إدارة الحوادث في Microsoft Defender

  • مقالة

ينطبق على:

  • Microsoft Defender XDR
  • Microsoft Defender النظام الأساسي لمركز عمليات الأمان الموحد (SOC)

تعد إدارة الحوادث أمرا بالغ الأهمية لضمان تسمية الحوادث وتعيينها ووضع علامة عليها لتحسين الوقت في سير عمل الحدث واحتواء التهديدات ومعالجتها بسرعة أكبر.

تلميح

لفترة محدودة خلال يناير 2024، عند زيارة صفحة الحوادث ، يظهر Defender Boxed. يسلط Defender Boxed الضوء على نجاحات الأمان والتحسينات وإجراءات الاستجابة لمؤسستك خلال عام 2023. لإعادة فتح Defender Boxed، في مدخل Microsoft Defender، انتقل إلى Incidents، ثم حدد Your Defender Boxed.

يمكنك إدارة الحوادث من الحوادث & التنبيهات > الحوادث عند التشغيل السريع لمدخل Microsoft Defender (security.microsoft.com). فيما يلي مثال.

تمييز خيار إدارة الحادث داخل قائمة انتظار الحوادث وجزء التشغيل السريع في مدخل Microsoft Defender

فيما يلي الطرق التي يمكنك من خلالها إدارة الحوادث الخاصة بك:

يمكنك إدارة الحوادث من جزء إدارة الحوادث لحدث ما. فيما يلي مثال.

جزء إدارة الحوادث في مدخل Microsoft Defender

يمكنك عرض هذا الجزء من ارتباط إدارة الحدث على:

  • صفحة قصة التنبيه.
  • جزء الخصائص لحادث في قائمة انتظار الحدث.
  • صفحة ملخص لحادث.
  • خيار إدارة الحدث الموجود على الجانب الأيسر العلوي من صفحة الحدث.

في الحالات التي تريد فيها نقل التنبيهات من حادث إلى آخر، يمكنك أيضا القيام بذلك من علامة التبويب التنبيهات ، وبالتالي إنشاء حدث أكبر أو أصغر يتضمن جميع التنبيهات ذات الصلة.

تحرير اسم الحدث

Microsoft Defender تعيين اسم تلقائيا استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. يسمح لك اسم الحادث بفهم نطاق الحدث بسرعة. على سبيل المثال: حدث متعدد المراحل على نقاط نهاية متعددة تم الإبلاغ عنها بواسطة مصادر متعددة.

يمكنك تحرير اسم الحدث من حقل اسم الحدث في جزء إدارة الحوادث .

ملاحظة

ستحتفظ الحوادث التي كانت موجودة قبل إطلاق ميزة التسمية التلقائية للحوادث باسمها.

تعيين خطورة الحادث أو تغييرها

يمكنك تعيين خطورة حادث أو تغييرها من حقل Severity في جزء Manage incident . يتم تحديد خطورة الحادث من خلال أعلى خطورة للتنبيهات المرتبطة به. يمكن تعيين خطورة الحادث إلى عالية أو متوسطة أو منخفضة أو إعلامية.

إضافة علامات الحادث

يمكنك إضافة علامات مخصصة إلى حادث، على سبيل المثال لوضع علامة على مجموعة من الحوادث ذات الخصائص الشائعة. يمكنك لاحقا تصفية قائمة انتظار الحوادث لجميع الحوادث التي تحتوي على علامة معينة.

يظهر خيار التحديد من قائمة بالعلامات المستخدمة مسبقا والمحددة بعد بدء الكتابة.

تعيين حدث

يمكنك تحديد المربع تعيين إلى وتحديد حساب المستخدم لتعيين حدث. لإعادة تعيين حدث، قم بإزالة حساب التعيين الحالي عن طريق تحديد "x" بجوار اسم الحساب ثم حدد المربع تعيين إلى . تعيين ملكية حدث يعين نفس الملكية لجميع التنبيهات المرتبطة به.

يمكنك الحصول على قائمة بالحوادث المعينة لك عن طريق تصفية قائمة انتظار الحوادث.

  1. من قائمة انتظار الحدث، حدد عوامل التصفية.
  2. في قسم Incident assignment ، امسح Select all. حدد Assigned to me أو Assigned to another user أو Assigned to a user group.
  3. حدد تطبيق، ثم أغلق جزء عوامل التصفية .

يمكنك بعد ذلك حفظ عنوان URL الناتج في المستعرض الخاص بك كإشارة مرجعية لمشاهدة قائمة الحوادث المعينة لك بسرعة.

حل حادث

حدد حل الحادث لنقل التبديل إلى اليمين عند معالجة حدث. يؤدي حل الحادث أيضا إلى حل جميع التنبيهات المرتبطة والنشطة المتعلقة بالحادث.

تظهر الحادثة التي لم يتم حلها على أنها نشطة.

تحديد التصنيف

من حقل Classification ، يمكنك تحديد ما إذا كان الحدث هو:

  • غير معين (الافتراضي).
  • إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للحوادث التي تشير بدقة إلى تهديد حقيقي. يساعد تحديد نوع التهديد فريق الأمان على رؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
  • نشاط إعلامي متوقع مع نوع من النشاط. استخدم الخيارات الموجودة في هذه الفئة لتصنيف الحوادث لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
  • يمكن تجاهل إيجابية خاطئة لأنواع الحوادث التي تحددها لأنها غير دقيقة تقنيا أو مضللة.

