الملاحظات

التحقيق في الحوادث في Microsoft 365 Defender

  • مقالة
  • قراءة خلال 5 دقائق

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

  • Microsoft 365 Defender

Microsoft 365 Defender تجميع جميع التنبيهات والأصول والتحقيقات والأدلة ذات الصلة من جميع أجهزتك والمستخدمين وعلب البريد في حادث لمنحك نظرة شاملة على النطاق الكامل للهجوم.

ضمن حادث ما، يمكنك تحليل التنبيهات التي تؤثر على شبكتك، وفهم ما تعنيه، وتجميع الأدلة حتى تتمكن من وضع خطة معالجة فعالة.

التحقيق الأولي

قبل التعمق في التفاصيل، ألق نظرة على خصائص الحادث وملخصه.

يمكنك البدء بتحديد الحدث من عمود علامة الاختيار. فيما يلي مثال على ذلك.

تحديد حدث في مدخل Microsoft 365 Defender

عند القيام بذلك، يفتح جزء ملخص مع معلومات أساسية حول الحادث، مثل الخطورة، لمن تم تعيينه له، وفئات MITRE ATT&CK™ للحدث. فيما يلي مثال على ذلك.

الجزء الذي يعرض تفاصيل الملخص لحادث في مدخل Microsoft 365 Defender.

من هنا، يمكنك تحديد فتح صفحة الحدث. يؤدي ذلك إلى فتح الصفحة الرئيسية للحادث حيث ستجد المزيد من المعلومات الموجزة وعلامات التبويب للتنبيهات والأجهزة والمستخدمين والتحقيقات والأدلة.

يمكنك أيضا فتح الصفحة الرئيسية لحدث ما عن طريق تحديد اسم الحدث من قائمة انتظار الحدث.

الملخص

تمنحك صفحة الملخص نظرة سريعة على أهم الأشياء التي يجب ملاحظتها حول الحادث.

المعلومات الموجزة لحادث في مدخل Microsoft 365 Defender

يتم تنظيم المعلومات في هذه الأقسام.

قسم الوصف
التنبيهات والفئات طريقة عرض مرئية ورقمية لمدى تقدم الهجوم مقابل سلسلة القتل. كما هو الحال مع منتجات أمان Microsoft الأخرى، تتم محاذاة Microsoft 365 Defender مع إطار عمل MITRE ATT&CK™. يعرض المخطط الزمني للتنبيهات الترتيب الزمني الذي حدثت به التنبيهات ولكل حالة واسم.
نطاق يعرض عدد الأجهزة والمستخدمين وعلب البريد المتأثرة ويسرد الكيانات بترتيب مستوى المخاطر وأولوية التحقيق.
الادله عرض عدد الكيانات المتأثرة بالحادث.
معلومات الحادث يعرض خصائص الحدث، مثل العلامات والحالة والخطورة.

استخدم صفحة الملخص لتقييم الأهمية النسبية للحادث والوصول بسرعة إلى التنبيهات المرتبطة والكيانات المتأثرة.

التنبيهات

في علامة التبويب «Alerts »، يمكنك عرض قائمة انتظار التنبيه للتنبيهات المتعلقة بالحادث ومعلومات أخرى حولها مثل:

  • شده.
  • الكيانات التي شاركت في التنبيه.
  • مصدر التنبيهات (Microsoft Defender for Identity، Microsoft Defender لنقطة النهاية، Microsoft Defender لـ Office 365، و Defender for Cloud Apps، والوظيفة الإضافية لإدارة التطبيقات).
  • سبب ارتباطهما معا.

فيما يلي مثال على ذلك.

جزء التنبيهات لحادث في مدخل Microsoft 365 Defender

بشكل افتراضي، يتم ترتيب التنبيهات ترتيبا زمنيا للسماح لك برؤية كيفية تشغيل الهجوم بمرور الوقت. عند تحديد تنبيه داخل حدث، Microsoft 365 Defender يعرض معلومات التنبيه الخاصة بسياق الحدث العام.

