دليل عمليات أمان Microsoft Defender ل Office 365

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR ل Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي من Defender ل Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

تقدم هذه المقالة نظرة عامة على متطلبات ومهام تشغيل Microsoft Defender ل Office 365 بنجاح في مؤسستك. تساعد هذه المهام في ضمان أن مركز عمليات الأمان (SOC) يوفر نهجا عالي الجودة وموثوقا لحماية التهديدات الأمنية المتعلقة بالبريد الإلكتروني والتعاون واكتشافها والاستجابة لها.

يصف بقية هذا الدليل الأنشطة المطلوبة لموظفي SecOps. يتم تجميع الأنشطة في مهام يومية وأسبوعية وشهرية ومخصصة.

توفر المقالة المصاحبة لهذا الدليل نظرة عامة لإدارة الحوادث والتنبيهات من Defender ل Office 365 على صفحة الحوادث في مدخل Microsoft Defender.

يحتوي دليل عمليات أمان Microsoft Defender XDR على معلومات إضافية يمكنك استخدامها للتخطيط والتطوير.

للحصول على فيديو حول هذه المعلومات، راجع https://youtu.be/eQanpq9N1Ps.

الأنشطة اليومية

مراقبة قائمة انتظار Microsoft Defender XDR Incidents

تتيح لك صفحة الحوادث في مدخل Microsoft Defender في https://security.microsoft.com/incidents-queue (المعروفة أيضا باسم قائمة انتظار الحوادث) إدارة الأحداث ومراقبتها من المصادر التالية في Defender ل Office 365:

• التنبيهات.
• التحقيق والاستجابة التلقائية (AIR).

لمزيد من المعلومات حول قائمة انتظار الحوادث، راجع تحديد أولويات الحوادث في Microsoft Defender XDR.

يجب أن تستخدم خطة الفرز لمراقبة قائمة انتظار الحوادث ترتيب الأسبقية التالي للحوادث:

1. تم الكشف عن نقرة URL يحتمل أن تكون ضارة.
2. المستخدم مقيد من إرسال البريد الإلكتروني.
3. تم الكشف عن أنماط إرسال البريد الإلكتروني المشبوهة.
4. تم الإبلاغ عن البريد الإلكتروني من قبل المستخدم على أنه برنامج ضار أو تصيد احتيالي، وأبلغ العديد من المستخدمين عن البريد الإلكتروني على أنه برنامج ضار أو تصيد احتيالي.
5. تمت إزالة رسائل البريد الإلكتروني التي تحتوي على ملف ضار بعد التسليم، ورسائل البريد الإلكتروني التي تحتوي على عنوان URL ضار بعد التسليم، ورسائل البريد الإلكتروني من حملة تمت إزالتها بعد التسليم.
6. تم تسليم التصيد الاحتيالي بسبب تجاوز ETR، وتم تسليم التصيد الاحتيالي بسبب تعطيل مجلد البريد غير الهام للمستخدم، وتسليم التصيد الاحتيالي بسبب نهج السماح ب IP
7. البرامج الضارة غير معطلة بسبب تعطيل ZAPوعدم ازعاج التصيد الاحتيالي بسبب تعطيل ZAP.

يتم وصف إدارة قائمة انتظار الحوادث والشخصيات المسؤولة في الجدول التالي:

Activity	الايقاع	الوصف	شخصية
فرز الحوادث في قائمة انتظار الحوادث في https://security.microsoft.com/incidents-queue.	يومي	تحقق من فرز جميع الحوادث متوسطةوعالية الخطورة من Defender ل Office 365.	فريق عمليات الأمان
التحقيق في الحوادث واتخاذ إجراءات الاستجابة لها.	يومي	تحقق من جميع الحوادث واتخذ إجراءات الاستجابة الموصى بها أو اليدوية بنشاط.	فريق عمليات الأمان
حل الحوادث.	يومي	إذا تمت معالجة الحادث، فقم بحل الحادث. يؤدي حل الحادث إلى حل جميع التنبيهات النشطة المرتبطة والمرتبطة.	فريق عمليات الأمان
تصنيف الحوادث.	يومي	تصنيف الحوادث على أنها صحيحة أو خاطئة. بالنسبة للتنبيهات الحقيقية، حدد نوع التهديد. يساعد هذا التصنيف فريق الأمان على رؤية أنماط التهديدات والدفاع عن مؤسستك منها.	فريق عمليات الأمان

