הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
הפורטל Microsoft Defender מחיל ניתוח מתאם וצובר התראות קשורות וחקירות אוטומטיות ממוצרים שונים במקרה. Microsoft Sentinel ו- Defender XDR גם מפעילים התראות ייחודיות על פעילויות שניתן לזהות תוכנות זדוניות רק לאור הניראות מקצה לקצה בפלטפורמה המאוחדת בכל חבילת המוצרים. תצוגה זו מספקת לאנליסטים שלך את סיפור ההתקפה הרחב יותר, מה שמסייע להם להבין טוב יותר ולה להתמודד עם איומים מורכבים ברחבי הארגון שלך.
חשוב
Microsoft Sentinel זמין בדרך כלל בפורטל Microsoft Defender, עם או בלי רשיון Microsoft Defender XDR או E5. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.
לאחר 31 במרץ 2027, Microsoft Sentinel לא ייתמכו עוד בפורטל Azure והוא יהיה זמין רק בפורטל Microsoft Defender.
אם אתה משתמש כעת ב- Microsoft Sentinel בפורטל Azure, מומלץ להתחיל לתכנן את המעבר לפורטל Defender כעת כדי להבטיח מעבר חלק ולנצל את חוויית פעולות האבטחה המאוחדות המוצעת על-ידי Microsoft Defender. לקבלת מידע נוסף, ראה העברת Microsoft Sentinel שלך לפורטל Defender ותכנון המעבר לפורטל Microsoft Defender עבור כל לקוחות Microsoft Sentinel (בלוג).
תור אירועים
תור האירועים מציג תור של אירועים שנוצרו בין מכשירים, משתמשים, תיבות דואר ומשאבים אחרים. היא עוזרת לך לקבוע את סדרי העדיפויות של האירועים, לקבוע סדרי עדיפויות וליצור החלטה מושכלת של תגובה לאבטחת סייבר.
אתר את תור האירועים באירועים & התראות > אירועים בהפעלה המהירה של Microsoft Defender הפורטל.
בחר האירועים וההתראות האחרונים כדי להחליף בין מצב תרשים ציר זמן של מספר ההתראות שהתקבלו ותקריות שנוצרו ב- 24 השעות האחרונות.
תור האירועים כולל את מסייע התור של Defender המסייע לצוותי אבטחה לגזור את מספר האירועים הרב ולהתמקד באירועים החשובים ביותר. באמצעות אלגוריתם של קביעת סדרי עדיפויות של למידת מכונה, מסייע התורים מפנה את האירועים בעדיפות הגבוהה ביותר, מסביר את הסיבה מאחורי סדר העדיפויות ומספק כלים אינטואיטיביים למיון וסינון של תור האירועים. האלגוריתם פועל עבור כל ההתראות, התראות מקוריות של Microsoft, זיהויים מותאמים אישית או אותות של ספקים חיצוניים. האלגוריתם מאומן בנתונים אנונימיים מהעולם האמיתי ושקול, בין שאר הדברים, את נקודות הנתונים הבאות בעת חישוב ציון העדיפות:
- אותות הפרעה בתקיפה
- ניתוח איומים
- חומרת
- מס SNR
- טכניקות MITRE
- קריטיות נכס
- סוגי התראות ומניאריות
- איומים בעלי פרופיל גבוה, כגון תוכנות כופר ותקפות של מדינה/מדינה.
אירועים מוקצים באופן אוטומטי ניקוד עדיפות מ- 0 עד 100, כאשר 100 הם בעלי העדיפות הגבוהה ביותר. טווחי ניקוד הם קוד צבע באופן הבא:
- אדום: עדיפות עליונה (ניקוד > 85)
- כתום: עדיפות בינונית (15-85)
- אפור: עדיפות נמוכה (<15)
בחר את שורת האירוע במקום כלשהו, למעט שם האירוע, כדי להציג חלונית סיכום עם מידע חשוב אודות המקרה. החלונית כוללת את הערכת העדיפות, הגורמים המ משפיעים על ניקוד העדיפות, פרטי האירוע, הפעולות המומלצות ואיומים קשורים. השתמש בחצים למעלה ולמטה בחלק העליון של החלונית כדי לנווט אל המקרה הקודם או הבא בתור האירועים. לקבלת מידע נוסף אודות חקירת המקרה, ראה חקירת אירועים.