يمكنك مشاهدة أحداث التنبيه، والتي تسببت فيها التنبيهات الأخرى التي تم تشغيلها في التنبيه الحالي، وجميع الكيانات والأنشطة المتأثرة التي ينطوي عليها الهجوم، بما في ذلك الأجهزة والملفات والمستخدمين وعلب البريد.

فيما يلي مثال على ذلك.

تفاصيل تنبيه داخل حدث في مدخل Microsoft 365 Defender.

تحتوي صفحة تنبيه الحادث على الأقسام التالية:

  • قصة التنبيه، والتي تتضمن:

    • ماذا حدث

    • الإجراءات المتخذة

    • الأحداث ذات الصلة

  • خصائص التنبيه في الجزء الأيمن (الحالة والتفاصيل والوصف وغيرها)

لن يحتوي كل تنبيه على جميع الأقسام الفرعية المدرجة في قسم قصة التنبيه .

تعرف على كيفية استخدام صف التنبيه وصفحات التنبيه في التحقيق في التنبيهات.

الاجهزه

تسرد علامة التبويب "الأجهزة " جميع الأجهزة المتعلقة بالحادث. فيما يلي مثال على ذلك.

صفحة الأجهزة لحادث في مدخل Microsoft 365 Defender

يمكنك تحديد علامة الاختيار لجهاز للاطلاع على تفاصيل الجهاز وبيانات الدليل والتنبيهات النشطة والمستخدمين الذين سجلوا دخولهم. حدد اسم الجهاز للاطلاع على تفاصيل الجهاز في مخزون جهاز Defender لنقطة النهاية. فيما يلي مثال على ذلك.

الصفحة المتعلقة بخيار مخزون الجهاز في Microsoft Defender لنقطة النهاية.

من صفحة الجهاز، يمكنك جمع معلومات إضافية حول الجهاز، مثل جميع تنبيهاته، وجدول زمني، وتوصيات الأمان. على سبيل المثال، من علامة التبويب "الخط الزمني "، يمكنك التمرير عبر المخطط الزمني للجهاز وعرض جميع الأحداث والسلوكيات التي تمت ملاحظتها على الجهاز بترتيب زمني، يتقاطع مع التنبيهات التي تم رفعها.

تلميح

يمكنك إجراء عمليات فحص حسب الطلب على صفحة الجهاز. في مدخل Microsoft 365 Defender، اختر نقاط النهاية > مخزون الجهاز. حدد جهازا يحتوي على تنبيهات، ثم قم بتشغيل فحص مكافحة الفيروسات. يتم تعقب الإجراءات، مثل عمليات فحص مكافحة الفيروسات، وتكون مرئية على صفحة مخزون الجهاز . لمعرفة المزيد، راجع فحص Run Defender Antivirus على الأجهزة.

المستخدمون

تسرد علامة التبويب "المستخدمون " جميع المستخدمين الذين تم تعريفهم ليكونوا جزءا من الحدث أو مرتبطين به. فيما يلي مثال على ذلك.

صفحة المستخدمين في مدخل Microsoft 365 Defender.

يمكنك تحديد علامة الاختيار لمستخدم للاطلاع على تفاصيل مخاطر حساب المستخدم والتعرض له ومعلومات الاتصال به. حدد اسم المستخدم للاطلاع على تفاصيل حساب المستخدم الإضافية.

تعرف على كيفية عرض معلومات إضافية للمستخدم وإدارة مستخدمي حدث في التحقيق مع المستخدمين.

صناديق البريد

تسرد علامة التبويب "علب البريد " كافة علب البريد التي تم تعريفها لتكون جزءا من الحدث أو مرتبطة به. فيما يلي مثال على ذلك.

صفحة علب البريد لحدث في مدخل Microsoft 365 Defender.

