בדוק התראות Microsoft Defender XDR

הערה

מאמר זה מתאר התראות אבטחה ב- Microsoft Defender XDR. עם זאת, באפשרותך להשתמש במדיניות התראה כדי לשלוח הודעות דואר אלקטרוני לעצמך או למנהלי מערכת אחרים כאשר משתמשים מבצעים פעילויות ספציפיות ב- Microsoft 365. לקבלת מידע נוסף, ראה מדיניות התראה בפורטל Microsoft Defender.

התראות הן אותות הנ להביא לפעילויות שונות של זיהוי איומים. אותות אלה מופקים על-ידי שירותי האבטחה הרבים Microsoft Defender הפורטל, והם מציינים את המופע של אירועים זדוניים או חשודים בסביבה שלך.

האירועים החשודים האלה הם בדרך כלל חלק מכתבת התקפה רחבה יותר. בפורטל Microsoft Defender, התראות מייצגות חלקים בודדים של ראיות Defender XDR יחד כדי ליצור אירועים. תקריות מספרות את כל סיפור ההתקפה; עם זאת, ניתוח התראות יכול להיות בעל ערך כאשר נדרש ניתוח עמוק יותר.

התור התראות מציג את ערכת ההתראות הנוכחית. באפשרותך להציג את תור ההתראות השלמות מתוך אירועים & > התראות בהפעלה המהירה של פורטל Microsoft Defender שלך. באפשרותך גם לראות את ההתראות עבור כל אירוע בתור האירועים, ובדף של כל אירוע בודד, בכרטיסיה התראות.

התראות מפתרונות אבטחה שונים של Microsoft, כגון Microsoft Defender עבור נקודת קצה, Defender עבור Office 365, Microsoft Sentinel, Defender לענן, Defender for Identity, יישומי ענן של Defender, Defender XDR, פיקוח על אפליקציות, Microsoft Entra ID ומניעת אובדן נתונים של Microsoft מופיעים כאן.

כברירת מחדל, תור ההתראות Microsoft Defender מציג את ההתראות החדשות וההתראות המתבצעות משבעה הימים האחרונים. ההתראה העדכנית ביותר נמצאת בראש הרשימה כדי שתוכל לראות אותה תחילה. באפשרותך גם למצוא את מספר ההתראות הכולל בתור שצוין לצד סרגל החיפוש. מספר ההתראות הכולל משתנה בהתאם המסננים שבהם נעשה שימוש בתור.

מתור התראות ברירת המחדל, באפשרותך לבחור מסנן כדי לראות את כל המסננים הזמינים מהם באפשרותך לציין קבוצת משנה של ההתראות. הנה דוגמה.

באפשרותך לסנן התראות לפי קריטריונים אלה:

• חומרת
• Status
• קטגוריות
• מקורות שירות/זיהוי
• תגיות
• כלל מדיניות/מדיניות
• סוג התראה
• שם מוצר
• מזהה מינוי התראה
• ישויות (הנכסים המושפעים)
• מצב חקירה אוטומטית
• Workspace
• זרם נתונים (עומס עבודה או מיקום)
• תווית רגישות

הערה

Microsoft Defender XDR יכולים כעת לסנן אירועים עם התראות שבהן מכשיר שנחשף לסכנה מתקשר עם מכשירי טכנולוגיה תפעולית (OT) המחוברים לרשת הארגונית באמצעות שילוב גילוי המכשירים של Microsoft Defender עבור IoT ו- Microsoft Defender עבור נקודת קצה. כדי לסנן אירועים אלה, בחר באפשרות כלשהו במקורות השירות/זיהוי ולאחר מכן בחר Microsoft Defender עבור IoT בשם המוצר או ראה חקירת אירועים והתראות ב- Microsoft Defender עבור IoT בפורטל Defender. באפשרותך גם להשתמש בקבוצות מכשירים כדי לסנן התראות ספציפיות לאתר. לקבלת מידע נוסף אודות הדרישות המוקדמות של Defender for IoT, ראה תחילת העבודה עם ניטור IoT ארגוני ב- Microsoft Defender XDR.

