שתף באמצעות

בדוק אירועים בפורטל Microsoft Defender שלך

  • חל על: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

פורטל Microsoft Defender מציג התראות, נכסים, חקירות וראיות מותכים מכל הנכסים שלך באירוע כדי לתת לך מבט מקיף לרוחב הרוחב כולו של מתקפה.

במקרה מסוים, אתה מנתח את ההתראות, מבין מה משמעותן, ואיסוף הראיות כדי שתוכל לתכנן תוכנית תיקון יעילה.

חקירה ראשונית

לפני שתצלול לתוך הפרטים, עיין במאפיינים ובכתבת ההתקפה כולה על המקרה.

באפשרותך להתחיל על-ידי בחירת המקרה מעמודת סימן הביקורת. הנה דוגמה.

בחירת מקרה בפורטל Microsoft Defender שלך

כאשר תעשה זאת, נפתחת חלונית סיכום עם מידע חשוב אודות המקרה, כגון פרטי האירוע, הפעולות המומלצות ואיומים קשורים. הנה דוגמה.

החלונית המציגה את פרטי הסיכום של אירוע בפורטל Microsoft Defender שלך.

מכאן, באפשרותך לבחור פתח דף אירוע. פעולה זו פותחת את העמוד הראשי של האירוע שבו תמצא את המידע המלא לגבי סיפור ההתקפה ואת הכרטיסיות עבור התראות, מכשירים, משתמשים, חקירות וראיות. באפשרותך גם לפתוח את העמוד הראשי עבור מקרה על-ידי בחירת שם האירוע מתור האירועים.

הערה

משתמשים בעלי גישה מוקצית Microsoft Security Copilot יראו את החלונית Copilot בצד השמאלי של המסך כאשר הם יפתחו מקרה. Copilot מספקת תובנות והמלצות בזמן אמת כדי לעזור לך לחקור אירועים ולהגיב להם. לקבלת מידע נוסף, ראה Microsoft Copilot ב- Microsoft Defender.

סיפור התקפה

סיפורי תקיפה עוזרים לך לסקור, לחקור ולתקנו במהירות מתקפות תוך הצגת הסיפור המלא של ההתקפה באותה כרטיסיה. הוא גם מאפשר לך לסקור את פרטי הישות ולבצע פעולות תיקון, כגון מחיקת קובץ או תיקון מכשיר מבלי לאבד הקשר.

סיפור ההתקפה מתואר בקצרה בסרטון הבא.

בתוך סיפור התקיפה תוכל למצוא את דף ההתראה ואת גרף האירועים.

דף ההתראה של האירוע כולל את המקטעים הבאים:

  • כתבה בהתראה, הכוללת:

    • מה קרה
    • פעולות שבוצעו
    • אירועים קשורים

  • מאפייני התראה בחלונית השמאלית (מצב, פרטים, תיאור ועוד)

שים לב שלא כל התראה תכלול את כל סעיףי המשנה המפורטים במקטע 'הכתבה התראה '.

הגרף מציג את היקף התקיפה המלא, כיצד ההתקפה התפשטה ברשת שלך לאורך זמן, היכן היא התחילה וכמה רחוק התוקף התוקף התפשט. הוא מחבר בין הישויות החשודות השונות, מהווה חלק מהמתקפה עם הנכסים הקשורים שלהן, כגון משתמשים, מכשירים ותיבות דואר.

מהגרף, באפשרותך לבצע את הפעולות הבאות:

  • הפעל את ההתראות ואת הצמתים בגרף כפי שהתרחשו לאורך זמן כדי להבין את הכרונולוגיית ההתקפה.

    צילום מסך שמראה את הפעלת ההתראות והצמתים בדף הגרף של סיפור התקיפה.

  • פתח חלונית ישות, המאפשרת לך לסקור את פרטי הישות ולבצע פעולות תיקון, כגון מחיקת קובץ או תיקון מכשיר.

    צילום מסך שמראה את הסקירה של פרטי הישות בדף הגרף של סיפור התקיפה.

  • סמן את ההתראות בהתבסס על הישות שאליהן הן קשורות.

