مشاركة عبر

بدء استخدام Defender Experts لخدمة XDR

  • مقالة

ينطبق على:

بعد إكمال خطوات الإعداد وفحوصات الجاهزية ل Microsoft Defender Experts for XDR، سيبدأ خبراؤنا في مراقبة بيئتك لتبسيط الخدمة حتى نتمكن من إجراء خدمة شاملة نيابة عنك. خلال هذه المرحلة، يحدد خبراؤنا التهديدات الكامنة ومصادر المخاطر والنشاط العادي.

بمجرد أن يبدأ خبراؤنا في تنفيذ عمل استجابة شامل نيابة عنك، ستبدأ في تلقي إعلامات حول الحوادث التي تتطلب خطوات معالجة وتوصيات مستهدفة بشأن الحوادث الحرجة. يمكنك أيضا الدردشة مع خبرائنا أو مديري تقديم الخدمة (SDMs) فيما يتعلق بالاستعلامات المهمة ومراجعات وضع الأعمال والأمان المنتظمة وعرض التقارير في الوقت الحقيقي حول عدد الحوادث التي تحققنا فيها وحلها نيابة عنك.

الكشف والاستجابة المداران

من خلال مزيج من الأتمتة والخبرة البشرية، يقوم Defender Experts for XDR بفرز حوادث Microsoft Defender XDR، وتحديد أولوياتها نيابة عنك، وتصفية الضوضاء، وإجراء تحقيقات مفصلة، وتوفير استجابة مدارة قابلة للتنفيذ لفرق مركز عمليات الأمان (SOC).

تحديثات الحوادث

بمجرد أن يبدأ خبراؤنا في التحقيق في حادث ما، يتم تحديث حقلي الحدث المعينين إلىوالحالة إلى Defender Expertsوقيد التقدم، على التوالي.

عندما يختتم خبراؤنا تحقيقهم في حادث ما، يتم تحديث حقل تصنيف الحادث إلى أحد الإجراءات التالية، اعتمادا على نتائج الخبراء:

  • إيجابي حقيقي
  • إيجابي خاطئ
  • نشاط إعلامي متوقع

كما يتم تحديث حقل التحديد المقابل لكل تصنيف لتوفير مزيد من الرؤى حول النتائج التي دفعت خبرائنا إلى تحديد التصنيف المذكور.

لقطة شاشة لصفحة الحوادث تعرض حقول العلامات والحالة والمخصص للتصنيف والتحديد.

إذا تم تصنيف حادث على أنه خطأ إيجابي أو إعلامي، النشاط المتوقع، تحديث حقل حالة الحدث إلى تم الحل. ثم يختتم خبراؤنا عملهم على هذا الحادث ويتم تحديث الحقل المعين إلىغير معين. قد يشارك خبراؤنا التحديثات من تحقيقهم واستنتاجهم عند حل حادث. يتم نشر هذه التحديثات في لوحة القائمة المنبثقة للتعليقات والمحفوظات الخاصة بالحادث.

ملاحظة

تعليقات الحادث هي منشورات أحادية الاتجاه. لا يمكن ل Defender Experts الرد على أي تعليقات أو أسئلة تضيفها في لوحة التعليقات والمحفوظات . لمزيد من المعلومات حول كيفية التواصل مع خبرائنا، راجع التواصل مع الخبراء في خدمة Microsoft Defender Experts for XDR.

وإلا، إذا تم تصنيف حادث على أنه إيجابي حقيقي، فإن خبرائنا يحددون إجراءات الاستجابة المطلوبة التي يجب تنفيذها. تعتمد الطريقة التي يتم تنفيذ الإجراءات بها على الأذونات ومستويات الوصول التي منحتها خدمة Defender Experts for XDR. تعرف على المزيد حول منح الأذونات لخبرائنا.

