Share via

التحقيق في التنبيهات في Microsoft Defender XDR

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

ملاحظة

توضح هذه المقالة تنبيهات الأمان في Microsoft Defender XDR. ومع ذلك، يمكنك استخدام تنبيهات النشاط لإرسال إعلامات البريد الإلكتروني إلى نفسك أو إلى مسؤولين آخرين عندما يقوم المستخدمون بتنفيذ أنشطة محددة في Microsoft 365. لمزيد من المعلومات، راجع تنبيهات نشاط الإنشاء - Microsoft Purview | Microsoft Docs.

التنبيهات هي أساس جميع الحوادث وتشير إلى حدوث أحداث ضارة أو مشبوهة في بيئتك. عادة ما تكون التنبيهات جزءا من هجوم أوسع وتوفر أدلة حول حادث.

في Microsoft Defender XDR، يتم تجميع التنبيهات ذات الصلة معا لتشكيل الحوادث. ستوفر الحوادث دائما السياق الأوسع للهجوم، ومع ذلك، يمكن أن يكون تحليل التنبيهات ذا قيمة عند الحاجة إلى تحليل أعمق.

تعرض قائمة انتظار التنبيهات المجموعة الحالية من التنبيهات. يمكنك الوصول إلى قائمة انتظار التنبيهات من الحوادث & التنبيهات > التنبيهات عند التشغيل السريع لمدخل Microsoft Defender.

قسم التنبيهات في مدخل Microsoft Defender

تظهر هنا تنبيهات من حلول أمان Microsoft المختلفة مثل Microsoft Defender لنقطة النهاية Microsoft Defender لـ Office 365 Microsoft Defender XDR.

بشكل افتراضي، تعرض قائمة انتظار التنبيهات في مدخل Microsoft Defender التنبيهات الجديدة والمتقدمة من آخر 30 يوما. أحدث تنبيه في أعلى القائمة حتى تتمكن من رؤيته أولا.

من قائمة انتظار التنبيهات الافتراضية، يمكنك تحديد Filter لمشاهدة جزء Filter ، والذي يمكنك من خلاله تحديد مجموعة فرعية من التنبيهات. فيما يلي مثال.

قسم عوامل التصفية في مدخل Microsoft Defender.

يمكنك تصفية التنبيهات وفقا لهذه المعايير:

  • شده
  • حاله
  • مصادر الخدمة
  • الكيانات (الأصول المتأثرة)
  • حالة التحقيق التلقائي

الأدوار المطلوبة للتنبيهات Defender لـ Office 365

ستحتاج إلى أي من الأدوار التالية للوصول إلى التنبيهات Microsoft Defender لـ Office 365:

  • بالنسبة للأدوار العالمية Microsoft Entra:

    • المسؤول العام
    • مسؤول الأمان
    • عامل تشغيل الأمان
    • القارئ العام
    • قارئ الأمان

  • مجموعات دور التوافق & الأمان Office 365

    • مسؤول التوافق
    • إدارة المؤسسة

  • دور مخصص

تحليل تنبيه

لمشاهدة صفحة التنبيه الرئيسية، حدد اسم التنبيه. فيما يلي مثال.

لقطة شاشة تعرض تفاصيل تنبيه في مدخل Microsoft Defender

يمكنك أيضا تحديد إجراء فتح صفحة التنبيه الرئيسية من جزء إدارة التنبيه .

تتكون صفحة التنبيه من هذه الأقسام:

  • قصة التنبيه، وهي سلسلة الأحداث والتنبيهات المتعلقة بهذا التنبيه بترتيب زمني
  • تفاصيل الملخص

في صفحة التنبيه، يمكنك تحديد علامات الحذف (...) بجانب أي كيان لمشاهدة الإجراءات المتوفرة، مثل ربط التنبيه بحادث آخر. تعتمد قائمة الإجراءات المتوفرة على نوع التنبيه.

مصادر التنبيه

قد تأتي التنبيهات Microsoft Defender XDR من حلول مثل Microsoft Defender لنقطة النهاية، Microsoft Defender لـ Office 365، Microsoft Defender for Identity، Microsoft Defender for Cloud Apps، الوظيفة الإضافية لإدارة التطبيقات Microsoft Defender for Cloud Apps، Microsoft Entra ID Protection، ومنع فقدان البيانات من Microsoft. قد تلاحظ تنبيهات تحتوي على أحرف معلقة مسبقا في التنبيه. يوفر الجدول التالي إرشادات لمساعدتك على فهم تعيين مصادر التنبيه استنادا إلى الحرف الذي تم إلحاقه مسبقا في التنبيه.

