يمكنك التحقيق في الحوادث في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

يجمع Microsoft Defender XDR جميع التنبيهات والأصول والتحقيقات والأدلة ذات الصلة من جميع أجهزتك والمستخدمين وعلب البريد في حادث ما لمنحك نظرة شاملة على اتساع الهجوم بأكمله.

ضمن الحادث، يمكنك تحليل التنبيهات التي تؤثر على شبكتك، وفهم ما تعنيه، وتجميع الأدلة حتى تتمكن من وضع خطة معالجة فعالة.

التحقيق الأولي

قبل الغوص في التفاصيل، ألق نظرة على الخصائص وقصة الهجوم بأكملها للحادث.

يمكنك البدء بتحديد الحدث من عمود علامة الاختيار. فيما يلي مثال.

تحديد حادث في مدخل Microsoft Defender

عند القيام بذلك، يفتح جزء ملخص بمعلومات رئيسية حول الحادث، مثل الخطورة، لمن تم تعيينه، وفئات MITRE ATT&CK™ للحادث. فيما يلي مثال.

الجزء الذي يعرض تفاصيل الملخص لحادث في مدخل Microsoft Defender.

من هنا، يمكنك تحديد فتح صفحة الحدث. يؤدي هذا إلى فتح الصفحة الرئيسية للحادث حيث ستجد معلومات وعلامات تبويب قصة الهجوم الكاملة للتنبيهات والأجهزة والمستخدمين والتحقيقات والأدلة.

يمكنك أيضا فتح الصفحة الرئيسية لحادث عن طريق تحديد اسم الحدث من قائمة انتظار الحدث.

قصة الهجوم

تساعدك قصص الهجوم على مراجعة الهجمات والتحقيق فيها ومعالجتها بسرعة أثناء عرض القصة الكاملة للهجوم على نفس علامة التبويب. كما يسمح لك بمراجعة تفاصيل الكيان واتخاذ إجراءات المعالجة، مثل حذف ملف أو عزل جهاز دون فقدان السياق.

يتم وصف قصة الهجوم بإيجاز في الفيديو التالي.

ضمن قصة الهجوم، يمكنك العثور على صفحة التنبيه والرسم البياني للحادث.

تحتوي صفحة تنبيه الحادث على هذه الأقسام:

  • قصة التنبيه، والتي تتضمن:

    • ماذا حدث
    • الإجراءات المتخذة
    • الأحداث ذات الصلة
  • خصائص التنبيه في الجزء الأيمن (الحالة والتفاصيل والوصف وغيرها)

لاحظ أنه لن يحتوي كل تنبيه على جميع الأقسام الفرعية المدرجة في قسم قصة التنبيه .

يوضح الرسم البياني النطاق الكامل للهجوم، وكيف انتشر الهجوم عبر شبكتك بمرور الوقت، وأين بدأ، والمسافة التي ذهب إليها المهاجم. وهو يربط الكيانات المشبوهة المختلفة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

من الرسم البياني، يمكنك:

  • قم بتشغيل التنبيهات والعقد على الرسم البياني كما حدثت بمرور الوقت لفهم التسلسل الزمني للهجوم.

    لقطة شاشة تعرض تشغيل التنبيهات والعقد في صفحة الرسم البياني لقصة الهجوم.

  • افتح جزء كيان، مما يسمح لك بمراجعة تفاصيل الكيان والعمل على إجراءات المعالجة، مثل حذف ملف أو عزل جهاز.

    لقطة شاشة تعرض مراجعة تفاصيل الكيان في صفحة الرسم البياني لقصة الهجوم.

  • قم بتمييز التنبيهات استنادا إلى الكيان الذي ترتبط به.

  • ابحث عن معلومات الكيان لجهاز أو ملف أو عنوان IP أو عنوان URL.

