إدارة الحوادث في Microsoft Defender
تعد إدارة الحوادث أمرا بالغ الأهمية لضمان تسمية الحوادث وتعيينها ووضع علامة عليها لتحسين الوقت في سير عمل الحدث واحتواء التهديدات ومعالجتها بسرعة أكبر.
إدارة الحوادث من التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender (security.microsoft.com). فيما يلي مثال.
توضح لك هذه المقالة كيفية تنفيذ مهام إدارة الحوادث المختلفة المرتبطة بمراحلي مختلفة في دورة حياة الحدث.
- تحرير اسم الحدث.
- تقييم تدقيق النشاط وإضافة تعليقات في سجل النشاط.
- تصدير بيانات الحادث إلى PDF.
يمكن الوصول إلى معظم هذه المهام من جزء إدارة الحوادث لحدث ما. يمكنك الوصول إلى هذا الجزء من أي من المواقع المتعددة.
حدد التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender.
من قائمة انتظار الحوادث، قم بالوصول إلى جزء إدارة الحوادث بإحدى طريقتين:
حدد التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender.
حدد اسم حدث من قائمة الانتظار. أو حدد صف حدث في قائمة الانتظار ثم حدد فتح صفحة الحدث من جزء تفاصيل الحادث.
من صفحة الحدث، حدد Manage incident من اللوحة العلوية.
إذا لم تكن إدارة الحادث مرئية، فحدد النقاط الثلاث في الزاوية العلوية اليسرى (مرئية في لقطة الشاشة التالية بجوار "إدارة الحدث")، وحددها من القائمة التي تظهر.
ترتبط مهام الإدارة التالية ارتباطا وثيقا بفرز الحوادث، على الرغم من أنه يمكن تنفيذها في أي وقت.
بشكل افتراضي، يتم إنشاء حوادث جديدة بدون مالك. من الناحية المثالية، يجب أن يكون لدى فريق SecOps آليات وإجراءات لتعيين الحوادث تلقائيا إلى المالكين. قد تحتاج إلى إعادة تعيين حدث في حالة التصعيد أو التعيين الأصلي الخاطئ.
لتعيين مالك جديد يدويا لحدث ما، اتبع الخطوات التالية:
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
حدد المربع تعيين إلى . تظهر قائمة منسدلة من المعينين المقترحين.
إذا رأيت حساب المستخدم أو المجموعة الذي تريد تعيين الحدث إليه، فحدده.
وإلا، ابدأ بكتابة اسم أو معرف الحساب للمستخدم المطلوب أو المجموعة المطلوبة في مربع النص أعلى القائمة. يتم تحديث القائمة ديناميكيا، وتصفيتها حسب ما تكتبه. عندما ترى المستخدم أو المجموعة التي تريدها، حددها.
لإزالة واجب موجود، بما في ذلك أي تعيين أضفته للتو، حدد X بجوار اسم الحساب. ثم حدد المربع تعيين إلى إذا كنت تريد إضافة واجب آخر.
يمكن تعيين حساب مستخدم أو مجموعة واحد فقط إلى حادث.
حدد حفظ.
تعيين ملكية حدث يعين نفس الملكية لجميع التنبيهات المرتبطة به.
لمشاهدة قائمة الحوادث المعينة لمستخدم أو مجموعة معينة، قم بتصفية قائمة انتظار الحوادث:
من قائمة انتظار الحدث، حدد عامل تصفية تعيين الحدث . تظهر قائمة منسدلة من المعينين المقترحين.
إذا لم تتمكن من رؤية تعيين الحدث بين عوامل التصفية، فحدد إضافة عامل تصفية، وحدد تعيين الحدث من القائمة المنسدلة، وحدد إضافة.
إذا رأيت حساب المستخدم الذي تريد عرض الأحداث المعينة له، فحدده.
وإلا، ابدأ بكتابة اسم أو معرف الحساب للمستخدم المطلوب أو المجموعة المطلوبة في مربع النص أعلى القائمة. يتم تحديث القائمة ديناميكيا، وتصفيتها حسب ما تكتبه. عندما ترى المستخدم أو المجموعة التي تريدها، حددها.
