اتخاذ إجراءات الاستجابة على جهاز

  • مقالة
  • قراءة خلال 14 دقائق

ينطبق على:

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، صريحة أو ضمنية، فيما يتعلق بالمعلومات المقدمة هنا.

الاستجابة بسرعة للهجمات المكتشفة عن طريق عزل الأجهزة أو جمع حزمة تحقيق. بعد اتخاذ إجراء على الأجهزة، يمكنك التحقق من تفاصيل النشاط على مركز الصيانة.

تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة جهاز معين وتتضمن:

  • إدارة العلامات
  • بدء التحقيق التلقائي
  • بدء جلسة استجابة مباشرة
  • تجميع حزمة التحقيق
  • تشغيل مسح الحماية من الفيروسات
  • تقييد تنفيذ التطبيق
  • عزل الجهاز
  • تحتوي على جهاز
  • استشارة خبير في التهديدات
  • مركز الصيانة

صورة إجراءات الاستجابة.

هام

تتضمن خطة Defender لنقطة النهاية 1 إجراءات الاستجابة اليدوية التالية فقط:

  • تشغيل مسح الحماية من الفيروسات
  • عزل الجهاز
  • إيقاف ملف وعزله
  • أضف مؤشرا لحظر ملف أو السماح به.

لا يتضمن Microsoft Defender for Business الإجراء "إيقاف ملف وعزله" في الوقت الحالي.

يجب أن يتضمن اشتراكك خطة Defender لنقطة النهاية 2 للحصول على جميع إجراءات الاستجابة الموضحة في هذه المقالة.

يمكنك العثور على صفحات الجهاز من أي من طرق العرض التالية:

  • قائمة انتظار التنبيهات - حدد اسم الجهاز بجانب أيقونة الجهاز من قائمة انتظار التنبيهات.
  • قائمة الأجهزة - حدد عنوان اسم الجهاز من قائمة الأجهزة.
  • مربع البحث - حدد الجهاز من القائمة المنسدلة وأدخل اسم الجهاز.

هام

  • تتوفر إجراءات الاستجابة هذه فقط للأجهزة على Windows 10 والإصدار 1703 أو أحدث Windows 11 وWindows Server 2019 وWindows Server 2022.
  • بالنسبة للأنظمة الأساسية غير التابعة ل Windows، تعتمد قدرات الاستجابة (مثل عزل الجهاز) على قدرات الجهات الخارجية.
  • بالنسبة لوكلاء الطرف الأول من Microsoft، يرجى الرجوع إلى رابط "مزيد من المعلومات" ضمن كل ميزة للحصول على الحد الأدنى من متطلبات نظام التشغيل.

إدارة العلامات

إضافة علامات أو إدارتها لإنشاء تبعية مجموعة منطقية. تدعم علامات الجهاز التعيين المناسب للشبكة، ما يتيح لك إرفاق علامات مختلفة لالتقاط السياق وتمكين إنشاء قائمة ديناميكية كجزء من حادث.

لمزيد من المعلومات حول وضع علامات على الجهاز، راجع إنشاء علامات الجهاز وإدارتها.

بدء التحقيق التلقائي

يمكنك بدء تحقيق تلقائي جديد للأغراض العامة على الجهاز إذا لزم الأمر. أثناء تشغيل التحقيق، ستتم إضافة أي تنبيه آخر تم إنشاؤه من الجهاز إلى تحقيق تلقائي مستمر حتى يكتمل هذا التحقيق. بالإضافة إلى ذلك، إذا شوهد نفس التهديد على أجهزة أخرى، تتم إضافة هذه الأجهزة إلى التحقيق.

لمزيد من المعلومات حول التحقيقات التلقائية، راجع نظرة عامة على التحقيقات التلقائية.

بدء جلسة استجابة مباشرة

الاستجابة المباشرة هي إمكانية تمنحك وصولا فوريا إلى جهاز باستخدام اتصال shell عن بعد. يمنحك هذا القدرة على القيام بعمل تحقيق متعمق واتخاذ إجراءات استجابة فورية لاحتواء التهديدات المحددة على الفور في الوقت الفعلي.

