إجراءات المعالجة من AIR في Microsoft Defender لـ Office 365 الخطة 2
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.
غالبا ما ينتج عن التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2 إجراءات معالجة تتطلب موافقة فريق عمليات الأمان (SecOps).
في بعض الحالات، لا ينتج عن AIR إجراءات معالجة محددة. لمزيد من التحقيق واتخاذ الإجراءات المناسبة، استخدم الإرشادات الواردة في الجدول التالي.
| الفئة | التهديد/المخاطر | إجراءات المعالجة |
|---|---|---|
| البريد الإلكتروني | البرامج الضارة | الحذف المبدئي للبريد الإلكتروني/نظام المجموعة. إذا احتوت أكثر من عدد قليل من الرسائل ذات الصلة على برامج ضارة، فإن المجموعة بأكملها تعتبر ضارة. |
| البريد الإلكتروني | تم الكشف عن عنوان URL ضار بواسطة الروابط الآمنة. | الحذف المبدئي للبريد الإلكتروني/نظام المجموعة. حظر عنوان URL في وقت النقر. تعتبر الرسالة التي تحتوي على عنوان URL ضار ضارة. |
| البريد الإلكتروني | التصيّد الاحتيالي | الحذف المبدئي للبريد الإلكتروني/نظام المجموعة. إذا كانت أكثر من حفنة من الرسائل ذات الصلة تحتوي على محاولات تصيد احتيالي، تعتبر المجموعة بأكملها محاولة تصيد احتيالي. |
| البريد الإلكتروني | تم تسليم البريد الإلكتروني للتصيد الاحتيالي ثم إزالته بواسطة الإزالة التلقائية للساعة الصفرية (ZAP).) | الحذف المبدئي للبريد الإلكتروني/نظام المجموعة. لمعرفة ما إذا كانت ZAP قد أزلت رسالة، راجع كيفية معرفة ما إذا كان ZAP قد نقل رسالتك. |
| البريد الإلكتروني | أبلغ المستخدم عن البريد الإلكتروني للتصيد الاحتيالي | التحقيق التلقائي الذي تم تشغيله بواسطة تقرير المستخدم |
| البريد الإلكتروني | حالة خارجة عن المألوف لوحدة التخزين (تتجاوز كميات البريد الإلكتروني الأخيرة الأيام من 7 إلى 10 أيام السابقة لمعايير المطابقة). | لا توجد إجراءات معلقة محددة من AIR. الشذوذ في الحجم ليس تهديدا واضحا. على الرغم من أن حجم البريد الإلكتروني الكبير يمكن أن يشير إلى مشكلات محتملة، إلا أن التأكيد مطلوب إما من حيث الأحكام الضارة أو المراجعة اليدوية لرسائل البريد الإلكتروني/المجموعات. لمزيد من المعلومات، راجع البحث عن البريد الإلكتروني المشبوه الذي تم تسليمه. |
| البريد الإلكتروني | لم يتم العثور على تهديدات (لم يعثر النظام على أي تهديدات استنادا إلى الملفات أو عناوين URL أو تحليل أحكام نظام مجموعة البريد الإلكتروني). | لا توجد إجراءات معلقة محددة من AIR. لا تنعكس التهديدات التي عثر عليها ZAP وأزالتها بعد التحقيق المكتمل في النتائج الرقمية للتحقيق، ولكن يمكن عرض هذه التهديدات في مستكشف التهديدات. |
| User | قام مستخدم بالنقر فوق عنوان URL ضار (قام مستخدم بزيارة صفحة تم العثور عليها لاحقا على أنها ضارة، أو تجاوز صفحة تحذير الارتباطات الآمنة للوصول إلى صفحة ضارة.) | لا توجد إجراءات معلقة محددة من AIR. حظر عنوان URL في وقت النقر. استخدم مستكشف التهديدات لعرض بيانات حول عناوين URL والنقر فوق الأحكام. إذا كانت مؤسستك تستخدم Microsoft Defender لنقطة النهاية، ففكر في التحقق من المستخدم لتحديد ما إذا كان حسابه معرضا للخطر. |
| User | المستخدم الذي يرسل رسائل البرامج الضارة/التصيد الاحتيالي | لا توجد إجراءات معلقة محددة من AIR. قد يقوم المستخدم بالإبلاغ عن رسائل البرامج الضارة/التصيد الاحتيالي، أو قد يقوم شخص ما بانتحال هوية المستخدم كجزء من هجوم. استخدم مستكشف التهديدات لعرض البريد الإلكتروني الذي يحتوي على برامج ضارة أو تصيد احتيالي والتعامل معه. |
| User | يمكن استخدام إعادة توجيه البريد الإلكتروني الخارجي التلقائي (إعادة توجيه SMTP أو قواعد علبة الوارد أو قواعد تدفق بريد Exchange (المعروفة أيضا باسم قواعد النقل) لتصفية البيانات). | إزالة قاعدة إعادة التوجيه أو التكوين. استخدم تقرير الرسائل التي تم إعادة توجيهها تلقائيا لعرض تفاصيل محددة حول البريد الإلكتروني الذي تمت إعادة توجيهه. |
| User | تفويض البريد الإلكتروني (تم إعداد تفويضات للحساب). | إزالة التفويضات. إذا كانت مؤسستك تستخدم Defender لنقطة النهاية، ففكر في التحقيق في المستخدم بإذن التفويض. |
| User | النقل غير المصرح للبيانات (قام مستخدم بانتهاك نهج DLP الخاصة بالبريد الإلكتروني أو مشاركة الملفات). | لا ينتج عن AIR إجراء معين معلق. ابدأ باستخدام مستكشف النشاط. |
| User | إرسال بريد إلكتروني غير مألوف (أرسل مستخدم مؤخرا بريدا إلكترونيا أكثر مما كان عليه خلال الأيام من 7 إلى 10 أيام السابقة.) | لا توجد إجراءات معلقة محددة من AIR. لا يكون إرسال حجم كبير من البريد الإلكتروني ضارا بالضرورة (على سبيل المثال، قد يكون المستخدم قد أرسل بريدا إلكترونيا إلى مجموعة كبيرة من المستلمين لحدث ما). للتحقيق، استخدم تقرير نتائج تحليلات البريد الإلكترونيوالرسائل الصادرة للمستخدمين الجدد في مركز إدارة Exchange (EAC). |
الخطوات التالية
- عرض تفاصيل ونتائج التحقيق التلقائي في Microsoft Defender لـ Office 365
- عرض إجراءات المعالجة المعلقة أو المكتملة بعد إجراء تحقيق تلقائي في Microsoft Defender لـ Office 365