الاستجابة للحوادث باستخدام Microsoft 365 Defender

  • مقالة

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender واختبارها.

ينطبق على:

  • Microsoft 365 Defender

الحادث في Microsoft 365 Defender هو مجموعة من التنبيهات المرتبطة والبيانات المرتبطة التي تشكل قصة الهجوم.

تنشئ خدمات وتطبيقات Microsoft 365 تنبيهات عندما تكتشف حدثا أو نشاطا مشبوها أو ضارا. توفر التنبيهات الفردية أدلة قيمة حول هجوم مكتمل أو مستمر. ومع ذلك، تستخدم الهجمات عادة تقنيات مختلفة ضد أنواع مختلفة من الكيانات، مثل الأجهزة والمستخدمين وعلب البريد. والنتيجة هي تنبيهات متعددة لكيانات متعددة في المستأجر الخاص بك.

نظرا لأن تجميع التنبيهات الفردية معا للحصول على نظرة ثاقبة على الهجوم يمكن أن يكون صعبا ويستغرق وقتا طويلا، Microsoft 365 Defender تجميع التنبيهات والمعلومات المرتبطة بها تلقائيا في حادث.

كيفية ربط Microsoft 365 Defender الأحداث من الكيانات بحادث.

يمنحك تجميع التنبيهات ذات الصلة في حادث عرضا شاملا للهجوم. على سبيل المثال، يمكنك أن ترى:

  • حيث بدأ الهجوم.
  • ما هي التكتيكات المستخدمة.
  • إلى أي مدى ذهب الهجوم إلى المستأجر الخاص بك.
  • نطاق الهجوم، مثل عدد الأجهزة والمستخدمين وعلب البريد التي تأثرت.
  • جميع البيانات المرتبطة بالهجوم.

إذا تم تمكينها، يمكن Microsoft 365 Defender التحقيق في التنبيهات وحلها تلقائيا من خلال الأتمتة والذكاء الاصطناعي. يمكنك أيضا تنفيذ خطوات معالجة إضافية لحل الهجوم.

الحوادث والتنبيهات في مدخل Microsoft 365 Defender

يمكنك إدارة الحوادث من الحوادث & تنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft 365 Defender. فيما يلي مثال.

صفحة الحوادث في مدخل Microsoft 365 Defender.

يؤدي تحديد اسم حادث إلى عرض قصة الهجوم بالكامل للحادث، بما في ذلك:

  • صفحة التنبيه داخل الحدث: نطاق التنبيهات المتعلقة بالحادث ومعلوماتها في علامة التبويب نفسها.
  • الرسم البياني: تمثيل مرئي للهجوم يربط الكيانات المشبوهة المختلفة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

يمكنك عرض تفاصيل الكيان مباشرة من الرسم البياني والعمل عليها باستخدام خيارات الاستجابة مثل حذف الملف أو عزل الجهاز.

لقطة شاشة تعرض صفحة قصة الهجوم لحادث في مدخل Microsoft 365 Defender.

علامات التبويب الإضافية لحدث ما هي:

  • قصة الهجوم

    القصة الكاملة للهجوم، بما في ذلك جميع التنبيهات والأصول وإجراءات المعالجة المتخذة.

  • التنبيهات

    جميع التنبيهات المتعلقة بالحادث ومعلوماتها.

  • الاصول

    جميع الأصول (الأجهزة والمستخدمين وعلب البريد والتطبيقات) التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به.

  • التحقيقات

    جميع التحقيقات الآلية التي تم تشغيلها بواسطة التنبيهات في الحادث.

  • الأدلة والاستجابة

    جميع الأحداث المدعومة والكيانات المشبوهة في تنبيهات الحادث.

  • الملخص

    نظرة عامة سريعة على الأصول المتأثرة المرتبطة بالتنبيهات.

ملاحظة

إذا رأيت حالة تنبيه نوع التنبيه غير المدعومة ، فهذا يعني أن قدرات التحقيق التلقائية لا يمكنها التقاط هذا التنبيه لتشغيل تحقيق تلقائي. ومع ذلك، يمكنك التحقق من هذه التنبيهات يدويا.