התראה יכולה לכלול תגיות מערכת ו/או תגיות מותאמות אישית עם רקעי צבע מסוימים. תגיות מותאמות אישית משתמשות ברקע הלבן בזמן שתגיות מערכת משתמשות בדרך כלל בצבעי רקע אדומים או שחורים. תגיות מערכת מזהות את הפריטים הבאים במקרה:

• סוג של תקיפה, כגון תוכנת כופר או דיוג אישורים
• פעולות אוטומטיות, כגון חקירה ותגובה אוטומטיות והפרעה אוטומטית בתקיפה
• מומחים של Defender מטפלים באירוע
• נכסים קריטיים המעורבים באירוע

עצה

רשימת ניהול חשיפה לפגיעויות אבטחה של Microsoft, בהתבסס על סיווגים מוגדרים מראש, תגיות אוטומטיות של מכשירים, זהויות ומשאבי ענן כסכס קריטי. יכולת מוכללת זו מבטיחה את ההגנה על הנכסים החשובים והחשובים ביותר של הארגון. הוא גם עוזר לצוותי תפעול אבטחה לקבוע סדרי עדיפויות לחקירה ולתיקון. קבל מידע נוסף על ניהול נכסים קריטיים.

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, שעשוי להשתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות המבוטאת או משתמעת, ביחס למידע המסופק כאן.

באפשרותך לחפש התראות באמצעות טווח תאריך ושעה מותאם אישית או באמצעות סרגל החיפוש כדי לחפש התראות ספציפיות. כדי לחפש התראות בטווח תאריך או שעה ספציפי, בחר טווח מותאם אישית בורר התאריכים ולאחר מכן ציין את תאריכי ההתחלה והסיום ושעות.

כדי לחפש התראות ספציפיות, הזן את מונח החיפוש בסרגל החיפוש. באפשרותך לחפש התראות בהתבסס על כותרת ההתראה או מזהה ההתראה.

תפקידים נדרשים עבור Defender עבור Office 365 נוספות

יהיה עליך להחזיק בכל אחד מהתפקידים הבאים כדי לגשת אל Microsoft Defender לקבלת Office 365 הבאות:

• עבור Microsoft Entra כלליים:

  • מנהל מערכת כללי
  • מנהל אבטחה
  • אופרטור אבטחה
  • קורא כללי
  • קורא אבטחה

• Office 365 תפקידים & אבטחה ותאימות

  • מנהל תאימות
  • ניהול הארגון

• תפקיד מותאם אישית

הערה

Microsoft ממליצה להשתמש בתפקידים עם פחות הרשאות לאבטחה טובה יותר. יש להשתמש בתפקיד מנהל מערכת כללי, בעל הרשאות רבות, רק במצבי חירום כאשר אין תפקיד אחר שמתאים לו.

ניתוח התראה

כדי לראות את דף ההתראה הראשי, בחר את שם ההתראה. הנה דוגמה.

באפשרותך גם לבחור את הפעולה פתח את דף ההתראה הראשי מתוך חלונית נהל התראה.

דף התראה מורכב מסעיפים אלה:

• סיפור התראה, שהוא שרשרת האירועים וההתראות הקשורים להתראה זו בסדר כרונולוגי
• פרטי סיכום

לאורך דף התראה, באפשרותך לבחור את שלוש הנקודות (...) לצד כל ישות כדי לראות פעולות זמינות, כגון קישור ההתראה לתקרית אחרת. רשימת הפעולות הזמינות תלויה בסוג ההתראה.

