اتخاذ إجراءات الاستجابة على ملف

ينطبق على:

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

الاستجابة بسرعة للهجمات المكتشفة عن طريق إيقاف الملفات وتكسيرها أو حظر ملف. بعد اتخاذ إجراء بشأن الملفات، يمكنك التحقق من تفاصيل النشاط في مركز الصيانة.

تتوفر إجراءات الاستجابة في صفحة ملف التعريف التفصيلية للملف. بمجرد الوصول إلى هذه الصفحة، يمكنك التبديل بين تخطيطات الصفحات الجديدة والقديدة عن طريق تبديل صفحة ملف جديدة. تصف بقية هذه المقالة تخطيط الصفحة الأحدث.

تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة الملف، وتتضمن:

  • ملف إيقاف وفحص
  • إدارة المؤشر
  • تنزيل الملف
  • جمع الملف
  • اسأل خبراء Defender
  • الإجراءات اليدوية
  • Go hunt
  • تحليل عميق

ملاحظة

إذا كنت تستخدم Defender for Endpoint الخطة 1، يمكنك اتخاذ إجراءات استجابة معينة يدويا. لمزيد من المعلومات، راجع إجراءات الاستجابة اليدوية.

يمكنك أيضا إرسال الملفات للتحليل العميق، لتشغيل الملف في بيئة الاختبار المعزولة السحابية الآمنة. عند اكتمال التحليل، تحصل على تقرير مفصل يوفر معلومات حول سلوك الملف. يمكنك إرسال الملفات للتحليل العميق وقراءة التقارير السابقة عن طريق تحديد إجراء التحليل العميق .

تتطلب بعض الإجراءات أذونات معينة. يصف الجدول التالي الإجراء الذي يمكن أن تتخذه بعض الأذونات على الملفات القابلة للتنفيذ المحمولة (PE) وغير PE:

إذن ملفات PE ملفات غير PE
عرض البيانات X X
التحقيق في التنبيهات X
الاستجابة المباشرة الأساسية X X
استجابة مباشرة متقدمة

لمزيد من المعلومات حول الأدوار، راجع إنشاء الأدوار وإدارتها للتحكم في الوصول المستند إلى الدور.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

إيقاف الملفات وفحصها في الشبكة

يمكنك احتواء هجوم في مؤسستك عن طريق إيقاف العملية الضارة وتكسير الملف حيث تمت ملاحظته.

هام

يمكنك اتخاذ هذا الإجراء فقط إذا:

  • يتم تشغيل الجهاز الذي تتخذ الإجراء عليه Windows 10 والإصدار 1703 أو أحدث Windows 11 وWindows Server 2012 R2+
  • لا ينتمي الملف إلى ناشرين موثوق بهم من جهات خارجية أو لم يتم توقيعه من قبل Microsoft
  • يجب تشغيل برنامج الحماية من الفيروسات Microsoft Defender على الأقل على الوضع السلبي. لمزيد من المعلومات، راجع توافق Microsoft Defender مكافحة الفيروسات.

يتضمن إجراء Stop and Quarantine File إيقاف تشغيل العمليات، وعزل الملفات، وحذف البيانات الثابتة مثل مفاتيح التسجيل.

يسري هذا الإجراء على الأجهزة التي لها Windows 10، الإصدار 1703 أو أحدث، Windows 11 وWindows Server 2012 R2 أو أحدث، حيث تمت ملاحظة الملف في آخر 30 يوما.

ملاحظة

ستتمكن من استعادة الملف من العزل في أي وقت.

إيقاف الملفات وعزلها

  1. حدد الملف الذي تريد إيقافه وعزله. يمكنك تحديد ملف من أي من طرق العرض التالية أو استخدام مربع البحث:

    • التنبيهات - حدد الارتباطات المقابلة من الوصف أو التفاصيل في المخطط الزمني لقصة التنبيه
    • مربع البحث - حدد ملف من القائمة المنسدلة وأدخل اسم الملف

    ملاحظة

    يقتصر إجراء ملف الإيقاف والعزل على 1000 جهاز كحد أقصى. لإيقاف ملف على عدد أكبر من الأجهزة، راجع إضافة مؤشر لحظر الملف أو السماح به.

