معالجة الحادث الأول في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

يوفر Microsoft Defender XDR قدرات الكشف والتحليل لضمان احتواء التهديدات والقضاء عليها. يتضمن الاحتواء خطوات لتقليل تأثير الهجوم بينما يضمن القضاء إزالة جميع آثار نشاط المهاجم من الشبكة.

يمكن أتمتة المعالجة في Microsoft Defender XDR أو من خلال الإجراءات اليدوية التي يتخذها المستجيبون للحوادث. يمكن اتخاذ إجراءات المعالجة على الأجهزة والملفات والهويات.

المعالجة التلقائية

يستفيد Microsoft Defender XDR من التحليل الذكي للمخاطر والإشارات داخل شبكتك لمكافحة الهجمات الأكثر تخريبا. تعد برامج الفدية الضارة واختراق البريد الإلكتروني للأعمال (BEC) والتصيد الاحتيالي للخصم في الوسط (AiTM) بعض الهجمات الأكثر تعقيدا التي يمكن احتواؤها على الفور من خلال إمكانية تعطيل الهجوم التلقائي . بمجرد تعطيل الهجوم، يمكن للمستجيبين للحوادث الاستيلاء على الهجوم والتحقيق فيه بالكامل وتطبيق المعالجة المطلوبة.

تعرف على كيفية مساعدة تعطيل الهجوم التلقائي في الاستجابة للحوادث:

وفي الوقت نفسه، يمكن لقدرات التحقيق والاستجابة التلقائية ل Microsoft Defender XDR التحقيق تلقائيا في إجراءات المعالجة وتطبيقها على العناصر الضارة والمريبة. تعمل هذه الإمكانات على توسيع نطاق التحقيق والحلول للتهديدات، مما يحرر المستجيبين للحوادث لتركيز جهودهم على الهجمات عالية التأثير.

يمكنك تكوينوإدارة قدرات التحقيق والاستجابة التلقائية. يمكنك أيضا عرض جميع الإجراءات السابقة والمعلقة من خلال مركز الصيانة.

ملاحظة

يمكنك التراجع عن الإجراءات التلقائية بعد المراجعة.

لتسريع بعض مهام التحقيق، يمكنك فرز التنبيهات باستخدام Power Automate. بالإضافة إلى ذلك، يمكن إنشاء المعالجة التلقائية باستخدام الأتمتة ودلائل المبادئ. لدى Microsoft قوالب دليل المبادئ على GitHub للسيناريوهات التالية:

  • إزالة مشاركة الملفات الحساسة بعد طلب التحقق من صحة المستخدم
  • الفرز التلقائي لتنبيهات البلدان غير المتكررة
  • طلب إجراء المدير قبل تعطيل حساب
  • تعطيل قواعد علبة الوارد الضارة

تستخدم أدلة المبادئ Power Automate لإنشاء تدفقات مخصصة لأتمتة العمليات الروبوتية لأتمتة أنشطة معينة بمجرد تشغيل معايير محددة. يمكن للمؤسسات إنشاء أدلة المبادئ إما من القوالب الموجودة أو من البداية. يمكن أيضا إنشاء أدلة المبادئ أثناء مراجعة ما بعد الحدث لإنشاء إجراءات معالجة من الحوادث التي تم حلها.

تعرف على كيفية مساعدة Power Automate في أتمتة الاستجابة للحوادث من خلال هذا الفيديو:

المعالجة اليدوية

أثناء الاستجابة للهجوم، يمكن لفرق الأمان الاستفادة من إجراءات المعالجة اليدوية للمدخل لمنع الهجمات من تكبد المزيد من الضرر. ويمكن لبعض الإجراءات أن توقف التهديد فورا، بينما تساعد إجراءات أخرى في إجراء مزيد من التحليل الجنائي. يمكنك تطبيق هذه الإجراءات على أي كيان اعتمادا على أحمال عمل Defender المنشورة داخل مؤسستك.

الإجراءات على الأجهزة

  • عزل الجهاز - يعزل جهازا متأثرا عن طريق فصل الجهاز عن الشبكة. يظل الجهاز متصلا بخدمة Defender لنقطة النهاية للمراقبة المستمرة.