  • חפש פרטי ישות של מכשיר, קובץ, כתובת IP, כתובת URL, משתמש, דואר אלקטרוני, תיבת דואר או משאב ענן.

לך לצוד

פעולת הציד של go מנצלת את תכונת הציד המתקדם כדי למצוא מידע רלוונטי אודות ישות. שאילתת החיפוש בודקת טבלאות סכימה רלוונטיות אם קיימות אירועים או התראות הקשורים לישות הספציפית שאתה חוקר. באפשרותך לבחור כל אחת מהאפשרויות כדי למצוא מידע רלוונטי אודות הישות:

  • ראה את כל השאילתות הזמינות – האפשרות מחזירה את כל השאילתות הזמינות עבור סוג הישות שאתה חוקר.
  • כל הפעילות – השאילתה מחזירה את כל הפעילויות המשויכות לישות ומספקת לך תצוגה מקיפה של הקשר האירוע.
  • התראות קשורות – השאילתה מחפשת ומחזירה את כל התראות האבטחה הכוללות ישות ספציפית, כדי להבטיח שלא תחמיץ מידע.

בחירת אפשרות החיפוש אחר פריטים במכשיר בסיפור התקפה

ניתן לקשר את יומני הרישום או ההתראות המתבצעים למקריות על-ידי בחירת תוצאות ולאחר מכן בחירה באפשרות קשר למקריות.

סימון הקישור לתקריות בתוצאות שאילתת החיפוש

אם המקרה או ההתראות הקשורות היו התוצאה של כלל ניתוח והגדרת, באפשרותך גם לבחור הפעל שאילתה כדי לראות תוצאות קשורות אחרות.

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

נתיבי תקיפה

הערה

כדי להציג את הפרטים של נתיב תקיפה, דרושות לך הרשאות גישת קריאה בפורטל ה- Microsoft Defender וברשיון עבור ניהול חשיפה לפגיעויות אבטחה ב-Microsoft.

כדי להציג פרטי נתיב תקיפה Microsoft Sentinel בפורטל Defender, נדרש Sentinel 'קורא'. כדי ליצור נתיבי תקיפה חדשים, נדרש התפקיד 'מנהל אבטחה'.

גרף האירועים מכיל גם מידע אודות נתיבי תקיפה. נתיבים אלה מאפשרים לאנליסטים של האבטחה לזהות אילו ישויות אחרות תוקף צפוי לייעד בשלב הבא. כדי להציג נתיב תקיפה, באפשרותך ללחוץ על ישות בגרף תקריות ולבחור הצג נתיבי תקיפה. נתיבי התקיפה המובילים מוצגים בתוך גרף האירועים. הנה דוגמה.

הדגשת נכס קריטי ונתיב התקפה עליון בגרף האירוע

כדי להציג את כל נתיבי התקיפה האפשריים, בחר הצג את כל נתיבי התקיפה בגרף האירוע. נפתחת חלונית נשלפת המכילה את הרשימה של כל נתיבי התקיפה האפשריים עבור הישות שנבחרה. ניתן לסנן את נתיבי התקיפה בהתבסס על שם נתיב התקיפה, נקודת הכניסה, סוג נקודת הכניסה, היעד, סוג היעד וה קריטיות היעד. הנה דוגמה.

צילום מסך המדגיש את האפשרות 'נתיבי תקיפה של תצוגה' ואת רשימת נתיבי ההתקפה בחלונית הנשלפת

בחירת נתיב תקיפה מהרשימה מציגה את הפרטים של נתיב תקיפה זה, המציג את נתיב התקיפה נקודת הכניסה, ישויות אפשריות המעורבות והיעד. בחירה באפשרות הצג מפה פותחת חלון חדש כדי להציג את נתיב התקיפה במלואו.

דוגמה של גרף נתיבי התקיפה המוצג בחלונית הצדדית.

עצה

כדי להציג את הפרטים של נתיב תקיפה, דרושות לך הרשאות עבור עומסי העבודה שהם חלק מנתיב התקיפה. לדוגמה, כדי להציג נתיב תקיפה הכולל התקן מנוהל, דרושות לך הרשאות עבור Microsoft Defender עבור נקודת קצה.

