إدارة الحوادث في Microsoft Defender

ينطبق على:

• Microsoft Defender XDR
• Microsoft Defender النظام الأساسي لمركز عمليات الأمان الموحد (SOC)

تعد إدارة الحوادث أمرا بالغ الأهمية لضمان تسمية الحوادث وتعيينها ووضع علامة عليها لتحسين الوقت في سير عمل الحدث واحتواء التهديدات ومعالجتها بسرعة أكبر.

يمكنك إدارة الحوادث من الحوادث & التنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender (security.microsoft.com). فيما يلي مثال.

فيما يلي الطرق التي يمكنك من خلالها إدارة الحوادث الخاصة بك:

• تحرير اسم الحدث.
• تعيين الخطورة أو تغييرها.
• إضافة علامات الحادث.
• تعيين الحدث إلى حساب مستخدم.
• حلها.
• حدد تصنيفه.
• إضافة تعليقات.
• تقييم تدقيق النشاط وإضافة تعليقات في سجل النشاط.
• تصدير بيانات الحادث إلى PDF.

يمكنك إدارة الحوادث من جزء إدارة الحوادث لحدث ما. فيما يلي مثال.

يمكنك عرض هذا الجزء من ارتباط إدارة الحدث على:

• صفحة قصة التنبيه.
• جزء الخصائص لحادث في قائمة انتظار الحدث.
• صفحة ملخص لحادث.
• خيار إدارة الحدث الموجود على الجانب الأيسر العلوي من صفحة الحدث.

في الحالات التي تريد فيها نقل التنبيهات من حادث إلى آخر، يمكنك أيضا القيام بذلك من علامة التبويب التنبيهات ، وبالتالي إنشاء حدث أكبر أو أصغر يتضمن جميع التنبيهات ذات الصلة.

تحرير اسم الحدث

يعين Microsoft Defender تلقائيا اسما استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. يسمح لك اسم الحادث بفهم نطاق الحدث بسرعة. على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

يمكنك تحرير اسم الحدث من حقل اسم الحدث في جزء إدارة الحوادث .

ملاحظة

ستحتفظ الحوادث التي كانت موجودة قبل إطلاق ميزة التسمية التلقائية للحوادث باسمها.

تعيين خطورة الحادث أو تغييرها

يمكنك تعيين خطورة حادث أو تغييرها من حقل Severity في جزء Manage incident . يتم تحديد خطورة الحادث من خلال أعلى خطورة للتنبيهات المرتبطة به. يمكن تعيين خطورة الحادث إلى عالية أو متوسطة أو منخفضة أو إعلامية.

إضافة علامات الحادث

يمكنك إضافة علامات مخصصة إلى حادث، على سبيل المثال لوضع علامة على مجموعة من الحوادث ذات الخصائص الشائعة. يمكنك لاحقا تصفية قائمة انتظار الحوادث لجميع الحوادث التي تحتوي على علامة معينة.

يظهر خيار التحديد من قائمة بالعلامات المستخدمة مسبقا والمحددة بعد بدء الكتابة.

يمكن أن تحتوي الحادثة على علامات النظام و/أو علامات مخصصة بخلفيات ألوان معينة. تستخدم العلامات المخصصة الخلفية البيضاء بينما تستخدم علامات النظام عادة ألوان خلفية حمراء أو سوداء. تحدد علامات النظام ما يلي في حادث:

• نوع من الهجوم، مثل التصيد الاحتيالي لبيانات الاعتماد أو الاحتيال في BEC
• الإجراءات التلقائية، مثل التحقيق والاستجابة التلقائيين وتعطيل الهجوم التلقائي
• خبراء Defender يعالجون حادثا
• الأصول الهامة المشاركة في الحادث

تلميح

تقوم إدارة التعرض الأمني من Microsoft، استنادا إلى التصنيفات المحددة مسبقا، بوضع علامة تلقائيا على الأجهزة والهويات وموارد السحابة كأصل مهم. تضمن هذه الإمكانية الجاهزة حماية الأصول القيمة والأكثر أهمية للمؤسسة. كما أنه يساعد فرق عمليات الأمان على تحديد أولويات التحقيق والمعالجة. تعرف على المزيد حول إدارة الأصول الهامة.