ملاحظة

  • تقتصر معرفات المستخدم الرسومية المكتملة مسبقا على التجارب الموحدة فقط مثل قائمة انتظار التنبيهات الموحدة وصفحة التنبيهات الموحدة والتحقيق الموحد والحوادث الموحدة.
  • لا يغير الحرف الذي تم إلحاقه مسبقا GUID للتنبيه. التغيير الوحيد إلى GUID هو المكون الذي تم إلحاقه مسبقا.
مصدر التنبيه حرف معبأ مسبقا
Microsoft Defender XDR ra
ta ل ThreatExperts
ea ل DetectionSource = DetectionSource.CustomDetection
Microsoft Defender لـ Office 365 fa{GUID}
على سبيل المثال:fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint da أو ed لتنبيهات الكشف المخصصة
Microsoft Defender للهوية aa{GUID}
على سبيل المثال:aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
على سبيل المثال:ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad
إدارة التطبيقات ma
منع فقدان بيانات Microsoft dl

تكوين خدمة تنبيه IP Microsoft Entra

  1. انتقل إلى مدخل Microsoft Defender (security.microsoft.com)، وحدد الإعدادات>Microsoft Defender XDR.

  2. من القائمة، حدد Alert service settings، ثم قم بتكوين خدمة التنبيه Microsoft Entra ID Protection.

    لقطة شاشة لإعداد تنبيهات Microsoft Entra ID Protection في مدخل Microsoft Defender.

بشكل افتراضي، يتم تمكين التنبيهات الأكثر صلة لمركز عمليات الأمان فقط. إذا كنت ترغب في الحصول على جميع عمليات الكشف عن مخاطر IP Microsoft Entra، يمكنك تغييرها في قسم إعدادات خدمة التنبيه.

يمكنك أيضا الوصول إلى إعدادات خدمة التنبيه مباشرة من صفحة الحوادث في مدخل Microsoft Defender.

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

تحليل الأصول المتأثرة

يحتوي قسم الإجراءات المتخذة على قائمة بالأصول المتأثرة، مثل علب البريد والأجهزة والمستخدمين المتأثرين بهذا التنبيه.

يمكنك أيضا تحديد عرض في مركز الصيانة لعرض علامة التبويب محفوظاتفي مركز الصيانة في مدخل Microsoft Defender.

تتبع دور التنبيه في قصة التنبيه

تعرض قصة التنبيه جميع الأصول أو الكيانات المتعلقة بالتنبيه في طريقة عرض شجرة العملية. التنبيه في العنوان هو التنبيه الذي يتم التركيز عليه عند وصولك لأول مرة إلى صفحة التنبيه المحدد. الأصول في قصة التنبيه قابلة للتوسيع ويمكن النقر فوقها. وهي توفر معلومات إضافية وتسريع استجابتك من خلال السماح لك باتخاذ إجراء صحيح في سياق صفحة التنبيه.

ملاحظة

قد يحتوي قسم قصة التنبيه على أكثر من تنبيه واحد، مع ظهور تنبيهات إضافية تتعلق بنفس شجرة التنفيذ قبل التنبيه الذي حددته أو بعده.

عرض مزيد من معلومات التنبيه على صفحة التفاصيل

تعرض صفحة التفاصيل تفاصيل التنبيه المحدد، مع التفاصيل والإجراءات المتعلقة به. إذا قمت بتحديد أي من الأصول أو الكيانات المتأثرة في قصة التنبيه، فستتغير صفحة التفاصيل لتوفير معلومات وإجراءات سياقية للكائن المحدد.

بمجرد تحديد كيان ذي أهمية، تتغير صفحة التفاصيل لعرض معلومات حول نوع الكيان المحدد، والمعلومات التاريخية عند توفره، وخيارات اتخاذ إجراء بشأن هذا الكيان مباشرة من صفحة التنبيه.

إدارة التنبيهات

لإدارة تنبيه، حدد إدارة التنبيه في قسم تفاصيل الملخص في صفحة التنبيه. للحصول على تنبيه واحد، إليك مثال على جزء إدارة التنبيه .