يستفيد خيار التتبع من ميزة التتبع المتقدمة للعثور على المعلومات ذات الصلة حول الكيان. يتحقق استعلام go hunt من جداول المخطط ذات الصلة لأي أحداث أو تنبيهات تتضمن الكيان المحدد الذي تحقق فيه. يمكنك تحديد أي من الخيارات للعثور على المعلومات ذات الصلة حول الكيان:

  • راجع جميع الاستعلامات المتوفرة - يقوم الخيار بإرجاع جميع الاستعلامات المتوفرة لنوع الكيان الذي تحقق فيه.
  • All Activity - يقوم الاستعلام بإرجاع جميع الأنشطة المقترنة بكيان ما، ما يوفر لك طريقة عرض شاملة لسياق الحدث.
  • التنبيهات ذات الصلة - يبحث الاستعلام عن جميع تنبيهات الأمان التي تتضمن كيانا معينا ويعيدها، ما يضمن عدم تفويت أي معلومات.

تحديد خيار التتبع على جهاز في قصة هجوم

يمكن ربط السجلات أو التنبيهات الناتجة بحادث عن طريق تحديد نتائج ثم تحديد ارتباط بالحادث.

تمييز خيار الارتباط بالحادث في نتائج استعلام البحث

الملخص

استخدم صفحة الملخص لتقييم الأهمية النسبية للحادث والوصول بسرعة إلى التنبيهات المرتبطة والكيانات المتأثرة. تمنحك صفحة الملخص لمحة مطابقة عن أهم الأشياء التي يجب ملاحظتها حول الحادث.

لقطة شاشة تعرض معلومات الملخص لحادث في مدخل Microsoft Defender.

يتم تنظيم المعلومات في هذه الأقسام.

قسم الوصف
التنبيهات والفئات طريقة عرض مرئية وعددية لمدى تقدم الهجوم ضد سلسلة القتل. كما هو الحال مع منتجات أمان Microsoft الأخرى، تتم محاذاة Microsoft Defender XDR مع إطار عمل MITRE ATT&CK™. يعرض المخطط الزمني للتنبيهات الترتيب الزمني الذي حدثت به التنبيهات ولكل منها، حالتها واسمها.
نطاق يعرض عدد الأجهزة والمستخدمين وعلب البريد المتأثرة ويسرد الكيانات حسب مستوى المخاطر وأولوية التحقيق.
الادله يعرض عدد الكيانات المتأثرة بالحادث.
معلومات الحادث يعرض خصائص الحدث، مثل العلامات والحالة والخطورة.

التنبيهات

في علامة التبويب Alerts ، يمكنك عرض قائمة انتظار التنبيه للتنبيهات المتعلقة بالحادث ومعلومات أخرى عنها مثل:

  • شده.
  • الكيانات التي شاركت في التنبيه.
  • مصدر التنبيهات (Microsoft Defender for Identity، Microsoft Defender لنقطة النهاية، Microsoft Defender لـ Office 365، Defender for Cloud Apps، والوظيفة الإضافية لإدارة التطبيق).
  • سبب ارتباطهما معا.

فيما يلي مثال.

جزء التنبيهات لحادث في مدخل Microsoft Defender

بشكل افتراضي، يتم ترتيب التنبيهات بشكل زمني للسماح لك برؤية كيفية تشغيل الهجوم بمرور الوقت. عند تحديد تنبيه داخل حادث، يعرض Microsoft Defender XDR معلومات التنبيه الخاصة بسياق الحادث الكلي.

يمكنك مشاهدة أحداث التنبيه، التي تسببت التنبيهات الأخرى التي تم تشغيلها في التنبيه الحالي، وجميع الكيانات والأنشطة المتأثرة المشاركة في الهجوم، بما في ذلك الأجهزة والملفات والمستخدمين وعلب البريد.

فيما يلي مثال.

تفاصيل التنبيه داخل حادث في مدخل Microsoft Defender.

تعرف على كيفية استخدام قائمة انتظار التنبيه وصفحات التنبيه في التحقيق في التنبيهات.

