الاستجابة للحادث الأول في Microsoft Defender XDR
ينطبق على:
- Microsoft Defender XDR
يسرد هذا الدليل موارد Microsoft لمستخدمي Microsoft Defender XDR الجدد لأداء مهام الاستجابة اليومية للحوادث بثقة أثناء استخدام المدخل. النتائج المقصودة لاستخدام هذا الدليل هي:
- ستتعلم بسرعة استخدام Microsoft Defender XDR للاستجابة للحوادث والتنبيهات.
- ستكتشف ميزات المدخل للمساعدة في التحقيق في الحوادث ومعالجتها من خلال مقاطع الفيديو والبرامج التعليمية.
Microsoft Defender XDR تمكنك من رؤية أحداث التهديد ذات الصلة عبر جميع الأصول (الأجهزة والهويات وعلب البريد والتطبيقات السحابية والمزيد). يدمج المدخل الإشارات من مجموعة حماية DefenderوMicrosoft Sentinel وغيرها من حلول معلومات الأمان المتكاملة وإدارة الأحداث (SIEM). تمكنك معلومات الهجوم المترابطة ذات السياق الكامل في جزء واحد من الزجاج من الدفاع عن مؤسستك وحمايتها بنجاح.
يحتوي هذا الدليل على ثلاثة أقسام رئيسية:
- فهم الحوادث: الوصول إلى الحوادث وفرزها وإدارتها داخل المدخل
- تحليل الهجمات: مجموعة من مقاطع الفيديو والبرامج التعليمية حول كيفية التحقيق في هجمات محددة باستخدام ميزات المدخل.
- معالجة الهجمات: يسرد الإجراءات التلقائية واليدوية المتوفرة داخل المدخل لمعالجة التهديدات. يتضمن هذا القسم ارتباطات إلى مقاطع الفيديو والبرامج التعليمية.
فهم الحوادث
الحادث هو سلسلة من العمليات التي تم إنشاؤها والأوامر والإجراءات التي ربما لم تتزامن. يوفر الحدث صورة شاملة وسياقا للنشاط المشبوه أو الضار. يمنحك حادث واحد سياق الهجوم الكامل بدلا من فرز مئات التنبيهات من خدمات متعددة.
تلميح
لفترة محدودة خلال يناير 2024، عند زيارة صفحة الحوادث ، يظهر Defender Boxed. يسلط Defender Boxed الضوء على نجاحات الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال عام 2023. لإعادة فتح Defender Boxed، في مدخل Microsoft Defender، انتقل إلى Incidents، ثم حدد Your Defender Boxed.
يحتوي Microsoft Defender XDR على العديد من الميزات التي يمكنك استخدامها للاستجابة لحادث. يمكنك التنقل في الحوادث عن طريق تحديد عرض جميع الحوادث في بطاقة الأحداث النشطة على الصفحة الرئيسية أو من خلال الحوادث & التنبيهات في جزء التنقل الأيمن.
الشكل 1. بطاقة الأحداث النشطة على الصفحة الرئيسية Microsoft Defender XDR
التكوين 2. قائمة انتظار الحوادث
يحتوي كل حادث على تنبيهات مرتبطة تلقائيا من مصادر اكتشاف مختلفة وقد يتضمن نقاط نهاية أو هويات أو تطبيقات سحابية مختلفة.
فرز الحوادث
يختلف ترتيب أولويات الحوادث حسب المستجيب وفريق الأمان والمؤسسة. يمكن أن تفرض خطط الاستجابة للحوادث واتجاه فرق الأمان أولوية الحادث.
تحتوي Microsoft Defender XDR على مؤشرات مختلفة مثل خطورة الحوادث أو أنواع المستخدمين أو أنواع التهديدات لفرز الحوادث وتحديد أولوياتها. يمكنك استخدام أي مجموعة من هذه المؤشرات المتوفرة بسهولة من خلال عوامل تصفية قائمة انتظار الحوادث .
مثال على تحديد أولوية الحادث هو الجمع بين العوامل التالية للحادث:
- الحادث له خطورة عالية.
- فشلت حالة التحقيق التلقائي.
- هناك 5 أصول متأثرة حيث يتم وضع علامة على اثنين من الأصول بحساسية بيانات سرية للغاية.
- حالة الحادث جديدة.
- الحادث غير معين لأي عضو في الفريق للتحقيق.
قد تقوم بتعيين أولوية عالية للحادث باستخدام المعلومات أعلاه. يمكنك بدء التحقيق في الحادث بمجرد تحديد الأولوية.
ملاحظة
يحدد Microsoft Defender XDR تلقائيا عوامل التصفية مثل الخطورة وحالات التحقيق والأصول المتأثرة وحالات الحوادث. تستند المعلومات إلى أنشطة شبكة مؤسستك المتوافقة مع موجزات التحليل الذكي للمخاطر وإجراءات المعالجة التلقائية المطبقة.
إدارة الأحداث
يمكنك المساهمة في كفاءة إدارة الحوادث من خلال توفير معلومات أساسية في الحوادث والتنبيهات. عند إضافة معلومات إلى عوامل التصفية التالية من عند فرز وتحليل كل حادث، فإنك توفر سياقا إضافيا لهذا الحادث يمكن للمستجيبين الآخرين الاستفادة منه:
- تصنيف الحوادث والتنبيهات
- حوادث التسمية
- إضافة علامات
- تقديم التعليقات
تعرف على كيفية تصنيف الحوادث والتنبيهات من خلال هذا الفيديو:
الخطوات التالية
- تحليل الحدث الأول
- معالجة الحدث الأول
- شاهد العروض التوضيحية والتطورات الجديدة للمدخل في العمل في Microsoft Defender XDR Virtual Ninja Training
راجع أيضًا
- دمج Microsoft Defender XDR في عمليات الأمان الخاصة بك
- الاستجابة للهجمات الشائعة باستخدام أدلة مبادئ الاستجابة للحوادث
- تعرف على ميزات المدخل ووظائفه من خلال تدريب Microsoft Defender XDR Ninja
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.