כברירת מחדל, תור האירועים מציג אירועים שנוצרו בשבוע האחרון. בחר מסגרת זמן אחרת על-ידי בחירת הרשימה הנפתחת של בורר הזמן מעל התור.
המספר הכולל של אירועים בתור מוצג לצד בורר הזמן. מספר האירועים משתנה בהתאם המסננים בשימוש. באפשרותך לחפש אירועים לפי שם או מזהה מקרה
בחר התאם אישית עמודות כדי לבחור עמודות המוצגות בתור. סמן או בטל את הסימון של העמודות שברצונך לראות בתור האירועים. סדר את סדר העמודות על-ידי גרירתן למעלה ולמטה.
לחצן ייצוא מאפשר לך לייצא את הנתונים המסוננים בתור האירועים לקובץ CSV. מספר הרשומות המרבי שניתן לייצא לקובץ CSV הוא 10,000.
שמות אירועים
לקבלת ניראות נוספת במבט מהיר, Microsoft Defender XDR יוצר שמות אירועים באופן אוטומטי, בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. מתן שם ספציפי זה מאפשר לך להבין במהירות את היקף האירוע.
לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.
אם צירוף Microsoft Sentinel לפורטל Defender, התראות ותקריות שמגיעות מ- Microsoft Sentinel ישתנו (בין אם הם נוצרו לפני או מאז הצירוף).
מומלץ להימנע משימוש בשם האירוע כתנה להפעלת כללי אוטומציה. אם שם האירוע הוא תנאי, שם האירוע משתנה, הכלל לא יופעל.
מסננים
תור האירועים מספק גם אפשרויות סינון מרובות, אשר בעת ההחלה מאפשר לך לבצע ניקוי רחב של כל האירועים הקיימים בסביבה שלך, או להחליט להתמקד בתרחיש או באיומים ספציפיים. החלת מסננים בתור האירועים יכולה לעזור לקבוע איזה מקרה דורש תשומת לב מיידית.
הרשימה מסננים מעל תור האירועים מציגה את המסננים הנוכחיים המוחלים כעת על התור. בחר הוסף מסנן כדי להחיל מסננים נוספים כדי להגביל את קבוצת האירועים המוצגים.
בחר את המסננים שבהם ברצונך להשתמש ולאחר מכן בחר הוסף. המסננים שנבחרו מוצגים יחד עם המסננים הקיימים שהוחלו. בחר את המסנן החדש כדי לציין את התנאים שלו. לדוגמה, אם בחרת במסנן "מקורות שירות/זיהוי", בחר אותו כדי לבחור את המקורות שלעיל יש לסנן את הרשימה.
באפשרותך להסיר מסנן על-ידי בחירת ה- X בשם המסנן ברשימת המסננים.
הטבלה הבאה מפרטת את המסננים הזמינים.
