التحقيق في التهديدات والاستجابة لها

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 2

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

تساعد قدرات التحقيق في التهديدات والاستجابة لها في Microsoft Defender لـ Office 365 محللي الأمان والمسؤولين على حماية مستخدمي Microsoft 365 للأعمال في مؤسستهم من خلال:

• تسهيل التعرف على الهجمات الإلكترونية ومراقبتها وفهمها.
• المساعدة في معالجة التهديدات بسرعة في Exchange Online وSharePoint Online OneDrive for Business وMicrosoft Teams.
• توفير رؤى ومعرفة لمساعدة عمليات الأمان على منع الهجمات الإلكترونية ضد مؤسستها.
• استخدام التحقيق التلقائي والاستجابة في Office 365 للتهديدات الهامة المستندة إلى البريد الإلكتروني.

توفر قدرات التحقيق في التهديدات والاستجابة لها رؤى حول التهديدات وإجراءات الاستجابة ذات الصلة المتوفرة في مدخل Microsoft Defender. يمكن أن تساعد هذه الرؤى فريق الأمان في مؤسستك على حماية المستخدمين من الهجمات المستندة إلى البريد الإلكتروني أو الملفات. تساعد الإمكانات في مراقبة الإشارات وجمع البيانات من مصادر متعددة، مثل نشاط المستخدم والمصادقة والبريد الإلكتروني وأجهزة الكمبيوتر المخترقة وحوادث الأمان. يمكن لصانعي القرار في الأعمال وفريق عمليات الأمان استخدام هذه المعلومات لفهم التهديدات التي تتعرض لها مؤسستك والاستجابة لها وحماية الملكية الفكرية الخاصة بك.

التعرف على أدوات التحقيق في التهديدات والاستجابة لها

قدرات التحقيق في التهديدات والاستجابة لها في مدخل Microsoft Defender هي https://security.microsoft.com مجموعة من الأدوات ومهام سير عمل الاستجابة التي تتضمن:

• مستكشف
• الأحداث
• أتمتة المحاكاة في التدريب على محاكاة الهجوم
• التحقيق التلقائي والاستجابة (AIR)

مستكشف

استخدم المستكشف (والكشف في الوقت الحقيقي) لتحليل التهديدات، والاطلاع على حجم الهجمات بمرور الوقت، وتحليل البيانات حسب عائلات التهديدات والبنية الأساسية للمهاجمين والمزيد. المستكشف (يشار إليه أيضا باسم مستكشف التهديدات) هو المكان الذي يبدأ فيه سير عمل التحقيق الخاص بمحلل الأمان.

لعرض هذا التقرير واستخدامه في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & collaboration>Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorer.

Office 365 اتصال التحليل الذكي للمخاطر

تتوفر هذه الميزة فقط إذا كان لديك اشتراك نشط Office 365 E5 أو G5 أو Microsoft 365 E5 أو G5 أو الوظيفة الإضافية التحليل الذكي للمخاطر. لمزيد من المعلومات، راجع صفحة منتج Office 365 Enterprise E5.

يتم دمج البيانات من Microsoft Defender لـ Office 365 في Microsoft Defender XDR لإجراء تحقيق أمني شامل عبر علب بريد Office 365 وأجهزة Windows.

الأحداث

استخدم قائمة الحوادث (تسمى هذه أيضا التحقيقات) لمشاهدة قائمة بالحوادث الأمنية للرحلات. يتم استخدام الحوادث لتعقب التهديدات مثل رسائل البريد الإلكتروني المشبوهة، وإجراء مزيد من التحقيق والمعالجة.

لعرض قائمة الحوادث الحالية لمؤسستك في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى الحوادث & التنبيهات>الحوادث. أو، للانتقال مباشرة إلى صفحة الحوادث ، استخدم https://security.microsoft.com/incidents.

أتمتة المحاكاة في التدريب على محاكاة الهجوم

استخدم التدريب على محاكاة الهجوم لإعداد الهجمات الإلكترونية الواقعية وتشغيلها في مؤسستك، وتحديد الأشخاص المعرضين للخطر قبل أن يؤثر الهجوم الإلكتروني الحقيقي على عملك. لمعرفة المزيد، راجع محاكاة هجوم التصيد الاحتيالي.

لعرض هذه الميزة واستخدامها في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & التعاون>التدريب على محاكاة الهجوم. أو، للانتقال مباشرة إلى صفحة التدريب على محاكاة الهجوم، استخدم https://security.microsoft.com/attacksimulator?viewid=overview.