إدارة الاكتشافات السلبية الإيجابية الخاطئة والزائفة

في Defender ل Office 365، يمكنك إدارة الإيجابيات الخاطئة (البريد الجيد الذي تم وضع علامة عليه على أنه سيئ) والسلبيات الخاطئة (البريد غير صالح مسموح به) في المواقع التالية:

• صفحة عمليات الإرسال (عمليات إرسال المسؤول).
• قائمة السماح/الحظر للمستأجر
• مستكشف المخاطر

لمزيد من المعلومات، راجع قسم إدارة الاكتشافات السلبية الإيجابية الخاطئة والزائفة لاحقا في هذه المقالة.

يتم وصف الإدارة الإيجابية الخاطئة والسلبية والشخصيات المسؤولة في الجدول التالي:

Activity	الايقاع	الوصف	شخصية
أرسل الإيجابيات الخاطئة والسلبيات الكاذبة إلى Microsoft على https://security.microsoft.com/reportsubmission.	يومي	قم بتوفير إشارات إلى Microsoft عن طريق الإبلاغ عن اكتشافات غير صحيحة للبريد الإلكتروني وعنوان URL والملفات.	فريق عمليات الأمان
تحليل تفاصيل إرسال المسؤول.	يومي	فهم العوامل التالية للإرسالات التي تجريها إلى Microsoft: ما الذي تسبب في إيجابية خاطئة أو سلبية خاطئة. حالة تكوين Defender ل Office 365 في وقت الإرسال. ما إذا كنت بحاجة إلى إجراء تغييرات على تكوين Defender for Office 365.	فريق عمليات الأمان إدارة الأمان
أضف إدخالات الكتلة في قائمة السماح/الحظر للمستأجر في https://security.microsoft.com/tenantAllowBlockList.	يومي	استخدم قائمة السماح/الحظر للمستأجر لإضافة إدخالات الحظر لاكتشافات عنوان URL أو الملف أو المرسل السالبة الخاطئة حسب الحاجة.	فريق عمليات الأمان
تحرير إيجابية خاطئة من العزل.	يومي	بعد أن يؤكد المستلم أنه تم عزل الرسالة بشكل غير صحيح، يمكنك إصدار طلبات الإصدار للمستخدمين أو الموافقة عليها. للتحكم في ما يمكن للمستخدمين القيام به للرسائل المعزولة الخاصة بهم (بما في ذلك الإصدار أو إصدار الطلب)، راجع نهج العزل.	فريق عمليات الأمان فريق المراسلة

مراجعة حملات التصيد الاحتيالي والبرامج الضارة التي أدت إلى تسليم البريد

Activity	الايقاع	الوصف	شخصية
مراجعة حملات البريد الإلكتروني.	يومي	راجع حملات البريد الإلكتروني التي استهدفت مؤسستك في https://security.microsoft.com/campaigns. التركيز على الحملات التي أدت إلى تسليم الرسائل إلى المستلمين. إزالة الرسائل من الحملات الموجودة في علب بريد المستخدمين. هذا الإجراء مطلوب فقط عندما تحتوي الحملة على بريد إلكتروني لم تتم معالجته بالفعل بواسطة إجراءات من الحوادث أو الإزالة التلقائية لمدة ساعة صفرية (ZAP) أو المعالجة اليدوية.	فريق عمليات الأمان

الأنشطة الأسبوعية

مراجعة اتجاهات الكشف عن البريد الإلكتروني في تقارير Defender ل Office 365

في Defender ل Office 365، يمكنك استخدام التقارير التالية لمراجعة اتجاهات الكشف عن البريد الإلكتروني في مؤسستك:

• تقرير حالة تدفق البريد
• تقرير حالة الحماية من التهديدات

Activity	الايقاع	الوصف	شخصية
راجع تقارير الكشف عن البريد الإلكتروني على: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	أسبوعي	راجع اتجاهات الكشف عن البريد الإلكتروني للبرامج الضارة والتصيد الاحتيالي والبريد العشوائي مقارنة بالبريد الإلكتروني الجيد. تسمح لك المراقبة بمرور الوقت برؤية أنماط التهديد وتحديد ما إذا كنت بحاجة إلى ضبط نهج Defender ل Office 365.	إدارة الأمان فريق عمليات الأمان

تعقب التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات

استخدم تحليلات المخاطر لمراجعة التهديدات النشطة والمتجهة.

