التحقيق في التنبيهات في Microsoft 365 Defender
ملاحظة
هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.
ينطبق على:
- Microsoft 365 Defender
ملاحظة
تصف هذه المقالة تنبيهات الأمان في Microsoft 365 Defender. ومع ذلك، يمكنك استخدام تنبيهات النشاط لإرسال إعلامات بالبريد الإلكتروني إلى نفسك أو إلى مسؤولين آخرين عندما يقوم المستخدمون بأنشطة معينة في Microsoft 365. لمزيد من المعلومات، راجع إنشاء تنبيهات النشاط - Microsoft Purview | Microsoft Docs.
التنبيهات هي أساس جميع الحوادث وتشير إلى حدوث أحداث ضارة أو مريبة في بيئتك. عادة ما تكون التنبيهات جزءا من هجوم أوسع وتوفر أدلة حول حادث.
في Microsoft 365 Defender، يتم تجميع التنبيهات ذات الصلة معا لتشكيل الحوادث. ستوفر الحوادث دائما السياق الأوسع للهجوم، ومع ذلك، يمكن أن يكون تحليل التنبيهات ذا قيمة عند الحاجة إلى تحليل أعمق.
تعرض قائمة انتظار التنبيهات مجموعة التنبيهات الحالية. يمكنك الوصول إلى قائمة انتظار التنبيهات من التنبيهات & الحوادث > التنبيهات على التشغيل السريع لمدخل Microsoft 365 Defender.
تظهر هنا تنبيهات من حلول أمان Microsoft المختلفة مثل Microsoft Defender لنقطة النهاية Microsoft Defender لـ Office 365 Microsoft 365 Defender.
بشكل افتراضي، تعرض قائمة انتظار التنبيهات في مدخل Microsoft 365 Defender التنبيهات الجديدة والمتقدمة من آخر 30 يوما. يوجد التنبيه الأحدث في أعلى القائمة حتى تتمكن من رؤيته أولا.
من قائمة انتظار التنبيهات الافتراضية، يمكنك تحديد "تصفية " لمشاهدة جزء "عامل التصفية "، الذي يمكنك من خلاله تحديد مجموعة فرعية من التنبيهات. فيما يلي مثال على ذلك.
يمكنك تصفية التنبيهات وفقا لهذه المعايير:
- شده
- حاله
- مصادر الخدمة
- الكيانات (الأصول المتأثرة)
- حالة التحقيق التلقائي
الأدوار المطلوبة لتنبيهات Defender لـ Office 365
ستحتاج إلى الحصول على أي من الأدوار التالية للوصول إلى تنبيهات Microsoft Defender لـ Office 365:
بالنسبة إلى أدوار Azure Active Directory (Azure AD) العمومية:
المسؤول العام
مسؤول الأمان
عامل تشغيل الأمان
القارئ العمومي
قارئ الأمان
مجموعات دور التوافق Office 365 الأمان &
مسؤول التوافق
إدارة المؤسسة
تحليل تنبيه
لمشاهدة صفحة التنبيه الرئيسية، حدد اسم التنبيه. فيما يلي مثال على ذلك.
يمكنك أيضا تحديد إجراء "فتح صفحة التنبيه الرئيسي " من جزء "إدارة التنبيه ".
تتكون صفحة التنبيه من هذه المقاطع:
- قصة التنبيه، وهي سلسلة الأحداث والتنبيهات المتعلقة بهذا التنبيه بترتيب زمني
- تفاصيل الملخص
في جميع أنحاء صفحة التنبيه، يمكنك تحديد علامات الحذف (...) إلى جانب أي كيان لرؤية الإجراءات المتاحة، مثل ربط التنبيه بحادث آخر. تعتمد قائمة الإجراءات المتوفرة على نوع التنبيه.
