الاستجابة للتنبيهات

5 دقائق

بمجرد أن يكون لديك مجموعة من التنبيهات، يمكنك تحديد تنبيه أمان لمعرفة المزيد حول الأحداث التي أدت إلى ذلك. ثم يمكنك معرفة الخطوات، إن وجدت، التي تحتاج إلى اتخاذها لصد الهجوم. يتم تجميع تنبيهات الأمان حسب النوع والتاريخ. يؤدي تحديد تنبيه الأمان إلى فتح طريقة عرض تحتوي على قائمة من التنبيهات، كما يوضح الشكل التالي:

Screenshot that shows the security alert details pane.

في هذه الحالة، تشير التنبيهات التي تم تشغيلها إلى نشاط المصادقة المشبوه. يتضمن كل تنبيه المعلومات التالية:

العمود الأول: خطورة التنبيه
العمود الثاني: نوع التنبيه
العمود الثالث: المورد المتأثر
العمود الرابع: وقت بدء النشاط
العمود الخامس: هدف تنبيه سلسلة وقف الهجمات
العمود السادس: حالة التنبيه

يقوم مهندس الأمان بمراجعة هذه المعلومات، وتحديد تنبيه، ثم تحديد View full details في جزء التنبيه للحصول على معلومات محددة حول:

ماذا حدث؟ (تم اكتشاف جهاز مخترق محتمل)
متى حدث ذلك؟ (الثلاثاء، 01 مارس، 2022 10:31:00 ص)
ما المورد الذي تمت مهاجمته؟ (CPSLab01001)
أين يوجد المورد؟ (اشتراك Azure)
ماذا يجب أن تفعل حيال ذلك؟ (اتخاذ إجراء)

Screenshot that shows the full details pane for an alert.

الاستجابة إلى تنبيهات الأمان

تحتوي منطقة ⁧⁧⁩⁩Alert details⁧⁧⁩⁩ على مزيد من التفاصيل حول هذا الحدث. تقدم هذه التفاصيل نظرة ثاقبة إلى ما الذي تسبب في تشغيل تنبيه الأمان، والمورد المستهدف، وعنوان IP المصدر، والتوصيات حول كيفية معالجة الحدث. في بعض الحالات، يكون عنوان بروتوكول الإنترنت المصدر فارغ (غير متوفر)، لأنه ليس كافة سجلات أحداث أمان Windows تتضمن عنوان بروتوكول الإنترنت.

تختلف خطوات الإصلاح المقترحة من قبل Defender for Cloud وفقًا للتنبيه الأمني. في بعض الحالات، قد تحتاج إلى استخدام قدرات Azure أخرى لتنفيذ المعالجة الموصى بها. حدد علامة التبويب Take action للاطلاع على توصيات المعالجة. على سبيل المثال، تتمثل معالجة هذا الهجوم في فرض كلمات مرور قوية أو استخدام الوصول في نفس الوقت (JIT) على المورد.

من علامة التبويب هذه، يمكنك بدء الفحص لفهم المخطط الزمني للهجوم بشكل أفضل، وكيفية حدوثه، والأنظمة التي من المحتمل أن تكون مخترقة. يمكنك أيضا معرفة بيانات الاعتماد التي تم استخدامها والحصول على تمثيل رسومي لسلسلة الهجوم بأكملها.

ربط تنبيهات الأمان معًا

غالبًا ما تؤدي الهجمات ضد الموارد المستندة إلى السحابة إلى توليد كميات كبيرة من البيانات، وقد يكون انتقاء كل التنبيهات الفردية عملية مرهقة لتحديد السبب الجذري. يتعقب Defender for Cloud تنبيهات الأمان الفردية، ولكنه يستخدم أيضًا البيانات الكبيرة وتقنيات التعلم الآلي لدمج التنبيهات المختلفة في الحوادث.

الحادث هو مجموعة من التنبيهات الفردية ذات الصلة. يعد الجمع بين التنبيهات ذات الصلة في الحوادث قدرة متقدمة ل Defender for Cloud ويتطلب ميزات أمان محسنة ل Microsoft Defender for Cloud.

من خلال تقديم التنبيهات ذات الصلة معًا، يمكن لمهندس الأمان رؤية «الصورة الكبيرة» بسرعة لما يحدث وبدء عملية صد الهجوم.

‏‫اختبر معلوماتك

صواب أم خطأ. الحركة الجانبيّة في سلسلة القتل السيبرانية هي فعل الانتقال جانبيًا إلى الخوادم المتصلة للحصول على قدر أكبر من الوصول إلى البيانات المحتملة.

صواب

خطأ

حدد أفضل تعريف لحادث Defender for Cloud.

حدث واحد يشير إلى اختراق أمني ناجح.

تم الإبلاغ عن تنبيه في لوحة معلومات الأمان.

مجموعة من التنبيهات الفردية ذات الصلة.

ما هي المعلومات غير الموجودة في تفاصيل التنبيه؟

عدد مرات حدوث هذا التنبيه.

أين يوجد المورد؟

ماذا يجب أن تفعل حيال ذلك؟

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة

الاستجابة إلى تنبيهات الأمان

ربط تنبيهات الأمان معًا

‏‫اختبر معلوماتك

الملاحظات