ربط نتائج الاستعلام بحدث

ينطبق على:

• Microsoft Defender XDR

يمكنك استخدام الارتباط إلى ميزة الحدث لإضافة نتائج استعلام تتبع متقدمة إلى حادث جديد أو موجود قيد التحقيق. تساعدك هذه الميزة على التقاط السجلات بسهولة من أنشطة التتبع المتقدمة، والتي تمكنك من إنشاء مخطط زمني أو سياق أكثر ثراء للأحداث المتعلقة بالحادث.

ربط النتائج بالحوادث الجديدة أو الحالية

1. في صفحة استعلام التتبع المتقدم، أدخل الاستعلام أولا في حقل الاستعلام المتوفر ثم حدد تشغيل الاستعلام للحصول على نتائجك.

   

2. في صفحة النتائج، حدد الأحداث أو السجلات المرتبطة بتحقيق جديد أو حالي تعمل عليه، ثم حدد ارتباط بالحادث.

   

3. ابحث عن قسم Alert details في جزء Link to incident، ثم حدد Create new incident لتحويل الأحداث إلى تنبيهات وتجميعها إلى حادث جديد:

   أو حدد ارتباط بحادث موجود لإضافة السجلات المحددة إلى سجل موجود. اختر الحادث ذي الصلة من القائمة المنسدلة للحوادث الموجودة. يمكنك أيضا إدخال الأحرف القليلة الأولى من اسم الحدث أو المعرف للعثور على الحادث الحالي.

   

4. لأي من التحديدين، قم بتوفير التفاصيل التالية، ثم حدد التالي:

   • عنوان التنبيه - قم بتوفير عنوان وصفي للنتائج التي يمكن لمستجيبي الحوادث فهمها. يصبح هذا العنوان الوصفي عنوان التنبيه.
   • الخطورة - اختر الخطورة المطبقة على مجموعة التنبيهات.
   • الفئة - اختر فئة التهديد المناسبة للتنبيهات.
   • الوصف - قدم وصفا مفيدا للتنبيهات المجمعة.
   • الإجراءات الموصى بها - توفير إجراءات المعالجة.

5. في قسم Entities ، يمكنك العثور على الكيانات المستخدمة لربط التنبيهات الأخرى بالحادث المرتبط. كما تظهر في صفحة الحدث. يمكنك مراجعة الكيانات المحددة مسبقا المصنفة على النحو التالي:

   أ. الأصول المتأثرة – يمكن أن تكون الأصول المتأثرة بالأحداث المحددة:

   • حساب
   • Device
   • صندوق بريد
   • تطبيق السحابة
   • مورد Azure
   • مورد Amazon Web Services
   • مورد Google Cloud Platform

   ب. الأدلة ذات الصلة - غير الأصول التي تظهر في الأحداث المحددة. أنواع الكيانات المدعومة هي:

   • عملية
   • ملف
   • قيمة السجل
   • IP
   • تطبيق OAuth
   • DNS
   • مجموعة الأمان
   • عنوان URL
   • نظام مجموعة البريد
   • رسالة بريد

6. بعد تحديد نوع كيان، حدد نوع معرف موجود في السجلات المحددة بحيث يمكن استخدامه لتعريف هذا الكيان. يحتوي كل نوع كيان على قائمة بالمعرفات المدعومة، كما يمكن رؤيته في القائمة المنسدلة ذات الصلة. اقرأ الوصف المعروض عند التمرير فوق كل معرف لفهمه بشكل أفضل.

7. بعد تحديد المعرف، حدد عمودا من نتائج الاستعلام التي تحتوي على المعرف المحدد. يمكنك تحديد استكشاف الاستعلام والنتائج لفتح لوحة سياق التتبع المتقدمة. يسمح لك هذا باستكشاف الاستعلام والنتائج للتأكد من اختيار العمود الصحيح للمعرف المحدد.
   
   في مثالنا، استخدمنا استعلاما للعثور على الأحداث المتعلقة بحادث النقل غير المصرح للبريد الإلكتروني المحتمل، وبالتالي فإن علبة بريد المستلم وحساب المستلم هما الكيانات المتأثرة، وIP الخاص بالمرسل بالإضافة إلى رسالة البريد الإلكتروني هي أدلة ذات صلة.

   

   يتم إنشاء تنبيه مختلف لكل سجل مع مجموعة فريدة من الكيانات المتأثرة. في مثالنا، إذا كانت هناك ثلاث علب بريد مختلفة للمستلم ومجموعات معرف كائن المستلم، على سبيل المثال، يتم إنشاء ثلاثة تنبيهات وربطها بالحادث المختار.

8. حدد التالي.

9. راجع التفاصيل التي قدمتها في قسم الملخص.

10. حدد تم.

عرض السجلات المرتبطة في الحدث

يمكنك تحديد الارتباط الذي تم إنشاؤه من الخطوة الموجزة للمعالج أو تحديد اسم الحدث من قائمة انتظار الحدث، لعرض الحدث الذي ترتبط به الأحداث.

في مثالنا، تم ربط التنبيهات الثلاثة، التي تمثل الأحداث الثلاثة المحددة، بنجاح بحادث جديد. في كل صفحة من صفحات التنبيه، يمكنك العثور على المعلومات الكاملة حول الحدث أو الأحداث في طريقة عرض المخطط الزمني (إذا كانت متوفرة) وعرض نتائج الاستعلام.

يمكنك أيضا تحديد الحدث من طريقة عرض المخطط الزمني أو من طريقة عرض نتائج الاستعلام لفتح جزء فحص السجل .

تصفية الأحداث المضافة باستخدام التتبع المتقدم

يمكنك عرض التنبيهات التي تم إنشاؤها من التتبع المتقدم عن طريق تصفية الحوادث والتنبيهات حسب مصدر الكشف اليدوي .