מקורות התראה

Microsoft Defender XDR מגיעות מפתרונות כגון Microsoft Defender עבור נקודת קצה, Defender עבור Office 365, Defender for Identity, יישומי ענן של Defender, ההרחבה 'פיקוח על האפליקציה' עבור יישומי ענן של Microsoft Defender, Microsoft Entra ID ומניעת אובדן נתונים של Microsoft. ייתכן שתבחין בהתראות עם תווים מוכנים מראש בהתראה. הטבלה הבאה מספקת הדרכה שתסייע לך להבין את המיפוי של מקורות התראה בהתבסס על התו המוכן בהתראה.

הערה

• מזהי ה- GUID המשויכים מראש ספציפיים רק לחוויות מאוחדות, כגון תור התראות מאוחדות, דף התראות מאוחדות, חקירה מאוחדת ותקרית מאוחדת.
• התו הרשום מראש אינו משנה את ה- GUID של ההתראה. השינוי היחיד ב- GUID הוא הרכיב המוכן מראש.

מקור התראה	מזהה התראה עם תווים זמינים מראש
Microsoft Defender XDR	ra{GUID} ta{GUID} לקבלת התראות מ- ThreatExperts ea{GUID} לקבלת התראות מזיהויים מותאמים אישית
Microsoft Defender עבור Office 365	fa{GUID} דוגמהfa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender עבור נקודת קצה	da{GUID} ed{GUID} לקבלת התראות מזיהויים מותאמים אישית
Microsoft Defender עבור זהות	aa{GUID} ri{GUID} לקבלת התראות ממנגנון זיהוי XDR לדוגמה: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender עבור יישומי ענן	ca{GUID} ma{GUID} לקבלת התראות מזיהויים ומדיניות של פיקוח על אפליקציות rm{GUID} לקבלת התראות ממנגנון זיהוי XDR דוגמהca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID אישית	ad{GUID}
פיקוח על אפליקציות	ma{GUID}
מניעת אובדן נתונים של Microsoft	dl{GUID}
Microsoft Defender עבור ענן	dc{GUID}
Microsoft Sentinel	sn{GUID}
ניהול סיכונים פנימיים של Microsoft Purview	ir{GUID}
Microsoft Security Copilot	sc{GUID}

הערה

אם הקצאת גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview, באפשרותך להציג ולנהל התראות של ניהול סיכונים פנימיים ולצוד אירועים של ניהול סיכונים פנימיים בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה חקירת איומי סיכון פנימיים בפורטל Microsoft Defender שלך.

קביעת תצורה של הגדרות שירות התראות

כדי לקבוע את התצורה של הגדרות שירות ההתראות Microsoft Defender XDR:

1. עבור אל פורטל Microsoft Defender (security.microsoft.com), בחר הגדרות>Microsoft Defender XDR.

2. מהרשימה, בחר הגדרות שירות התראה ולאחר מכן קבע את תצורת הגדרות ההתראה עבור השירות.

   חשוב

   החל מ- 11 בדצמבר 2025, Microsoft Defender XDR בפריסה של אפשרויות תצורה משופרות עבור התראות Entra ID Protection בתצוגה מקדימה ציבורית. עדכונים אלה מעניקים לך שליטה פרטנית יותר על התראות מבוססות סיכונים. הגדרת ברירת המחדל החדשה היא זיהויים בסיכון גבוה בלבד. שנה את הגדרת ברירת המחדל ל'גבוה' +'בינוני ' או 'כל הזיהויים' בהתאם לצרכים של הארגון שלך.

   

באפשרותך גם לגשת להגדרות שירות ההתראות ישירות מהדף אירועים בפורטל Microsoft Defender שלך.

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

ניתוח נכסים מושפעים

המקטע פעולות שבוצעו כולל רשימה של נכסים מושפעים, כגון תיבות דואר, מכשירים ומשתמשים המושפעים מהתראה זו.

באפשרותך גם לבחור הצג במרכז הפעולות כדי להציג את הכרטיסיה היסטוריה של מרכז הפעולות Microsoft Defender הפעולות.