يمكنك تحديد علامة الاختيار لعلبة بريد لعرض قائمة بالتنبيهات النشطة. حدد اسم علبة البريد للاطلاع على تفاصيل علبة البريد الإضافية على صفحة "المستكشف" Defender لـ Office 365.

التحقيقات

تسرد علامة التبويب "التحقيقات " جميع التحقيقات التلقائية التي تم تشغيلها بواسطة التنبيهات في هذا الحادث. ستقوم التحقيقات التلقائية بتنفيذ إجراءات المعالجة أو انتظار موافقة المحلل على الإجراءات، اعتمادا على كيفية تكوين التحقيقات التلقائية لتشغيلها في Defender لنقطة النهاية Defender لـ Office 365.

صفحة التحقيقات لحادث في مدخل Microsoft 365 Defender

حدد التحقيق للانتقال إلى صفحة التفاصيل الخاصة به للحصول على معلومات كاملة حول حالة التحقيق والمعالجة. إذا كان هناك أي إجراءات معلقة للموافقة عليها كجزء من التحقيق، فستظهر في علامة تبويب محفوظات الإجراءات المعلقة . اتخاذ إجراء كجزء من معالجة الحادث.

هناك أيضا علامة تبويب رسم بياني للتحقيق تظهر:

  • اتصال التنبيهات بالأصول المتأثرة في مؤسستك.
  • الكيانات المرتبطة بالتنبيهات وكيفية أنها جزء من قصة الهجوم.
  • التنبيهات الخاصة بالحادث.

يساعدك الرسم البياني للتحقيق على فهم النطاق الكامل للهجوم بسرعة من خلال ربط مختلف الكيانات المشبوهة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

لمزيد من المعلومات، راجع التحقيق التلقائي والاستجابة في Microsoft 365 Defender.

الأدلة والاستجابة

تعرض علامة التبويب "دليل" و"استجابة " جميع الأحداث المدعومة والكيانات المشبوهة في التنبيهات في الحدث. فيما يلي مثال على ذلك.

صفحة الأدلة والاستجابة لحادث في مدخل Microsoft 365 Defender

Microsoft 365 Defender التحقيق تلقائيا في جميع الأحداث المدعومة من الأحداث والكيانات المشبوهة في التنبيهات، ما يوفر لك معلومات حول رسائل البريد الإلكتروني والملفات والعمليات والخدمات وعناوين IP الهامة والمزيد. يساعدك هذا على الكشف بسرعة عن التهديدات المحتملة في الحادث وحظرها.

يتم وضع علامة على كل كيان من الكيانات التي تم تحليلها بحكم (ضار، مريب، نظيف) وحالة معالجة. يساعدك هذا على فهم حالة المعالجة للحادث بأكمله والخطوات التالية التي يمكن اتخاذها.

Graph (معاينة)

تظهر علامة تبويب Graph النطاق الكامل للهجوم، وكيفية انتشار الهجوم عبر شبكتك بمرور الوقت، ومن أين بدأ، وإلى أي مدى ذهب المهاجم. وهو يربط مختلف الكيانات المشبوهة التي تشكل جزءا من الهجوم بأصولها ذات الصلة مثل المستخدمين والأجهزة وعلب البريد.

من علامة التبويب Graph، يمكنك:

  1. قم بتشغيل التنبيهات والعقد على الرسم البياني كما حدثت بمرور الوقت لفهم ترتيب الهجوم.

    تشغيل التنبيهات والعقد على صفحة Graph

  2. افتح جزء كيان، مما يسمح لك بمراجعة تفاصيل الكيان والعمل على إجراءات المعالجة، مثل حذف ملف أو عزل جهاز.

    جزء الكيان في صفحة Graph في مدخل Microsoft 365 Defender

  3. قم بتمييز التنبيهات استنادا إلى الكيان المرتبط بها.

    تمييز تنبيه على صفحة Graph

الخطوات التالية

حسب الحاجة:

راجع أيضًا