تحليلات التهديدات في Microsoft Defender

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

تحليلات التهديدات هي حل تحليل ذكي للمخاطر داخل المنتج من الباحثين الأمنيين الخبراء في Microsoft. فهو يساعد فرق الأمان على البقاء فعالة أثناء مواجهة التهديدات الناشئة، مثل:

  • الجهات الفاعلة النشطة في مجال التهديد وحملاتها
  • تقنيات الهجوم الشائعة والجديدة
  • الثغرات الأمنية الحرجة
  • أسطح الهجوم الشائعة
  • البرامج الضارة السائدة

يمكنك الوصول إلى تحليلات التهديدات من الجانب الأيسر العلوي من شريط التنقل Microsoft Defender المدخل، أو من بطاقة لوحة معلومات مخصصة تعرض أهم التهديدات لمؤسستك، سواء من حيث التأثير المعروف أو تعرضك.

لقطة شاشة للصفحة المقصودة لتحليلات المخاطر

يمكن أن يساعد الحصول على رؤية للحملات النشطة أو المستمرة ومعرفة ما يجب القيام به من خلال تحليلات التهديدات في تزويد فريق عمليات الأمان بقرارات مستنيرة.

مع ظهور خصوم أكثر تطورا وتهديدات جديدة بشكل متكرر ومنتشر، من الضروري أن تكون قادرا على القيام بما يلي بسرعة:

  • تحديد التهديدات الناشئة والتفاعل معها
  • تعرف على ما إذا كنت تتعرض للهجوم حاليا
  • تقييم تأثير التهديد على أصولك
  • مراجعة مرونتك في مواجهة التهديدات أو التعرض لها
  • تحديد إجراءات التخفيف أو الاسترداد أو الوقاية التي يمكنك اتخاذها لإيقاف التهديدات أو احتواءها

ويقدم كل تقرير تحليلا للمخاطر المتعقبة وإرشادات شاملة حول كيفية الدفاع ضد هذا التهديد. كما يتضمن بيانات من شبكتك، مما يشير إلى ما إذا كان التهديد نشطا وما إذا كانت لديك حماية قابلة للتطبيق في مكانها.

الأدوار والأذونات المطلوبة

للوصول إلى تحليلات المخاطر في مدخل Defender، تحتاج إلى ترخيص لمنتج Microsoft Defender XDR واحد على الأقل. لمزيد من المعلومات، راجع المتطلبات الأساسية Microsoft Defender XDR.

ملاحظة

يعد ترخيص Microsoft Defender لنقطة النهاية P1 استثناء لهذا الشرط الأساسي ولا يمنح الوصول إلى تحليلات التهديد.

Microsoft Sentinel يمكن لعملاء SIEM الوصول إلى أقسام أو علامات تبويب معينة لتحليلات المخاطر فقط. معرفة المزيد

الأدوار والأذونات التالية مطلوبة أيضا للوصول إلى تحليلات المخاطر:

  • أساسيات بيانات الأمان (قراءة)— لعرض تقرير تحليلات التهديدات والحوادث والتنبيهات ذات الصلة والأصول المتأثرة
  • إدارة الثغرات الأمنية (قراءة)وإدارة التعرض (قراءة)—للاطلاع على بيانات التعرض ذات الصلة والإجراءات الموصى بها

بشكل افتراضي، تتم إدارة الوصول إلى الخدمات المتوفرة في مدخل Defender بشكل جماعي باستخدام Microsoft Entra الأدوار العمومية. إذا كنت بحاجة إلى مرونة أكبر والتحكم في الوصول إلى بيانات منتج معينة، ولم تكن تستخدم بعد Microsoft Defender التحكم الموحد في الوصول المستند إلى الدور (RBAC) لإدارة الأذونات المركزية، نوصي بإنشاء أدوار مخصصة لكل خدمة. تعرف على المزيد حول إنشاء أدوار مخصصة

هام

لديك رؤية لجميع تقارير تحليلات التهديدات حتى إذا كان لديك واحد فقط من المنتجات المدعومة. ومع ذلك، تحتاج إلى كل منتج ودور لمعرفة الحوادث والأصول والتعرض والإجراءات الموصى بها المرتبطة بالتهديد.

