الاستجابة للحوادث مع Microsoft Defender XDR

ملاحظة

هل تريد تجربة Microsoft Defender XDR؟ تعرّف على المزيد حول كيفية تقييم Microsoft Defender XDR واختبارها.

ينطبق على:

  • Microsoft Defender XDR

الحادث في Microsoft Defender XDR هو مجموعة من التنبيهات المرتبطة والبيانات المرتبطة التي تشكل قصة الهجوم.

تنشئ خدمات وتطبيقات Microsoft 365 تنبيهات عندما تكتشف حدثا أو نشاطا مشبوها أو ضارا. توفر التنبيهات الفردية أدلة قيمة حول هجوم مكتمل أو مستمر. ومع ذلك، تستخدم الهجمات عادة تقنيات مختلفة ضد أنواع مختلفة من الكيانات، مثل الأجهزة والمستخدمين وعلب البريد. والنتيجة هي تنبيهات متعددة لكيانات متعددة في المستأجر الخاص بك.

نظرا لأن تجميع التنبيهات الفردية معا للحصول على نظرة ثاقبة على الهجوم يمكن أن يكون صعبا ويستغرق وقتا طويلا، Microsoft Defender XDR تجميع التنبيهات والمعلومات المرتبطة بها تلقائيا في حادث.

كيف يربط Microsoft Defender XDR الأحداث من الكيانات بحادث.

يمنحك تجميع التنبيهات ذات الصلة في حادث عرضا شاملا للهجوم. على سبيل المثال، يمكنك أن ترى:

  • حيث بدأ الهجوم.
  • ما هي التكتيكات المستخدمة.
  • إلى أي مدى ذهب الهجوم إلى المستأجر الخاص بك.
  • نطاق الهجوم، مثل عدد الأجهزة والمستخدمين وعلب البريد التي تأثرت.
  • جميع البيانات المرتبطة بالهجوم.

إذا تم تمكينها، يمكن Microsoft Defender XDR التحقيق في التنبيهات وحلها تلقائيا من خلال الأتمتة والذكاء الاصطناعي. يمكنك أيضا تنفيذ خطوات معالجة إضافية لحل الهجوم.

الحوادث والتنبيهات في مدخل Microsoft Defender

تلميح

لفترة محدودة خلال يناير 2024، عند زيارة صفحة الحوادث ، يظهر Defender Boxed. يسلط Defender Boxed الضوء على نجاحات الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال عام 2023. لإعادة فتح Defender Boxed، في مدخل Microsoft Defender، انتقل إلى Incidents، ثم حدد Your Defender Boxed.

يمكنك إدارة الحوادث من الحوادث & تنبيهات الحوادث > عند التشغيل السريع لمدخل Microsoft Defender. فيما يلي مثال.

صفحة الحوادث في مدخل Microsoft Defender.

يؤدي تحديد اسم حادث إلى عرض قصة الهجوم بالكامل للحادث، بما في ذلك:

  • صفحة التنبيه داخل الحدث: نطاق التنبيهات المتعلقة بالحادث ومعلوماتها في علامة التبويب نفسها.
  • الرسم البياني: تمثيل مرئي للهجوم يربط الكيانات المشبوهة المختلفة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

يمكنك عرض تفاصيل الكيان مباشرة من الرسم البياني والعمل عليها باستخدام خيارات الاستجابة مثل حذف الملف أو عزل الجهاز.

لقطة شاشة تعرض صفحة قصة الهجوم لحادث في مدخل Microsoft Defender.

علامات التبويب الإضافية لحدث ما هي:

  • قصة الهجوم

    القصة الكاملة للهجوم، بما في ذلك جميع التنبيهات والأصول وإجراءات المعالجة المتخذة.

  • التنبيهات

    جميع التنبيهات المتعلقة بالحادث ومعلوماتها.

  • الاصول

    جميع الأصول (الأجهزة والمستخدمين وعلب البريد والتطبيقات) التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به.

  • التحقيقات

    جميع التحقيقات الآلية التي تم تشغيلها بواسطة التنبيهات في الحادث.

  • الأدلة والاستجابة

    جميع الأحداث المدعومة والكيانات المشبوهة في تنبيهات الحادث.

  • الملخص

    نظرة عامة سريعة على الأصول المتأثرة المرتبطة بالتنبيهات.

ملاحظة

إذا رأيت حالة تنبيه نوع التنبيه غير المدعومة ، فهذا يعني أن قدرات التحقيق التلقائية لا يمكنها التقاط هذا التنبيه لتشغيل تحقيق تلقائي. ومع ذلك، يمكنك التحقق من هذه التنبيهات يدويا.

مثال على سير عمل الاستجابة للحوادث Microsoft Defender XDR

فيما يلي مثال على سير العمل للاستجابة للحوادث في Microsoft 365 باستخدام مدخل Microsoft Defender.

مثال على سير عمل الاستجابة للحوادث لمدخل Microsoft Defender.

على أساس مستمر، حدد الحوادث ذات الأولوية القصوى للتحليل والحل في قائمة انتظار الحوادث واجعلها جاهزة للاستجابة. هذا مزيج من:

  • الفرز لتحديد الحوادث ذات الأولوية القصوى من خلال تصفية قائمة انتظار الحوادث وفرزها.
  • إدارة الحوادث عن طريق تعديل عنوانها وتعيينها إلى محلل وإضافة علامات وتعليقات.

ضع في اعتبارك هذه الخطوات لسير عمل الاستجابة للحوادث:

  1. لكل حادث، ابدأ التحقيق والتحليل في الهجوم والتنبيه:

    1. اعرض قصة الهجوم للحادث لفهم نطاقه وشدته ومصدر الكشف والكيانات المتأثرة.