Activity	الايقاع	الوصف	شخصية
راجع التهديدات في تحليلات التهديدات في https://security.microsoft.com/threatanalytics3.	أسبوعي	توفر تحليلات التهديدات تحليلا مفصلا، بما في ذلك العناصر التالية: IOCs. استعلامات التتبع حول الجهات الفاعلة النشطة في التهديد وحملاتها. تقنيات الهجوم الشائعة والجديدة. الثغرات الأمنية الحرجة. أسطح الهجوم الشائعة. البرامج الضارة السائدة.	فريق عمليات الأمان فريق تتبع التهديدات

مراجعة أهم المستخدمين المستهدفين للبرامج الضارة والتصيد الاحتيالي

استخدم علامة التبويب أهم المستخدمين المستهدفين (عرض) في منطقة التفاصيل في طرق عرض كل البريد الإلكتروني والبرامج الضارةوالتصيد الاحتيالي في مستكشف التهديدات لاكتشاف المستخدمين الذين هم أهم أهداف البرامج الضارة والبريد الإلكتروني للتصيد الاحتيالي أو تأكيدهم.

Activity	الايقاع	الوصف	شخصية
راجع علامة التبويب أهم المستخدمين المستهدفين في مستكشف التهديدات في https://security.microsoft.com/threatexplorer.	أسبوعي	استخدم المعلومات لتحديد ما إذا كنت بحاجة إلى ضبط النهج أو الحماية لهؤلاء المستخدمين. أضف المستخدمين المتأثرين إلى حسابات الأولوية للحصول على المزايا التالية: رؤية إضافية عندما تؤثر الحوادث عليها. الأساليب الإرشادية المخصصة لأنماط تدفق البريد التنفيذي (حماية الحساب ذات الأولوية). تقرير مشكلات البريد الإلكتروني للحسابات ذات الأولوية	إدارة الأمان فريق عمليات الأمان

مراجعة أهم البرامج الضارة وحملات التصيد الاحتيالي التي تستهدف مؤسستك

تكشف طرق عرض الحملة عن البرامج الضارة وهجمات التصيد الاحتيالي ضد مؤسستك. لمزيد من المعلومات، راجع طرق عرض الحملة في Microsoft Defender ل Office 365.

Activity	الايقاع	الوصف	شخصية
استخدم طرق عرض الحملة في https://security.microsoft.com/campaigns لمراجعة البرامج الضارة وهجمات التصيد الاحتيالي التي تؤثر عليك.	أسبوعي	تعرف على الهجمات والتقنيات وما كان Defender for Office 365 قادرا على تحديده وحظره. استخدم تنزيل تقرير التهديد في طرق عرض الحملة للحصول على معلومات مفصلة حول الحملة.	فريق عمليات الأمان

الأنشطة المخصصة

التحقيق اليدوي وإزالة البريد الإلكتروني

Activity	الايقاع	الوصف	شخصية
تحقق من البريد الإلكتروني غير الصالح وأزله في Threat Explorer https://security.microsoft.com/threatexplorer بناء على طلبات المستخدم.	مخصص	استخدم إجراء التحقيق المشغل في مستكشف التهديدات لبدء دليل مبادئ التحقيق والاستجابة التلقائي على أي بريد إلكتروني من آخر 30 يوما. يؤدي تشغيل التحقيق يدويا إلى توفير الوقت والجهد من خلال تضمين ما يلي مركزيا: تحقيق جذر. خطوات تحديد التهديدات وربطها. الإجراءات الموصى بها للتخفيف من تلك التهديدات. لمزيد من المعلومات، راجع مثال: رسالة تصيد احتيالي أبلغ عنها المستخدم تطلق دليل مبادئ التحقيق أو يمكنك استخدام مستكشف التهديدات للتحقيق يدويا في البريد الإلكتروني مع إمكانات بحث وتصفية قوية واتخاذ إجراء استجابة يدوي مباشرة من نفس المكان. الإجراءات اليدوية المتوفرة: الانتقال إلى علبة الوارد الانتقال إلى غير هام الانتقال إلى العناصر المحذوفة حذف مبدئي حذف ثابت.	فريق عمليات الأمان

