اقرأ باللغة الإنجليزية

مشاركة عبر


التحقيق والاستجابة التلقائية في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

إذا كانت مؤسستك تستخدم Microsoft Defender XDR، يتلقى فريق عمليات الأمان تنبيها داخل مدخل Microsoft Defender كلما تم الكشف عن نشاط أو بيانات اصطناعية ضارة أو مشبوهة. نظرا للتدفق الذي يبدو أنه لا ينتهي من التهديدات التي يمكن أن تأتي، غالبا ما تواجه فرق الأمان التحدي المتمثل في معالجة الحجم الكبير من التنبيهات. لحسن الحظ، تتضمن Microsoft Defender XDR قدرات التحقيق والاستجابة التلقائية (AIR) التي يمكن أن تساعد فريق عمليات الأمان على معالجة التهديدات بشكل أكثر كفاءة وفعالية.

توفر هذه المقالة نظرة عامة على AIR وتتضمن ارتباطات إلى الخطوات التالية والموارد الإضافية.

كيف يعمل التحقيق التلقائي والشفاء الذاتي

مع تشغيل تنبيهات الأمان، يعود الأمر إلى فريق عمليات الأمان الخاص بك للنظر في هذه التنبيهات واتخاذ خطوات لحماية مؤسستك. يمكن أن يستغرق تحديد أولويات التنبيهات والتحقيق فيها وقتا طويلا جدا، خاصة عندما تستمر التنبيهات الجديدة في الظهور أثناء إجراء التحقيق. يمكن أن تشعر فرق العمليات الأمنية بالإرهاق بسبب الحجم الهائل للتهديدات التي يجب عليها مراقبتها والحماية منها. يمكن أن تساعد قدرات التحقيق والاستجابة التلقائية، مع الشفاء الذاتي، في Microsoft Defender XDR.

شاهد الفيديو التالي لمعرفة كيفية عمل الإصلاح الذاتي:

في Microsoft Defender XDR، يعمل التحقيق والاستجابة التلقائيان مع قدرات الإصلاح الذاتي عبر أجهزتك ومحتوى & البريد الإلكتروني والهويات.

تلميح

توضح هذه المقالة كيفية عمل التحقيق والاستجابة التلقائيين. لتكوين هذه الإمكانات، راجع تكوين قدرات التحقيق والاستجابة التلقائية في Microsoft Defender XDR.

المحلل الظاهري الخاص بك

تخيل وجود محلل ظاهري في فريق عمليات الأمان من المستوى 1 أو المستوى 2. يحاكي المحلل الظاهري الخطوات المثالية التي ستتخذها العمليات الأمنية للتحقيق في التهديدات ومعالجتها. يمكن للمحلل الظاهري العمل 24x7، بسعة غير محدودة، ويتحمل حملا كبيرا من التحقيقات ومعالجة التهديدات. يمكن أن يقلل هذا المحلل الظاهري بشكل كبير من وقت الاستجابة، ما يحرر فريق عمليات الأمان الخاص بك للتهديدات الهامة الأخرى أو المشاريع الاستراتيجية. إذا كان هذا السيناريو يبدو وكأنه خيال علمي، فإنه ليس كذلك! هذا المحلل الظاهري هو جزء من مجموعة Microsoft Defender XDR الخاصة بك، واسمه هو التحقيق والاستجابة التلقائية.

تمكن قدرات التحقيق والاستجابة التلقائية فريق عمليات الأمان من زيادة قدرة مؤسستك بشكل كبير على التعامل مع التنبيهات والحوادث الأمنية. من خلال التحقيق والاستجابة التلقائيين، يمكنك تقليل تكلفة التعامل مع أنشطة التحقيق والاستجابة وتحقيق أقصى استفادة من مجموعة الحماية من التهديدات. تساعد قدرات التحقيق والاستجابة التلقائية فريق عمليات الأمان من خلال:

  1. تحديد ما إذا كان التهديد يتطلب إجراء أم لا.
  2. اتخاذ (أو التوصية) بأي إجراءات معالجة ضرورية.
  3. تحديد ما إذا كان يجب أن تحدث التحقيقات الأخرى وما هي التحقيقات الأخرى.
  4. تكرار العملية حسب الضرورة للتنبيهات الأخرى.