عرض لوحة معلومات تحليلات المخاطر

تسلط لوحة معلومات تحليلات المخاطر (security.microsoft.com/threatanalytics3) الضوء على التقارير الأكثر صلة بالمؤسسة. يلخص التهديدات في الأقسام التالية:

  • أحدث التهديدات - تسرد أحدث تقارير التهديدات المنشورة أو المحدثة، إلى جانب عدد التنبيهات النشطة والمحلة.
  • التهديدات عالية التأثير - تسرد التهديدات التي لها أعلى تأثير على مؤسستك. يسرد هذا القسم التهديدات مع أكبر عدد من التنبيهات النشطة والمحلة أولا.
  • أعلى تهديدات التعرض - تسرد التهديدات التي تتعرض لها مؤسستك أعلى مستوى من التعرض. يتم حساب مستوى تعرضك للمخاطر باستخدام جزءين من المعلومات: مدى خطورة الثغرات الأمنية المرتبطة بالتهديد، وعدد الأجهزة في مؤسستك التي يمكن استغلالها بواسطة نقاط الضعف هذه.

لقطة شاشة للوحة معلومات تحليلات المخاطر،

حدد تهديدا من لوحة المعلومات لعرض التقرير لهذا التهديد. يمكنك أيضا تحديد حقل البحث للمفتاح في كلمة أساسية مرتبطة بتقرير تحليلات التهديدات الذي تريد قراءته.

عرض التقارير حسب الفئة

يمكنك تصفية قائمة تقارير التهديد وعرض التقارير الأكثر صلة وفقا للخيارات التالية:

  • علامات التهديد - تساعدك في عرض التقارير الأكثر صلة وفقا لفئة تهديد محددة. على سبيل المثال، تتضمن علامة برامج الفدية الضارة جميع التقارير المتعلقة ببرامج الفدية الضارة.

    يضيف فريق التحليل الذكي للمخاطر من Microsoft علامات التهديد إلى كل تقرير تهديد. تتوفر علامات التهديد التالية حاليا:

    • برامج الفدية الضارة
    • التصيّد الاحتيالي
    • مجموعة النشاط
    • ثغرة أمنية

  • الفئة - تساعدك في عرض التقارير الأكثر صلة وفقا لنوع تقرير معين. على سبيل المثال، تتضمن فئة المستخدم جميع ملفات تعريف ممثل التهديد. تعرف على المزيد حول أنواع تقارير المحللين المختلفة

تساعدك عوامل التصفية هذه في مراجعة قائمة تقارير التهديد بكفاءة. على سبيل المثال، يمكنك عرض جميع تقارير التهديد المتعلقة بفئة برامج الفدية الضارة أو تقارير التهديد التي تتضمن نقاط ضعف.

يتم تقديم الفئات في أعلى صفحة تحليلات التهديدات. تعرض العدادات عدد التقارير المتوفرة ضمن كل فئة.

لقطة شاشة أنواع تقارير تحليلات التهديدات.

لإضافة أنواع عوامل تصفية التقارير في لوحة المعلومات، حدد عوامل التصفية، واختر من القائمة، وحدد إضافة.

لقطة شاشة لخيار إضافة عوامل تصفية لتحليلات المخاطر.

لتعيين أنواع التقارير التي تريدها في القائمة استنادا إلى عوامل التصفية المتوفرة، حدد نوع عامل تصفية (على سبيل المثال، علامات التهديد)، واختر من القائمة، وحدد تطبيق.

لقطة شاشة لقائمة عوامل التصفية في علامات التهديد.

عرض تقرير تحليلات المخاطر

يوفر كل تقرير من تقارير تحليلات التهديدات معلومات في عدة أقسام:

نظرة عامة: فهم التهديد بسرعة وتقييم تأثيره ومراجعة الدفاعات

يوفر قسم نظرة عامة معاينة لتقرير المحلل التفصيلي. كما يوفر مخططات تسلط الضوء على تأثير التهديد على مؤسستك، وتعرضك من خلال الأجهزة التي تم تكوينها بشكل خاطئ وغير المكشوفة.