البحث بشكل استباقي عن التهديدات

Activity	الايقاع	الوصف	شخصية
التتبع المنتظم والاستباقي للتهديدات على: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	مخصص	ابحث عن التهديدات باستخدام مستكشف التهديداتوالتتبع المتقدم.	فريق عمليات الأمان فريق تتبع التهديدات
مشاركة استعلامات التتبع.	مخصص	شارك بنشاط الاستعلامات المفيدة والمستخدمة بشكل متكرر داخل فريق الأمان لتعقب التهديدات ومعالجتها يدويا بشكل أسرع. استخدم متتبعات التهديداتوالاستعلامات المشتركة في التتبع المتقدم.	فريق عمليات الأمان فريق تتبع التهديدات
إنشاء قواعد الكشف المخصصة في https://security.microsoft.com/custom_detection.	مخصص	إنشاء قواعد الكشف المخصصة لمراقبة الأحداث والأنماط والتهديدات بشكل استباقي استنادا إلى بيانات Defender ل Office 365 في التتبع المسبق. تحتوي قواعد الكشف على استعلامات تتبع متقدمة تنشئ تنبيهات استنادا إلى معايير المطابقة.	فريق عمليات الأمان فريق تتبع التهديدات

مراجعة تكوينات نهج Defender ل Office 365

Activity	الايقاع	الوصف	شخصية
راجع تكوين نهج Defender ل Office 365 في https://security.microsoft.com/configurationAnalyzer.	مخصص شهري	استخدم محلل التكوين لمقارنة إعدادات النهج الحالية بالقيم القياسية أو الصارمة الموصى بها ل Defender ل Office 365. يحدد محلل التكوين التغييرات العرضية أو الضارة التي يمكن أن تقلل من وضع الأمان لمؤسستك. أو يمكنك استخدام أداة ORCA المستندة إلى PowerShell.	إدارة الأمان فريق المراسلة
مراجعة تجاوزات الكشف في Defender ل Office 365 على https://security.microsoft.com/reports/TPSMessageOverrideReportATP	مخصص شهري	استخدم عرض البيانات حسب تصنيف مخطط تجاوز > النظام حسب طريقة عرض السبب في تقرير حالة الحماية من التهديدات لمراجعة البريد الإلكتروني الذي تم اكتشافه كتصيد احتيالي ولكن تم تسليمه بسبب إعدادات النهج أو تجاوز المستخدم. تحقق بنشاط من التجاوزات أو إزالتها أو ضبطها لتجنب تسليم البريد الإلكتروني الذي تم تحديده على أنه ضار.	إدارة الأمان فريق المراسلة

مراجعة اكتشافات الانتحال والانتحال

Activity	الايقاع	الوصف	شخصية
راجع رؤى التحليل الذكي للتزييف ونتائج تحليلات الكشف عن انتحال الهوية في https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	مخصص شهري	استخدم رؤى التحليل الذكي للتزييفونظرة انتحال الهوية لضبط التصفية لاكتشافات الانتحال والانتحال.	إدارة الأمان فريق المراسلة

مراجعة عضوية حساب الأولوية

Activity	الايقاع	الوصف	شخصية
راجع من تم تعريفه كحساب ذي أولوية في https://security.microsoft.com/securitysettings/userTags.	مخصص	حافظ على عضوية الحسابات ذات الأولوية محدثة مع التغييرات التنظيمية للحصول على المزايا التالية لهؤلاء المستخدمين: رؤية أفضل في التقارير. التصفية في الحوادث والتنبيهات. الأساليب الإرشادية المخصصة لأنماط تدفق البريد التنفيذي (حماية الحساب ذات الأولوية). استخدم علامات المستخدم المخصصة للمستخدمين الآخرين للحصول على: رؤية أفضل في التقارير. التصفية في الحوادث والتنبيهات.	فريق عمليات الأمان