مثال على سير عمل الاستجابة للحوادث Microsoft 365 Defender

فيما يلي مثال على سير العمل للاستجابة للحوادث في Microsoft 365 باستخدام مدخل Microsoft 365 Defender.

مثال على سير عمل الاستجابة للحوادث لمدخل Microsoft 365 Defender.

على أساس مستمر، حدد الحوادث ذات الأولوية القصوى للتحليل والحل في قائمة انتظار الحوادث واجعلها جاهزة للاستجابة. هذا مزيج من:

  • الفرز لتحديد الحوادث ذات الأولوية القصوى من خلال تصفية قائمة انتظار الحوادث وفرزها.
  • إدارة الحوادث عن طريق تعديل عنوانها وتعيينها إلى محلل وإضافة علامات وتعليقات.

ضع في اعتبارك هذه الخطوات لسير عمل الاستجابة للحوادث:

  1. لكل حادث، ابدأ التحقيق والتحليل في الهجوم والتنبيه:

    1. اعرض قصة الهجوم للحادث لفهم نطاقه وشدته ومصدر الكشف والكيانات المتأثرة.

    2. ابدأ في تحليل التنبيهات لفهم أصلها ونطاقها وشدتها مع قصة التنبيه داخل الحادث.

    3. حسب الحاجة، اجمع معلومات حول الأجهزة والمستخدمين وعلب البريد المتأثرة باستخدام الرسم البياني. انقر بزر الماوس الأيمن فوق أي كيان لفتح قائمة منبثقة مع جميع التفاصيل.

    4. تعرف على كيفية حل Microsoft 365 Defender لبعض التنبيهات تلقائيا باستخدام علامة التبويب Investigations.

    5. حسب الحاجة، استخدم المعلومات في مجموعة البيانات للحادث لمزيد من المعلومات باستخدام علامة التبويب الأدلة والاستجابة .

  2. بعد التحليل أو أثناءه، قم بإجراء الاحتواء لتقليل أي تأثير إضافي للهجوم والقضاء على التهديد الأمني.

  3. قدر الإمكان، يمكنك التعافي من الهجوم عن طريق استعادة موارد المستأجر إلى الحالة التي كانت عليها قبل الحادث.

  4. قم بحل الحادث واستغرق وقتا للتعلم بعد الحدث من أجل:

    • فهم نوع الهجوم وتأثيره.
    • ابحث عن الهجوم في تحليلات التهديدات ومجتمع الأمان بحثا عن اتجاه هجوم أمني.
    • تذكر سير العمل الذي استخدمته لحل الحادث وتحديث مهام سير العمل والعمليات والنهج ودلائل المبادئ القياسية حسب الحاجة.
    • حدد ما إذا كانت هناك حاجة إلى تغييرات في تكوين الأمان وتنفيذها.

إذا كنت جديدا على تحليل الأمان، فراجع مقدمة الاستجابة للحادث الأول للحصول على معلومات إضافية والتنقل عبر مثال الحادث.

لمزيد من المعلومات حول الاستجابة للحوادث عبر منتجات Microsoft، راجع هذه المقالة.

مثال على عمليات الأمان Microsoft 365 Defender

فيما يلي مثال على عمليات الأمان (SecOps) Microsoft 365 Defender.

مثال على عمليات الأمان Microsoft 365 Defender

يمكن أن تتضمن المهام اليومية ما يلي:

يمكن أن تتضمن المهام الشهرية ما يلي:

يمكن أن تتضمن المهام ربع السنوية تقريرا وإحاطة بنتائج الأمان إلى كبير مسؤولي أمن المعلومات (CISO).

يمكن أن تتضمن المهام السنوية إجراء حادث كبير أو ممارسة خرق لاختبار الموظفين والأنظمة والعمليات.

يمكن استخدام المهام اليومية والشهرية والربع سنوية والسينية لتحديث العمليات والنهج وتكوينات الأمان أو تحسينها.