  2. انتقل إلى الشريط العلوي وحدد Stop and Quarantine File.

    إجراء ملف الإيقاف والعزل

  3. حدد سببا، ثم حدد Confirm.

    صفحة ملف الإيقاف والعزل

    يعرض مركز الصيانة معلومات الإرسال:

    مركز إجراءات ملف الإيقاف والعزل

    • وقت الإرسال - يظهر وقت إرسال الإجراء.
    • Success - يعرض عدد الأجهزة التي تم إيقاف الملف فيها وعزله.
    • Failed - يعرض عدد الأجهزة التي فشل فيها الإجراء وتفاصيل حول الفشل.
    • معلق - يعرض عدد الأجهزة التي لم يتم بعد إيقاف الملف وعزله منها. قد يستغرق هذا وقتا للحالات التي يكون فيها الجهاز غير متصل بالشبكة أو غير متصل بها.
  4. حدد أي من مؤشرات الحالة لعرض مزيد من المعلومات حول الإجراء. على سبيل المثال، حدد Failed لمعرفة مكان فشل الإجراء.

إعلام على مستخدم الجهاز

عند إزالة الملف من جهاز، يتم عرض الإعلام التالي:

الإعلام على مستخدم الجهاز

في المخطط الزمني للجهاز، تتم إضافة حدث جديد لكل جهاز حيث تم إيقاف ملف وعزله.

يظهر تحذير قبل تنفيذ الإجراء للملفات المستخدمة على نطاق واسع في جميع أنحاء المؤسسة. إنه للتحقق من أن العملية مقصودة.

استعادة ملف من الفحص

يمكنك التراجع عن ملف وإزالته من العزل إذا قررت أنه نظيف بعد التحقيق. قم بتشغيل الأمر التالي على كل جهاز تم عزل الملف فيه.

  1. افتح موجه سطر أوامر غير مقيد على الجهاز:

    1. انتقل إلى البدء واكتب cmd.

    2. انقر بزر الماوس الأيمن فوق موجه الأوامر وحدد تشغيل كمسؤول.

  2. أدخل الأمر التالي، واضغط على مفتاح الإدخال Enter:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
    

    ملاحظة

    في بعض السيناريوهات، قد يظهر ThreatName على النحو التالي: EUS:Win32/CustomEnterpriseBlock!cl.

    سيقوم Defender لنقطة النهاية باستعادة جميع الملفات المحظورة المخصصة التي تم عزلها على هذا الجهاز في آخر 30 يوما.

هام

قد لا يكون الملف الذي تم عزله كتهديد محتمل للشبكة قابلا للاسترداد. إذا حاول مستخدم استعادة الملف بعد العزل، فقد لا يمكن الوصول إلى هذا الملف. يمكن أن يكون هذا بسبب عدم وجود بيانات اعتماد الشبكة للنظام للوصول إلى الملف. عادة ما يكون هذا نتيجة سجل مؤقت في نظام أو مجلد مشترك وانتهاء صلاحية الرموز المميزة للوصول.

تنزيل ملف أو تجميعه

يتيح لك تحديد Download file من إجراءات الاستجابة تنزيل أرشيف .zip محلي محمي بكلمة مرور يحتوي على ملفك. تظهر قائمة منبثقة حيث يمكنك تسجيل سبب لتنزيل الملف، وتعيين كلمة مرور.

بشكل افتراضي، يجب أن تكون قادرا على تنزيل الملفات الموجودة في العزل.

يمكن أن يحتوي الزر Download file على الحالات التالية:

  • نشط - يمكنك جمع الملف.

