الاستجابة للحوادث في مدخل Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

الحادث في مدخل Microsoft Defender هو مجموعة من التنبيهات ذات الصلة والبيانات المرتبطة بها التي تشكل قصة الهجوم. وهو أيضا ملف حالة يمكن أن يستخدمه SOC للتحقيق في هذا الهجوم وإدارته وتنفيذه وتوثيق الاستجابة له.

تنشئ خدمات Microsoft Sentinel وخدمات Microsoft Defender تنبيهات عند اكتشاف حدث أو نشاط مريب أو ضار. توفر التنبيهات الفردية دليلا قيما على هجوم مكتمل أو مستمر. ومع ذلك، تستخدم الهجمات المتزايدة الانتشار والمتطورة عادة مجموعة متنوعة من التقنيات والمتجهات ضد أنواع مختلفة من كيانات الأصول، مثل الأجهزة والمستخدمين وعلب البريد. والنتيجة هي تنبيهات متعددة، من مصادر متعددة، لكيانات أصول متعددة في ممتلكاتك الرقمية.

نظرا لأن كل تنبيهات فردية لا تخبر سوى جزء من القصة، ولأن تجميع التنبيهات الفردية يدويا معا للحصول على نظرة ثاقبة حول الهجوم يمكن أن يكون صعبا ويستغرق وقتا طويلا، فإن النظام الأساسي لعمليات الأمان الموحدة يحدد تلقائيا التنبيهات ذات الصلة - من كل من Microsoft Sentinel Microsoft Defender XDR - ويجمعها والمعلومات المرتبطة بها في حادث.

كيف يربط Microsoft Defender XDR الأحداث من الكيانات بحادث.

يمنحك تجميع التنبيهات ذات الصلة في حادث عرضا شاملا للهجوم. على سبيل المثال، يمكنك أن ترى:

  • حيث بدأ الهجوم.
  • ما هي التكتيكات المستخدمة.
  • إلى أي مدى ذهب الهجوم إلى ممتلكاتك الرقمية.
  • نطاق الهجوم، مثل عدد الأجهزة والمستخدمين وعلب البريد التي تأثرت.
  • جميع البيانات المرتبطة بالهجوم.

تتضمن منصة عمليات الأمان الموحدة في مدخل Microsoft Defender طرقا لأتمتة الحوادث والتحقيق فيها وحلها والمساعدة في فرزها.

  • يستخدم Microsoft Copilot في Defender الذكاء الاصطناعي لدعم المحللين من خلال مهام سير العمل اليومية المعقدة والمستغرقة للوقت، بما في ذلك التحقيق والاستجابة من طرف إلى طرف في الحوادث مع قصص الهجوم الموضحة بوضوح، وإرشادات المعالجة القابلة للتنفيذ خطوة بخطوة، ونشاط الحوادث الملخصة للتقارير، وتعقب KQL للغة الطبيعية، وتحليل التعليمات البرمجية للخبراء - تحسين كفاءة SOC عبر بيانات Microsoft Sentinel Defender XDR.

    هذه الإمكانية بالإضافة إلى الوظائف الأخرى المستندة إلى الذكاء الاصطناعي التي يجلبها Microsoft Sentinel إلى النظام الأساسي الموحد، في مجالات تحليلات سلوك المستخدم والكيان، واكتشاف الحالات الشاذة، والكشف عن التهديدات متعددة المراحل، والمزيد.

  • يستخدم تعطيل الهجوم التلقائي إشارات عالية الثقة تم جمعها من Microsoft Defender XDR وMicrosoft Sentinel لتعطيل الهجمات النشطة تلقائيا بسرعة الجهاز، والتي تحتوي على التهديد وتحد من التأثير.

  • إذا تم تمكينها، يمكن Microsoft Defender XDR التحقيق في التنبيهات وحلها تلقائيا من مصادر معرف Microsoft 365 و Entra من خلال الأتمتة والذكاء الاصطناعي. يمكنك أيضا تنفيذ خطوات معالجة إضافية لحل الهجوم.

  • يمكن لقواعد أتمتة Microsoft Sentinel أتمتة فرز الحوادث وتعيينها وإدارتها، بغض النظر عن مصدرها. يمكنهم تطبيق العلامات على الحوادث استنادا إلى محتواها، وقمع الحوادث الصاخبة (الإيجابية الخاطئة)، وإغلاق الحوادث التي تم حلها والتي تفي بالمعايير المناسبة، وتحديد سبب وإضافة تعليقات.

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

الحوادث والتنبيهات في مدخل Microsoft Defender

تلميح

لفترة محدودة خلال يناير 2024، عند زيارة صفحة الحوادث ، يظهر Defender Boxed. يسلط Defender Boxed الضوء على نجاحات الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال عام 2023. لإعادة فتح Defender Boxed، في مدخل Microsoft Defender، انتقل إلى Incidents، ثم حدد Your Defender Boxed.

يمكنك إدارة الحوادث من التحقيق & الاستجابة > للحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender. فيما يلي مثال:

صفحة الحوادث في مدخل Microsoft Defender.

