تكوين قدرات تعطيل الهجوم التلقائي في Microsoft Defender XDR

مقالة
07/18/2024

يتضمن Microsoft Defender XDR قدرات قوية لتعطل الهجوم التلقائي يمكنها حماية بيئتك من الهجمات المتطورة وعالية التأثير.

توضح هذه المقالة كيفية تكوين إمكانات تعطيل الهجوم التلقائي في Microsoft Defender XDR باستخدام الخطوات التالية:

راجع المتطلبات الأساسية.
مراجعة استثناءات الاستجابة التلقائية للمستخدمين أو تغييرها.

بعد ذلك، بعد إعداد جميع الإجراءات، يمكنك عرض إجراءات الاحتواء وإدارتها في الحوادث ومركز الصيانة. وإذا لزم الأمر، يمكنك إجراء تغييرات على الإعدادات.

المتطلبات الأساسية لتعطل الهجوم التلقائي في Microsoft Defender XDR

احتياج	التفاصيل
متطلبات الاشتراك	أحد هذه الاشتراكات: Microsoft 365 E5 أو A5 Microsoft 365 E3 مع الوظيفة الإضافية Microsoft 365 E5 Security Microsoft 365 E3 مع الوظيفة الإضافية Enterprise Mobility + Security E5 Microsoft 365 A3 مع الوظيفة الإضافية لأمان Microsoft 365 A5 Windows 10 Enterprise E5 أو A5 Windows 11 Enterprise E5 أو A5 Enterprise Mobility + Security (EMS) E5 أو A5 Office 365 E5 أو A5 Microsoft Defender لنقطة النهاية (الخطة 2) Microsoft Defender للهوية Microsoft Defender for Cloud Apps Defender ل Office 365 (الخطة 2) Microsoft Defender for Business راجع متطلبات ترخيص Microsoft Defender XDR.
متطلبات التوزيع	النشر عبر منتجات Defender (على سبيل المثال، Defender for Endpoint و Defender ل Office 365 و Defender for Identity و Defender for Cloud Apps) كلما كان النشر أوسع، كلما كانت تغطية الحماية أكبر. على سبيل المثال، إذا تم استخدام إشارة Microsoft Defender for Cloud Apps في اكتشاف معين، فإن هذا المنتج مطلوب للكشف عن سيناريو الهجوم المحدد ذي الصلة. وبالمثل، يجب نشر المنتج ذي الصلة لتنفيذ إجراء استجابة تلقائي. على سبيل المثال، مطلوب Microsoft Defender لنقطة النهاية لاحتواء جهاز تلقائيا. تم تعيين اكتشاف جهاز Microsoft Defender لنقطة النهاية إلى "الاكتشاف القياسي"
الأذونات	لتكوين إمكانات تعطيل الهجوم التلقائي، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز إدارة Microsoft 365 (https://admin.microsoft.com): المسؤول العام مسؤول الأمان للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

احتياج

التفاصيل

متطلبات الاشتراك

أحد هذه الاشتراكات:

Microsoft 365 E5 أو A5
Microsoft 365 E3 مع الوظيفة الإضافية Microsoft 365 E5 Security
Microsoft 365 E3 مع الوظيفة الإضافية Enterprise Mobility + Security E5
Microsoft 365 A3 مع الوظيفة الإضافية لأمان Microsoft 365 A5
Windows 10 Enterprise E5 أو A5
Windows 11 Enterprise E5 أو A5
Enterprise Mobility + Security (EMS) E5 أو A5
Office 365 E5 أو A5
Microsoft Defender لنقطة النهاية (الخطة 2)
Microsoft Defender للهوية
Microsoft Defender for Cloud Apps
Defender ل Office 365 (الخطة 2)
Microsoft Defender for Business

راجع متطلبات ترخيص Microsoft Defender XDR.

متطلبات التوزيع

النشر عبر منتجات Defender (على سبيل المثال، Defender for Endpoint و Defender ل Office 365 و Defender for Identity و Defender for Cloud Apps)

كلما كان النشر أوسع، كلما كانت تغطية الحماية أكبر. على سبيل المثال، إذا تم استخدام إشارة Microsoft Defender for Cloud Apps في اكتشاف معين، فإن هذا المنتج مطلوب للكشف عن سيناريو الهجوم المحدد ذي الصلة.
وبالمثل، يجب نشر المنتج ذي الصلة لتنفيذ إجراء استجابة تلقائي. على سبيل المثال، مطلوب Microsoft Defender لنقطة النهاية لاحتواء جهاز تلقائيا.

تم تعيين اكتشاف جهاز Microsoft Defender لنقطة النهاية إلى "الاكتشاف القياسي"

الأذونات

لتكوين إمكانات تعطيل الهجوم التلقائي، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز إدارة Microsoft 365 (https://admin.microsoft.com):

المسؤول العام
مسؤول الأمان

للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

المتطلبات الأساسية ل Microsoft Defender لنقطة النهاية

الحد الأدنى لإصدار عميل Sense (عميل MDE)

إصدار الحد الأدنى لعامل الاستشعار المطلوب لإجراء احتواء المستخدم للعمل هو v10.8470. يمكنك تحديد إصدار Sense Agent على جهاز عن طريق تشغيل أمر PowerShell التالي:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

