل خدمة معينة.
    		•
    العلامات حدد اسما واحدا أو أسماء علامات متعددة من القائمة.
    فئة متعددة حدد ما إذا كان عامل التصفية لأكثر من فئة واحدة.
    فئات اختر الفئات للتركيز على تكتيكات أو تقنيات أو مكونات هجوم محددة ينظر إليها.
    الكيانات حدد اسم أصل مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق.
    وصف الحساسية تصفية الحوادث استنادا إلى وصف الحساسية المطبق على البيانات. تركز بعض الهجمات على تصفية البيانات الحساسة أو القيمة. من خلال تطبيق عامل تصفية لتسميات حساسية معينة، يمكنك بسرعة تحديد ما إذا كان من المحتمل اختراق المعلومات الحساسة وتحديد أولويات معالجة هذه الحوادث.
    مجموعات الأجهزة حدد اسم مجموعة الأجهزة .
    النظام الأساسي لنظام التشغيل حدد أنظمة تشغيل الجهاز.
    التصنيف حدد مجموعة تصنيفات التنبيهات ذات الصلة.
    حالة التحقيق التلقائي حدد حالة التحقيق التلقائي.
    التهديد المرتبط حدد تهديدا مسمى.
    قاعدة النهج/النهج تصفية الحوادث استنادا إلى قاعدة النهج أو النهج.
    أسماء المنتجات تصفية الحوادث استنادا إلى اسم المنتج.
    دفق البيانات تصفية الحوادث استنادا إلى الموقع أو حمل العمل.

    ملاحظة

    إذا قمت بتوفير الوصول إلى إدارة المخاطر الداخلية في Microsoft Purview، يمكنك عرض وإدارة تنبيهات إدارة المخاطر الداخلية والبحث عن أحداث إدارة المخاطر الداخلية في مدخل Microsoft Defender. لمزيد من المعلومات، راجع التحقيق في تهديدات المخاطر الداخلية في مدخل Microsoft Defender.

    عامل التصفية الافتراضي هو إظهار جميع التنبيهات والحوادث بحالة جديدوقيد التقدم وبخطورة عالية أو متوسطة أو منخفضة.

    يمكنك أيضا إنشاء مجموعات تصفية داخل صفحة الحوادث عن طريق تحديد استعلامات عامل التصفية المحفوظة > إنشاء مجموعة تصفية. إذا لم يتم إنشاء مجموعات عوامل تصفية، فحدد حفظ لإنشاء واحدة.

    خيار إنشاء مجموعات عوامل التصفية لقائمة انتظار الحوادث في مدخل Microsoft Defender.

    ملاحظة

    يمكن للعملاء Microsoft Defender XDR الآن تصفية الحوادث مع التنبيهات حيث يتصل جهاز مخترق بأجهزة التكنولوجيا التشغيلية (OT) المتصلة بشبكة المؤسسة من خلال تكامل اكتشاف الجهاز Microsoft Defender ل IoT و Microsoft Defender لنقطة النهاية. لتصفية هذه الحوادث، حدد أي في مصادر الخدمة/الكشف، ثم حدد Microsoft Defender ل IoT في اسم المنتج أو راجع التحقيق في الحوادث والتنبيهات في Microsoft Defender ل IoT في مدخل Defender. يمكنك أيضا استخدام مجموعات الأجهزة لتصفية التنبيهات الخاصة بالموقع. لمزيد من المعلومات حول المتطلبات الأساسية ل Defender for IoT، راجع بدء استخدام مراقبة إنترنت الأشياء للمؤسسات في Microsoft Defender XDR.

