الحوادث والتنبيهات في مدخل Microsoft Defender
تجمع منصة SecOps الموحدة من Microsoft في مدخل Microsoft Defender مجموعة موحدة من خدمات الأمان لتقليل تعرضك للتهديدات الأمنية، وتحسين وضع الأمان التنظيمي، واكتشاف التهديدات الأمنية، والتحقيق في الانتهاكات والاستجابة لها. تجمع هذه الخدمات وتنتج إشارات يتم عرضها في المدخل. النوعان الرئيسيان من الإشارات هما:
التنبيهات: الإشارات التي تنتج عن أنشطة مختلفة للكشف عن التهديدات. تشير هذه الإشارات إلى حدوث أحداث ضارة أو مشبوهة في بيئتك.
الحوادث: الحاويات التي تتضمن مجموعات من التنبيهات ذات الصلة وتروي القصة الكاملة للهجوم. قد تأتي التنبيهات في حادث واحد من جميع حلول الأمان والتوافق من Microsoft، وكذلك من أعداد هائلة من الحلول الخارجية التي تم جمعها من خلال Microsoft Sentinel Microsoft Defender for Cloud.
حوادث الارتباط والتحقيق
بينما يمكنك التحقيق في التهديدات التي توجهها التنبيهات الفردية إلى انتباهك والتخفيف من حدتها، فإن هذه التهديدات بحد ذاتها هي تكرارات معزولة لا تخبرك بأي شيء عن قصة هجوم أوسع ومعقدة. يمكنك البحث عن مجموعات من التنبيهات التي تنتمي إلى قصة هجوم واحدة والبحث فيها والتحقيق فيها وربطها، ولكن ذلك سيكلفك الكثير من الوقت والجهد والطاقة.
بدلا من ذلك، تقوم محركات الارتباط والخوارزميات في مدخل Microsoft Defender تلقائيا بتجميع التنبيهات ذات الصلة وربطها معا لتشكيل الحوادث التي تمثل قصص الهجوم الأكبر هذه. يحدد Defender إشارات متعددة على أنها تنتمي إلى نفس قصة الهجوم، باستخدام الذكاء الاصطناعي لمراقبة مصادر بيانات تتبع الاستخدام الخاصة به باستمرار وإضافة المزيد من الأدلة إلى الحوادث المفتوحة بالفعل. تحتوي الحوادث على جميع التنبيهات التي تعتبر مرتبطة ببعضها البعض وبالقصة الشاملة للهجوم، وتعرض القصة بأشكال مختلفة:
- المخططات الزمنية للتنبيهات والأحداث الأولية التي تستند إليها
- قائمة بالتكتيكات التي تم استخدامها
- القوائم لجميع المستخدمين والأجهزة والموارد الأخرى المعنية والمتأثرة
- تمثيل مرئي لكيفية تفاعل جميع اللاعبين في القصة
- سجلات عمليات التحقيق والاستجابة التلقائية التي Defender XDR بدءها وإكمالها
- مجموعات من الأدلة التي تدعم قصة الهجوم: حسابات المستخدمين السيئين ومعلومات الجهاز وعنوانه، والملفات والعمليات الضارة، والمعلومات الذكية ذات الصلة بالتهديدات، وما إلى ذلك
- ملخص نصي لقصة الهجوم
توفر لك الحوادث أيضا إطار عمل لإدارة وتوثيق التحقيقات والاستجابة للتهديدات. لمزيد من المعلومات حول وظائف الحوادث في هذا الصدد، راجع إدارة الحوادث في Microsoft Defender.
مصادر التنبيه والكشف عن التهديدات
تأتي التنبيهات في مدخل Microsoft Defender من العديد من المصادر. وتشمل هذه المصادر العديد من الخدمات التي تشكل جزءا من Microsoft Defender XDR، بالإضافة إلى خدمات أخرى بدرجات متفاوتة من التكامل مع مدخل Microsoft Defender.
على سبيل المثال، عند إلحاق Microsoft Sentinel بمدخل Microsoft Defender، يمكن لمحرك الارتباط في مدخل Defender الوصول إلى جميع البيانات الأولية التي تم استيعابها بواسطة Microsoft Sentinel، والتي يمكنك العثور عليها في جداول التتبع المتقدمة ل Defender.
ينشئ Microsoft Defender XDR نفسه أيضا تنبيهات. توفر قدرات الارتباط الفريدة Defender XDR طبقة أخرى من تحليل البيانات واكتشاف التهديدات لجميع الحلول غير التابعة ل Microsoft في ممتلكاتك الرقمية. تنتج هذه الاكتشافات تنبيهات Defender XDR، بالإضافة إلى التنبيهات التي توفرها بالفعل قواعد التحليلات الخاصة Microsoft Sentinel.
