استخدام العلامات

هام

سيتم إيقاف تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) ودمجها في Microsoft Defender للحصول على تجربة موحدة قوية. سيستمر العملاء الحاليون في الوصول الكامل إلى تجربة Defender TI الحالية حتى يتم إيقاف المنتج في 1 أغسطس 2026. معرفة المزيد

توفر علامات تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) نظرة سريعة حول البيانات الاصطناعية، سواء مشتقة من النظام أو تم إنشاؤها بواسطة مستخدمين آخرين. تساعد العلامات المحللين في ربط النقاط بين الحوادث والتحقيقات الحالية والسياق التاريخي لتحسين التحليل.

يوفر Defender TI نوعين من العلامات: علامات النظاموالعلامات المخصصة.

المتطلبات الأساسية

• معرف Microsoft Entra أو حساب Microsoft الشخصي. تسجيل الدخول أو إنشاء حساب

• ترخيص Defender TI premium.

  ملاحظة

  لا يزال بإمكان المستخدمين الذين ليس لديهم ترخيص Defender TI Premium الوصول إلى عرض Defender TI المجاني.

علامات النظام

يقوم Defender TI بإنشاء علامات النظام تلقائيا لك لتوجيه تحليلك. لا تتطلب هذه العلامات أي إدخال أو جهد من جانبك.

يمكن أن تتضمن علامات النظام ما يلي:

• قابل للتوجيه: يشير إلى أن البيانات الاصطناعية يمكن الوصول إليها.
• ASN: يسحب جزءا مختصرا من وصف رقم النظام المستقل لعنوان IP (ASN) إلى علامة لتوفير سياق المحللين إلى من ينتمي إليه عنوان IP.
• دينامي: يشير إلى ما إذا كانت خدمة نظام أسماء المجالات الديناميكية (DNS)، مثل No-IP أو Change IP، تمتلك المجال.
• المجري: يشير إلى أن عنوان IP هو حوض بحث تستخدمه المؤسسات الأمنية للتحقيق في حملات الهجوم. لذلك، المجالات المقترنة غير متصلة مباشرة ببعضها البعض.

العلامات المخصصة

تجلب العلامات المخصصة سياقا لمؤشرات التسوية (IOCs) وتجعل التحليل أبسط من خلال تحديد المجالات المعروفة بالسوء من التقارير العامة أو التي قمت بتصنيفها على هذا النحو. يمكنك إنشاء هذه العلامات يدويا استنادا إلى التحقيقات الخاصة بك، وتسمح لك هذه العلامات بمشاركة رؤى رئيسية حول البيانات الاصطناعية مع مستخدمي ترخيص Defender TI المتميزين الآخرين داخل المستأجر الخاص بك.

إضافة العلامات المخصصة وتعديلها وإزالتها

يمكنك إضافة العلامات المخصصة الخاصة بك إلى مجموعة العلامات عن طريق إدخالها في شريط العلامات. يمكنك أنت وأعضاء فريقك، إذا كانت مؤسستك من عملاء Defender TI، عرض هذه العلامات. العلامات التي تم إدخالها في النظام خاصة ولا تتم مشاركتها مع المجتمع الأكبر.

يمكنك أيضا تعديل العلامات أو إزالتها. بمجرد إضافة علامة، يمكنك أنت أو مستخدم ترخيص مدفوع آخر داخل مؤسستك تعديلها أو إزالتها، مما يسمح بتعاون سهل بين فريق الأمان.

1. يمكنك الوصول إلى مدخل Defender وإكمال عملية مصادقة Microsoft. تعرف على المزيد بشأن مدخل Defender

2. انتقل إلىمستكشف Intelللتحليل الذكي> للمخاطر.

3. ابحث عن مؤشر ترغب في إضافة علامات له في شريط بحث مستكشف Intel.

   

4. حدد تحرير العلامات في الزاوية العلوية اليمنى من الصفحة.

   

5. أضف أي علامات ترغب في إقرانها بهذا المؤشر في النافذة المنبثقة العلامات المخصصة التي تظهر. لإضافة مؤشر جديد، اضغط على المفتاح Tab لإضافة مؤشر جديد.

   

6. حدد حفظ بمجرد الانتهاء من إضافة جميع العلامات لحفظ التغييرات.

   

7. كرر الخطوة 3 لتحرير العلامات. قم بإزالة علامة عن طريق تحديد X في نهايتها، ثم أضف علامة جديدة عن طريق تكرار الخطوات من 4 إلى 6.

8. احفظ التغييرات.

عرض العلامات المخصصة والبحث فيها

يمكنك عرض العلامات التي أضفتها أنت أو الآخرون داخل المستأجر بعد البحث في عنوان IP أو مجال أو عنصر مضيف.

1. يمكنك الوصول إلى مدخل Defender وإكمال عملية مصادقة Microsoft.

2. انتقل إلىمستكشف Intelللتحليل الذكي> للمخاطر.

3. حدد نوع بحث العلامة في القائمة المنسدلة شريط بحث مستكشف Intel ثم ابحث في قيمة العلامة لتحديد جميع المؤشرات الأخرى التي تشترك في نفس قيمة العلامة.

   

سير عمل حالة استخدام العلامة الشائعة

لنفترض أنك تحقق في حادث وتجد أنه مرتبط بالتصيد الاحتيالي. يمكنك إضافة phish كعلامة إلى IOCs المتعلقة بهذا الحادث. في وقت لاحق، يمكن لفريق الاستجابة للحوادث وتعقب التهديدات تحليل هذه IOCs بشكل أكبر والعمل مع نظرائهم في التحليل الذكي للمخاطر لتحديد مجموعة المستخدمين المسؤولة عن حادث التصيد الاحتيالي. يمكنهم بعد ذلك إضافة علامة أخرى [actor name] إلى IOCs هذه أو البنية الأساسية التي تم استخدامها التي ربطتها ب IOCs الأخرى ذات الصلة، مثل [SHA-1 hash] علامة مخصصة.

راجع أيضًا

• ما التحليل الذكي للمخاطر في Microsoft Defender (Defender TI)؟
• مجموعات البيانات
• فرز البيانات وتصفيتها وتنزيلها
• تسجيل السمعة
• تحليلات المحللين
• استخدام المشاريع