مشاركة عبر

تكوين الميزات المتقدمة في Defender لنقطة النهاية

  • مقالة

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

اعتمادا على منتجات أمان Microsoft التي تستخدمها، قد تكون بعض الميزات المتقدمة متاحة لك لدمج Defender لنقطة النهاية معها.

تمكين الميزات المتقدمة

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. في جزء التنقل، حدد Settings>Endpoints>Advanced features.

  3. حدد الميزة المتقدمة التي تريد تكوينها وقم بتبديل الإعداد بين تشغيلوإيقاف تشغيل.

  4. حدد حفظ التفضيلات.

استخدم الميزات المتقدمة التالية للحصول على حماية أفضل من الملفات الضارة المحتملة واكتساب رؤية أفضل أثناء تحقيقات الأمان.

تقييد الارتباط داخل مجموعات الأجهزة المحددة النطاق

يمكن استخدام هذا التكوين للسيناريوهات التي ترغب فيها عمليات SOC المحلية في الحد من ارتباطات التنبيه لمجموعات الأجهزة التي يمكنها الوصول إليها فقط. من خلال تشغيل هذا الإعداد، حدث يتكون من تنبيهات لن تعتبر المجموعات عبر الأجهزة حادثا واحدا بعد الآن. يمكن ل SOC المحلي بعد ذلك اتخاذ إجراء بشأن الحادث لأنه لديه حق الوصول إلى إحدى مجموعات الأجهزة المعنية. ومع ذلك، ستشهد SOC العمومية عدة حوادث مختلفة حسب مجموعة الأجهزة بدلا من حادث واحد. لا نوصي بتشغيل هذا الإعداد ما لم يكن القيام بذلك يفوق فوائد ارتباط الحادث عبر المؤسسة بأكملها.

ملاحظة

  • يؤثر تغيير هذا الإعداد على ارتباطات التنبيه المستقبلية فقط.

  • يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

تمكين EDR في وضع الحظر

يوفر الكشف عن نقطة النهاية والاستجابة لها (EDR) في وضع الحظر الحماية من البيانات الاصطناعية الضارة، حتى عند تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع السلبي. عند التشغيل، يحظر EDR في وضع الحظر البيانات الاصطناعية الضارة أو السلوكيات التي تم اكتشافها على جهاز. يعمل EDR في وضع الحظر خلف الكواليس لمعالجة البيانات الاصطناعية الضارة التي تم اكتشافها بعد الخرق.

حل التنبيهات تلقائيا

قم بتشغيل هذا الإعداد لحل التنبيهات تلقائيا حيث لم يتم العثور على تهديدات أو حيث تم معالجة التهديدات المكتشفة. إذا كنت لا تريد حل التنبيهات تلقائيا، فستحتاج إلى إيقاف تشغيل الميزة يدويا.

ملاحظة

  • قد تؤثر نتيجة إجراء الحل التلقائي على حساب مستوى مخاطر الجهاز الذي يستند إلى التنبيهات النشطة الموجودة على الجهاز.
  • إذا قام محلل عمليات الأمان بتعيين حالة التنبيه يدويا إلى "قيد التقدم" أو "تم الحل" فلن تقوم إمكانية الحل التلقائي بالكتابة فوقها.

السماح أو حظر الملف

يتوفر الحظر فقط إذا كانت مؤسستك تفي بهذه المتطلبات:

  • يستخدم برنامج الحماية من الفيروسات من Microsoft Defender كحل نشط لمكافحة البرامج الضارة و
  • تم تمكين ميزة الحماية المستندة إلى السحابة

تمكنك هذه الميزة من حظر الملفات الضارة المحتملة في شبكتك. سيؤدي حظر ملف إلى منع قراءته أو كتابته أو تنفيذه على الأجهزة في مؤسستك.

لتشغيل السماح بالملفات أو حظرها :

  1. في مدخل Microsoft Defender، في جزء التنقل، حدد Settings>Endpoints>General>Advanced features>Allow or block file.

  2. قم بتبديل الإعداد بين تشغيلوإيقاف تشغيل.

    شاشة نقاط النهاية

  3. حدد حفظ التفضيلات في أسفل الصفحة.

