تفاصيل ونتائج التحقيق التلقائي في Microsoft 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

عند إجراء تحقيق تلقائي في Microsoft Defender لـ Office 365، تتوفر تفاصيل حول هذا التحقيق أثناء وبعد عملية التحقيق التلقائي. إذا كان لديك الأذونات اللازمة، يمكنك عرض هذه التفاصيل في مدخل Microsoft Defender. توفر لك تفاصيل التحقيق حالة محدثة، والقدرة على الموافقة على أي إجراءات معلقة.

تلميح

تحقق من صفحة التحقيق الموحدة الجديدة في مدخل Microsoft Defender. لمعرفة المزيد، راجع (جديد!) صفحة التحقيق الموحدة.

حالة التحقيق

تشير حالة التحقيق إلى تقدم التحليل والإجراءات. أثناء تشغيل التحقيق، تتغير الحالة للإشارة إلى ما إذا تم العثور على تهديدات، وما إذا كان قد تمت الموافقة على الإجراءات.

حالة الوصف
بدء تم تشغيل التحقيق وانتظار بدء التشغيل.
تشغيل وقد بدأت عملية التحقيق وهي جارية. تحدث هذه الحالة أيضا عند الموافقة على الإجراءات المعلقة .
لم يتم العثور على تهديدات انتهى التحقيق ولم يتم تحديد أي تهديدات (حساب المستخدم أو رسالة البريد الإلكتروني أو عنوان URL أو الملف).

تلميح: إذا كنت تشك في تفويت شيء ما (مثل سلبي خاطئ)، يمكنك اتخاذ إجراء باستخدام مستكشف التهديدات.

تم التحقيق جزئيا عثر التحقيق التلقائي على مشكلات، ولكن لا توجد إجراءات معالجة محددة لحل هذه المشكلات.

يمكن أن تحدث حالة التحقيق الجزئي عند تحديد نوع من نشاط المستخدم ولكن لا تتوفر أي إجراءات تنظيف. تتضمن الأمثلة أي من أنشطة المستخدم التالية:

  • حدث منع فقدان البيانات
  • رسالة بريد إلكتروني ترسل شذوذا
  • البرامج الضارة المرسلة
  • التصيد الاحتيالي المرسل

ملاحظة: تم استخدام هذه الحالة التي تم التحقيق فيها جزئيا لتكون مسماة بالتهديدات التي تم العثور عليها.

لم يعثر التحقيق على عناوين URL أو ملفات أو رسائل بريد إلكتروني ضارة للمعالجة، ولا يوجد نشاط علبة بريد لإصلاحه، مثل إيقاف تشغيل قواعد إعادة التوجيه أو التفويض.

تلميح: إذا كنت تشك في فقدان شيء ما (مثل سلبي خاطئ)، يمكنك التحقيق واتخاذ إجراء باستخدام مستكشف التهديدات

تم الإنهاء بواسطة النظام وتوقف التحقيق. يمكن أن يتوقف التحقيق لعدة أسباب:
  • انتهت صلاحية الإجراءات المعلقة للتحقيق. مهلة الإجراءات المعلقة بعد انتظار الموافقة لمدة أسبوع واحد
  • هناك الكثير من الإجراءات. على سبيل المثال، إذا كان هناك عدد كبير جدا من المستخدمين الذين ينقرون على عناوين URL الضارة، فقد يتجاوز ذلك قدرة التحقيق على تشغيل جميع المحللات، لذلك يتوقف التحقيق

تلميح: إذا توقف التحقيق قبل اتخاذ الإجراءات، فحاول استخدام مستكشف التهديدات للعثور على التهديدات ومعالجتها.
الإجراء المعلق عثر التحقيق على تهديد، مثل بريد إلكتروني ضار أو عنوان URL ضار أو إعداد علبة بريد محفوف بالمخاطر، وإجراء لمعالجة هذا التهديد في انتظار الموافقة.

يتم تشغيل حالة الإجراء المعلق عند العثور على أي تهديد مع إجراء مطابق. ومع ذلك، يمكن أن تزيد قائمة الإجراءات المعلقة مع تشغيل التحقيق. اعرض تفاصيل التحقيق لمعرفة ما إذا كانت العناصر الأخرى لا تزال في انتظار الاكتمال.

تمت المعالجة انتهى التحقيق وتمت الموافقة على جميع إجراءات المعالجة (لوحظ أنها معالجة كاملة).

ملاحظة: يمكن أن تحتوي إجراءات المعالجة المعتمدة على أخطاء تمنع اتخاذ الإجراءات. بغض النظر عما إذا كانت إجراءات المعالجة قد اكتملت بنجاح، فإن حالة التحقيق لا تتغير. عرض تفاصيل التحقيق.

معالجة جزئية وأسفر التحقيق عن إجراءات إصلاحية، وتمت الموافقة على بعض الإجراءات وإكمالها. لا تزال الإجراءات الأخرى معلقة.
فشل واجه محلل تحقيق واحد على الأقل مشكلة تعذر إكمالها بشكل صحيح.

ملاحظه إذا فشل التحقيق بعد الموافقة على إجراءات المعالجة، فربما لا تزال إجراءات المعالجة قد نجحت. عرض تفاصيل التحقيق.

في قائمة الانتظار حسب التقييد يتم إجراء تحقيق في قائمة انتظار. عند اكتمال التحقيقات الأخرى، تبدأ التحقيقات في قائمة الانتظار. يساعد التقييد على تجنب ضعف أداء الخدمة.