التذييل

تعرف على أدوات Microsoft Defender ل Office 365 وعملياته

يحتاج أعضاء فريق عمليات الأمان والاستجابة إلى دمج أدوات وميزات Defender ل Office 365 في التحقيقات وعمليات الاستجابة الحالية. يمكن أن يستغرق التعرف على الأدوات والقدرات الجديدة وقتا ولكنه جزء مهم من عملية المتابعة. أبسط طريقة لأعضاء فريق أمان SecOps والبريد الإلكتروني للتعرف على Defender ل Office 365 هي استخدام محتوى التدريب المتوفر كجزء من محتوى تدريب Ninja في https://aka.ms/mdoninja.

يتم تنظيم المحتوى لمستويات المعرفة المختلفة (الأساسيات والمتوسطة والمتقدمة) مع وحدات نمطية متعددة لكل مستوى.

تتوفر أيضا مقاطع فيديو قصيرة لمهام معينة في قناة Microsoft Defender ل Office 365 YouTube.

أذونات أنشطة ومهام Defender ل Office 365

تستند أذونات إدارة Defender ل Office 365 في مدخل Microsoft Defender وPowerShell إلى نموذج أذونات التحكم في الوصول المستند إلى الدور (RBAC). التحكم في الوصول استنادا إلى الدور هو نفس نموذج الأذونات الذي تستخدمه معظم خدمات Microsoft 365. لمزيد من المعلومات، راجع الأذونات في مدخل Microsoft Defender.

ملاحظة

تعد إدارة الهويات المتميزة (PIM) في معرف Microsoft Entra أيضا طريقة لتعيين الأذونات المطلوبة لموظفي SecOps. لمزيد من المعلومات، راجع إدارة الهويات المتميزة (PIM) وسبب استخدامها مع Microsoft Defender ل Office 365.

تتوفر الأذونات التالية (الأدوار ومجموعات الأدوار) في Defender ل Office 365 ويمكن استخدامها لمنح حق الوصول إلى أعضاء فريق الأمان:

• معرف Microsoft Entra: الأدوار المركزية التي تعين أذونات لجميع خدمات Microsoft 365، بما في ذلك Defender ل Office 365. يمكنك عرض أدوار Microsoft Entra والمستخدمين المعينين في مدخل Microsoft Defender، ولكن لا يمكنك إدارتها مباشرة هناك. بدلا من ذلك، يمكنك إدارة أدوار Microsoft Entra والأعضاء في https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. الأدوار الأكثر تكرارا التي تستخدمها فرق الأمان هي:

  • مسؤول الأمان
  • قارئ الأمان

• تعاون & Exchange Online والبريد الإلكتروني: الأدوار ومجموعات الأدوار التي تمنح الإذن الخاص ب Microsoft Defender ل Office 365. الأدوار التالية غير متوفرة في معرف Microsoft Entra، ولكن يمكن أن تكون مهمة لفرق الأمان:

  • دور المعاينة (تعاون & البريد الإلكتروني): قم بتعيين هذا الدور لأعضاء الفريق الذين يحتاجون إلى معاينة رسائل البريد الإلكتروني أو تنزيلها كجزء من أنشطة التحقيق. يسمح للمستخدمين بمعاينة رسائل البريد الإلكتروني وتنزيلها من علب بريد السحابة باستخدام مستكشف التهديدات (المستكشف) أو عمليات الكشف في الوقت الحقيقيوصفحة كيان البريد الإلكتروني.

    بشكل افتراضي، يتم تعيين دور المعاينة فقط لمجموعات الأدوار التالية:

    • محقق البيانات
    • مدير eDiscovery

    يمكنك إضافة مستخدمين إلى مجموعات الأدوار هذه، أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور المعاينة ، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.

  • دور البحث والإزالة (التعاون & البريد الإلكتروني): الموافقة على حذف الرسائل الضارة كما هو موصى به من قبل AIR أو اتخاذ إجراء يدوي على الرسائل في تجارب التتبع مثل مستكشف التهديدات.