لقطة شاشة لقسم النظرة العامة في تقرير تحليلات التهديدات.

فهم التهديد وتكتيكاته وتقنياته وإجراءاته

يتضمن كل تقرير التفاصيل التالية حول التهديد، كلما كان ذلك ممكنا أو متوفرا، مما يوفر لك لمحة سريعة عن ماهية التهديد وكيفية تأثيره على مؤسستك:

  • الأسماء المستعارة - تسرد الأسماء التي تم الكشف عنها بشكل عام والتي قدمها موردو الأمان الآخرون إلى التهديد
  • الأصل - يظهر البلد أو المنطقة التي نشأ منها التهديد
  • المعلومات الذكية ذات الصلة - تسرد تقارير تحليلات التهديدات الأخرى ذات الصلة أو ذات الصلة بالتهديد
  • الأهداف - تسرد البلدان أو المناطق والصناعات التي يستهدفها التهديد
  • تقنيات هجوم MITRE - تسرد تكتيكات التهديد التي تمت ملاحظتها وتقنياته وإجراءاته (TTPs) وفقا لإطار عمل MITRE ATT&CK

تقييم التأثير على مؤسستك

يتضمن كل تقرير مخططات مصممة لتوفير معلومات حول التأثير التنظيمي للتهديد:

  • الحوادث ذات الصلة - توفر نظرة عامة على تأثير التهديد المتعقب لمؤسستك بالبيانات التالية:
    • عدد التنبيهات النشطة وعدد الحوادث النشطة المرتبطة بها
    • خطورة الحوادث النشطة
  • التنبيهات بمرور الوقت - تعرض عدد التنبيهات النشطةوالمحلة ذات الصلة بمرور الوقت. يشير عدد التنبيهات التي تم حلها إلى مدى سرعة استجابة مؤسستك للتنبيهات المرتبطة بالتهديد. من الناحية المثالية، يجب أن يعرض المخطط التنبيهات التي تم حلها في غضون بضعة أيام.
  • الأصول المتأثرة - تعرض عدد الأصول المميزة التي لديها حاليا تنبيه نشط واحد على الأقل مرتبط بالتهديد المتعقب. يتم تشغيل التنبيهات لعلب البريد التي تتلقى رسائل البريد الإلكتروني للمخاطر. راجع كلا من النهج على مستوى المؤسسة والمستخدم للتجاوزات التي تتسبب في تسليم رسائل البريد الإلكتروني للمخاطر.

مراجعة مرونة الأمان ووضعه

يتضمن كل تقرير مخططات توفر نظرة عامة حول مدى مرونة مؤسستك في مواجهة تهديد معين:

  • الإجراءات الموصى بها - تظهر النسبة المئوية لحالة الإجراء ، أو عدد النقاط التي حققتها لتحسين وضع الأمان الخاص بك. تنفيذ الإجراءات الموصى بها للمساعدة في معالجة التهديد. يمكنك عرض تصنيف النقاط حسب الفئة أو الحالة.
  • تعرض نقاط النهاية — يظهر عدد الأجهزة المعرضة للخطر. تطبيق تحديثات الأمان أو التصحيحات لمعالجة الثغرات الأمنية التي يستغلها التهديد.

تقرير المحلل: الحصول على نتيجة تحليلات الخبراء من باحثي أمان Microsoft

في قسم تقرير المحلل ، يمكنك قراءة كتابة الخبراء التفصيلية. تقدم معظم التقارير أوصافا مفصلة لسلاسل الهجوم، بما في ذلك التكتيكات والتقنيات المعينة لإطار عمل MITRE ATT&CK، وقوائم شاملة بالتوصيات، وإرشادات قوية لتعقب التهديدات .

تعرف على المزيد حول تقرير المحلل

توفر علامة التبويب الحوادث ذات الصلة قائمة بجميع الحوادث المتعلقة بالتهديد المتعقب. يمكنك تعيين الحوادث أو إدارة التنبيهات المرتبطة بكل حادث.