مصادر التنبيه
قد تأتي التنبيهات Microsoft 365 Defender من حلول مثل Microsoft Defender لنقطة النهاية، Microsoft Defender لـ Office 365، Microsoft Defender for Cloud Apps والوظيفة الإضافية لحوكمة التطبيق Microsoft Defender for Cloud Apps. قد تلاحظ تنبيهات ذات أحرف مسبقة في التنبيه. يوفر الجدول التالي إرشادات لمساعدتك على فهم تعيين مصادر التنبيه استنادا إلى الحرف الذي تم إلحاقه في التنبيه.
ملاحظة
- تكون معرفات واجهة المستخدم الرسومية التي تم تشغيلها مسبقا خاصة فقط بالتجارب الموحدة مثل قائمة انتظار التنبيهات الموحدة وصفحة التنبيهات الموحدة والتحقيق الموحد والحوادث الموحدة.
- لا يغير الحرف الذي تم تثبيته المعرف الفريد العمومي (GUID) للتنبيه. التغيير الوحيد إلى GUID هو المكون السابق.
| مصدر التنبيه | حرف مسبق |
|---|---|
| Microsoft Defender لـ Office 365 | fa{GUID} على سبيل المثال: fa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Endpoint | da أو ed لتنبيهات الكشف المخصصة |
| Microsoft Defender for Identity | aa{GUID} على سبيل المثال: aa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Cloud Apps | ca{GUID} على سبيل المثال: ca123a456b-c789-1d2e-12f1g33h445h6i |
تحليل الأصول المتأثرة
يحتوي قسم الإجراءات التي تم اتخاذها على قائمة بالأصول المتأثرة، مثل علب البريد والأجهزة والمستخدمين المتأثرين بهذا التنبيه.
يمكنك أيضا تحديد "عرض" في مركز الصيانة لعرض علامة التبويب "محفوظات" في مركز الصيانة في مدخل Microsoft 365 Defender.
تتبع دور التنبيه في قصة التنبيه
تعرض قصة التنبيه جميع الأصول أو الكيانات المتعلقة بالتنبيه في طريقة عرض شجرة العمليات. التنبيه في العنوان هو التنبيه الذي يتم التركيز عليه عند الوصول لأول مرة إلى صفحة التنبيه المحدد. الأصول في قصة التنبيه قابلة للتوسيع والنقر. وهي توفر معلومات إضافية وتسريع استجابتك من خلال السماح لك باتخاذ إجراء صحيح في سياق صفحة التنبيه.
ملاحظة
قد يحتوي قسم قصة التنبيه على أكثر من تنبيه واحد، مع ظهور تنبيهات إضافية متعلقة بنفس شجرة التنفيذ قبل التنبيه الذي حددته أو بعده.
عرض مزيد من معلومات التنبيه في صفحة التفاصيل
تعرض صفحة التفاصيل تفاصيل التنبيه المحدد، مع التفاصيل والإجراءات المتعلقة به. إذا قمت بتحديد أي من الأصول أو الكيانات المتأثرة في قصة التنبيه، تتغير صفحة التفاصيل لتوفير معلومات وإجراءات سياقية للكائن المحدد.
بمجرد تحديد كيان اهتمام، تتغير صفحة التفاصيل لعرض معلومات حول نوع الكيان المحدد، والمعلومات التاريخية عندما يكون متوفرا، وخيارات اتخاذ إجراء بشأن هذا الكيان مباشرة من صفحة التنبيه.
إدارة التنبيهات
لإدارة تنبيه، حدد "إدارة التنبيه " في قسم تفاصيل الملخص في صفحة التنبيه. للحصول على تنبيه واحد، إليك مثال على جزء إدارة التنبيه .
يسمح لك جزء "إدارة التنبيه " بعرض ما يلي أو تحديده:
حالة التنبيه (جديد، تم الحل، قيد التقدم).
حساب المستخدم الذي تم تعيين التنبيه له.
تصنيف التنبيه:
غير معين (الافتراضي).
إيجابية حقيقية مع نوع من التهديد. استخدم هذا التصنيف للتنبيهات التي تشير بدقة إلى تهديد حقيقي. يساعد تحديد نوع التهديد فريق الأمان على رؤية أنماط التهديد والعمل على الدفاع عن مؤسستك منها.
