تعطيل الهجوم التلقائي في Microsoft Defender for Business

الهجوم الذي يديره الإنسان هو هجوم نشط من قبل مجرمي الإنترنت الذين يتسللون إلى منظمة، ويرفعون امتيازاتهم، ويتنقلون في الشبكة، وينشرون برامج الفدية الضارة أو يسرقون المعلومات. يمكن أن تكون هذه الأنواع من الهجمات كارثية على العمليات التجارية، وتميل إلى أن تكون صعبة المعالجة، وأحيانا تستمر في تهديد العمليات التجارية بعد المواجهة الأولية. لمزيد من المعلومات، راجع هجمات برامج الفدية الضارة التي يديرها الإنسان.

للمساعدة في الحماية من الهجمات التي يديرها الإنسان أو غيرها من الهجمات المتقدمة، Microsoft Defender XDR إضافة تعطيل الهجوم التلقائي في نوفمبر 2022 لعملاء المؤسسات. الآن، هذه القدرات قادمة إلى Defender for Business! توضح هذه المقالة كيفية عمل تعطيل الهجوم التلقائي، وكيفية عرض تفاصيل حول الهجوم، وكيفية الحصول على هذه الإمكانات.

كيفية عمل تعطيل الهجوم التلقائي

تم تصميم تعطيل الهجوم التلقائي من أجل:

  • تحتوي على هجمات متقدمة قيد التقدم؛
  • الحد من تأثير الهجمات وتطورها على أصول عملك (مثل الأجهزة)؛ و
  • توفير المزيد من الوقت لفريق تكنولوجيا المعلومات/الأمان لمعالجة الهجوم بشكل كامل.

يستخدم تعطيل الهجوم التلقائي رؤى من باحثي الأمان من Microsoft ونماذج الذكاء الاصطناعي المتقدمة لمواجهة تعقيدات الهجمات المتقدمة. فهو يحد من تقدم ممثل التهديد في وقت مبكر ويقلل بشكل كبير من التأثير العام للهجوم، من التكاليف المرتبطة به إلى فقدان الإنتاجية. راجع بعض الأمثلة في مدونة أمان Microsoft.

مع تعطيل الهجوم التلقائي، بمجرد اكتشاف هجوم يديره الإنسان على جهاز، يتم اتخاذ خطوات على الفور لاحتواء الجهاز المتأثر وحسابات المستخدمين على الجهاز. يتم إنشاء حادث في مدخل Microsoft Defender (https://security.microsoft.com). هناك، يمكن لفريق تكنولوجيا المعلومات/الأمان عرض تفاصيل حول حالة المخاطر والاحتواء للأصول المخترقة أثناء العملية وبعدها. توفر صفحة Incident تفاصيل حول الهجوم والحالة المحدثة للأصول المتأثرة.

تتضمن إجراءات الاستجابة التلقائية ما يلي:

  • احتواء جهاز عن طريق حظر الاتصال الوارد/الصادر
  • احتواء حساب مستخدم عن طريق قطع اتصال المستخدم الحالي على مستوى الجهاز

هام

  • لعرض معلومات حول هجوم متقدم تم اكتشافه، يجب أن يكون لديك دور قارئ الأمان أو مسؤول الأمان أو المسؤول العام المعين.
  • لاتخاذ إجراءات المعالجة أو إصدار جهاز/مستخدم مضمن أو إعادة تمكين حساب مستخدم، يجب أن يكون لديك دور مسؤول الأمان أو المسؤول العام المعين.
  • راجع أدوار الأمان والأذونات في Defender for Business.

عرض تفاصيل حول هجوم في مدخل Microsoft Defender

  1. في مدخل Microsoft Defender، انتقل إلى Incidents.

  2. حدد حدثا تم وضع علامة عليه مع تعطيل الهجوم.

  3. راجع الرسم البياني للحادث، والذي يمكنك من الحصول على قصة الهجوم بأكملها وتقييم تأثير اضطراب الهجوم وحالته.

  4. عندما تكون مستعدا لإصدار جهاز مضمن أو حساب مستخدم، أو إعادة تمكين حساب مستخدم، اتبع إحدى الخطوات التالية:

    • لتحرير جهاز مضمن، حدد الجهاز، ثم اختر Release from containment.
    • لتحرير مستخدم مضمن، حدد حساب المستخدم، ثم في الجزء الجانبي، حدد تراجع.

تتضمن الحوادث المعطلة علامة لنوع Attack Disruption التهديد المحدد المحدد (مثل برامج الفدية الضارة). إذا تلقى فريق تكنولوجيا المعلومات/الأمان إعلامات بالبريد الإلكتروني للحوادث، تظهر هذه العلامات أيضا في رسائل البريد الإلكتروني.

عند تعطيل حدث، يظهر نص مميز أسفل عنوان الحدث. يتم سرد الأجهزة المضمنة أو حسابات المستخدمين بتسمية تشير إلى حالتها.

تعقب إجراءات تعطيل الهجوم في مركز الصيانة

يجمع مركز الإجراءات جميع إجراءات المعالجة والاستجابة، سواء تم اتخاذ هذه الإجراءات تلقائيا أو يدويا. يمكنك عرض جميع إجراءات تعطيل الهجوم التلقائي في مركز الصيانة. وبعد أن يخفف فريق تكنولوجيا المعلومات/الأمان من المخاطر ويكمل التحقيق في حادث ما، يمكنه الإفراج عن الأصول المضمنة.

  1. في مدخل Microsoft Defender، انتقل إلى Actions & submissions>Action center.

  2. حدد علامة التبويب محفوظات .

  3. حدد إجراء، مثل احتواء المستخدم أو احتواء الجهاز، ثم اختر تراجع.

لمزيد من المعلومات، راجع مراجعة إجراءات المعالجة في مركز الصيانة.

كيفية الحصول على تعطيل الهجوم التلقائي

تم تضمين تعطيل الهجوم التلقائي في Defender for Business؛ لا يتعين عليك تشغيل هذه الإمكانات بشكل صريح. من المهم إلحاق جميع أجهزة مؤسستك (أجهزة الكمبيوتر والهواتف والأجهزة اللوحية) ب Defender for Business بحيث تكون محمية في أقرب وقت ممكن.

بالإضافة إلى ذلك، قم بالتسجيل لتلقي ميزات المعاينة بحيث تحصل على أحدث القدرات وأكبرها بمجرد توفرها.