اقرأ باللغة الإنجليزية

مشاركة عبر


تحليلات التهديدات في Microsoft Defender XDR

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

تحليلات التهديدات هي حل التحليل الذكي للمخاطر داخل المنتج من الباحثين الأمنيين الخبراء في Microsoft. تم تصميمه لمساعدة فرق الأمان على أن تكون فعالة قدر الإمكان أثناء مواجهة التهديدات الناشئة، مثل:

  • الجهات الفاعلة النشطة في مجال التهديد وحملاتها
  • تقنيات الهجوم الشائعة والجديدة
  • الثغرات الأمنية الحرجة
  • أسطح الهجوم الشائعة
  • البرامج الضارة السائدة

يمكنك الوصول إلى تحليلات التهديدات إما من الجانب الأيسر العلوي من شريط التنقل الخاص بمدخل Microsoft Defender، أو من بطاقة لوحة معلومات مخصصة تعرض أهم التهديدات لمؤسستك، سواء من حيث التأثير المعروف، أو من حيث التعرض.

لقطة شاشة للصفحة المقصودة لتحليلات المخاطر

يمكن أن يساعد الحصول على رؤية للحملات النشطة أو المستمرة ومعرفة ما يجب القيام به من خلال تحليلات التهديدات في تزويد فريق عمليات الأمان بقرارات مستنيرة.

مع ظهور خصوم أكثر تطورا وتهديدات جديدة بشكل متكرر ومنتشر، من الضروري أن تكون قادرا على القيام بما يلي بسرعة:

  • تحديد التهديدات الناشئة والتفاعل معها
  • تعرف على ما إذا كنت تتعرض للهجوم حاليا
  • تقييم تأثير التهديد على أصولك
  • مراجعة مرونتك في مواجهة التهديدات أو التعرض لها
  • تحديد إجراءات التخفيف أو الاسترداد أو الوقاية التي يمكنك اتخاذها لإيقاف التهديدات أو احتواءها

ويقدم كل تقرير تحليلا للمخاطر المتعقبة وإرشادات شاملة حول كيفية الدفاع ضد هذا التهديد. كما يتضمن بيانات من شبكتك، مما يشير إلى ما إذا كان التهديد نشطا وما إذا كانت لديك حماية قابلة للتطبيق في مكانها.

الأدوار والأذونات المطلوبة

الأدوار والأذونات التالية مطلوبة للوصول إلى تحليلات التهديد في مدخل Defender:

  • أساسيات بيانات الأمان (قراءة)— لعرض تقرير تحليلات التهديدات والحوادث والتنبيهات ذات الصلة والأصول المتأثرة
  • إدارة الثغرات الأمنية (قراءة) ودرجة الأمان (قراءة)—للاطلاع على بيانات التعرض ذات الصلة والإجراءات الموصى بها

بشكل افتراضي، تتم إدارة الوصول إلى الخدمات المتوفرة في مدخل Defender بشكل جماعي باستخدام Microsoft Entra الأدوار العمومية. إذا كنت بحاجة إلى مرونة أكبر والتحكم في الوصول إلى بيانات منتج محددة، ولم تستخدم بعد Microsoft Defender XDR التحكم الموحد في الوصول المستند إلى الدور (RBAC) لإدارة الأذونات المركزية، نوصي بإنشاء أدوار مخصصة لكل خدمة. تعرف على المزيد حول إنشاء أدوار مخصصة

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

سيكون لديك رؤية لجميع تقارير تحليلات التهديدات حتى إذا كان لديك واحد فقط من المنتجات المدعومة. ومع ذلك، يجب أن يكون لديك كل منتج ودور لمعرفة الحوادث والأصول والتعرض والإجراءات الموصى بها المرتبطة بالتهديد.