على عكس تعيين الحوادث، يمكنك هنا تحديد أكثر من معين واحد لتصفية القائمة حسبها. لإضافة حساب مستخدم أو مجموعة آخر إلى عامل التصفية، حدد مربع النص (بجوار الحساب الموجود في عامل التصفية)، وتظهر قائمة المعينين المقترحين مرة أخرى.
حدد تطبيق.
لحفظ ارتباط إلى قائمة انتظار الحوادث مع تطبيق عوامل التصفية الحالية، حدد نسخ ارتباط القائمة من شريط الأدوات في صفحة قائمة انتظار الحوادث. أنشئ اختصارا في المفضلة أو على سطح المكتب والصق الارتباط فيه.
يتم تحديد خطورة الحادث من خلال أعلى خطورة للتنبيهات المرتبطة به. يمكن تعيين خطورة الحادث إلى عالية أو متوسطة أو منخفضة أو إعلامية.
لتعيين خطورة الحادث أو تغييرها يدويا، اتبع الخطوات التالية:
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
حدد قيمة الخطورة التي تريد تطبيقها من القائمة المنسدلة Severity في جزء Manage incident .
حدد حفظ.
تضيف العلامات المخصصة معلومات لإعارة سياق لحادث. على سبيل المثال، يمكن للعلامة تسمية مجموعة من الحوادث بخاصية مشتركة. العلامات هي معايير للتصفية، بحيث يمكنك لاحقا تصفية قائمة انتظار الحوادث لجميع الحوادث التي تحتوي على علامة معينة. لتطبيق علامة على حادث:
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
في الحقل علامات الحدث ، ابدأ بكتابة اسم العلامة التي تريد تطبيقها. أثناء الكتابة، تظهر قائمة بالعلامات المستخدمة مسبقا والمحددة. إذا رأيت العلامة التي تريد تطبيقها في القائمة، فحددها.
إذا كتبت اسم علامة لم يتم استخدامه من قبل، فحدد الإدخال الأخير في القائمة، وهو النص الذي كتبته متبوعا ب "(إنشاء جديد)."
ثم تظهر العلامة كتسمية داخل حقل علامات الحدث. كرر هذه الخطوة لإضافة المزيد من العلامات كما تريد.
حدد حفظ.
يمكن أن تحتوي الحادثة على علامات النظام و/أو علامات مخصصة بخلفيات ألوان معينة. تستخدم العلامات المخصصة الخلفية البيضاء بينما تستخدم علامات النظام عادة ألوان خلفية حمراء أو سوداء. تحدد علامات النظام ما يلي في حادث:
- نوع من الهجوم، مثل التصيد الاحتيالي لبيانات الاعتماد أو الاحتيال في BEC
- الإجراءات التلقائية، مثل التحقيق والاستجابة التلقائيين وتعطيل الهجوم التلقائي
- خبراء Defender يعالجون حادثا
- الأصول الهامة المشاركة في الحادث
تلميح
تقوم إدارة التعرض للأمان من Microsoft، استنادا إلى التصنيفات المحددة مسبقا، بوضع علامة تلقائيا على الأجهزة والهويات وموارد السحابة كأصل مهم. تضمن هذه الإمكانية الجاهزة حماية الأصول القيمة والأكثر أهمية للمؤسسة. كما أنه يساعد فرق عمليات الأمان على تحديد أولويات التحقيق والمعالجة. تعرف على المزيد حول إدارة الأصول الهامة.
تبدأ الحوادث الحياة بحالة نشطة. عند العمل على حادث، قم بتغيير الحالة إلى قيد التقدم.
ترتبط مهام الإدارة التالية ارتباطا وثيقا بالتحقيق في الحوادث وحلها، على الرغم من أنه يمكن تنفيذها في أي وقت.