  • إذا منحت Defender Experts for XDR أذونات الوصول الموصى بها لمشغل الأمان، فيمكن لخبرائنا تنفيذ إجراءات الاستجابة المطلوبة للحادث نيابة عنك. تظهر هذه الإجراءات، جنبا إلى جنب مع ملخص التحقيق، في لوحة القائمة المنبثقة للاستجابة المدارة للحادث في مدخل Microsoft Defender الخاص بك لك أو لفريق SOC لمراجعتها. تظهر جميع الإجراءات التي تم إكمالها بواسطة Defender Experts ل XDR ضمن قسم الإجراءات المكتملة . يتم سرد أي إجراءات معلقة تتطلب منك أو إكمال فريق SOC ضمن قسم الإجراءات المعلقة . لمزيد من المعلومات، راجع قسم الإجراءات . بمجرد أن يتخذ خبراؤنا جميع الإجراءات اللازمة بشأن الحادث، يتم تحديث حقل الحالة الخاص به إلى تم الحل ويتم تحديث الحقل Assigned to إلىUnassigned.

  • إذا منحت Defender Experts for XDR حق الوصول الافتراضي لقارئ الأمان، فستظهر إجراءات الاستجابة المطلوبة، جنبا إلى جنب مع ملخص التحقيق، في لوحة القائمة المنبثقة للاستجابة المدارة للحادث ضمن قسم الإجراءات المعلقة في مدخل Microsoft Defender الخاص بك لكي تقوم أنت أو فريق SOC بتنفيذها. لمزيد من المعلومات، راجع قسم الإجراءات . لتحديد هذا التسليم، يتم تحديث حقل حالة الحدث إلى "قيد انتظار إجراء العميل" ويتم تحديث الحقل "تعيين إلى" إلى "العميل".

يمكنك التحقق من عدد الحوادث التي تتطلب الإجراء الخاص بك في شعار Defender Experts في أعلى الصفحة الرئيسية ل Microsoft Defender.

لقطة شاشة لبطاقة Defender Experts في مدخل Microsoft Defender تعرض عدد الحوادث التي تنتظر إجراء العميل.

لعرض الحوادث التي حقق فيها خبراؤنا أو يحققون فيها حاليا، قم بتصفية قائمة انتظار الحوادث في مدخل Microsoft Defender باستخدام علامة Defender Experts .

لقطة شاشة لقائمة انتظار الحوادث في مدخل Microsoft Defender تمت تصفيتها لإظهار تلك التي تحتوي على علامة Defender Experts فقط.

كيفية استخدام الاستجابة المدارة في Microsoft Defender XDR

في مدخل Microsoft Defender، تم تعيين الحقل Assigned to إلىCustomer وبطاقة مهمة أعلى جزء Incidents في الحدث الذي يتطلب انتباهك باستخدام الاستجابة المدارة . تتلقى جهات اتصال الحدث المعينة أيضا إعلاما عبر البريد الإلكتروني المقابل مع ارتباط إلى مدخل Defender لعرض الحادث. تعرف على المزيد حول جهات اتصال الإعلام.

حدد عرض الاستجابة المدارة على بطاقة المهمة أو أعلى صفحة المدخل (علامة تبويب الاستجابة المدارة ) لفتح لوحة قائمة منبثقة حيث يمكنك قراءة ملخص تحقيق خبرائنا، أو إكمال الإجراءات المعلقة التي حددها خبراؤنا، أو التفاعل معهم من خلال الدردشة.

ملخص التحقيق

يوفر لك قسم ملخص التحقيق مزيدا من السياق حول الحادث الذي تم تحليله من قبل خبرائنا لتزويدك برؤية حول شدته وتأثيره المحتمل إذا لم تتم معالجته على الفور. يمكن أن يتضمن المخطط الزمني للجهاز ومؤشرات الهجوم ومؤشرات التسوية (IOCs) التي تمت ملاحظتها وتفاصيل أخرى.

لقطة شاشة لملخص التحقيق في الاستجابة المدارة.

الاجراءات

تعرض علامة التبويب Actions بطاقات المهام التي تحتوي على إجراءات استجابة موصى بها من قبل خبرائنا.

يدعم Defender Experts for XDR حاليا إجراءات الاستجابة المدارة بنقرة واحدة التالية:

فعل الوصف
عزل الجهاز يعزل الجهاز، مما يساعد على منع المهاجم من التحكم فيه وتنفيذ المزيد من الأنشطة مثل النقل غير المصرح للبيانات والحركة الجانبية. سيظل الجهاز المعزول متصلا ب Microsoft Defender لنقطة النهاية.
ملف العزل إيقاف تشغيل العمليات، وعزل الملفات، وحذف البيانات الثابتة مثل مفاتيح التسجيل.
تقييد تنفيذ التطبيق يقيد تنفيذ البرامج الضارة المحتملة ويقفل الجهاز لمنع المزيد من المحاولات.
تحرير من العزلة التراجع عن عزل الجهاز.
إزالة تقييد التطبيق التراجع عن الإصدار من العزل.