מעקב אחר תפקיד התראה בסיפור ההתראה

סיפור ההתראה מציג את כל הנכסים או הישויות הקשורים להתראה בתצוגת עץ תהליך. ההתראה בכותרת היא זו שהמוקד נמצא בה כאשר אתה מגיע לראשונה לדף ההתראה שבחרת. נכסים בהכתבת ההתראה ניתנים להרחבה וניתנים ללחיצה. הם מספקים מידע נוסף ומזרזים את תגובתך בכך שהם מאפשרים לך לבצע פעולה ישירות בהקשר של דף ההתראה.

הערה

מקטע הכתבה של ההתראה עשוי להכיל יותר מהתראה אחת, עם התראות נוספות הקשורות לאותו עץ ביצוע שמופיע לפני או אחרי ההתראה שבחרת.

הצג מידע התראה נוסף בדף הפרטים

דף הפרטים מציג את פרטי ההתראה שנבחרה, עם פרטים ופעולות הקשורים אליה. אם תבחר אחת מהישויות או הנכסים המושפעים בכתבת ההתראה, דף הפרטים ישתנה כדי לספק מידע הקשרי ופעולות עבור האובייקט שנבחר.

לאחר בחירת ישות של תחום עניין, דף הפרטים משתנה כדי להציג מידע אודות סוג הישות שנבחרה, מידע היסטורי כאשר הוא זמין ואפשרויות לבצע פעולה בישות זו ישירות מתוך דף ההתראה.

ניהול התראות

כדי לנהל התראה, בחר ניהול התראה במקטע פרטי הסיכום של דף ההתראה. לקבלת התראה בודדת, להלן דוגמה של חלונית ניהול ההתראה .

החלונית נהל התראה מאפשרת לך להציג או לציין:

• מצב ההתראה (חדש, נפתר, מתבצע).
• חשבון המשתמש שהוקצתה לו ההתראה.
• סיווג ההתראה:
  • לא מוגדר (ברירת מחדל).
  • חיובי אמיתי עם סוג של איום. השתמש סיווג זה לקבלת התראות שמציינות באופן מדויק איום אמיתי. ציון סוג איום זה מתריע על כך שצוות האבטחה שלך רואה דפוסי איומים ופעל כדי להגן על הארגון שלך מפניהם.
  • מידע, פעילות צפויה עם סוג של פעילות. השתמש באפשרות זו עבור התראות מדויקות מבחינה טכנית, אך מייצגות התנהגות רגילה או פעילות איומים מדומה. בדרך כלל ברצונך להתעלם מהתראות אלה, אך לצפות להן לפעילויות דומות בעתיד, שבהן הפעילויות מופעלות על-ידי תוקפים או תוכנות זדוניות בפועל. השתמש באפשרויות בקטגוריה זו כדי לסווג התראות עבור בדיקות אבטחה, פעילות צוות אדומה וצפוי אופן פעולה חריג מאפליקציות ומשתמשים מהימנים.
  • תוצאה חיובית מוטעית עבור סוגי התראות שנוצרו גם כאשר אין פעילות זדונית או עבור אזעקת שווא. השתמש באפשרויות בקטגוריה זו כדי לסווג התראות המזוהות בטעות כאירועים רגילים או כפעילויות זדוניות או חשודות. בשונה מהתראות עבור 'מידע, פעילות צפויה', שיכולה גם להיות שימושית לתעד איומים אמיתיים, בדרך כלל אינך מעוניין לראות התראות אלה שוב. סיווג התראות כתוצאות חיוביות מוטעות עוזר Microsoft Defender XDR את איכות הזיהוי שלה.
• הערה על ההתראה.

הערה

• באוגוסט 2022, ערכי קביעת ההתראה (AptSecurityPersonnelו- ) הנתמכים בעבר הוצאו משימוש ואינן זמינות עוד באמצעות ה- API.

• דרך אחת לניהול התראות באמצעות תגיות. יכולת התיוג עבור Microsoft Defender עבור Office 365 כעת בתצוגה מקדימה, בפריסה מצטברת.

