التحقيق في التنبيهات في Microsoft Defender XDR
ملاحظة
توضح هذه المقالة تنبيهات الأمان في Microsoft Defender XDR. ومع ذلك، يمكنك استخدام تنبيهات النشاط لإرسال إعلامات البريد الإلكتروني إلى نفسك أو إلى مسؤولين آخرين عندما يقوم المستخدمون بتنفيذ أنشطة محددة في Microsoft 365. لمزيد من المعلومات، راجع إنشاء تنبيهات النشاط - Microsoft Purview | Microsoft Docs.
التنبيهات هي أساس جميع الحوادث وتشير إلى حدوث أحداث ضارة أو مشبوهة في بيئتك. عادة ما تكون التنبيهات جزءا من هجوم أوسع وتوفر أدلة حول حادث.
في Microsoft Defender XDR، يتم تجميع التنبيهات ذات الصلة معا لتشكيل الحوادث. ستوفر الحوادث دائما السياق الأوسع للهجوم، ومع ذلك، يمكن أن يكون تحليل التنبيهات ذا قيمة عند الحاجة إلى تحليل أعمق.
تعرض قائمة انتظار التنبيهات المجموعة الحالية من التنبيهات. يمكنك الوصول إلى قائمة انتظار التنبيهات من الحوادث & التنبيهات > التنبيهات عند التشغيل السريع لمدخل Microsoft Defender.
تنبيهات من حلول أمان Microsoft مختلفة مثل Microsoft Defender لنقطة النهاية، Defender لـ Office 365، Microsoft Sentinel، Defender for Cloud، Defender for Identity، Defender for Cloud Apps، تظهر Defender XDR وحوكمة التطبيقات Microsoft Entra ID Protection ومنع فقدان بيانات Microsoft هنا.
بشكل افتراضي، تعرض قائمة انتظار التنبيهات في مدخل Microsoft Defender التنبيهات الجديدة والمتقدمة من الأيام السبعة الماضية. أحدث تنبيه في أعلى القائمة حتى تتمكن من رؤيته أولا. يمكنك أيضا العثور على العدد الإجمالي للتنبيهات في قائمة الانتظار المشار إليها بجانب شريط البحث. يختلف العدد الإجمالي للتنبيهات اعتمادا على عوامل التصفية المستخدمة في قائمة الانتظار.
من قائمة انتظار التنبيهات الافتراضية، يمكنك تحديد Filter لمشاهدة جميع عوامل التصفية المتوفرة التي يمكنك من خلالها تحديد مجموعة فرعية من التنبيهات. فيما يلي مثال.
يمكنك تصفية التنبيهات وفقا لهذه المعايير:
- شده
- حالة
- فئات
- مصادر الخدمة/الكشف
- العلامات
- قاعدة النهج/النهج
- نوع التنبيه
- اسم المنتج
- الكيانات (الأصول المتأثرة)
- حالة التحقيق التلقائي
- دفق البيانات (حمل العمل أو الموقع)
ملاحظة
يمكن للعملاء Microsoft Defender XDR الآن تصفية الحوادث مع التنبيهات حيث يتصل جهاز مخترق بأجهزة التكنولوجيا التشغيلية (OT) المتصلة بشبكة المؤسسة من خلال تكامل اكتشاف الجهاز Microsoft Defender ل IoT و Microsoft Defender لنقطة النهاية. لتصفية هذه الحوادث، حدد أي في مصادر الخدمة/الكشف، ثم حدد Microsoft Defender ل IoT في اسم المنتج أو راجع التحقيق في الحوادث والتنبيهات في Microsoft Defender ل IoT في مدخل Defender. يمكنك أيضا استخدام مجموعات الأجهزة لتصفية التنبيهات الخاصة بالموقع. لمزيد من المعلومات حول المتطلبات الأساسية ل Defender for IoT، راجع بدء استخدام مراقبة إنترنت الأشياء للمؤسسات في Microsoft Defender XDR.