الاصول

يمكنك عرض جميع أصولك وإدارتها بسهولة في مكان واحد باستخدام علامة تبويب الأصول الجديدة. تتضمن طريقة العرض الموحدة هذه الأجهزة والمستخدمين وعلب البريد والتطبيقات.

تعرض علامة التبويب Assets العدد الإجمالي للأصول إلى جانب اسمها. يتم تقديم قائمة بالفئات المختلفة مع عدد الأصول ضمن تلك الفئة عند تحديد علامة التبويب Assets.

صفحة الأصول لحادث في مدخل Microsoft Defender

الاجهزه

تسرد طريقة عرض الأجهزة جميع الأجهزة المتعلقة بالحادث. فيما يلي مثال.

صفحة الأجهزة لحادث في مدخل Microsoft Defender

يؤدي تحديد جهاز من القائمة إلى فتح شريط يسمح لك بإدارة الجهاز المحدد. يمكنك تصدير العلامات وإدارتها بسرعة وبدء التحقيق التلقائي والمزيد.

يمكنك تحديد علامة الاختيار لجهاز للاطلاع على تفاصيل الجهاز وبيانات الدليل والتنبيهات النشطة والمستخدمين المسجلين. حدد اسم الجهاز لمشاهدة تفاصيل الجهاز في مخزون جهاز Defender لنقطة النهاية. فيما يلي مثال.

خيارات الأجهزة في صفحة الأصول في مدخل Microsoft Defender.

من صفحة الجهاز، يمكنك جمع معلومات إضافية حول الجهاز، مثل جميع تنبيهاته والجدول الزمني وتوصيات الأمان. على سبيل المثال، من علامة التبويب اليوميات ، يمكنك التمرير عبر المخطط الزمني للجهاز وعرض جميع الأحداث والسلوكيات التي تمت ملاحظتها على الجهاز بترتيب زمني، وتتخللها التنبيهات التي تم رفعها. فيما يلي مثال

تفاصيل الجهاز في صفحة الجهاز في مدخل Microsoft Defender.

تلميح

يمكنك إجراء عمليات فحص عند الطلب على صفحة الجهاز. في مدخل Microsoft Defender، اختر Endpoints > Device inventory. حدد جهازا يحتوي على تنبيهات، ثم قم بتشغيل فحص مكافحة الفيروسات. يتم تعقب الإجراءات، مثل عمليات فحص مكافحة الفيروسات، وتكون مرئية في صفحة مخزون الجهاز . لمعرفة المزيد، راجع تشغيل فحص برنامج الحماية من الفيروسات Microsoft Defender على الأجهزة.

المستخدمون

تسرد طريقة عرض Users جميع المستخدمين الذين تم تحديدهم ليكونوا جزءا من الحدث أو مرتبطين به. فيما يلي مثال.

صفحة المستخدمين في مدخل Microsoft Defender.

يمكنك تحديد علامة الاختيار للمستخدم للاطلاع على تفاصيل تهديد حساب المستخدم والتعرض ومعلومات الاتصال. حدد اسم المستخدم لمشاهدة تفاصيل حساب مستخدم إضافية.

تعرف على كيفية عرض معلومات إضافية للمستخدم وإدارة مستخدمي حادث في التحقيق مع المستخدمين.

صناديق البريد

تسرد طريقة عرض علب البريد جميع علب البريد التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به. فيما يلي مثال.

صفحة علب البريد لحادث في مدخل Microsoft Defender.

يمكنك تحديد علامة الاختيار لعلمة بريد للاطلاع على قائمة بالتنبيهات النشطة. حدد اسم علبة البريد للاطلاع على تفاصيل علبة البريد الإضافية على صفحة المستكشف Defender لـ Office 365.

تطبيقات

تسرد طريقة عرض التطبيقات جميع التطبيقات التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به. فيما يلي مثال.

