إدارة الأحداث في Microsoft 365 Defender

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

• Microsoft 365 Defender

إدارة الحوادث أمر بالغ الأهمية لضمان تسمية الأحداث وتعيينها ووضع علامات عليها لتحسين الوقت في سير عمل الحادث واحتواء التهديدات وعالجها بسرعة أكبر.

يمكنك إدارة الأحداث من تنبيهات & من > على الإطلاق السريع لمدخل Microsoft 365 Defender (security.microsoft.com). فيما يلي مثال على ذلك.

فيما يلي الطرق التي يمكنك من خلالها إدارة أحداثك:

• تحرير اسم الحادث
• إضافة علامات الأحداث
• تعيين الحادث إلى حساب مستخدم
• حلها
• تحديد تصنيفه
• إضافة تعليقات

يمكنك إدارة الأحداث من الجزء إدارة الأحداث لحادث ما. فيما يلي مثال على ذلك.

يمكنك عرض هذا الجزء من الارتباط إدارة الحادث على:

• جزء الخصائص لحادث في قائمة انتظار الأحداث.
• صفحة ملخص لحادث.

في الحالات التي تريد فيها نقل التنبيهات من حادث إلى آخر، يمكنك أيضا القيام بذلك من علامة التبويب تنبيهات، مما يؤدي إلى إنشاء حادث أكبر أو أصغر يتضمن كل التنبيهات ذات الصلة.

تحرير اسم الحادث

Microsoft 365 Defender تعيين اسم تلقائيا استنادا إلى سمات التنبيه مثل عدد نقاط النهاية المتأثرة أو المستخدمين المتأثرين أو مصادر الكشف أو الفئات. يسمح لك ذلك بفهم نطاق الحادث بسرعة. على سبيل المثال: حادث متعدد المراحل على نقاط نهاية متعددة تم اعجابها بواسطة مصادر متعددة.

يمكنك تحرير اسم الحادث من حقل اسم الحادث في الجزء إدارة الحادث.

ملاحظة

ستحتفظ الأحداث التي كانت موجودة قبل طرح ميزة تسمية الأحداث التلقائية باسمها.

إضافة علامات الأحداث

يمكنك إضافة علامات مخصصة إلى حادث، على سبيل المثال، وضع علامة على مجموعة من الأحداث ذات سمة مشتركة. يمكنك لاحقا تصفية قائمة انتظار الأحداث لكل الأحداث التي تحتوي على علامة معينة.

عندما تبدأ بالكتابة، يكون لديك الخيار الذي يمكنك تحديده من قائمة العلامات المستخدمة مسبقا والعلامات المحددة.

تعيين حادث

إذا لم يتم تعيين أي حادث بعد، يمكنك تحديد المربع تعيين إلى وتحديد حساب المستخدم. لإعادة تعيين حادث، قم بإزالة حساب التعيين الحالي عن طريق تحديد "x" إلى جانب اسم الحساب ثم حدد المربع تعيين إلى . تعيين ملكية حادث يعين الملكية نفسها لكل التنبيهات المقترنة به.

يمكنك الحصول على قائمة بالحوادث المعينة لك من خلال تصفية قائمة انتظار الأحداث.

1. من قائمة انتظار الأحداث، حدد عوامل التصفية.
2. في قسم تعيين الحادث ، قم بمسح تحديد الكل وحدد تعيين لي.
3. حدد تطبيق، ثم أغلق جزء عوامل التصفية.

يمكنك بعد ذلك حفظ عنوان URL الناتج في المستعرض كعلامة مرجعية لرؤية قائمة الأحداث المعينة لك بسرعة.

حل حادث

إذا تم حل الحادث، فحدد حل الحادث لنقل تبديل إلى اليمين. تجدر الإشارة إلى أن حل أي حادث يحل أيضا كل التنبيهات المرتبطة والنشطة ذات الصلة بالحادث.

يتم عرض الحادث الذي لم يتم حله ك نشط.

تحديد التصنيف

من الحقل تصنيف ، يمكنك تحديد ما إذا كان الحادث هو:

• غير تعيين (الإعداد الافتراضي).
• إيجابية حقيقية مع نوع من التهديدات. استخدم هذا التصنيف للحوادث التي تشير بدقة إلى وجود خطر حقيقي. يساعد تحديد نوع الخطر فريق الأمان على رؤية أنماط التهديدات والعمل على حماية مؤسستك منها.
• نشاط معلوماتي متوقع مع نوع نشاط. استخدم الخيارات في هذه الفئة لتصنيف الأحداث لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير المعتاد المتوقع من التطبيقات والمستخدمين الموثوق بهم.
• يمكن تجاهل الإيجابيات الخاطئة لأنواع الأحداث التي تحددها لأنها غير دقيقة أو مضللة من الناحية التقنية.

يساعد تصنيف الأحداث وتحديد الحالة ونوعها على ضبط Microsoft 365 Defender لتوفير تحديد أفضل للكشف مع مرور الوقت.

إضافة تعليقات

يمكنك إضافة تعليقات متعددة إلى حادث باستخدام الحقل تعليق . يضاف كل تعليق إلى الأحداث التاريخية للحادث. يمكنك الاطلاع على التعليقات والمحفوظات الخاصة بحادث من ارتباط التعليقات والمحفوظات على صفحة الملخص .

الخطوات التالية

بالنسبة للحوادث الجديدة، ابدأ التحقيق.

بالنسبة للحوادث الجارية، تابع التحقيق.

بالنسبة للحوادث التي تم حلها، يجب إجراء مراجعة بعد الحادث.

راجع أيضًا

• نظرة عامة حول الأحداث
• تحديد أولوية الأحداث
• التحقيق في الأحداث