يمكن أن يحتوي التنبيه على علامات النظام و/أو علامات مخصصة بخلفيات ألوان معينة. تستخدم العلامات المخصصة الخلفية البيضاء بينما تستخدم علامات النظام عادة ألوان خلفية حمراء أو سوداء. تحدد علامات النظام ما يلي في حادث:
- نوع من الهجوم، مثل برامج الفدية الضارة أو التصيد الاحتيالي لبيانات الاعتماد
- الإجراءات التلقائية، مثل التحقيق والاستجابة التلقائيين وتعطيل الهجوم التلقائي
- خبراء Defender يعالجون حادثا
- الأصول الهامة المشاركة في الحادث
تلميح
تقوم إدارة التعرض للأمان من Microsoft، استنادا إلى التصنيفات المحددة مسبقا، بوضع علامة تلقائيا على الأجهزة والهويات وموارد السحابة كأصل مهم. تضمن هذه الإمكانية الجاهزة حماية الأصول القيمة والأكثر أهمية للمؤسسة. كما أنه يساعد فرق عمليات الأمان على تحديد أولويات التحقيق والمعالجة. تعرف على المزيد حول إدارة الأصول الهامة.
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بمنتج تم إصداره مسبقا، والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
يمكنك البحث عن التنبيهات باستخدام نطاق زمني وتاريخ مخصص أو باستخدام شريط البحث للبحث عن تنبيهات محددة. للبحث عن التنبيهات ضمن تاريخ أو نطاق زمني محدد، حدد نطاق مخصص في منتقي التاريخ ثم حدد تواريخ وأوقات البدء والانتهاء.
للبحث عن تنبيهات معينة، أدخل مصطلح البحث في شريط البحث. يمكنك البحث عن التنبيهات استنادا إلى عنوان التنبيه أو معرف التنبيه.
الأدوار المطلوبة للتنبيهات Defender لـ Office 365
ستحتاج إلى أي من الأدوار التالية للوصول إلى التنبيهات Microsoft Defender لـ Office 365:
بالنسبة للأدوار العالمية Microsoft Entra:
- المسؤول العام
- مسؤول الأمان
- عامل تشغيل الأمان
- القارئ العام
- قارئ الأمان
مجموعات دور التوافق & الأمان Office 365
- مسؤول التوافق
- إدارة المؤسسة
ملاحظة
توصي Microsoft باستخدام الأدوار ذات الأذونات الأقل للحصول على أمان أفضل. يجب استخدام دور المسؤول العام، الذي لديه العديد من الأذونات، فقط في حالات الطوارئ عندما لا يكون هناك دور آخر مناسب.
تحليل تنبيه
لمشاهدة صفحة التنبيه الرئيسية، حدد اسم التنبيه. فيما يلي مثال.
يمكنك أيضا تحديد إجراء فتح صفحة التنبيه الرئيسية من جزء إدارة التنبيه .
تتكون صفحة التنبيه من هذه الأقسام:
- قصة التنبيه، وهي سلسلة الأحداث والتنبيهات المتعلقة بهذا التنبيه بترتيب زمني
- تفاصيل الملخص
في صفحة التنبيه، يمكنك تحديد علامات الحذف (...) بجانب أي كيان لمشاهدة الإجراءات المتوفرة، مثل ربط التنبيه بحادث آخر. تعتمد قائمة الإجراءات المتوفرة على نوع التنبيه.
مصادر التنبيه
تأتي التنبيهات Microsoft Defender XDR من حلول مثل Microsoft Defender لنقطة النهاية، Defender لـ Office 365، Defender for Identity، Defender for Cloud Apps، الوظيفة الإضافية لإدارة التطبيق ل منع فقدان البيانات Microsoft Defender for Cloud Apps Microsoft Entra ID Protection وMicrosoft. قد تلاحظ تنبيهات تحتوي على أحرف معلقة مسبقا في التنبيه. يوفر الجدول التالي إرشادات لمساعدتك على فهم تعيين مصادر التنبيه استنادا إلى الحرف الذي تم إلحاقه مسبقا في التنبيه.
