مشاركة عبر

الكشف والاستجابة المداران

  • مقالة

ينطبق على:

للحصول على إرشادات الكشف والاستجابة المدارة، راجع هذا الفيديو القصير.

من خلال مزيج من الأتمتة والخبرة البشرية، يقوم خبراء Microsoft Defender ل XDR بفرز حوادث Microsoft Defender XDR، وتحديد أولوياتها نيابة عنك، وتصفية الضوضاء، وإجراء تحقيقات مفصلة، وتوفير استجابة مدارة قابلة للتنفيذ لفرق مركز عمليات الأمان (SOC).

تحديثات الحوادث

بمجرد أن يبدأ خبراؤنا في التحقيق في حادث ما، يتم تحديث حقلي الحدث المعينين إلىوالحالة إلى Defender Expertsوقيد التقدم، على التوالي.

عندما يختتم خبراؤنا تحقيقهم في حادث ما، يتم تحديث حقل تصنيف الحادث إلى أحد الإجراءات التالية، اعتمادا على نتائج الخبراء:

  • إيجابي حقيقي
  • إيجابي خاطئ
  • نشاط إعلامي متوقع

كما يتم تحديث حقل التحديد المقابل لكل تصنيف لتوفير مزيد من الرؤى حول النتائج التي دفعت خبرائنا إلى تحديد التصنيف المذكور.

لقطة شاشة لصفحة الحوادث تعرض حقول العلامات والحالة والمخصص للتصنيف والتحديد.

إذا تم تصنيف حادث على أنه خطأ إيجابي أو إعلامي، النشاط المتوقع، فسيتم تحديث حقل حالة الحدث إلى تم الحل. ثم يختتم خبراؤنا عملهم على هذا الحادث ويتم تحديث الحقل المعين إلىغير معين. قد يشارك خبراؤنا التحديثات من تحقيقهم واستنتاجهم عند حل حادث. يتم نشر هذه التحديثات في لوحة القائمة المنبثقة للتعليقات والمحفوظات الخاصة بالحادث.

ملاحظة

تعليقات الحادث هي منشورات أحادية الاتجاه. لا يمكن ل Defender Experts الرد على أي تعليقات أو أسئلة تضيفها في لوحة التعليقات والمحفوظات . لمزيد من المعلومات حول كيفية التواصل مع خبرائنا، راجع التواصل مع الخبراء في خدمة Microsoft Defender Experts for XDR.

وإلا، إذا تم تصنيف حادث على أنه إيجابي حقيقي، فإن خبرائنا يحددون إجراءات الاستجابة المطلوبة التي يجب تنفيذها. تعتمد الطريقة التي يتم تنفيذ الإجراءات بها على الأذونات ومستويات الوصول التي منحتها خدمة Defender Experts for XDR. تعرف على المزيد حول منح الأذونات لخبرائنا.

  • إذا منحت Defender Experts for XDR أذونات الوصول الموصى بها لمشغل الأمان، فيمكن لخبرائنا تنفيذ إجراءات الاستجابة المطلوبة للحادث نيابة عنك. تظهر هذه الإجراءات، جنبا إلى جنب مع ملخص التحقيق، في لوحة القائمة المنبثقة للاستجابة المدارة للحادث في مدخل Microsoft Defender الخاص بك لك أو لفريق SOC لمراجعتها. تظهر جميع الإجراءات التي تم إكمالها بواسطة Defender Experts ل XDR ضمن قسم الإجراءات المكتملة . يتم سرد أي إجراءات معلقة تتطلب منك أو إكمال فريق SOC ضمن قسم الإجراءات المعلقة . لمزيد من المعلومات، راجع قسم الإجراءات . بمجرد أن يتخذ خبراؤنا جميع الإجراءات اللازمة بشأن الحادث، يتم تحديث حقل الحالة الخاص به إلى تم الحل ويتم تحديث الحقل Assigned to إلىUnassigned.

  • إذا منحت Defender Experts for XDR حق الوصول الافتراضي لقارئ الأمان، فستظهر إجراءات الاستجابة المطلوبة، جنبا إلى جنب مع ملخص التحقيق، في لوحة القائمة المنبثقة للاستجابة المدارة للحادث ضمن قسم الإجراءات المعلقة في مدخل Microsoft Defender الخاص بك لكي تقوم أنت أو فريق SOC بتنفيذها. لمزيد من المعلومات، راجع قسم الإجراءات . لتحديد هذا التسليم، يتم تحديث حقل حالة الحدث إلى "قيد انتظار إجراء العميل" ويتم تحديث الحقل "تعيين إلى" إلى "العميل".

يمكنك التحقق من عدد الحوادث التي تتطلب الإجراء الخاص بك في شعار Defender Experts في أعلى الصفحة الرئيسية ل Microsoft Defender.