تم تصميم الاستجابة المباشرة لتعزيز التحقيقات من خلال تمكينك من جمع البيانات الجنائية وتشغيل البرامج النصية وإرسال الكيانات المشبوهة للتحليل ومعالجة التهديدات والبحث بشكل استباقي عن التهديدات الناشئة.

لمزيد من المعلومات حول الاستجابة المباشرة، راجع التحقيق في الكيانات على الأجهزة التي تستخدم الاستجابة المباشرة.

جمع حزمة التحقيق من الأجهزة

كجزء من عملية التحقيق أو الاستجابة، يمكنك جمع حزمة تحقيق من جهاز. من خلال جمع حزمة التحقيق، يمكنك تحديد الحالة الحالية للجهاز وفهم الأدوات والتقنيات التي يستخدمها المهاجم بشكل أكبر.

هام

هذه الإجراءات غير مدعومة حاليا للأجهزة التي تعمل بنظام التشغيل macOS أو Linux. استخدم الاستجابة المباشرة لتشغيل الإجراء. لمزيد من المعلومات حول الاستجابة المباشرة، راجع التحقيق في الكيانات على الأجهزة التي تستخدم الاستجابة المباشرة

لتنزيل الحزمة (ملف Zip) والتحقيق في الأحداث التي حدثت على جهاز:

  1. حدد تجميع حزمة التحقيق من صف إجراءات الاستجابة في أعلى صفحة الجهاز.

  2. حدد في مربع النص سبب رغبتك في تنفيذ هذا الإجراء. حدد Confirm.

  3. يتم تنزيل الملف المضغوط.

الخطوات البديلة:

  1. حدد مركز الصيانة من قسم إجراءات الاستجابة في صفحة الجهاز.

    خيار مركز الصيانة

  2. في القائمة المنبثقة لمركز الصيانة، حدد حزمة مجموعة الحزم المتوفرة لتنزيل الملف المضغوط.

    خيار حزمة التنزيل

بالنسبة لأجهزة Windows، تحتوي الحزمة على المجلدات التالية:

المجلد الوصف
اوتورونس يحتوي على مجموعة من الملفات التي يمثل كل منها محتوى سجل نقطة إدخال بدء تلقائي معروفة (ASEP) للمساعدة في تحديد استمرار المهاجم على الجهاز.

ملاحظه: إذا لم يتم العثور على مفتاح التسجيل، فسيحتوي الملف على الرسالة التالية: "ERROR: تعذر على النظام العثور على مفتاح التسجيل أو القيمة المحددة."
البرامج المثبتة يحتوي ملف .CSV هذا على قائمة البرامج المثبتة التي يمكن أن تساعد في تحديد ما تم تثبيته حاليا على الجهاز. لمزيد من المعلومات، راجع Win32_Product الفئة.
اتصالات الشبكة يحتوي هذا المجلد على مجموعة من نقاط البيانات المتعلقة بمعلومات الاتصال التي يمكن أن تساعد في تحديد الاتصال بعناوين URL المشبوهة أو البنية الأساسية للأوامر والتحكم للمهاجم (C&C) أو أي حركة جانبية أو اتصالات بعيدة.
  • ActiveNetConnections.txt: يعرض إحصائيات البروتوكول واتصالات شبكة TCP/IP الحالية. يوفر القدرة على البحث عن اتصال مشبوه تم إجراؤه بواسطة عملية.
  • Arp.txt: يعرض جداول ذاكرة التخزين المؤقت لبروتوكول تحليل العنوان الحالي (ARP) لجميع الواجهات. يمكن أن تكشف ذاكرة التخزين المؤقت ARP عن مضيفين آخرين على شبكة تم اختراقها أو أنظمة مشبوهة على الشبكة ربما تم استخدامها لتشغيل هجوم داخلي.
  • DnsCache.txt: يعرض محتويات ذاكرة التخزين المؤقت لمحلل عميل DNS، والتي تتضمن كلا الإدخالين المحملين مسبقا من ملف المضيفين المحليين وأي سجلات موارد تم الحصول عليها مؤخرا للاستعلامات عن الأسماء التي تم حلها بواسطة الكمبيوتر. يمكن أن يساعد هذا في تحديد الاتصالات المشبوهة.
  • IpConfig.txt: يعرض تكوين TCP/IP الكامل لجميع المحولات. يمكن أن تمثل المحولات واجهات فعلية، مثل محولات الشبكة المثبتة، أو الواجهات المنطقية، مثل اتصالات الطلب الهاتفي.
  • FirewallExecutionLog.txt وpfirewall.log