عند معالجة حدث وحله، اتخذ الإجراءات التالية لتسجيل الحل:
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
تغيير الحالة. حدد تم الحل من القائمة المنسدلة الحالة . عند تغيير حالة الحدث إلى تم الحل، يتم عرض حقل جديد مباشرة بعد حقل الحالة .
أدخل ملاحظة في هذا الحقل توضح سبب اعتبارك تم حل الحادث. هذه الملاحظة مرئية في سجل نشاط الحادث، بالقرب من الإدخال الذي يسجل حل الحادث.
ملاحظة الدقة مرئية أيضا في لوحة تفاصيل الحادث في كل من صفحة قائمة انتظار الحوادث وصفحة الحادث لحادث تم حله.
حدد حفظ.
يؤدي حل الحادث أيضا إلى حل جميع التنبيهات المرتبطة والنشطة المتعلقة بالحادث. تظهر الحادثة التي لم يتم حلها على أنها نشطة.
عند حل حادث، أو في أي وقت في التحقيق في الحادث، بمجرد أن تصبح على دراية بكيفية تصنيف الحادث، قم بتعيين حقل التصنيف وفقا لذلك.
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
اختر القيمة المناسبة من القائمة المنسدلة Classification :
- غير معين (الافتراضي).
- إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للحوادث التي تشير بدقة إلى تهديد حقيقي. يساعد تحديد نوع التهديد فريق الأمان على رؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
- نشاط إعلامي متوقع مع نوع من النشاط. استخدم الخيارات الموجودة في هذه الفئة لتصنيف الحوادث لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
- يمكن تجاهل إيجابية خاطئة لأنواع الحوادث التي تحددها لأنها غير دقيقة تقنيا أو مضللة.
راجع الأنواع المتاحة من الأنشطة والتهديدات لكل من هذه التصنيفات في لقطة الشاشة التالية.
حدد حفظ.
يساعد تصنيف الحوادث وتحديد حالتها ونوعها على ضبط Microsoft Defender لتوفير تحديد اكتشاف أفضل بمرور الوقت.
على مدار التحقيق والحادث، أضف تعليقات لتسجيل أنشطتك ونتائج تحليلاتك واستنتاجاتك.
افتح سجل نشاط الحدث. من صفحة الحادث، أو من لوحة تفاصيل الحادث في صفحة قائمة انتظار الحدث، حدد النقاط الثلاث في الزاوية العلوية اليسرى، ومن القائمة الناتجة، حدد سجل النشاط.
اكتب تعليقك في حقل النص. يدعم حقل التعليق النص والتنسيق والارتباطات والصور. يقتصر كل تعليق على 30000 حرف.
حدد حفظ.
تتم إضافة جميع التعليقات إلى الأحداث التاريخية للحادث. يمكنك مشاهدة تعليقات ومحفوظات حادث من ارتباط التعليقات والمحفوظات في صفحة الملخص .
يمكن ربط مهام الإدارة التالية بالتدقيق والإبلاغ عن تحقيقات الحوادث، على الرغم من أنه يمكن تنفيذها في أي وقت.
- تحرير اسم الحدث.
- تقييم تدقيق النشاط وإضافة تعليقات في سجل النشاط.
- تصدير بيانات الحادث إلى PDF.
Microsoft Defender تعيين اسم تلقائيا استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. يسمح لك اسم الحادث بفهم نطاق الحدث بسرعة. على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.
لتحرير اسم الحدث، اتبع الخطوات التالية:
اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.
اكتب اسما جديدا في حقل اسم الحدث في جزء إدارة الحوادث .
حدد حفظ.
ملاحظة
تحتفظ الحوادث التي كانت موجودة قبل إطلاق ميزة التسمية التلقائية للحوادث بأسماءها.
إذا تم دمج حادث آخر في حادث تمت إعادة تسميته، فإن Defender يعطي الحدث اسما جديدا، ويستبدل أي اسم مخصص قمت بإعطائه مسبقا.
عند إجراء عملية ما بعد الوفاة لحادث، اعرض سجل نشاط الحدث للاطلاع على محفوظات الإجراءات التي تم تنفيذها على الحادث (تسمى "عمليات التدقيق") وأي تعليقات مسجلة. يتم تسجيل جميع التغييرات التي تم إجراؤها على الحدث، سواء من قبل مستخدم أو بواسطة النظام، في سجل النشاط.