تعيين حدث

يمكنك تحديد المربع تعيين إلى وتحديد حساب المستخدم لتعيين حدث. لإعادة تعيين حدث، قم بإزالة حساب التعيين الحالي عن طريق تحديد "x" بجوار اسم الحساب ثم حدد المربع تعيين إلى . تعيين ملكية حدث يعين نفس الملكية لجميع التنبيهات المرتبطة به.

يمكنك الحصول على قائمة بالحوادث المعينة لك عن طريق تصفية قائمة انتظار الحوادث.

1. من قائمة انتظار الحدث، حدد عوامل التصفية.
2. في قسم Incident assignment ، امسح Select all. حدد Assigned to me أو Assigned to another user أو Assigned to a user group.
3. حدد تطبيق، ثم أغلق جزء عوامل التصفية .

يمكنك بعد ذلك حفظ عنوان URL الناتج في المستعرض الخاص بك كإشارة مرجعية لمشاهدة قائمة الحوادث المعينة لك بسرعة.

حل حادث

عند معالجة حدث وحله، حدد Resolved من القائمة المنسدلة Status . يؤدي حل الحادث أيضا إلى حل جميع التنبيهات المرتبطة والنشطة المتعلقة بالحادث.

عند تغيير حالة الحدث إلى تم الحل، يتم عرض حقل جديد مباشرة بعد حقل الحالة . أدخل ملاحظة في هذا الحقل توضح سبب اعتبارك تم حل الحادث. هذه الملاحظة مرئية في سجل نشاط الحادث، بالقرب من الإدخال الذي يسجل حل الحادث.

في كل من صفحة قائمة انتظار الحوادث وصفحة الحادث لحدث تم حله، يمكنك مشاهدة ملاحظة حل الحادث في اللوحة الجانبية، في قسم تفاصيل الحادث .

يؤدي حل الحادث أيضا إلى حل جميع التنبيهات المرتبطة والنشطة المتعلقة بالحادث. تظهر الحادثة التي لم يتم حلها على أنها نشطة.

تحديد التصنيف

من حقل Classification ، يمكنك تحديد ما إذا كان الحدث هو:

• غير معين (الافتراضي).
• إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للحوادث التي تشير بدقة إلى تهديد حقيقي. يساعد تحديد نوع التهديد فريق الأمان على رؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
• نشاط إعلامي متوقع مع نوع من النشاط. استخدم الخيارات الموجودة في هذه الفئة لتصنيف الحوادث لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
• يمكن تجاهل إيجابية خاطئة لأنواع الحوادث التي تحددها لأنها غير دقيقة تقنيا أو مضللة.

يساعد تصنيف الحوادث وتحديد حالتها ونوعها على ضبط Microsoft Defender XDR لتوفير تحديد اكتشاف أفضل بمرور الوقت.

إضافة تعليقات

يمكنك إضافة تعليقات متعددة إلى حدث باستخدام حقل التعليق . يدعم حقل التعليق النص والتنسيق والارتباطات والصور. يقتصر كل تعليق على 30000 حرف.

تتم إضافة جميع التعليقات إلى الأحداث التاريخية للحادث. يمكنك مشاهدة تعليقات ومحفوظات حادث من ارتباط التعليقات والمحفوظات في صفحة الملخص .

سجل النشاط

يعرض سجل النشاط قائمة بجميع التعليقات والإجراءات التي تم تنفيذها على الحدث، والمعروفة باسم عمليات التدقيق والتعليقات. يتم تسجيل جميع التغييرات التي تم إجراؤها على الحدث، سواء من قبل مستخدم أو بواسطة النظام، في سجل النشاط. يتوفر سجل النشاط من خيار سجل النشاط في صفحة الحدث أو في جزء جانب الحدث.

