مشاركة عبر

التحقيق في التنبيهات في Microsoft Defender XDR

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

ملاحظة

توضح هذه المقالة تنبيهات الأمان في Microsoft Defender XDR. ومع ذلك، يمكنك استخدام تنبيهات النشاط لإرسال إعلامات البريد الإلكتروني إلى نفسك أو إلى مسؤولين آخرين عندما يقوم المستخدمون بتنفيذ أنشطة محددة في Microsoft 365. لمزيد من المعلومات، راجع إنشاء تنبيهات النشاط - Microsoft Purview | Microsoft Docs.

التنبيهات هي أساس جميع الحوادث وتشير إلى حدوث أحداث ضارة أو مشبوهة في بيئتك. عادة ما تكون التنبيهات جزءا من هجوم أوسع وتوفر أدلة حول حادث.

في Microsoft Defender XDR، يتم تجميع التنبيهات ذات الصلة معا لتشكيل الحوادث. ستوفر الحوادث دائما السياق الأوسع للهجوم، ومع ذلك، يمكن أن يكون تحليل التنبيهات ذا قيمة عند الحاجة إلى تحليل أعمق.

تعرض قائمة انتظار التنبيهات المجموعة الحالية من التنبيهات. يمكنك الوصول إلى قائمة انتظار التنبيهات من الحوادث & التنبيهات > التنبيهات عند التشغيل السريع لمدخل Microsoft Defender.

قسم التنبيهات في مدخل Microsoft Defender

تظهر هنا تنبيهات من حلول أمان Microsoft المختلفة مثل Microsoft Defender لنقطة النهاية و Defender ل Office 365 و Microsoft Sentinel و Defender for Cloud و Defender for Identity و Defender for Cloud Apps و Defender XDR و App Governance و Microsoft Entra ID Protection و Microsoft Data Loss Prevention هنا.

بشكل افتراضي، تعرض قائمة انتظار التنبيهات في مدخل Microsoft Defender التنبيهات الجديدة والمتقدمة من الأيام السبعة الماضية. أحدث تنبيه في أعلى القائمة حتى تتمكن من رؤيته أولا.

من قائمة انتظار التنبيهات الافتراضية، يمكنك تحديد Filter لمشاهدة جزء Filter ، والذي يمكنك من خلاله تحديد مجموعة فرعية من التنبيهات. فيما يلي مثال.

قسم عوامل التصفية في مدخل Microsoft Defender.

يمكنك تصفية التنبيهات وفقا لهذه المعايير:

  • شده
  • حالة
  • فئات
  • مصادر الخدمة/الكشف
  • العلامات
  • السياسات
  • الكيانات (الأصول المتأثرة)
  • حالة التحقيق التلقائي
  • معرفات اشتراك التنبيه

ملاحظة

يمكن لعملاء Microsoft Defender XDR الآن تصفية الحوادث باستخدام التنبيهات حيث يتصل جهاز مخترق بأجهزة التكنولوجيا التشغيلية (OT) المتصلة بشبكة المؤسسة من خلال تكامل اكتشاف الجهاز ل Microsoft Defender for IoT وMicrosoft Defender لنقطة النهاية. لتصفية هذه الحوادث، حدد أي في مصادر الخدمة/الكشف، ثم حدد Microsoft Defender for IoT في اسم المنتج أو راجع التحقيق في الحوادث والتنبيهات في Microsoft Defender for IoT في مدخل Defender. يمكنك أيضا استخدام مجموعات الأجهزة لتصفية التنبيهات الخاصة بالموقع. لمزيد من المعلومات حول متطلبات Defender for IoT الأساسية، راجع البدء في مراقبة إنترنت الأشياء للمؤسسات في Microsoft Defender XDR.

يمكن أن يحتوي التنبيه على علامات النظام و/أو علامات مخصصة بخلفيات ألوان معينة. تستخدم العلامات المخصصة الخلفية البيضاء بينما تستخدم علامات النظام عادة ألوان خلفية حمراء أو سوداء. تحدد علامات النظام ما يلي في حادث:

  • نوع من الهجوم، مثل برامج الفدية الضارة أو التصيد الاحتيالي لبيانات الاعتماد
  • الإجراءات التلقائية، مثل التحقيق والاستجابة التلقائيين وتعطيل الهجوم التلقائي
  • خبراء Defender يعالجون حادثا
  • الأصول الهامة المشاركة في الحادث

تلميح

تقوم إدارة التعرض الأمني من Microsoft، استنادا إلى التصنيفات المحددة مسبقا، بوضع علامة تلقائيا على الأجهزة والهويات وموارد السحابة كأصل مهم. تضمن هذه الإمكانية الجاهزة حماية الأصول القيمة والأكثر أهمية للمؤسسة. كما أنه يساعد فرق عمليات الأمان على تحديد أولويات التحقيق والمعالجة. تعرف على المزيد حول إدارة الأصول الهامة.