افتح سجل نشاط الحدث. من صفحة الحادث، أو من لوحة تفاصيل الحادث في صفحة قائمة انتظار الحدث، حدد النقاط الثلاث في الزاوية العلوية اليسرى، ومن القائمة الناتجة، حدد سجل النشاط.
تصفية الأنشطة داخل السجل حسب التعليقات والإجراءات. حدد المحتوى: عمليات التدقيق، ثم حدد التعليقات نوع المحتوى لتصفية الأنشطة. فيما يلي مثال.
حدد تطبيق.
يمكنك أيضا إضافة تعليقاتك الخاصة باستخدام مربع التعليق المتوفر داخل سجل النشاط. يقبل مربع التعليق النص والتنسيق والارتباطات والصور.
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتج الذي تم إصداره مسبقاً والذي قد يتم تعديله بشكل كبير قبل إصداره تجارياً. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
يمكنك تصدير بيانات الحدث إلى PDF من خلال حدث التصدير كدالة PDF وحفظها بتنسيق PDF. تسمح هذه الوظيفة لفرق الأمان بمراجعة تفاصيل الحادث دون اتصال في أي وقت.
تتضمن بيانات الحادث التي تم تصديرها المعلومات التالية:
- نظرة عامة تحتوي على تفاصيل الحادث
- الرسم البياني لقصة الهجوم وفئات التهديد
- الأصول المتأثرة، تغطي ما يصل إلى 10 أصول لكل نوع من أنواع الأصول
- قائمة الأدلة التي تغطي ما يصل إلى 100 عنصر
- بيانات الدعم، بما في ذلك جميع التنبيهات والأنشطة ذات الصلة المسجلة في سجل النشاط
فيما يلي مثال على ملف PDF الذي تم تصديره:
إذا كان لديك ترخيص Copilot for Security ، فإن PDF المصدر يحتوي على بيانات الحوادث الإضافية التالية:
تتوفر دالة التصدير إلى PDF أيضا في اللوحة الجانبية Copilot. عند تحديد علامة الحذف More actions (...) في الزاوية العلوية اليسرى من بطاقة نتائج تقرير الحدث، يمكنك اختيار تصدير الحدث بتنسيق PDF.
لإنشاء ملف PDF، قم بتنفيذ الخطوات التالية:
افتح صفحة حدث. حدد علامة الحذف More actions (...) في الزاوية العلوية اليسرى واختر Export incident as PDF.
في مربع الحوار الذي يظهر بعد ذلك، تأكد من معلومات الحادث التي تريد تضمينها أو استبعادها في ملف PDF. يتم تحديد جميع معلومات الحادث بشكل افتراضي. حدد تصدير PDF للمتابعة.
تظهر رسالة حالة تشير إلى الحالة الحالية للتنزيل أسفل عنوان الحدث. قد تستغرق عملية التصدير بضع دقائق اعتمادا على تعقيد الحادث ومقدار البيانات التي سيتم تصديرها.
يظهر مربع حوار آخر يشير إلى أن ملف PDF جاهز. حدد تنزيل من مربع الحوار لحفظ ملف PDF على جهازك. يتم أيضا تحديث رسالة الحالة أسفل عنوان الحدث للإشارة إلى أن التنزيل متاح.
يتم تخزين التقرير مؤقتا لبضع دقائق. يوفر النظام ملف PDF الذي تم إنشاؤه مسبقا إذا حاولت تصدير نفس الحادث مرة أخرى خلال إطار زمني قصير. لإنشاء إصدار أحدث من PDF، انتظر بضع دقائق حتى تنتهي صلاحية ذاكرة التخزين المؤقت.
بالنسبة للحوادث الجديدة والمستمرة، تابع التحقيق في الحادث.
بالنسبة للحوادث التي تم حلها، قم بإجراء مراجعة ما بعد الحدث.
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.