פרטי אירוע

באפשרותך להציג פרטי אירוע בחלונית השמאלית של דף אירוע. פרטי האירוע כוללים הקצאת אירוע, מזהה, סיווג, קטגוריות ותאריך ושעה של פעילות ראשונה ואחרונה. הוא כולל גם תיאור של האירוע, הנכסים המושפעים, ההתראות הפעילות והמיקום הרלוונטי, האיומים, ההמלצות וההמלצות הקשורים, סיכום ההפרעה וההשפעה. להלן דוגמה לפרטי האירוע שבהם תיאור האירוע מסומן.

דוגמה לפרטי מקרה שבהם התיאור מסומן.

תיאור האירוע מספק סקירה קצרה של המקרה. במקרים מסוימים, ההתראה הראשונה באירוע משמשת תיאור המקרה. במקרה זה, התיאור מוצג בפורטל בלבד ולא מאוחסן ביומן הפעילות, טבלאות ציד מתקדמות או Microsoft Sentinel בפורטל Azure.

עצה

Microsoft Sentinel יכולים גם להציג ולהחליף את אותו תיאור מקרה בפורטל Azure על-ידי הגדרת תיאור המקרה באמצעות API או אוטומציה.

התראות

בכרטיסיה התראות , באפשרותך להציג את תור ההתראות עבור התראות הקשורות לתקרית ומידע נוסף אודות התראות כגון אלה:

  • חומרת ההתראות.
  • הישויות שהיו מעורבים בהתראה.
  • מקור ההתראות (Microsoft Defender עבור זהות, Microsoft Defender עבור נקודת קצה Microsoft Defender עבור Office 365, יישומי ענן של Defender ו- ההרחבה 'פיקוח על היישום').
  • הסיבה שהם היו מקושרים יחד.

הנה דוגמה.

החלונית 'התראות' עבור מקרה Microsoft Defender הפורטל

כברירת מחדל, ההתראות מסודרות בסדר כרונולוגי כדי לאפשר לך לראות כיצד המתקפה תקפה עם הזמן. בעת בחירת התראה בתוך מקרה, Microsoft Defender XDR מציג את פרטי ההתראה הספציפיים להקשר של האירוע הכולל.

באפשרותך לראות את האירועים של ההתראה, אילו התראות מופעלות אחרות גרמו להתראה הנוכחית, ואת כל הישויות והפעילויות המושפעות המעורבות בתקיפה, כולל מכשירים, קבצים, משתמשים, אפליקציות בענן ותיבות דואר.

הנה דוגמה.

פרטי התראה בתוך אירוע בפורטל Microsoft Defender.

למד כיצד להשתמש בתור ההתראות ועמודי התראה ב'חקירת התראות'.

הערה

אם הקצאת גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview, באפשרותך להציג ולנהל התראות של ניהול סיכונים פנימיים ולצוד אירועים של ניהול סיכונים פנימיים בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה חקירת איומי סיכון פנימיים בפורטל Microsoft Defender שלך.

נכסים

הצג ונהל בקלות את כל הנכסים שלך במקום אחד באמצעות הכרטיסיה החדשה נכסים . תצוגה מאוחדת זו כוללת התקנים, משתמשים, תיבות דואר ויישומים.

הכרטיסיה נכסים מציגה את המספר הכולל של נכסים לצד שמה. רשימה של קטגוריות שונות עם מספר הנכסים בתוך קטגוריה זו מוצגת בעת בחירה בכרטיסיה נכסים.

הדף 'נכסים' עבור מקרה בפורטל Microsoft Defender שלך

התקנים

התצוגה מכשירים מפרטת את כל המכשירים הקשורים לתקרית. הנה דוגמה.

הדף 'מכשירים' עבור מקרה בפורטל Microsoft Defender שלך

בחירת מכשיר מהרשימה פותחת סרגל המאפשר לך לנהל את המכשיר שנבחר. באפשרותך לייצא, לנהל תגיות במהירות, ליזום חקירה אוטומטית ועוד.