| שם מסנן | תיאור/תנאים |
|---|---|
| מצב | בחר חדש, מתבצע או נפתר. |
|
חומרת התראה חומרת אירוע |
החומרה של התראה או אירוע מציינת את ההשפעה שהיא יכולה להשפיע על הנכסים שלך. ככל שהחומרה גבוהה יותר, כך ההשפעה גדולה יותר ובדרך כלל מחייבת את תשומת הלב המיידית ביותר. בחר גבוהה, בינונית, נמוכה או מידע. |
| הקצאת אירוע | בחר את המשתמש או המשתמשים שהוקצו. |
| מקורות שירות מרובים | ציין אם המסנן מיועד ליותר ממקור שירות אחד. |
| מקורות שירות/זיהוי | ציין מקרים המכילים התראות מתוך אחת או יותר מהפעולות הבאות: רבים מהשירותים הללו עשויים להיות מורחבים בתפריט כדי לחשוף אפשרויות נוספות של מקורות זיהוי בתוך שירות נתון. |
| תגיות | בחר שם תג אחד או יותר מהרשימה. |
| קטגוריה מרובה | ציין אם המסנן מיועד ליותר מקטגוריה אחת. |
| קטגוריות | בחר קטגוריות כדי להתמקד בטקטיקות, בטכניקות או ברכיבי התקפה ספציפיים שיוצגו. |
| ישויות | ציין שם של נכס כגון משתמש, מכשיר, תיבת דואר או שם יישום. |
| תווית רגישות | סנן אירועים בהתבסס על תווית הרגישות המוחלת על הנתונים. התקפות מסוימות מתמקדות בפתרון נתונים רגישים או בעלי ערך. על-ידי החלת מסנן עבור תוויות רגישות ספציפיות, באפשרותך לקבוע במהירות אם מידע רגיש עלול להיות בסכנה ולתעדף את התעדוף של אירועים אלה. |
| קבוצות מכשירים | ציין שם קבוצת מכשירים . |
| פלטפורמת מערכת ההפעלה | ציין מערכות הפעלה של מכשירים. |
| סיווג | ציין את קבוצת הסיווגים של ההתראות הקשורות. |
| מצב חקירה אוטומטית | ציין את מצב החקירה האוטומטית. |
| איום משויך | ציין איום בעל שם. |
| כלל מדיניות/מדיניות | סנן אירועים בהתבסס על מדיניות או כלל מדיניות. |
| שמות מוצרים | סנן אירועים בהתבסס על שם המוצר. |
| זרם נתונים | סנן אירועים בהתבסס על המיקום או עומס העבודה. |
הערה
אם הקצאת גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview, באפשרותך להציג ולנהל התראות של ניהול סיכונים פנימיים ולצוד אירועים של ניהול סיכונים פנימיים בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה חקירת איומי סיכון פנימיים בפורטל Microsoft Defender שלך.
מסנן ברירת המחדל הוא להציג את כל ההתראות והתקריות במצב 'חדש' ו'מתבצע' ובחומרת חומרה של 'גבוה', 'בינוני' או 'נמוך'.
באפשרותך גם ליצור ערכות מסנן בתוך דף האירועים על-ידי בחירת שאילתות מסנן שנשמרו צור > ערכת מסננים. אם לא נוצרו ערכות מסננים, בחר שמור כדי ליצור ערכות סינון.
הערה
Microsoft Defender XDR יכולים כעת לסנן אירועים עם התראות שבהן מכשיר שנחשף לסכנה מתקשר עם מכשירי טכנולוגיה תפעולית (OT) המחוברים לרשת הארגונית באמצעות שילוב גילוי המכשירים של Microsoft Defender עבור IoT ו- Microsoft Defender עבור נקודת קצה. כדי לסנן אירועים אלה, בחר באפשרות כלשהו במקורות השירות/זיהוי ולאחר מכן בחר Microsoft Defender עבור IoT בשם המוצר או ראה חקירת אירועים והתראות ב- Microsoft Defender עבור IoT בפורטל Defender. באפשרותך גם להשתמש בקבוצות מכשירים כדי לסנן התראות ספציפיות לאתר. לקבלת מידע נוסף אודות הדרישות המוקדמות של Defender for IoT, ראה תחילת העבודה עם ניטור IoT ארגוני ב- Microsoft Defender XDR.