عملية التحقيق التلقائي

ينشئ التنبيه حادثا، والذي يمكن أن يبدأ تحقيقا تلقائيا. وينتج عن التحقيق الآلي حكم على كل قطعة من الأدلة. يمكن أن تكون الأحكام:

  • الخبيثه
  • المشبوهه
  • لم يتم العثور على تهديدات

يتم تحديد إجراءات المعالجة للكيانات الضارة أو المشبوهة. تتضمن أمثلة إجراءات المعالجة ما يلي:

  • إرسال ملف إلى العزل
  • إيقاف عملية
  • عزل جهاز
  • حظر عنوان URL
  • إجراءات أخرى

لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender XDR.

اعتمادا على كيفية تكوين قدرات التحقيق والاستجابة التلقائية لمؤسستك، يتم اتخاذ إجراءات المعالجة تلقائيا أو فقط بناء على موافقة فريق عمليات الأمان. يتم سرد جميع الإجراءات، سواء كانت معلقة أو مكتملة، في مركز الصيانة.

أثناء تشغيل التحقيق، تتم إضافة أي تنبيهات أخرى ذات صلة تنشأ إلى التحقيق حتى يكتمل. إذا شوهد كيان متأثر في مكان آخر، فإن التحقيق التلقائي يوسع نطاقه ليشمل هذا الكيان، وتتكرر عملية التحقيق.

في Microsoft Defender XDR، يربط كل تحقيق تلقائي الإشارات عبر Microsoft Defender for Identity Microsoft Defender لنقطة النهاية و Microsoft Defender لـ Office 365، كما هو ملخص في الجدول التالي:

الكيانات خدمات الحماية من التهديدات
الأجهزة (يشار إليها أيضا باسم نقاط النهاية أو الأجهزة) Defender لنقطة النهاية
مستخدمو Active Directory المحليون وسلوك الكيان والأنشطة Defender for Identity
محتوى البريد الإلكتروني (رسائل البريد الإلكتروني التي يمكن أن تحتوي على ملفات وعناوين URL) دليل إعداد Microsoft Defender لـ Office 365

ملاحظة

لا يؤدي كل تنبيه إلى إجراء تحقيق تلقائي، ولا ينتج عن كل تحقيق إجراءات معالجة تلقائية. يعتمد ذلك على كيفية تكوين التحقيق والاستجابة التلقائيين لمؤسستك. راجع تكوين قدرات التحقيق والاستجابة التلقائية.

عرض قائمة بالتحقيقات

لعرض التحقيقات، انتقل إلى صفحة الحوادث . حدد حدثا، ثم حدد علامة التبويب التحقيقات . لمعرفة المزيد، راجع تفاصيل ونتائج التحقيق التلقائي.

بطاقة استجابة & التحقيق التلقائي

تتوفر بطاقة استجابة & التحقيق التلقائي الجديد في مدخل Microsoft Defender (https://security.microsoft.com). رؤية البطاقة الجديدة هذه لإجمالي عدد إجراءات المعالجة المتوفرة. تقدم البطاقة أيضا نظرة عامة على جميع التنبيهات ووقت الموافقة المطلوب لكل تنبيه.

لقطة شاشة تعرض التحقيق التلقائي & بطاقة الاستجابة.

باستخدام بطاقة استجابة & التحقيق التلقائي، يمكن لفريق عمليات الأمان الانتقال بسرعة إلى مركز الصيانة عن طريق تحديد الارتباط الموافقة في مركز الصيانة ، ثم اتخاذ الإجراءات المناسبة. تمكن البطاقة فريق عمليات الأمان من إدارة الإجراءات التي تنتظر الموافقة بشكل أكثر فعالية.

الخطوات التالية

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.