لقطة شاشة لقسم إدارة التنبيه في مدخل Microsoft Defender

يسمح لك جزء إدارة التنبيه بعرض أو تحديد:

  • حالة التنبيه (جديد، تم حله، قيد التقدم).
  • حساب المستخدم الذي تم تعيين التنبيه له.
  • تصنيف التنبيه:
    • غير معين (افتراضي).
    • إيجابي حقيقي مع نوع من التهديد. استخدم هذا التصنيف للتنبيهات التي تشير بدقة إلى تهديد حقيقي. يؤدي تحديد نوع التهديد هذا إلى تنبيهات فريق الأمان الخاص بك لرؤية أنماط التهديد والتصرف للدفاع عن مؤسستك منها.
    • نشاط إعلامي متوقع مع نوع من النشاط. استخدم هذا الخيار للتنبيهات الدقيقة تقنيا، ولكنها تمثل السلوك العادي أو نشاط التهديد المحاكي. تريد بشكل عام تجاهل هذه التنبيهات ولكنك تتوقعها لأنشطة مماثلة في المستقبل حيث يتم تشغيل الأنشطة بواسطة المهاجمين الفعليين أو البرامج الضارة. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات لاختبارات الأمان ونشاط الفريق الأحمر والسلوك غير العادي المتوقع من التطبيقات والمستخدمين الموثوق بهم.
    • إيجابية خاطئة بالنسبة إلى أنواع التنبيهات التي تم إنشاؤها حتى عندما لا يكون هناك نشاط ضار أو إنذار خاطئ. استخدم الخيارات الموجودة في هذه الفئة لتصنيف التنبيهات التي تم تحديدها عن طريق الخطأ كأحداث أو أنشطة عادية على أنها ضارة أو مريبة. على عكس التنبيهات الخاصة ب "النشاط المعلوماتي المتوقع"، والذي يمكن أن يكون مفيدا أيضا للقبض على التهديدات الحقيقية، لا تريد عموما رؤية هذه التنبيهات مرة أخرى. يساعد تصنيف التنبيهات على أنها إيجابية خاطئة Microsoft Defender XDR على تحسين جودة الكشف الخاصة بها.
  • تعليق على التنبيه.

ملاحظة

في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا ("Apt" و"SecurityPersonnel") ولن تكون متاحة عبر واجهة برمجة التطبيقات.

ملاحظة

إحدى طرق إدارة التنبيهات من خلال استخدام العلامات. يتم طرح إمكانية وضع العلامات على Microsoft Defender لـ Office 365 بشكل متزايد وهي قيد المعاينة حاليا.

حاليا، يتم تطبيق أسماء العلامات المعدلة فقط على التنبيهات التي تم إنشاؤها بعد التحديث. لن تعكس التنبيهات التي تم إنشاؤها قبل التعديل اسم العلامة المحدثة.

لإدارة مجموعة من التنبيهات المشابهة لتنبيه معين، حدد عرض تنبيهات مشابهة في مربع INSIGHT في قسم تفاصيل الملخص في صفحة التنبيه.

لقطة شاشة لتحديد تنبيه في مدخل Microsoft Defender

من جزء إدارة التنبيهات ، يمكنك بعد ذلك تصنيف جميع التنبيهات ذات الصلة في نفس الوقت. فيما يلي مثال.

لقطة شاشة لإدارة التنبيهات ذات الصلة في مدخل Microsoft Defender

إذا تم تصنيف تنبيهات مماثلة بالفعل في الماضي، يمكنك توفير الوقت باستخدام توصيات Microsoft Defender XDR لمعرفة كيفية حل التنبيهات الأخرى. من قسم تفاصيل الملخص، حدد Recommendations.

لقطة شاشة لمثال على تحديد توصيات للتنبيه

توفر علامة التبويب Recommendations إجراءات الخطوة التالية ونصائح للتحقيق والمعالجة والوقاية. فيما يلي مثال.

لقطة شاشة لمثال على توصيات التنبيه

ضبط تنبيه

بصفتك محلل مركز عمليات الأمان (SOC)، تتمثل إحدى أهم المشكلات في فرز العدد الهائل من التنبيهات التي يتم تشغيلها يوميا. وقت المحلل ذو قيمة، ويرغب في التركيز فقط على التنبيهات عالية الخطورة والأولوية العالية. وفي الوقت نفسه، يطلب من المحللين أيضا فرز التنبيهات الأقل أولوية وحلها، والتي تميل إلى أن تكون عملية يدوية.