ملاحظه: يجب أن يكون ملف pfirewall.log موجودا في ٪windir٪\system32\logfiles\firewall\pfirewall.log، لذلك سيتم تضمينه في حزمة التحقيق. لمزيد من المعلومات حول إنشاء ملف سجل جدار الحماية، راجع تكوين جدار حماية Windows Defender باستخدام سجل الأمان المتقدم
ملفات الجلب المسبق تم تصميم ملفات الجلب المسبق ل Windows لتسريع عملية بدء تشغيل التطبيق. يمكن استخدامه لتعقب جميع الملفات المستخدمة مؤخرا في النظام والعثور على تتبعات للتطبيقات التي ربما تم حذفها ولكن لا يزال من الممكن العثور عليها في قائمة ملفات الجلب المسبق.
  • مجلد الجلب المسبق: يحتوي على نسخة من ملفات الجلب المسبق من %SystemRoot%\Prefetch. ملاحظة: يقترح تنزيل عارض ملفات الجلب المسبق لعرض ملفات الجلب المسبق.
  • PrefetchFilesList.txt: يحتوي على قائمة بجميع الملفات المنسوخة التي يمكن استخدامها لتتبع ما إذا كان هناك أي فشل في النسخ إلى مجلد الجلب المسبق.
العمليات يحتوي على ملف .CSV يسرد العمليات قيد التشغيل ويوفر القدرة على تحديد العمليات الحالية التي تعمل على الجهاز. يمكن أن يكون هذا مفيدا عند تحديد عملية مشبوهة وحالتها.
المهام المجدولة يحتوي على ملف .CSV يسرد المهام المجدولة، والتي يمكن استخدامها لتحديد الإجراءات التي يتم إجراؤها تلقائيا على جهاز مختار للبحث عن التعليمات البرمجية المشبوهة التي تم تعيينها للتشغيل تلقائيا.
سجل أحداث الأمان يحتوي على سجل أحداث الأمان، الذي يحتوي على سجلات نشاط تسجيل الدخول أو تسجيل الخروج، أو الأحداث الأخرى المتعلقة بالأمان المحددة بواسطة نهج تدقيق النظام.

ملاحظه: افتح ملف سجل الأحداث باستخدام عارض الأحداث.
خدمات يحتوي على ملف .CSV يسرد الخدمات وحالاتها.
جلسات Windows Server Message Block (SMB) يسرد الوصول المشترك إلى الملفات والطابعات والمنافذ التسلسلية والاتصالات المتنوعة بين العقد على الشبكة. يمكن أن يساعد هذا في تحديد النقل غير المصرح للبيانات أو الحركة الجانبية.

يحتوي على ملفات SMBInboundSessions وSMBOutboundSession.

ملاحظه: إذا لم تكن هناك جلسات عمل (واردة أو صادرة)، فستحصل على ملف نصي يخبرك بأنه لم يتم العثور على جلسات SMB.
معلومات النظام يحتوي على ملف SystemInformation.txt يسرد معلومات النظام مثل إصدار نظام التشغيل وبطاقات الشبكة.
الدلائل المؤقتة يحتوي على مجموعة من الملفات النصية التي تسرد الملفات الموجودة في ٪Temp٪ لكل مستخدم في النظام.

يمكن أن يساعد هذا في تعقب الملفات المشبوهة التي قد يكون المهاجم قد أسقطها على النظام.

ملاحظه: إذا كان الملف يحتوي على الرسالة التالية: "يتعذر على النظام العثور على المسار المحدد"، فهذا يعني أنه لا يوجد دليل مؤقت لهذا المستخدم، وقد يكون ذلك بسبب عدم تسجيل المستخدم الدخول إلى النظام.
المستخدمون والمجموعات يوفر قائمة بالملفات التي يمثل كل منها مجموعة وأعضائها.
سجلات WdSupport يوفر MpCmdRunLog.txt MPSupportFiles.cab