راجع دمج Microsoft 365 Defender في عمليات الأمان للحصول على مزيد من التفاصيل.

موارد SecOps عبر منتجات Microsoft

لمزيد من المعلومات حول SecOps عبر منتجات Microsoft، راجع هذه الموارد:

الحصول على إعلامات بالحوادث عبر البريد الإلكتروني

يمكنك إعداد Microsoft 365 Defender لإعلام الموظفين بالبريد الإلكتروني حول الحوادث الجديدة أو التحديثات للحوادث الحالية. يمكنك اختيار الحصول على إعلامات استنادا إلى:

  • شدة التنبيه
  • مصادر التنبيه
  • مجموعة الأجهزة

اختر تلقي إعلامات البريد الإلكتروني لمصدر خدمة معين فقط: يمكنك بسهولة تحديد مصادر خدمة معينة تريد الحصول على إعلامات البريد الإلكتروني لها.

الحصول على مزيد من التفاصيل مع مصادر الكشف المحددة: يمكنك الحصول على إعلامات لمصدر اكتشاف معين فقط.

تعيين الخطورة لكل اكتشاف أو مصدر خدمة: يمكنك اختيار الحصول على إعلامات البريد الإلكتروني فقط على شدة محددة لكل مصدر. على سبيل المثال، يمكنك الحصول على إعلام للتنبيهات المتوسطة والعالية ل EDR وجميع الخطورة لخبراء Microsoft Defender.

يحتوي إعلام البريد الإلكتروني على تفاصيل مهمة حول الحادث مثل اسم الحادث والخطورة والفئات، من بين أمور أخرى. يمكنك أيضا الانتقال مباشرة إلى الحدث وبدء تحليلك على الفور. لمزيد من المعلومات، راجع التحقيق في الحوادث.

يمكنك إضافة مستلمين أو إزالتهم في إعلامات البريد الإلكتروني. يتم إعلام المستلمين الجدد بالحوادث بعد إضافتهم.

ملاحظة

تحتاج إلى إذن إدارة إعدادات الأمان لتكوين إعدادات إعلام البريد الإلكتروني. إذا اخترت استخدام إدارة الأذونات الأساسية، يمكن للمستخدمين الذين لديهم أدوار مسؤول الأمان أو المسؤول العام تكوين إعلامات البريد الإلكتروني.

وبالمثل، إذا كانت مؤسستك تستخدم التحكم في الوصول استنادا إلى الدور (RBAC)، يمكنك فقط إنشاء الإعلامات وتحريرها وحذفها وتلقيها استنادا إلى مجموعات الأجهزة المسموح لك بإدارتها.

إنشاء قاعدة لإشعارات البريد الإلكتروني

اتبع هذه الخطوات لإنشاء قاعدة جديدة وتخصيص إعدادات إعلام البريد الإلكتروني.

  1. انتقل إلى Microsoft 365 Defender في جزء التنقل، وحدد الإعدادات > Microsoft 365 Defender > إعلامات البريد الإلكتروني للحوادث.

  2. حدد إضافة عنصر.

  3. في صفحة الأساسيات ، اكتب اسم القاعدة ووصفا، ثم حدد التالي.

  4. في صفحة Notification settings ، قم بتكوين:

    • خطورة التنبيه - اختر شدة التنبيه التي ستشغل إعلاما بالحادث. على سبيل المثال، إذا كنت تريد فقط أن يتم إعلامك بالحوادث عالية الخطورة، فحدد High.
    • نطاق مجموعة الأجهزة - يمكنك تحديد جميع مجموعات الأجهزة أو التحديد من قائمة مجموعات الأجهزة في المستأجر الخاص بك.
    • إرسال إعلام واحد فقط لكل حادث - حدد ما إذا كنت تريد إعلاما واحدا لكل حادث.
    • تضمين اسم المؤسسة في البريد الإلكتروني - حدد ما إذا كنت تريد ظهور اسم مؤسستك في إعلام البريد الإلكتروني.
    • تضمين ارتباط المدخل الخاص بالمستأجر - حدد ما إذا كنت تريد إضافة ارتباط بمعرف المستأجر في إعلام البريد الإلكتروني للوصول إلى مستأجر Microsoft 365 معين.

