تكوين قدرات تعطيل الهجوم التلقائي في Microsoft Defender XDR

مقالة
04/26/2024

يتضمن Microsoft Defender XDR قدرات تعطيل هجوم تلقائي قوية يمكنها حماية بيئتك من الهجمات المتطورة وعالية التأثير.

توضح هذه المقالة كيفية تكوين إمكانات تعطيل الهجوم التلقائي في Microsoft Defender XDR باستخدام الخطوات التالية:

راجع المتطلبات الأساسية.
مراجعة استثناءات الاستجابة التلقائية للمستخدمين أو تغييرها.

بعد ذلك، بعد إعداد جميع الإجراءات، يمكنك عرض إجراءات الاحتواء وإدارتها في الحوادث ومركز الصيانة. وإذا لزم الأمر، يمكنك إجراء تغييرات على الإعدادات.

المتطلبات الأساسية لتعطل الهجوم التلقائي في Microsoft Defender XDR

شرط	التفاصيل
متطلبات الاشتراك	أحد هذه الاشتراكات: Microsoft 365 E5 أو A5 Microsoft 365 E3 مع الوظيفة الإضافية الأمان في Microsoft 365 E5 Microsoft 365 E3 مع الوظيفة الإضافية Enterprise Mobility + Security E5 Microsoft 365 A3 مع الوظيفة الإضافية Microsoft 365 A5 Security Windows 10 Enterprise E5 أو A5 Windows 11 Enterprise E5 أو A5 Enterprise Mobility + Security (EMS) E5 أو A5 Office 365 E5 أو A5 Microsoft Defender for Endpoint Microsoft Defender للهوية Microsoft Defender for Cloud Apps Defender لـ Office 365 (الخطة 2) Microsoft Defender for Business راجع متطلبات الترخيص Microsoft Defender XDR.
متطلبات التوزيع	التوزيع عبر منتجات Defender (على سبيل المثال، Defender لنقطة النهاية، Defender لـ Office 365، Defender for Identity، و Defender for Cloud Apps) كلما كان النشر أوسع، كلما كانت تغطية الحماية أكبر. على سبيل المثال، إذا تم استخدام إشارة Microsoft Defender for Cloud Apps في اكتشاف معين، فإن هذا المنتج مطلوب للكشف عن سيناريو الهجوم المحدد ذي الصلة. وبالمثل، يجب نشر المنتج ذي الصلة لتنفيذ إجراء استجابة تلقائي. على سبيل المثال، Microsoft Defender لنقطة النهاية مطلوب لاحتواء جهاز تلقائيا. تم تعيين اكتشاف جهاز Microsoft Defender لنقطة النهاية إلى "الاكتشاف القياسي"
الأذونات	لتكوين إمكانات تعطيل الهجوم التلقائي، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز مسؤولي Microsoft 365 (https://admin.microsoft.com): المسؤول العام مسؤول الأمان للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

شرط

التفاصيل

متطلبات الاشتراك

أحد هذه الاشتراكات:

Microsoft 365 E5 أو A5
Microsoft 365 E3 مع الوظيفة الإضافية الأمان في Microsoft 365 E5
Microsoft 365 E3 مع الوظيفة الإضافية Enterprise Mobility + Security E5
Microsoft 365 A3 مع الوظيفة الإضافية Microsoft 365 A5 Security
Windows 10 Enterprise E5 أو A5
Windows 11 Enterprise E5 أو A5
Enterprise Mobility + Security (EMS) E5 أو A5
Office 365 E5 أو A5
Microsoft Defender for Endpoint
Microsoft Defender للهوية
Microsoft Defender for Cloud Apps
Defender لـ Office 365 (الخطة 2)
Microsoft Defender for Business

راجع متطلبات الترخيص Microsoft Defender XDR.

متطلبات التوزيع

التوزيع عبر منتجات Defender (على سبيل المثال، Defender لنقطة النهاية، Defender لـ Office 365، Defender for Identity، و Defender for Cloud Apps)

كلما كان النشر أوسع، كلما كانت تغطية الحماية أكبر. على سبيل المثال، إذا تم استخدام إشارة Microsoft Defender for Cloud Apps في اكتشاف معين، فإن هذا المنتج مطلوب للكشف عن سيناريو الهجوم المحدد ذي الصلة.
وبالمثل، يجب نشر المنتج ذي الصلة لتنفيذ إجراء استجابة تلقائي. على سبيل المثال، Microsoft Defender لنقطة النهاية مطلوب لاحتواء جهاز تلقائيا.