لقطة شاشة لبطاقة Defender Experts في مدخل Microsoft Defender تعرض عدد الحوادث التي تنتظر إجراء العميل.

لعرض الحوادث التي حقق فيها خبراؤنا أو يحققون فيها حاليا، قم بتصفية قائمة انتظار الحوادث في مدخل Microsoft Defender باستخدام علامة Defender Experts .

لقطة شاشة لقائمة انتظار الحوادث في مدخل Microsoft Defender تمت تصفيتها لإظهار تلك التي تحتوي على علامة Defender Experts فقط.

كيفية استخدام الاستجابة المدارة في Microsoft Defender XDR

في مدخل Microsoft Defender، يحتوي الحدث الذي يتطلب انتباهك باستخدام الاستجابة المدارة على حقل الحالة المعين إلى إجراء انتظار العميل، وتعيين الحقل المعين إلىالعميل وبطاقة مهمة أعلى جزء الحوادث . تتلقى جهات اتصال الحدث المعينة أيضا إعلاما عبر البريد الإلكتروني المقابل مع ارتباط إلى مدخل Defender لعرض الحادث. تعرف على المزيد حول جهات اتصال الإعلام. ستتلقى أيضا إعلام Teams يعلمك بتحديثات . تعرف على المزيد حول إعداد Teams

حدد عرض الاستجابة المدارة على بطاقة المهمة أو أعلى صفحة المدخل (علامة تبويب الاستجابة المدارة ) لفتح لوحة قائمة منبثقة حيث يمكنك قراءة ملخص تحقيق خبرائنا، أو إكمال الإجراءات المعلقة التي حددها خبراؤنا، أو التفاعل معهم من خلال الدردشة.

ملخص التحقيق

يوفر لك قسم ملخص التحقيق مزيدا من السياق حول الحادث الذي تم تحليله من قبل خبرائنا لتزويدك برؤية حول شدته وتأثيره المحتمل إذا لم تتم معالجته على الفور. يمكن أن يتضمن المخطط الزمني للجهاز ومؤشرات الهجوم ومؤشرات التسوية (IOCs) التي تمت ملاحظتها وتفاصيل أخرى.

لقطة شاشة لملخص التحقيق في الاستجابة المدارة.

الاجراءات

تعرض علامة التبويب Actions بطاقات المهام التي تحتوي على إجراءات استجابة موصى بها من قبل خبرائنا.

يدعم Defender Experts for XDR حاليا إجراءات الاستجابة المدارة بنقرة واحدة التالية:

العمل الوصف
عزل الجهاز يعزل الجهاز، مما يساعد على منع المهاجم من التحكم فيه وتنفيذ المزيد من الأنشطة مثل النقل غير المصرح للبيانات والحركة الجانبية. سيظل الجهاز المعزول متصلا ب Microsoft Defender لنقطة النهاية.
ملف العزل إيقاف تشغيل العمليات، وعزل الملفات، وحذف البيانات الثابتة مثل مفاتيح التسجيل.
تقييد تنفيذ التطبيق يقيد تنفيذ البرامج الضارة المحتملة ويقفل الجهاز لمنع المزيد من المحاولات.
تحرير من العزلة التراجع عن عزل الجهاز.
إزالة تقييد التطبيق التراجع عن الإصدار من العزل.

بصرف النظر عن هذه الإجراءات بنقرة واحدة، يمكنك أيضا تلقي استجابات مدارة من خبرائنا تحتاج إلى تنفيذها يدويا.

ملاحظة

قبل تنفيذ أي من إجراءات الاستجابة المدارة الموصى بها، تأكد من عدم معالجتها بالفعل بواسطة تكوينات التحقيق والاستجابة التلقائية. تعرف على المزيد حول قدرات التحقيق والاستجابة التلقائية في Microsoft Defender XDR.

لعرض إجراءات الاستجابة المدارة وتنفيذها:

  1. حدد أزرار الأسهم في بطاقة إجراء لتوسيعها وقراءة المزيد من المعلومات حول الإجراء المطلوب.

لقطة شاشة لإجراء الاستجابة المدارة لعزل خادم prod للجهاز.

  1. بالنسبة للبطاقات التي بها إجراءات استجابة بنقرة واحدة، حدد الإجراء المطلوب. تتغير حالة الإجراء في البطاقة إلى قيد التقدم، ثم إلى فشل أو اكتمال، اعتمادا على نتيجة الإجراء.

لقطة شاشة لإجراء الاستجابة المدارة الذي يظهر قيد التقدم لعزل خادم prod للجهاز.

تلميح

يمكنك أيضا مراقبة حالة إجراءات الاستجابة داخل المدخل في مركز الصيانة. إذا فشل إجراء الاستجابة، فحاول القيام بذلك مرة أخرى من صفحة عرض تفاصيل الجهاز أو ابدأ دردشة مع Defender Experts.