يؤدي تحديد اسم حادث إلى عرض صفحة الحادث، بدءا من قصة الهجوم بأكملها للحادث، بما في ذلك:

  • صفحة التنبيه داخل الحدث: نطاق التنبيهات المتعلقة بالحادث ومعلوماتها في علامة التبويب نفسها.

  • الرسم البياني: تمثيل مرئي للهجوم يربط الكيانات المشبوهة المختلفة التي تعد جزءا من الهجوم بكيانات الأصول التي تشكل أهداف الهجوم، مثل المستخدمين والأجهزة والتطبيقات وعلب البريد.

يمكنك عرض تفاصيل الأصل والكيان الآخر مباشرة من الرسم البياني والعمل عليها باستخدام خيارات الاستجابة مثل تعطيل حساب أو حذف ملف أو عزل جهاز.

لقطة شاشة تعرض صفحة قصة الهجوم لحادث في مدخل Microsoft Defender.

تتكون صفحة الحدث من علامات التبويب التالية:

  • قصة الهجوم

    المذكور أعلاه، تتضمن علامة التبويب هذه المخطط الزمني للهجوم، بما في ذلك جميع التنبيهات وكيانات الأصول وإجراءات المعالجة المتخذة.

  • التنبيهات

    جميع التنبيهات المتعلقة بالحادث ومصادرها ومعلوماتها.

  • الاصول

    جميع الأصول (الكيانات المحمية مثل الأجهزة والمستخدمين وعلب البريد والتطبيقات وموارد السحابة) التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به.

  • التحقيقات

    جميع التحقيقات الآلية التي تم تشغيلها بواسطة التنبيهات في الحادث، بما في ذلك حالة التحقيقات ونتائجها.

  • الأدلة والاستجابة

    جميع الكيانات المشبوهة في تنبيهات الحادث، والتي تشكل دليلا يدعم قصة الهجوم. يمكن أن تتضمن هذه الكيانات عناوين IP والملفات والعمليات وعناوين URL ومفاتيح التسجيل والقيم والمزيد.

  • الملخص

    نظرة عامة سريعة على الأصول المتأثرة المرتبطة بالتنبيهات.

ملاحظة

إذا رأيت حالة تنبيه نوع التنبيه غير المدعومة ، فهذا يعني أن قدرات التحقيق التلقائية لا يمكنها التقاط هذا التنبيه لتشغيل تحقيق تلقائي. ومع ذلك، يمكنك التحقق من هذه التنبيهات يدويا.

مثال على سير عمل الاستجابة للحوادث في مدخل Microsoft Defender

فيما يلي مثال على سير العمل للاستجابة للحوادث في Microsoft 365 باستخدام مدخل Microsoft Defender.

مثال على سير عمل الاستجابة للحوادث لمدخل Microsoft Defender.

على أساس مستمر، حدد الحوادث ذات الأولوية القصوى للتحليل والحل في قائمة انتظار الحوادث واجعلها جاهزة للاستجابة. هذا مزيج من:

  • الفرز لتحديد الحوادث ذات الأولوية القصوى من خلال تصفية قائمة انتظار الحوادث وفرزها.
  • إدارة الحوادث عن طريق تعديل عنوانها وتعيينها إلى محلل وإضافة علامات وتعليقات.

يمكنك استخدام قواعد أتمتة Microsoft Sentinel لفرز بعض الحوادث وإدارتها تلقائيا (وحتى الاستجابة لها) عند إنشائها، وإزالة الحوادث الأسهل للتعامل معها من أخذ مساحة في قائمة الانتظار الخاصة بك.

ضع في اعتبارك هذه الخطوات لسير عمل الاستجابة للحوادث:

المرحله الخطوات
لكل حادث، ابدأ التحقيق والتحليل في الهجوم والتنبيه.
  1. اعرض قصة الهجوم للحادث لفهم نطاقه وشدته ومصدر الكشف وكيانات الأصول المتأثرة.
  2. ابدأ في تحليل التنبيهات لفهم أصلها ونطاقها وشدتها مع قصة التنبيه داخل الحادث.
  3. حسب الحاجة، اجمع معلومات حول الأجهزة والمستخدمين وعلب البريد المتأثرة باستخدام الرسم البياني. حدد أي كيان لفتح قائمة منبثقة مع جميع التفاصيل. تابع إلى صفحة الكيان للحصول على مزيد من الرؤى.
  4. تعرف على كيفية حل Microsoft Defender XDR لبعض التنبيهات تلقائيا باستخدام علامة التبويب Investigations.
  5. حسب الحاجة، استخدم المعلومات في مجموعة البيانات للحادث لمزيد من المعلومات باستخدام علامة التبويب الأدلة والاستجابة .
بعد التحليل أو أثناءه، قم بإجراء الاحتواء لتقليل أي تأثير إضافي للهجوم والقضاء على التهديد الأمني. على سبيل المثال
  • تعطيل المستخدمين المخترقين
  • عزل الأجهزة المتأثرة
  • حظر عناوين IP العدائية.
    		•
    قدر الإمكان، يمكنك التعافي من الهجوم عن طريق استعادة موارد المستأجر إلى الحالة التي كانت عليها قبل الحادث.
    حل الحادث وتوثيق النتائج. خذ وقتا للتعلم بعد الحدث من أجل:
  • فهم نوع الهجوم وتأثيره.
  • ابحث عن الهجوم في تحليلات التهديدات ومجتمع الأمان بحثا عن اتجاه هجوم أمني.
  • تذكر سير العمل الذي استخدمته لحل الحادث وتحديث مهام سير العمل والعمليات والنهج ودلائل المبادئ القياسية حسب الحاجة.
  • حدد ما إذا كانت هناك حاجة إلى تغييرات في تكوين الأمان وتنفيذها.
    		•