ملاحظه: سيتم إنشاء هذا المجلد فقط في Windows 10، الإصدار 1709 أو أحدث مع مجموعة تحديثات فبراير 2020 أو تثبيت أحدث:
  • إصدار Win10 1709 (RS3) 16299.1717: KB4537816
  • إصدار Win10 1803 (RS4) 17134.1345: KB4537795
  • إصدار Win10 1809 (RS5) 17763.1075: KB4537818
  • إصدارات Win10 1903/1909 (19h1/19h2) 18362.693 و18363.693: KB4535996
CollectionSummaryReport.xls هذا الملف هو ملخص لمجموعة حزمة التحقيق، ويحتوي على قائمة نقاط البيانات، والأمر المستخدم لاستخراج البيانات، وحالة التنفيذ، ورمز الخطأ إذا كان هناك فشل. يمكنك استخدام هذا التقرير لتعقب ما إذا كانت الحزمة تتضمن جميع البيانات المتوقعة وتحديد ما إذا كانت هناك أي أخطاء.

تحتوي حزم المجموعة لأجهزة macOS وLinux على ما يلي:

الكائن ماك ينكس
التطبيقات قائمة بجميع التطبيقات المثبتة غير قابل للتطبيق
وحدة تخزين القرص
  • مقدار المساحة الفارغة
  • قائمة بجميع وحدات تخزين الأقراص المثبتة
  • قائمة بجميع الأقسام
  • مقدار المساحة الفارغة
  • قائمة بجميع وحدات تخزين الأقراص المثبتة
  • قائمة بجميع الأقسام
ملف قائمة بجميع الملفات المفتوحة مع العمليات المقابلة باستخدام هذه الملفات قائمة بجميع الملفات المفتوحة مع العمليات المقابلة باستخدام هذه الملفات
التاريخ محفوظات Shell غير قابل للتطبيق
وحدات Kernel كافة الوحدات النمطية المحملة غير قابل للتطبيق
اتصالات الشبكة
  • الاتصالات النشطة
  • اتصالات الاستماع النشطة
  • جدول ARP
  • قواعد جدار الحماية
  • تكوين الواجهة
  • إعدادات الوكيل
  • إعدادات VPN
  • الاتصالات النشطة
  • اتصالات الاستماع النشطة
  • جدول ARP
  • قواعد جدار الحماية
  • قائمة IP
  • إعدادات الوكيل
العمليات قائمة بجميع العمليات قيد التشغيل قائمة بجميع العمليات قيد التشغيل
الخدمات والمهام المجدولة
  • شهادات
  • ملفات تعريف التكوين
  • معلومات الأجهزة
  • تفاصيل وحدة المعالجة المركزية
  • معلومات الأجهزة
  • معلومات نظام التشغيل
معلومات أمان النظام
  • معلومات تكامل واجهة البرامج الثابتة الموسعة (EFI)
  • حالة جدار الحماية
  • معلومات أداة إزالة البرامج الضارة (MRT)
  • حالة حماية تكامل النظام (SIP)
 غير قابل للتطبيق
المستخدمون والمجموعات
  • سجل تسجيل الدخول
  • Sudoers
  • سجل تسجيل الدخول
  • Sudoers

تشغيل فحص برنامج الحماية من الفيروسات Microsoft Defender على الأجهزة

كجزء من عملية التحقيق أو الاستجابة، يمكنك بدء فحص مكافحة الفيروسات عن بعد للمساعدة في تحديد البرامج الضارة التي قد تكون موجودة على جهاز مخترق ومعالجتها.

هام

  • هذا الإجراء غير مدعوم حاليا ل macOS وLinux. استخدم الاستجابة المباشرة لتشغيل الإجراء. لمزيد من المعلومات حول الاستجابة المباشرة، راجع التحقيق في الكيانات على الأجهزة التي تستخدم الاستجابة المباشرة
  • يمكن تشغيل فحص برنامج الحماية من الفيروسات Microsoft Defender جنبا إلى جنب مع حلول مكافحة الفيروسات الأخرى، سواء كان Microsoft Defender مكافحة الفيروسات هو حل مكافحة الفيروسات النشط أم لا. يمكن أن يكون برنامج الحماية من الفيروسات Microsoft Defender في الوضع السلبي. لمزيد من المعلومات، راجع توافق Microsoft Defender مكافحة الفيروسات.