بصرف النظر عن هذه الإجراءات بنقرة واحدة، يمكنك أيضا تلقي استجابات مدارة من خبرائنا تحتاج إلى تنفيذها يدويا.

ملاحظة

قبل تنفيذ أي من إجراءات الاستجابة المدارة الموصى بها، تأكد من عدم معالجتها بالفعل بواسطة تكوينات التحقيق والاستجابة التلقائية. تعرف على المزيد حول قدرات التحقيق والاستجابة التلقائية في Microsoft Defender XDR.

لعرض إجراءات الاستجابة المدارة وتنفيذها:

  1. حدد أزرار الأسهم في بطاقة إجراء لتوسيعها وقراءة المزيد من المعلومات حول الإجراء المطلوب.

    لقطة شاشة لإجراء الاستجابة المدارة لعزل خادم prod للجهاز.

  2. بالنسبة للبطاقات التي بها إجراءات استجابة بنقرة واحدة، حدد الإجراء المطلوب. تتغير حالة الإجراء في البطاقة إلى قيد التقدم، ثم إلى فشل أو اكتمال، اعتمادا على نتيجة الإجراء.

    لقطة شاشة لإجراء الاستجابة المدارة الذي يظهر قيد التقدم لعزل خادم prod للجهاز.

    تلميح

    يمكنك أيضا مراقبة حالة إجراءات الاستجابة داخل المدخل في مركز الصيانة. إذا فشل إجراء الاستجابة، فحاول القيام بذلك مرة أخرى من صفحة عرض تفاصيل الجهاز أو ابدأ دردشة مع Defender Experts.

  3. بالنسبة للبطاقات التي تتضمن الإجراءات المطلوبة التي تحتاج إلى تنفيذها يدويا، حدد لقد أكملت هذا الإجراء بمجرد تنفيذها، ثم حدد نعم، لقد قمت بذلك في مربع حوار التأكيد الذي يظهر.

    لقطة شاشة لإجراء الاستجابة المدارة لتأكيد إكمال الإجراء.

  4. إذا كنت لا تريد إكمال إجراء مطلوب على الفور، فحدد تخطي، ثم حدد نعم، وتخطي هذا الإجراء في مربع حوار التأكيد الذي يظهر.

هام

إذا لاحظت أن أي من الأزرار الموجودة على بطاقات الإجراء باللون الرمادي، فقد يشير ذلك إلى أنه ليس لديك الأذونات اللازمة لتنفيذ الإجراء. تأكد من تسجيل الدخول إلى مدخل Microsoft Defender XDR باستخدام الأذونات المناسبة. تتطلب معظم إجراءات الاستجابة المدارة أن يكون لديك على الأقل وصول عامل تشغيل الأمان.

إذا كنت لا تزال تواجه هذه المشكلة حتى مع الأذونات المناسبة، فانتقل إلى عرض تفاصيل الجهاز وأكمل الخطوات من هناك.

الحصول على رؤية لتحقيقات Defender Experts في تطبيق SIEM أو ITSM

نظرا لأن Defender Experts for XDR يحققون في الحوادث ويتوصلون إلى إجراءات معالجة، يمكنك رؤية عملهم على الحوادث في تطبيقات إدارة معلومات الأمان والأحداث (SIEM) وإدارة خدمة تكنولوجيا المعلومات (ITSM)، بما في ذلك التطبيقات المتوفرة خارج الصندوق.

Microsoft Sentinel

يمكنك الحصول على رؤية الحادث في Microsoft Sentinel عن طريق تشغيل موصل بيانات Microsoft Defender XDR الجاهز. تعرّف على المزيد.

بمجرد تشغيل الموصل، ستظهر التحديثات التي يقوم بها Defender Experts إلى حقول الحالةوالتصنيفوالتحديدوالتصنيف في Microsoft Defender XDR المقابلة في الحقول الحالةوالمالك والسبب لإغلاق الحقول في Sentinel.

