عرض قائمة انتظار Microsoft Defender لنقطة النهاية Alerts وتنظيمها

  • مقالة

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تعرض قائمة انتظار التنبيهات قائمة بالتنبيهات التي تم وضع علامة عليها من الأجهزة في شبكتك. بشكل افتراضي، تعرض قائمة الانتظار التنبيهات التي شوهدت في آخر 7 أيام في طريقة عرض مجمعة. يتم عرض أحدث التنبيهات في أعلى القائمة مما يساعدك على رؤية أحدث التنبيهات أولا.

ملاحظة

يتم تقليل التنبيهات بشكل كبير من خلال التحقيق والمعالجة الآليين، مما يسمح لخبراء العمليات الأمنية بالتركيز على التهديدات الأكثر تعقيدا وغيرها من المبادرات ذات القيمة العالية. عندما يحتوي التنبيه على كيان مدعوم للتحقيق التلقائي (على سبيل المثال، ملف) في جهاز يحتوي على نظام تشغيل مدعوم له، يمكن بدء التحقيق والمعالجة التلقائية. لمزيد من المعلومات حول التحقيقات التلقائية، راجع نظرة عامة على التحقيقات التلقائية.

هناك العديد من الخيارات التي يمكنك الاختيار من بينها لتخصيص طريقة عرض التنبيهات.

في شريط التنقل العلوي، يمكنك:

  • تخصيص الأعمدة لإضافة أعمدة أو إزالتها
  • تطبيق عوامل التصفية
  • عرض التنبيهات لمدة معينة مثل يوم واحد و3 أيام وأسبوع واحد و30 يوما و6 أشهر
  • تصدير قائمة التنبيهات إلى excel
  • إدارة التنبيهات

صفحة قائمة انتظار التنبيهات

فرز التنبيهات وتصفيتها

يمكنك تطبيق عوامل التصفية التالية للحد من قائمة التنبيهات والحصول على عرض أكثر تركيزا للتنبيهات.

شده

شدة التنبيه الوصف
عاليه
(أحمر)		 التنبيهات التي تظهر عادة مقترنة بالتهديدات المستمرة المتقدمة (APT). تشير هذه التنبيهات إلى وجود خطر كبير بسبب شدة الضرر الذي يمكن أن تلحقه بالأجهزة. بعض الأمثلة هي: أنشطة أدوات سرقة بيانات الاعتماد، أو أنشطة برامج الفدية الضارة غير المرتبطة بأي مجموعة، أو العبث بأدوات استشعار الأمان، أو أي أنشطة ضارة تشير إلى خصم بشري.
المتوسطه
(برتقالي)		 التنبيهات من الكشف عن نقطة النهاية والاستجابة لسلوكيات ما بعد الاختراق التي قد تكون جزءا من تهديد مستمر متقدم (APT). تتضمن هذه السلوكيات السلوكيات المرصودة النموذجية لمراحل الهجوم، وتغيير السجل الشاذ، وتنفيذ الملفات المشبوهة، وما إلى ذلك. على الرغم من أن البعض قد يكون جزءا من اختبار الأمان الداخلي، فإنه يتطلب التحقيق لأنه قد يكون أيضا جزءا من هجوم متقدم.
منخفضه
(أصفر)		 تنبيهات حول التهديدات المرتبطة بالبرامج الضارة السائدة. على سبيل المثال، أدوات الإختراق، وأدوات الإختراق غير الضارة، مثل تشغيل أوامر الاستكشاف، وسجلات المسح، وما إلى ذلك، التي غالبا ما لا تشير إلى تهديد متقدم يستهدف المؤسسة. يمكن أن يأتي أيضا من اختبار أداة أمان معزولة من قبل مستخدم في مؤسستك.
اعلاميه
(رمادي)		 التنبيهات التي قد لا تعتبر ضارة بالشبكة ولكن يمكن أن تدفع الوعي الأمني التنظيمي بشأن مشكلات الأمان المحتملة.

فهم خطورة التنبيه

تختلف Microsoft Defender مكافحة الفيروسات وخطورة تنبيه Defender لنقطة النهاية لأنها تمثل نطاقات مختلفة.

