تحديد أولويات الحوادث في مدخل Microsoft Defender

• ينطبق على:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

يطبق النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender تحليلات الارتباط ويجمع التنبيهات ذات الصلة والتحقيقات التلقائية من منتجات مختلفة في حادث. يقوم Microsoft Sentinel و Defender XDR أيضا بتشغيل تنبيهات فريدة حول الأنشطة التي يمكن تعريفها فقط على أنها ضارة نظرا للرؤية الشاملة في النظام الأساسي الموحد عبر مجموعة المنتجات بأكملها. تمنح طريقة العرض هذه محللي الأمان قصة هجوم أوسع، مما يساعدهم على فهم التهديدات المعقدة والتعامل معها بشكل أفضل عبر مؤسستك.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

قائمة انتظار الحوادث

تعرض قائمة انتظار الحدث مجموعة من الحوادث التي تم إنشاؤها عبر الأجهزة والمستخدمين وعلب البريد والموارد الأخرى. يساعدك على فرز الحوادث لتحديد أولويات وإنشاء قرار استجابة مستنير للأمان عبر الإنترنت، وهي عملية تعرف باسم فرز الحوادث.

تلميح

لفترة محدودة خلال يناير 2024، عند زيارة صفحة الحوادث ، يظهر Defender Boxed. يسلط Defender Boxed الضوء على نجاحات الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال عام 2023. لإعادة فتح Defender Boxed، في مدخل Microsoft Defender، انتقل إلى Incidents، ثم حدد Your Defender Boxed.

يمكنك الوصول إلى قائمة انتظار الحوادث من الحوادث & تنبيهات الحوادث > عند التشغيل السريع لمدخل Microsoft Defender. فيما يلي مثال.

حدد أحدث الحوادث والتنبيهات للتبديل بين توسيع القسم العلوي، والذي يعرض رسما بيانيا زمنيا لعدد التنبيهات المستلمة والحوادث التي تم إنشاؤها في آخر 24 ساعة.

أسفل ذلك، تعرض قائمة انتظار الحوادث في مدخل Microsoft Defender الحوادث التي شوهدت في الأشهر الستة الماضية. أحدث حادث في أعلى القائمة حتى تتمكن من رؤيته أولا. يمكنك اختيار إطار زمني مختلف عن طريق تحديده من القائمة المنسدلة في الأعلى.

تحتوي قائمة انتظار الحوادث على أعمدة قابلة للتخصيص (حدد تخصيص الأعمدة) التي تمنحك رؤية للخصائص المختلفة للحادث أو الكيانات المتأثرة. تساعدك هذه التصفية على اتخاذ قرار مستنير بشأن تحديد أولويات الحوادث للتحليل.

أسماء الحوادث

لمزيد من الرؤية في لمحة سريعة، يقوم Microsoft Defender XDR بإنشاء أسماء الحوادث تلقائيا، استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. تسمح لك هذه التسمية المحددة بفهم نطاق الحدث بسرعة.

على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، فمن المحتمل أن تتغير أسماء أي تنبيهات وحوادث قادمة من Microsoft Sentinel (بغض النظر عما إذا كانت قد تم إنشاؤها قبل الإعداد أو منذه).

نوصي بتجنب استخدام اسم الحدث كشرط لتشغيل قواعد التشغيل التلقائي. إذا كان اسم الحدث شرطا، وتغير اسم الحدث، فلن يتم تشغيل القاعدة.

عوامل التصفيه

توفر قائمة انتظار الحوادث أيضا خيارات تصفية متعددة، والتي عند تطبيقها، تمكنك من إجراء مسح واسع لجميع الحوادث الموجودة في بيئتك، أو تقرر التركيز على سيناريو أو تهديد معين. يمكن أن يساعد تطبيق عوامل التصفية على قائمة انتظار الحوادث في تحديد الحدث الذي يتطلب اهتماما فوريا.

تعرض قائمة عوامل التصفية أعلى قائمة الحوادث عوامل التصفية المطبقة حاليا.

من قائمة انتظار الحوادث الافتراضية، يمكنك تحديد إضافة عامل تصفية لمشاهدة القائمة المنسدلة إضافة عامل تصفية ، والتي تحدد منها عوامل التصفية لتطبيقها على قائمة انتظار الحوادث للحد من مجموعة الحوادث المعروضة. فيما يلي مثال.

حدد عوامل التصفية التي تريد استخدامها، ثم حدد إضافة في أسفل القائمة لتوفيرها.

الآن يتم عرض عوامل التصفية التي حددتها مع عوامل التصفية المطبقة الموجودة. حدد عامل التصفية الجديد لتحديد شروطه. على سبيل المثال، إذا اخترت عامل التصفية "مصادر الخدمة/الكشف"، فحدده لاختيار المصادر التي تريد تصفية القائمة من خلالها.

يمكنك أيضا رؤية جزء Filter عن طريق تحديد أي من عوامل التصفية في قائمة عوامل التصفية أعلى قائمة الحوادث.

يسرد هذا الجدول أسماء عوامل التصفية المتوفرة.

