اقرأ باللغة الإنجليزية

مشاركة عبر


إدارة الحوادث في Microsoft Defender

تعد إدارة الحوادث أمرا بالغ الأهمية لضمان تسمية الحوادث وتعيينها ووضع علامة عليها لتحسين الوقت في سير عمل الحدث واحتواء التهديدات ومعالجتها بسرعة أكبر.

إدارة الحوادث من التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender (security.microsoft.com). فيما يلي مثال.

لقطة شاشة تعرض قائمة انتظار الحوادث وجزء التشغيل السريع في مدخل Microsoft Defender.

توضح لك هذه المقالة كيفية تنفيذ مهام إدارة الحوادث المختلفة المرتبطة بمراحلي مختلفة في دورة حياة الحدث.

فرز الحوادث:

التحقيق في الحوادث وحلها:

تسجيل الحوادث والإبلاغ عنها:

الوصول إلى جزء إدارة الحوادث

يمكن الوصول إلى معظم هذه المهام من جزء إدارة الحوادث لحدث ما. يمكنك الوصول إلى هذا الجزء من أي من المواقع المتعددة.

من قائمة انتظار الحدث

  1. حدد التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender.

  2. من قائمة انتظار الحوادث، قم بالوصول إلى جزء إدارة الحوادث بإحدى طريقتين:

    • حدد خانة الاختيار لحادث، وحدد إدارة الحوادث من شريط الأدوات أعلى عوامل التصفية. إدارة العديد من الحوادث في وقت واحد عن طريق تحديد خانات اختيار متعددة.

    • حدد صف الحادث (دون تحديد اسم الحدث)، بحيث يظهر جزء تفاصيل الحادث، وحدد إدارة الحادث من جزء تفاصيل الحادث.

      لقطة شاشة توضح كيفية إدارة الحوادث من قائمة انتظار الحوادث في مدخل Microsoft Defender.

من صفحة الحدث

  1. حدد التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender.

  2. حدد اسم حدث من قائمة الانتظار. أو حدد صف حدث في قائمة الانتظار ثم حدد فتح صفحة الحدث من جزء تفاصيل الحادث.

  3. من صفحة الحدث، حدد Manage incident من اللوحة العلوية.

    إذا لم تكن إدارة الحادث مرئية، فحدد النقاط الثلاث في الزاوية العلوية اليسرى (مرئية في لقطة الشاشة التالية بجوار "إدارة الحدث")، وحددها من القائمة التي تظهر.

    لقطة شاشة توضح كيفية إدارة حادث من صفحة الحادث في مدخل Microsoft Defender.

فرز الحوادث

ترتبط مهام الإدارة التالية ارتباطا وثيقا بفرز الحوادث، على الرغم من أنه يمكن تنفيذها في أي وقت.

تعيين حادث إلى مالك

بشكل افتراضي، يتم إنشاء حوادث جديدة بدون مالك. من الناحية المثالية، يجب أن يكون لدى فريق SecOps آليات وإجراءات لتعيين الحوادث تلقائيا إلى المالكين. قد تحتاج إلى إعادة تعيين حدث في حالة التصعيد أو التعيين الأصلي الخاطئ.

تعيين مالك

لتعيين مالك جديد يدويا لحدث ما، اتبع الخطوات التالية:

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. حدد المربع تعيين إلى . تظهر قائمة منسدلة من المعينين المقترحين.

  3. إذا رأيت حساب المستخدم أو المجموعة الذي تريد تعيين الحدث إليه، فحدده.

    وإلا، ابدأ بكتابة اسم أو معرف الحساب للمستخدم المطلوب أو المجموعة المطلوبة في مربع النص أعلى القائمة. يتم تحديث القائمة ديناميكيا، وتصفيتها حسب ما تكتبه. عندما ترى المستخدم أو المجموعة التي تريدها، حددها.

  4. لإزالة واجب موجود، بما في ذلك أي تعيين أضفته للتو، حدد X بجوار اسم الحساب. ثم حدد المربع تعيين إلى إذا كنت تريد إضافة واجب آخر.

    يمكن تعيين حساب مستخدم أو مجموعة واحد فقط إلى حادث.

  5. حدد حفظ.

تعيين ملكية حدث يعين نفس الملكية لجميع التنبيهات المرتبطة به.

لقطة شاشة توضح كيفية تعيين مالك في جزء إدارة الحوادث في مدخل Microsoft Defender.

عرض الحوادث المعينة لمالك معين

لمشاهدة قائمة الحوادث المعينة لمستخدم أو مجموعة معينة، قم بتصفية قائمة انتظار الحوادث:

  1. من قائمة انتظار الحدث، حدد عامل تصفية تعيين الحدث . تظهر قائمة منسدلة من المعينين المقترحين.

