إجراءات المعالجة في Microsoft Defender XDR
ينطبق على:
- Microsoft Defender XDR
أثناء التحقيق التلقائي في Microsoft Defender XDR وبعده، يتم تحديد إجراءات المعالجة للعناصر الضارة أو المشبوهة. يتم اتخاذ بعض أنواع إجراءات المعالجة على الأجهزة، ويشار إليها أيضا باسم نقاط النهاية. يتم اتخاذ إجراءات معالجة أخرى على الهويات والحسابات ومحتوى البريد الإلكتروني. بالإضافة إلى ذلك، يمكن أن تحدث بعض أنواع إجراءات المعالجة تلقائيا، بينما يتم اتخاذ أنواع أخرى من إجراءات المعالجة يدويا من قبل فريق الأمان في مؤسستك. عندما ينتج عن التحقيق التلقائي إجراء معالجة واحد أو أكثر، لا يكتمل التحقيق إلا عند اتخاذ إجراءات المعالجة أو الموافقة عليها أو رفضها.
هام
يعتمد ما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على إعدادات معينة، مثل مستويات الأتمتة. لمعرفة المزيد، راجع المقالات التالية:
يلخص الجدول التالي إجراءات المعالجة المدعومة حاليا في Microsoft Defender XDR.
| إجراءات معالجة الجهاز (نقطة النهاية) | إجراءات معالجة البريد الإلكتروني | المستخدمون (الحسابات) |
|---|---|---|
| - جمع حزمة التحقيق - عزل الجهاز (يمكن التراجع عن هذا الإجراء) - جهاز إلغاء الإلحاق - تنفيذ التعليمات البرمجية للإصدار - تحرير من العزل - نموذج الطلب - تقييد تنفيذ التعليمات البرمجية (يمكن التراجع عن هذا الإجراء) - تشغيل فحص مكافحة الفيروسات - إيقاف وعزل - تحتوي على أجهزة من الشبكة |
- حظر عنوان URL (وقت النقر) - رسائل البريد الإلكتروني أو أنظمة المجموعات للحذف المبدئي - عزل البريد الإلكتروني - عزل مرفق بريد إلكتروني - إيقاف تشغيل إعادة توجيه البريد الخارجي |
- تعطيل المستخدم - إعادة تعيين كلمة مرور المستخدم - تأكيد تعرض المستخدم للخطر |
يمكن عرض إجراءات المعالجة، سواء كانت معلقة أو مكتملة بالفعل، في مركز الصيانة.
إجراءات المعالجة التي تتبع التحقيقات التلقائية
عند اكتمال التحقيق الآلي، يتم التوصل إلى حكم لكل دليل ينطوي عليه الأمر. واستنادا إلى الحكم، يتم تحديد إجراءات المعالجة. وفي بعض الحالات، تتخذ إجراءات المعالجة تلقائيا؛ وفي حالات أخرى، تنتظر إجراءات المعالجة الموافقة عليها. يعتمد كل ذلك على كيفية تكوين التحقيق والاستجابة التلقائية.
يسرد الجدول التالي الأحكام والنتائج المحتملة:
| الحكم | الكيانات المتأثرة | نتائج |
|---|---|---|
| خبيث | الأجهزة (نقاط النهاية) | يتم اتخاذ إجراءات المعالجة تلقائيا (بافتراض تعيين مجموعات الأجهزة الخاصة بمؤسستك على كامل - معالجة التهديدات تلقائيا) |
| الخطر | المستخدمون | يتم اتخاذ إجراءات المعالجة تلقائيا |
| خبيث | محتوى البريد الإلكتروني (عناوين URL أو المرفقات) | إجراءات المعالجة الموصى بها في انتظار الموافقة عليها |
| مشبوه | الأجهزة أو محتوى البريد الإلكتروني | إجراءات المعالجة الموصى بها في انتظار الموافقة عليها |
| لم يتم العثور على تهديدات | الأجهزة أو محتوى البريد الإلكتروني | لا توجد حاجة إلى إجراءات معالجة |
إجراءات المعالجة التي يتم اتخاذها يدويا
بالإضافة إلى إجراءات المعالجة التي تتبع التحقيقات التلقائية، يمكن لفريق عمليات الأمان اتخاذ بعض إجراءات المعالجة يدويا. وتشمل هذه الإجراءات ما يلي:
- إجراء يدوي للجهاز، مثل عزل الجهاز أو عزل الملفات
- إجراء البريد الإلكتروني اليدوي، مثل الحذف المبدئي لرسائل البريد الإلكتروني
- إجراء المستخدم اليدوي، مثل تعطيل المستخدم أو إعادة تعيين كلمة مرور المستخدم
- إجراء تتبع متقدم على الأجهزة أو المستخدمين أو البريد الإلكتروني
- إجراء المستكشف على محتوى البريد الإلكتروني، مثل نقل البريد الإلكتروني إلى البريد الإلكتروني غير الهام أو الحذف المبدئي للبريد الإلكتروني أو حذف البريد الإلكتروني بشكل مضمن
- إجراء استجابة مباشرة يدوي، مثل حذف ملف وإيقاف عملية وإزالة مهمة مجدولة
- إجراء الاستجابة المباشرة باستخدام واجهات برمجة تطبيقات Microsoft Defender لنقطة النهاية، مثل عزل جهاز وتشغيل فحص مكافحة الفيروسات والحصول على معلومات حول ملف
الخطوات التالية
- زيارة مركز الصيانة
- عرض إجراءات الإصلاح وإدارتها
- معالجة الإيجابيات الخاطئة أو السلبيات الخاطئة
- عزل الأجهزة من الشبكة
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.