בשלב זה, שמות תגים שהשתנו מוחלים רק על התראות שנוצרו לאחר העדכון. התראות שנוצרו לפני השינוי לא ישקפו את שם התג המעודכן.

כדי לנהל קבוצה של התראות הדומות להתראה ספציפית, בחר הצג התראות דומות בתיבה INSIGHT במקטע פרטי הסיכום של דף ההתראה.

מתוך החלונית ניהול התראות, תוכל לאחר מכן לסווג את כל ההתראות הקשורות בו-זמנית. הנה דוגמה.

אם התראות דומות כבר סווגו בעבר, באפשרותך לחסוך זמן באמצעות Microsoft Defender XDR כדי ללמוד כיצד ההתראות האחרות נפתרו. במקטע פרטי הסיכום, בחר המלצות.

הכרטיסיה המלצות מספקת פעולות וייעוץ בשלב הבא עבור חקירה, תיקון ומניעה. הנה דוגמה.

כללים מוכללים לכוונון התראה

Microsoft Defender XDR כולל כללי כוונון התראות מוכללים שיעזרו להפחית את רעש הדיווח מהפעילות השיתית הנפוצה. כללים מוכללים אלה מעלים התראות מבלי להשפיע על תכונות אחרות, כגון חקירות AIR והודעות דואר אלקטרוני. אם חקירת AIR מזהה פעילות זדונית או חשודה, ההתראה החדשה תופעל מחדש.

כדי לראות את כללי כוונון ההתראה המוכללים בפורטל Microsoft Defender, >> עבור אל הגדרות מערכת Microsoft Defender XDR>סעיף> כללים כוונון התראה או ישירות בדף כוונון התראה ב- .https://security.microsoft.com/securitysettings/defender/alert_suppression

הקפד לסקור כללים אלה כדי להבין כיצד הם עשויים להשפיע על ההתראות המופיעות Microsoft Defender הפורטל.

הערה

סוכן Microsoft Security Copilot של דיוג אינו מסווג התראות המודחקות על-ידי כוונון התראה. הקפד להפוך את התיקון האוטומטי ללא זמין - דואר אלקטרוני שדווח על-ידי המשתמש כתוכנות זדוניות או ככלל כוונון התראה מוכלל של דיוג וכל כללי כוונון מותאמים אישית שמסתירים התראה זו.

כוונון התראה

כאנליסט של מרכז פעולות אבטחה (SOC), אחת מהבעיות המובילות היא קביעת סדר עדיפויות של מספר ההתראות ההדרגתי המופעל מדי יום. בעוד שהם רוצים להתמקד רק בחומרה גבוהה ובהתראות בעדיפות גבוהה, אנליסטים נדרשים גם לקבוע סדר עדיפויות ולפתור התראות בעדיפות נמוכה יותר, אשר נוטות להיות תהליך ידני. כוונון התראה (מניעת התראות בעבר) מאפשר לך להסתיר או לפתור התראות באופן אוטומטי כאשר מתרחש אופן פעולה ארגוני צפוי ותתרחש תנאי כלל. פעולה זו תייעל את תור ההתראות שלך ותחסוך זמן קביעת סדר עדיפויות.

כללי כוונון התראה תומכים בתנאים המבוססים על סוגי ראיות כגון קבצים, תהליכים, משימות מתוזמנות וסוגים אחרים של ראיות המפעילים התראות. לאחר יצירת כלל כוונון התראה, החל אותו על ההתראה שנבחרה או על כל סוג התראה שעומד בתנאים המוגדרים כדי לכוונן את ההתראה.

Microsoft Defender XDR כולל כללים מוכללים לכוונון התראות, שמסייעים להפחית את רעש הדיווח מפעילות נפוצה של בני טוב. כללים מוכללים אלה מעלים התראות מבלי להשפיע על תכונות אחרות, כגון חקירות AIR והודעות דואר אלקטרוני. אם חקירת AIR מזהה פעילות זדונית או חשודה, ההתראה החדשה תופעל מחדש.