    حفظ عوامل التصفية المخصصة كعناوين URL

    بمجرد تكوين عامل تصفية مفيد في قائمة انتظار الحوادث، يمكنك وضع إشارة مرجعية على عنوان URL لعلامة تبويب المستعرض أو حفظه كارتباط على صفحة ويب أو مستند Word أو مكان من اختيارك. تمنحك الإشارات المرجعية إمكانية الوصول بنقرة واحدة إلى طرق العرض الرئيسية لقائمة انتظار الحوادث، مثل:

    • حوادث جديدة
    • الحوادث عالية الخطورة
    • الحوادث غير المعينة
    • الحوادث عالية الخطورة وغير المعينة
    • الحوادث المعينة لي
    • الحوادث المعينة لي ول Microsoft Defender لنقطة النهاية
    • الحوادث ذات علامة أو علامات معينة
    • الحوادث ذات فئة تهديد محددة
    • الحوادث ذات التهديد المرتبط المحدد
    • الحوادث مع جهة فاعلة معينة

    بمجرد تجميع قائمة طرق عرض التصفية المفيدة وتخزينها كعناوين URL، استخدمها لمعالجة الحوادث في قائمة الانتظار وتحديد أولوياتها بسرعة وإدارتها للتعيين والتحليل اللاحقين.

    من مربع البحث عن الاسم أو المعرف أعلى قائمة الحوادث، يمكنك البحث عن الحوادث بعدة طرق، للعثور بسرعة على ما تبحث عنه.

    البحث حسب اسم الحدث أو المعرف

    ابحث مباشرة عن حادث عن طريق كتابة معرف الحادث أو اسم الحادث. عند تحديد حدث من قائمة نتائج البحث، يفتح مدخل Microsoft Defender علامة تبويب جديدة مع خصائص الحادث، والتي يمكنك من خلالها بدء التحقيق.

    البحث حسب الأصول المتأثرة

    يمكنك تسمية أصل - مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق أو مورد سحابي - والعثور على جميع الحوادث المتعلقة بهذا الأصل.

    تحديد نطاق زمني

    القائمة الافتراضية للحوادث مخصصة لتلك التي حدثت في الأشهر الستة الماضية. يمكنك تحديد نطاق زمني جديد من مربع القائمة المنسدلة بجوار أيقونة التقويم عن طريق تحديد:

    • يوم واحد
    • ثلاث أيام
    • أسبوع واحد
    • 30 يوماً
    • 30 يوماً
    • ستة أشهر
    • نطاق مخصص يمكنك من خلاله تحديد كل من التواريخ والأوقات

    الخطوات التالية

    بعد تحديد الحدث الذي يتطلب الأولوية القصوى، حدده و:

    • إدارة خصائص الحدث للعلامات والتعيين والحل الفوري للحوادث الإيجابية الزائفة والتعليقات.
    • ابدأ تحقيقاتك.

    Defender Boxed

    لفترة محدودة خلال شهري يناير ويوليو من كل عام، يظهر Defender Boxed تلقائيا عند فتح قائمة انتظار الحدث لأول مرة. يسلط Defender Boxed الضوء على نجاح الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال الأشهر الستة السابقة أو السنة التقويمية.

    Defender Boxed كما هو موضح في قائمة انتظار الحدث.

    ملاحظة

    يتوفر Defender Boxed فقط للمستخدمين الذين قاموا بأنشطة قابلة للتطبيق في مدخل Microsoft Defender.

    يمكنك القيام بالإجراءات التالية في سلسلة البطاقات التي تظهر في Defender Boxed:

    • قم بتنزيل ملخص مفصل لإنجازاتك التي يمكن مشاركتها مع الآخرين في مؤسستك.

      لقطة شاشة لشريحة Defender Boxed مع تمييز خيار ملخص التنزيل.

    • تغيير تكرار عدد المرات التي سيظهر فيها Defender Boxed. يمكنك الاختيار بين مرة واحدة (كل يناير) أو مرتين (كل يناير ويوليو) في السنة.

      لقطة شاشة لشريحة Defender Boxed مع تمييز التردد.

    • شارك إنجازاتك مع شبكات التواصل الاجتماعي والبريد الإلكتروني والمنتديات الأخرى من خلال حفظ الشريحة كصورة.

      لقطة شاشة لشريحة Defender Boxed مع تمييز خيار الحفظ.

    لإعادة فتح Defender Boxed، انتقل إلى قائمة انتظار Incidents ثم حدد Your Defender Boxed على الجانب الأيمن من الجزء.

    لقطة شاشة لخيار Defender Boxed المميز في صفحة الحوادث.

    راجع أيضًا

    تلميح

    هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

    • Last updated on