مشاركة عبر

اتخاذ إجراء بشأن نتائج استعلام التتبع المتقدمة

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

يمكنك بسرعة احتواء التهديدات أو معالجة الأصول المخترقة التي تجدها في التتبع المتقدم باستخدام خيارات عمل قوية وشاملة. باستخدام هذه الخيارات، يمكنك:

  • اتخاذ إجراءات مختلفة على الأجهزة
  • ملفات العزل

الأذونات المطلوبة

لاتخاذ إجراء على الأجهزة من خلال التتبع المتقدم، تحتاج إلى دور في Microsoft Defender لنقطة النهاية مع أذونات لإرسال إجراءات المعالجة على الأجهزة.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

إذا لم تتمكن من اتخاذ إجراء، فاتصل بالمسؤول العام للحصول على الإذن التالي:

إجراءات > المعالجة النشطة إدارة المخاطر والثغرات الأمنية - معالجة المعالجة

لاتخاذ إجراء بشأن رسائل البريد الإلكتروني من خلال التتبع المتقدم، تحتاج إلى دور في Microsoft Defender ل Office 365 للبحث عن رسائل البريد الإلكتروني ومسحها.

اتخاذ إجراءات مختلفة على الأجهزة

يمكنك اتخاذ الإجراءات التالية على الأجهزة التي حددها DeviceId العمود في نتائج الاستعلام:

  • عزل الأجهزة المتأثرة لاحتواء عدوى أو منع الهجمات من التحرك أفقيا
  • جمع حزمة التحقيق للحصول على مزيد من المعلومات الجنائية
  • تشغيل فحص مكافحة الفيروسات للعثور على التهديدات وإزالتها باستخدام آخر تحديثات التحليل الذكي للأمان
  • بدء تحقيق تلقائي للتحقق من التهديدات ومعالجتها على الجهاز وربما الأجهزة المتأثرة الأخرى
  • تقييد تنفيذ التطبيق على الملفات القابلة للتنفيذ الموقعة من Microsoft فقط، مما يمنع نشاط التهديد اللاحق من خلال البرامج الضارة أو الملفات التنفيذية الأخرى غير الموثوق بها

لمعرفة المزيد حول كيفية تنفيذ إجراءات الاستجابة هذه من خلال Microsoft Defender لنقطة النهاية، اقرأ حول إجراءات الاستجابة على الأجهزة.

ملفات العزل

يمكنك نشر إجراء العزل على الملفات بحيث يتم عزلها تلقائيا عند مواجهتها. عند تحديد هذا الإجراء، يمكنك الاختيار بين الأعمدة التالية لتحديد الملفات الموجودة في نتائج الاستعلام المراد عزلها:

  • SHA1: في معظم جداول التتبع المتقدمة، يشير هذا العمود إلى SHA-1 للملف المتأثر بالإجراء المسجل. على سبيل المثال، إذا تم نسخ ملف، فسيكون هذا الملف المتأثر هو الملف المنسخ.
  • InitiatingProcessSHA1: في معظم جداول التتبع المتقدمة، يشير هذا العمود إلى الملف المسؤول عن بدء الإجراء المسجل. على سبيل المثال، إذا تم تشغيل عملية تابعة، فسيكون ملف البادئ هذا جزءا من العملية الأصل.
  • SHA256: هذا العمود هو مكافئ SHA-256 للملف المحدد بواسطة SHA1 العمود.
  • InitiatingProcessSHA256: هذا العمود هو مكافئ SHA-256 للملف المحدد بواسطة InitiatingProcessSHA1 العمود.

لمعرفة المزيد حول كيفية اتخاذ إجراءات العزل وكيفية استعادة الملفات، اقرأ حول إجراءات الاستجابة على الملفات.

ملاحظة

لتحديد موقع الملفات وعزلها، يجب أن تتضمن DeviceId نتائج الاستعلام أيضا قيما كمعرفات الجهاز.