تمثل خطورة تهديد برنامج الحماية من الفيروسات Microsoft Defender الخطورة المطلقة للمخاطر المكتشفة (البرامج الضارة)، ويتم تعيينها استنادا إلى المخاطر المحتملة للجهاز الفردي، إذا أصيب.

تمثل خطورة تنبيه Defender لنقطة النهاية خطورة السلوك المكتشف، والمخاطر الفعلية على الجهاز ولكن الأهم من ذلك المخاطر المحتملة على المؤسسة.

لذلك، على سبيل المثال:

  • يتم تصنيف شدة تنبيه Defender لنقطة النهاية حول Microsoft Defender مكافحة الفيروسات التي تم اكتشاف التهديد الذي تم منعه ولم يصيب الجهاز على أنه "إعلامي" لأنه لم يكن هناك ضرر فعلي.
  • تم الكشف عن تنبيه حول البرامج الضارة التجارية أثناء التنفيذ، ولكن تم حظره ومعالجته بواسطة برنامج الحماية من الفيروسات Microsoft Defender، يتم تصنيفه على أنه "منخفض" لأنه ربما تسبب في بعض الضرر للجهاز الفردي ولكنه لا يشكل أي تهديد تنظيمي.
  • قد يتم تصنيف تنبيه حول البرامج الضارة التي تم اكتشافها أثناء التنفيذ والتي يمكن أن تشكل تهديدا ليس فقط للجهاز الفردي ولكن للمؤسسة، بغض النظر عما إذا تم حظرها في نهاية المطاف، على أنها "متوسطة" أو "عالية".
  • سيتم تصنيف التنبيهات السلوكية المشبوهة، التي لم يتم حظرها أو معالجتها على أنها "منخفضة" أو "متوسطة" أو "عالية" باتباع نفس اعتبارات التهديد التنظيمي.

حاله

يمكنك اختيار تصفية قائمة التنبيهات استنادا إلى حالتها.

ملاحظة

إذا رأيت حالة تنبيه نوع التنبيه غير المدعومة ، فهذا يعني أن قدرات التحقيق التلقائية لا يمكنها التقاط هذا التنبيه لتشغيل تحقيق تلقائي. ومع ذلك، يمكنك التحقق من هذه التنبيهات يدويا.

فئات

لقد أعدنا تعريف فئات التنبيه لمحاذاة تكتيكات هجوم المؤسسة في مصفوفة MITRE ATT&CK. تنطبق أسماء الفئات الجديدة على جميع التنبيهات الجديدة. ستحتفظ التنبيهات الموجودة بأسماء الفئات السابقة.

مصادر الخدمة

يمكنك تصفية التنبيهات استنادا إلى مصادر الخدمة التالية:

  • Microsoft Defender للهوية
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender لـ Office 365
  • إدارة التطبيقات
  • Microsoft Entra ID Protection

يمكن لعملاء Microsoft Endpoint Notification الآن تصفية ورؤية الاكتشافات من الخدمة عن طريق التصفية حسب Microsoft Defender الخبراء المتداخلين ضمن مصدر خدمة Microsoft Defender لنقطة النهاية.

ملاحظة

سيظهر عامل تصفية مكافحة الفيروسات فقط إذا كانت الأجهزة تستخدم برنامج الحماية من الفيروسات Microsoft Defender كمنتج الحماية الافتراضي في الوقت الحقيقي للحماية من البرامج الضارة.

العلامات

يمكنك تصفية التنبيهات استنادا إلى العلامات المعينة للتنبيهات.

السياسات

يمكنك تصفية التنبيهات استنادا إلى النهج التالية:

مصدر الكشف قيمة واجهة برمجة التطبيقات
أجهزة استشعار تابعة لجهة خارجية ThirdPartySensors
مكافحه الفيروسات WindowsDefenderAv
التحقيق التلقائي AutomatedInvestigation
الكشف المخصص CustomDetection
TI مخصص CustomerTI
يدر WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender لـ Office 365 OfficeATP
خبراء Microsoft Defender ThreatExperts
Smartscreen WindowsDefenderSmartScreen

الكيانات

يمكنك تصفية التنبيهات استنادا إلى اسم الكيان أو المعرف.

حالة التحقيق التلقائي

يمكنك اختيار تصفية التنبيهات استنادا إلى حالة التحقيق التلقائي الخاصة بها.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.