    إذا لم تتمكن من رؤية تعيين الحدث بين عوامل التصفية، فحدد إضافة عامل تصفية، وحدد تعيين الحدث من القائمة المنسدلة، وحدد إضافة.

  2. إذا رأيت حساب المستخدم الذي تريد عرض الأحداث المعينة له، فحدده.

    وإلا، ابدأ بكتابة اسم أو معرف الحساب للمستخدم المطلوب أو المجموعة المطلوبة في مربع النص أعلى القائمة. يتم تحديث القائمة ديناميكيا، وتصفيتها حسب ما تكتبه. عندما ترى المستخدم أو المجموعة التي تريدها، حددها.

    على عكس تعيين الحوادث، يمكنك هنا تحديد أكثر من معين واحد لتصفية القائمة حسبها. لإضافة حساب مستخدم أو مجموعة آخر إلى عامل التصفية، حدد مربع النص (بجوار الحساب الموجود في عامل التصفية)، وتظهر قائمة المعينين المقترحين مرة أخرى.

  3. حدد تطبيق.

    لقطة شاشة توضح كيفية عرض الحوادث المعينة لمالك في صفحة قائمة انتظار الحوادث في مدخل Microsoft Defender.

لحفظ ارتباط إلى قائمة انتظار الحوادث مع تطبيق عوامل التصفية الحالية، حدد نسخ ارتباط القائمة من شريط الأدوات في صفحة قائمة انتظار الحوادث. أنشئ اختصارا في المفضلة أو على سطح المكتب والصق الارتباط فيه.

تعيين خطورة الحادث أو تغييرها

يتم تحديد خطورة الحادث من خلال أعلى خطورة للتنبيهات المرتبطة به. يمكن تعيين خطورة الحادث إلى عالية أو متوسطة أو منخفضة أو إعلامية.

لتعيين خطورة الحادث أو تغييرها يدويا، اتبع الخطوات التالية:

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. حدد قيمة الخطورة التي تريد تطبيقها من القائمة المنسدلة Severity في جزء Manage incident .

  3. حدد حفظ.

إضافة علامات الحادث

تضيف العلامات المخصصة معلومات لإعارة سياق لحادث. على سبيل المثال، يمكن للعلامة تسمية مجموعة من الحوادث بخاصية مشتركة. العلامات هي معايير للتصفية، بحيث يمكنك لاحقا تصفية قائمة انتظار الحوادث لجميع الحوادث التي تحتوي على علامة معينة. لتطبيق علامة على حادث:

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. في الحقل علامات الحدث ، ابدأ بكتابة اسم العلامة التي تريد تطبيقها. أثناء الكتابة، تظهر قائمة بالعلامات المستخدمة مسبقا والمحددة. إذا رأيت العلامة التي تريد تطبيقها في القائمة، فحددها.

    لقطة شاشة توضح كيفية إنشاء علامة حادث في جزء إدارة الحوادث.

    إذا كتبت اسم علامة لم يتم استخدامه من قبل، فحدد الإدخال الأخير في القائمة، وهو النص الذي كتبته متبوعا ب "(إنشاء جديد)."

    لقطة شاشة توضح كيفية تحديد علامة لتطبيقها على حادث في جزء إدارة الحوادث.

    ثم تظهر العلامة كتسمية داخل حقل علامات الحدث. كرر هذه الخطوة لإضافة المزيد من العلامات كما تريد.

    لقطة شاشة توضح كيفية ظهور علامة محددة في حقل علامات الحادث.

  3. حدد حفظ.

يمكن أن تحتوي الحادثة على علامات النظام و/أو علامات مخصصة بخلفيات ألوان معينة. تستخدم العلامات المخصصة الخلفية البيضاء بينما تستخدم علامات النظام عادة ألوان خلفية حمراء أو سوداء. تحدد علامات النظام ما يلي في حادث:

  • نوع من الهجوم، مثل التصيد الاحتيالي لبيانات الاعتماد أو الاحتيال في BEC
  • الإجراءات التلقائية، مثل التحقيق والاستجابة التلقائيين وتعطيل الهجوم التلقائي
  • خبراء Defender يعالجون حادثا
  • الأصول الهامة المشاركة في الحادث

تلميح

تقوم إدارة التعرض للأمان من Microsoft، استنادا إلى التصنيفات المحددة مسبقا، بوضع علامة تلقائيا على الأجهزة والهويات وموارد السحابة كأصل مهم. تضمن هذه الإمكانية الجاهزة حماية الأصول القيمة والأكثر أهمية للمؤسسة. كما أنه يساعد فرق عمليات الأمان على تحديد أولويات التحقيق والمعالجة. تعرف على المزيد حول إدارة الأصول الهامة.

تغيير حالة الحادث

تبدأ الحوادث الحياة بحالة نشطة. عند العمل على حادث، قم بتغيير الحالة إلى قيد التقدم.