لقطة شاشة لقسم الحوادث ذات الصلة في تقرير تحليلات التهديدات.

ملاحظة

تأتي الحوادث والتنبيهات المرتبطة بالتهديد من Microsoft Defender لنقطة النهاية، Microsoft Defender for Identity، Microsoft Defender Office 365، Microsoft Defender for Cloud Apps، Microsoft Defender للسحابة.

الأصول المتأثرة: احصل على قائمة بالأجهزة المتأثرة والمستخدمين وعلب البريد والتطبيقات وموارد السحابة

تعرض علامة التبويب الأصول المتأثرة الأصول المتأثرة بالتهديد بمرور الوقت. يعرض ما يلي:

  • الأصول المتأثرة بالتنبيهات النشطة
  • الأصول المتأثرة بالتنبيهات التي تم حلها
  • جميع الأصول، أو العدد الإجمالي للأصول المتأثرة بالتنبيهات النشطة والمحلية

تنقسم الأصول إلى الفئات التالية:

  • الاجهزه
  • المستخدمون
  • صناديق البريد
  • تطبيقات
  • موارد السحابة

لقطة شاشة لقسم الأصول المتأثرة في تقرير تحليلات التهديدات.

التعرض لنقاط النهاية: تعرف على حالة توزيع تحديثات الأمان

يوفر قسم التعرض لنقاط النهايةمستوى تعرض مؤسستك للتهديد. يتم حساب مستوى التعرض استنادا إلى شدة الثغرات الأمنية والتكوينات الخاطئة التي يستغلها التهديد، وعدد الأجهزة ذات نقاط الضعف هذه.

يوفر هذا القسم أيضا حالة نشر تحديثات أمان البرامج المدعومة للثغرات الأمنية الموجودة على الأجهزة المإلحاقة. وهو يتضمن بيانات من إدارة الثغرات الأمنية في Microsoft Defender، التي توفر أيضا معلومات تفصيلية عن التنقل التفصيلي من روابط مختلفة في التقرير.

قسم التعرض لنقاط النهاية في تقرير تحليلات التهديدات

في علامة التبويب الإجراءات الموصى بها ، راجع قائمة التوصيات القابلة للتنفيذ المحددة التي يمكن أن تساعدك على زيادة مرونة مؤسستك ضد التهديد. تتضمن قائمة عوامل التخفيف المتعقبة تكوينات الأمان المدعومة، مثل:

  • الحماية المقدمة من السحابة
  • حماية التطبيقات غير المرغوب فيها (PUA)
  • الحماية في الوقت الحقيقي

قسم الإجراءات الموصى بها في تقرير تحليلات التهديدات الذي يعرض تفاصيل الثغرات الأمنية

المؤشرات: عرض بنية أساسية محددة وأدلة وراء التهديد (معاينة)

توفر علامة التبويب المؤشرات قائمة بجميع مؤشرات التسوية (IOCs) المرتبطة بالتهديد. يقوم باحثو Microsoft بتحديث عمليات IOCs هذه في الوقت الفعلي حيث يجدون أدلة جديدة تتعلق بالتهديد. تساعد هذه المعلومات مركز عمليات الأمان (SOC) ومحللي التحليل الذكي للمخاطر مع المعالجة والتتبع الاستباقي. تحتفظ القائمة أيضا ب IOCs منتهية الصلاحية، حتى تتمكن من التحقيق في التهديدات السابقة وفهم تأثيرها في بيئتك.

لقطة شاشة لعلامة تبويب المؤشرات في تقرير تحليلات التهديدات.

هام

يمكن للعملاء الذين تم التحقق من صحتهم فقط الوصول إلى المعلومات في علامة التبويب المؤشرات . إذا لم يكن لديك حق الوصول إلى هذه المعلومات، فستحتاج إلى التحقق من المستأجر الخاص بك. تعرف على المزيد حول الوصول إلى IOCs

ابق على اطلاع بأحدث التقارير والتحليل الذكي للمخاطر

تستفيد تحليلات التهديدات من الميزات المختلفة Microsoft Defender Microsoft Security Copilot وتدمجها للحفاظ على تحديثك وفريق SOC كلما توفر تقرير جديد أو جزء جديد من التحليل الذكي للمخاطر ذي الصلة بالبيئة الخاصة بك.