الأدوار المطلوبة لتنبيهات Defender ل Office 365

ستحتاج إلى أي من الأدوار التالية للوصول إلى تنبيهات Microsoft Defender ل Office 365:

  • بالنسبة للأدوار العمومية ل Microsoft Entra:

    • المسؤول العام
    • مسؤول الأمان
    • عامل تشغيل الأمان
    • القارئ العام
    • قارئ الأمان

  • مجموعات أدوار التوافق & أمان Office 365

    • مسؤول التوافق
    • إدارة المؤسسة

  • دور مخصص

ملاحظة

توصي Microsoft باستخدام الأدوار ذات الأذونات الأقل للحصول على أمان أفضل. يجب استخدام دور المسؤول العام، الذي لديه العديد من الأذونات، فقط في حالات الطوارئ عندما لا يكون هناك دور آخر مناسب.

تحليل تنبيه

لمشاهدة صفحة التنبيه الرئيسية، حدد اسم التنبيه. فيما يلي مثال.

لقطة شاشة تعرض تفاصيل تنبيه في مدخل Microsoft Defender

يمكنك أيضا تحديد إجراء فتح صفحة التنبيه الرئيسية من جزء إدارة التنبيه .

تتكون صفحة التنبيه من هذه الأقسام:

  • قصة التنبيه، وهي سلسلة الأحداث والتنبيهات المتعلقة بهذا التنبيه بترتيب زمني
  • تفاصيل الملخص

في صفحة التنبيه، يمكنك تحديد علامات الحذف (...) بجانب أي كيان لمشاهدة الإجراءات المتوفرة، مثل ربط التنبيه بحادث آخر. تعتمد قائمة الإجراءات المتوفرة على نوع التنبيه.

مصادر التنبيه

تأتي تنبيهات Microsoft Defender XDR من حلول مثل Microsoft Defender لنقطة النهاية وDefender ل Office 365 وDefender for Identity وDefender for Cloud Apps والوظيفة الإضافية لإدارة التطبيقات ل Microsoft Defender for Cloud Apps وMicrosoft Entra ID Protection وMicrosoft Data Loss Prevention. قد تلاحظ تنبيهات تحتوي على أحرف معلقة مسبقا في التنبيه. يوفر الجدول التالي إرشادات لمساعدتك على فهم تعيين مصادر التنبيه استنادا إلى الحرف الذي تم إلحاقه مسبقا في التنبيه.

ملاحظة

  • تقتصر معرفات المستخدم الرسومية المكتملة مسبقا على التجارب الموحدة فقط مثل قائمة انتظار التنبيهات الموحدة وصفحة التنبيهات الموحدة والتحقيق الموحد والحوادث الموحدة.
  • لا يغير الحرف الذي تم إلحاقه مسبقا GUID للتنبيه. التغيير الوحيد إلى GUID هو المكون الذي تم إلحاقه مسبقا.
مصدر التنبيه معرف التنبيه بالأحرف مسبقة الإنفاق
Microsoft Defender XDR ra{GUID}
ta{GUID} للتنبيهات من ThreatExperts
ea{GUID} للتنبيهات من عمليات الكشف المخصصة
Microsoft Defender لـ Office 365 fa{GUID}
على سبيل المثال:fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint da{GUID}
ed{GUID} للتنبيهات من عمليات الكشف المخصصة
Microsoft Defender للهوية aa{GUID}
على سبيل المثال:aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
على سبيل المثال:ca123a456b-c789-1d2e-12f1g33h445h6i
حماية معرف Microsoft Entra ad{GUID}
إدارة التطبيقات ma{GUID}
منع فقدان بيانات Microsoft dl{GUID}
Microsoft Defender للسحابة dc{GUID}
Microsoft Sentinel sn{GUID}

تكوين خدمة تنبيه عنوان IP ل Microsoft Entra

  1. انتقل إلى مدخل Microsoft Defender (security.microsoft.com)، وحدد الإعدادات>Microsoft Defender XDR.

  2. من القائمة، حدد Alert service settings، ثم قم بتكوين خدمة تنبيه Microsoft Entra ID Protection .

    لقطة شاشة لإعداد تنبيهات Microsoft Entra ID Protection في مدخل Microsoft Defender.