يوفر ضبط التنبيه القدرة على ضبط التنبيهات وإدارتها مسبقا. يؤدي هذا إلى تبسيط قائمة انتظار التنبيه وتوفير وقت الفرز عن طريق إخفاء التنبيهات أو حلها تلقائيا، في كل مرة يحدث فيها سلوك تنظيمي متوقع معين، ويتم استيفاء شروط القاعدة.

يمكنك إنشاء شروط القاعدة استنادا إلى "أنواع الأدلة" مثل الملفات والعمليات والمهام المجدولة والعديد من أنواع الأدلة الأخرى التي تؤدي إلى التنبيه. بعد إنشاء القاعدة، يمكنك تطبيق القاعدة على التنبيه المحدد أو أي نوع تنبيه يلبي شروط القاعدة لضبط التنبيه.

بالإضافة إلى ذلك، تغطي الميزة أيضا التنبيهات الواردة من مصادر خدمة Microsoft Defender XDR المختلفة. تحصل ميزة ضبط التنبيه في المعاينة العامة على تنبيهات من أحمال العمل مثل Defender لنقطة النهاية، Defender لـ Office 365، Defender for Identity، Defender for Cloud Apps، Microsoft Entra ID Protection (Microsoft Entra IP)، وغيرها، إذا كانت هذه المصادر متوفرة على النظام الأساسي والخطة. في السابق، لم تلتقط إمكانية ضبط التنبيه سوى التنبيهات من حمل عمل Defender لنقطة النهاية.

ملاحظة

نوصي باستخدام ضبط التنبيه، المعروف سابقا باسم منع التنبيه، بحذر. في بعض الحالات، يقوم تطبيق أعمال داخلي معروف أو اختبارات أمان بتشغيل نشاط متوقع ولا تريد رؤية هذه التنبيهات. لذلك، يمكنك إنشاء قاعدة لضبط أنواع التنبيهات هذه.

الإنشاء شروط القاعدة لضبط التنبيهات

هناك طريقتان لضبط تنبيه في Microsoft Defender XDR. لضبط تنبيه من صفحة الإعدادات :

  1. انتقل إلى الإعدادات. في الجزء الأيمن، انتقل إلى القواعد وحدد ضبط التنبيه.

    لقطة شاشة لخيار ضبط التنبيه في صفحة إعدادات Microsoft Defender XDR.

    حدد إضافة قاعدة جديدة لضبط تنبيه جديد. يمكنك أيضا تحرير قاعدة موجودة في طريقة العرض هذه عن طريق تحديد قاعدة من القائمة.

    لقطة شاشة لإضافة قواعد جديدة في صفحة ضبط التنبيه.

  2. في جزء ضبط التنبيه ، يمكنك تحديد مصادر الخدمة حيث تنطبق القاعدة في القائمة المنسدلة ضمن مصادر الخدمة.

    لقطة شاشة للقائمة المنسدلة لمصدر الخدمة في صفحة ضبط تنبيه.

    ملاحظة

    يتم عرض الخدمات التي يمتلك المستخدم الإذن لها فقط.

  3. أضف مؤشرات التسوية (IOCs) التي تقوم بتشغيل التنبيه ضمن قسم IOCs . يمكنك إضافة شرط لإيقاف التنبيه عند تشغيله بواسطة IOC معين أو بواسطة أي IOC تمت إضافته في التنبيه.

    IOCs هي مؤشرات مثل الملفات والعمليات والمهام المجدولة وأنواع الأدلة الأخرى التي تشغل التنبيه.

    لقطة شاشة لقائمة IOC في صفحة ضبط تنبيه.

    لتعيين شروط قاعدة متعددة، استخدم خيارات ANDوOR والتكوين لإنشاء علاقة بين "أنواع الأدلة" المتعددة هذه التي تسبب التنبيه.

    1. على سبيل المثال، حدد دليل المشغل دور الكيان: المشغل، يساوي، وأي لإيقاف التنبيه عند تشغيله بواسطة أي IOC تمت إضافته في التنبيه. سيتم ملء جميع خصائص "الأدلة" هذه تلقائيا كمجموعة فرعية جديدة في الحقول المعنية أدناه.

    ملاحظة

    قيم الشرط ليست حساسة لحالة الأحرف.

