دليل عمليات الأمان Microsoft Defender لنقطة النهاية

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

تقدم هذه المقالة نظرة عامة على متطلبات ومهام تشغيل Microsoft Defender لنقطة النهاية بنجاح في مؤسستك. تساعد هذه المهام مركز عمليات الأمان (SOC) على اكتشاف التهديدات الأمنية التي تم اكتشافها والاستجابة لها بشكل فعال Microsoft Defender لنقطة النهاية.

توضح هذه المقالة أيضا المهام اليومية والأسبوعية والشهرية والمخصصة التي يمكن لفريق الأمان تنفيذها لمؤسستك.

ملاحظة

هذه هي الخطوات الموصى بها؛ تحقق منها مقابل النهج والبيئة الخاصة بك للتأكد من أنها مناسبة للغرض.

المتطلبات المسبقه:

يجب إعداد نقطة النهاية Microsoft Defender لدعم عملية عمليات الأمان العادية. على الرغم من عدم تغطيتها في هذا المستند، توفر المقالات التالية معلومات التكوين والإعداد:

• تكوين عام Defender لإعدادات نقطة النهاية

  • عام
  • الأذونات
  • القواعد
  • إدارة الأجهزة
  • تكوين مركز حماية Microsoft Defender المنطقة الزمنية

• إعداد إعلامات الحوادث Microsoft Defender XDR

  للحصول على إعلامات البريد الإلكتروني حول حوادث Microsoft Defender XDR محددة، يوصى بتكوين إعلامات البريد الإلكتروني. راجع إعلامات الحوادث عبر البريد الإلكتروني.

• الاتصال ب SIEM (Sentinel)

  إذا كانت لديك أدوات موجودة لإدارة معلومات الأمان والأحداث (SIEM)، يمكنك دمجها مع Microsoft Defender XDR. راجع دمج أدوات SIEM مع تكامل Microsoft Defender XDRMicrosoft Defender XDR مع Microsoft Sentinel.

• مراجعة تكوين اكتشاف البيانات

  راجع تكوين اكتشاف الجهاز Microsoft Defender لنقطة النهاية للتأكد من تكوينه كما هو مطلوب. راجع نظرة عامة على اكتشاف الجهاز.

الأنشطة اليومية

عام

• مراجعة الإجراءات

  في مركز الصيانة، راجع الإجراءات التي تم اتخاذها في بيئتك، سواء التلقائية أو اليدوية. تساعدك هذه المعلومات على التحقق من أن التحقيق والاستجابة التلقائيين (AIR) يعملان كما هو متوقع وتحديد أي إجراءات يدوية تحتاج إلى مراجعة. راجع زيارة مركز الصيانة للاطلاع على إجراءات المعالجة.

فريق عمليات الأمان

• مراقبة قائمة انتظار Microsoft Defender XDR Incidents

  عندما يحدد Microsoft Defender لنقطة النهاية مؤشرات التسوية (IOCs) أو مؤشرات الهجوم (IOAs) وينشئ تنبيها، يتم تضمين التنبيه في حادث وعرضه في قائمة انتظار الحوادث في مدخل Microsoft Defender (https://security.microsoft.com).

  راجع هذه الحوادث للاستجابة لأي تنبيهات Microsoft Defender لنقطة النهاية وحلها بمجرد معالجة الحادث. راجع إعلامات الحوادث عبر البريد الإلكترونيوعرض قائمة انتظار Microsoft Defender لنقطة النهاية Incidents وتنظيمها.

• إدارة الاكتشافات السلبية الإيجابية الخاطئة والزائفة

  راجع قائمة انتظار الحوادث، وحدد الاكتشافات السلبية الإيجابية الخاطئة والزائفة، ثم أرسلها للمراجعة. يساعدك هذا على إدارة التنبيهات بفعالية في بيئتك وجعل تنبيهاتك أكثر كفاءة. راجع معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية.

• مراجعة التهديدات عالية التأثير لتحليلات المخاطر

  راجع تحليلات المخاطر لتحديد أي حملات تؤثر على بيئتك. يسرد جدول "التهديدات عالية التأثير" التهديدات التي كان لها أكبر تأثير على المؤسسة. يصنف هذا القسم التهديدات حسب عدد الأجهزة التي تحتوي على تنبيهات نشطة. راجع تعقب التهديدات الناشئة والاستجابة لها من خلال تحليلات التهديدات.

فريق إدارة الأمان

• مراجعة التقارير الصحية

  راجع التقارير الصحية لتحديد أي اتجاهات لصحة الجهاز تحتاج إلى معالجة. تغطي تقارير سلامة الجهاز Microsoft Defender لنقطة النهاية توقيع AV وصحة النظام الأساسي وصحة EDR. راجع تقارير سلامة الجهاز في Microsoft Defender لنقطة النهاية.

• التحقق من صحة مستشعر الكشف عن نقطة النهاية والاستجابة لها (EDR)

  تحافظ صحة EDR على الاتصال بخدمة EDR للتأكد من أن Defender لنقطة النهاية يتلقى الإشارات المطلوبة للتنبيه وتحديد الثغرات الأمنية.

  مراجعة الأجهزة غير السليمة. راجع صحة الجهاز، & تقرير نظام التشغيل لصحة المستشعر.

