مشاركة عبر

ارتباط التنبيه ودمج الحادث في مدخل Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية تجميع محرك الارتباط في مدخل Microsoft Defender وربط التنبيهات التي تم جمعها من جميع المصادر التي تنتجها وإرسالها إلى المدخل. وهو يشرح كيف ينشئ Defender الحوادث من هذه التنبيهات، وكيف يستمر في مراقبة تطورها، ودمج الحوادث معا إذا كان الوضع يتطلب ذلك. لمعرفة المزيد حول التنبيهات ومصادرها، وكيف تضيف الحوادث قيمة في مدخل Microsoft Defender، راجع الحوادث والتنبيهات في مدخل Microsoft Defender.

إنشاء الحدث وارتباط التنبيه

عند إنشاء التنبيهات بواسطة آليات الكشف المختلفة في مدخل Microsoft Defender، كما هو موضح في الحوادث والتنبيهات في مدخل Microsoft Defender، يتم وضعها في حوادث جديدة أو موجودة وفقا للمنطق التالي:

  • إذا كان التنبيه فريدا بما فيه الكفاية عبر جميع مصادر التنبيه ضمن إطار زمني معين، فإن Defender ينشئ حادثا جديدا ويضيف التنبيه إليه.
  • إذا كان التنبيه مرتبطا بشكل كاف بتنبيهات أخرى - من نفس المصدر أو عبر المصادر - ضمن إطار زمني معين، يضيف Defender التنبيه إلى حادث موجود.

المعايير المستخدمة من قبل مدخل Defender لربط التنبيهات معا في حادث واحد هي جزء من منطق الارتباط الداخلي الخاص به. هذا المنطق مسؤول أيضا عن إعطاء اسم مناسب للحادث الجديد.

الارتباط اليدوي للتنبيهات

على الرغم من أن Microsoft Defender تستخدم بالفعل آليات ارتباط متقدمة، فقد ترغب في تحديد ما إذا كان تنبيه معين ينتمي إلى حدث معين أم لا. في مثل هذه الحالة، يمكنك إلغاء ربط تنبيه من حادث وربطه بآخر. يجب أن ينتمي كل تنبيه إلى حادث، بحيث يمكنك إما ربط التنبيه بحادث موجود آخر، أو بحادث جديد تقوم بإنشائه على الفور.

لمزيد من المعلومات حول نقل تنبيه من حادث إلى آخر، راجع نقل التنبيهات من حادث إلى آخر في مدخل Microsoft Defender.

ارتباط الحادث ودمجه

لا تتوقف أنشطة الارتباط الخاصة بمدخل Defender عند إنشاء الحوادث. يستمر Defender في الكشف عن القواسم المشتركة والعلاقات بين الحوادث والتنبيهات عبر الحوادث. عندما يتم تحديد حادثين أو أكثر على أنهما متشابهان بشكل كاف، يدمج Defender الحوادث في حادث واحد.

معايير دمج الحوادث

يدمج محرك الارتباط ل Defender الحوادث عندما يتعرف على العناصر الشائعة بين التنبيهات في حوادث منفصلة، بناء على معرفته العميقة بالبيانات وسلوك الهجوم. وتشمل بعض هذه العناصر ما يلي:

  • الكيانات - أصول مثل المستخدمين والأجهزة وعلب البريد وغيرها
  • البيانات الاصطناعية - الملفات والعمليات ومرسلي البريد الإلكتروني وغيرهم
  • الإطارات الزمنية
  • تسلسلات الأحداث التي تشير إلى هجمات متعددة المراحل - على سبيل المثال، حدث النقر فوق بريد إلكتروني ضار يتبع عن كثب اكتشاف البريد الإلكتروني للتصيد الاحتيالي.

تفاصيل عملية الدمج

عند دمج حادثين أو أكثر، لا يتم إنشاء حدث جديد لاستيعابهما. بدلا من ذلك، يتم ترحيل محتويات حدث واحد ( "الحادث المصدر") إلى الحادث الآخر ( "الحادث الهدف")، ويتم إغلاق الحادث المصدر تلقائيا. لم يعد الحادث المصدر مرئيا أو متوفرا في مدخل Defender، ويتم إعادة توجيه أي مرجع إليه إلى الحدث الهدف. يظل الحدث المصدر، على الرغم من إغلاقه، متاحا في Microsoft Sentinel في مدخل Microsoft Azure.

اتجاه الدمج

يشير اتجاه دمج الحوادث إلى الحدث الذي هو المصدر والهدف. يتم تحديد هذا الاتجاه من خلال Microsoft Defender، استنادا إلى منطقها الداخلي الخاص، بهدف زيادة استبقاء المعلومات والوصول إليها إلى أقصى حد. لا يملك المستخدم أي إدخال في هذا القرار.

محتويات الحادث

تتم معالجة محتويات الحوادث بالطرق التالية:

  • تتم إزالة جميع التنبيهات الواردة في الحادث المصدر من الحادث المصدر وإضافتها إلى الحدث الهدف.
  • تتم إزالة أي علامات يتم تطبيقها على الحدث المصدر من الحادث المصدر وإضافتها إلى الحدث الهدف.
  • Redirected تتم إضافة علامة إلى الحدث المصدر.
  • تتبع الكيانات (الأصول وما إلى ذلك) التنبيهات المرتبطة بها.
  • تضاف قواعد التحليلات المسجلة على أنها متورطة في إنشاء الحادث المصدر إلى القواعد المسجلة في الحادث الهدف.
  • حاليا، لا يتم نقل التعليقات وإدخالات سجل النشاط في الحادث المصدر إلى الحدث الهدف.

لمشاهدة تعليقات الحدث المصدر وسجل النشاط، افتح الحدث في Microsoft Sentinel في مدخل Microsoft Azure. يتضمن سجل النشاط إغلاق الحدث وإضافة التنبيهات والعلامات والعناصر الأخرى المتعلقة بدمج الحوادث وإزالتها. تعزى هذه الأنشطة إلى الهوية Microsoft Defender XDR - ارتباط التنبيه.

عندما لا يتم دمج الحوادث

حتى عندما يشير منطق الارتباط إلى أنه يجب دمج حادثين، لا يدمج Defender الحوادث في ظل الظروف التالية:

  • أحد الحوادث له حالة "مغلق". لا يتم إعادة فتح الحوادث التي تم حلها.
  • يتم تعيين الحوادث المصدر والهدف إلى شخصين مختلفين.
  • تحتوي الحوادث المصدر والهدف على تصنيفين مختلفين (على سبيل المثال، إيجابي حقيقي وإيجابية خاطئة).
  • سيؤدي دمج الحادثين إلى زيادة عدد الكيانات في الحادث الهدف إلى أعلى من الحد الأقصى المسموح به.
  • يحتوي الحادثان على أجهزة في مجموعات أجهزة مختلفة كما هو محدد من قبل المؤسسة.
    (هذا الشرط غير ساري بشكل افتراضي؛ يجب تمكينه.)

الخطوات التالية

لمعرفة المزيد حول تحديد أولويات الحوادث وإدارتها، راجع المقالات التالية:

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

راجع أيضًا