عرض لوحة معلومات تحليلات المخاطر

تسلط لوحة معلومات تحليلات المخاطر (security.microsoft.com/threatanalytics3) الضوء على التقارير الأكثر صلة بالمؤسسة. يلخص التهديدات في الأقسام التالية:

  • أحدث التهديدات - تسرد أحدث تقارير التهديدات المنشورة أو المحدثة، إلى جانب عدد التنبيهات النشطة والمحلة.
  • التهديدات عالية التأثير - تسرد التهديدات التي لها أعلى تأثير على مؤسستك. يسرد هذا القسم التهديدات مع أكبر عدد من التنبيهات النشطة والمحلة أولا.
  • أعلى تهديدات التعرض - تسرد التهديدات التي تتعرض لها مؤسستك أعلى مستوى من التعرض. يتم حساب مستوى تعرضك للمخاطر باستخدام جزءين من المعلومات: مدى خطورة الثغرات الأمنية المرتبطة بالتهديد، وعدد الأجهزة في مؤسستك التي يمكن استغلالها بواسطة نقاط الضعف هذه.

لقطة شاشة للوحة معلومات تحليلات المخاطر،

حدد تهديدا من لوحة المعلومات لعرض التقرير لهذا التهديد. يمكنك أيضا تحديد حقل البحث للمفتاح في كلمة أساسية مرتبطة بتقرير تحليلات التهديدات الذي تريد قراءته.

عرض التقارير حسب الفئة

يمكنك تصفية قائمة تقارير التهديد وعرض التقارير الأكثر صلة وفقا لنوع تهديد معين أو حسب نوع التقرير.

  • علامات التهديد - تساعدك في عرض التقارير الأكثر صلة وفقا لفئة تهديد محددة. على سبيل المثال، تتضمن علامة برامج الفدية الضارة جميع التقارير المتعلقة ببرامج الفدية الضارة.
  • أنواع التقارير - تساعدك في عرض التقارير الأكثر صلة وفقا لنوع تقرير معين. على سبيل المثال، تتضمن علامة Tools & techniques جميع التقارير التي تغطي الأدوات والتقنيات.

تحتوي العلامات المختلفة على عوامل تصفية مكافئة تساعدك في مراجعة قائمة تقارير التهديد بكفاءة وتصفية طريقة العرض استنادا إلى علامة تهديد معينة أو نوع تقرير. على سبيل المثال، لعرض جميع تقارير التهديد المتعلقة بفئة برامج الفدية الضارة أو تقارير التهديد التي تتضمن نقاط ضعف.

يضيف فريق التحليل الذكي للمخاطر من Microsoft علامات التهديد إلى كل تقرير تهديد. تتوفر علامات التهديد التالية حاليا:

  • برامج الفدية الضارة
  • ابتزاز
  • التصيّد الاحتيالي
  • العمل على لوحة المفاتيح
  • مجموعة النشاط
  • ثغرة أمنية
  • حملة هجومية
  • أداة أو تقنية

يتم تقديم علامات التهديد في أعلى صفحة تحليلات التهديد. هناك عدادات لعدد التقارير المتوفرة ضمن كل علامة.

لقطة شاشة لعلامات تقرير تحليلات المخاطر.

لتعيين أنواع التقارير التي تريدها في القائمة، حدد عوامل التصفية، واختر من القائمة، وحدد تطبيق.

لقطة شاشة لقائمة عوامل التصفية.

إذا قمت بتعيين أكثر من عامل تصفية واحد، يمكن أيضا فرز قائمة تقارير تحليلات المخاطر حسب علامة التهديد عن طريق تحديد عمود علامات التهديد:

لقطة شاشة لعمود علامات التهديد.

عرض تقرير تحليلات المخاطر

يوفر كل تقرير من تقارير تحليلات التهديدات معلومات في عدة أقسام:

نظرة عامة: فهم التهديد بسرعة وتقييم تأثيره ومراجعة الدفاعات

يوفر قسم نظرة عامة معاينة لتقرير المحلل التفصيلي. كما يوفر مخططات تسلط الضوء على تأثير التهديد على مؤسستك، وتعرضك من خلال الأجهزة التي تم تكوينها بشكل خاطئ وغير المكشوفة.