يمكنك تصفية الأنشطة داخل السجل حسب التعليقات والإجراءات. انقر فوق المحتوى: عمليات التدقيق، ثم حدد التعليقات نوع المحتوى لتصفية الأنشطة. فيما يلي مثال.

يمكنك أيضا إضافة تعليقاتك الخاصة باستخدام مربع التعليق المتوفر داخل سجل النشاط. يقبل مربع التعليق النص والتنسيق والارتباطات والصور.

تصدير بيانات الحادث إلى PDF

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتج الذي تم إصداره مسبقاً والذي قد يتم تعديله بشكل كبير قبل إصداره تجارياً. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

تتوفر ميزة بيانات حادث التصدير حاليا لعملاء النظام الأساسي ل Microsoft Defender XDR ومركز عمليات الأمان الموحد ل Microsoft Defender (SOC) مع Microsoft Copilot لترخيص الأمان.

يمكنك تصدير بيانات الحدث إلى PDF من خلال حدث التصدير كدالة PDF وحفظها بتنسيق PDF. تسمح هذه الوظيفة لفرق الأمان بمراجعة تفاصيل الحادث دون اتصال في أي وقت.

تتضمن بيانات الحادث التي تم تصديرها المعلومات التالية:

• نظرة عامة تحتوي على تفاصيل الحادث
• الرسم البياني لقصة الهجوم وفئات التهديد
• الأصول المتأثرة، تغطي ما يصل إلى 10 أصول لكل نوع من أنواع الأصول
• قائمة الأدلة التي تغطي ما يصل إلى 100 عنصر
• بيانات الدعم، بما في ذلك جميع التنبيهات والأنشطة ذات الصلة المسجلة في سجل النشاط

فيما يلي مثال على ملف PDF الذي تم تصديره:

إذا كان لديك ترخيص Copilot for Security ، فإن PDF المصدر يحتوي على بيانات الحوادث الإضافية التالية:

• ملخص الحادث
• تقرير الحادث

تتوفر دالة التصدير إلى PDF أيضا في اللوحة الجانبية Copilot لتقرير الحادث الذي تم إنشاؤه.

لإنشاء ملف PDF، قم بتنفيذ الخطوات التالية:

1. افتح صفحة حدث. حدد علامة الحذف More actions (...) في الزاوية العلوية اليسرى واختر Export incident as PDF. تصبح الدالة رمادية اللون أثناء إنشاء ملف PDF.

   

2. يظهر مربع حوار يشير إلى أنه يتم إنشاء ملف PDF. حدد الحصول عليه لإغلاق مربع الحوار. بالإضافة إلى ذلك، تظهر رسالة حالة تشير إلى الحالة الحالية للتنزيل أسفل عنوان الحدث. قد تستغرق عملية التصدير بضع دقائق اعتمادا على تعقيد الحادث ومقدار البيانات التي سيتم تصديرها.

   

3. بمجرد أن يصبح ملف PDF جاهزا، تشير رسالة الحالة إلى أن ملف PDF جاهز ويظهر مربع حوار آخر. حدد تنزيل من مربع الحوار لحفظ ملف PDF على جهازك.

   

يتم تخزين التقرير مؤقتا لبضع دقائق. يوفر النظام ملف PDF الذي تم إنشاؤه مسبقا إذا حاولت تصدير نفس الحادث مرة أخرى خلال إطار زمني قصير. لإنشاء إصدار أحدث من PDF، انتظر بضع دقائق حتى تنتهي صلاحية ذاكرة التخزين المؤقت.

الخطوات التالية

بالنسبة للحوادث الجديدة، ابدأ التحقيق.

بالنسبة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

بالنسبة للحوادث التي تم حلها، قم بإجراء مراجعة ما بعد الحدث.

راجع أيضًا

• نظرة عامة على الحوادث
• تحديد أولوية الأحداث
• التحقيق في الأحداث

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.