تلميح: يمكن أن تحد الإجراءات المعلقة من عدد التحقيقات الجديدة التي يمكن تشغيلها. تأكد من الموافقة على (أو رفض) الإجراءات المعلقة.

تم الإنهاء بالتقييد إذا تم إجراء تحقيق في قائمة الانتظار لفترة طويلة جدا، فسيتوقف.

تلميح: يمكنك بدء تحقيق من مستكشف التهديدات.

عرض تفاصيل التحقيق

  1. انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
  2. في جزء التنقل، حدد Actions & submissions>Action center.
  3. في علامة التبويب Pending أو History ، حدد إجراء. يفتح جزء القائمة المنبثقة الخاص به.
  4. في جزء القائمة المنبثقة، حدد فتح صفحة التحقيق.
  5. استخدم علامات التبويب المختلفة لمعرفة المزيد حول التحقيق.

تؤدي أنواع معينة من التنبيهات إلى إجراء تحقيق تلقائي في Microsoft 365. لمعرفة المزيد، راجع نهج التنبيه التي تؤدي إلى إجراء تحقيقات تلقائية.

  1. انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
  2. في جزء التنقل، حدد مركز الصيانة.
  3. في علامة التبويب Pending أو History ، حدد إجراء. يفتح جزء القائمة المنبثقة الخاص به.
  4. في جزء القائمة المنبثقة، حدد فتح صفحة التحقيق.
  5. حدد علامة التبويب Alerts لعرض قائمة بجميع التنبيهات المقترنة بهذا التحقيق.
  6. حدد عنصرا في القائمة لفتح جزء القائمة المنبثقة الخاص به. هناك، يمكنك عرض مزيد من المعلومات حول التنبيه.

ضع النقاط التالية في الاعتبار

  • يتم حساب عدد رسائل البريد الإلكتروني في وقت التحقيق، ويتم إعادة حساب بعض العد عند فتح القائمة المنبثقة للتحقيق (استنادا إلى استعلام أساسي).

  • يتم حساب عدد رسائل البريد الإلكتروني المعروضة لمجموعات البريد الإلكتروني في علامة التبويب البريد الإلكتروني وقيمة كمية البريد الإلكتروني المعروضة في القائمة المنبثقة لنظام المجموعة في وقت التحقيق، ولا تتغير.

  • يعكس عدد رسائل البريد الإلكتروني المعروض في أسفل علامة التبويب البريد الإلكتروني في القائمة المنبثقة لمجموعة البريد الإلكتروني وعدد رسائل البريد الإلكتروني الموضحة في Explorer رسائل البريد الإلكتروني المستلمة بعد التحليل الأولي للتحقيق.

    وبالتالي، فإن مجموعة البريد الإلكتروني التي تعرض كمية أصلية من 10 رسائل بريد إلكتروني ستعرض إجمالي قائمة بريد إلكتروني يبلغ إجماليها 15 رسالة بريد إلكتروني عند وصول خمس رسائل بريد إلكتروني أخرى بين مرحلة تحليل التحقيق وعندما يراجع المسؤول التحقيق. وبالمثل، قد تبدأ التحقيقات القديمة في إظهار أعداد أعلى مما تظهره استعلامات المستكشف، لأن البيانات في Microsoft Defender لـ Office 365 الخطة 2 تنتهي صلاحيتها بعد سبعة أيام للتجارب وبعد 30 يوما للتراخيص المدفوعة.

    يتم عرض كل من العد التاريخي والحالي في طرق عرض مختلفة للإشارة إلى تأثير البريد الإلكتروني في وقت التحقيق والتأثير الحالي حتى وقت تشغيل المعالجة.

  • في سياق البريد الإلكتروني، قد ترى سطح تهديد خارج عن المألوف لوحدة التخزين كجزء من التحقيق. يشير الشذوذ في مستوى الصوت إلى ارتفاع في رسائل البريد الإلكتروني المماثلة حول وقت حدث التحقيق مقارنة بالأطر الزمنية السابقة. يعد الارتفاع الحاد في نسبة استخدام البريد الإلكتروني مع بعض الخصائص (على سبيل المثال، مجال الموضوع والمرسل وتشابه النص وعنوان IP للمرسل) نموذجيا لبدء حملات البريد الإلكتروني أو الهجمات. ومع ذلك، فإن حملات البريد الإلكتروني المجمعة والبريد العشوائي والشرعية تشترك عادة في هذه الخصائص.

  • تمثل الحالات الشاذة في الحجم تهديدا محتملا، وبالتالي قد تكون أقل شدة مقارنة بالبرامج الضارة أو تهديدات التصيد الاحتيالي التي يتم تحديدها باستخدام محركات مكافحة الفيروسات أو التفجير أو السمعة الضارة.

  • ليس عليك الموافقة على كل إجراء. إذا لم توافق على الإجراء الموصى به أو لم تختص مؤسستك بأنواع معينة من الإجراءات، فيمكنك اختيار رفض الإجراءات أو تجاهلها ببساطة وعدم اتخاذ أي إجراء.

  • يتيح الموافقة على جميع الإجراءات و/أو رفضها إغلاق التحقيق بالكامل (تصبح الحالة معالجة)، مع ترك بعض الإجراءات نتائج غير مكتملة في تغيير حالة التحقيق إلى حالة معالجة جزئية.

الخطوات التالية