ملاحظة

عادة ما تنتقل حالة الحوادث التي يحقق فيها خبراء Defender في Microsoft Defender XDR من Active إلى In progress إلى Awaiting Customer Action إلى Resolved، بينما في Sentinel، يتبع المسار من جديد إلى نشط إلى تم حله . لا تحتوي حالة Microsoft Defender XDR في انتظار إجراء العميل على حقل مكافئ في Sentinel؛ بدلا من ذلك، يتم عرضه كعلامة في حادث في Sentinel.

يصف القسم التالي كيفية تحديث الحادث الذي يعالجه خبراؤنا في Sentinel أثناء تقدمه خلال رحلة التحقيق:

  1. يحتوي الحادث الذي يجري التحقيق فيه من قبل خبرائنا على الحالة المدرجة على أنها نشطةوالمالك مدرجة كخبراء Defender.
  2. يحتوي الحادث الذي أكده خبراؤنا على أنه True Positive على استجابة مدارة تم نشرها في Microsoft Defender XDR، ويتم إدراج العلامةفي انتظار إجراء العميلوالمالككعميل. تحتاج إلى العمل على الحادث استنادا إلى استخدام الاستجابة المدارة المقدمة.
  3. بمجرد أن يختتم خبراؤنا تحقيقهم ويغلقون حادثا على أنه إيجابي أوإعلامي خاطئ، النشاط المتوقع، يتم تحديث حالة الحادث إلى تم الحل، ويتم تحديث المالك إلى غير معين، ويتم توفير سبب للإغلاق .

لقطة شاشة لحوادث Microsoft Sentinel.

تطبيقات أخرى

يمكنك الحصول على رؤية للحوادث في تطبيق SIEM أو ITSM باستخدام Microsoft Defender XDR API أو الموصلات في Sentinel.

بعد تكوين موصل، يمكن مزامنة التحديثات التي يقوم بها Defender Experts إلى حقول حالة الحدث، المعينة إلى، والتصنيف، والتحديد في Microsoft Defender XDR مع تطبيقات SIEM أو ITSM التابعة لجهة خارجية، اعتمادا على كيفية تنفيذ تعيين الحقل. لتوضيح ذلك، يمكنك إلقاء نظرة على الموصل المتوفر من Sentinel إلى ServiceNow.

الحصول على رؤية في الوقت الحقيقي باستخدام Defender Experts لتقارير XDR

يتضمن Defender Experts for XDR تقريرا تفاعليا عند الطلب يوفر ملخصا واضحا للعمل الذي يقوم به محللونا الخبراء نيابة عنك، وتجميع المعلومات حول مشهد الحادث الخاص بك، وتفاصيل دقيقة حول حوادث محددة. يستخدم مدير تسليم الخدمة (SDM) أيضا التقرير لتزويدك بالمزيد من السياق فيما يتعلق بالخدمة أثناء مراجعة الأعمال الشهرية.

لقطة شاشة لتقرير Defender Experts for XDR.

تم تصميم كل قسم من التقرير لتوفير مزيد من الرؤى حول الحوادث التي قام خبراؤنا بالتحقيق فيها وحلها في بيئتك في الوقت الفعلي. يمكنك أيضا تحديد نطاق التاريخ للحصول على معلومات مفصلة حول الحوادث استنادا إلى الخطورة والفئة وفهم الوقت المستغرق للتحقيق في حادث وحله خلال فترة معينة.

فهم تقرير Defender Experts for XDR

يوفر القسم الأعلى من تقرير Defender Experts for XDR النسبة المئوية للحوادث التي قمنا بحلها في بيئتك، ما يوفر لك الشفافية في عملياتنا. وتستمد هذه النسبة المئوية من الأرقام التالية، التي ترد أيضا في التقرير:

  • تم التحقيق – عدد التهديدات النشطة والحوادث الأخرى من قائمة انتظار الحوادث التي قمنا بفرزها أو التحقيق فيها أو التحقيق فيها حاليا ضمن نطاقنا.
  • تم الحل – العدد الإجمالي للحوادث التي تم التحقيق فيها والتي تم إغلاقها.
  • تم حلها مباشرة – عدد الحوادث التي تم التحقيق فيها والتي تمكنا من إغلاقها مباشرة نيابة عنك.
  • تم حلها بمساعدتك - عدد الحوادث التي تم التحقيق فيها والتي تم حلها بسبب الإجراء الذي اتخذته على مهمة استجابة مدارة واحدة أو أكثر.