    1. يمكنك تحرير خصائص "الأدلة" و/أو حذفها استنادا إلى متطلباتك (باستخدام أحرف البدل، عند دعمها).

    2. بخلاف الملفات والعمليات، فإن البرنامج النصي لواجهة فحص مكافحة البرامج الضارة (AMSI) وحدث Windows Management Instrumentation (WMI) والمهام المجدولة هي بعض أنواع الأدلة المضافة حديثا التي يمكنك تحديدها من القائمة المنسدلة أنواع الأدلة.

    3. لإضافة IOC آخر، انقر فوق إضافة عامل تصفية.

    ملاحظة

    يلزم إضافة IOC واحد على الأقل إلى شرط القاعدة لضبط أي نوع تنبيه.

  4. في قسم الإجراء ، اتخذ الإجراء المناسب إما إخفاء التنبيه أو حل التنبيه.

    أدخل الاسموالوصف وانقر فوق حفظ.

    ملاحظة

    يستند عنوان التنبيه (الاسم) إلى نوع التنبيه (IoaDefinitionId)، الذي يقرر عنوان التنبيه. يمكن أن يتغير تنبيهان يحتويان على نفس نوع التنبيه إلى عنوان تنبيه مختلف.

    لقطة شاشة لقائمة الإجراء في صفحة ضبط تنبيه.

لضبط تنبيه من صفحة التنبيهات :

  1. حدد تنبيها في صفحة التنبيهات ضمن الحوادث والتنبيهات. بدلا من ذلك، يمكنك تحديد تنبيه عند مراجعة تفاصيل الحادث في صفحة الحدث.

    يمكنك ضبط تنبيه من خلال جزء ضبط التنبيه الذي يفتح تلقائيا على الجانب الأيسر من صفحة تفاصيل التنبيه.

    لقطة شاشة لضبط جزء تنبيه داخل صفحة تنبيه.

  2. حدد الشروط التي ينطبق فيها التنبيه في قسم أنواع التنبيهات . حدد نوع التنبيه هذا فقط لتطبيق القاعدة على التنبيه المحدد.

    ومع ذلك، لتطبيق القاعدة على أي نوع تنبيه يفي بشروط القاعدة، حدد أي نوع تنبيه استنادا إلى شروط IOC.

    لقطة شاشة لضبط جزء تنبيه يسلط الضوء على قسم أنواع التنبيهات.

  3. ملء قسم النطاق مطلوب إذا كان ضبط التنبيه هو Defender لنقطة النهاية الخاصة. حدد ما إذا كانت القاعدة تنطبق على جميع الأجهزة في المؤسسة أو لجهاز معين.

    ملاحظة

    يتطلب تطبيق القاعدة على جميع المؤسسات إذن دور إداري.

    لقطة شاشة لضبط جزء تنبيه يسلط الضوء على قسم النطاق.

  4. أضف الشروط في قسم الشروط لإيقاف التنبيه عند تشغيله بواسطة IOC معين أو بواسطة أي IOC تمت إضافته في التنبيه. يمكنك تحديد جهاز معين أو أجهزة متعددة أو مجموعات أجهزة أو المؤسسة بأكملها أو حسب المستخدم في هذا القسم.

    ملاحظة

    يجب أن يكون لديك إذن مسؤول عند تعيين النطاق للمستخدم فقط. مسؤول إذن غير مطلوب عند تعيين النطاقللمستخدم مع مجموعات الأجهزة والجهاز.

    لقطة شاشة لضبط جزء تنبيه يسلط الضوء على قسم الشروط.

  5. أضف IOCs حيث تنطبق القاعدة في قسم IOCs . يمكنك تحديد أي IOC لإيقاف التنبيه بغض النظر عن "الأدلة" التي تسببت في التنبيه.

    لقطة شاشة لضبط جزء تنبيه يسلط الضوء على قسم IOCs.

  6. بدلا من ذلك، يمكنك تحديد التعبئة التلقائية لجميع IOCs ذات الصلة بالتنبيه 7 في قسم IOCs لإضافة جميع أنواع الأدلة المتعلقة بالتنبيه وخصائصها في وقت واحد في قسم الشروط .

    لقطة شاشة للتعبئة التلقائية لجميع IOCs ذات الصلة بالتنبيه.

  7. في قسم الإجراء ، اتخذ الإجراء المناسب إما إخفاء التنبيه أو حل التنبيه.

    أدخل الاسموالتعليق وانقر فوق حفظ.