באפשרותך גם ליצור כללי כוונון התראה מותאמים אישית משלך כדי לבצע אחת מהפעולות הבאות כאשר מתקיימים תנאים ספציפיים:

• הסתר התראה: העלם את ההתראה וימנע יצירת אירוע. התראות מוסתרות נשארות בטבלאות AlertInfoו- AlertEvidence . פעולה זו ישימה רק עבור התראות של Defender עבור נקודות קצה.
• פתור התראה: פותר באופן אוטומטי את ההתראה ואת האירועים הקשורים. התראות תואמות והתקריות המשויכות להן מופעלות עם מצב שנפתר.
• הגדר כהתפקוד: המרת אותות תואמים לאוהלי פעולה. הם לא יופיעו בתור ההתראות או לא יפעילו אירועים. הנתונים נשארים בטבלאות BehaviorInfo ו - BehaviorEntities לציד. פעולה זו אינה נתמכת עבור Defender לענן או עבור Microsoft Defender לקבלת Office 365 נוספות.

Microsoft Defender XDR כולל גם כללי כוונון התראה מוכללים שמסתירים התראות מפעילות מותאמת משותפת מבלי להשפיע על חקירות אוטומטיות ותגובות (AIR) והודעות דואר אלקטרוני.

זהירות

השתמש בכוונון התראה בזהירות, עבור תרחישים שבהם אפליקציות עסקיות פנימיות או בדיקות אבטחה ידועות מפעילות את הפעילות הצפויה.

יצירת תנאי כלל כדי לכוונן התראות

צור כללי כוונון התראות Microsoft Defender XDR הגדרות ההתראות או מתוך דף פרטי התראה. בחר אחת מהכרטיסיות הבאות כדי להמשיך.

הדף 'הגדרות'

1. בפורטל Microsoft Defender, בחר הגדרות וכוונון > Microsoft Defender XDR > התראה.

   

2. בחר הוסף כלל חדש כדי לכוונן התראה חדשה, או בחר שורת כלל קיימת כדי לבצע שינויים. בחירת כותרת הכלל פותחת דף פרטי כלל, שבו באפשרותך להציג רשימה של התראות משויכות, לערוך תנאים או להפעיל ולבטל את הכלל.

3. בחלונית כוונון התראה, תחת בחר מקורות שירות, בחר את מקורות השירות שבהם ברצונך להחיל את הכלל. רק שירותים שבהם יש לך הרשאות מוצגים ברשימה. לדוגמה:

   

4. באזור תנאים , הוסף תנאי עבור גורמים מפעילים של ההתראה. לדוגמה, אם ברצונך למנוע הפעלה של התראה בעת יצירת קובץ ספציפי, הגדר תנאי עבור הגורם המפעיל File:Custom והגדיר את פרטי הקובץ:

   

   • גורמים מפעילים רשומים שונים, בהתאם למקורות השירות שבחרת. גורמים מפעילים הם כולם מחווני סכנה (IOCs), כגון קבצים, תהליכים, משימות מתוזמנות וסוגי ראיות אחרים שעשויים להפעיל התראה, כולל קבצי Script של ממשק סריקה נגד תוכנות זדוניות (AMSI), אירועי Windows Management Instrumentation (WMI) או משימות מתוזמנות.

   • כדי להגדיר תנאי כללים מרובים, בחר הוסף מסנן והשתמש ב- AND, OR ואפשרויות קיבוץ כדי להגדיר את קשרי הגומלין בין סוגי הראיות המ מרובים שמפעילים את ההתראה. מאפייני ראיות נוספים מאוכלסים באופן אוטומטי כקבוצת משנה חדשה, שבה באפשרותך להגדיר את ערכי התנאי שלך. ערכי תנאי אינם תלויי רישיות, ומאפיינים מסוימים תומכים בתווים כלליים.