بعد تشغيل هذه الميزة، يمكنك حظر الملفات عبر علامة التبويب إضافة مؤشر في صفحة ملف تعريف الملف.

إخفاء سجلات الأجهزة المكررة المحتملة

من خلال تمكين هذه الميزة، يمكنك التأكد من أنك ترى المعلومات الأكثر دقة حول أجهزتك عن طريق إخفاء سجلات الأجهزة المكررة المحتملة. هناك أسباب مختلفة لحدوث سجلات الأجهزة المكررة، على سبيل المثال، قد تقوم إمكانية اكتشاف الجهاز في Microsoft Defender لنقطة النهاية بفحص شبكتك واكتشاف جهاز تم إلحاقه بالفعل أو تم إلغاء إلحاقه مؤخرا.

ستحدد هذه الميزة الأجهزة المكررة المحتملة استنادا إلى اسم مضيفها ووقت آخر مشاهدة. سيتم إخفاء الأجهزة المكررة من تجارب متعددة في المدخل، مثل مخزون الأجهزة وصفحات إدارة الثغرات الأمنية ل Microsoft Defender وواجهات برمجة التطبيقات العامة لبيانات الجهاز، مما يترك سجل الجهاز الأكثر دقة مرئيا. ومع ذلك، ستظل التكرارات مرئية في صفحات البحث العمومي والتتبع المتقدم والتنبيهات والحوادث.

يتم تشغيل هذا الإعداد بشكل افتراضي ويتم تطبيقه على نطاق المستأجر. إذا كنت لا تريد إخفاء سجلات الأجهزة المكررة المحتملة، فستحتاج إلى إيقاف تشغيل الميزة يدويا.

مؤشرات الشبكة المخصصة

يسمح لك تشغيل هذه الميزة بإنشاء مؤشرات لعناوين IP أو المجالات أو عناوين URL، والتي تحدد ما إذا كان سيتم السماح بها أو حظرها استنادا إلى قائمة المؤشرات المخصصة.

لاستخدام هذه الميزة، يجب أن تعمل الأجهزة بالإصدار 1709 من Windows 10 أو إصدار أحدث، أو Windows 11. يجب أن يكون لديهم أيضا حماية الشبكة في وضع الحظر والإصدار 4.18.1906.3 أو أحدث من النظام الأساسي لمكافحة البرامج الضارة راجع KB 4052623.

لمزيد من المعلومات، راجع إدارة المؤشرات.

ملاحظة

تستفيد حماية الشبكة من خدمات السمعة التي تعالج الطلبات في المواقع التي قد تكون خارج الموقع الذي حددته لبيانات Defender لنقطة النهاية.

الحماية من العبث

أثناء بعض أنواع الهجمات الإلكترونية، يحاول المستخدمون السيئون تعطيل ميزات الأمان، مثل الحماية من الفيروسات، على أجهزتك. يرغب المستخدمون السيئون في تعطيل ميزات الأمان الخاصة بك للحصول على وصول أسهل إلى بياناتك، أو لتثبيت البرامج الضارة، أو لاستغلال بياناتك وهويتك وأجهزتك بطريقة أخرى. تعمل الحماية من العبث بشكل أساسي على تأمين برنامج الحماية من الفيروسات من Microsoft Defender ومنع تغيير إعدادات الأمان من خلال التطبيقات والأساليب.

لمزيد من المعلومات، بما في ذلك كيفية تكوين الحماية من العبث، راجع حماية إعدادات الأمان باستخدام الحماية من العبث.

إظهار تفاصيل المستخدم

قم بتشغيل هذه الميزة حتى تتمكن من رؤية تفاصيل المستخدم المخزنة في معرف Microsoft Entra. تتضمن التفاصيل صورة المستخدم والاسم والعنوان ومعلومات القسم عند التحقيق في كيانات حساب المستخدم. يمكنك العثور على معلومات حساب المستخدم في طرق العرض التالية:

  • قائمة انتظار التنبيه
  • صفحة تفاصيل الجهاز

لمزيد من المعلومات، راجع التحقيق في حساب مستخدم.

تكامل Skype for Business

يتيح لك تمكين تكامل Skype for Business إمكانية التواصل مع المستخدمين باستخدام Skype for Business أو البريد الإلكتروني أو الهاتف. يمكن أن يكون هذا التنشيط مفيد عندما تحتاج إلى التواصل مع المستخدم والتخفيف من المخاطر.