  • تقييد تنفيذ التطبيق - يقيد تطبيقا عن طريق تطبيق نهج تكامل التعليمات البرمجية الذي يسمح بتشغيل الملفات فقط إذا تم توقيعها بواسطة شهادة صادرة من Microsoft.

  • تشغيل فحص برنامج الحماية من الفيروسات - يبدأ فحص برنامج الحماية من الفيروسات ل Defender عن بعد لجهاز. يمكن تشغيل الفحص جنبا إلى جنب مع حلول مكافحة الفيروسات الأخرى، سواء كان Defender Antivirus هو حل مكافحة الفيروسات النشط أم لا.

  • جمع حزمة التحقيق - يمكنك جمع حزمة تحقيق من جهاز كجزء من عملية التحقيق أو الاستجابة. من خلال جمع حزمة التحقيق، يمكنك تحديد الحالة الحالية للجهاز وفهم الأدوات والتقنيات التي يستخدمها المهاجم بشكل أكبر.

  • بدء التحقيق التلقائي - يبدأ تحقيقا تلقائيا جديدا للأغراض العامة على الجهاز. أثناء تشغيل التحقيق، ستتم إضافة أي تنبيه آخر تم إنشاؤه من الجهاز إلى تحقيق تلقائي مستمر حتى يكتمل هذا التحقيق. بالإضافة إلى ذلك، إذا شوهد نفس التهديد على أجهزة أخرى، تتم إضافة هذه الأجهزة إلى التحقيق.

  • بدء الاستجابة المباشرة - يمنحك وصولا فوريا إلى جهاز باستخدام اتصال shell عن بعد حتى تتمكن من القيام بعمل تحقيقي متعمق واتخاذ إجراءات استجابة فورية لاحتواء التهديدات المحددة على الفور في الوقت الفعلي. تم تصميم الاستجابة المباشرة لتعزيز التحقيقات من خلال تمكينك من جمع البيانات الجنائية وتشغيل البرامج النصية وإرسال الكيانات المشبوهة للتحليل ومعالجة التهديدات والبحث بشكل استباقي عن التهديدات الناشئة.

  • اسأل خبراء Defender - يمكنك استشارة خبير Microsoft Defender للحصول على مزيد من الرؤى حول الأجهزة التي يحتمل أن تكون مخترقة أو مخترقة بالفعل. يمكن إشراك خبراء Microsoft Defender مباشرة من داخل المدخل للحصول على استجابة دقيقة وفي الوقت المناسب. يتوفر هذا الإجراء لكل من الأجهزة والملفات.

تتوفر إجراءات أخرى على الأجهزة من خلال البرنامج التعليمي التالي:

ملاحظة

يمكنك اتخاذ إجراءات على الأجهزة مباشرة من الرسم البياني ضمن قصة الهجوم.

الإجراءات على الملفات

  • ملف الإيقاف والعزل - بما في ذلك إيقاف تشغيل العمليات، وتكسير الملفات، وحذف البيانات الثابتة مثل مفاتيح التسجيل.
  • إضافة مؤشرات لحظر الملف أو السماح به - يمنع الهجوم من الانتشار بشكل أكبر عن طريق حظر الملفات الضارة المحتملة أو البرامج الضارة المشتبه بها. تمنع هذه العملية قراءة الملف أو كتابته أو تنفيذه على الأجهزة في مؤسستك.
  • تنزيل ملف أو جمعه - يسمح للمحللين بتنزيل ملف في ملف أرشيف محمي بكلمة مرور .zip لمزيد من التحليل من قبل المؤسسة.
  • التحليل العميق - ينفذ ملفا في بيئة سحابية آمنة ومجهزة بالكامل. تظهر نتائج التحليل العميق أنشطة الملف والسلوكيات المرصودة والبيانات الاصطناعية المرتبطة به، مثل الملفات التي تم إسقاطها وتعديلات السجل والاتصال بعناوين IP.

معالجة الهجمات الأخرى

ملاحظة

تنطبق هذه البرامج التعليمية عند تمكين أحمال عمل Defender الأخرى في بيئتك.

تقوم البرامج التعليمية التالية بتعداد الخطوات والإجراءات التي يمكنك تطبيقها عند التحقيق في الكيانات أو الاستجابة لتهديدات محددة:

الخطوات التالية

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.