5. באזור פעולה של חלונית ההתראה כוונון , בחר את הפעולה הרלוונטית שברצונך שהכלל יבצע. בחר מתוך הסתר התראה, פתור התראה או הגדר כהתפקוד.

6. הזן שם בעל משמעות עבור ההתראה שלך והערה כדי לתאר את ההתראה ולאחר מכן בחר שמור.

הדף 'התראות'

1. בפורטל Microsoft Defender, עבור לדף התראות או לדף פרטי התראה. אם אתה נמצא בדף התראות, תחילה בחר את ההתראה שברצונך לכוונן ולאחר מכן בחר כוונון התראה. בהתאם לרזולוציית המסך שלך, ייתכן שיהיה עליך לבחור את שלוש הנקודות (...) כדי לראות את האפשרות כוונון התראה . לדוגמה:

   

   חלונית ההתראה כוונון נפתחת בצד, שבה באפשרותך להגדיר תנאים עבור ההתראה. לדוגמה:

   

2. באזור סוגי התראות , בחר להחיל את כלל כוונון ההתראה רק על התראות על הסוג שנבחר, או על כל סוג התראה המבוסס על אותם תנאים. אם תבחר סוג התראה כלשהו בהתבסס על תנאים מסוימים, בחר גם את מקורות השירות שבהם ברצונך שהכלל יחול. רק שירותים שבהם יש לך הרשאות מוצגים ברשימה. לדוגמה:

   

3. באזור תנאים , הוסף תנאי עבור גורמים מפעילים של ההתראה. לדוגמה, אם ברצונך למנוע הפעלה של התראה בעת יצירת קובץ ספציפי, הגדר תנאי עבור הגורם המפעיל File:Custom והגדיר את פרטי הקובץ:

   

   • גורמים מפעילים רשומים שונים, בהתאם למקורות השירות שבחרת. גורמים מפעילים הם כולם מחווני סכנה (IOCs), כגון קבצים, תהליכים, משימות מתוזמנות וסוגי ראיות אחרים שעשויים להפעיל התראה, כולל קבצי Script של ממשק סריקה נגד תוכנות זדוניות (AMSI), אירועי Windows Management Instrumentation (WMI) או משימות מתוזמנות.

   • כדי להגדיר תנאי כללים מרובים, בחר הוסף מסנן והשתמש ב- AND, OR ואפשרויות קיבוץ כדי להגדיר את קשרי הגומלין בין סוגי הראיות המ מרובים שמפעילים את ההתראה. מאפייני ראיות נוספים מאוכלסים באופן אוטומטי כקבוצת משנה חדשה, שבה באפשרותך להגדיר את ערכי התנאי שלך. ערכי תנאי אינם תלויי רישיות, ומאפיינים מסוימים תומכים בתווים כלליים.

4. באזור פעולה של חלונית ההתראה כוונון , בחר את הפעולה הרלוונטית שברצונך שהכלל יבצע. בחר מתוך הסתר התראה, פתור התראה או הגדר כהתפקוד.

5. הזן שם בעל משמעות עבור ההתראה שלך והערה כדי לתאר את ההתראה.

6. בחר 'שמור'

הערה

כותרת ההתראה (שם) מבוססת על סוג ההתראה (IoaDefinitionId), אשר קובע את כותרת ההתראה. שתי התראות עם סוג התראה זהה יכולות להשתנות לכותרת התראה אחרת. תכונת ההתראה הסתר זמינה רק בהתראות של Defender for Endpoint.