ملاحظة

عندما يتم عزل جهاز عن الشبكة، هناك نافذة منبثقة حيث يمكنك اختيار تمكين اتصالات Outlook وSkype التي تسمح بالاتصالات للمستخدم أثناء قطع اتصالها بالشبكة. ينطبق هذا الإعداد على اتصالات Skype وOutlook عندما تكون الأجهزة في وضع العزل.

Microsoft Defender for Cloud Apps

يؤدي تمكين هذا الإعداد إلى إعادة توجيه إشارات Defender لنقطة النهاية إلى Microsoft Defender for Cloud Apps لتوفير رؤية أعمق لاستخدام التطبيقات السحابية. يتم تخزين البيانات التي تمت إعادة توجيهها ومعالجتها في نفس موقع بيانات Defender for Cloud Apps.

ملاحظة

ستتوفر هذه الميزة مع ترخيص E5 ل Enterprise Mobility + Security على الأجهزة التي تعمل بنظام التشغيل Windows 10، الإصدار 1709 (إصدار نظام التشغيل 16299.1085 مع KB4493441)، أو Windows 10، الإصدار 1803 (إصدار نظام التشغيل 17134.704 مع KB4493464)، أو Windows 10، الإصدار 1809 (إصدار نظام التشغيل 17763.379 مع KB4489899)، أو إصدارات Windows 10 اللاحقة، أو Windows 11.

تصفية محتوى ويب

حظر الوصول إلى مواقع الويب التي تحتوي على محتوى غير مرغوب فيه وتتبع نشاط الويب عبر جميع المجالات. لتحديد فئات محتوى الويب التي تريد حظرها، قم بإنشاء نهج تصفية محتوى ويب. تأكد من أن لديك حماية للشبكة في وضع الحظر عند نشر أساس أمان Microsoft Defender لنقطة النهاية.

سجل التدقيق الموحد

يتيح البحث في Microsoft Purview لفريق الأمان والتوافق عرض بيانات حدث سجل التدقيق الهامة للحصول على نتيجة تحليلات والتحقيق في أنشطة المستخدم. عندما يتم تنفيذ نشاط مدقق من قبل مستخدم أو مسؤول، يتم إنشاء سجل تدقيق وتخزينه في سجل تدقيق Microsoft 365 لمؤسستك. لمزيد من المعلومات، راجع البحث في سجل التدقيق.

اكتشاف الجهاز

يساعدك على العثور على أجهزة غير مدارة متصلة بشبكة شركتك دون الحاجة إلى أجهزة إضافية أو تغييرات عملية مرهقة. باستخدام الأجهزة المإلحاقة، يمكنك العثور على أجهزة غير مدارة في شبكتك وتقييم الثغرات الأمنية والمخاطر. لمزيد من المعلومات، راجع اكتشاف الجهاز.

ملاحظة

يمكنك دائما تطبيق عوامل التصفية لاستبعاد الأجهزة غير المدارة من قائمة مخزون الجهاز. يمكنك أيضا استخدام عمود حالة الإلحاق في استعلامات واجهة برمجة التطبيقات لتصفية الأجهزة غير المدارة.

تنزيل الملفات المعزولة

النسخ الاحتياطي للملفات المعزولة في موقع آمن ومتوافق بحيث يمكن تنزيلها مباشرة من العزل. سيكون زر تنزيل الملف متوفرا دائما في صفحة الملف. يتم تشغيل هذا الإعداد بشكل افتراضي. تعرف على المزيد حول المتطلبات

افتراضي للاتصال المبسط عند إلحاق الأجهزة في مدخل Defender

سيقوم هذا الإعداد بتعيين حزمة الإعداد الافتراضية إلى اتصال مبسط لأنظمة التشغيل القابلة للتطبيق. لا يزال لديك خيار استخدام حزمة الإعداد القياسية داخل صفحة الإلحاق، ولكن يجب عليك تحديدها على وجه التحديد في القائمة المنسدلة.

