مشاركة عبر

المعالجة التلقائية في التحقيق والاستجابة التلقائيين (AIR)

بشكل افتراضي، تتطلب إجراءات المعالجة التي تم تحديدها بواسطة التحقيق والاستجابة التلقائيين (AIR) في Microsoft Defender لـ Office 365 الخطة 2 موافقة فرق عمليات الأمان (SecOps). لمزيد من المعلومات حول AIR، راجع التحقيق والاستجابة التلقائيين (AIR) في Microsoft Defender لـ Office 365 الخطة 2

الآن، يمكن للمسؤولين أيضا تعيين إجراءات معينة للمعالجة تلقائيا. معالجة الرسائل التي تم تحديدها على أنها ضارة في تحقيقات AIR تلقائيا لها المزايا التالية:

  • يزيد من حماية العملاء عن طريق تسريع معالجة المزيد من التهديدات.
  • يوفر الوقت لفرق SecOps عن طريق تقليل الحاجة إلى الموافقة.

توضح بقية هذه المقالة كيفية تكوين المعالجة التلقائية في AIR وكيفية تحديد الرسائل التي تمت معالجتها تلقائيا.

تكوين المعالجة التلقائية

ينشئ AIR مجموعة حول ملف ضار أو عنوان URL تم اكتشافه، ثم يتحقق التحقيق التلقائي من موقع الرسائل داخل نظام المجموعة. إذا كانت الرسائل في علب البريد، ينتج AIR إجراء معالجة.

بعد تحديد أنواع نظام المجموعة للمعالجة تلقائيا، يحدث إجراء المعالجة المحدد دون الحاجة إلى موافقة SecOps.

تلميح

لا تزال المجموعات التي تنتجها AIR والتي لا تتم معالجتها تلقائيا تظهر كإجراء معلق كما تفعل اليوم.

لا تتم معالجة المجموعات التي يزيد حجمها عن 10000 رسالة تلقائيا وتظهر كإجراء معلق للمراجعة.

استخدم الخطوات التالية لتحديد أنواع نظام المجموعة لمعالجة تلقائيا:

في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى الإعدادات>البريد الإلكتروني & التعاون>MDO إعدادات التشغيل التلقائي.

تتوفر الإعدادات التالية في صفحة إعدادات التنفيذ التلقائي :

  • قسم مجموعات الرسائل: يحدد أنواع مجموعات الرسائل التي تتم معالجتها تلقائيا. اختر خيارا واحدا أو أكثر من الخيارات التالية:

  • ملفات مشابهة: عندما يتعرف التحقيق التلقائي على ملف ضار، فإنه ينشئ مجموعة حول الملف الضار. يجمع نظام المجموعة جميع الرسائل التي تحتوي على الملف في نظام المجموعة. يؤدي تحديد هذا الإعداد إلى اختيار المؤسسة للمعالجة التلقائية لمجموعات الملفات الضارة هذه.

  • عناوين URL مماثلة: عندما يتعرف التحقيق التلقائي على عنوان URL ضار، فإنه ينشئ مجموعة حول عنوان URL الضار. تجمع المجموعة جميع الرسائل التي تحتوي على عنوان URL في نظام المجموعة. يؤدي تحديد هذا الإعداد إلى اختيار المؤسسة للمعالجة التلقائية لمجموعات URL الضارة هذه.

    تلميح

    اتبع خارطة الطريق للبقاء على علم بوقت توفر المزيد من مجموعات الرسائل للمعالجة التلقائية.

  • قسم إجراء المعالجة: يحدد الإجراء الذي يجب اتخاذه على أنواع نظام مجموعة الرسائل المحددة في قسم مجموعات الرسائل.

    حاليا، الحذف المبدئي هو الإجراء الوحيد المتاح. لمزيد من المعلومات حول الرسائل المحذوفة مبدئيا، راجع مجلد العناصر القابلة للاسترداد في Exchange Online.

    هام

    تعتمد القدرة على استرداد الرسائل المحذوفة مبدئيا على نهج الاستبقاء للرسائل المحذوفة مبدئيا في كل علبة بريد. تحقق من التزاماتك القانونية للاحتفاظ بالبريد الإلكتروني، بما في ذلك الرسائل التي تم وضع علامة عليها على أنها ضارة. لمزيد من المعلومات حول الاحتفاظ بالرسائل المحذوفة مبدئيا، راجع تغيير المدة التي يتم فيها الاحتفاظ بالعناصر المحذوفة نهائيا لعلمة بريد Exchange Online في Exchange Online.

