التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

كما تظهر تنبيهات الأمان في مؤسسة Microsoft 365 في https://security.microsoft.com/alerts، يعود الأمر إلى فريق عمليات الأمان (SecOps) لمراجعة هذه التنبيهات وتحديد أولوياتها والاستجابة لها. يمكن أن يكون مواكبة حجم التنبيهات الواردة أمرا صعبا. يمكن أن يساعد أتمتة بعض هذه المهام.

تتضمن Microsoft Defender لـ Office 365 الخطة 2 (المضمنة في تراخيص Microsoft 365 مثل E5 أو كاشتراك مستقل) إمكانات تحقيق واستجابة تلقائية قوية (AIR) توفر الوقت والجهد لفرق SecOps.

يفرز AIR تنبيهات عالية التأثير وعالية الحجم من خلال إكمال التحقيقات على مستوى المؤسسة. تتوسع تحقيقات AIR في عمليات الكشف أو توفر تحليلا إضافيا لتحديد حالة التهديد للمؤسسة. عندما يحدد AIR التهديدات، فإنه يصطف إجراءات معالجة التهديدات لموظفي SecOps للموافقة عليها. ينتج عن AIR الفوائد التالية:

• عمليات التحقيق التلقائية استجابة للتهديدات المعروفة.
• إجراءات المعالجة المناسبة في انتظار الموافقة، ما يمكن فريق SecOps من الاستجابة بفعالية للتهديدات المكتشفة.
• يمكن لفريق SecOps التركيز على المهام ذات الأولوية الأعلى دون إغفال التنبيهات المهمة التي يتم تشغيلها.

يتطلب AIR في Defender لـ Office 365 الخطة 2 تشغيل تسجيل التدقيق (يتم تشغيله بشكل افتراضي).

التدفق العام ل AIR

يتم تشغيل تنبيه، ويبدأ دليل مبادئ الأمان تحقيقا تلقائيا، ما يؤدي إلى النتائج والإجراءات الموصى بها. فيما يلي التدفق العام ل AIR، خطوة بخطوة:

1. يتم بدء التحقيق التلقائي بإحدى الطرق التالية:

   • تنبيهات محددة مصممة لبدء AIR. تتضمن هذه التنبيهات ما يلي:

     • يتم تحديد شيء مريب في البريد الإلكتروني (على سبيل المثال، الرسالة نفسها أو مرفق أو عنوان URL أو حساب مستخدم مخترق).

     • الإزالة التلقائية للساعة الصفرية (ZAP).

     • عمليات إرسال المستخدم.

     • نقر المستخدم فوق التنبيهات.

     • سلوك علبة البريد المشبوهة.

       تلميح

       تأكد من مراجعة التنبيهات بانتظام لمؤسستك. لمزيد من المعلومات حول نهج التنبيه التي تقوم بتشغيل التحقيقات التلقائية، راجع نهج التنبيه الافتراضية في فئة إدارة التهديدات. يمكن أن تؤدي الإدخالات التي تحتوي على القيمة Yes للتحقيق التلقائي إلى إجراء تحقيقات تلقائية. إذا تم تعطيل هذه التنبيهات أو استبدالها بتنبيهات مخصصة، فلن يتم تشغيل AIR.

   • يقوم محلل الأمان بتشغيل التحقيق يدويا عن طريق تحديد اتخاذ إجراء في مستكشف التهديدات أو التتبع المتقدم أو الكشف المخصص أو صفحة كيان البريد الإلكتروني أو لوحة ملخص البريد الإلكتروني. لمزيد من المعلومات، راجع تتبع التهديدات: معالجة البريد الإلكتروني. للحصول على أمثلة، راجع للحصول على أمثلة، راجع أمثلة التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2.

2. يقوم التحقيق التلقائي بتقييم وتحليل طبيعة التنبيه والرسالة المعنية والأدلة الإضافية المحيطة بالرسالة. يمكن أن يزيد نطاق التحقيق بناء على الأدلة التي تم الكشف عنها وجمعها أثناء التحقيق.

3. أثناء التحقيق التلقائي وبعده، تتوفر التفاصيل والنتائج . قد تتضمن النتائج الإجراءات الموصى بها لموظفي SecOps لمعالجة التهديدات التي تم العثور عليها.

4. يراجع فريق SecOps نتائج التحقيق والتوصيات (في التحقيق نفسه، أو الحادث، أو في مركز الصيانة)، ويوافق على إجراءات المعالجة أو يرفضها.

   تلميح

   لا تحدث أي إجراءات معالجة تلقائيا. تتطلب إجراءات المعالجة موافقة يدوية من قبل موظفي SecOps. توفر قدرات AIR الوقت من خلال الوصول إلى إجراءات المعالجة الموصى بها مع جميع التفاصيل لاتخاذ قرار مستنير.

   يوفر AIR أيضا الوقت من خلال تقييم التنبيهات والحوادث وحلها تلقائيا حيث لم يتم العثور على تهديدات. هذه النتيجة شائعة جدا في سيناريوهات إرسال المستخدم. يغلق AIR التحقيق إذا لم يتم العثور على تهديدات أو تم العثور على تهديدات في الرسائل التي تم معالجتها بالفعل. نموذجيا

5. نظرا للموافقة على إجراءات المعالجة المعلقة أو رفضها، يكتمل التحقيق التلقائي.

   يتم إغلاق التحقيق التلقائي تلقائيا إذا لم يتم تحديد أي إجراءات موصى بها. لا تزال تفاصيل التحقيق متوفرة على صفحة التحقيقات في https://security.microsoft.com/airinvestigation.

أثناء وبعد كل تحقيق تلقائي، يمكن لفريق SecOps القيام بالمهام التالية:

• عرض تفاصيل حول تنبيه متعلق بالتحقيق
• عرض تفاصيل نتائج التحقيق
• مراجعة الإجراءات والموافقة عليها نتيجة للتحقيق

الأذونات المطلوبة والترخيص ل AIR

تحتاج إلى تعيين أذونات لاستخدام AIR. لديك الخيارات التالية:

• Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (إذا كانت أذونات & البريد الإلكتروني Defender لـ Office 365>نشطة. يؤثر على مدخل Defender فقط، وليس PowerShell):
  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها: عمليات الأمان/إجراءات المعالجة المتقدمة للبريد الإلكتروني (إدارة).
• البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender:
  • إعداد ميزات AIR: العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان .
  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها:
    • العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان أو عامل تشغيل الأمان أو قارئ الأمان أو القارئ العمومي . و
    • دور البحث والإزالة ، الذي يتم تعيينه فقط إلى مجموعات دور محقق البيانات أو إدارة المؤسسة بشكل افتراضي. أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور البحث والإزالة ، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.
• أذونات Microsoft Entra: امنح المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365:
  • إعداد ميزات AIR العضوية في أدوار المسؤول العام أو مسؤول الأمان .
  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها:
    • العضوية في أدوار المسؤول العام أو مسؤول الأمان أو عامل تشغيل الأمان أو قارئ الأمان أو القارئ العمومي . و
    • العضوية في مجموعة دور التعاون & البريد الإلكتروني مع تعيين دور البحث والمسح كما هو موضح سابقا.

لاستخدام AIR، يجب تعيين ترخيص Defender لـ Office 365 الخطة 2 (مضمن في اشتراكك أو ترخيص الوظيفة الإضافية).

الخطوات التالية

• أمثلة AIR
• الاطلاع على تفاصيل ونتائج التحقيق التلقائي
• مراجعة الإجراءات المعلقة والموافقة عليها
• عرض إجراءات المعالجة المعلقة أو المكتملة