    بشكل افتراضي، يتم تعيين دور البحث والإزالة فقط لمجموعات الأدوار التالية:

    • محقق البيانات
    • إدارة المؤسسة

    يمكنك إضافة مستخدمين إلى مجموعات الأدوار هذه، أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور البحث والمسح ، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.

  • Tenant AllowBlockList Manager (Exchange Online): إدارة إدخالات السماح والحظر في قائمة السماح/الحظر للمستأجر. يعد حظر عناوين URL أو الملفات (باستخدام تجزئة الملف) أو المرسلين إجراء استجابة مفيدا يجب اتخاذه عند التحقق من البريد الإلكتروني الضار الذي تم تسليمه.

    بشكل افتراضي، يتم تعيين هذا الدور فقط إلى مجموعة دور عامل تشغيل الأمان في Exchange Online، وليس في معرف Microsoft Entra. لا تسمح لك العضوية في دور عامل تشغيل الأمان في معرف Microsoft Entra بإدارة الإدخالات قائمة السماح/الحظر للمستأجر.

    يمكن لأعضاء أدوار مسؤول الأمان أو إدارة المؤسسة في معرف Microsoft Entra أو مجموعات الأدوار المقابلة في Exchange Online إدارة الإدخالات في قائمة السماح/الحظر للمستأجر.

تكامل SIEM/SOAR

يعرض Defender ل Office 365 معظم بياناته من خلال مجموعة من واجهات برمجة التطبيقات البرمجية. تساعدك واجهات برمجة التطبيقات هذه على أتمتة مهام سير العمل والاستفادة الكاملة من إمكانات Defender ل Office 365. تتوفر البيانات من خلال واجهات برمجة تطبيقات Microsoft Defender XDR ويمكن استخدامها لدمج Defender ل Office 365 في حلول SIEM/SOAR الحالية.

• واجهة برمجة التطبيقات للحوادث: تعد تنبيهات Defender ل Office 365 والتحقيقات التلقائية أجزاء نشطة من الحوادث في Microsoft Defender XDR. يمكن لفرق الأمان التركيز على ما هو مهم من خلال تجميع نطاق الهجوم الكامل وجميع الأصول المتأثرة معا.

• واجهة برمجة تطبيقات تدفق الأحداث: يسمح بشحن الأحداث والتنبيهات في الوقت الحقيقي في دفق بيانات واحد عند حدوثها. تتضمن أنواع الأحداث المدعومة في Defender ل Office 365 ما يلي:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  تحتوي الأحداث على بيانات من معالجة جميع رسائل البريد الإلكتروني (بما في ذلك الرسائل داخل المؤسسة) في آخر 30 يوما.

• واجهة برمجة تطبيقات التتبع المتقدمة: تسمح بتتبع التهديدات عبر المنتجات.

• واجهة برمجة تطبيقات تقييم التهديدات: يمكن استخدامها للإبلاغ عن البريد العشوائي أو عناوين URL للتصيد الاحتيالي أو مرفقات البرامج الضارة مباشرة إلى Microsoft.

لتوصيل أحداث Defender ل Office 365 والبيانات الأولية مع Microsoft Sentinel، يمكنك استخدام موصل Microsoft Defender XDR (M365D)

يمكنك استخدام مثال "Hello World" التالي لاختبار وصول واجهة برمجة التطبيقات إلى واجهات برمجة تطبيقات Microsoft Defender: Hello World ل Microsoft Defender XDR REST API.

لمزيد من المعلومات حول تكامل أداة SIEM، راجع دمج أدوات SIEM مع Microsoft Defender XDR.

معالجة الإيجابيات الخاطئة والسلبيات الكاذبة في Defender ل Office 365

تعد الرسائل التي أبلغ عنها المستخدم وإرسالات المسؤول لرسائل البريد الإلكتروني إشارات تعزيز إيجابية هامة لأنظمة الكشف عن التعلم الآلي. تساعدنا عمليات الإرسال على مراجعة الهجمات وفرزها وتعلمها بسرعة والتخفيف من حدتها. يعد الإبلاغ بنشاط عن الإيجابيات الخاطئة والسلبيات الكاذبة نشاطا مهما يوفر ملاحظات إلى Defender ل Office 365 عند حدوث أخطاء أثناء الكشف.

