مستويات الأتمتة في قدرات التحقيق والمعالجة التلقائية

ينطبق على:

• Microsoft Defender XDR
• Defender for Endpoint الخطة 2
• Microsoft Defender for Business

تم تكوين قدرات التحقيق والمعالجة التلقائية (AIR) في Microsoft Defender for Business مسبقا وغير قابلة للتكوين. في Microsoft Defender لنقطة النهاية، يمكنك تكوين AIR إلى أحد مستويات التشغيل التلقائي المتعددة. يؤثر مستوى الأتمتة على ما إذا كانت إجراءات المعالجة بعد تحقيقات AIR يتم اتخاذها تلقائيا أو فقط عند الموافقة.

• تعني الأتمتة الكاملة (الموصى بها) أن إجراءات المعالجة يتم اتخاذها تلقائيا على البيانات الاصطناعية التي يتم تحديدها على أنها ضارة. (يتم تعيين الأتمتة الكاملة بشكل افتراضي في Defender for Business.)
• يعني شبه التنفيذ التلقائي أن بعض إجراءات المعالجة يتم اتخاذها تلقائيا، ولكن إجراءات المعالجة الأخرى تنتظر الموافقة قبل اتخاذها. (راجع الجدول في مستويات الأتمتة.)
• يتم تعقب جميع إجراءات المعالجة، سواء كانت معلقة أو مكتملة، في مركز الصيانة (https://security.microsoft.com).

تلميح

للحصول على أفضل النتائج، نوصي باستخدام الأتمتة الكاملة عند تكوين AIR. تظهر البيانات التي تم جمعها وتحليلها خلال العام الماضي أن العملاء الذين يستخدمون الأتمتة الكاملة تمت إزالة عينات برامج ضارة عالية الثقة بنسبة 40٪ أكثر من العملاء الذين يستخدمون مستويات أقل من الأتمتة. يمكن أن تساعد الأتمتة الكاملة في تحرير موارد عمليات الأمان للتركيز أكثر على مبادراتك الاستراتيجية.