يعرض قسم متوسط الوقت لحل الحوادث مخططا شريطيا لمتوسط الوقت، بالدقائق، قضى خبراؤنا في التحقيق في الحوادث وإغلاقها في بيئتك ومتوسط الوقت الذي قضيته في تنفيذ إجراءات الاستجابة المدارة المطلوبة.

تقسم أقسام الحوادث حسب الخطورةوالحوادث حسب الفئةوالحوادث حسب مصدر الخدمة الحوادث التي تم حلها حسب الخطورة وتقنية الهجوم ومصدر خدمة أمان Microsoft، على التوالي. تتيح لك هذه الأقسام تحديد نقاط دخول الهجوم المحتملة وأنواع التهديدات التي تم اكتشافها في بيئتك، وتقييم تأثيرها، وتطوير استراتيجيات للتخفيف منها ومنعها. حدد عرض الحوادث للحصول على طريقة عرض تمت تصفيتها لقائمة انتظار الحوادث استنادا إلى التحديدات التي أجريتها في كل قسم من المقطعين.

يعرض قسم الأصول الأكثر تأثيرا المستخدمين والأجهزة في بيئتك التي شاركت في أكبر عدد من الحوادث أثناء نطاق التاريخ المحدد. يمكنك مشاهدة حجم الحوادث التي شارك فيها كل أصل. حدد أحد الأصول للحصول على طريقة عرض تمت تصفيتها لقائمة انتظار الحوادث استنادا إلى الحوادث التي تضمنت الأصل المذكور.

التتبع المدار الاستباقي

يتضمن Defender Experts for XDR أيضا تتبعا استباقيا للتهديدات يقدمه Microsoft Defender Experts for Hunting. تم إنشاء Defender Experts for Hunting للعملاء الذين لديهم مركز عمليات أمان قوي ولكنهم يريدون من Microsoft مساعدتهم على تتبع التهديدات بشكل استباقي باستخدام بيانات Microsoft Defender. تتجاوز خدمة تتبع التهديدات الاستباقية هذه نقطة النهاية للبحث عبر نقاط النهاية وOffice 365 والتطبيقات السحابية والهوية. يحقق خبراؤنا في أي شيء يجدونه، ثم يسلمون معلومات التنبيه السياقية جنبا إلى جنب مع إرشادات المعالجة، حتى تتمكن من الاستجابة بسرعة.

طلب خبرة متقدمة في التهديدات عند الطلب

حدد اسأل خبراء Defender مباشرة داخل مدخل Microsoft Defender XDR للحصول على استجابات سريعة ودقيقة لجميع أسئلة التهديد الخاصة بك. يمكن للخبراء تقديم رؤى لفهم التهديدات المعقدة التي قد تواجهها مؤسستك بشكل أفضل. استشارة خبير من أجل:

  • جمع معلومات إضافية حول التنبيهات والحوادث، بما في ذلك الأسباب الجذرية والنطاق.
  • احصل على الوضوح في الأجهزة أو التنبيهات أو الحوادث المشبوهة والحصول على الخطوات التالية إذا واجهت مهاجما متقدما.
  • تحديد المخاطر والحماية المتاحة المتعلقة بمجموعات النشاط أو الحملات أو تقنيات المهاجمين الناشئة.

ملاحظة

Ask Defender Experts ليست خدمة استجابة للحوادث الأمنية. يهدف إلى توفير فهم أفضل للتهديدات المعقدة التي تؤثر على مؤسستك. تفاعل مع فريق الاستجابة للحوادث الأمنية لمعالجة مشكلات الاستجابة للحوادث الأمنية العاجلة. إذا لم يكن لديك فريق الاستجابة لحوادث الأمان الخاص بك وترغب في مساعدة Microsoft، فقم بإنشاء طلب دعم في Premier Services Hub.

يتوفر خيار Ask Defender Experts في صفحات الحوادث والتنبيهات لطرح أسئلة سياقية حول حادث أو تنبيه معين:

  • القائمة المنبثقة لصفحة التنبيهات:

لقطة شاشة لخيار القائمة Ask Defender Experts في القائمة المنبثقة لصفحة التنبيهات في مدخل Microsoft Defender.

  • قائمة إجراءات صفحة الحوادث:

IScreenshot من خيار القائمة Ask Defender Experts في قائمة إجراءات صفحة الحوادث في مدخل Microsoft Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.