  • معطل - إذا كان الزر رمادي اللون أو معطلا أثناء محاولة مجموعة نشطة، فقد لا يكون لديك أذونات التحكم في الوصول استنادا إلى الدور المناسبة لجمع الملفات.

    الأذونات التالية مطلوبة:

    بالنسبة Microsoft Defender XDR التحكم الموحد في الوصول المستند إلى الدور (RBAC):

    • إضافة إذن مجموعة الملفات في Microsoft Defender XDR الموحد (RBAC)

    بالنسبة Microsoft Defender لنقطة النهاية التحكم في الوصول استنادا إلى الدور (RBAC):

    بالنسبة إلى الملف القابل للتنفيذ المحمول (.exe .sys .dll وغيرها)

    • مسؤول الأمان أو الاستجابة المباشرة المتقدمة أو التنبيهات

    ملف قابل للتنفيذ غير قابل للنقل (.txt .docx وغيرها)

إجراء ملف التنزيل

تنزيل الملفات المعزولة

يتم حفظ الملفات التي تم عزلها بواسطة برنامج الحماية من الفيروسات Microsoft Defender أو فريق الأمان بطريقة متوافقة وفقا لتكوينات إرسال العينة. يمكن لفريق الأمان تنزيل الملفات مباشرة من صفحة تفاصيل الملف عبر الزر "تنزيل الملف". يتم تشغيل هذه الميزة "تشغيل" بشكل افتراضي.

يعتمد الموقع على الإعدادات الجغرافية لمؤسستك (إما الاتحاد الأوروبي أو المملكة المتحدة أو الولايات المتحدة). يتم جمع ملف معزول مرة واحدة فقط لكل مؤسسة. تعرف على المزيد حول حماية بيانات Microsoft من Service Trust Portal في https://aka.ms/STP.

يمكن أن يساعد تشغيل هذا الإعداد فرق الأمان على فحص الملفات السيئة المحتملة والتحقيق في الحوادث بسرعة وبطريقة أقل خطورة. ومع ذلك، إذا كنت بحاجة إلى إيقاف تشغيل هذا الإعداد، فانتقل إلى الإعدادات>نقاط> النهايةالميزات> المتقدمةتنزيل الملفات المعزولة لضبط الإعداد. تعرف على المزيد حول الميزات المتقدمة

النسخ الاحتياطي للملفات المعزولة

قد تتم مطالبة المستخدمين بتقديم موافقة صريحة قبل إجراء نسخ احتياطي للملف المعزول، اعتمادا على تكوين إرسال العينة.

لا تعمل هذه الميزة إذا تم إيقاف تشغيل إرسال العينة. إذا تم تعيين إرسال العينة التلقائي لطلب إذن من المستخدم، يتم جمع العينات التي يوافق المستخدم على إرسالها فقط.

هام

تنزيل متطلبات الملفات المعزولة:

جمع الملفات

إذا لم يكن الملف مخزنا بالفعل بواسطة Microsoft Defender لنقطة النهاية، فلا يمكنك تنزيله. بدلا من ذلك، سترى زر تجميع ملف في نفس الموقع.

يمكن أن يحتوي الزر تجميع الملف على الحالات التالية:

  • نشط - يمكنك جمع الملف.

  • معطل - إذا كان الزر رمادي اللون أو معطلا أثناء محاولة مجموعة نشطة، فقد لا يكون لديك أذونات التحكم في الوصول استنادا إلى الدور المناسبة لجمع الملفات.

    الأذونات التالية مطلوبة:

    بالنسبة إلى الملف القابل للتنفيذ المحمول (.exe .sys .dll وغيرها)

    • مسؤول الأمان أو الاستجابة المباشرة المتقدمة أو التنبيهات

    ملف قابل للتنفيذ غير قابل للنقل (.txt .docx وغيرها)

    • مسؤول الأمان أو استجابة مباشرة متقدمة

إذا لم يتم رؤية ملف في المؤسسة خلال ال 30 يوما الماضية، يتم تعطيل تجميع الملف .