لدى المؤسسات خيارات متعددة لتكوين الرسائل التي أبلغ عنها المستخدم. اعتمادا على التكوين، قد يكون لفرق الأمان مشاركة أكثر نشاطا عندما يرسل المستخدمون إيجابيات خاطئة أو سلبيات خاطئة إلى Microsoft:

• يتم إرسال الرسائل التي أبلغ عنها المستخدم إلى Microsoft للتحليل عند تكوين الإعدادات التي أبلغ عنها المستخدم بأي من الإعدادات التالية:

  • أرسل الرسائل التي تم الإبلاغ عنها إلى: Microsoft فقط.
  • أرسل الرسائل التي تم الإبلاغ عنها إلى: Microsoft وعلبة بريد التقارير الخاصة بي.

  يجب على أعضاء فرق الأمان إجراء عمليات إرسال المسؤول الإضافية عندما يكتشف فريق العمليات إيجابيات خاطئة أو سلبيات خاطئة لم يبلغ عنها المستخدمون.

• عندما يتم تكوين الرسائل التي أبلغ عنها المستخدم لإرسال رسائل إلى علبة بريد المؤسسة فقط، يجب على فرق الأمان إرسال إيجابيات خاطئة وسلبيات خاطئة أبلغ عنها المستخدم إلى Microsoft عبر عمليات إرسال المسؤول.

عندما يبلغ مستخدم عن رسالة كتصيد احتيالي، يقوم Defender ل Office 365 بإنشاء تنبيه، ويقوم التنبيه بتشغيل دليل مبادئ AIR. يربط منطق الحادث هذه المعلومات بالتنبيهات والأحداث الأخرى حيثما أمكن ذلك. يساعد دمج المعلومات هذا فرق الأمان على فرز الرسائل التي أبلغ عنها المستخدم والتحقيق فيها والاستجابة لها.

يتبع مسار الإرسال في الخدمة عملية متكاملة بإحكام عندما يبلغ المستخدم عن الرسائل ويرسل المسؤولون الرسائل. تتضمن هذه العملية ما يلي:

• الحد من الضوضاء.
• الفرز التلقائي.
• الدرجات من قبل محللي الأمان والحلول المستندة إلى التعلم الآلي التي يتشاركها الإنسان.

لمزيد من المعلومات، راجع الإبلاغ عن رسالة بريد إلكتروني في Defender ل Office 365 - Microsoft Tech Community.

يمكن لأعضاء فريق الأمان إجراء عمليات الإرسال من مواقع متعددة في مدخل Microsoft Defender على https://security.microsoft.com:

• إرسال المسؤول: استخدم صفحة عمليات الإرسال لإرسال رسائل البريد العشوائي والتصيد الاحتيالي وعناوين URL والملفات المشتبه بها إلى Microsoft.

• مباشرة من مستكشف التهديدات باستخدام أحد إجراءات الرسالة التالية:

  • تنظيف التقرير
  • الإبلاغ عن التصيد الاحتيالي
  • الإبلاغ عن البرامج الضارة
  • الإبلاغ عن البريد العشوائي

  يمكنك تحديد ما يصل إلى 10 رسائل لإجراء إرسال مجمع. تظهر عمليات إرسال المسؤول التي تم إنشاؤها باستخدام هذه الأساليب في علامات التبويب المعنية في صفحة عمليات الإرسال .

للتخفيف على المدى القصير من السلبيات الخاطئة، يمكن لفرق الأمان إدارة إدخالات الحظر مباشرة للملفات وعناوين URL والمجالات أو عناوين البريد الإلكتروني في قائمة السماح/الحظر للمستأجر.

للتخفيف على المدى القصير من الإيجابيات الخاطئة، لا يمكن لفرق الأمان إدارة إدخالات السماح للمجالات وعناوين البريد الإلكتروني مباشرة في قائمة السماح/الحظر للمستأجر. بدلا من ذلك، يحتاجون إلى استخدام عمليات إرسال المسؤول للإبلاغ عن رسالة البريد الإلكتروني على أنها إيجابية خاطئة. للحصول على الإرشادات، راجع الإبلاغ عن بريد إلكتروني جيد إلى Microsoft.