إعداد الأتمتة لأجهزة المؤسسات

راجع مستوى الأتمتة المكون لنهج مجموعة الأجهزة، وتشغيل التحقيقات التلقائية wWhether، وما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على أجهزتك تعتمد على إعدادات معينة. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
انتقل إلى Settings>Endpoints>Device groups ضمن Permissions.
راجع نهج مجموعة أجهزتك. انظر إلى عمود مستوى التنفيذ التلقائي . نوصي باستخدام كامل - معالجة التهديدات تلقائيا. قد تحتاج إلى إنشاء مجموعات أجهزتك أو تحريرها للحصول على مستوى الأتمتة الذي تريده. لاستبعاد مجموعة أجهزة من الاحتواء التلقائي، قم بتعيين مستوى التنفيذ التلقائي الخاص بها إلى أي استجابة تلقائية. لاحظ أن هذا غير مستحسن للغاية ويجب أن يتم فقط لعدد محدود من الأجهزة.

تكوين اكتشاف الجهاز

يجب تنشيط إعدادات اكتشاف الجهاز إلى "الاكتشاف القياسي" كحد أدنى. تعرف على كيفية تكوين اكتشاف الجهاز في إعداد اكتشاف الجهاز.

ملاحظة

يمكن أن يعمل تعطيل الهجوم على الأجهزة بشكل مستقل عن حالة تشغيل برنامج الحماية من الفيروسات من Microsoft Defender للجهاز. يمكن أن تكون حالة التشغيل في وضع حظر نشط أو سلبي أو EDR.

المتطلبات الأساسية ل Microsoft Defender للهوية

إعداد التدقيق في وحدات التحكم بالمجال

تعرف على كيفية إعداد التدقيق في وحدات التحكم بالمجال في تكوين نهج التدقيق لسجلات أحداث Windows للتأكد من تكوين أحداث التدقيق المطلوبة على وحدات التحكم بالمجال حيث يتم نشر مستشعر Defender for Identity.

التحقق من صحة حسابات الإجراءات

يسمح لك Defender for Identity باتخاذ إجراءات معالجة تستهدف حسابات Active Directory المحلية في حالة اختراق الهوية. لاتخاذ هذه الإجراءات، يحتاج Defender for Identity إلى الحصول على الأذونات المطلوبة للقيام بذلك. بشكل افتراضي، يقوم مستشعر Defender for Identity بانتحال شخصية حساب LocalSystem لوحدة تحكم المجال وتنفيذ الإجراءات. نظرا لأنه يمكن تغيير الافتراضي، تحقق من أن Defender for Identity لديه الأذونات المطلوبة أو يستخدم حساب LocalSystem الافتراضي.

يمكنك العثور على مزيد من المعلومات حول حسابات الإجراءات في تكوين حسابات إجراء Microsoft Defender for Identity

يجب نشر مستشعر Defender for Identity على وحدة التحكم بالمجال حيث سيتم إيقاف تشغيل حساب Active Directory.

ملاحظة

إذا كانت لديك عمليات أتمتة لتنشيط مستخدم أو حظره، فتحقق مما إذا كانت الأتمتة يمكن أن تتداخل مع التعطيل. على سبيل المثال، إذا كانت هناك أتمتة للتحقق بانتظام من تمكين جميع الموظفين النشطين للحسابات وفرضها، فقد يؤدي ذلك إلى تنشيط الحسابات التي تم إلغاء تنشيطها عن غير قصد بسبب تعطيل الهجوم أثناء اكتشاف هجوم.

المتطلبات الأساسية ل Microsoft Defender for Cloud Apps

Microsoft Office 365 Connector

يجب توصيل Microsoft Defender for Cloud Apps ب Microsoft Office 365 من خلال الموصل. لتوصيل Defender for Cloud Apps، راجع توصيل Microsoft 365 ب Microsoft Defender for Cloud Apps.

إدارة التطبيقات

يجب تشغيل إدارة التطبيقات. راجع وثائق إدارة التطبيق لتشغيلها.

المتطلبات الأساسية ل Microsoft Defender ل Office 365

موقع علب البريد

يجب استضافة علب البريد في Exchange Online.

تسجيل تدقيق علبة بريد

يجب تدقيق أحداث علبة البريد التالية كحد أدنى:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
الحذف الناعم
حذف ثابت

راجع إدارة تدقيق علبة البريد للتعرف على إدارة تدقيق علبة البريد.

يجب أن يكون نهج الارتباطات الآمنة موجودا.

مراجعة استثناءات الاستجابة التلقائية للمستخدمين أو تغييرها

يتيح تعطيل الهجوم التلقائي استبعاد حسابات مستخدمين محددة من إجراءات الاحتواء التلقائي. لن يتأثر المستخدمون المستبعدون بالإجراءات التلقائية التي يتم تشغيلها بسبب تعطيل الهجوم. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.
انتقل إلى الإعدادات استجابة>Microsoft Defender XDR>Identity التلقائية. تحقق من قائمة المستخدمين لاستبعاد الحسابات.
لاستبعاد حساب مستخدم جديد، حدد Add user exclusion.

لا ينصح باستبعاد حسابات المستخدمين، ولن يتم تعليق الحسابات المضافة إلى هذه القائمة في جميع أنواع الهجمات المدعومة مثل اختراق البريد الإلكتروني للأعمال (BEC) وبرامج الفدية الضارة التي يديرها الإنسان.

الخطوات التالية

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

مشاركة عبر