لاتخاذ أي من الإجراءات الموضحة، حدد سجلا واحدا أو أكثر في نتائج الاستعلام ثم حدد اتخاذ الإجراءات. يرشدك المعالج خلال عملية تحديد الإجراءات المفضلة لديك ثم إرسالها.

لقطة شاشة لخيار اتخاذ الإجراءات في مدخل Microsoft Defender.

اتخاذ إجراءات مختلفة على رسائل البريد الإلكتروني

وبصرف النظر عن خطوات المعالجة التي تركز على الجهاز، يمكنك أيضا اتخاذ بعض الإجراءات على رسائل البريد الإلكتروني من نتائج الاستعلام. حدد السجلات التي تريد اتخاذ إجراء بشأنها، وحدد اتخاذ إجراءات، ثم ضمن اختيار الإجراءات، حدد اختيارك من ما يلي:

  • Move to mailbox folder - حدد هذا الإجراء لنقل رسائل البريد الإلكتروني إلى مجلد العناصر غير الهامة أو علبة الوارد أو العناصر المحذوفة

    لاحظ أنه يمكنك نقل نتائج البريد الإلكتروني التي تتكون من عناصر معزولة (على سبيل المثال، في حالة الإيجابيات الخاطئة) عن طريق تحديد خيار علبة الوارد .

    لقطة شاشة لخيار علبة الوارد ضمن جزء اتخاذ الإجراءات في مدخل Microsoft Defender.

  • Delete email - حدد هذا الإجراء لنقل رسائل البريد الإلكتروني إلى مجلد العناصر المحذوفة (حذف مبدئي) أو حذفها نهائيا (حذف ثابت)

    يؤدي تحديد الحذف المبدئي أيضا إلى حذف الرسائل تلقائيا من مجلد العناصر المرسلة للمرسل إذا كان المرسل في المؤسسة.

    لقطة شاشة لخيار اتخاذ الإجراءات في مدخل Microsoft Defender.

    يتوفر الحذف المبدئي التلقائي لنسخة المرسل للنتائج باستخدام EmailEvents الجدولين و EmailPostDeliveryEvents ولكن ليس UrlClickEvents الجدول. علاوة على ذلك، يجب أن تحتوي النتيجة على الأعمدة EmailDirection والأعمدة SenderFromAddress لخيار الإجراء هذا لإظهارها في معالج اتخاذ الإجراءات. تنطبق عملية تنظيف نسخة المرسل على رسائل البريد الإلكتروني داخل المؤسسة ورسائل البريد الإلكتروني الصادرة، مما يضمن حذف نسخة المرسل فقط لرسائل البريد الإلكتروني هذه. الرسائل الواردة خارج النطاق.

    راجع الاستعلام التالي كمرجع:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

يمكنك أيضا توفير اسم معالجة ووصف مختصر للإجراء الذي تم اتخاذه لتتبعه بسهولة في محفوظات مركز الصيانة. يمكنك أيضا استخدام معرف الموافقة لتصفية هذه الإجراءات في مركز الصيانة. يتم توفير هذا المعرف في نهاية المعالج:

معالج اتخاذ الإجراءات الذي يعرض اختيار الإجراءات للكيانات

تنطبق إجراءات البريد الإلكتروني هذه على عمليات الكشف المخصصة أيضا.

مراجعة الإجراءات المتخذة

يتم تسجيل كل إجراء بشكل فردي في مركز الصيانة ضمنمحفوظاتمركز> الصيانة (security.microsoft.com/action-center/history). انتقل إلى مركز الصيانة للتحقق من حالة كل إجراء.

ملاحظة

قد لا تتوفر بعض الجداول في هذه المقالة في Microsoft Defender لنقطة النهاية. قم بتشغيل Microsoft Defender XDR للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية إلى Microsoft Defender XDR باتباع الخطوات الواردة في ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.