هام

قد لا يكون الملف الذي تم عزله كتهديد محتمل للشبكة قابلا للاسترداد. إذا حاول مستخدم استعادة الملف بعد العزل، فقد لا يمكن الوصول إلى هذا الملف. يمكن أن يكون هذا بسبب عدم وجود بيانات اعتماد الشبكة للنظام للوصول إلى الملف. عادة ما يكون هذا نتيجة سجل مؤقت في نظام أو مجلد مشترك وانتهاء صلاحية الرموز المميزة للوصول.

إضافة مؤشر لحظر ملف أو السماح به

منع المزيد من نشر هجوم في مؤسستك عن طريق حظر الملفات الضارة المحتملة أو البرامج الضارة المشتبه بها. إذا كنت تعرف ملفا قابلا للتنفيذ محمولا يحتمل أن يكون ضارا ، فيمكنك حظره. تمنع هذه العملية قراءتها أو كتابتها أو تنفيذها على الأجهزة في مؤسستك.

هام

  • تتوفر هذه الميزة إذا كانت مؤسستك تستخدم Microsoft Defender تم تمكين الحماية من الفيروسات والحماية المقدمة من السحابة. لمزيد من المعلومات، راجع إدارة الحماية المقدمة من السحابة.

  • يجب أن يكون إصدار عميل مكافحة البرامج الضارة 4.18.1901.x أو أحدث.

  • تم تصميم هذه الميزة لمنع تنزيل البرامج الضارة المشتبه بها (أو الملفات الضارة المحتملة) من الويب. وهو يدعم حاليا الملفات القابلة للتنفيذ المحمولة (PE)، بما في ذلك ملفات.exe وملفات.dll . وسيتم تمديد التغطية بمرور الوقت.

  • يتوفر إجراء الاستجابة هذا للأجهزة على Windows 10 والإصدار 1703 أو أحدث Windows 11.

  • لا يمكن إجراء دالة السماح أو الحظر على الملفات إذا كان تصنيف الملف موجودا على ذاكرة التخزين المؤقت للجهاز قبل إجراء السماح أو الحظر.

ملاحظة

يجب أن يكون ملف PE في المخطط الزمني للجهاز لتتمكن من اتخاذ هذا الإجراء.

قد يكون هناك بضع دقائق من زمن الانتقال بين وقت اتخاذ الإجراء والملف الفعلي الذي يتم حظره.

تمكين ميزة ملف الكتلة

لبدء حظر الملفات، تحتاج أولا إلى تشغيل ميزة الحظر أو السماح في الإعدادات.

السماح أو حظر الملف

عند إضافة تجزئة مؤشر لملف، يمكنك اختيار رفع تنبيه وحظر الملف كلما حاول جهاز في مؤسستك تشغيله.

لا تظهر الملفات التي تم حظرها تلقائيا بواسطة مؤشر في مركز الصيانة الخاص بالملف، ولكن التنبيهات لا تزال مرئية في قائمة انتظار التنبيهات.

راجع إدارة المؤشرات لمزيد من التفاصيل حول حظر التنبيهات ورفعها على الملفات.

لإيقاف حظر ملف، قم بإزالة المؤشر. يمكنك القيام بذلك عبر إجراء تحرير المؤشر في صفحة ملف تعريف الملف. يظهر هذا الإجراء في نفس موضع إجراء إضافة مؤشر ، قبل إضافة المؤشر.

يمكنك أيضا تحرير المؤشرات من صفحة الإعدادات، ضمن مؤشرات القواعد>. يتم سرد المؤشرات في هذه المنطقة بواسطة تجزئة ملفها.

