الملاحظات

الاستجابة للحوادث باستخدام Microsoft 365 Defender

  • مقالة
  • قراءة خلال 8 دقائق

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

  • Microsoft 365 Defender

الحادث في Microsoft 365 Defender هو مجموعة من التنبيهات المرتبطة والبيانات المرتبطة التي تشكل قصة الهجوم.

Microsoft 365 الخدمات والتطبيقات بإنشاء تنبيهات عندما تكتشف حدثا أو نشاطا مريبا أو ضارا. توفر التنبيهات الفردية أدلة قيمة حول هجوم مكتمل أو مستمر. ومع ذلك، تستخدم الهجمات عادة تقنيات مختلفة ضد أنواع مختلفة من الكيانات، مثل الأجهزة والمستخدمين وعلب البريد. والنتيجة هي تنبيهات متعددة لكيانات متعددة في المستأجر الخاص بك.

لأن تجميع التنبيهات الفردية معا للحصول على نظرة ثاقبة حول الهجوم يمكن أن يكون أمرا صعبا ويستغرق وقتا طويلا، Microsoft 365 Defender تجميع التنبيهات والمعلومات المرتبطة بها تلقائيا في حادث.

كيفية ربط Microsoft 365 Defender الأحداث من الكيانات بحادث.

شاهد هذه النظرة العامة القصيرة عن الحوادث في Microsoft 365 Defender (4 دقائق).


يمنحك تجميع التنبيهات ذات الصلة في حادث عرضا شاملا للهجوم. على سبيل المثال، يمكنك مشاهدة:

  • حيث بدأ الهجوم.
  • ما هي التكتيكات التي تم استخدامها.
  • إلى أي مدى وصل الهجوم إلى المستأجر الخاص بك.
  • نطاق الهجوم، مثل عدد الأجهزة والمستخدمين وعلب البريد التي تأثرت.
  • جميع البيانات المرتبطة بالهجوم.

إذا تم التمكين، يمكن Microsoft 365 Defender التحقيق في التنبيهات وحلها تلقائيا من خلال الأتمتة والذكاء الاصطناعي. يمكنك أيضا تنفيذ خطوات معالجة إضافية لحل الهجوم.

الحوادث والتنبيهات في مدخل Microsoft 365 Defender

يمكنك إدارة الحوادث من التنبيهات & الحوادث > الحوادث على التشغيل السريع لمدخل Microsoft 365 Defender. فيما يلي مثال على ذلك.

صفحة الحوادث في مدخل Microsoft 365 Defender.

يؤدي تحديد اسم الحدث إلى عرض ملخص للحادث وتوفير إمكانية الوصول إلى علامات التبويب بمعلومات إضافية. فيما يلي مثال على ذلك.

صفحة الملخص لحادث في مدخل Microsoft 365 Defender

علامات التبويب الإضافية لحادث ما هي:

  • التنبيهات

    جميع التنبيهات المتعلقة بالحادث ومعلوماتها.

  • الاجهزه

    جميع الأجهزة التي تم تحديدها لتكون جزءا من الحادث أو مرتبطة به.

  • المستخدمون

    جميع المستخدمين الذين تم تحديدهم ليكونوا جزءا من الحدث أو مرتبطين به.

  • صناديق البريد

    كافة علب البريد التي تم تحديدها لتكون جزءا من الحدث أو مرتبطة به.

  • التحقيقات

    جميع التحقيقات التلقائية التي تم تشغيلها بواسطة التنبيهات في الحادث.

  • الأدلة والاستجابة

    جميع الأحداث المدعومة والكيانات المشبوهة في تنبيهات الحادث.

  • Graph (معاينة)

    تمثيل مرئي للهجوم يربط الكيانات المشبوهة المختلفة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

فيما يلي العلاقة بين الحادث وبياناته وعلامات تبويب الحادث في مدخل Microsoft 365 Defender.

علاقة حدث وبياناته بعلامات تبويب حدث في مدخل Microsoft 365 Defender.

مثال على سير عمل الاستجابة للحوادث Microsoft 365 Defender

فيما يلي مثال على سير العمل للاستجابة للحوادث في Microsoft 365 مع مدخل Microsoft 365 Defender.