بشكل افتراضي، يتم تمكين التنبيهات الأكثر صلة لمركز عمليات الأمان فقط. إذا كنت ترغب في الحصول على جميع عمليات الكشف عن مخاطر MICROSOFT Entra IP، يمكنك تغييرها في قسم إعدادات خدمة التنبيه .

يمكنك أيضا الوصول إلى إعدادات خدمة التنبيه مباشرة من صفحة الحوادث في مدخل Microsoft Defender.

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

تحليل الأصول المتأثرة

يحتوي قسم الإجراءات المتخذة على قائمة بالأصول المتأثرة، مثل علب البريد والأجهزة والمستخدمين المتأثرين بهذا التنبيه.

يمكنك أيضا تحديد عرض في مركز الصيانة لعرض علامة التبويب محفوظاتمركز الصيانة في مدخل Microsoft Defender.

تتبع دور التنبيه في قصة التنبيه

تعرض قصة التنبيه جميع الأصول أو الكيانات المتعلقة بالتنبيه في طريقة عرض شجرة العملية. التنبيه في العنوان هو التنبيه الذي يتم التركيز عليه عند وصولك لأول مرة إلى صفحة التنبيه المحدد. الأصول في قصة التنبيه قابلة للتوسيع ويمكن النقر فوقها. وهي توفر معلومات إضافية وتسريع استجابتك من خلال السماح لك باتخاذ إجراء صحيح في سياق صفحة التنبيه.

ملاحظة

قد يحتوي قسم قصة التنبيه على أكثر من تنبيه واحد، مع ظهور تنبيهات إضافية تتعلق بنفس شجرة التنفيذ قبل التنبيه الذي حددته أو بعده.

عرض مزيد من معلومات التنبيه على صفحة التفاصيل

تعرض صفحة التفاصيل تفاصيل التنبيه المحدد، مع التفاصيل والإجراءات المتعلقة به. إذا قمت بتحديد أي من الأصول أو الكيانات المتأثرة في قصة التنبيه، فستتغير صفحة التفاصيل لتوفير معلومات وإجراءات سياقية للكائن المحدد.

بمجرد تحديد كيان ذي أهمية، تتغير صفحة التفاصيل لعرض معلومات حول نوع الكيان المحدد، والمعلومات التاريخية عند توفره، وخيارات اتخاذ إجراء بشأن هذا الكيان مباشرة من صفحة التنبيه.

إدارة التنبيهات

لإدارة تنبيه، حدد إدارة التنبيه في قسم تفاصيل الملخص في صفحة التنبيه. للحصول على تنبيه واحد، إليك مثال على جزء إدارة التنبيه .

لقطة شاشة لقسم إدارة التنبيه في مدخل Microsoft Defender

يسمح لك جزء إدارة التنبيه بعرض أو تحديد:

  • حالة التنبيه (جديد، تم حله، قيد التقدم).
  • حساب المستخدم الذي تم تعيين التنبيه له.
  • تصنيف التنبيه:
    • غير معين (افتراضي).
    • إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للتنبيهات التي تشير بدقة إلى تهديد حقيقي. يؤدي تحديد نوع التهديد هذا إلى تنبيهات فريق الأمان الخاص بك لرؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
    • نشاط إعلامي متوقع مع نوع من النشاط. استخدم هذا الخيار للتنبيهات الدقيقة تقنيا، ولكنها تمثل السلوك العادي أو نشاط التهديد المحاكي. تريد بشكل عام تجاهل هذه التنبيهات ولكنك تتوقعها لأنشطة مماثلة في المستقبل حيث يتم تشغيل الأنشطة بواسطة المهاجمين الفعليين أو البرامج الضارة. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
    • إيجابية خاطئة بالنسبة إلى أنواع التنبيهات التي تم إنشاؤها حتى عندما لا يكون هناك نشاط ضار أو إنذار خاطئ. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات التي تم تحديدها عن طريق الخطأ كأحداث أو أنشطة عادية على أنها ضارة أو مريبة. على عكس التنبيهات الخاصة ب "النشاط المعلوماتي المتوقع"، والذي يمكن أن يكون مفيدا أيضا للقبض على التهديدات الحقيقية، لا تريد عموما رؤية هذه التنبيهات مرة أخرى. يساعد تصنيف التنبيهات على أنها إيجابية خاطئة Microsoft Defender XDR على تحسين جودة الكشف الخاصة به.
  • تعليق على التنبيه.

ملاحظة

في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا ("Apt" و"SecurityPersonnel") ولن تكون متاحة عبر واجهة برمجة التطبيقات.

