تعطيل الهجوم التلقائي في Microsoft Defender

يربط Microsoft Defender ملايين الإشارات الفردية لتحديد حملات برامج الفدية الضارة النشطة أو الهجمات المتطورة الأخرى في البيئة بثقة عالية. أثناء وجود هجوم قيد التقدم، يعطل Defender الهجوم من خلال احتواء الأصول المخترقة التي يستخدمها المهاجم تلقائيا من خلال تعطيل الهجوم التلقائي.

يحد تعطيل الهجوم التلقائي من الحركة الجانبية في وقت مبكر ويقلل من التأثير العام للهجوم، من التكاليف المرتبطة به إلى فقدان الإنتاجية. وفي الوقت نفسه، فإنه يترك فرق العمليات الأمنية في السيطرة الكاملة على التحقيق في الأصول ومعالجتها وإعادة الاتصال بالإنترنت.

توفر هذه المقالة نظرة عامة على تعطيل الهجوم التلقائي وتتضمن ارتباطات إلى الخطوات التالية والموارد الأخرى.

تلميح

توضح هذه المقالة كيفية عمل تعطيل الهجوم. لتكوين هذه الإمكانات، راجع تكوين إمكانات تعطيل الهجوم في Microsoft Defender.

كيفية عمل تعطيل الهجوم التلقائي

تم تصميم تعطيل الهجوم التلقائي لاحتواء الهجمات قيد التقدم، والحد من التأثير على أصول المؤسسة، وتوفير المزيد من الوقت لفرق الأمان لمعالجة الهجوم بالكامل. يستخدم تعطيل الهجوم النطاق الكامل لإشارات الكشف والاستجابة الموسعة (XDR)، مع مراعاة الهجوم بأكمله للعمل على مستوى الحادث. تختلف هذه الإمكانية عن أساليب الحماية المعروفة مثل الوقاية والحظر استنادا إلى مؤشر واحد للتسوية.

بينما تسمح لك العديد من أنظمة XDR وتنسيق الأمان والأتمتة والاستجابة (SOAR) بإنشاء إجراءات الاستجابة التلقائية الخاصة بك، يتم تضمين تعطيل الهجوم التلقائي ويستخدم رؤى من باحثي الأمان من Microsoft ونماذج الذكاء الاصطناعي المتقدمة لمواجهة تعقيدات الهجمات المتقدمة. يأخذ تعطيل الهجوم التلقائي في الاعتبار السياق الكامل للإشارات من مصادر مختلفة لتحديد الأصول المخترقة.

يعمل تعطيل الهجوم التلقائي في ثلاث مراحل رئيسية:

• ويستخدم قدرة Microsoft Defender على ربط الإشارات من العديد من المصادر المختلفة بحادث واحد عالي الثقة من خلال رؤى من نقاط النهاية والهويات وأدوات البريد الإلكتروني والتعاون وتطبيقات SaaS.
• وهو يحدد الأصول التي يتحكم فيها المهاجم ويستخدم لنشر الهجوم.
• ويتخذ تلقائيا إجراءات الاستجابة عبر منتجات Microsoft Defender ذات الصلة لاحتواء الهجوم في الوقت الحقيقي من خلال احتواء الأصول المتأثرة وتعطيلها.

تحد هذه الإمكانية المتغيرة للعبة من تقدم ممثل التهديد في وقت مبكر وتقلل بشكل كبير من التأثير العام للهجوم، من التكاليف المرتبطة به إلى فقدان الإنتاجية.

كيف يؤسس Defender الثقة للإجراء التلقائي

قد تتردد فرق الأمان عندما تتخذ الأنظمة إجراءات تلقائية لأن إجراءات الاستجابة يمكن أن تؤثر على العمليات التجارية. يعالج تعطيل الهجوم التلقائي هذا القلق باستخدام إشارات عالية الدقة وارتباط على مستوى الحدث عبر البيانات الحقيقية من البريد الإلكتروني والهوية والتطبيقات والمستندات والأجهزة والشبكات والملفات.

تشير الثقة في تعطيل الهجوم التلقائي إلى دقة الكاشف، ويتم قياسها بنسبة الإشارة إلى الضوضاء (SNR). بالنسبة لإجراءات الاحتواء، يحافظ Defender على مستوى ثقة بنسبة 99٪ أو أعلى استنادا إلى بيانات الإنتاج الحقيقية. يقيم Defender كل كشف ضرب مقابل مجموعة واسعة من المؤشرات لتصنيف الإيجابيات الحقيقية والإيجابيات الزائفة من خلال الجمع بين مخرجات التعلم الآلي والارتباط عبر حمل العمل وتصنيف الحوادث بقيادة الخبراء.

