التحقيق والاستجابة التلقائية في Microsoft Defender XDR
مقالة
ينطبق على:
Microsoft Defender XDR
إذا كانت مؤسستك تستخدم Microsoft Defender XDR، يتلقى فريق عمليات الأمان تنبيها داخل مدخل Microsoft Defender كلما تم الكشف عن نشاط أو بيانات اصطناعية ضارة أو مشبوهة. نظرا للتدفق الذي يبدو أنه لا ينتهي من التهديدات التي يمكن أن تأتي، غالبا ما تواجه فرق الأمان التحدي المتمثل في معالجة الحجم الكبير من التنبيهات. لحسن الحظ، تتضمن Microsoft Defender XDR قدرات التحقيق والاستجابة التلقائية (AIR) التي يمكن أن تساعد فريق عمليات الأمان على معالجة التهديدات بشكل أكثر كفاءة وفعالية.
توفر هذه المقالة نظرة عامة على AIR وتتضمن ارتباطات إلى الخطوات التالية والموارد الإضافية.
كيف يعمل التحقيق التلقائي والشفاء الذاتي
مع تشغيل تنبيهات الأمان، يعود الأمر إلى فريق عمليات الأمان الخاص بك للنظر في هذه التنبيهات واتخاذ خطوات لحماية مؤسستك. يمكن أن يستغرق تحديد أولويات التنبيهات والتحقيق فيها وقتا طويلا جدا، خاصة عندما تستمر التنبيهات الجديدة في الظهور أثناء إجراء التحقيق. يمكن أن تشعر فرق العمليات الأمنية بالإرهاق بسبب الحجم الهائل للتهديدات التي يجب عليها مراقبتها والحماية منها. يمكن أن تساعد قدرات التحقيق والاستجابة التلقائية، مع الشفاء الذاتي، في Microsoft Defender XDR.
شاهد الفيديو التالي لمعرفة كيفية عمل الإصلاح الذاتي:
في Microsoft Defender XDR، يعمل التحقيق والاستجابة التلقائيان مع قدرات الإصلاح الذاتي عبر أجهزتك ومحتوى & البريد الإلكتروني والهويات.
تخيل وجود محلل ظاهري في فريق عمليات الأمان من المستوى 1 أو المستوى 2. يحاكي المحلل الظاهري الخطوات المثالية التي ستتخذها العمليات الأمنية للتحقيق في التهديدات ومعالجتها. يمكن للمحلل الظاهري العمل 24x7، بسعة غير محدودة، ويتحمل حملا كبيرا من التحقيقات ومعالجة التهديدات. يمكن أن يقلل هذا المحلل الظاهري بشكل كبير من وقت الاستجابة، ما يحرر فريق عمليات الأمان الخاص بك للتهديدات الهامة الأخرى أو المشاريع الاستراتيجية. إذا كان هذا السيناريو يبدو وكأنه خيال علمي، فإنه ليس كذلك! هذا المحلل الظاهري هو جزء من مجموعة Microsoft Defender XDR الخاصة بك، واسمه هو التحقيق والاستجابة التلقائية.
تمكن قدرات التحقيق والاستجابة التلقائية فريق عمليات الأمان من زيادة قدرة مؤسستك بشكل كبير على التعامل مع التنبيهات والحوادث الأمنية. من خلال التحقيق والاستجابة التلقائيين، يمكنك تقليل تكلفة التعامل مع أنشطة التحقيق والاستجابة وتحقيق أقصى استفادة من مجموعة الحماية من التهديدات. تساعد قدرات التحقيق والاستجابة التلقائية فريق عمليات الأمان من خلال:
تحديد ما إذا كان التهديد يتطلب إجراء أم لا.
اتخاذ (أو التوصية) بأي إجراءات معالجة ضرورية.
تحديد ما إذا كان يجب أن تحدث التحقيقات الأخرى وما هي التحقيقات الأخرى.
تكرار العملية حسب الضرورة للتنبيهات الأخرى.
عملية التحقيق التلقائي
ينشئ التنبيه حادثا، والذي يمكن أن يبدأ تحقيقا تلقائيا. وينتج عن التحقيق الآلي حكم على كل قطعة من الأدلة. يمكن أن تكون الأحكام:
الخبيثه
المشبوهه
لم يتم العثور على تهديدات
يتم تحديد إجراءات المعالجة للكيانات الضارة أو المشبوهة. تتضمن أمثلة إجراءات المعالجة ما يلي:
أثناء تشغيل التحقيق، تتم إضافة أي تنبيهات أخرى ذات صلة تنشأ إلى التحقيق حتى يكتمل. إذا شوهد كيان متأثر في مكان آخر، فإن التحقيق التلقائي يوسع نطاقه ليشمل هذا الكيان، وتتكرر عملية التحقيق.
في Microsoft Defender XDR، يربط كل تحقيق تلقائي الإشارات عبر Microsoft Defender for Identity Microsoft Defender لنقطة النهاية و Microsoft Defender لـ Office 365، كما هو ملخص في الجدول التالي:
الكيانات
خدمات الحماية من التهديدات
الأجهزة (يشار إليها أيضا باسم نقاط النهاية أو الأجهزة)
لا يؤدي كل تنبيه إلى إجراء تحقيق تلقائي، ولا ينتج عن كل تحقيق إجراءات معالجة تلقائية. يعتمد ذلك على كيفية تكوين التحقيق والاستجابة التلقائيين لمؤسستك. راجع تكوين قدرات التحقيق والاستجابة التلقائية.
عرض قائمة بالتحقيقات
لعرض التحقيقات، انتقل إلى صفحة الحوادث . حدد حدثا، ثم حدد علامة التبويب التحقيقات . لمعرفة المزيد، راجع تفاصيل ونتائج التحقيق التلقائي.
بطاقة استجابة & التحقيق التلقائي
تتوفر بطاقة استجابة & التحقيق التلقائي الجديد في مدخل Microsoft Defender (https://security.microsoft.com). رؤية البطاقة الجديدة هذه لإجمالي عدد إجراءات المعالجة المتوفرة. تقدم البطاقة أيضا نظرة عامة على جميع التنبيهات ووقت الموافقة المطلوب لكل تنبيه.
باستخدام بطاقة استجابة & التحقيق التلقائي، يمكن لفريق عمليات الأمان الانتقال بسرعة إلى مركز الصيانة عن طريق تحديد الارتباط الموافقة في مركز الصيانة ، ثم اتخاذ الإجراءات المناسبة. تمكن البطاقة فريق عمليات الأمان من إدارة الإجراءات التي تنتظر الموافقة بشكل أكثر فعالية.
للحصول على بيانات اعتماد Microsoft Applied Skills هذه، يوضح المتعلمون القدرة على استخدام Microsoft Defender XDR للكشف عن التهديدات الإلكترونية والاستجابة لها. يجب أن يكون المرشحون لبيانات الاعتماد هذه على دراية بالتحقيق وجمع الأدلة حول الهجمات على نقاط النهاية. يجب أن يكون لديهم أيضا خبرة في استخدام Microsoft Defender لنقطة النهاية وKusto Query Language (KQL).