صفحة التطبيقات لحادث في مدخل Microsoft Defender.

يمكنك تحديد علامة الاختيار لتطبيق ما لمشاهدة قائمة بالتنبيهات النشطة. حدد اسم التطبيق للاطلاع على تفاصيل إضافية في صفحة Explorer ل Defender for Cloud Apps.

التحقيقات

تسرد علامة التبويب Investigations جميع التحقيقات التلقائية التي تم تشغيلها بواسطة التنبيهات في هذا الحادث. ستعرض التحقيقات التلقائية إجراءات المعالجة أو تنتظر موافقة المحلل على الإجراءات، اعتمادا على كيفية تكوين التحقيقات التلقائية لتشغيلها في Defender لنقطة النهاية Defender لـ Office 365.

صفحة التحقيقات لحادث في مدخل Microsoft Defender

حدد تحقيقا للانتقال إلى صفحة التفاصيل الخاصة به للحصول على معلومات كاملة حول حالة التحقيق والمعالجة. إذا كانت هناك أي إجراءات معلقة للموافقة عليها كجزء من التحقيق، فستظهر في علامة التبويب محفوظات الإجراءات المعلقة . اتخاذ إجراء كجزء من معالجة الحوادث.

هناك أيضا علامة تبويب رسم بياني للتحقيق تظهر:

  • اتصال التنبيهات بالأصول المتأثرة في مؤسستك.
  • ما هي الكيانات المرتبطة بالتنبيهات وكيف تشكل جزءا من قصة الهجوم.
  • تنبيهات الحادث.

يساعدك الرسم البياني للتحقيق على فهم النطاق الكامل للهجوم بسرعة من خلال ربط الكيانات المشبوهة المختلفة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

لمزيد من المعلومات، راجع التحقيق والاستجابة التلقائية في Microsoft Defender XDR.

الأدلة والاستجابة

تعرض علامة التبويب الأدلة والاستجابة جميع الأحداث المدعومة والكيانات المشبوهة في التنبيهات في الحادث. فيما يلي مثال.

صفحة الأدلة والاستجابة لحادث في مدخل Microsoft Defender

Microsoft Defender XDR التحقيق تلقائيا في جميع الأحداث المدعومة للحوادث والكيانات المشبوهة في التنبيهات، مما يوفر لك معلومات حول رسائل البريد الإلكتروني والملفات والعمليات والخدمات وعناوين IP المهمة والمزيد. يساعدك هذا على اكتشاف التهديدات المحتملة في الحادث وحظرها بسرعة.

يتم وضع علامة على كل كيان من الكيانات التي تم تحليلها بأحكام (ضارة ومريبة ونظيفة) وحالة معالجة. يساعدك هذا على فهم حالة المعالجة للحادث بأكمله والخطوات التالية التي يمكن اتخاذها.

الموافقة على إجراءات المعالجة أو رفضها

بالنسبة للحوادث ذات حالة المعالجة للموافقة المعلقة، يمكنك الموافقة على إجراء معالجة أو رفضه من داخل الحدث.

  1. في جزء التنقل، انتقل إلى الحوادث & التنبيهات>الحوادث.
  2. قم بالتصفية على الإجراء المعلق لحالة التحقيق التلقائي (اختياري).
  3. حدد اسم حدث لفتح صفحة الملخص الخاصة به.
  4. حدد علامة التبويب الأدلة والاستجابة .
  5. حدد عنصرا في القائمة لفتح جزء القائمة المنبثقة الخاص به.
  6. راجع المعلومات، ثم اتبع إحدى الخطوات التالية:
    • حدد خيار الموافقة على الإجراء المعلق لبدء إجراء معلق.
    • حدد الخيار رفض الإجراء المعلق لمنع اتخاذ إجراء معلق.

الخيار Approve\Reject في جزء إدارة الأدلة والاستجابة لحادث في مدخل Microsoft Defender.

الخطوات التالية

حسب الحاجة:

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.