يتحقق Defender من صحة الكاشفات في وضع التدقيق قبل الإصدار الواسع وينشر تدريجيا فقط أجهزة الكشف التي تفي بمتطلبات الجودة الصارمة. تهدف هذه العملية إلى الحفاظ على انخفاض الإيجابيات الزائفة مع الحفاظ على التعطيل الفعال للهجمات النشطة. يتم تقييم أجهزة الكشف عن الاضطرابات باستمرار وديناميكيا للحفاظ على جودة الكشف والثقة.

يقوم خبراء أمان Microsoft بمراجعة نشاط التعطيل باستمرار ومراقبة الحالات الشاذة وتقييم التأثير للحفاظ على جودة الكشف العالية بمرور الوقت.

بالإضافة إلى ذلك، يمكن التراجع عن جميع الإجراءات التلقائية من قبل فريق الأمان الخاص بك، لذلك يمكنك الحفاظ على التحكم الكامل في بيئتك. لمزيد من المعلومات، راجع تفاصيل ونتائج إجراء تعطيل الهجوم التلقائي.

كيف يستخدم تعطيل الهجوم الذكاء الاصطناعي

يستخدم تعطيل الهجوم الذكاء الاصطناعي مجموعة من النماذج والكشف المصممة لغرض ما والتي تم تطويرها عبر مجموعة Microsoft Defender. يتم تدريب هذه الإمكانات وضبطها باستخدام مصادر بيانات متعددة، بما في ذلك:

• بيانات تتبع استخدام حمل عمل Defender المرتبطة
• التحليل الذكي للمخاطر من Microsoft
• الحوادث السابقة وتعلم تحليل ما بعد الحوادث من عملاء Microsoft

يستخدم النظام الأساسي أساليب التعلم الآلي المتعددة، بما في ذلك نماذج الرسم البياني وأشجار القرار المعززة والشبكات العصبية ونماذج اللغات الصغيرة المخصصة (SLMs)، لتحسين جودة الكشف ودقة الإجراءات.

يتم الحفاظ على جودة النموذج والكاشف من خلال دورات الهندسة المستمرة والتحقق من الصحة بدلا من نقطة إصدار ثابتة واحدة. قبل الإطلاق الواسع، تمر أجهزة الكشف الجديدة بالتحقق الصارم من صحة الإصدار المسبق والتوزيع المرحلي. يتم دعم الجودة المستمرة من خلال مراجعة الخبراء لقرارات الذكاء الاصطناعي وتغطية الاستجابة التشغيلية 24x7 للسلوك الشاذ.

إجراءات الاستجابة التلقائية

يستخدم تعطيل الهجوم التلقائي إجراءات استجابة XDR المستندة إلى Microsoft. ومن الأمثلة على هذه الإجراءات ما يلي:

• يحتوي الجهاز على - استنادا إلى قدرة Microsoft Defender لنقطة النهاية، يعد هذا الإجراء احتواء تلقائيا لجهاز مريب لمنع أي اتصال وارد/صادر مع الجهاز المذكور.

  • بالإضافة إلى ذلك، يحتوي Defender لنقطة النهاية تلقائيا على عناوين IP ضارة مقترنة بأجهزة غير مكتشفة/غير مدمجة لمنع أي حركة جانبية ونشاط تشفير إلى أجهزة Defender for Endpoint المكتشفة/المكتشفة الأخرى. يقوم بذلك من خلال نهج احتواء IP (معاينة). علاوة على ذلك، يتم أيضا تضمين عناوين IP للأصول الهامة المخترقة تلقائيا مع آليات حظر محددة لإيقاف انتشار الهجوم مع تجنب فقدان الإنتاجية.

• عزل الجهاز (معاينة) - استنادا إلى قدرة Microsoft Defender لنقطة النهاية، يعزل هذا الإجراء تلقائيا جهازا مخترقا عن الشبكة عندما يشير تحليل الحادث بثقة عالية إلى أن الجهاز يتم استخدامه كموطئ قدم نشط. يتم حظر معظم نسبة استخدام الشبكة بينما يظل الجهاز متصلا بخدمات الأمان المطلوبة للتحقيق والمعالجة. العزل محدود زمنيا ويتم تحديد نطاقه فقط للأجهزة المشاركة في الحادث. يمكن لمشغلي الأمان إطلاق العزل في أي وقت بعد إكمال التحقيق.

• تعطيل المستخدم - استنادا إلى قدرة Microsoft Defender for Identity، يعد هذا الإجراء تعليقا تلقائيا لحساب مخترق لمنع حدوث تلف إضافي، مثل الحركة الجانبية أو استخدام علبة البريد الضارة أو تنفيذ البرامج الضارة.

  يتيح Defender for Identity إجراءات المعالجة للمستخدمين من Active Directory Microsoft Entra ID وموفري الهوية المتكاملين. يتصرف إجراء تعطيل المستخدم بشكل مختلف اعتمادا على كيفية استضافة المستخدم في بيئتك.