ملاحظة
- تقتصر معرفات المستخدم الرسومية المكتملة مسبقا على التجارب الموحدة فقط مثل قائمة انتظار التنبيهات الموحدة وصفحة التنبيهات الموحدة والتحقيق الموحد والحوادث الموحدة.
- لا يغير الحرف الذي تم إلحاقه مسبقا GUID للتنبيه. التغيير الوحيد إلى GUID هو المكون الذي تم إلحاقه مسبقا.
| مصدر التنبيه | معرف التنبيه بالأحرف مسبقة الإنفاق |
|---|---|
| Microsoft Defender XDR | ra{GUID} ta{GUID} للتنبيهات من ThreatExpertsea{GUID} للتنبيهات من عمليات الكشف المخصصة |
| Microsoft Defender لـ Office 365 | fa{GUID} على سبيل المثال: fa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Endpoint | da{GUID} ed{GUID} للتنبيهات من عمليات الكشف المخصصة |
| Microsoft Defender للهوية | aa{GUID} ri{GUID} للتنبيهات من محرك الكشف عن XDRمثال: aa123a456b-c789-1d2e-12f1g33h445h6i، ri001122334455667788_-0123456789 |
| Microsoft Defender for Cloud Apps | ca{GUID} ma{GUID} للتنبيهات من اكتشافات ونهج إدارة التطبيقاتrm{GUID} للتنبيهات من محرك الكشف عن XDRعلى سبيل المثال: ca123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Entra ID Protection | ad{GUID} |
| إدارة التطبيقات | ma{GUID} |
| منع فقدان بيانات Microsoft | dl{GUID} |
| Microsoft Defender للسحابة | dc{GUID} |
| Microsoft Sentinel | sn{GUID} |
| إدارة المخاطر الداخلية لـ Microsoft Purview | ir{GUID} |
ملاحظة
إذا قمت بتوفير الوصول إلى إدارة المخاطر الداخلية في Microsoft Purview، يمكنك عرض وإدارة تنبيهات إدارة المخاطر الداخلية والبحث عن أحداث إدارة المخاطر الداخلية في مدخل Microsoft Defender. لمزيد من المعلومات، راجع التحقيق في تهديدات المخاطر الداخلية في مدخل Microsoft Defender.
تكوين خدمة تنبيه IP Microsoft Entra
انتقل إلى مدخل Microsoft Defender (security.microsoft.com)، وحدد الإعدادات>Microsoft Defender XDR.
من القائمة، حدد Alert service settings، ثم قم بتكوين خدمة التنبيه Microsoft Entra ID Protection.
بشكل افتراضي، يتم تمكين التنبيهات الأكثر صلة لمركز عمليات الأمان فقط. إذا كنت ترغب في الحصول على جميع عمليات الكشف عن مخاطر IP Microsoft Entra، يمكنك تغييرها في قسم إعدادات خدمة التنبيه.
يمكنك أيضا الوصول إلى إعدادات خدمة التنبيه مباشرة من صفحة الحوادث في مدخل Microsoft Defender.
هام
تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
تحليل الأصول المتأثرة
يحتوي قسم الإجراءات المتخذة على قائمة بالأصول المتأثرة، مثل علب البريد والأجهزة والمستخدمين المتأثرين بهذا التنبيه.
يمكنك أيضا تحديد عرض في مركز الصيانة لعرض علامة التبويب محفوظاتفي مركز الصيانة في مدخل Microsoft Defender.
تتبع دور التنبيه في قصة التنبيه
تعرض قصة التنبيه جميع الأصول أو الكيانات المتعلقة بالتنبيه في طريقة عرض شجرة العملية. التنبيه في العنوان هو التنبيه الذي يتم التركيز عليه عند وصولك لأول مرة إلى صفحة التنبيه المحدد. الأصول في قصة التنبيه قابلة للتوسيع ويمكن النقر فوقها. وهي توفر معلومات إضافية وتسريع استجابتك من خلال السماح لك باتخاذ إجراء صحيح في سياق صفحة التنبيه.