    إذا كنت جديدا على تحليل الأمان، فراجع مقدمة الاستجابة للحادث الأول للحصول على معلومات إضافية والتنقل عبر مثال الحادث.

    لمزيد من المعلومات حول الاستجابة للحوادث عبر منتجات Microsoft، راجع هذه المقالة.

    دمج عمليات الأمان في مدخل Microsoft Defender

    فيما يلي مثال على دمج عمليات الأمان (SecOps) في مدخل Microsoft Defender.

    مثال على عمليات الأمان Microsoft Defender XDR

    يمكن أن تتضمن المهام اليومية ما يلي:

    يمكن أن تتضمن المهام الشهرية ما يلي:

    يمكن أن تتضمن المهام ربع السنوية تقريرا وإحاطة بنتائج الأمان إلى كبير مسؤولي أمن المعلومات (CISO).

    يمكن أن تتضمن المهام السنوية إجراء حادث كبير أو ممارسة خرق لاختبار الموظفين والأنظمة والعمليات.

    يمكن استخدام المهام اليومية والشهرية والربع سنوية والسينية لتحديث العمليات والنهج وتكوينات الأمان أو تحسينها.

    راجع دمج Microsoft Defender XDR في عمليات الأمان للحصول على مزيد من التفاصيل.

    موارد SecOps عبر منتجات Microsoft

    لمزيد من المعلومات حول SecOps عبر منتجات Microsoft، راجع هذه الموارد:

    إعلامات الحوادث عبر البريد الإلكتروني

    يمكنك إعداد مدخل Microsoft Defender لإعلام الموظفين بالبريد الإلكتروني حول الحوادث الجديدة أو التحديثات للحوادث الحالية. يمكنك اختيار الحصول على إعلامات استنادا إلى:

    • شدة التنبيه
    • مصادر التنبيه
    • مجموعة الأجهزة

    لإعداد إعلامات البريد الإلكتروني للحوادث، راجع الحصول على إعلامات البريد الإلكتروني حول الحوادث.

    تدريب محللي الأمان

    استخدم وحدة التعلم هذه من Microsoft Learn لفهم كيفية استخدام Microsoft Defender XDR لإدارة الحوادث والتنبيهات.

    التدريب: التحقيق في الحوادث باستخدام Microsoft Defender XDR
    تحقق من الحوادث باستخدام أيقونة تدريب Microsoft Defender XDR. Microsoft Defender XDR توحيد بيانات التهديد من خدمات متعددة واستخدام الذكاء الاصطناعي لدمجها في الحوادث والتنبيهات. تعرف على كيفية تقليل الوقت بين الحادث وإدارته للاستجابة والحل اللاحقين.

    27 دقيقة - 6 وحدات

    بدء >

    الخطوات التالية

    استخدم الخطوات المدرجة استنادا إلى مستوى تجربتك أو دورك في فريق الأمان.

    مستوى التجربة

    اتبع هذا الجدول للحصول على مستوى خبرتك في تحليل الأمان والاستجابة للحوادث.

    مستوي الخطوات
    الجديد
    1. راجع معاينة الاستجابة للحوادث الأولى للحصول على جولة إرشادية لعملية نموذجية من التحليل والمعالجة ومراجعة ما بعد الحادث في مدخل Microsoft Defender مع مثال للهجوم.
    2. تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
    3. إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
    ذوي الخبره
    1. ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft Defender. من هنا يمكنك:
      • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
      • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
      • إجراء تحقيقات في الحوادث.
    2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
    3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
    4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.

    دور فريق الأمان

    اتبع هذا الجدول استنادا إلى دور فريق الأمان.

    دور الخطوات
    مستجيب الحوادث (المستوى 1) ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft Defender. من هنا يمكنك:
    • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
    • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
    محقق أو محلل أمني (المستوى 2)
    1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft Defender.
    2. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
    محلل أمان متقدم أو صياد تهديدات (المستوى 3)
    1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft Defender.
    2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
    3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
    4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
    مدير SOC تعرف على كيفية دمج Microsoft Defender XDR في مركز عمليات الأمان (SOC) الخاص بك.

    تلميح

    هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.