التحقيق التلقائي والاستجابة (AIR)

استخدم قدرات التحقيق والاستجابة التلقائية (AIR) لتوفير الوقت والجهد لربط المحتوى والأجهزة والأشخاص المعرضين للخطر من التهديدات في مؤسستك. يمكن أن تبدأ عمليات AIR كلما تم تشغيل تنبيهات معينة، أو عند البدء من قبل فريق عمليات الأمان. لمعرفة المزيد، راجع التحقيق والاستجابة التلقائية في Office 365.

عناصر واجهة مستخدم التحليل الذكي للمخاطر

كجزء من عرض Microsoft Defender لـ Office 365 الخطة 2، يمكن لمحللي الأمان مراجعة تفاصيل حول تهديد معروف. وهذا مفيد لتحديد ما إذا كانت هناك تدابير/خطوات وقائية إضافية يمكن اتخاذها للحفاظ على أمان المستخدمين.

كيف نحصل على هذه القدرات؟

يتم تضمين إمكانات التحقيق في التهديدات والاستجابة لها في Microsoft 365 في Microsoft Defender لـ Office 365 الخطة 2، المضمنة في Enterprise E5 أو كوظيفة إضافية لاشتراكات معينة. لمعرفة المزيد، راجع Defender لـ Office 365 الخطة 1 مقابل ورقة المعلومات المرجعية للخطة 2.

الأدوار والأذونات المطلوبة

يستخدم Microsoft Defender لـ Office 365 التحكم في الوصول المستند إلى الدور. يتم تعيين الأذونات من خلال أدوار معينة في Microsoft Entra ID أو مركز مسؤولي Microsoft 365 أو مدخل Microsoft Defender.

تلميح

على الرغم من أنه يمكن تعيين بعض الأدوار، مثل مسؤول الأمان، في مدخل Microsoft Defender، ففكر في استخدام مركز مسؤولي Microsoft 365 أو Microsoft Entra ID بدلا من ذلك. للحصول على معلومات حول الأدوار ومجموعات الأدوار والأذونات، راجع الموارد التالية:

• الأذونات في مدخل Microsoft Defender
• Microsoft Entra الأدوار المضمنة

Activity	الأدوار والأذونات
استخدام لوحة معلومات إدارة الثغرات الأمنية في Microsoft Defender عرض معلومات حول التهديدات الأخيرة أو الحالية	أحد الإجراءات التالية: المسؤول العام* مسؤول الأمان قارئ الأمان يمكن تعيين هذه الأدوار إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com).
استخدام المستكشف (والكشف في الوقت الحقيقي) لتحليل التهديدات	أحد الإجراءات التالية: المسؤول العام* مسؤول الأمان قارئ الأمان يمكن تعيين هذه الأدوار إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com).
عرض الحوادث (يشار إليها أيضا باسم التحقيقات) إضافة رسائل بريد إلكتروني إلى حادث	أحد الإجراءات التالية: المسؤول العام* مسؤول الأمان قارئ الأمان يمكن تعيين هذه الأدوار إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com).
تشغيل إجراءات البريد الإلكتروني في حادث البحث عن رسائل البريد الإلكتروني المشبوهة وحذفها	أحد الإجراءات التالية: المسؤول العام* مسؤول الأمان بالإضافة إلى دور البحث والإزالة يمكن تعيين أدوار المسؤول* العام ومسؤول الأمان إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com). يجب تعيين دور البحث والمسح في أدوار التعاون & البريد الإلكتروني في مدخل Microsoft 36 Defender (https://security.microsoft.com).
دمج Microsoft Defender لـ Office 365 الخطة 2 مع Microsoft Defender لنقطة النهاية دمج Microsoft Defender لـ Office 365 الخطة 2 مع خادم SIEM	إما دور المسؤول* العام أو مسؤول الأمان المعين إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com). --- زائد --- دور مناسب معين في تطبيقات إضافية (مثل مركز حماية Microsoft Defender أو خادم SIEM الخاص بك).

هام

^* توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

الخطوات التالية

• متتبعات التهديدات في Microsoft Defender لـ Office 365 الخطة 2
• البحث عن البريد الإلكتروني الضار الذي تم تسليمه والتحقيق فيه (Office 365 التحقيق في التهديدات والاستجابة لها)
• محاكاة هجوم التصيد الاحتيالي