إعداد عامل الإحاطة الإعلامية للتحليل الذكي للمخاطر

قم بإعداد عامل إحاطة التحليل الذكي للمخاطر للحصول على تقارير التحليل الذكي للمخاطر ذات الصلة في الوقت المناسب مع تحليل تقني مفصل استنادا إلى أحدث نشاط لمستخدم التهديد والتعرض للثغرات الأمنية الداخلية والخارجية على حد سواء. يربط العامل بيانات تهديدات Microsoft وإشارات العملاء لإضافة سياق مهم لمعلومات التهديد في غضون دقائق، ما يوفر ساعات فرق المحللين أو حتى الأيام التي يقضيها في جمع المعلومات الاستخباراتية والارتباط.

بمجرد التوزيع، يظهر عامل إحاطة التحليل الذكي للمخاطر كشعار في أعلى صفحة تحليلات التهديد.

لقطة شاشة لشعار عامل إحاطة التحليل الذكي للمخاطر أعلى صفحة تحليلات التهديد.

تعرف على المزيد حول عامل الإحاطة الإعلامية للتحليل الذكي للمخاطر

إعداد قواعد الكشف المخصصة وربطها بتقارير تحليلات المخاطر. إذا تم تشغيل هذه القواعد وإنشاء تنبيه لحادث، يظهر التقرير في ذلك الحادث ويظهر الحدث ضمن علامة التبويب الحوادث ذات الصلة ، تماما مثل أي اكتشاف آخر تحدده Microsoft.

لقطة شاشة لصفحة إعداد الكشف المخصص مع تمييز خيار تحليلات التهديدات.

تعرف على المزيد حول إنشاء قواعد الكشف المخصصة وإدارتها

إعداد إعلامات البريد الإلكتروني لتحديثات التقارير

إعداد إعلامات البريد الإلكتروني التي ترسل لك تحديثات حول تقارير تحليلات المخاطر. لإنشاء إعلامات البريد الإلكتروني، اتبع الخطوات الواردة في الحصول على إعلامات البريد الإلكتروني لتحديثات تحليلات المخاطر في Microsoft Defender XDR.

تفاصيل التقرير والقيود الأخرى

عند مراجعة بيانات تحليلات المخاطر، ضع في اعتبارك العوامل التالية:

  • تعرض قائمة الاختيار في علامة التبويب الإجراءات الموصى بها فقط التوصيات المتعقبة في Microsoft Secure Score. تحقق من علامة تبويب تقرير المحلل لمزيد من الإجراءات الموصى بها التي لم يتم تعقبها في Secure Score.
  • لا تضمن الإجراءات الموصى بها المرونة الكاملة وتعكس فقط أفضل الإجراءات الممكنة اللازمة لتحسينها.
  • تستند الإحصائيات المتعلقة ببرنامج الحماية من الفيروسات إلى إعدادات برنامج الحماية من الفيروسات Microsoft Defender.
  • يعرض عمود الأجهزة التي تم تكوينها بشكل خاطئ في صفحة تحليلات التهديد الرئيسية عدد الأجهزة المتأثرة بالتهديد عند عدم تشغيل الإجراءات الموصى بها ذات الصلة بالتهديد. ومع ذلك، إذا لم يربط باحثو Microsoft أي إجراءات موصى بها، يعرض عمود الأجهزة التي تم تكوينها بشكل خاطئ الحالة غير متوفرة.
  • يعرض عمود الأجهزة الضعيفة في صفحة تحليلات المخاطر الرئيسية عدد الأجهزة التي تقوم بتشغيل البرامج المعرضة لأي من الثغرات الأمنية المرتبطة بالتهديد. ومع ذلك، إذا لم يربط باحثو Microsoft أي ثغرات أمنية، يعرض عمود الأجهزة الضعيفة الحالة غير متوفرة.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

  • Last updated on