الاستجابة المباشرة

قم بتشغيل هذه الميزة بحيث يمكن للمستخدمين الذين لديهم الأذونات المناسبة بدء جلسة استجابة مباشرة على الأجهزة.

لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

استجابة مباشرة للخوادم

قم بتشغيل هذه الميزة بحيث يمكن للمستخدمين الذين لديهم الأذونات المناسبة بدء جلسة استجابة مباشرة على الخوادم.

لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

تنفيذ البرنامج النصي غير الموقع للاستجابة المباشرة

يتيح لك تمكين هذه الميزة تشغيل البرامج النصية غير الموقعة في جلسة استجابة مباشرة.

الخداع

يتيح الخداع لفريق الأمان الخاص بك إدارة وتوزيع الإغراءات وفكها للقبض على المهاجمين في بيئتك. بعد تشغيل هذا، انتقل إلى قواعد > الخداع لقواعد تشغيل حملات الخداع. راجع إدارة إمكانية الخداع في Microsoft Defender XDR.

مشاركة تنبيهات نقطة النهاية مع مركز التوافق من Microsoft

إعادة توجيه تنبيهات أمان نقطة النهاية وحالة الفرز الخاصة بها إلى مدخل التوافق في Microsoft Purview، مما يسمح لك بتحسين نهج إدارة المخاطر الداخلية باستخدام التنبيهات ومعالجة المخاطر الداخلية قبل أن تسبب الضرر. تتم معالجة البيانات التي تمت إعادة توجيهها وتخزينها في نفس موقع بيانات Office 365.

بعد تكوين مؤشرات انتهاك نهج الأمان في إعدادات إدارة المخاطر الداخلية، ستتم مشاركة تنبيهات Defender لنقطة النهاية مع إدارة المخاطر الداخلية للمستخدمين القابلين للتطبيق.

اتصال Microsoft Intune

يمكن دمج Defender لنقطة النهاية مع Microsoft Intuneلتمكين الوصول المشروط المستند إلى مخاطر الجهاز. عند تشغيل هذه الميزة، ستتمكن من مشاركة معلومات جهاز Defender لنقطة النهاية مع Intune، ما يعزز فرض النهج.

هام

ستحتاج إلى تمكين التكامل على كل من Intune وDefender لنقطة النهاية لاستخدام هذه الميزة. لمزيد من المعلومات حول خطوات محددة، راجع تكوين الوصول المشروط في Defender لنقطة النهاية.

تتوفر هذه الميزة فقط إذا كانت لديك المتطلبات الأساسية التالية:

  • مستأجر مرخص ل Enterprise Mobility + Security E3 وWindows E5 (أو Microsoft 365 Enterprise E5)
  • بيئة Microsoft Intune نشطة، مع انضمام أجهزة Windows التي تديرها Intune Microsoft Entra.

بيانات تتبع الاستخدام المصادق عليها

يمكنك تشغيل بيانات تتبع الاستخدام المصادق عليها لمنع تزييف بيانات تتبع الاستخدام في لوحة المعلومات الخاصة بك.

ميزات المعاينة

تعرف على الميزات الجديدة في إصدار معاينة Defender لنقطة النهاية.

جرب الميزات القادمة عن طريق تشغيل تجربة المعاينة. سيكون لديك حق الوصول إلى الميزات القادمة، والتي يمكنك تقديم ملاحظات بشأنها للمساعدة في تحسين التجربة الشاملة قبل أن تتوفر الميزات بشكل عام.

إذا كان لديك بالفعل ميزات معاينة قيد التشغيل، فدير إعداداتك من إعدادات Defender XDR الرئيسية.

لمزيد من المعلومات، راجع ميزات معاينة Microsoft Defender XDR

إعلامات هجوم نقطة النهاية

تمكن إعلامات هجوم نقطة النهاية Microsoft من البحث بنشاط عن التهديدات الهامة التي يجب تحديد أولوياتها استنادا إلى الحاجة الملحة والتأثير على بيانات نقطة النهاية.

للتتبع الاستباقي عبر النطاق الكامل ل Microsoft Defender XDR، بما في ذلك التهديدات التي تمتد عبر البريد الإلكتروني والتعاون والهوية والتطبيقات السحابية ونقاط النهاية، تعرف على المزيد حول Microsoft Defender Experts.

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.