ملاحظة
قد يحتوي قسم قصة التنبيه على أكثر من تنبيه واحد، مع ظهور تنبيهات إضافية تتعلق بنفس شجرة التنفيذ قبل التنبيه الذي حددته أو بعده.
عرض مزيد من معلومات التنبيه على صفحة التفاصيل
تعرض صفحة التفاصيل تفاصيل التنبيه المحدد، مع التفاصيل والإجراءات المتعلقة به. إذا قمت بتحديد أي من الأصول أو الكيانات المتأثرة في قصة التنبيه، فستتغير صفحة التفاصيل لتوفير معلومات وإجراءات سياقية للكائن المحدد.
بمجرد تحديد كيان ذي أهمية، تتغير صفحة التفاصيل لعرض معلومات حول نوع الكيان المحدد، والمعلومات التاريخية عند توفره، وخيارات اتخاذ إجراء بشأن هذا الكيان مباشرة من صفحة التنبيه.
إدارة التنبيهات
لإدارة تنبيه، حدد إدارة التنبيه في قسم تفاصيل الملخص في صفحة التنبيه. للحصول على تنبيه واحد، إليك مثال على جزء إدارة التنبيه .
يسمح لك جزء إدارة التنبيه بعرض أو تحديد:
- حالة التنبيه (جديد، تم حله، قيد التقدم).
- حساب المستخدم الذي تم تعيين التنبيه له.
- تصنيف التنبيه:
- غير معين (افتراضي).
- إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للتنبيهات التي تشير بدقة إلى تهديد حقيقي. يؤدي تحديد نوع التهديد هذا إلى تنبيهات فريق الأمان الخاص بك لرؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
- نشاط إعلامي متوقع مع نوع من النشاط. استخدم هذا الخيار للتنبيهات الدقيقة تقنيا، ولكنها تمثل السلوك العادي أو نشاط التهديد المحاكي. تريد بشكل عام تجاهل هذه التنبيهات ولكنك تتوقعها لأنشطة مماثلة في المستقبل حيث يتم تشغيل الأنشطة بواسطة المهاجمين الفعليين أو البرامج الضارة. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
- إيجابية خاطئة بالنسبة إلى أنواع التنبيهات التي تم إنشاؤها حتى عندما لا يكون هناك نشاط ضار أو إنذار خاطئ. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات التي تم تحديدها عن طريق الخطأ كأحداث أو أنشطة عادية على أنها ضارة أو مريبة. على عكس التنبيهات الخاصة ب "النشاط المعلوماتي المتوقع"، والذي يمكن أن يكون مفيدا أيضا للقبض على التهديدات الحقيقية، لا تريد عموما رؤية هذه التنبيهات مرة أخرى. يساعد تصنيف التنبيهات على أنها إيجابية خاطئة Microsoft Defender XDR على تحسين جودة الكشف الخاصة بها.
- تعليق على التنبيه.
ملاحظة
في أغسطس 2022، تم إهمال قيم تحديد التنبيه المدعومة مسبقا (
AptوSecurityPersonnel) ولم تعد متوفرة عبر واجهة برمجة التطبيقات.إحدى طرق إدارة التنبيهات من خلال استخدام العلامات. إمكانية وضع العلامات على Microsoft Defender لـ Office 365 قيد المعاينة حاليا، ويتم طرحها بشكل متزايد.
حاليا، يتم تطبيق أسماء العلامات المعدلة فقط على التنبيهات التي تم إنشاؤها بعد التحديث. لن تعكس التنبيهات التي تم إنشاؤها قبل التعديل اسم العلامة المحدثة.
لإدارة مجموعة من التنبيهات المشابهة لتنبيه معين، حدد عرض تنبيهات مشابهة في مربع INSIGHT في قسم تفاصيل الملخص في صفحة التنبيه.
من جزء إدارة التنبيهات ، يمكنك بعد ذلك تصنيف جميع التنبيهات ذات الصلة في نفس الوقت. فيما يلي مثال.
