تكوين قدرات التحقيق والاستجابة التلقائية في Microsoft Defender XDR

يتضمن Microsoft Defender XDR قدرات تحقيق واستجابة تلقائية قوية يمكن أن توفر لفريق عمليات الأمان الكثير من الوقت والجهد. مع الشفاء الذاتي، تحاكي هذه القدرات الخطوات التي سيتخذها محلل الأمان للتحقيق في التهديدات والاستجابة لها، بشكل أسرع فقط، وأكثر قدرة على التوسع.

توضح هذه المقالة كيفية تكوين التحقيق والاستجابة التلقائية في Microsoft Defender XDR باستخدام الخطوات التالية:

  1. راجع المتطلبات الأساسية.
  2. مراجعة مستوى التنفيذ التلقائي لمجموعات الأجهزة أو تغييره.
  3. راجع نهج الأمان والتنبيه في Office 365.

بعد ذلك، بعد الانتهاء من الإعداد، يمكنك عرض إجراءات المعالجة وإدارتها في مركز الصيانة. وإذا لزم الأمر، يمكنك إجراء تغييرات على إعدادات التحقيق التلقائية.

المتطلبات الأساسية للتحقيق التلقائي والاستجابة في Microsoft Defender XDR

احتياج التفاصيل
متطلبات الاشتراك أحد هذه الاشتراكات:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 مع الوظيفة الإضافية Microsoft 365 E5 Security
  • Microsoft 365 A3 مع الوظيفة الإضافية لأمان Microsoft 365 A5
  • Office 365 E5 بالإضافة إلى Enterprise Mobility + Security E5 بالإضافة إلى Windows E5

راجع متطلبات ترخيص Microsoft Defender XDR.
متطلبات الشبكة
متطلبات جهاز Windows
حماية محتوى البريد الإلكتروني وملفات Office
الأذونات لتكوين قدرات التحقيق والاستجابة التلقائية، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز إدارة Microsoft 365 (https://admin.microsoft.com):
  • المسؤول العام
  • مسؤول الأمان
للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

ملاحظة

توصي Microsoft باستخدام الأدوار ذات الأذونات الأقل للحصول على أمان أفضل. يجب استخدام دور المسؤول العام، الذي لديه العديد من الأذونات، فقط في حالات الطوارئ عندما لا يكون هناك دور آخر مناسب.

مراجعة مستوى التنفيذ التلقائي لمجموعات الأجهزة أو تغييره

يعتمد ما إذا كان يتم تشغيل التحقيقات التلقائية، وما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على أجهزتك على إعدادات معينة، مثل نهج مجموعة الأجهزة الخاصة بمؤسستك. راجع مستوى الأتمتة المكون لنهج مجموعة الأجهزة. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

  1. انتقل إلى مدخل Microsoft Defender في https://security.microsoft.com وسجل الدخول.

  2. انتقل إلى Settings>Endpoints>Device groups ضمن Permissions.

  3. راجع نهج مجموعة أجهزتك. على وجه الخصوص، انظر إلى عمود مستوى المعالجة . نوصي باستخدام كامل - معالجة التهديدات تلقائيا. قد تحتاج إلى إنشاء مجموعات أجهزتك أو تحريرها للحصول على مستوى الأتمتة الذي تريده. للحصول على تعليمات حول هذه المهمة، راجع المقالات التالية:

مراجعة نهج الأمان والتنبيه في Office 365

توفر Microsoft نهج تنبيه مضمنة تساعد في تحديد مخاطر معينة. تتضمن هذه المخاطر إساءة استخدام أذونات مسؤول Exchange ونشاط البرامج الضارة والتهديدات الخارجية والداخلية المحتملة ومخاطر إدارة دورة حياة البيانات. يمكن لبعض التنبيهات تشغيل التحقيق والاستجابة التلقائيين في Office 365. تأكد من تكوين ميزات Defender ل Office 365 بشكل صحيح.

على الرغم من أن بعض التنبيهات وسياسات الأمان يمكن أن تؤدي إلى إجراء تحقيقات تلقائية، لا يتم اتخاذ أي إجراءات معالجة تلقائيا للبريد الإلكتروني والمحتوى. بدلا من ذلك، تنتظر جميع إجراءات المعالجة لمحتوى البريد الإلكتروني والبريد الإلكتروني موافقة فريق عمليات الأمان في مركز الصيانة.

تساعد إعدادات الأمان في Exchange Online Protection (EOP) وDefender ل Office 365 في حماية البريد الإلكتروني والمحتوى. نوصي باستخدام نهج الأمان القياسية والصارمة المحددة مسبقا لتعيين الحماية للمستخدمين.

إذا كنت تستخدم نهج مخصصة، فاستخدم محلل التكوين لمقارنة إعدادات النهج بإعدادات نهج الأمان القياسية والصارمة المحددة مسبقا. للحصول على قائمة مفصلة بجميع إعدادات النهج، راجع الجداول في الإعدادات الموصى بها لأمان EOP وMicrosoft Defender ل Office 365.

يمكنك مراجعة نهج التنبيه في مدخل Defender في https://security.microsoft.com>النهج & قواعد>نهج التنبيه أو مباشرة في https://security.microsoft.com/alertpoliciesv2. توجد العديد من نهج التنبيه الافتراضية في فئة إدارة التهديدات . يمكن لبعض نهج التنبيه في فئة إدارة التهديدات تشغيل التحقيق والاستجابة التلقائيين. لمعرفة المزيد، راجع نهج تنبيه إدارة التهديدات.

هل تحتاج إلى إجراء تغييرات على إعدادات التحقيق التلقائي؟

يمكنك الاختيار من بين عدة خيارات لتغيير الإعدادات لقدرات التحقيق والاستجابة التلقائية. يتم سرد بعض الخيارات في الجدول التالي:

للقيام بذلك اتبع هذه الخطوات
تحديد مستويات الأتمتة لمجموعات الأجهزة
  1. إعداد مجموعة أجهزة واحدة أو أكثر. راجع إنشاء مجموعات الأجهزة وإدارتها.
  2. في مدخل Microsoft Defender، انتقل إلىأدوار نقاط النهاية للأذونات> & مجموعات >الأجهزة.
  3. حدد مجموعة أجهزة وراجع إعداد مستوى التنفيذ التلقائي الخاص بها. (نوصي باستخدام كامل - معالجة التهديدات تلقائيا). راجع مستويات التنفيذ التلقائي في قدرات التحقيق والمعالجة التلقائية.
  4. كرر الخطوتين 2 و3 حسب الاقتضاء لجميع مجموعات الأجهزة.

الخطوات التالية

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.