לאחר יצירת כלל כוונון ההתראה מתוך דף פרטי התראה, בדף יצירת כללים מוצלח שמופיע, הוסף אחד מ- IOCs הקשורים להתראה כמחוונים לרשימת התרות כדי למנוע את חסימתם בעתיד. רכיבי IOC המוגדרים כחלק מכלל כוונון ההתראה זמינים כברירת מחדל. לדוגמה:

1. הוסף קובץ לרשימת הראיות שנבחרו (IOC) כדי לאפשר . כברירת מחדל, הקובץ שהפעיל את ההתראה כבר נבחר.
2. הגדר טווח עבור הטווח בחר להחלה על הערך. כברירת מחדל, הטווח שחל על ההתראה שלך נבחר.
3. בחר שמור כדי להוסיף את הקובץ לרשימת התרות ולמנוע חסימה שלו.

פתרון התראה

לאחר שתסיים לנתח התראה ובאפשרותך לפתור אותה, עבור אל החלונית ניהול התראה עבור ההתראה או התראות דומות וסמן את המצב כ'נפתר' ולאחר מכן סמן אותה כתוצאה חיובית אמיתית עם סוג של איום, פעילות מידע צפויה עם סוג פעילות או חיובית מוטעית.

סיווג התראות עוזר Microsoft Defender XDR לשפר את איכות הזיהוי שלה.

שימוש ב- Power Automate כדי לקבוע סדר עדיפויות של התראות

צוותי פעולות אבטחה מודרניות (SecOps) זקוקים לאוטומציה כדי לעבוד ביעילות. כדי להתמקד בחיפוש ובחקר איומים אמיתיים, צוותי SecOps משתמשים ב- Power Automate כדי לקבוע סדר עדיפויות ברשימת ההתראות ולמנוע את האיומים שאינם איומים.

קריטריונים לפתרון התראות

• הודעת 'מחוץ למשרד' מופעלת על-ידי המשתמש
• המשתמש אינו מתויג כסיכון גבוה

אם שניהם נכונים, SecOps מסמן את ההתראה כנסיעות לגיטימיות ופתר אותה. הודעה פורסמה ב- Microsoft Teams לאחר פתרון ההתראה.

חבר את Power Automate יישומי ענן של Microsoft Defender

כדי ליצור את האוטומציה, תזדקק לאסימון API כדי שתוכל לחבר את Power Automate יישומי ענן של Microsoft Defender.

1. פתח Microsoft Defender ובחר הגדרות אסימון>APIשל יישומי> ענן ולאחר מכן בחר הוסף אסימון בכרטיסיה אסימוני API.

2. ספק שם עבור האסימון ולאחר מכן בחר צור. שמור את האסימון כפי שתדרוש אותו מאוחר יותר.

יצירת זרימה אוטומטית

צפה בסרטון וידאו קצר זה כדי ללמוד כיצד אוטומציה פועלת ביעילות כדי ליצור זרימת עבודה חלקה וכיצד לחבר את Power Automate יישומי ענן של Defender.

השתמש בסוכן זיהוי איומים דינאמי כדי לקבוע סדר עדיפויות של התראות

Microsoft Security Copilot ב- Microsoft Defender כולל את סוכן זיהוי האיומים הדינאמי, שירות קצה עורפי תמידי ומסתגל שמגלה איומים מוסתרים בסביבות Defender ו- Microsoft Sentinel אחרות. הוא משתמש בבינה מלאכותית כדי לזהות פערים ולחשוף שליליים מוטעים על-ידי תיאום בין התראות, אירועים, חריגות ואינטיליגנציה של איומים. כאשר הסוכן מזהה פער, הוא יוצר התראה דינאמית עם ההקשר המלא בפרטי ההתראה, כולל הסברים לשפה טבעית, מיפוי MITRE ATT&CK ושיטות תיקון מותאמות אישית.

לקבלת מידע נוסף, ראה Microsoft Security Copilot זיהוי איומים דינאמי.

השלבים הבאים

בהתאם לצורך עבור אירועים בתהליך, המשך בחקירה שלך.

למידע נוסף

• מבט כולל על אירועים
• נהל אירועים
• חקור מקרים
• בדיקת התראות למניעת אובדן נתונים ב- Defender
• Microsoft Entra ID אישית

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.