ملاحظة

إحدى طرق إدارة التنبيهات من خلال استخدام العلامات. يتم طرح إمكانية وضع العلامات ل Microsoft Defender ل Office 365 بشكل متزايد وهي قيد المعاينة حاليا.

حاليا، يتم تطبيق أسماء العلامات المعدلة فقط على التنبيهات التي تم إنشاؤها بعد التحديث. لن تعكس التنبيهات التي تم إنشاؤها قبل التعديل اسم العلامة المحدثة.

لإدارة مجموعة من التنبيهات المشابهة لتنبيه معين، حدد عرض تنبيهات مشابهة في مربع INSIGHT في قسم تفاصيل الملخص في صفحة التنبيه.

لقطة شاشة لتحديد تنبيه في مدخل Microsoft Defender

من جزء إدارة التنبيهات ، يمكنك بعد ذلك تصنيف جميع التنبيهات ذات الصلة في نفس الوقت. فيما يلي مثال.

لقطة شاشة لإدارة التنبيهات ذات الصلة في مدخل Microsoft Defender

إذا تم تصنيف تنبيهات مماثلة بالفعل في الماضي، يمكنك توفير الوقت باستخدام توصيات Microsoft Defender XDR لمعرفة كيفية حل التنبيهات الأخرى. من قسم تفاصيل الملخص، حدد Recommendations.

لقطة شاشة لمثال على تحديد توصيات للتنبيه

توفر علامة التبويب Recommendations إجراءات الخطوة التالية ونصائح للتحقيق والمعالجة والوقاية. فيما يلي مثال.

لقطة شاشة لمثال على توصيات التنبيه

ضبط تنبيه

بصفتك محلل مركز عمليات الأمان (SOC)، تتمثل إحدى أهم المشكلات في فرز العدد الهائل من التنبيهات التي يتم تشغيلها يوميا. وقت المحلل ذو قيمة، ويرغب في التركيز فقط على التنبيهات عالية الخطورة والأولوية العالية. وفي الوقت نفسه، يطلب من المحللين أيضا فرز التنبيهات الأقل أولوية وحلها، والتي تميل إلى أن تكون عملية يدوية.

يوفر ضبط التنبيه، المعروف سابقا باسم منع التنبيه، القدرة على ضبط التنبيهات وإدارتها مسبقا. يؤدي هذا إلى تبسيط قائمة انتظار التنبيه وتوفير وقت الفرز عن طريق إخفاء التنبيهات أو حلها تلقائيا، في كل مرة يحدث فيها سلوك تنظيمي متوقع معين ويتم استيفاء شروط القاعدة.

تدعم قواعد ضبط التنبيه الشروط استنادا إلى أنواع الأدلة مثل الملفات والعمليات والمهام المجدولة وأنواع أخرى من الأدلة التي تؤدي إلى التنبيهات. بعد إنشاء قاعدة ضبط تنبيه، قم بتطبيقها على التنبيه المحدد أو أي نوع تنبيه يلبي الشروط المحددة لضبط التنبيه.

يلتقط ضبط التنبيه كتوفر عام التنبيهات فقط من Defender لنقطة النهاية. ومع ذلك، في المعاينة، يتم أيضا توسيع ضبط التنبيه ليشمل خدمات Microsoft Defender XDR الأخرى، بما في ذلك Defender ل Office 365 و Defender for Identity و Defender for Cloud Apps و Microsoft Entra ID Protection (Microsoft Entra IP) وغيرها إذا كانت متوفرة على النظام الأساسي والخطة.

أنذر

نوصي باستخدام ضبط التنبيه بحذر، بالنسبة للسيناريوهات التي تؤدي فيها تطبيقات الأعمال الداخلية أو اختبارات الأمان المعروفة إلى نشاط متوقع ولا تريد رؤية التنبيهات.

إنشاء شروط القاعدة لضبط التنبيهات

إنشاء قواعد ضبط التنبيه من منطقة إعدادات Microsoft Defender XDR أو من صفحة تفاصيل التنبيه. حدد إحدى علامات التبويب التالية للمتابعة.

  1. في مدخل Microsoft Defender، حدد Settings > Microsoft Defender XDR > Alert tuning.

    لقطة شاشة لخيار ضبط التنبيه في صفحة إعدادات Microsoft Defender XDR.

  2. حدد إضافة قاعدة جديدة لضبط تنبيه جديد، أو حدد صف قاعدة موجود لإجراء تغييرات. يؤدي تحديد عنوان القاعدة إلى فتح صفحة تفاصيل القاعدة، حيث يمكنك عرض قائمة بالتنبيهات المقترنة أو تحرير الشروط أو تشغيل القاعدة وإيقاف تشغيلها.