    2. ابدأ في تحليل التنبيهات لفهم أصلها ونطاقها وشدتها مع قصة التنبيه داخل الحادث.

    3. حسب الحاجة، اجمع معلومات حول الأجهزة والمستخدمين وعلب البريد المتأثرة باستخدام الرسم البياني. انقر بزر الماوس الأيمن فوق أي كيان لفتح قائمة منبثقة مع جميع التفاصيل.

    4. تعرف على كيفية حل Microsoft Defender XDR لبعض التنبيهات تلقائيا باستخدام علامة التبويب Investigations.

    5. حسب الحاجة، استخدم المعلومات في مجموعة البيانات للحادث لمزيد من المعلومات باستخدام علامة التبويب الأدلة والاستجابة .

  2. بعد التحليل أو أثناءه، قم بإجراء الاحتواء لتقليل أي تأثير إضافي للهجوم والقضاء على التهديد الأمني.

  3. قدر الإمكان، يمكنك التعافي من الهجوم عن طريق استعادة موارد المستأجر إلى الحالة التي كانت عليها قبل الحادث.

  4. قم بحل الحادث واستغرق وقتا للتعلم بعد الحدث من أجل:

    • فهم نوع الهجوم وتأثيره.
    • ابحث عن الهجوم في تحليلات التهديدات ومجتمع الأمان بحثا عن اتجاه هجوم أمني.
    • تذكر سير العمل الذي استخدمته لحل الحادث وتحديث مهام سير العمل والعمليات والنهج ودلائل المبادئ القياسية حسب الحاجة.
    • حدد ما إذا كانت هناك حاجة إلى تغييرات في تكوين الأمان وتنفيذها.

إذا كنت جديدا على تحليل الأمان، فراجع مقدمة الاستجابة للحادث الأول للحصول على معلومات إضافية والتنقل عبر مثال الحادث.

لمزيد من المعلومات حول الاستجابة للحوادث عبر منتجات Microsoft، راجع هذه المقالة.

مثال على عمليات الأمان Microsoft Defender XDR

فيما يلي مثال على عمليات الأمان (SecOps) Microsoft Defender XDR.

مثال على عمليات الأمان Microsoft Defender XDR

يمكن أن تتضمن المهام اليومية ما يلي:

يمكن أن تتضمن المهام الشهرية ما يلي:

يمكن أن تتضمن المهام ربع السنوية تقريرا وإحاطة بنتائج الأمان إلى كبير مسؤولي أمن المعلومات (CISO).

يمكن أن تتضمن المهام السنوية إجراء حادث كبير أو ممارسة خرق لاختبار الموظفين والأنظمة والعمليات.

يمكن استخدام المهام اليومية والشهرية والربع سنوية والسينية لتحديث العمليات والنهج وتكوينات الأمان أو تحسينها.

راجع دمج Microsoft Defender XDR في عمليات الأمان للحصول على مزيد من التفاصيل.

موارد SecOps عبر منتجات Microsoft

لمزيد من المعلومات حول SecOps عبر منتجات Microsoft، راجع هذه الموارد:

الحصول على إعلامات بالحوادث عبر البريد الإلكتروني

يمكنك إعداد Microsoft Defender XDR لإعلام موظفيك بالبريد الإلكتروني حول الحوادث الجديدة أو التحديثات للحوادث الحالية. يمكنك اختيار الحصول على إعلامات استنادا إلى:

  • شدة التنبيه
  • مصادر التنبيه
  • مجموعة الأجهزة

لإعداد إعلامات البريد الإلكتروني للحوادث، راجع الحصول على إعلامات البريد الإلكتروني حول الحوادث.

تدريب محللي الأمان

استخدم وحدة التعلم هذه من Microsoft Learn لفهم كيفية استخدام Microsoft Defender XDR لإدارة الحوادث والتنبيهات.

التدريب: التحقيق في الحوادث باستخدام Microsoft Defender XDR
تحقق من الحوادث باستخدام أيقونة تدريب Microsoft Defender XDR. Microsoft Defender XDR توحيد بيانات التهديد من خدمات متعددة واستخدام الذكاء الاصطناعي لدمجها في الحوادث والتنبيهات. تعرف على كيفية تقليل الوقت بين الحادث وإدارته للاستجابة والحل اللاحقين.

27 دقيقة - 6 وحدات

الخطوات التالية

استخدم الخطوات المدرجة استنادا إلى مستوى تجربتك أو دورك في فريق الأمان.

مستوى التجربة

اتبع هذا الجدول للحصول على مستوى خبرتك في تحليل الأمان والاستجابة للحوادث.

مستوي الخطوات
الجديد
  1. راجع معاينة الاستجابة للحوادث الأولى للحصول على جولة إرشادية لعملية نموذجية من التحليل والمعالجة ومراجعة ما بعد الحادث في مدخل Microsoft Defender مع مثال للهجوم.
  2. تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
  3. إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
ذوي الخبره
  1. ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft Defender. من هنا يمكنك:
    • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
    • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
    • إجراء تحقيقات في الحوادث.
  2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.

دور فريق الأمان

اتبع هذا الجدول استنادا إلى دور فريق الأمان.

دور الخطوات
مستجيب الحوادث (المستوى 1) ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft Defender. من هنا يمكنك:
  • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
  • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
محقق أو محلل أمني (المستوى 2)
  1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft Defender.
  2. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
محلل أمان متقدم أو صياد تهديدات (المستوى 3)
  1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft Defender.
  2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
مدير SOC تعرف على كيفية دمج Microsoft Defender XDR في مركز عمليات الأمان (SOC) الخاص بك.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.