يساعد تصنيف الحوادث وتحديد حالتها ونوعها على ضبط Microsoft Defender XDR لتوفير تحديد اكتشاف أفضل بمرور الوقت.

إضافة تعليقات

يمكنك إضافة تعليقات متعددة إلى حدث باستخدام حقل التعليق . يدعم حقل التعليق النص والتنسيق والارتباطات والصور. يقتصر كل تعليق على 30000 حرف.

تتم إضافة جميع التعليقات إلى الأحداث التاريخية للحادث. يمكنك مشاهدة تعليقات ومحفوظات حادث من ارتباط التعليقات والمحفوظات في صفحة الملخص .

سجل النشاط

يعرض سجل النشاط قائمة بجميع التعليقات والإجراءات التي تم تنفيذها على الحدث، والمعروفة باسم عمليات التدقيق والتعليقات. يتم تسجيل جميع التغييرات التي تم إجراؤها على الحدث، سواء من قبل مستخدم أو بواسطة النظام، في سجل النشاط. يتوفر سجل النشاط من خيار سجل النشاط في صفحة الحدث أو في جزء جانب الحدث.

تمييز خيار سجل النشاط من صفحة الحدث في مدخل Microsoft Defender

يمكنك تصفية الأنشطة داخل السجل حسب التعليقات والإجراءات. انقر فوق المحتوى: عمليات التدقيق، ثم حدد التعليقات نوع المحتوى لتصفية الأنشطة. فيما يلي مثال.

تمييز خيارات التصفية داخل جزء سجل النشاط من صفحة الحدث في مدخل Microsoft Defender

يمكنك أيضا إضافة تعليقاتك الخاصة باستخدام مربع التعليق المتوفر داخل سجل النشاط. يقبل مربع التعليق النص والتنسيق والارتباطات والصور.

تمييز مربع التعليق من صفحة الحدث في مدخل Microsoft Defender

تصدير بيانات الحادث إلى PDF

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتج الذي تم إصداره مسبقاً والذي قد يتم تعديله بشكل كبير قبل إصداره تجارياً. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

تتوفر ميزة بيانات حادث التصدير حاليا لعملاء النظام الأساسي لمركز عمليات الأمان الموحد (SOC) Microsoft Defender XDR Microsoft Defender مع Microsoft Copilot لترخيص الأمان.

يمكنك تصدير بيانات الحدث إلى PDF من خلال حدث التصدير كدالة PDF وحفظها بتنسيق PDF. تسمح هذه الوظيفة لفرق الأمان بمراجعة تفاصيل الحادث دون اتصال في أي وقت.

تتضمن بيانات الحادث التي تم تصديرها المعلومات التالية:

فيما يلي مثال على ملف PDF الذي تم تصديره:

لقطة شاشة للصفحة الأولى لملف PDF الذي تم تصديره.

إذا كان لديك ترخيص Copilot للأمان، فإن ملف PDF الذي تم تصديره يحتوي على بيانات الحوادث الإضافية التالية:

تتوفر دالة التصدير إلى PDF أيضا في اللوحة الجانبية Copilot لتقرير الحادث الذي تم إنشاؤه.

لقطة شاشة للإجراءات الإضافية في بطاقة نتائج تقرير الحادث.

لإنشاء ملف PDF، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث. حدد علامة الحذف More actions (...) في الزاوية العلوية اليسرى واختر Export incident as PDF. تصبح الدالة رمادية اللون أثناء إنشاء ملف PDF.

    لقطة شاشة تبرز خيار تصدير الحادث إلى PDF.

  2. يظهر مربع حوار يشير إلى أنه يتم إنشاء ملف PDF. حدد الحصول عليه لإغلاق مربع الحوار. بالإضافة إلى ذلك، تظهر رسالة حالة تشير إلى الحالة الحالية للتنزيل أسفل عنوان الحدث. قد تستغرق عملية التصدير بضع دقائق اعتمادا على تعقيد الحادث ومقدار البيانات التي سيتم تصديرها.

    لقطة شاشة تبرز رسالة التصدير وحالته قبل التنزيل.

  3. بمجرد أن يصبح ملف PDF جاهزا، تشير رسالة الحالة إلى أن ملف PDF جاهز ويظهر مربع حوار آخر. حدد تنزيل من مربع الحوار لحفظ ملف PDF على جهازك.

    لقطة شاشة تبرز رسالة التصدير وحالتها عند توفر التنزيل.

يتم تخزين التقرير مؤقتا لبضع دقائق. يوفر النظام ملف PDF الذي تم إنشاؤه مسبقا إذا حاولت تصدير نفس الحادث مرة أخرى خلال إطار زمني قصير. لإنشاء إصدار أحدث من PDF، انتظر بضع دقائق حتى تنتهي صلاحية ذاكرة التخزين المؤقت.

الخطوات التالية

بالنسبة للحوادث الجديدة، ابدأ التحقيق.

بالنسبة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

بالنسبة للحوادث التي تم حلها، قم بإجراء مراجعة ما بعد الحدث.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.