التحقق من تفاصيل النشاط في مركز الإجراءات

يوفر مركز الصيانة معلومات حول الإجراءات التي تم اتخاذها على جهاز أو ملف. يمكنك عرض التفاصيل التالية:

  • مجموعة حزمة التحقيق
  • فحص برنامج الحماية من الفيروسات
  • تقييد التطبيق
  • عزل الجهاز

يتم أيضا عرض جميع التفاصيل الأخرى ذات الصلة، مثل تاريخ/وقت الإرسال، وإرسال المستخدم، وإذا نجح الإجراء أو فشل.

مركز الصيانة مع معلومات

تحليل عميق

عادة ما يتم تشغيل تحقيقات الأمان عبر الإنترنت بواسطة تنبيه. ترتبط التنبيهات بواحد أو أكثر من الملفات التي تمت ملاحظتها والتي غالبا ما تكون جديدة أو غير معروفة. يؤدي تحديد ملف إلى نقلك إلى طريقة عرض الملف حيث يمكنك رؤية بيانات تعريف الملف. لإثراء البيانات المتعلقة بالملف، يمكنك إرسال الملف للتحليل العميق.

تنفذ ميزة التحليل العميق ملفا في بيئة سحابية آمنة ومجهزة بالكامل. تظهر نتائج التحليل العميق أنشطة الملف والسلوكيات المرصودة والبيانات الاصطناعية المرتبطة به، مثل الملفات التي تم إسقاطها وتعديلات السجل والاتصال ب IPs. يدعم التحليل العميق حاليا تحليلا شاملا للملفات القابلة للتنفيذ المحمولة (PE) (بما في ذلك ملفات.exe وملفات.dll ).

يستغرق التحليل العميق لملف عدة دقائق. بمجرد اكتمال تحليل الملف، يتم تحديث علامة التبويب Deep Analysis لعرض ملخص وتاريخ ووقت أحدث النتائج المتاحة.

يتضمن ملخص التحليل العميق قائمة بالسلوكيات التي تمت ملاحظتها، والتي يمكن أن يشير بعضها إلى النشاط الضار، والملاحظات، بما في ذلك عناوين IP والملفات التي تم الاتصال بها التي تم إنشاؤها على القرص. إذا لم يتم العثور على أي شيء، تعرض هذه المقاطع رسالة مختصرة.

تتم مطابقة نتائج التحليل العميق مع التحليل الذكي للمخاطر وأي تطابقات تولد تنبيهات مناسبة.

استخدم ميزة التحليل العميق للتحقيق في تفاصيل أي ملف، عادة أثناء التحقيق في تنبيه أو لأي سبب آخر حيث تشك في السلوك الضار. تتوفر هذه الميزة في أعلى صفحة الملف. حدد النقاط الثلاث للوصول إلى إجراء التحليل العميق .

لقطة شاشة لإجراء التحليل العميق

تعرف على التحليل العميق في الفيديو التالي:

يتم تمكين الإرسال للتحليل العميق عندما يكون الملف متوفرا في مجموعة عينة الواجهة الخلفية ل Defender لنقطة النهاية، أو إذا تمت ملاحظته على جهاز Windows 10 يدعم الإرسال إلى التحليل العميق.

ملاحظة

يمكن جمع الملفات فقط من Windows 10 Windows 11 وWindows Server 2012 R2+ تلقائيا.

يمكنك أيضا إرسال عينة من خلال مدخل Microsoft Defender إذا لم تتم ملاحظة الملف على جهاز Windows 10 (أو Windows 11 أو Windows Server 2012 R2+)، وانتظار توفر زر إرسال للتحليل العميق.

ملاحظة

نظرا لتدفقات معالجة الواجهة الخلفية في مدخل Microsoft Defender، قد يكون هناك ما يصل إلى 10 دقائق من زمن الانتقال بين إرسال الملف وتوافر ميزة التحليل العميق في Defender لنقطة النهاية.