  3. في جزء Tune alert ، ضمن Select service sources، حدد مصادر الخدمة حيث تريد تطبيق القاعدة. يتم عرض الخدمات التي لديك أذونات فيها فقط في القائمة. على سبيل المثال:

    لقطة شاشة للقائمة المنسدلة لمصدر الخدمة في صفحة ضبط تنبيه.

  4. في منطقة الشروط ، أضف شرطا لمشغلات التنبيه. على سبيل المثال، إذا كنت تريد منع تشغيل تنبيه عند إنشاء ملف معين، فحدد شرطا للمشغل File:Custom ، وحدد تفاصيل الملف:

    لقطة شاشة لقائمة IOC في صفحة ضبط تنبيه.

    • تختلف المشغلات المدرجة، اعتمادا على مصادر الخدمة التي حددتها. المشغلات هي جميع مؤشرات الاختراق (IOCs)، مثل الملفات والعمليات والمهام المجدولة وأنواع الأدلة الأخرى التي قد تؤدي إلى تنبيه، بما في ذلك البرامج النصية لواجهة فحص مكافحة البرامج الضارة (AMSI) أو أحداث Windows Management Instrumentation (WMI) أو المهام المجدولة.

    • لتعيين شروط قاعدة متعددة، حدد إضافة عامل تصفية واستخدم ANDوOR وخيارات التجميع لتحديد العلاقات بين أنواع الأدلة المتعددة التي تؤدي إلى التنبيه. يتم ملء خصائص الأدلة الإضافية تلقائيا كمجموعة فرعية جديدة، حيث يمكنك تحديد قيم الشرط الخاصة بك. قيم الشرط ليست حساسة لحالة الأحرف، وبعض الخصائص تدعم أحرف البدل.

  5. في منطقة الإجراء في جزء ضبط التنبيه ، حدد الإجراء ذي الصلة الذي تريد أن تتخذه القاعدة، إما إخفاء التنبيه أو حل التنبيه.

  6. أدخل اسما ذا معنى للتنبيه وتعليقا لوصف التنبيه، ثم حدد حفظ.

ملاحظة

يستند عنوان التنبيه (الاسم) إلى نوع التنبيه (IoaDefinitionId)، الذي يقرر عنوان التنبيه. يمكن أن يتغير تنبيهان يحتويان على نفس نوع التنبيه إلى عنوان تنبيه مختلف.

حل تنبيه

بمجرد الانتهاء من تحليل تنبيه ويمكن حله، انتقل إلى جزء إدارة التنبيه للتنبيه أو التنبيهات المماثلة وقم بوضع علامة على الحالة على أنها تم حلها ثم قم بتصنيفها على أنها إيجابية True مع نوع من التهديد أو نشاط إعلامي أو متوقع بنوع من النشاط أو إيجابي خاطئ.

يساعد تصنيف التنبيهات Microsoft Defender XDR على تحسين جودة الكشف الخاصة به.

استخدام Power Automate لفرز التنبيهات

تحتاج فرق عمليات الأمان الحديثة (SecOps) إلى التشغيل التلقائي للعمل بفعالية. للتركيز على تتبع التهديدات الحقيقية والتحقيق فيها، تستخدم فرق SecOps Power Automate للفرز من خلال قائمة التنبيهات والقضاء على التنبيهات التي ليست تهديدات.

معايير لحل التنبيهات

  • تم تشغيل رسالة خارج المكتب للمستخدم
  • لا يتم وضع علامة على المستخدم على أنه عالي المخاطر

إذا كان كلاهما صحيحا، فإن SecOps يضع علامة على التنبيه على أنه سفر شرعي ويحله. يتم نشر إعلام في Microsoft Teams بعد حل التنبيه.

توصيل Power Automate ب Microsoft Defender for Cloud Apps

لإنشاء الأتمتة، ستحتاج إلى رمز مميز لواجهة برمجة التطبيقات قبل أن تتمكن من توصيل Power Automate ب Microsoft Defender for Cloud Apps.

  1. افتح Microsoft Defender وحدد Settings>Cloud Apps>API token، ثم حدد Add token في علامة التبويب API tokens .

  2. أدخل اسما للرمز المميز الخاص بك، ثم حدد إنشاء. احفظ الرمز المميز كما ستحتاج إليه لاحقا.

إنشاء تدفق تلقائي

شاهد هذا الفيديو القصير لمعرفة كيفية عمل الأتمتة بكفاءة لإنشاء سير عمل سلس وكيفية توصيل Power Automate ب Defender for Cloud Apps.

الخطوات التالية

حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.