ملاحظة

يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

مستويات الأتمتة

مستوى الأتمتة	الوصف
كامل - معالجة التهديدات تلقائيا (يشار إليه أيضا بالأتمتة الكاملة)	مع التنفيذ التلقائي الكامل، يتم تنفيذ إجراءات المعالجة تلقائيا على الكيانات التي تعتبر ضارة. يمكن عرض جميع إجراءات المعالجة التي يتم اتخاذها في مركز الصيانة على علامة التبويب محفوظات . إذا لزم الأمر، يمكن التراجع عن إجراء المعالجة. يوصى بالأتمتة الكاملة ويتم تحديدها افتراضيا للمستأجرين الذين لديهم Defender لنقطة النهاية التي تم إنشاؤها في 16 أغسطس 2020 أو بعده، مع عدم تحديد مجموعات الأجهزة بعد. يتم تعيين الأتمتة الكاملة بشكل افتراضي في Defender for Business.
شبه - طلب الموافقة على جميع المجلدات (يشار إليه أيضا باسم شبه التشغيل التلقائي)	مع هذا المستوى من شبه التشغيل التلقائي، يلزم الموافقة على إجراءات المعالجة على جميع الملفات. يمكن عرض هذه الإجراءات المعلقة والموافقة عليها في مركز الصيانة، على علامة التبويب معلق . مهلة الإجراءات المعلقة بعد 7 أيام. إذا انتهت مهلة الإجراء، يكون السلوك هو نفسه كما لو تم رفض الإجراء. يتم تحديد هذا المستوى من شبه التشغيل التلقائي بشكل افتراضي للمستأجرين الذين تم إنشاؤهم قبل 16 أغسطس 2020 مع Microsoft Defender لنقطة النهاية، دون تحديد مجموعات الأجهزة.
شبه - طلب الموافقة على معالجة المجلدات الأساسية (أيضا نوع من شبه التشغيل التلقائي)	مع هذا المستوى من شبه التشغيل التلقائي، يلزم الموافقة على أي إجراءات معالجة مطلوبة على الملفات أو الملفات التنفيذية الموجودة في المجلدات الأساسية. تتضمن المجلدات الأساسية دلائل نظام التشغيل، مثل Windows (\windows\*). يمكن اتخاذ إجراءات المعالجة تلقائيا على الملفات أو الملفات التنفيذية الموجودة في مجلدات أخرى (غير أساسية). يمكن عرض الإجراءات المعلقة للملفات أو الملفات التنفيذية في المجلدات الأساسية والموافقة عليها في مركز الصيانة، على علامة التبويب معلق . يمكن عرض الإجراءات التي تم اتخاذها على الملفات أو الملفات التنفيذية في مجلدات أخرى في مركز الصيانة، على علامة التبويب محفوظات .
شبه - طلب الموافقة على معالجة المجلدات غير المؤقتة (أيضا نوع من شبه التشغيل التلقائي)	مع هذا المستوى من شبه التشغيل التلقائي، يلزم الموافقة على أي إجراءات معالجة مطلوبة على الملفات أو الملفات التنفيذية غير* في المجلدات المؤقتة. يمكن أن تتضمن المجلدات المؤقتة الأمثلة التالية: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* يمكن اتخاذ إجراءات المعالجة تلقائيا على الملفات أو الملفات التنفيذية الموجودة في مجلدات مؤقتة. يمكن عرض الإجراءات المعلقة للملفات أو الملفات التنفيذية غير الموجودة في المجلدات المؤقتة والموافقة عليها في مركز الصيانة، على علامة التبويب معلق . يمكن عرض الإجراءات التي تم اتخاذها على الملفات أو الملفات التنفيذية في المجلدات المؤقتة والموافقة عليها في مركز الصيانة، على علامة التبويب محفوظات .
لا توجد استجابة تلقائية (يشار إليه أيضا باسم عدم الأتمتة)	مع عدم وجود أتمتة، لا يتم تشغيل التحقيق التلقائي على أجهزة مؤسستك. ونتيجة لذلك، لا يتم اتخاذ أي إجراءات إصلاحية أو تعليقها نتيجة للتحقيق التلقائي. ومع ذلك، يمكن أن تكون ميزات الحماية من التهديدات الأخرى، مثل الحماية من التطبيقات غير المرغوب فيها، سارية المفعول، اعتمادا على كيفية تكوين ميزات الحماية من الفيروسات والجيل التالي. *لا يوصى باستخدام خيار عدم التشغيل التلقائي، لأنه يقلل من الوضع الأمني لأجهزة مؤسستك. ضع في اعتبارك إعداد مستوى الأتمتة الخاص بك إلى التنفيذ التلقائي الكامل (أو على الأقل شبه التنفيذ التلقائي) .

نقاط هامة حول مستويات الأتمتة

• أثبتت الأتمتة الكاملة أنها موثوقة وفعالة وآمنة، ويوصى بها لجميع العملاء. تحرر الأتمتة الكاملة موارد الأمان الهامة حتى تتمكن من التركيز بشكل أكبر على مبادراتك الاستراتيجية.

• يتم تعيين المستأجرين الجدد (الذين يشملون المستأجرين الذين تم إنشاؤهم في 16 أغسطس 2020 أو بعده) باستخدام Defender لنقطة النهاية على التشغيل التلقائي الكامل بشكل افتراضي.

• يستخدم Defender for Business الأتمتة الكاملة بشكل افتراضي. لا يستخدم Defender for Business مجموعات الأجهزة بنفس طريقة استخدام Defender لنقطة النهاية. وبالتالي، يتم تشغيل الأتمتة الكاملة وتطبيقها على جميع الأجهزة في Defender for Business.

• إذا قام فريق الأمان الخاص بك بتعريف مجموعات الأجهزة بمستوى من الأتمتة، فلن يتم تغيير هذه الإعدادات بواسطة الإعدادات الافتراضية الجديدة التي يتم طرحها.

• يمكنك الاحتفاظ بإعدادات الأتمتة الافتراضية، أو تغييرها وفقا لاحتياجات مؤسستك. لتغيير إعداداتك، قم بتعيين مستوى الأتمتة.

ملاحظة

يعتمد Defender for Business على الحماية في الوقت الحقيقي للتحقيق التلقائي. يجب تمكين الحماية في الوقت الحقيقي وفي الوضع النشط لتمكين التحقيق التلقائي.

الخطوات التالية

• تكوين قدرات التحقيق والمعالجة التلقائية في Defender لنقطة النهاية
• زيارة مركز الصيانة

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.