مثال على سير عمل الاستجابة للحوادث لمدخل Microsoft 365 Defender.

على أساس مستمر، حدد الحوادث ذات الأولوية القصوى للتحليل والحل في قائمة انتظار الحوادث واجهزها للاستجابة. هذا مزيج من:

  • الفرز لتحديد الحوادث ذات الأولوية القصوى من خلال تصفية قائمة انتظار الأحداث وفرزها.
  • إدارة الحوادث عن طريق تعديل عنوانها وتعيينها إلى محلل وإضافة علامات وتعليقات.

ضع في اعتبارك هذه الخطوات لسير عمل الاستجابة للحوادث:

  1. لكل حادث، ابدأ التحقيق والتحليل في الهجوم والتنبيه:

    1. عرض ملخص الحدث لفهم نطاقه وخطورة الكيانات المتأثرة بعلامة التبويب "ملخص" و"Graph (معاينة).

    2. ابدأ في تحليل التنبيهات لفهم أصلها ونطاقها وشدتها باستخدام علامة التبويب «Alerts ».

    3. كما تقتضي الحاجة، يمكنك جمع معلومات حول الأجهزة والمستخدمين وعلب البريد المتأثرة باستخدام علامات التبويب "الأجهزة" و" المستخدمون" و" علب البريد ".

    4. اطلع على كيفية حل Microsoft 365 Defender لبعض التنبيهات تلقائيا باستخدام علامة التبويب "التحقيقات".

    5. حسب الحاجة، استخدم المعلومات في مجموعة البيانات الخاصة بالحادث للحصول على مزيد من المعلومات باستخدام علامة التبويب "دليل" و"استجابة ".

  2. بعد تحليلك أو أثناءه، قم بإجراء الاحتواء لتقليل أي تأثير إضافي للهجوم والتقليل من تهديد الأمان.

  3. قدر الإمكان، قم بالتعافي من الهجوم عن طريق استعادة موارد المستأجر إلى الحالة التي كانت عليها قبل الحدث.

  4. حل الحادث وتستغرق بعض الوقت لتعلم ما بعد الحدث من أجل:

    • فهم نوع الهجوم وتأثيره.
    • ابحث في الهجوم في Threat Analytics ومجتمع الأمان عن اتجاه هجوم أمني.
    • تذكر سير العمل الذي استخدمته لحل الحدث وتحديث مهام سير العمل والعمليات والنهج ودلائل المبادئ القياسية حسب الحاجة.
    • حدد ما إذا كانت هناك حاجة إلى إجراء تغييرات في تكوين الأمان الخاص بك وتنفيذها.

إذا كنت جديدا على تحليل الأمان، فراجع مقدمة الاستجابة لحادثك الأول للحصول على معلومات إضافية وللخطوة خلال مثال على الحادث.

لمزيد من المعلومات حول الاستجابة للحوادث عبر منتجات Microsoft، راجع هذه المقالة.

أمثلة على عمليات الأمان Microsoft 365 Defender

فيما يلي مثال على عمليات الأمان (SecOps) Microsoft 365 Defender.

مثال على عمليات الأمان Microsoft 365 Defender

يمكن أن تتضمن المهام اليومية ما يلي:

يمكن أن تتضمن المهام الشهرية ما يلي:

يمكن أن تتضمن المهام ربع السنوية تقريرا وإحاطة نتائج الأمان إلى كبير مسؤولي أمن المعلومات (CISO).

يمكن أن تتضمن المهام السنوية إجراء حدث كبير أو تمرين خرق لاختبار موظفيك وأنظمتك وعملياتك.

يمكن استخدام المهام اليومية والشهرية والربع سنوية والسنوية لتحديث العمليات والسياسات وتكوينات الأمان أو تحسينها.

راجع دمج Microsoft 365 Defender في عمليات الأمان للحصول على مزيد من التفاصيل.