التحقيق في الحوادث وحلها

ترتبط مهام الإدارة التالية ارتباطا وثيقا بالتحقيق في الحوادث وحلها، على الرغم من أنه يمكن تنفيذها في أي وقت.

حل حادث

عند معالجة حدث وحله، اتخذ الإجراءات التالية لتسجيل الحل:

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. تغيير الحالة. حدد تم الحل من القائمة المنسدلة الحالة . عند تغيير حالة الحدث إلى تم الحل، يتم عرض حقل جديد مباشرة بعد حقل الحالة .

  3. أدخل ملاحظة في هذا الحقل توضح سبب اعتبارك تم حل الحادث. هذه الملاحظة مرئية في سجل نشاط الحادث، بالقرب من الإدخال الذي يسجل حل الحادث.

    لقطة شاشة للوحة إدارة الحوادث مع ملاحظة حل الحوادث.

    ملاحظة الدقة مرئية أيضا في لوحة تفاصيل الحادث في كل من صفحة قائمة انتظار الحوادث وصفحة الحادث لحادث تم حله.

    لقطة شاشة لمظهر ملاحظة الدقة في لوحة تفاصيل الحادث.

  4. حدد حفظ.

يؤدي حل الحادث أيضا إلى حل جميع التنبيهات المرتبطة والنشطة المتعلقة بالحادث. تظهر الحادثة التي لم يتم حلها على أنها نشطة.

تحديد تصنيف الحدث

عند حل حادث، أو في أي وقت في التحقيق في الحادث، بمجرد أن تصبح على دراية بكيفية تصنيف الحادث، قم بتعيين حقل التصنيف وفقا لذلك.

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. اختر القيمة المناسبة من القائمة المنسدلة Classification :

    • غير معين (الافتراضي).
    • إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للحوادث التي تشير بدقة إلى تهديد حقيقي. يساعد تحديد نوع التهديد فريق الأمان على رؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
    • نشاط إعلامي متوقع مع نوع من النشاط. استخدم الخيارات الموجودة في هذه الفئة لتصنيف الحوادث لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
    • يمكن تجاهل إيجابية خاطئة لأنواع الحوادث التي تحددها لأنها غير دقيقة تقنيا أو مضللة.

    راجع الأنواع المتاحة من الأنشطة والتهديدات لكل من هذه التصنيفات في لقطة الشاشة التالية.

  3. حدد حفظ.

    لقطة شاشة تعرض خيارات التصنيف للحوادث.

يساعد تصنيف الحوادث وتحديد حالتها ونوعها على ضبط Microsoft Defender لتوفير تحديد اكتشاف أفضل بمرور الوقت.

إضافة تعليقات إلى حادث

على مدار التحقيق والحادث، أضف تعليقات لتسجيل أنشطتك ونتائج تحليلاتك واستنتاجاتك.

  1. افتح سجل نشاط الحدث. من صفحة الحادث، أو من لوحة تفاصيل الحادث في صفحة قائمة انتظار الحدث، حدد النقاط الثلاث في الزاوية العلوية اليسرى، ومن القائمة الناتجة، حدد سجل النشاط.

    لقطة شاشة توضح كيفية الوصول إلى سجل نشاط الحدث.

  2. اكتب تعليقك في حقل النص. يدعم حقل التعليق النص والتنسيق والارتباطات والصور. يقتصر كل تعليق على 30000 حرف.

    لقطة شاشة توضح كيفية إضافة تعليق إلى حادث.

  3. حدد حفظ.

تتم إضافة جميع التعليقات إلى الأحداث التاريخية للحادث. يمكنك مشاهدة تعليقات ومحفوظات حادث من ارتباط التعليقات والمحفوظات في صفحة الملخص .

تسجيل الحوادث وإعداد التقارير عنها

يمكن ربط مهام الإدارة التالية بالتدقيق والإبلاغ عن تحقيقات الحوادث، على الرغم من أنه يمكن تنفيذها في أي وقت.

تحرير اسم الحدث

Microsoft Defender تعيين اسم تلقائيا استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. يسمح لك اسم الحادث بفهم نطاق الحدث بسرعة. على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

لتحرير اسم الحدث، اتبع الخطوات التالية:

  1. اتبع الإرشادات الواردة في قسم الفتح للوصول إلى جزء إدارة الحوادث.

  2. اكتب اسما جديدا في حقل اسم الحدث في جزء إدارة الحوادث .

  3. حدد حفظ.

ملاحظة

  • تحتفظ الحوادث التي كانت موجودة قبل إطلاق ميزة التسمية التلقائية للحوادث بأسماءها.

  • إذا تم دمج حادث آخر في حادث تمت إعادة تسميته، فإن Defender يعطي الحدث اسما جديدا، ويستبدل أي اسم مخصص قمت بإعطائه مسبقا.