באפשרותך לבחור את סימן הביקורת עבור מכשיר כדי לראות את פרטי המכשיר, נתוני מדריך הכתובות, ההתראות הפעילות והמשתמשים המחוברים. בחר את שם המכשיר כדי לראות את פרטי המכשיר במלאי המכשיר של Defender for Endpoint. הנה דוגמה.

האפשרויות 'מכשירים' בדף 'נכסים' Microsoft Defender הפורטל.

בדף המכשיר, באפשרותך לאסוף מידע נוסף אודות המכשיר, כגון כל ההתראות שלו, ציר זמן והמלצות אבטחה. לדוגמה, מהכרטיסיה ציר זמן, באפשרותך לגלול לאורך ציר הזמן של המכשיר, להציג את כל האירועים וה אופני הפעולה שנצפה במחשב בסדר כרונולוגי, כאשר ההתראות מוגדלות.

משתמשים

התצוגה משתמשים מפרטת את כל המשתמשים שזוהו כחלק מהתקרית או קשורים לה. הנה דוגמה.

הדף משתמשים בפורטל Microsoft Defender.

באפשרותך לבחור את סימן הביקורת עבור משתמש כדי לראות את הפרטים של האיום, החשיפה ופרטי הקשר של חשבון המשתמש. בחר את שם המשתמש כדי לראות פרטי חשבון משתמש נוספים.

למד כיצד להציג פרטי משתמשים נוספים ולנהל את המשתמשים של אירוע בחקירה של משתמשים.

תיבות דואר

התצוגה תיבות דואר מפרטת את כל תיבות הדואר שזוהו כחלק מהתקרית או קשורות לה. הנה דוגמה.

הדף 'תיבות דואר' עבור מקרה Microsoft Defender הפורטל.

באפשרותך לבחור את סימן הביקורת עבור תיבת דואר כדי לראות רשימה של התראות פעילות. בחר את שם תיבת הדואר כדי לראות פרטי תיבת דואר נוספים בדף הסייר Defender עבור Office 365.

יישומים

התצוגה יישומים מפרטת את כל היישומים המזוהים כחלק מהתקרית או קשורים לה. הנה דוגמה.

הדף 'יישומים' עבור מקרה Microsoft Defender הפורטל.

באפשרותך לבחור את סימן הביקורת עבור יישום כדי לראות רשימה של התראות פעילות. בחר את שם היישום כדי לראות פרטים נוספים בדף הסייר עבור יישומי ענן של Defender.

משאבי ענן

התצוגה משאבי ענן מפרטת את כל משאבי הענן המזוהים כחלק מהתקרית או קשורים לה. הנה דוגמה.

הדף 'משאבי ענן' עבור מקרה בפורטל Microsoft Defender שלך.

באפשרותך לבחור את סימן הביקורת עבור משאב ענן כדי לראות את פרטי המשאב ורשימה של התראות פעילות. בחר פתח דף משאבי ענן כדי לראות פרטים נוספים ולהצגת הפרטים המלאים שלו ב- Microsoft Defender עבור ענן.

חקירות

הכרטיסיה חקירות מפרטת את כל החקירות האוטומטיות שהופעלו על-ידי התראות באירוע זה. חקירות אוטומטיות יבצעו פעולות תיקון או ימתין לאישור אנליסט של פעולות, בהתאם לאופן שבו הגדרת את החקירות האוטומטיות שלך לפעול ב- Defender for Endpoint ו- Defender עבור Office 365.

הדף 'חקירות' עבור מקרה Microsoft Defender הפורטל

בחר חקירה כדי לנווט לדף הפרטים שלה לקבלת מידע מלא על מצב החקירה והתיקון. אם קיימות פעולות ממתינות לאישור כחלק מהחקירה, הן יופיעו בכרטיסיה פעולות ממתינות . בצע פעולה כחלק מתיקון תקריות.

קיימת גם כרטיסיה של גרף חקירה המציגה:

  • חיבור ההתראות אל הנכסים המושפעים בארגון שלך.
  • אילו ישויות קשורות להתראות ולאופן שבו הן חלק מהכתבה על ההתקפה.
  • ההתראות על המקרה.

