إدارة تنبيهات Microsoft Defender لنقطة النهاية

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يعلمك Defender لنقطة النهاية بالأحداث الضارة المحتملة والسمات والمعلومات السياقية من خلال التنبيهات. يتم عرض ملخص للتنبيهات الجديدة ويمكنك الوصول إلى جميع التنبيهات في قائمة انتظار التنبيهات.

يمكنك إدارة التنبيهات عن طريق تحديد تنبيه في قائمة انتظار التنبيهات، أو علامة التبويب التنبيهات في صفحة الجهاز لجهاز فردي.

يؤدي تحديد تنبيه في أي من هذين المكانين إلى إظهار جزء إدارة التنبيه.

شاهد هذا الفيديو لمعرفة كيفية استخدام صفحة تنبيه Microsoft Defender لنقطة النهاية الجديدة.

ارتباط بحادث آخر

يمكنك إنشاء حدث جديد من التنبيه أو الارتباط بحادث موجود.

تعيين التنبيهات

إذا لم يتم تعيين تنبيه بعد، يمكنك تحديد تعيين لي لتعيين التنبيه لنفسك.

منع التنبيهات

قد تكون هناك سيناريوهات تحتاج فيها إلى منع ظهور التنبيهات في Microsoft Defender XDR. يتيح لك Defender لنقطة النهاية إنشاء قواعد منع لتنبيهات معينة معروفة بأنها غير ضارة مثل الأدوات أو العمليات المعروفة في مؤسستك.

يمكن إنشاء قواعد المنع من تنبيه موجود. يمكن تعطيلها وإعادة تمكينها إذا لزم الأمر.

عند إنشاء قاعدة منع، ستصبح سارية المفعول من النقطة التي يتم فيها إنشاء القاعدة. لن تؤثر القاعدة على التنبيهات الموجودة بالفعل في قائمة الانتظار، قبل إنشاء القاعدة. سيتم تطبيق القاعدة فقط على التنبيهات التي تفي بالشروط المعينة بعد إنشاء القاعدة.

هناك سياقان لقاعدة منع يمكنك الاختيار من بينهما:

• منع التنبيه على هذا الجهاز
• منع التنبيه في مؤسستي

يتيح لك سياق القاعدة تخصيص ما يتم عرضه في المدخل والتأكد من عرض تنبيهات الأمان الحقيقية فقط في المدخل.

يمكنك استخدام الأمثلة في الجدول التالي لمساعدتك في اختيار سياق قاعدة المنع:

سياق	التعريف	أمثلة على السيناريوهات
منع التنبيه على هذا الجهاز	سيتم منع التنبيهات ذات عنوان التنبيه نفسه وعلى هذا الجهاز المحدد فقط. لن يتم منع جميع التنبيهات الأخرى على هذا الجهاز.	يقوم باحث أمني بالتحقيق في برنامج نصي ضار تم استخدامه لمهاجمة أجهزة أخرى في مؤسستك. يقوم المطور بإنشاء برامج PowerShell النصية بانتظام لفريقه.
منع التنبيه في مؤسستي	سيتم منع التنبيهات ذات عنوان التنبيه نفسه على أي جهاز.	يتم استخدام أداة إدارية حميدة من قبل الجميع في مؤسستك.

منع تنبيه وإنشاء قاعدة منع جديدة

الإنشاء قواعد مخصصة للتحكم في وقت منع التنبيهات أو حلها. يمكنك التحكم في سياق وقت منع التنبيه عن طريق تحديد عنوان التنبيه ومؤشر التسوية والشروط. بعد تحديد السياق، ستتمكن من تكوين الإجراء والنطاق في التنبيه.

1. حدد التنبيه الذي تريد منعه. يؤدي ذلك إلى ظهور جزء إدارة التنبيه .

2. حدد الإنشاء قاعدة منع.

   يمكنك إنشاء شرط منع باستخدام هذه السمات. يتم تطبيق عامل تشغيل AND بين كل شرط، لذلك يحدث المنع فقط إذا تم استيفاء جميع الشروط.