    لقطة شاشة لصفحة إعدادات الإعلام لإشعارات البريد الإلكتروني للحوادث في مدخل Microsoft 365 Defender.

  5. حدد التالي. في صفحة المستلمين ، أضف عناوين البريد الإلكتروني التي ستتلقى إعلامات الحادث. حدد إضافة بعد كتابة كل عنوان بريد إلكتروني جديد. لاختبار الإعلامات والتأكد من تلقي المستلمين لها في علب الوارد، حدد إرسال بريد إلكتروني تجريبي.

  6. حدد التالي. في صفحة مراجعة القاعدة ، راجع إعدادات القاعدة، ثم حدد إنشاء قاعدة. سيبدأ المستلمون في تلقي إعلامات الحوادث من خلال البريد الإلكتروني استنادا إلى الإعدادات.

لتحرير قاعدة موجودة، حددها من قائمة القواعد. في الجزء الذي يحتوي على اسم القاعدة، حدد تحرير القاعدة وقم بإجراء التغييرات على صفحات الأساسيات وإعدادات الإعلاماتوالمستلمين.

لحذف قاعدة، حددها من قائمة القواعد. في الجزء الذي يحتوي على اسم القاعدة، حدد Delete.

بمجرد تلقي الإعلام، يمكنك الانتقال مباشرة إلى الحادث وبدء التحقيق الخاص بك على الفور. لمزيد من المعلومات حول التحقيق في الحوادث، راجع التحقيق في الحوادث في Microsoft 365 Defender.

تدريب محللي الأمان

استخدم وحدة التعلم هذه من Microsoft Learn لفهم كيفية استخدام Microsoft 365 Defender لإدارة الحوادث والتنبيهات.

التدريب: التحقيق في الحوادث باستخدام Microsoft 365 Defender
تحقق من الحوادث باستخدام أيقونة تدريب Microsoft 365 Defender. Microsoft 365 Defender توحيد بيانات التهديد من خدمات متعددة واستخدام الذكاء الاصطناعي لدمجها في الحوادث والتنبيهات. تعرف على كيفية تقليل الوقت بين الحادث وإدارته للاستجابة والحل اللاحقين.

27 دقيقة - 6 وحدات

بدء >

الخطوات التالية

استخدم الخطوات المدرجة استنادا إلى مستوى تجربتك أو دورك في فريق الأمان.

مستوى التجربة

اتبع هذا الجدول للحصول على مستوى خبرتك في تحليل الأمان والاستجابة للحوادث.

مستوي الخطوات
الجديد
  1. راجع معاينة الاستجابة للحوادث الأولى للحصول على جولة إرشادية لعملية نموذجية من التحليل والمعالجة ومراجعة ما بعد الحادث في مدخل Microsoft 365 Defender مع مثال للهجوم.
  2. تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
  3. إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
ذوي الخبره
  1. ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender. من هنا يمكنك:
    • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
    • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
    • إجراء تحقيقات في الحوادث.
  2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.

دور فريق الأمان

اتبع هذا الجدول استنادا إلى دور فريق الأمان.

دور الخطوات
مستجيب الحوادث (المستوى 1) ابدأ مع قائمة انتظار الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender. من هنا يمكنك:
  • تعرف على الحوادث التي يجب تحديد أولوياتها بناء على الخطورة والعوامل الأخرى.
  • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافتها استنادا إلى سير عمل إدارة الحوادث.
محقق أو محلل أمني (المستوى 2)
  1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender.
  2. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
محلل أمان متقدم أو صياد تهديدات (المستوى 3)
  1. قم بإجراء تحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender.
  2. تتبع التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث بشكل استباقي عن التهديدات من خلال تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورذاذ كلمة المرور، وهجمات منح الموافقة على التطبيق.
مدير SOC تعرف على كيفية دمج Microsoft 365 Defender في مركز عمليات الأمان (SOC).