إرسال الملفات للتحليل العميق

  1. حدد الملف الذي تريد إرساله للتحليل العميق. يمكنك تحديد ملف أو البحث عنه من أي من طرق العرض التالية:

    • التنبيهات - حدد ارتباطات الملف من الوصف أو التفاصيل في المخطط الزمني لقصة التنبيه
    • قائمة الأجهزة - حدد ارتباطات الملفات من قسم الوصف أو التفاصيل في الجهاز في المؤسسة
    • مربع البحث - حدد ملف من القائمة المنسدلة وأدخل اسم الملف
  2. في علامة التبويب تحليل عميق في طريقة عرض الملف، حدد إرسال.

    زر إرسال ملفات PE

    ملاحظة

    يتم دعم ملفات PE فقط، بما في ذلك ملفات.exe وملفات.dll .

    يتم عرض شريط التقدم ويوفر معلومات حول المراحل المختلفة للتحليل. يمكنك بعد ذلك عرض التقرير عند الانتهاء من التحليل.

ملاحظة

اعتمادا على توفر الجهاز، يمكن أن يختلف وقت جمع العينة. هناك مهلة مدتها 3 ساعات لجمع العينات. ستفشل المجموعة وسيتم إحباط العملية إذا لم يكن هناك جهاز Windows 10 عبر الإنترنت (أو Windows 11 أو Windows Server 2012 R2+) في ذلك الوقت. يمكنك إعادة إرسال الملفات للتحليل العميق للحصول على بيانات جديدة على الملف.

عرض تقارير التحليل العميق

اعرض تقرير التحليل العميق المقدم للاطلاع على مزيد من الرؤى المتعمقة حول الملف الذي أرسلته. تتوفر هذه الميزة في سياق عرض الملف.

يمكنك عرض التقرير الشامل الذي يوفر تفاصيل حول الأقسام التالية:

  • السلوكيات
  • العلامات المرصودة

يمكن أن تساعدك التفاصيل المقدمة في التحقيق في ما إذا كانت هناك مؤشرات على وجود هجوم محتمل.

  1. حدد الملف الذي أرسلته للتحليل العميق.

  2. حدد علامة التبويب Deep analysis . إذا كانت هناك أي تقارير سابقة، يظهر ملخص التقرير في علامة التبويب هذه.

    يعرض تقرير التحليل العميق معلومات مفصلة عبر عدد من الفئات

استكشاف أخطاء التحليل العميق وإصلاحها

إذا واجهت مشكلة عند محاولة إرسال ملف، فجرب كل خطوة من خطوات استكشاف الأخطاء وإصلاحها التالية.

  1. تأكد من أن الملف المعني هو ملف PE. تحتوي ملفات PE عادة على ملحقات.exe أو .dll (برامج أو تطبيقات قابلة للتنفيذ).

  2. تأكد من أن الخدمة لديها حق الوصول إلى الملف، وأنه لا يزال موجودا، ولم يتم إتلافه أو تعديله.

  3. انتظر لفترة قصيرة وحاول إرسال الملف مرة أخرى. قد تكون قائمة الانتظار ممتلئة، أو كان هناك اتصال مؤقت أو خطأ في الاتصال.

  4. إذا لم يتم تكوين نهج جمع العينة، فإن السلوك الافتراضي هو السماح بجمع العينات. إذا تم تكوينه، فتحقق من أن إعداد النهج يسمح بجمع العينات قبل إرسال الملف مرة أخرى. عند تكوين مجموعة العينة، تحقق من قيمة التسجيل التالية:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    Name: AllowSampleCollection
    Type: DWORD
    Hexadecimal value :
      Value = 0 - block sample collection
      Value = 1 - allow sample collection
    
  5. تغيير الوحدة التنظيمية من خلال نهج المجموعة. لمزيد من المعلومات، راجع تكوين باستخدام نهج المجموعة.

  6. إذا لم تحل هذه الخطوات المشكلة، فاتصل بالدعم.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.