يحتوي العزل في Defender ل Office 365 على رسائل وملفات خطرة أو غير مرغوب فيها. يمكن لفرق الأمان عرض جميع أنواع الرسائل المعزولة وإصدارها وحذفها لجميع المستخدمين. تمكن هذه الإمكانية فرق الأمان من الاستجابة بفعالية عند عزل رسالة أو ملف إيجابي خاطئ.

دمج أدوات إعداد التقارير التابعة لجهة خارجية مع رسائل Defender for Office 365 التي أبلغ عنها المستخدم

إذا كانت مؤسستك تستخدم أداة إعداد تقارير تابعة لجهة خارجية تسمح للمستخدمين بالإبلاغ عن البريد الإلكتروني المشبوه داخليا، فيمكنك دمج الأداة مع إمكانات الرسائل التي أبلغ عنها المستخدم في Defender ل Office 365. يوفر هذا التكامل المزايا التالية لفرق الأمان:

• التكامل مع إمكانات AIR ل Defender ل Office 365.
• فرز مبسط.
• تقليل وقت التحقيق والاستجابة.

قم بتعيين علبة بريد التقارير حيث يتم إرسال الرسائل التي أبلغ عنها المستخدم في صفحة الإعدادات التي أبلغ عنها المستخدم في مدخل Microsoft Defender في https://security.microsoft.com/securitysettings/userSubmission. لمزيد من المعلومات، راجع إعدادات المستخدم المبلغ عنها.

ملاحظة

• يجب أن تكون علبة بريد التقارير علبة بريد Exchange Online.
• يجب أن تتضمن أداة إعداد التقارير التابعة لجهة خارجية الرسالة الأصلية التي تم الإبلاغ عنها كرسالة غير مضغوطة . EML أو . مرفق MSG في الرسالة التي يتم إرسالها إلى علبة بريد التقارير (لا تقم فقط بإعادة توجيه الرسالة الأصلية إلى علبة بريد التقارير). لمزيد من المعلومات، راجع تنسيق إرسال الرسائل لأدوات إعداد التقارير التابعة لجهة خارجية.
• تتطلب علبة بريد التقارير متطلبات أساسية محددة للسماح بتسليم الرسائل التي يحتمل أن تكون سيئة دون تصفيتها أو تغييرها. لمزيد من المعلومات، راجع متطلبات التكوين لعلمة بريد التقارير.

عند وصول رسالة أبلغ عنها مستخدم إلى علبة بريد التقارير، يقوم Defender ل Office 365 تلقائيا بإنشاء التنبيه المسمى البريد الإلكتروني الذي أبلغ عنه المستخدم على أنه برنامج ضار أو تصيد احتيالي. يقوم هذا التنبيه بتشغيل دليل مبادئ AIR. يقوم دليل المبادئ بتنفيذ سلسلة من خطوات التحقيق التلقائي:

• جمع بيانات حول البريد الإلكتروني المحدد.
• جمع بيانات حول التهديدات والكيانات المتعلقة بهذا البريد الإلكتروني (على سبيل المثال، الملفات وعناوين URL والمستلمين).
• قدم الإجراءات الموصى بها لفريق SecOps لاتخاذها بناء على نتائج التحقيق.

يرتبط البريد الإلكتروني الذي أبلغ عنه المستخدم على أنه تنبيهات البرامج الضارة أو التصيد الاحتيالي والتحقيقات التلقائية والإجراءات الموصى بها تلقائيا بالحوادث في Microsoft Defender XDR. يعمل هذا الارتباط على تبسيط عملية الفرز والاستجابة لفرق الأمان. إذا أبلغ عدة مستخدمين عن نفس الرسائل أو رسائل مشابهة، يتم ربط جميع المستخدمين والرسائل بنفس الحدث.

تتم مقارنة البيانات من التنبيهات والتحقيقات في Defender ل Office 365 تلقائيا بالتنبيهات والتحقيقات في منتجات Microsoft Defender XDR الأخرى:

• Microsoft Defender for Endpoint
• Microsoft Defender for Cloud Apps
• Microsoft Defender للهوية

إذا تم اكتشاف علاقة، ينشئ النظام حادثا يعطي رؤية للهجوم بأكمله.