مشاركة عبر

التنقل في أحداث Microsoft Sentinel وفرزها وإدارتها في مدخل Microsoft Azure

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal

توضح هذه المقالة كيفية التنقل وتشغيل الفرز الأساسي على الحوادث في مدخل Microsoft Azure.

المتطلبات الأساسية

  • مطلوب تعيين دور مستجيب Microsoft Sentinel للتحقيق في الحوادث.

    تعرف على المزيد حول الأدوار في Microsoft Sentinel.

  • إذا كان لديك مستخدم ضيف يحتاج إلى تعيين حوادث، فيجب تعيين دور قارئ الدليل للمستخدم في مستأجر Microsoft Entra. يتم تعيين هذا الدور بشكل افتراضي للمستخدمين العاديين (غير المثيرين للاشمئزاز).

  1. من قائمة التنقل في Microsoft Sentinel، ضمن Threat management، حدد Incidents.

    تمنحك صفحة الحوادث معلومات أساسية حول جميع الحوادث المفتوحة. على سبيل المثال:

    Screenshot of view of incident severity.

    • عبر الجزء العلوي من الشاشة، لديك شريط أدوات يتضمن إجراءات يمكنك اتخاذها خارج حادث معين - إما على الشبكة ككل، أو على عدة حوادث محددة. لديك أيضا عدد الحوادث المفتوحة، سواء كانت جديدة أو نشطة، وعدد الحوادث المفتوحة حسب الخطورة.

    • في الجزء المركزي، لديك شبكة حوادث، وهي قائمة بالحوادث كما تمت تصفيتها بواسطة عناصر تحكم التصفية في أعلى القائمة، وشريط بحث للعثور على حوادث معينة.

    • على الجانب، لديك جزء تفاصيل يعرض معلومات مهمة حول الحدث المميز في القائمة المركزية، بالإضافة إلى أزرار لاتخاذ إجراءات محددة معينة فيما يتعلق بهذا الحادث.

  2. قد يكون لدى فريق عمليات الأمان لديك قواعد أتمتة لتنفيذ الفرز الأساسي للحوادث الجديدة وتعيينها للموظفين المناسبين.

    في هذه الحالة، قم بتصفية قائمة الحوادث حسب المالك لتحديد القائمة بالحوادث المعينة لك أو لفريقك. تمثل هذه المجموعة التي تمت تصفيتها حمل العمل الشخصي الخاص بك.

    وإلا، يمكنك إجراء الفرز الأساسي بنفسك. ابدأ بتصفية قائمة الأحداث حسب معايير التصفية المتوفرة، سواء كانت الحالة أو الخطورة أو اسم المنتج. لمزيد من المعلومات، راجع البحث عن الحوادث.

  3. فرز حادث معين واتخاذ إجراء أولي على الفور، مباشرة من جزء التفاصيل في صفحة الحوادث ، دون الحاجة إلى إدخال صفحة التفاصيل الكاملة للحادث. على سبيل المثال:

    • التحقيق في أحداث Microsoft Defender XDR في Microsoft Defender XDR: اتبع رابط التحقيق في Microsoft Defender XDR للتمحور حول الحادث المتوازي في مدخل Defender. تتم مزامنة أي تغييرات تجريها على الحدث في Microsoft Defender XDR مع نفس الحدث في Microsoft Sentinel.

    • فتح قائمة المهام المعينة: تعرض الحوادث التي تم تعيين مهام لها عدد المهام المكتملة والإجمالية وارتباط عرض التفاصيل الكاملة. اتبع الارتباط لفتح صفحة مهام الحادث لمشاهدة قائمة المهام لهذا الحدث.

    • تعيين ملكية الحدث إلى مستخدم أو مجموعة عن طريق التحديد من القائمة المنسدلة المالك .

      Screenshot of assigning incident to user.

      يظهر المستخدمون والمجموعات المحددة مؤخرا في أعلى القائمة المنسدلة المصورة.

    • قم بتحديث حالة الحدث (على سبيل المثال، من جديد إلى نشط أو مغلق) عن طريق التحديد من القائمة المنسدلة الحالة . عند إغلاق حادث، يطلب منك تحديد سبب. لمزيد من المعلومات، راجع إغلاق حادث.

    • قم بتغيير خطورة الحدث عن طريق التحديد من القائمة المنسدلة Severity .

    • أضف علامات لتصنيف الحوادث. قد تحتاج إلى التمرير لأسفل إلى أسفل جزء التفاصيل لمعرفة مكان إضافة العلامات.

    • أضف تعليقات لتسجيل الإجراءات والأفكار والأسئلة والمزيد. قد تحتاج إلى التمرير لأسفل إلى أسفل جزء التفاصيل لمعرفة مكان إضافة التعليقات.

  4. إذا كانت المعلومات الموجودة في جزء التفاصيل كافية لمطالبة المزيد من إجراءات المعالجة أو التخفيف، فحدد الزر Actions في الأسفل للقيام بأحد الإجراءات التالية:

    الإجراء ‏‏الوصف
    التحقيق استخدم أداة التحقيق الرسومية لاكتشاف العلاقات بين التنبيهات والكيانات والأنشطة، سواء داخل هذا الحدث أو عبر الحوادث الأخرى.
    تشغيل دليل المبادئ قم بتشغيل دليل مبادئ حول هذا الحدث لاتخاذ إجراءات إثراء أو تعاون أو استجابة معينة مثل مهندسي SOC الذين ربما قاموا بتوفيرها.
    إنشاء قاعدة التنفيذ التلقائي إنشاء قاعدة أتمتة تعمل فقط على حوادث مثل هذه (التي تم إنشاؤها بواسطة نفس قاعدة التحليلات) في المستقبل، من أجل تقليل حمل العمل المستقبلي أو لحساب تغيير مؤقت في المتطلبات (مثل اختبار الاختراق).
    إنشاء فريق (معاينة) أنشئ فريقا في Microsoft Teams للتعاون مع أفراد أو فرق أخرى عبر الأقسام في التعامل مع الحادث.