موارد SecOps عبر منتجات Microsoft

لمزيد من المعلومات حول SecOps عبر منتجات Microsoft، راجع هذه الموارد:

الحصول على إعلامات بالحوادث عبر البريد الإلكتروني

يمكنك إعداد Microsoft 365 Defender لإعلام موظفيك بالبريد الإلكتروني حول الحوادث الجديدة أو تحديثات الأحداث الحالية. يمكنك اختيار الحصول على إعلامات استنادا إلى:

  • خطورة الحادث.
  • مجموعة الأجهزة.
  • فقط في التحديث الأول لكل حادث.

يحتوي إعلام البريد الإلكتروني على تفاصيل مهمة حول الحادث مثل اسم الحادث والخطورة والفئات، من بين أمور أخرى. يمكنك أيضا الانتقال مباشرة إلى الحدث وبدء تحليلك على الفور. لمزيد من المعلومات، راجع التحقيق في الحوادث.

يمكنك إضافة مستلمين أو إزالتهم في إعلامات البريد الإلكتروني. يتم إعلام المستلمين الجدد بالحوادث بعد إضافتهم.

ملاحظة

تحتاج إلى إذن إدارة إعدادات الأمان لتكوين إعدادات إعلام البريد الإلكتروني. إذا اخترت استخدام إدارة الأذونات الأساسية، يمكن للمستخدمين الذين لديهم أدوار مسؤول الأمان أو المسؤول العام تكوين إعلامات البريد الإلكتروني.

وبالمثل، إذا كانت مؤسستك تستخدم التحكم في الوصول استنادا إلى الدور (RBAC)، يمكنك فقط إنشاء الإعلامات وتحريرها وحذفها وتلقيها استنادا إلى مجموعات الأجهزة المسموح لك بإدارتها.

إنشاء قاعدة لإعلامات البريد الإلكتروني

اتبع هذه الخطوات لإنشاء قاعدة جديدة وتخصيص إعدادات إعلام البريد الإلكتروني.

  1. في جزء التنقل، حدد الإعدادات > Microsoft 365 Defender > إعلامات البريد الإلكتروني للحوادث.

  2. حدد إضافة عنصر.

  3. في صفحة الأساسيات ، اكتب اسم القاعدة ووصفا، ثم حدد "التالي".

  4. في صفحة إعدادات الإعلام ، قم بتكوين:

    • خطورة التنبيه - اختر خطورة التنبيه التي ستقوم بتشغيل إعلام بالحادث. على سبيل المثال، إذا كنت تريد فقط أن تكون على علم بالحوادث عالية الخطورة، فحدد High.
    • نطاق مجموعة الأجهزة - يمكنك تحديد كافة مجموعات الأجهزة أو التحديد من قائمة مجموعات الأجهزة في المستأجر الخاص بك.
    • الإعلام فقط عند التكرار الأول لكل حادث - حدد ما إذا كنت تريد إعلاما فقط في التنبيه الأول الذي يطابق التحديدات الأخرى. لن ترسل التحديثات أو التنبيهات اللاحقة المتعلقة بالحادث إعلامات إضافية.
    • تضمين اسم المؤسسة في البريد الإلكتروني - حدد ما إذا كنت تريد أن يظهر اسم مؤسستك في إعلام البريد الإلكتروني.
    • تضمين ارتباط مدخل خاص بالمستأجر - حدد ما إذا كنت تريد إضافة ارتباط مع معرف المستأجر في إعلام البريد الإلكتروني للوصول إلى مستأجر Microsoft 365 معين.

    صفحة إعدادات الإعلامات لإعلامات البريد الإلكتروني للحوادث في مدخل Microsoft 365 Defender.

  5. حدد "التالي". في صفحة المستلمين ، أضف عناوين البريد الإلكتروني التي ستتلقى إعلامات الحادث. حدد "إضافة" بعد كتابة كل عنوان بريد إلكتروني جديد. لاختبار الإعلامات والتأكد من تلقي المستلمين لها في علب الوارد، حدد "إرسال بريد إلكتروني للاختبار".

  6. حدد "التالي". في صفحة قاعدة المراجعة ، راجع إعدادات القاعدة، ثم حدد إنشاء قاعدة. سيبدأ المستلمون في تلقي إعلامات الحوادث عبر البريد الإلكتروني استنادا إلى الإعدادات.