• التحقق من صحة برنامج الحماية من الفيروسات Microsoft Defender

  يعد عرض حالة تحديثات برنامج الحماية من الفيروسات Microsoft Defender أمرا بالغ الأهمية للحصول على أفضل أداء ل Defender لنقطة النهاية في بيئتك والاكتشافات المحدثة. تعرض صفحة سلامة الجهاز الحالة الحالية للنظام الأساسي والذكاء وإصدار المحرك. راجع تقرير سلامة الجهاز، Microsoft Defender الحماية من الفيروسات.

الأنشطة الأسبوعية

عام

• مركز الرسائل

  يستخدم Microsoft Defender XDR مركز رسائل Microsoft 365 لإعلامك بالتغييرات القادمة، مثل الميزات الجديدة والمتغيرة أو الصيانة المخطط لها أو الإعلانات المهمة الأخرى.

  راجع رسائل مركز الرسائل لفهم أي تغييرات قادمة تؤثر على بيئتك.

  يمكنك الوصول إلى ذلك في مركز مسؤولي Microsoft 365 ضمن علامة التبويب Health. راجع كيفية التحقق من صحة خدمة Microsoft 365.

فريق عمليات الأمان

• مراجعة الإبلاغ عن التهديدات

  راجع التقارير الصحية لتحديد أي اتجاهات تهديد للجهاز تحتاج إلى معالجتها. راجع تقرير الحماية من التهديدات.

• مراجعة تحليلات التهديدات

  راجع تحليلات التهديدات لتحديد أي حملات تؤثر على بيئتك. راجع تعقب التهديدات الناشئة والاستجابة لها من خلال تحليلات التهديدات.

فريق إدارة الأمان

• مراجعة حالة التهديد والثغرات الأمنية (TVM)

  راجع TVM لتحديد أي ثغرات أمنية وتوصيات جديدة تتطلب اتخاذ إجراء. راجع لوحة معلومات إدارة الثغرات الأمنية.

• مراجعة تقارير تقليل الأجزاء المعرضة للهجوم

  راجع تقارير ASR لتحديد أي ملفات تؤثر على بيئتك. راجع تقرير قواعد تقليل الأجزاء المعرضة للهجوم.

• مراجعة أحداث حماية الويب

  راجع تقرير دفاع الويب لتحديد أي عناوين IP أو عناوين URL محظورة. راجع حماية الويب.

الأنشطة الشهرية

عام

راجع المقالات التالية لفهم التحديثات التي تم إصدارها مؤخرا:

• أحدث الميزات في Microsoft Defender لنقطة النهاية

• ما الجديد في Microsoft Defender لنقطة النهاية على Windows

• ما الجديد في Microsoft Defender لنقطة النهاية على Mac

• ما الجديد في Microsoft Defender لنقطة النهاية على Linux

• ما الجديد في Microsoft Defender لنقطة النهاية على iOS

• ما الجديد في Microsoft Defender لنقطة النهاية على Android

فريق إدارة الأمان

• مراجعة الجهاز المستبعد من النهج

  إذا تم استبعاد أي أجهزة من نهج Defender لنقطة النهاية، فراجع وحدد ما إذا كان الجهاز لا يزال بحاجة إلى الاستبعاد من النهج.

  ملاحظة

  راجع وضع استكشاف الأخطاء وإصلاحها لاستكشاف الأخطاء وإصلاحها. راجع بدء استخدام وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية.

دوريا

ينظر إلى هذه المهام على أنها صيانة لوضع الأمان الخاص بك وهي ضرورية لحمايتها المستمرة. ولكن نظرا لأنها قد تستغرق وقتا وجهدا، فمن المستحسن تعيين جدول زمني قياسي يمكنك الحفاظ عليه لتنفيذ هذه المهام.

• مراجعة الاستثناءات

  راجع الاستثناءات التي تم تعيينها في بيئتك للتأكد من أنك لم تنشئ فجوة حماية عن طريق استبعاد الأشياء التي لم تعد مطلوبة للاستبعاد.

• مراجعة تكوينات نهج Defender

  راجع إعدادات تكوين Defender بشكل دوري للتأكد من تعيينها كما هو مطلوب.

• مراجعة مستويات الأتمتة

  مراجعة مستويات الأتمتة في قدرات التحقيق والمعالجة التلقائية. راجع مستويات الأتمتة في التحقيق والمعالجة التلقائية.

• مراجعة عمليات الكشف المخصصة

  راجع بشكل دوري ما إذا كانت عمليات الكشف المخصصة التي تم إنشاؤها لا تزال صالحة وفعالة. راجع مراجعة الكشف المخصص.

• مراجعة منع التنبيهات

  راجع بشكل دوري أي قواعد لمنع التنبيه تم إنشاؤها للتأكد من أنها لا تزال مطلوبة وصالحة. راجع مراجعة منع التنبيهات.

استكشاف الأخطاء وإصلاحها

توفر المقالات التالية إرشادات لاستكشاف الأخطاء وإصلاحها التي قد تواجهها عند إعداد خدمة Microsoft Defender لنقطة النهاية.

• استكشاف أخطاء حالة أداة الاستشعار وإصلاحها
• استكشاف مشاكل صحة المستشعر وإصلاحها باستخدام "محلل العملاء"
• استكشاف مشاكل الاستجابة المباشرة وإصلاحها
• تجميع سجلات الدعم باستخدام LiveAnalyzer
• استكشاف مشاكل الحد من سطح الهجوم وإصلاحها
• استكشاف مشاكل التجهيز وإصلاحها

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.