שמירת מסננים מותאמים אישית ככתובות URL
לאחר קביעת התצורה של מסנן שימושי בתור תקריות, באפשרותך לסמן את כתובת ה- URL של כרטיסיית הדפדפן בסימניה או לשמור אותה כקישור בדף אינטרנט, במסמך Word או כמקום שתבחר. יצירת סימניות מעניקה לך גישה בלחיצה אחת לתצוגות עיקריות של תור האירועים, כגון:
- אירועים חדשים
- תקריות ברמת חומרה גבוהה
- אירועים שלא הוקנו
- אירועים ברמת חומרה גבוהה, ללא הקצאה
- אירועים שהוקצו לי
- אירועים שהוקצו לי ול- Microsoft Defender עבור נקודת קצה
- מקרים עם תגית או תגית ספציפית
- מקרים עם קטגוריית איום ספציפית
- מקרים עם איום משויך ספציפי
- אירועים עם שחקן ספציפי
לאחר שתבצע הידור ואחסון של רשימת תצוגות מסנן שימושיות ככתובות URL, השתמש בה כדי לעבד ולתעדף במהירות את האירועים בתור שלך ולנהל אותם עבור ההקצאה והניתוח הבאים.
חפש
מהתיבה חפש שם או מזהה מעל רשימת האירועים, באפשרותך לחפש אירועים במספר דרכים, כדי למצוא במהירות את מה שאתה מחפש.
חפש לפי שם מקרה או מזהה
חפש אירוע ישירות על-ידי הקלדת מזהה האירוע או שם האירוע. בעת בחירת מקרה מתוך רשימת תוצאות החיפוש, פורטל Microsoft Defender פותח כרטיסיה חדשה עם מאפייני האירוע, שממנה תוכל להתחיל בחקירה.
חיפוש לפי נכסים מושפעים
באפשרותך לבחור נכס - כגון משתמש, מכשיר, תיבת דואר, שם יישום או משאב בענן – ולחפש את כל האירועים הקשורים הנכס.
ציון טווח זמן
רשימת האירועים המהווה ברירת מחדל מיועדת לאלה שהתרחשו במהלך ששת החודשים האחרונים. באפשרותך לציין טווח זמן חדש מהתיבה הנפתחת לצד סמל לוח השנה על-ידי בחירת:
- יום אחד
- שלושה ימים
- שבוע אחד
- 30 יום
- 30 יום
- שישה חודשים
- טווח מותאם אישית שבו באפשרותך לציין הן תאריכים והן שעות
השלבים הבאים
לאחר שתקבע איזה מקרה דורש את העדיפות הגבוהה ביותר, בחר אותו ולאחר מכן:
- נהל את מאפייני האירוע עבור תגיות, הקצאה, פתרון מיידי עבור אירועים חיוביים מוטעים והערות.
- התחל בחקירות שלך.
Defender Boxed
למשך זמן מוגבל במהלך ינואר ויולי של כל שנה, Defender Boxed מופיע באופן אוטומטי כאשר אתה פותח לראשונה את תור האירועים. Defender Boxed מדגיש את הצלחת האבטחה, השיפורים ופעולות התגובה של הארגון במהלך ששת החודשים או השנה קלנדרית הקודמים.
הערה
Defender Boxed זמין רק למשתמשים שביצעו פעילויות ישימות בפורטל Microsoft Defender הרלוונטי.
באפשרותך לבצע את הפעולות הבאות בסדרת הכרטיסים המופיעים ב- Defender Boxed:
הורד סיכום מפורט של ההישגים שלך שניתן לשתף עם אנשים אחרים בארגון שלך.
שנה את התדירות של תדירות המראה של Defender Boxed. באפשרותך לבחור בין פעם אחת (בכל חודש ינואר) או פעמיים (מדי ינואר ויולי) בשנה.
שתף את ההישג שלך ברשתות מדיה חברתית, בדואר אלקטרוני ובפורומים אחרים על-ידי שמירת השקופית כתמונה.
כדי לפתוח מחדש את Defender Boxed, עבור אל תור האירועים ולאחר מכן בחר ה- Defender Boxed בצד השמאלי של החלונית.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.