تم تعيين اكتشاف جهاز Microsoft Defender لنقطة النهاية إلى "الاكتشاف القياسي"

الأذونات

لتكوين إمكانات تعطيل الهجوم التلقائي، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز مسؤولي Microsoft 365 (https://admin.microsoft.com):

المسؤول العام
مسؤول الأمان

للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

المتطلبات الأساسية Microsoft Defender لنقطة النهاية

الحد الأدنى لإصدار عميل Sense (عميل MDE)

إصدار الحد الأدنى لعامل الاستشعار المطلوب لإجراء احتواء المستخدم للعمل هو v10.8470. يمكنك تحديد إصدار Sense Agent على جهاز عن طريق تشغيل أمر PowerShell التالي:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

إعداد الأتمتة لأجهزة المؤسسات

راجع مستوى الأتمتة المكون لنهج مجموعة الأجهزة، وتشغيل التحقيقات التلقائية wWhether، وما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على أجهزتك تعتمد على إعدادات معينة. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
انتقل إلى Settings>Endpoints>Device groups ضمن Permissions.
راجع نهج مجموعة أجهزتك. انظر إلى عمود مستوى التنفيذ التلقائي . نوصي باستخدام كامل - معالجة التهديدات تلقائيا. قد تحتاج إلى إنشاء مجموعات أجهزتك أو تحريرها للحصول على مستوى الأتمتة الذي تريده. لاستبعاد مجموعة أجهزة من الاحتواء التلقائي، قم بتعيين مستوى التنفيذ التلقائي الخاص بها إلى أي استجابة تلقائية. لاحظ أن هذا غير مستحسن للغاية ويجب أن يتم فقط لعدد محدود من الأجهزة.

تكوين اكتشاف الجهاز

يجب تنشيط إعدادات اكتشاف الجهاز إلى "الاكتشاف القياسي" كحد أدنى. تعرف على كيفية تكوين اكتشاف الجهاز في إعداد اكتشاف الجهاز.

ملاحظة

يمكن أن يعمل تعطيل الهجوم على الأجهزة بشكل مستقل عن حالة تشغيل برنامج الحماية من الفيروسات Microsoft Defender للجهاز. يمكن أن تكون حالة التشغيل في وضع حظر نشط أو سلبي أو EDR.

المتطلبات الأساسية Microsoft Defender for Identity

إعداد التدقيق في وحدات التحكم بالمجال

تعرف على كيفية إعداد التدقيق في وحدات التحكم بالمجال في تكوين نهج التدقيق لسجلات أحداث Windows للتأكد من تكوين أحداث التدقيق المطلوبة على وحدات التحكم بالمجال حيث يتم نشر مستشعر Defender for Identity.

تكوين حسابات الإجراءات

يسمح لك Defender for Identity باتخاذ إجراءات معالجة تستهدف حسابات Active Directory محلي في حالة اختراق الهوية. لاتخاذ هذه الإجراءات، يحتاج Defender for Identity إلى الحصول على الأذونات المطلوبة للقيام بذلك. بشكل افتراضي، يقوم مستشعر Defender for Identity بانتحال شخصية حساب LocalSystem لوحدة تحكم المجال وتنفيذ الإجراءات. نظرا لأنه يمكن تغيير الإعداد الافتراضي، تحقق من أن Defender for Identity لديه الأذونات المطلوبة.

يمكنك العثور على مزيد من المعلومات حول حسابات الإجراءات في تكوين حسابات الإجراءات Microsoft Defender for Identity

يجب نشر مستشعر Defender for Identity على وحدة التحكم بالمجال حيث سيتم إيقاف تشغيل حساب Active Directory.

ملاحظة

إذا كانت لديك عمليات أتمتة لتنشيط مستخدم أو حظره، فتحقق مما إذا كانت الأتمتة يمكن أن تتداخل مع التعطيل. على سبيل المثال، إذا كانت هناك أتمتة للتحقق بانتظام من تمكين جميع الموظفين النشطين للحسابات وفرضها، فقد يؤدي ذلك إلى تنشيط الحسابات التي تم إلغاء تنشيطها عن غير قصد بسبب تعطيل الهجوم أثناء اكتشاف هجوم.

المتطلبات الأساسية Microsoft Defender for Cloud Apps

موصل Microsoft Office 365

يجب توصيل Microsoft Defender for Cloud Apps Microsoft Office 365 من خلال الموصل. لتوصيل Defender for Cloud Apps، راجع توصيل Microsoft 365 Microsoft Defender for Cloud Apps.

إدارة التطبيقات

يجب تشغيل إدارة التطبيقات. راجع وثائق إدارة التطبيق لتشغيلها.

المتطلبات الأساسية Microsoft Defender لـ Office 365

موقع علب البريد

يجب استضافة علب البريد في Exchange Online.

تسجيل تدقيق علبة بريد

يجب تدقيق أحداث علبة البريد التالية كحد أدنى:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
الحذف الناعم
حذف ثابت

راجع إدارة تدقيق علبة البريد للتعرف على إدارة تدقيق علبة البريد.

يجب أن يكون نهج الارتباطات الآمنة موجودا.

مراجعة استثناءات الاستجابة التلقائية للمستخدمين أو تغييرها

يتيح تعطيل الهجوم التلقائي استبعاد حسابات مستخدمين محددة من إجراءات الاحتواء التلقائي. لن يتأثر المستخدمون المستبعدون بالإجراءات التلقائية التي يتم تشغيلها بسبب تعطيل الهجوم. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
انتقل إلى Settings>Microsoft Defender XDR>Identity automated response. تحقق من قائمة المستخدمين لاستبعاد الحسابات.
لاستبعاد حساب مستخدم جديد، حدد Add user exclusion.

لا ينصح باستبعاد حسابات المستخدمين، ولن يتم تعليق الحسابات المضافة إلى هذه القائمة في جميع أنواع الهجمات المدعومة مثل اختراق البريد الإلكتروني للأعمال (BEC) وبرامج الفدية الضارة التي يديرها الإنسان.

الخطوات التالية

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

مشاركة عبر