نشاط إعلامي متوقع مع نوع من النشاط. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
إيجابية خاطئة لأنواع التنبيهات التي تم إنشاؤها حتى عندما لا يكون هناك نشاط ضار. يساعد تصنيف التنبيهات على أنها إيجابية زائفة Microsoft 365 Defender على تحسين جودة الكشف الخاصة بها.
تعليق على التنبيه.
ملاحظة
إحدى طرق إدارة التنبيهات من خلال استخدام العلامات. يتم نشر إمكانية وضع العلامات Microsoft Defender لـ Office 365 بشكل تزايدي وهي قيد المعاينة حاليا.
حاليا، يتم تطبيق أسماء العلامات المعدلة فقط على التنبيهات التي تم إنشاؤها بعد التحديث. لن تعكس التنبيهات التي تم إنشاؤها قبل التعديل اسم العلامة المحدثة.
لإدارة مجموعة من التنبيهات المشابهة لتنبيه معين، حدد عرض التنبيهات المماثلة في مربع INSIGHT في قسم تفاصيل الملخص في صفحة التنبيه.
من جزء إدارة التنبيهات ، يمكنك بعد ذلك تصنيف جميع التنبيهات ذات الصلة في نفس الوقت. فيما يلي مثال على ذلك.
إذا تم تصنيف تنبيهات مماثلة بالفعل في الماضي، يمكنك توفير الوقت باستخدام توصيات Microsoft 365 Defender لمعرفة كيفية حل التنبيهات الأخرى. من قسم تفاصيل الملخص، حدد التوصيات.
توفر علامة التبويب التوصيات إجراءات الخطوة التالية ونصائح للتحقيق والمعالجة والوقاية. فيما يلي مثال على ذلك.
حل تنبيه
بمجرد الانتهاء من تحليل تنبيه ويمكن حله، انتقل إلى جزء "إدارة التنبيه " للتنبيه أو التنبيهات المماثلة وضع علامة على الحالة على أنها "تم حلها " ثم قم بتصنيفها على أنها إيجابية True مع نوع من التهديد، أو نشاط إعلامي، أو متوقع بنوع من النشاط، أو إيجابية خطأ.
يساعد تصنيف التنبيهات Microsoft 365 Defender على تحسين جودة الكشف.
استخدام Power Automate لفرز التنبيهات
تحتاج فرق عمليات الأمان الحديثة (SecOps) إلى التشغيل التلقائي للعمل بفعالية. للتركيز على تتبع التهديدات الحقيقية والتحقيق فيها، تستخدم فرق SecOps Power Automate لفرز قائمة التنبيهات والقضاء على تلك التي ليست تهديدات.
معايير لحل التنبيهات
تم تشغيل رسالة "خارج المكتب" للمستخدم
لا يتم وضع علامة على المستخدم على أنه خطر كبير
إذا كان كلاهما صحيحا، فإن SecOps يضع علامة على التنبيه على أنه سفر شرعي ويحله. يتم نشر إعلام في Microsoft Teams بعد حل التنبيه.
الاتصال Power Automate إلى Microsoft Defender for Cloud Apps
لإنشاء التشغيل التلقائي، ستحتاج إلى رمز مميز لواجهة برمجة التطبيقات قبل أن تتمكن من توصيل Power Automate Microsoft Defender for Cloud Apps.
انقر فوق الإعدادات، وحدد ملحقات الأمان، ثم انقر فوق "إضافة رمز مميز" في علامة التبويب "رموز API المميزة".
أدخل اسما للرمز المميز، ثم انقر فوق "إنشاء". احفظ الرمز المميز كما ستحتاج إليه لاحقا.
إنشاء تدفق تلقائي
للحصول على العملية المفصلة خطوة بخطوة، راجع الفيديو هنا.
يصف هذا الفيديو أيضا كيفية توصيل أتمتة الطاقة ب Defender for Cloud Apps.
الخطوات التالية
حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.
راجع أيضًا
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