גרף החקירות עוזר לך להבין במהירות את היקף התקיפה המלא על-ידי חיבור הישויות החשודות השונות שהם חלק מהמתקפה עם הנכסים הקשורים שלהן, כגון משתמשים, מכשירים ותיבות דואר.

לקבלת מידע נוסף, ראה חקירה אוטומטית ותגובה Microsoft Defender XDR.

ראיות ותגובה

הכרטיסיה 'ראיות' ו'תגובה' מציגה את כל האירועים הנתמכים והישויות החשודות בהתראות באירוע. הנה דוגמה.

הדף 'ראיות ותגובה' עבור מקרה בפורטל Microsoft Defender החדש

Microsoft Defender XDR חוקר באופן אוטומטי את כל האירועים הנתמכים ואת הישויות החשודות של כל האירועים בהתראות, ומספק לך מידע על הודעות הדואר האלקטרוני, הקבצים, התהליכים, השירותים, כתובות ה- IP החשובות ועוד. פעולה זו מסייעת לך לזהות ולחסום במהירות איומים פוטנציאליים באירוע.

כל אחת מהישויות שנותחו מסומנת בפסק דין (זדוני, חשוד, נקי) ומצב תיקון. פעולה זו מסייעת לך להבין את מצב התיקון של התקרית כולה ואת השלבים הבאים שניתן לבצע.

אישור או דחייה של פעולות תיקון

עבור מקרים עם מצב תיקון של אישור ממתין, באפשרותך לאשר או לדחות פעולת תיקון, לפתוח בסייר או לצאת לחפש מתוך הכרטיסיה ראיות ותגובה. הנה דוגמה.

האפשרות 'אשר/דחה' בחלונית 'ראיות' ו'ניהול תגובות' עבור מקרה Microsoft Defender הפורטל.

סיכום

השתמש בדף סיכום כדי להעריך את החשיבות היחסית של האירוע ולגשת במהירות להתראות המשויכות ולישויות המושפעות. הדף ' סיכום' מעניק לך מבט מהיר על הדברים המובילים שיש להוסיף לתקרית.

צילום מסך שמראה את פרטי הסיכום של אירוע Microsoft Defender הפורטל.

המידע מאורגן בסעיפים אלה.

במקטע תיאור
התראות וקטגוריות תצוגה חזותית ומספרית של ההתקדמות המתקדמות של ההתקפה נגד שרשרת ההרוגים. בדומה למוצרי אבטחה אחרים של Microsoft, Microsoft Defender XDR מיושר למסגרת MITRE ATT&CK™. ציר הזמן של ההתראות מציג את הסדר הכרונולוגי שבו התרחשו ההתראות, עבור כל אחת מהן, המצב ושם ההתראות.
היקף מציג את מספר המכשירים, המשתמשים ותיבות הדואר המושפעים ומפרט את הישויות לפי רמת סיכון וקדימות חקירה.
התראות הצגת ההתראות המעורבות באירוע.
ראיה הצגת מספר הישויות המושפעות מהתקרית.
פרטי אירוע הצגת מאפייני האירוע, כגון תגיות, מצב וחומרה.

אירועים דומים

אירועים מסוימים עשויים לכלול מקרים דומים המפורטים בדף אירועים דומים. סעיף זה מציג מקרים הכוללים התראות, ישויות ומאפיינים דומים אחרים. הדבר יכול לעזור לך להבין את היקף ההתקפה ולזהות אירועים אחרים שעשויים להיות קשורים. הנה דוגמה.

צילום מסך שמראה את הכרטיסיה 'מקרים דומים' עבור מקרה Microsoft Defender הפורטל.

עצה

Defender Boxed, סדרת כרטיסים שמציגה את ההצלחות, השיפורים ופעולות התגובה של הארגון שלך במהלך ששת החודשים/השנה האחרונים, מופיעה למשך פרק זמן מוגבל במהלך ינואר ויולי של כל שנה. למד כיצד תוכל לשתף את נקודות מרכזיות ב- Defender Boxed .

השלבים הבאים

לפי הצורך:

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.