لقطة شاشة لقسم النظرة العامة في تقرير تحليلات التهديدات.

تقييم التأثير على مؤسستك

يتضمن كل تقرير مخططات مصممة لتوفير معلومات حول التأثير التنظيمي للتهديد:

  • الحوادث ذات الصلة - توفر نظرة عامة على تأثير التهديد المتعقب لمؤسستك بالبيانات التالية:
    • عدد التنبيهات النشطة وعدد الحوادث النشطة المرتبطة بها
    • خطورة الحوادث النشطة
  • التنبيهات بمرور الوقت - تعرض عدد التنبيهات النشطةوالمحلة ذات الصلة بمرور الوقت. يشير عدد التنبيهات التي تم حلها إلى مدى سرعة استجابة مؤسستك للتنبيهات المرتبطة بالتهديد. من الناحية المثالية، يجب أن يعرض المخطط التنبيهات التي تم حلها في غضون بضعة أيام.
  • الأصول المتأثرة - تعرض عدد الأصول المميزة التي لديها حاليا تنبيه نشط واحد على الأقل مرتبط بالتهديد المتعقب. يتم تشغيل التنبيهات لعلب البريد التي تلقت رسائل بريد إلكتروني للمخاطر. راجع كلا من النهج على مستوى المؤسسة والمستخدم للتجاوزات التي تتسبب في تسليم رسائل البريد الإلكتروني للمخاطر.

مراجعة مرونة الأمان ووضعه

يتضمن كل تقرير مخططات توفر نظرة عامة حول مدى مرونة مؤسستك في مواجهة تهديد معين:

  • الإجراءات الموصى بها - تظهر النسبة المئوية لحالة الإجراء ، أو عدد النقاط التي حققتها لتحسين وضع الأمان الخاص بك. تنفيذ الإجراءات الموصى بها للمساعدة في معالجة التهديد. يمكنك عرض تصنيف النقاط حسب الفئة أو الحالة.
  • تعرض نقاط النهاية — يظهر عدد الأجهزة المعرضة للخطر. تطبيق تحديثات الأمان أو التصحيحات لمعالجة الثغرات الأمنية التي يستغلها التهديد.

تقرير المحلل: الحصول على نتيجة تحليلات الخبراء من باحثي أمان Microsoft

في قسم تقرير المحلل ، اقرأ من خلال كتابة الخبراء التفصيلية. تقدم معظم التقارير أوصافا مفصلة لسلاسل الهجوم، بما في ذلك التكتيكات والتقنيات المعينة لإطار عمل MITRE ATT&CK، وقوائم شاملة بالتوصيات، وإرشادات قوية لتعقب التهديدات .

تعرف على المزيد حول تقرير المحلل

توفر علامة التبويب الحوادث ذات الصلة قائمة بجميع الحوادث المتعلقة بالتهديد المتعقب. يمكنك تعيين الحوادث أو إدارة التنبيهات المرتبطة بكل حادث.

لقطة شاشة لقسم الحوادث ذات الصلة في تقرير تحليلات التهديدات.

ملاحظة

يتم الحصول على الحوادث والتنبيهات المرتبطة بالتهديد من Defender لنقطة النهاية و Defender for Identity و Defender لـ Office 365 و Defender for Cloud Apps و Defender for Cloud.

الأصول المتأثرة: احصل على قائمة بالأجهزة المتأثرة والمستخدمين وعلب البريد والتطبيقات وموارد السحابة

تعرض علامة التبويب الأصول المتأثرة الأصول المتأثرة بالتهديد بمرور الوقت. يعرض ما يلي:

  • الأصول المتأثرة بالتنبيهات النشطة
  • الأصول المتأثرة بالتنبيهات التي تم حلها
  • جميع الأصول، أو العدد الإجمالي للأصول المتأثرة بالتنبيهات النشطة والمحلية

تنقسم الأصول إلى الفئات التالية:

  • الاجهزه
  • المستخدمون
  • صناديق البريد
  • تطبيقات
  • موارد السحابة

لقطة شاشة لقسم الأصول المتأثرة في تقرير تحليلات التهديدات.