لتحرير قاعدة موجودة، حددها من قائمة القواعد. في الجزء الذي يتضمن اسم القاعدة، حدد "تحرير القاعدة " وأجر التغييرات على صفحات "الأساسيات" و" الإعلامات" و" المستلمون ".

لحذف قاعدة، حددها من قائمة القواعد. في الجزء الذي يحتوي على اسم القاعدة، حدد "حذف".

تدريب لمحللين أمنيين

استخدم وحدة التعلم هذه من Microsoft Learn لفهم كيفية استخدام Microsoft 365 Defender لإدارة الحوادث والتنبيهات.

التدريب: التحقيق في الحوادث باستخدام Microsoft 365 Defender
التحقيق في الحوادث باستخدام أيقونة التدريب Microsoft 365 Defender. Microsoft 365 Defender توحيد بيانات التهديد من خدمات متعددة وتستخدم الذكاء الاصطناعي لدمجها في الحوادث والتنبيهات. تعرف على كيفية تقليل الوقت بين الحدث وإدارته للاستجابة اللاحقة وحلها.

27 دقيقة - 6 وحدات

بدء >

الخطوات التالية

استخدم الخطوات المدرجة استنادا إلى مستوى خبرتك أو دورك في فريق الأمان.

مستوى الخبرة

اتبع هذا الجدول للحصول على مستوى خبرتك في تحليل الأمان والاستجابة للحوادث.

مستوي الخطوات
الجديد
  1. راجع معاينة الاستجابة للحدث الأول للحصول على جولة إرشادية لعملية نموذجية للتحليل والمعالجة ومراجعة ما بعد الحدث في مدخل Microsoft 365 Defender مع مثال على الهجوم.
  2. تعرف على الحوادث التي يجب ترتيب أولوياتها استنادا إلى الخطورة وعوامل أخرى.
  3. إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافةها استنادا إلى سير عمل إدارة الحوادث.
ذوي الخبره
  1. ابدأ في قائمة انتظار الأحداث من صفحة الحوادث في مدخل Microsoft 365 Defender. من هنا يمكنك:
    • تعرف على الحوادث التي يجب ترتيب أولوياتها استنادا إلى الخطورة وعوامل أخرى.
    • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافةها استنادا إلى سير عمل إدارة الحوادث.
    • إجراء التحقيقات في الحوادث.
  2. تعقب التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث الاستباقي عن التهديدات مع تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورش كلمة المرور، وهجمات منح الموافقة على التطبيق.

دور فريق الأمان

اتبع هذا الجدول استنادا إلى دور فريق الأمان.

دور الخطوات
مستجيب للحوادث (المستوى 1) ابدأ في قائمة انتظار الأحداث من صفحة الحوادث في مدخل Microsoft 365 Defender. من هنا يمكنك:
  • تعرف على الحوادث التي يجب ترتيب أولوياتها استنادا إلى الخطورة وعوامل أخرى.
  • إدارة الحوادث، والتي تتضمن إعادة تسمية العلامات والتعليقات وتعيينها وتصنيفها وإضافةها استنادا إلى سير عمل إدارة الحوادث.
المحقق أو المحلل الأمني (المستوى 2)
  1. إجراء التحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender.
  2. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورش كلمة المرور، وهجمات منح الموافقة على التطبيق.
محلل أمان متقدم أو متتبع التهديدات (المستوى 3)
  1. إجراء التحقيقات في الحوادث من صفحة الحوادث في مدخل Microsoft 365 Defender.
  2. تعقب التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات.
  3. البحث الاستباقي عن التهديدات مع تتبع التهديدات المتقدمة.
  4. راجع أدلة مبادئ الاستجابة للحوادث هذه للحصول على إرشادات مفصلة للتصيد الاحتيالي، ورش كلمة المرور، وهجمات منح الموافقة على التطبيق.
مدير SOC تعرف على كيفية دمج Microsoft 365 Defender في مركز عمليات الأمان (SOC).