    لقطة شاشة لقسم Action في جزء Tune alert.

  8. منع حظر IOCs في المستقبل:

    بمجرد حفظ قاعدة ضبط التنبيه، في صفحة إنشاء القاعدة الناجحة التي تظهر، يمكنك إضافة IOCs المحددة كمؤشرات إلى "قائمة السماح" ومنع حظرها في المستقبل.

    سيتم عرض جميع IOCs المتعلقة بالتنبيه في القائمة.

    سيتم تحديد IOCs التي تم تحديدها في شروط المنع بشكل افتراضي.

    1. على سبيل المثال، يمكنك إضافة ملفات ليتم السماح بها إلى تحديد الأدلة (IOC) للسماح بها. بشكل افتراضي، يتم تحديد الملف الذي قام بتشغيل التنبيه.
    2. أدخل النطاق إلى Select scope to apply to. يتم تحديد النطاق الافتراضي للتنبيه ذي الصلة.
    3. انقر فوق حفظ. الآن لم يتم حظر الملف كما هو في قائمة السماح.

  9. تتوفر وظيفة ضبط التنبيه الجديدة بشكل افتراضي.

    ومع ذلك، يمكنك التبديل مرة أخرى إلى التجربة السابقة في مدخل Microsoft Defender بالانتقال إلى الإعدادات > Microsoft Defender XDR > ضبط تنبيه القواعد>، ثم إيقاف تشغيل التبديل تمكين إنشاء قواعد ضبط جديدة.

    ملاحظة

    قريبا، لن تتوفر سوى تجربة ضبط التنبيه الجديدة. لن تتمكن من العودة إلى التجربة السابقة.

  10. تحرير القواعد الموجودة:

    يمكنك دائما إضافة شروط القاعدة ونطاق القواعد الجديدة أو الموجودة أو تغييرها في مدخل Microsoft Defender، عن طريق تحديد القاعدة ذات الصلة والنقر فوق تحرير القاعدة.

    لتحرير القواعد الموجودة، تأكد من تمكين تبديل تمكين إنشاء قواعد ضبط التنبيه الجديدة .

حل تنبيه

بمجرد الانتهاء من تحليل تنبيه ويمكن حله، انتقل إلى جزء إدارة التنبيه للتنبيه أو التنبيهات المماثلة وقم بوضع علامة على الحالة على أنها تم حلها ثم قم بتصنيفها على أنها إيجابية True مع نوع من التهديد أو نشاط إعلامي أو متوقع بنوع من النشاط أو إيجابي خاطئ.

يساعد تصنيف التنبيهات Microsoft Defender XDR على تحسين جودة الكشف الخاصة بها.

استخدام Power Automate لفرز التنبيهات

تحتاج فرق عمليات الأمان الحديثة (SecOps) إلى التشغيل التلقائي للعمل بفعالية. للتركيز على تتبع التهديدات الحقيقية والتحقيق فيها، تستخدم فرق SecOps Power Automate للفرز من خلال قائمة التنبيهات والقضاء على التنبيهات التي ليست تهديدات.

معايير لحل التنبيهات

  • تم تشغيل رسالة خارج المكتب للمستخدم
  • لا يتم وضع علامة على المستخدم على أنه عالي المخاطر

إذا كان كلاهما صحيحا، فإن SecOps يضع علامة على التنبيه على أنه سفر شرعي ويحله. يتم نشر إعلام في Microsoft Teams بعد حل التنبيه.

توصيل Power Automate Microsoft Defender for Cloud Apps

لإنشاء الأتمتة، ستحتاج إلى رمز مميز لواجهة برمجة التطبيقات قبل أن تتمكن من توصيل Power Automate Microsoft Defender for Cloud Apps.

  1. افتح Microsoft Defender وحدد Settings>Cloud Apps>API token، ثم حدد Add token في علامة التبويب API tokens.

  2. أدخل اسما للرمز المميز الخاص بك، ثم حدد إنشاء. احفظ الرمز المميز كما ستحتاج إليه لاحقا.

الإنشاء تدفق تلقائي

شاهد هذا الفيديو القصير لمعرفة كيفية عمل الأتمتة بكفاءة لإنشاء سير عمل سلس وكيفية توصيل Power Automate ب Defender for Cloud Apps.

الخطوات التالية

حسب الحاجة للحوادث قيد المعالجة، تابع التحقيق الخاص بك.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.