نظرة عامة على التحقيقات التلقائية
ينطبق على:
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
هل تريد معرفة كيفية عملها؟ شاهد الفيديو التالي:
تستخدم التكنولوجيا في التحقيق التلقائي خوارزميات فحص مختلفة وتقوم على العمليات التي يستخدمها محللو الأمان. تم تصميم قدرات AIR لفحص التنبيهات واتخاذ إجراءات فورية لحل الانتهاكات. تقلل قدرات AIR بشكل كبير من حجم التنبيه، مما يسمح للعمليات الأمنية بالتركيز على التهديدات الأكثر تعقيدا والمبادرات الأخرى عالية القيمة. يتم تعقب جميع إجراءات المعالجة، سواء كانت معلقة أو مكتملة، في مركز الصيانة. في مركز الإجراءات، تتم الموافقة على الإجراءات المعلقة (أو رفضها)، ويمكن التراجع عن الإجراءات المكتملة إذا لزم الأمر.
توفر هذه المقالة نظرة عامة على AIR وتتضمن ارتباطات إلى الخطوات التالية والموارد الإضافية.
تلميح
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
كيفية بدء التحقيق التلقائي
يمكن أن يبدأ التحقيق التلقائي عند تشغيل تنبيه أو عندما يبدأ عامل تشغيل الأمان التحقيق.
| الحاله | ما يحدث |
|---|---|
| يتم تشغيل تنبيه | بشكل عام، يبدأ التحقيق التلقائي عند تشغيل تنبيه ، ويتم إنشاء حدث . على سبيل المثال، افترض وجود ملف ضار على جهاز. عند اكتشاف هذا الملف، يتم تشغيل تنبيه، ويتم إنشاء الحدث. تبدأ عملية التحقيق التلقائي على الجهاز. نظرا لأنه يتم إنشاء تنبيهات أخرى بسبب نفس الملف على أجهزة أخرى، تتم إضافتها إلى الحادث المرتبط وإلى التحقيق التلقائي. |
| يتم بدء التحقيق يدويا | يمكن بدء التحقيق التلقائي يدويا من قبل فريق عمليات الأمان. على سبيل المثال، افترض أن عامل تشغيل الأمان يراجع قائمة بالأجهزة ويلاحظ أن الجهاز لديه مستوى مخاطرة عالية. يمكن لمشغل الأمان تحديد الجهاز في القائمة لفتح القائمة المنبثقة الخاصة به، ثم حدد بدء التحقيق التلقائي. |
كيف يوسع التحقيق التلقائي نطاقه
أثناء تشغيل التحقيق، تتم إضافة أي تنبيهات أخرى تم إنشاؤها من الجهاز إلى تحقيق تلقائي مستمر حتى يكتمل هذا التحقيق. بالإضافة إلى ذلك، إذا شوهد نفس التهديد على أجهزة أخرى، تتم إضافة هذه الأجهزة إلى التحقيق.
إذا شوهد كيان مجرم في جهاز آخر، فإن عملية التحقيق التلقائية توسع نطاقها لتشمل هذا الجهاز، ويبدأ دليل مبادئ أمان عام على هذا الجهاز. إذا تم العثور على 10 أجهزة أو أكثر أثناء عملية التوسع هذه من نفس الكيان، فسيتطلب إجراء التوسع هذا موافقة، ويكون مرئيا في علامة التبويب الإجراءات المعلقة .
كيفية معالجة التهديدات
مع تشغيل التنبيهات، وتشغيل تحقيق تلقائي، يتم إصدار حكم لكل جزء من الأدلة التي يتم التحقيق فيها. يمكن أن تكون الأحكام:
- ضارة؛
- مريب؛ او
- لم يتم العثور على تهديدات.
ومع الوصول إلى الأحكام، يمكن أن تؤدي التحقيقات الآلية إلى إجراء واحد أو أكثر من إجراءات المعالجة. تتضمن أمثلة إجراءات المعالجة إرسال ملف إلى العزل وإيقاف خدمة وإزالة مهمة مجدولة والمزيد. لمعرفة المزيد، راجع إجراءات المعالجة.
اعتمادا على مستوى التشغيل التلقائي الذي تم تعيينه لمؤسستك، بالإضافة إلى إعدادات الأمان الأخرى، يمكن أن تحدث إجراءات المعالجة تلقائيا أو فقط بناء على موافقة فريق عمليات الأمان. تتضمن إعدادات الأمان الإضافية التي يمكن أن تؤثر على المعالجة التلقائية الحماية من التطبيقات غير المرغوب فيها (PUA).
يتم تعقب جميع إجراءات المعالجة، سواء كانت معلقة أو مكتملة، في مركز الصيانة. إذا لزم الأمر، يمكن لفريق عمليات الأمان التراجع عن إجراء معالجة. لمعرفة المزيد، راجع مراجعة إجراءات المعالجة والموافقة عليها بعد إجراء تحقيق تلقائي.
تلميح
تحقق من صفحة التحقيق الموحدة الجديدة في مدخل Microsoft Defender. لمعرفة المزيد، راجع صفحة التحقيق الموحد.
متطلبات AIR
يجب أن يتضمن اشتراكك Defender لنقطة النهاية أو Defender for Business.
ملاحظة
يتطلب التحقيق والاستجابة التلقائيان Microsoft Defender مكافحة الفيروسات للتشغيل في الوضع السلبي أو الوضع النشط. إذا تم تعطيل برنامج الحماية من الفيروسات Microsoft Defender أو إلغاء تثبيته، فلن يعمل التحقيق والاستجابة التلقائيان بشكل صحيح.
حاليا، يدعم AIR إصدارات نظام التشغيل التالية فقط:
- Windows Server 2012 R2 (معاينة)
- Windows Server 2016 (معاينة)
- Windows Server 2019
- Windows Server 2022
- Windows 10، الإصدار 1709 (إصدار نظام التشغيل 16299.1085 مع KB4493441) أو أحدث
- Windows 10، الإصدار 1803 (إصدار نظام التشغيل 17134.704 مع KB4493464) أو أحدث
- Windows 10، الإصدار 1803 أو أحدث
- Windows 11
ملاحظة
يتطلب التحقيق والاستجابة التلقائية على Windows Server 2012 R2 وWindows Server 2016 تثبيت العامل الموحد .
الخطوات التالية
- تعرف على المزيد حول مستويات الأتمتة
- راجع الدليل التفاعلي: التحقيق في التهديدات ومعالجتها باستخدام Microsoft Defender لنقطة النهاية
- تكوين قدرات التحقيق والمعالجة التلقائية في Microsoft Defender لنقطة النهاية
راجع أيضًا
- حماية PUA
- التحقيق والاستجابة التلقائية في Microsoft Defender لـ Office 365
- التحقيق والاستجابة التلقائية في Microsoft Defender XDR
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