عرض سجل نشاط حدث

عند إجراء عملية ما بعد الوفاة لحادث، اعرض سجل نشاط الحدث للاطلاع على محفوظات الإجراءات التي تم تنفيذها على الحادث (تسمى "عمليات التدقيق") وأي تعليقات مسجلة. يتم تسجيل جميع التغييرات التي تم إجراؤها على الحدث، سواء من قبل مستخدم أو بواسطة النظام، في سجل النشاط.

  1. افتح سجل نشاط الحدث. من صفحة الحادث، أو من لوحة تفاصيل الحادث في صفحة قائمة انتظار الحدث، حدد النقاط الثلاث في الزاوية العلوية اليسرى، ومن القائمة الناتجة، حدد سجل النشاط.

    لقطة شاشة تبرز خيار سجل النشاط من صفحة الحدث في مدخل Microsoft Defender.

  2. تصفية الأنشطة داخل السجل حسب التعليقات والإجراءات. حدد المحتوى: عمليات التدقيق، ثم حدد التعليقات نوع المحتوى لتصفية الأنشطة. فيما يلي مثال.

    لقطة شاشة تبرز خيارات التصفية داخل جزء سجل النشاط من صفحة الحدث في مدخل Microsoft Defender.

  3. حدد تطبيق.

يمكنك أيضا إضافة تعليقاتك الخاصة باستخدام مربع التعليق المتوفر داخل سجل النشاط. يقبل مربع التعليق النص والتنسيق والارتباطات والصور.

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتج الذي تم إصداره مسبقاً والذي قد يتم تعديله بشكل كبير قبل إصداره تجارياً. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

تصدير بيانات الحادث إلى PDF

يمكنك تصدير بيانات الحدث إلى PDF من خلال حدث التصدير كدالة PDF وحفظها بتنسيق PDF. تسمح هذه الوظيفة لفرق الأمان بمراجعة تفاصيل الحادث دون اتصال في أي وقت.

تتضمن بيانات الحادث التي تم تصديرها المعلومات التالية:

فيما يلي مثال على ملف PDF الذي تم تصديره:

لقطة شاشة للصفحة الأولى لملف PDF الذي تم تصديره.

إذا كان لديك ترخيص Copilot for Security ، فإن PDF المصدر يحتوي على بيانات الحوادث الإضافية التالية:

تتوفر دالة التصدير إلى PDF أيضا في اللوحة الجانبية Copilot. عند تحديد علامة الحذف More actions (...) في الزاوية العلوية اليسرى من بطاقة نتائج تقرير الحدث، يمكنك اختيار تصدير الحدث بتنسيق PDF.

لقطة شاشة للإجراءات الإضافية في بطاقة نتائج تقرير الحادث.

لإنشاء ملف PDF، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث. حدد علامة الحذف More actions (...) في الزاوية العلوية اليسرى واختر Export incident as PDF.

    لقطة شاشة تبرز علامة الحذف المزيد من الإجراءات في صفحة الحدث.

  2. في مربع الحوار الذي يظهر بعد ذلك، تأكد من معلومات الحادث التي تريد تضمينها أو استبعادها في ملف PDF. يتم تحديد جميع معلومات الحادث بشكل افتراضي. حدد تصدير PDF للمتابعة.

    لقطة شاشة تبرز خيار تصدير الحادث إلى PDF.

  3. تظهر رسالة حالة تشير إلى الحالة الحالية للتنزيل أسفل عنوان الحدث. قد تستغرق عملية التصدير بضع دقائق اعتمادا على تعقيد الحادث ومقدار البيانات التي سيتم تصديرها.

    لقطة شاشة تبرز رسالة التصدير وحالته قبل التنزيل.

  4. يظهر مربع حوار آخر يشير إلى أن ملف PDF جاهز. حدد تنزيل من مربع الحوار لحفظ ملف PDF على جهازك. يتم أيضا تحديث رسالة الحالة أسفل عنوان الحدث للإشارة إلى أن التنزيل متاح.

    لقطة شاشة تبرز رسالة التصدير وحالتها عند توفر التنزيل.

يتم تخزين التقرير مؤقتا لبضع دقائق. يوفر النظام ملف PDF الذي تم إنشاؤه مسبقا إذا حاولت تصدير نفس الحادث مرة أخرى خلال إطار زمني قصير. لإنشاء إصدار أحدث من PDF، انتظر بضع دقائق حتى تنتهي صلاحية ذاكرة التخزين المؤقت.

الخطوات التالية

بالنسبة للحوادث الجديدة والمستمرة، تابع التحقيق في الحادث.

بالنسبة للحوادث التي تم حلها، قم بإجراء مراجعة ما بعد الحدث.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.