إذا تم تصنيف تنبيهات مماثلة بالفعل في الماضي، يمكنك توفير الوقت باستخدام توصيات Microsoft Defender XDR لمعرفة كيفية حل التنبيهات الأخرى. من قسم تفاصيل الملخص، حدد Recommendations.
توفر علامة التبويب Recommendations إجراءات الخطوة التالية ونصائح للتحقيق والمعالجة والوقاية. فيما يلي مثال.
ضبط تنبيه
بصفتك محلل مركز عمليات الأمان (SOC)، تتمثل إحدى أهم المشكلات في فرز العدد الهائل من التنبيهات التي يتم تشغيلها يوميا. وقت المحلل ذو قيمة، ويرغب في التركيز فقط على التنبيهات عالية الخطورة والأولوية العالية. وفي الوقت نفسه، يطلب من المحللين أيضا فرز التنبيهات الأقل أولوية وحلها، والتي تميل إلى أن تكون عملية يدوية.
يوفر ضبط التنبيه، المعروف سابقا باسم منع التنبيه، القدرة على ضبط التنبيهات وإدارتها مسبقا. يؤدي هذا إلى تبسيط قائمة انتظار التنبيه وتوفير وقت الفرز عن طريق إخفاء التنبيهات أو حلها تلقائيا، في كل مرة يحدث فيها سلوك تنظيمي متوقع معين ويتم استيفاء شروط القاعدة.
تدعم قواعد ضبط التنبيه الشروط استنادا إلى أنواع الأدلة مثل الملفات والعمليات والمهام المجدولة وأنواع أخرى من الأدلة التي تؤدي إلى التنبيهات. بعد إنشاء قاعدة ضبط تنبيه، قم بتطبيقها على التنبيه المحدد أو أي نوع تنبيه يلبي الشروط المحددة لضبط التنبيه.
يلتقط ضبط التنبيه كتوفر عام التنبيهات فقط من Defender لنقطة النهاية. ومع ذلك، في المعاينة، يتم أيضا توسيع ضبط التنبيه ليشمل خدمات Microsoft Defender XDR الأخرى، بما في ذلك Defender لـ Office 365 وDefender for Identity Defender for Cloud Apps Microsoft Entra ID Protection ( Microsoft Entra IP)، وغيرها إذا كانت متوفرة على نظامك الأساسي وخطتك.
أنذر
نوصي باستخدام ضبط التنبيه بحذر، بالنسبة للسيناريوهات التي تؤدي فيها تطبيقات الأعمال الداخلية أو اختبارات الأمان المعروفة إلى نشاط متوقع ولا تريد رؤية التنبيهات.
إنشاء شروط القاعدة لضبط التنبيهات
إنشاء قواعد ضبط التنبيه من منطقة إعدادات Microsoft Defender XDR أو من صفحة تفاصيل التنبيه. حدد إحدى علامات التبويب التالية للمتابعة.
في مدخل Microsoft Defender، حدد الإعدادات > Microsoft Defender XDR > ضبط التنبيه.
حدد إضافة قاعدة جديدة لضبط تنبيه جديد، أو حدد صف قاعدة موجود لإجراء تغييرات. يؤدي تحديد عنوان القاعدة إلى فتح صفحة تفاصيل القاعدة، حيث يمكنك عرض قائمة بالتنبيهات المقترنة أو تحرير الشروط أو تشغيل القاعدة وإيقاف تشغيلها.
في جزء Tune alert ، ضمن Select service sources، حدد مصادر الخدمة حيث تريد تطبيق القاعدة. يتم عرض الخدمات التي لديك أذونات فيها فقط في القائمة. على سبيل المثال:
في منطقة الشروط ، أضف شرطا لمشغلات التنبيه. على سبيل المثال، إذا كنت تريد منع تشغيل تنبيه عند إنشاء ملف معين، فحدد شرطا للمشغل File:Custom ، وحدد تفاصيل الملف:
تختلف المشغلات المدرجة، اعتمادا على مصادر الخدمة التي حددتها. المشغلات هي جميع مؤشرات الاختراق (IOCs)، مثل الملفات والعمليات والمهام المجدولة وأنواع الأدلة الأخرى التي قد تؤدي إلى تنبيه، بما في ذلك البرامج النصية لواجهة فحص مكافحة البرامج الضارة (AMSI) أو أحداث Windows Management Instrumentation (WMI) أو المهام المجدولة.