اسم عامل التصفية	الوصف/الشروط
حاله	حدد جديد أو قيد التقدم أو تم حله.
خطورة التنبيه خطورة الحادث	تشير خطورة التنبيه أو الحادث إلى التأثير الذي يمكن أن يحدثه على أصولك. كلما ارتفعت درجة الخطورة، كان التأثير أكبر ويتطلب عادة الاهتمام الأكثر إلحاحا. حدد High أو Medium أو Low أو Informational.
تعيين الحدث	حدد المستخدم أو المستخدمين المعينين.
مصادر خدمة متعددة	حدد ما إذا كان عامل التصفية لأكثر من مصدر خدمة واحد.
مصادر الخدمة/الكشف	حدد الحوادث التي تحتوي على تنبيهات من واحد أو أكثر مما يلي: Microsoft Defender للهوية Microsoft Defender for Cloud Apps Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender لـ Office 365 إدارة التطبيقات Microsoft Entra ID Protection منع فقدان بيانات Microsoft Microsoft Defender للسحابة Microsoft Sentinel يمكن توسيع العديد من هذه الخدمات في القائمة للكشف عن المزيد من الخيارات لمصادر الكشف داخل خدمة معينة.
العلامات	حدد اسما واحدا أو أسماء علامات متعددة من القائمة.
فئة متعددة	حدد ما إذا كان عامل التصفية لأكثر من فئة واحدة.
فئات	اختر الفئات للتركيز على تكتيكات أو تقنيات أو مكونات هجوم محددة ينظر إليها.
الكيانات	حدد اسم أصل مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق.
حساسية البيانات	تركز بعض الهجمات على الاستهداف لتصفية البيانات الحساسة أو القيمة. من خلال تطبيق عامل تصفية لتسميات حساسية معينة، يمكنك بسرعة تحديد ما إذا كان من المحتمل اختراق المعلومات الحساسة وتحديد أولويات معالجة هذه الحوادث. يعرض عامل التصفية هذا المعلومات فقط عند تطبيق أوصاف الحساسية من حماية البيانات في Microsoft Purview.
مجموعات الأجهزة	حدد اسم مجموعة الأجهزة .
النظام الأساسي لنظام التشغيل	حدد أنظمة تشغيل الجهاز.
تصنيف	حدد مجموعة تصنيفات التنبيهات ذات الصلة.
حالة التحقيق التلقائي	حدد حالة التحقيق التلقائي.
التهديد المرتبط	حدد تهديدا مسمى.
نُهج التنبيهات	حدد عنوان نهج التنبيه.

عامل التصفية الافتراضي هو إظهار جميع التنبيهات والحوادث بحالة جديدوقيد التقدم وبخطورة عالية أو متوسطة أو منخفضة.

يمكنك إزالة عامل تصفية بسرعة عن طريق تحديد X باسم عامل تصفية في قائمة عوامل التصفية .

يمكنك أيضا إنشاء مجموعات عوامل التصفية داخل صفحة الحوادث عن طريق تحديد استعلامات عامل التصفية المحفوظة > الإنشاء مجموعة عوامل التصفية. إذا لم يتم إنشاء مجموعات عوامل تصفية، فحدد حفظ لإنشاء واحدة.

حفظ عوامل التصفية المخصصة كعناوين URL

بمجرد تكوين عامل تصفية مفيد في قائمة انتظار الحوادث، يمكنك وضع إشارة مرجعية على عنوان URL لعلامة تبويب المستعرض أو حفظه كارتباط على صفحة ويب أو مستند Word أو مكان من اختيارك. تمنحك الإشارات المرجعية إمكانية الوصول بنقرة واحدة إلى طرق العرض الرئيسية لقائمة انتظار الحوادث، مثل:

• حوادث جديدة
• الحوادث عالية الخطورة
• الحوادث غير المعينة
• الحوادث عالية الخطورة وغير المعينة
• الحوادث المعينة لي
• الحوادث المعينة لي ول Microsoft Defender لنقطة النهاية
• الحوادث ذات علامة أو علامات معينة
• الحوادث ذات فئة تهديد محددة
• الحوادث ذات التهديد المرتبط المحدد
• الحوادث مع جهة فاعلة معينة

بمجرد تجميع قائمة طرق عرض التصفية المفيدة وتخزينها كعناوين URL، استخدمها لمعالجة الحوادث في قائمة الانتظار وتحديد أولوياتها بسرعة وإدارتها للتعيين والتحليل اللاحقين.

البحث

من مربع البحث للاسم أو المعرف أعلى قائمة الحوادث، يمكنك البحث عن الحوادث بعدة طرق، للعثور بسرعة على ما تبحث عنه.

البحث حسب اسم الحدث أو المعرف

البحث مباشرة لحادث عن طريق كتابة معرف الحادث أو اسم الحدث. عند تحديد حدث من قائمة نتائج البحث، يفتح مدخل Microsoft Defender علامة تبويب جديدة مع خصائص الحادث، والتي يمكنك من خلالها بدء التحقيق.

البحث بالأصول المتأثرة

يمكنك تسمية أصل - مثل مستخدم أو جهاز أو علبة بريد أو اسم تطبيق أو مورد سحابي - والعثور على جميع الحوادث المتعلقة بهذا الأصل.

تحديد نطاق زمني

القائمة الافتراضية للحوادث مخصصة لتلك التي حدثت في الأشهر الستة الماضية. يمكنك تحديد نطاق زمني جديد من مربع القائمة المنسدلة بجوار أيقونة التقويم عن طريق تحديد:

• يوم واحد
• ثلاث أيام
• أسبوع واحد
• 30 يوماً
• 30 يوماً
• ستة أشهر
• نطاق مخصص يمكنك من خلاله تحديد كل من التواريخ والأوقات

الخطوات التالية

بعد تحديد الحدث الذي يتطلب الأولوية القصوى، حدده و:

• إدارة خصائص الحدث للعلامات والتعيين والحل الفوري للحوادث الإيجابية الزائفة والتعليقات.
• ابدأ تحقيقاتك.

راجع أيضًا

• نظرة عامة على الحوادث
• إدارة الأحداث
• التحقيق في الأحداث

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.