التحقيق في الحوادث

  • 4 دقائق

توفر صفحة الحدث المعلومات التالية وروابط التنقل.

نظرة عامة على الحادث

تقدم لك صفحة النظرة العامة لمحة سريعة عن أهم الأشياء التي يجب ملاحظتها بشأن الحدث.

Screenshot of the Incident overview pane.

تمنحك فئات الهجوم عرضًا مرئيًا ورقميًا لمدى تقدم الهجوم في مواجهة سلسلة القتل. كما هو الحال مع منتجات أمان Microsoft الأخرى، تتم محاذاة Microsoft Defender XDR مع إطار عمل MITRE ATT&CK™.

يمنحك مقطع النطاق قائمة بأهم الأصول المتأثرة التي تشكل جزءًا من هذا الحدث. في حالة وجود معلومات محددة بخصوص هذا الأصل، مثل مستوى الخطر وأولوية التحقيق وأي علامات على الأصول، فستظهر أيضًا في هذا القسم.

يوفر المخطط الزمني للتنبيهات نظرة خاطفة على الترتيب الزمني الذي حدثت فيه التنبيهات وأسباب ارتباط هذه التنبيهات بهذا الحدث.

وأخيرًا - يقدم مقطع الأدلة ملخصًا لعدد البيانات الاصطناعية المختلفة التي تم تضمينها في الحدث وحالة معالجتها، حتى تتمكن على الفور من تحديد ما إذا كان هناك حاجة إلى اتخاذ أي إجراء من جانبك.

يمكن أن تساعد هذه النظرة العامة في الفرز الأولي للحدث من خلال توفير نتيجة تحليلات حول أهم خصائص الحدث التي يجب أن تكون على دراية بها.

التنبيهات

يمكنك عرض جميع التنبيهات المتعلقة بالأحداث والمعلومات الأخرى عنها مثل الخطورة والكيانات التي شاركت في التنبيه ومصدر التنبيهات (Microsoft Defender for Identity وMicrosoft Defender for Endpoint وMicrosoft Defender لـ Office 365)، وسبب ارتباط ببعضهم البعض.

بشكل افتراضي، يتم ترتيب التنبيهات ترتيبًا زمنيًا للسماح لك أولاً بمشاهدة كيفية حدوث الهجوم بمرور الوقت. سيؤدي النقر فوق كل تنبيه إلى نقلك لصفحة"relevant alert page"، إذ يمكنك إجراء تحقيق متعمق لهذا التنبيه.

الأجهزة

تسرد علامة تبويب الأجهزة جميع الأجهزة التي تظهر فيها التنبيهات المتعلقة بالحدث.

ينقلك النقر فوق ارتباط اسم الجهاز الذي شُن الهجوم عليه إلى صفحة "Device". يمكنك، في صفحة "Device"، رؤية التنبيهات التي تعمل والأحداث ذات الصلة المُقدمة لتسهيل التحقيق.

المستخدمون

انظر إلى المستخدمين الذين تم تحديدهم باعتبارهم جزءًا من حدث معين أو مرتبطين به.

يؤدي النقر فوق اسم المستخدم إلى الانتقال إلى «صفحة Microsoft Defender لتطبيقات شبكة النظير للمستخدم، إذ يمكن إجراء مزيد من التحقيقات.

صناديق البريد

تحقق من صناديق البريد التي تم تحديدها بأنها جزء من حدث أو مرتبطة به.

التطبيقات

التحقق من التطبيقات التي حُددت على أنها جزء من حدث أو مرتبطة به.

التحقيقات

حدد التحقيقات لعرض جميع التحقيقات الآلية التي تم تشغيلها عن طريق التنبيهات في هذا الحدث. ستؤدي التحقيقات إجراءات الإصلاح أو تنتظر موافقة المحللين على الإجراءات.

ستنفذ التحقيقات إجراءات المعالجة أو تنتظر موافقة المحلل على الإجراءات، اعتمادًا على كيفية تكوين التحقيقات الآلية للتشغيل في Microsoft Defender لنقطة النهاية وDefender لـOffice 365. إذا وُجد أي إجراء معلق للموافقة عليه كجزء من التحقيق، فسيظهر في علامة تبويب "Pending actions".

الأدلة والاستجابات

يتحقق Microsoft Defender XDR تلقائيا من جميع الأحداث المدعومة للحوادث والكيانات المشبوهة في التنبيهات، ما يوفر لك مسؤولية تلقائية ومعلومات حول الملفات والعمليات والخدمات ورسائل البريد الإلكتروني المهمة والمزيد. ويساعد ذلك في الكشف السريع عن التهديدات المحتملة في الحدث ومنعها.

سيتم تمييز كل من الكيانات التي تم تحليلها بحكم (ضار، مريب، نظيف) وحالة المعالجة. ويساعدك ذلك في فهم حالة المعالجة للحدث بأكمله والخطوات التالية لمزيد من العلاج.

رسم بياني

يصور الرسم البياني معلومات تهديدات الأمان عبر الإنترنت المرتبطة في حدث حتى تتمكن من رؤية الأنماط والارتباطات القادمة من نقاط بيانات مختلفة. يمكنك عرض هذا الارتباط من خلال الرسم البياني للحدث.

يروي الرسم البياني قصة هجوم الأمان عبر الإنترنت. على سبيل المثال، يوضح لك نقطة الإدخال، أي مؤشر التهديد أو النشاط الذي لُوحظ وعلى أي جهاز لُوحظ، إلخ.

يمكنك تحديد الدوائر على الرسم البياني للحدث لعرض تفاصيل الملفات الضارة، واكتشاف الملفات المرتبطة به، وعدد المثيلات الموجودة في جميع أنحاء العالم، وما إذا تمت ملاحظتها في مؤسستك، وعدد المثيلات، إن لُوحظَت.