لتعيين شروط قاعدة متعددة، حدد إضافة عامل تصفية واستخدم ANDوOR وخيارات التجميع لتحديد العلاقات بين أنواع الأدلة المتعددة التي تؤدي إلى التنبيه. يتم ملء خصائص الأدلة الإضافية تلقائيا كمجموعة فرعية جديدة، حيث يمكنك تحديد قيم الشرط الخاصة بك. قيم الشرط ليست حساسة لحالة الأحرف، وبعض الخصائص تدعم أحرف البدل.
في منطقة الإجراء في جزء ضبط التنبيه ، حدد الإجراء ذي الصلة الذي تريد أن تتخذه القاعدة، إما إخفاء التنبيه أو حل التنبيه.
أدخل اسما ذا معنى للتنبيه وتعليقا لوصف التنبيه، ثم حدد حفظ.
ملاحظة
يستند عنوان التنبيه (الاسم) إلى نوع التنبيه (IoaDefinitionId)، الذي يقرر عنوان التنبيه. يمكن أن يتغير تنبيهان يحتويان على نفس نوع التنبيه إلى عنوان تنبيه مختلف. تتوفر ميزة إخفاء التنبيه فقط في تنبيهات Defender لنقطة النهاية.
حل تنبيه
بمجرد الانتهاء من تحليل تنبيه ويمكن حله، انتقل إلى جزء إدارة التنبيه للتنبيه أو التنبيهات المماثلة وقم بوضع علامة على الحالة على أنها تم حلها ثم قم بتصنيفها على أنها إيجابية True مع نوع من التهديد أو نشاط إعلامي أو متوقع بنوع من النشاط أو إيجابي خاطئ.
يساعد تصنيف التنبيهات Microsoft Defender XDR على تحسين جودة الكشف الخاصة بها.
استخدام Power Automate لفرز التنبيهات
تحتاج فرق عمليات الأمان الحديثة (SecOps) إلى التشغيل التلقائي للعمل بفعالية. للتركيز على تتبع التهديدات الحقيقية والتحقيق فيها، تستخدم فرق SecOps Power Automate للفرز من خلال قائمة التنبيهات والقضاء على التنبيهات التي ليست تهديدات.
معايير لحل التنبيهات
- تم تشغيل رسالة خارج المكتب للمستخدم
- لا يتم وضع علامة على المستخدم على أنه عالي المخاطر
إذا كان كلاهما صحيحا، فإن SecOps يضع علامة على التنبيه على أنه سفر شرعي ويحله. يتم نشر إعلام في Microsoft Teams بعد حل التنبيه.
توصيل Power Automate Microsoft Defender for Cloud Apps
لإنشاء الأتمتة، ستحتاج إلى رمز مميز لواجهة برمجة التطبيقات قبل أن تتمكن من توصيل Power Automate Microsoft Defender for Cloud Apps.
افتح Microsoft Defender وحدد Settings>Cloud Apps>API token، ثم حدد Add token في علامة التبويب API tokens.
أدخل اسما للرمز المميز الخاص بك، ثم حدد إنشاء. احفظ الرمز المميز كما ستحتاج إليه لاحقا.
إنشاء تدفق تلقائي
شاهد هذا الفيديو القصير لمعرفة كيفية عمل الأتمتة بكفاءة لإنشاء سير عمل سلس وكيفية توصيل Power Automate Defender for Cloud Apps.
الخطوات التالية
حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.
راجع أيضًا
- نظرة عامة على الحوادث
- إدارة الأحداث
- التحقيق في الأحداث
- التحقيق في تنبيهات منع فقدان البيانات في Defender
- Microsoft Entra ID Protection
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.