  • عند استضافة حساب المستخدم في Active Directory: يقوم Defender for Identity بتشغيل إجراء تعطيل المستخدم على وحدات التحكم بالمجال التي تشغل مستشعر Defender for Identity.
  • عند استضافة حساب المستخدم في Active Directory ومزامنته مع Microsoft Entra ID: يقوم Defender for Identity بتشغيل إجراء تعطيل المستخدم عبر وحدات التحكم بالمجال المدمجة. تعطيل الهجوم أيضا يعطل حساب المستخدم في Microsoft Entra ID.
  • عند استضافة حساب المستخدم في Microsoft Entra ID فقط (حساب السحابة الأصلي): ينفذ Defender for Identity إجراء تعطيل المستخدم في Microsoft Entra ID باستخدام تطبيق مؤسسة تديره Microsoft. يتحقق هذا التطبيق من صحة الأدوار والأذونات المعينة للمستخدم الذي قام بتسجيل الدخول من خلال التحكم في الوصول المستند إلى الدور (RBAC) قبل تعطيل الحساب.

  يسمى Microsoft Defender for Identity تطبيق المؤسسة ويستخدم معرف 60ca1954‑583c‑4d1f‑86de‑39d835f3e452التطبيق . في المستأجرين الأقدم، قد يظهر هذا التطبيق ك Radius Aad Syncer.

  ملاحظة

  لا يعتمد تعطيل حساب المستخدم في Microsoft Entra ID على نشر Microsoft Defender for Identity.

• تحتوي على مستخدم - استنادا إلى قدرة Microsoft Defender لنقطة النهاية، يحتوي إجراء الاستجابة هذا تلقائيا على هويات مشبوهة مؤقتا للمساعدة في حظر أي حركة جانبية وتشفير بعيد متعلق بالاتصال الوارد مع الأجهزة المضمنة في Defender لنقطة النهاية.

  يفرض Defender لنقطة النهاية احتواء المستخدم في طبقة نقطة النهاية ولا يعطل الحساب في موفر الهوية. يمنع Defender for Endpoint استخدام المهاجم للهويات المخترقة على الأجهزة المحمية ويحد من الوصول المستند إلى المصادقة والوصول إلى نظام الملفات ومسارات اتصال الشبكة.

  يطبق هذا الإجراء عناصر التحكم على مستوى دقيق، بحيث يمكن ل Microsoft استهداف النشاط المتعلق بالهجوم والحفاظ على اتصالات الأعمال العادية حيثما أمكن ذلك.

لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender.

تحديد وقت حدوث انقطاع في الهجوم في بيئتك

ستعكس صفحة Microsoft Defender الحادث إجراءات تعطيل الهجوم التلقائي من خلال قصة الهجوم والحالة المشار إليها بواسطة شريط أصفر (الشكل 1). يعرض الحدث علامة تعطيل مخصصة، ويسلط الضوء على حالة الأصول المضمنة في الرسم البياني للحادث، ويضيف إجراء إلى مركز الصيانة.

الشكل 1. عرض الحادث يظهر الشريط الأصفر حيث اتخذ تعطيل الهجوم التلقائي إجراء

تتضمن تجربة المستخدم Microsoft Defender الآن إشارات مرئية إضافية لضمان رؤية هذه الإجراءات التلقائية. يمكنك العثور عليها عبر التجارب التالية:

1. في قائمة انتظار الحوادث:

   • تظهر علامة بعنوان "تعطيل الهجوم " بجوار الحوادث المتأثرة

2. في صفحة الحدث:

• علامة بعنوان "تعطيل الهجوم"
• شعار أصفر في أعلى الصفحة يسلط الضوء على الإجراء التلقائي الذي تم اتخاذه
• يتم عرض حالة الأصل الحالي في الرسم البياني للحادث إذا تم إجراء على أصل، على سبيل المثال، تم تعطيل الحساب أو الجهاز المضمن
• يعرض عمود حالة النهج (معاينة) في علامة التبويب الأنشطة الحالة الحالية لجميع الإجراءات والنهج ذات الصلة بالحادث. التصفية حسب الموفر: تعطيل الهجوموحالة النهج: نشط، غير نشط، لا توجد حالة لعرض حالات نهج التعطيل.

3. عبر واجهة برمجة التطبيقات:

   تتم إضافة سلسلة (تعطيل الهجوم) إلى نهاية عناوين الحوادث بثقة عالية من المحتمل أن يتم تعطيلها تلقائيا. على سبيل المثال:

   هجوم الاحتيال المالي BEC الذي تم إطلاقه من حساب مخترق (تعطيل الهجوم)

لمزيد من المعلومات، راجع عرض تفاصيل والنتائج الخاصة بتعطيل الهجوم.

الخطوات التالية

• تكوين تعطيل الهجوم التلقائي
• عرض التفاصيل والنتائج
• الحصول على إشعارات البريد الإلكتروني لإجراءات الاستجابة

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.