   • ملف SHA1
   • اسم الملف - حرف بدل مدعوم
   • مسار المجلد - حرف بدل مدعوم
   • عنوان IP
   • URL - أحرف البدل المدعومة
   • سطر الأوامر - حرف بدل مدعوم

3. حدد مشغل IOC.

4. حدد الإجراء والنطاق في التنبيه.

   يمكنك حل تنبيه تلقائيا أو إخفائه من المدخل. ستظهر التنبيهات التي يتم حلها تلقائيا في القسم الذي تم حله من قائمة انتظار التنبيهات وصفحة التنبيه والجدول الزمني للجهاز وستظهر كما تم حلها عبر Defender لواجهات برمجة تطبيقات نقطة النهاية.

   سيتم منع التنبيهات التي تم وضع علامة عليها على أنها مخفية من النظام بأكمله، سواء على التنبيهات المرتبطة بالجهاز أو من لوحة المعلومات ولن يتم دفقها عبر Defender لواجهات برمجة تطبيقات نقطة النهاية.

5. أدخل اسم قاعدة وتعليقا.

6. انقر فوق حفظ.

عرض قائمة قواعد المنع

1. في جزء التنقل، حدد Settings>Endpoints>Rules>Alert suppression.

2. تعرض قائمة قواعد المنع جميع القواعد التي أنشأها المستخدمون في مؤسستك.

لمزيد من المعلومات حول إدارة قواعد المنع، راجع إدارة قواعد المنع

تغيير حالة التنبيه

يمكنك تصنيف التنبيهات (على أنها جديدة أو قيد التقدم أو تم حلها) عن طريق تغيير حالتها مع تقدم التحقيق. يساعدك هذا في تنظيم وإدارة كيفية استجابة فريقك للتنبيهات.

على سبيل المثال، يمكن لمسؤول الفريق مراجعة جميع التنبيهات الجديدة ، وتحديد تعيينها إلى قائمة انتظار قيد التقدم لمزيد من التحليل.

بدلا من ذلك، قد يقوم قائد الفريق بتعيين التنبيه إلى قائمة الانتظار التي تم حلها إذا كان يعرف أن التنبيه حميد، أو قادم من جهاز غير ذي صلة (مثل جهاز ينتمي إلى مسؤول أمان)، أو يتم التعامل معه من خلال تنبيه سابق.

تصنيف التنبيه

يمكنك اختيار عدم تعيين تصنيف، أو تحديد ما إذا كان التنبيه تنبيها حقيقيا أو تنبيها خاطئا. من المهم توفير تصنيف إيجابي/خطأ حقيقي. يستخدم هذا التصنيف لمراقبة جودة التنبيه، وجعل التنبيهات أكثر دقة. يحدد حقل "التحديد" دقة إضافية لتصنيف "إيجابي حقيقي".

يتم تضمين خطوات تصنيف التنبيهات في هذا الفيديو:

إضافة تعليقات وعرض محفوظات التنبيه

يمكنك إضافة تعليقات وعرض الأحداث التاريخية حول تنبيه لمشاهدة التغييرات السابقة التي تم إجراؤها على التنبيه.

كلما تم إجراء تغيير أو تعليق على تنبيه، يتم تسجيله في قسم التعليقات والمحفوظات .

تظهر التعليقات المضافة على الفور في الجزء.

المقالات ذات الصلة

• استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender
• إدارة قواعد الحذف
• عرض قائمة انتظار Microsoft Defender لنقطة النهاية Alerts وتنظيمها
• التحقيق في تنبيهات Microsoft Defender لنقطة النهاية
• التحقيق في ملف مقترن بتنبيه Microsoft Defender لنقطة النهاية
• التحقيق في الأجهزة في قائمة أجهزة Microsoft Defender لنقطة النهاية
• التحقيق في عنوان IP المقترن بتنبيه Microsoft Defender لنقطة النهاية
• التحقيق في مجال مقترن بتنبيه Microsoft Defender لنقطة النهاية
• التحقيق في حساب مستخدم في Microsoft Defender لنقطة النهاية

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.