    على سبيل المثال:

    لقطة شاشة لقائمة الإجراءات التي يمكن تنفيذها في حادث من جزء التفاصيل.

  5. إذا كانت هناك حاجة إلى مزيد من المعلومات حول الحادث، فحدد عرض التفاصيل الكاملة في جزء التفاصيل لفتح تفاصيل الحادث والاطلاع عليها بالكامل، بما في ذلك التنبيهات والكيانات في الحدث، وقائمة بالحوادث المماثلة، وأعلى الرؤى المحددة.

البحث عن الحوادث

للعثور على حادث معين بسرعة، أدخل سلسلة بحث في مربع البحث أعلى شبكة الحوادث واضغط على Enter لتعديل قائمة الحوادث المعروضة وفقاً لذلك. إذا لم يتم تضمين الحادث في النتائج، فقد تحتاج إلى تضييق نطاق البحث باستخدام خيارات البحث المتقدمة.

لتعديل معلمات البحث، حدد الزر بحث ثم حدد المعلمات التي تريد تشغيل البحث فيها.

على سبيل المثال:

Screenshot of the incident search box and button to select basic and/or advanced search options.

بشكل افتراضي، يتم تشغيل عمليات البحث عن الحوادث عبر قيم معرف الحادثالعنوانالعلاماتالمالك اسم المنتج فقط. في جزء البحث، مرر لأسفل القائمة لتحديد معلمة أخرى واحدة أو أكثر للبحث، وحدد تطبيق لتحديث معلمات البحث. حدد تعيين إلى افتراضي إعادة تعيين المعلمات المحددة إلى الخيار الافتراضي.

إشعار

تدعم عمليات البحث في الحقل المالك كلاً من الأسماء وعناوين البريد الإلكتروني.

يؤدي استخدام خيارات البحث المتقدم إلى تغيير سلوك البحث على النحو التالي:

سلوك البحث ‏‏الوصف
لون زر البحث يتغير لون زر البحث، اعتماداً على أنواع المعلمات المستخدمة حالياً في البحث.
  • طالما تم تحديد المعلمات الافتراضية فقط، يكون الزر رمادياً.
  • بمجرد تحديد معلمات مختلفة، مثل معلمات البحث المتقدم، يتحول الزر إلى اللون الأزرق.
التحديث التلقائي يمنعك استخدام معلمات البحث المتقدم من تحديد تحديث نتائجك تلقائياً.
معلمات الكيان يتم دعم جميع معلمات الكيانات لعمليات البحث المتقدمة. عند البحث في أي معلمة كيان، يتم تشغيل البحث في كافة معلمات الكيان.
سلاسل البحث يتضمن البحث عن سلسلة من الكلمات جميع الكلمات الموجودة في استعلام البحث. سلاسل البحث حساسة لحالة الأحرف.
دعم عبر مساحة العمل عمليات البحث المتقدمة غير مدعومة لطرق العرض عبر مساحات العمل.
عدد نتائج البحث المعروضة عند استخدام معلمات البحث المتقدم، يتم عرض 50 نتيجة فقط في المرة الواحدة.

تلميح

إذا لم تتمكن من العثور على الحادث الذي تبحث عنه، فأزل معلمات البحث لتوسيع نطاق البحث. إذا كانت نتائج البحث تحتوي على عدد كبير جدا من العناصر، فأضف المزيد من الفلاتر لتضييق نطاق النتائج.

إغلاق حادث

بمجرد حل حدث معين (على سبيل المثال، عندما يصل التحقيق إلى نهايته)، قم بتعيين حالة الحدث إلى مغلق. عند القيام بذلك، يطلب منك تصنيف الحدث عن طريق تحديد سبب إغلاقه. هذه الخطوة إلزامية.

حدد تحديد التصنيف واختر أحد الإجراءات التالية من القائمة المنسدلة:

  • إيجابي حقيقي – نشاط مشبوه
  • إيجابي حميد – مريب ولكنه متوقع
  • إيجابي خاطئ – منطق تنبيه غير صحيح
  • إيجابية خاطئة – بيانات غير صحيحة
  • "Undetermined"

Screenshot that highlights the classifications available in the Select classification list.

لمزيد من المعلومات حول الإيجابيات الخاطئة والإيجابيات الحميدة، راجع التعامل مع الإيجابيات الخاطئة في Microsoft Azure Sentinel.

بعد اختيار التصنيف المناسب، أضف بعض النصوص الوصفية في الحقل تعليق. هذا مفيد في حال كنت بحاجة إلى الرجوع إلى هذا الحدث. حدد تطبيق عند الانتهاء، ويتم إغلاق الحدث.

لقطة شاشة لإغلاق حادث.

الخطوة التالية

لمزيد من المعلومات، راجع التحقيق في حوادث Microsoft Sentinel بعمق في مدخل Microsoft Azure