عند الانتهاء من صفحة إعدادات التنفيذ التلقائي ، حدد حفظ.

لقطة شاشة للمعالجة التلقائية لتكوين مجموعات الكيانات الضارة في مدخل Defender في الإعدادات \> تعاون & البريد الإلكتروني \> MDO إعدادات الأتمتة.

مراجعة الرسائل المعالجة تلقائيا

يوضح القسم الفرعي التالي كيفية استخدام مدخل Defender لمراجعة إجراءات المعالجة التلقائية.

نتائج المعالجة التلقائية في مركز الصيانة

في مركز الصيانة في https://security.microsoft.com/action-center/، تظهر المجموعات المعالجة تلقائيا في علامة التبويب محفوظات . استخدم عامل التصفية تحديد حسب مع القيمة التنفيذ التلقائي لإرجاع المجموعات التي تمت معالجتها تلقائيا.

لمزيد من المعلومات حول مركز الصيانة، راجع مركز الصيانة.

لقطة شاشة لعلامة تبويب المحفوظات في مركز الصيانة مع المجموعات المعالجة تلقائيا التي تمت تصفيتها حسب القيمة التنفيذ التلقائي وقيمة مصدر الإجراء إجراء البريد الإلكتروني التلقائي.

نتائج المعالجة التلقائية في التحقيقات

ضمن التحقيق في AIR، تظهر المجموعات المعالجة تلقائيا في علامة التبويب Pending action history للتحقيق مع المعالجة حسب القيمة Automation.

لمزيد من المعلومات حول نتائج تحقيق AIR، راجع تفاصيل ونتائج التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2.

لقطة شاشة لعلامة تبويب محفوظات الإجراءات المعلقة للتحقيق مع المجموعات المعالجة تلقائيا مع التنفيذ التلقائي للقيمة المعالجة.

نتائج المعالجة التلقائية في مستكشف التهديدات

في مستكشف التهديدات (المستكشف)، تحتوي الرسائل المعالجة تلقائيا على قيمة الإجراء الإضافيالمعالجة التلقائية:التلقائية.

لمزيد من المعلومات حول مستكشف التهديدات، راجع حول مستكشف التهديدات واكتشافات الوقت الحقيقي في Microsoft Defender لـ Office 365.

لقطة شاشة لمستكشف التهديدات تعرض الرسائل التي تم حذف المعالجة التلقائية من علبة البريد عن طريق المعالجة التلقائية (تمت تصفيتها حسب قيمة الإجراء الإضافي المعالجة التلقائية).

نتائج المعالجة التلقائية في التتبع المتقدم

في التتبع المتقدم، توجد الرسائل المعالجة تلقائيا في EmailPostDeliveryEvents الجدول مع كل من قيم الخاصية التالية:

  • ActionType يساوي المعالجة التلقائية
  • ActionTrigger يساوي التنفيذ التلقائي.

لمزيد من المعلومات حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender.

لقطة شاشة للتتبع المتقدم للرسائل التي تمت إزالتها من علب البريد بواسطة المعالجة التلقائية (جدول EmailPostDeliveryEvents حيث تكون قيمة ActionType هي المعالجة التلقائية وقيمة ActionTrigger هي Automation.)

إرجاع إجراءات المعالجة التلقائية على الرسائل

ملاحظة

تعتمد القدرة على استرداد الرسائل على البيانات التي لا تزال متوفرة في Defender وإعدادات استبقاء علبة البريد للرسائل المحذوفة مبدئيا. لمزيد من المعلومات، راجع المقالات التالية:

تتوفر الطرق التالية للعودة إلى إجراءات المعالجة التلقائية واستعادة الرسائل إلى علب البريد:

  • اتخاذ إجراء بشأن الرسالة في مستكشف التهديدات أو التتبع المتقدم. للحصول على معلومات حول معالج اتخاذ إجراء ، راجع معالج اتخاذ إجراء.

  • الإجراءات "نقل إلى علبة الوارد" أو >"نقل إلى غير هام" في القائمة المنبثقة تفاصيل خاصية نظام المجموعة في علامة التبويب "محفوظات" في مركز الصيانة كما هو موضح في لقطة الشاشة التالية:

    لقطة شاشة لقوائم التفاصيل المنبثقة لمجموعة البريد الإلكتروني المعالجة تلقائيا والتي تعرض إجراء الانتقال إلى علبة الوارد المتوفر للتراجع عن إجراء المعالجة التلقائي واستعادة الرسائل إلى علب البريد.

راجع أيضًا