إدارة التنبيهات
تعد صفحة التنبيهات هي مساحة العمل الأساسية لمحللي الأمن، حيث توفر رؤية في الوقت الفعلي لجميع الأحداث الأمنية التي اكتشفها مسار الاستيعاب متعدد المصادر الخاص بـ AuroraSOC.
دورة حياة التنبيه
تعريفات الحالة
| حالة | وصف | من يحددها |
|---|---|---|
| جديد | تم تناولها للتو، ولم يتم فرزها بعد | النظام (مطبيع الصدأ) |
| مصنفة | قام وكيل الذكاء الاصطناعي بتقييم الخطورة والفئة | وكيل محلل الأمن |
| ** التحقيق ** | يقوم الإنسان أو الذكاء الاصطناعي بالتحقيق بنشاط | محلل / منسق |
| ** تم التصعيد ** | يتطلب محللًا كبيرًا أو الاستجابة للحوادث | محلل / قاعدة العتبة |
| تم الحل | تم تحديد السبب الجذري أو معالجته أو كونه إيجابيًا كاذبًا | محلل / كتاب اللعب |
جدول التنبيه
يعرض جدول التنبيه الرئيسي:
| عمود | وصف |
|---|---|
| خطورة | شارة مرمزة بالألوان (حرجة/عالية/متوسطة/منخفضة) |
| عنوان | عنوان التنبيه الوصفي |
| مصدر | نظام الأصل (سوريكاتا، وازوه، فيلوسيرابتور، إلخ.) |
| ميتري أت&ك | معرف (معرفات) التقنية المعينة |
| حالة | حالة دورة الحياة الحالية |
| مخلوق | الطابع الزمني للاكتشاف الأول |
| الإجراءات | عرض، التحقيق، رفض |
التصفية والبحث
استخدم شريط التصفية لتضييق نطاق التنبيهات:
- فلتر الخطورة — انقر على شارات الخطورة للتبديل
- فلتر الحالة — عرض حالات محددة فقط
- النطاق الزمني — نافذة زمنية مخصصة
- البحث — البحث عن نص حر عبر العنوان والوصف
العمليات السائبة
حدد تنبيهات متعددة باستخدام مربعات الاختيار للإجراءات المجمعة:
- الحل المجمع — وضع علامة على أنه تم التحديد على أنه تم الحل
- التصعيد المجمع — تم تحديد التصعيد للاستجابة للحوادث
- إنشاء حالة — تجميع التنبيهات ذات الصلة في حالة واحدة
عرض تفاصيل التنبيه
يؤدي النقر فوق تنبيه إلى فتح جزء التفاصيل الخاص به:
علامة تبويب نظرة عامة
- وصف التنبيه الكامل مع بيانات الحدث الأولية
- بطاقات IOC المستخرجة (عناوين IP، والمجالات، والتجزئة، ورسائل البريد الإلكتروني)
- رسم الخرائط بتقنية MITRE ATT&CK مع مراحل سلسلة القتل
علامة تبويب التحقيق
عند إجراء تحقيق الذكاء الاصطناعي:
- استدلال الوكيل — تحليل الذكاء الاصطناعي خطوة بخطوة
- الأحداث المرتبطة — التنبيهات ذات الصلة التي تم العثور عليها حسب الارتباط
- الإجراءات الموصى بها — خطوات الاستجابة المقترحة بواسطة الذكاء الاصطناعي
علامة التبويب الجدول الزمني
التاريخ الزمني لجميع الإجراءات المتخذة:
- تم إنشاء التنبيه
- تم إجراء فرز الوكيل
- تغييرات الحالة
- تعليقات المحللين
- عمليات إعدام كتاب اللعب
إلغاء البيانات المكررة
تقوم AuroraSOC تلقائيًا بإلغاء تكرار التنبيهات باستخدام تجزئة SHA-256:
dedup_hash = SHA256(source + title + mitre_techniques)
عند وصول نسخة مكررة داخل نافذة الحذف (قابلة للتكوين، الافتراضية 15 دقيقة)، يزداد عدد التنبيه الموجود بدلاً من إنشاء إدخال جديد. ولهذا السبب قد ترى عمود العدد يعرض قيمًا أكبر من 1.
أسرع سير عمل: قم بالتصفية حسب حرج + جديد → مراجعة أهم التنبيهات → انقر فوق تحقيق لتشغيل تحليل وكيل الذكاء الاصطناعي → مراجعة نتائج الوكيل → حل أو إنشاء حالة.
تفعيل تحقيق الذكاء الاصطناعي
من أي تنبيه، انقر فوق الزر تحقيق للقيام بما يلي:
- يتم إرسال التنبيه إلى وكيل المنسق
- يرسل المنسق إلى محلل الأمان لإجراء التقييم الأولي
- إذا تم العثور على بطاقات IOC → يقوم وكيل Threat Intel بإثرائها
- إذا كانت مؤشرات الشبكة → وكيل أمان الشبكة يقوم بتحليل التدفقات
- في حالة فحص وكيل نقاط النهاية → EDR / Endpoint Security
- تم تجميع النتائج في تقرير تحقيق منظم
- تم تحديث حالة التنبيه إلى التحقيق
يتم تشغيل التحقيق بشكل غير متزامن - ستشاهد التقدم في الوقت الفعلي عبر تدفق أفكار وكيل WebSocket.