داخل كل من هذه المصادر، هناك آلية واحدة أو أكثر للكشف عن التهديدات تنتج تنبيهات استنادا إلى القواعد المحددة في كل آلية.
على سبيل المثال، يحتوي Microsoft Sentinel على أربعة محركات مختلفة على الأقل تنتج أنواعا مختلفة من التنبيهات، ولكل منها قواعدها الخاصة.
أدوات وأساليب التحقيق والاستجابة
يتضمن مدخل Microsoft Defender أدوات وأساليب لأتمتة أو المساعدة في فرز الحوادث والتحقيق فيها وحلها. يتم تقديم هذه الأدوات في الجدول التالي:
| الأداة/الأسلوب | الوصف |
|---|---|
| إدارة الحوادث والتحقيق فيها | تأكد من تحديد أولويات الحوادث وفقا للخطورة ثم العمل من خلالها للتحقيق. استخدم التتبع المتقدم للبحث عن التهديدات، واستباق التهديدات الناشئة باستخدام تحليلات التهديدات. |
| التحقيق في التنبيهات وحلها تلقائيا | إذا تم تمكينها للقيام بذلك، يمكن Microsoft Defender XDR التحقيق تلقائيا في التنبيهات وحلها من مصادر معرف Microsoft 365 و Entra من خلال الأتمتة والذكاء الاصطناعي. |
| تكوين إجراءات تعطيل الهجوم التلقائي | استخدم إشارات عالية الثقة تم جمعها من Microsoft Defender XDR Microsoft Sentinel لتعطيل الهجمات النشطة تلقائيا بسرعة الجهاز، والتي تحتوي على التهديد وتحد من التأثير. |
| تكوين قواعد التشغيل التلقائي Microsoft Sentinel | استخدم قواعد الأتمتة لأتمتة فرز الحوادث وتعيينها وإدارتها، بغض النظر عن مصدرها. ساعد كفاءة فريقك بشكل أكبر من خلال تكوين القواعد الخاصة بك لتطبيق العلامات على الحوادث استنادا إلى محتواها، وقمع الحوادث الصاخبة (الإيجابية الخاطئة)، وإغلاق الحوادث التي تم حلها والتي تفي بالمعايير المناسبة، وتحديد سبب وإضافة تعليقات. |
| التتبع بشكل استباقي مع التتبع المتقدم | استخدم Kusto Query Language (KQL) لفحص الأحداث بشكل استباقي في شبكتك عن طريق الاستعلام عن السجلات التي تم جمعها في مدخل Defender. يدعم التتبع المتقدم وضعا إرشاديا للمستخدمين الذين يبحثون عن راحة منشئ الاستعلام. |
| تسخير الذكاء الاصطناعي مع Microsoft Copilot للأمان | أضف الذكاء الاصطناعي لدعم المحللين مع مهام سير العمل اليومية المعقدة والمستغرقة للوقت. على سبيل المثال، يمكن أن تساعد Microsoft Copilot للأمان في التحقيق في الحوادث من طرف إلى طرف والاستجابة لها من خلال توفير قصص هجوم موصوفة بوضوح، وإرشادات معالجة قابلة للتنفيذ خطوة بخطوة، وتقارير ملخصة لنشاط الحادث، وتعقب KQL للغة الطبيعية، وتحليل التعليمات البرمجية للخبراء - تحسين كفاءة SOC عبر البيانات من جميع المصادر. هذه الإمكانية بالإضافة إلى الوظائف الأخرى المستندة إلى الذكاء الاصطناعي التي Microsoft Sentinel تجلبها إلى النظام الأساسي الموحد، في مجالات تحليلات سلوك المستخدم والكيان، واكتشاف الحالات الشاذة، والكشف عن التهديدات متعددة المراحل، والمزيد. |
تلميح
يظهر Defender Boxed، وهو عبارة عن سلسلة من البطاقات تعرض النجاحات الأمنية والتحسينات وإجراءات الاستجابة لمؤسستك في الأشهر الستة الماضية/ السنة، لفترة محدودة خلال شهري يناير ويوليو من كل عام. تعرف على كيفية مشاركة تمييزات Defender Boxed .
العناصر ذات الصلة
لمعرفة المزيد حول ارتباط التنبيه ودمج الحوادث في مدخل Defender، راجع التنبيهات والحوادث والارتباط في Microsoft Defender XDR