  1. بالنسبة للبطاقات التي تتضمن الإجراءات المطلوبة التي تحتاج إلى تنفيذها يدويا، حدد لقد أكملت هذا الإجراء بمجرد تنفيذها، ثم حدد نعم، لقد قمت بذلك في مربع حوار التأكيد الذي يظهر.

لقطة شاشة لإجراء الاستجابة المدارة لتأكيد إكمال الإجراء.

  1. إذا كنت لا تريد إكمال إجراء مطلوب على الفور، فحدد تخطي، ثم حدد نعم، وتخطي هذا الإجراء في مربع حوار التأكيد الذي يظهر.

هام

إذا لاحظت أن أي من الأزرار الموجودة على بطاقات الإجراء باللون الرمادي، فقد يشير ذلك إلى أنه ليس لديك الأذونات اللازمة لتنفيذ الإجراء. تأكد من تسجيل الدخول إلى مدخل Microsoft Defender XDR باستخدام الأذونات المناسبة. تتطلب معظم إجراءات الاستجابة المدارة أن يكون لديك على الأقل وصول عامل تشغيل الأمان. إذا كنت لا تزال تواجه هذه المشكلة حتى مع الأذونات المناسبة، فانتقل إلى عرض تفاصيل الجهاز وأكمل الخطوات من هناك.

الحصول على رؤية لتحقيقات Defender Experts في تطبيق SIEM أو ITSM

نظرا لأن Defender Experts for XDR يحققون في الحوادث ويتوصلون إلى إجراءات معالجة، يمكنك رؤية عملهم على الحوادث في تطبيقات إدارة معلومات الأمان والأحداث (SIEM) وإدارة خدمة تكنولوجيا المعلومات (ITSM)، بما في ذلك التطبيقات المتوفرة خارج الصندوق.

Microsoft Sentinel

يمكنك الحصول على رؤية الحادث في Microsoft Sentinel عن طريق تشغيل موصل بيانات Microsoft Defender XDR الجاهز. تعرّف على المزيد.

بمجرد تشغيل الموصل، ستظهر التحديثات التي يقوم بها Defender Experts إلى حقول الحالةوالتصنيفوالتحديدوالتصنيف في Microsoft Defender XDR المقابلة في الحقول الحالةوالمالك والسبب لإغلاق الحقول في Sentinel.

ملاحظة

عادة ما تنتقل حالة الحوادث التي يحقق فيها خبراء Defender في Microsoft Defender XDR من Active إلى In progress إلى Awaiting Customer Action إلى Resolved، بينما في Sentinel، يتبع المسار من جديد إلى نشط إلى تم حله . لا تحتوي حالة Microsoft Defender XDR في انتظار إجراء العميل على حقل مكافئ في Sentinel؛ بدلا من ذلك، يتم عرضه كعلامة في حادث في Sentinel.

يصف القسم التالي كيفية تحديث الحادث الذي يعالجه خبراؤنا في Sentinel أثناء تقدمه خلال رحلة التحقيق:

  1. يحتوي الحادث الذي يجري التحقيق فيه من قبل خبرائنا على الحالة المدرجة على أنها نشطةوالمالك مدرجة كخبراء Defender.
  2. يحتوي الحادث الذي أكده خبراؤنا على أنه True Positive على استجابة مدارة تم نشرها في Microsoft Defender XDR، ويتم إدراج العلامةفي انتظار إجراء العميلوالمالككعميل. تحتاج إلى العمل على الحادث استنادا إلى استخدام الاستجابة المدارة المقدمة.
  3. بمجرد أن يختتم خبراؤنا تحقيقهم ويغلقون حادثا على أنه إيجابي أوإعلامي خاطئ، النشاط المتوقع، يتم تحديث حالة الحادث إلى تم الحل، ويتم تحديث المالك إلى غير معين، ويتم توفير سبب للإغلاق .

لقطة شاشة لحوادث Microsoft Sentinel.

تطبيقات أخرى

يمكنك الحصول على رؤية للحوادث في تطبيق SIEM أو ITSM باستخدام Microsoft Defender XDR API أو الموصلات في Sentinel.

بعد تكوين موصل، يمكن مزامنة التحديثات التي يقوم بها Defender Experts إلى حقول حالة الحدث، المعينة إلى، والتصنيف، والتحديد في Microsoft Defender XDR مع تطبيقات SIEM أو ITSM التابعة لجهة خارجية، اعتمادا على كيفية تنفيذ تعيين الحقل. لتوضيح ذلك، يمكنك إلقاء نظرة على الموصل المتوفر من Sentinel إلى ServiceNow.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.