التعرض لنقاط النهاية: تعرف على حالة توزيع تحديثات الأمان

يوفر قسم التعرض لنقاط النهايةمستوى تعرض مؤسستك للتهديد، والذي يتم حسابه استنادا إلى شدة الثغرات الأمنية والتكوينات الخاطئة التي يستغلها التهديد المذكور، وعدد الأجهزة ذات نقاط الضعف هذه.

يوفر هذا القسم أيضا حالة نشر تحديثات أمان البرامج المدعومة للثغرات الأمنية الموجودة على الأجهزة المإلحاقة. وهو يتضمن بيانات من إدارة الثغرات الأمنية في Microsoft Defender، التي توفر أيضا معلومات تفصيلية عن التنقل التفصيلي من روابط مختلفة في التقرير.

قسم التعرض لنقاط النهاية في تقرير تحليلات التهديدات

في علامة التبويب الإجراءات الموصى بها ، راجع قائمة التوصيات القابلة للتنفيذ المحددة التي يمكن أن تساعدك على زيادة مرونة مؤسستك ضد التهديد. تتضمن قائمة عوامل التخفيف المتعقبة تكوينات الأمان المدعومة، مثل:

  • الحماية المقدمة من السحابة
  • حماية التطبيقات غير المرغوب فيها (PUA)
  • الحماية في الوقت الحقيقي

قسم الإجراءات الموصى بها في تقرير تحليلات التهديدات الذي يعرض تفاصيل الثغرات الأمنية

إعداد إعلامات البريد الإلكتروني لتحديثات التقارير

يمكنك إعداد إعلامات البريد الإلكتروني التي سترسل لك تحديثات حول تقارير تحليلات التهديدات. لإنشاء إعلامات البريد الإلكتروني، اتبع الخطوات الواردة في الحصول على إعلامات البريد الإلكتروني لتحديثات تحليلات المخاطر في Microsoft Defender XDR.

تفاصيل التقرير والقيود الأخرى

عند النظر إلى بيانات تحليلات التهديد، تذكر العوامل التالية:

  • تعرض قائمة الاختيار في علامة التبويب الإجراءات الموصى بها فقط التوصيات المتعقبة في Microsoft Secure Score. تحقق من علامة تبويب تقرير المحلل لمزيد من الإجراءات الموصى بها التي لم يتم تعقبها في Secure Score.
  • لا تضمن الإجراءات الموصى بها المرونة الكاملة وتعكس فقط أفضل الإجراءات الممكنة اللازمة لتحسينها.
  • تستند الإحصائيات المتعلقة ببرنامج الحماية من الفيروسات إلى إعدادات برنامج الحماية من الفيروسات Microsoft Defender.
  • يعرض عمود الأجهزة التي تم تكوينها بشكل خاطئ في صفحة تحليلات التهديد الرئيسية عدد الأجهزة المتأثرة بالتهديد عند عدم تشغيل الإجراءات الموصى بها ذات الصلة بالتهديد. ومع ذلك، إذا لم يربط باحثو Microsoft أي إجراءات موصى بها، يعرض عمود الأجهزة التي تم تكوينها بشكل خاطئ الحالة غير متوفرة.
  • يعرض عمود الأجهزة الضعيفة في صفحة تحليلات المخاطر الرئيسية عدد الأجهزة التي تقوم بتشغيل البرامج المعرضة لأي من الثغرات الأمنية المرتبطة بالتهديد. ومع ذلك، إذا لم يربط باحثو Microsoft أي ثغرات أمنية، يعرض عمود الأجهزة الضعيفة الحالة غير متوفرة.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.