واحد قمت بتحديد تشغيل فحص مكافحة الفيروسات، حدد نوع الفحص الذي تريد تشغيله (سريع أو كامل) وأضف تعليقا قبل تأكيد الفحص.

الإعلام لتحديد الفحص السريع أو الفحص الكامل وإضافة تعليق

سيعرض مركز الصيانة معلومات الفحص وسيتضمن المخطط الزمني للجهاز حدثا جديدا، مما يعكس أنه تم إرسال إجراء فحص على الجهاز. ستعكس تنبيهات برنامج الحماية من الفيروسات Microsoft Defender أي اكتشافات ظهرت أثناء الفحص.

ملاحظة

عند تشغيل فحص باستخدام إجراء استجابة Defender لنقطة النهاية، لا يزال Microsoft Defender قيمة مكافحة الفيروسات "ScanAvgCPULoadFactor" تنطبق وتحد من تأثير وحدة المعالجة المركزية للمسح الضوئي. إذا لم يتم تكوين ScanAvgCPULoadFactor، فإن القيمة الافتراضية هي حد أقصى لتحميل وحدة المعالجة المركزية بنسبة 50٪ أثناء الفحص. لمزيد من المعلومات، راجع تكوين-advanced-scan-types-microsoft-defender-antivirus.

تقييد تنفيذ التطبيق

بالإضافة إلى احتواء هجوم عن طريق إيقاف العمليات الضارة، يمكنك أيضا تأمين جهاز ومنع المحاولات اللاحقة للبرامج الضارة المحتملة من التشغيل.

هام

  • يتوفر هذا الإجراء للأجهزة على Windows 10 والإصدار 1709 أو أحدث Windows 11 وWindows Server 2019 أو أحدث.
  • تتوفر هذه الميزة إذا كانت مؤسستك تستخدم برنامج الحماية من الفيروسات Microsoft Defender.
  • يحتاج هذا الإجراء إلى تلبية تنسيقات نهج تكامل التعليمات البرمجية ل Windows Defender Application Control ومتطلبات التوقيع. لمزيد من المعلومات، راجع تنسيقات نهج تكامل التعليمات البرمجية والتوقيع).

لتقييد تشغيل تطبيق، يتم تطبيق نهج تكامل التعليمات البرمجية الذي يسمح بتشغيل الملفات فقط إذا تم توقيعها بواسطة شهادة صادرة من Microsoft. يمكن أن تساعد طريقة التقييد هذه في منع المهاجم من التحكم في الأجهزة المخترقة وتنفيذ المزيد من الأنشطة الضارة.

ملاحظة

ستتمكن من عكس تقييد التطبيقات من التشغيل في أي وقت. سيتغير الزر الموجود على صفحة الجهاز ليقول إزالة قيود التطبيق، ثم تتخذ نفس الخطوات مثل تقييد تنفيذ التطبيق.

بمجرد تحديد تقييد تنفيذ التطبيق على صفحة الجهاز، اكتب تعليقا وحدد تأكيد. سيعرض مركز الصيانة معلومات الفحص وسيتضمن المخطط الزمني للجهاز حدثا جديدا.

إعلام تقييد التطبيق

إعلام على مستخدم الجهاز

عند تقييد أحد التطبيقات، يتم عرض الإعلام التالي لإعلام المستخدم بأنه يتم تقييد أحد التطبيقات من التشغيل:

رسالة تقييد التطبيق

ملاحظة

الإعلام غير متوفر على Windows Server 2016 وWindows Server 2012 R2.

عزل الأجهزة من الشبكة

اعتمادا على شدة الهجوم وحساسية الجهاز، قد ترغب في عزل الجهاز عن الشبكة. يمكن أن يساعد هذا الإجراء في منع المهاجم من التحكم في الجهاز المخترق وتنفيذ المزيد من الأنشطة مثل النقل غير المصرح للبيانات والحركة الجانبية.

هام

  • عزل الأجهزة من الشبكة غير مدعوم حاليا للأجهزة التي تعمل بنظام التشغيل macOS. بالنسبة إلى macOS، استخدم الاستجابة المباشرة لتشغيل الإجراء. لمزيد من المعلومات حول الاستجابة المباشرة، راجع التحقيق في الكيانات على الأجهزة التي تستخدم الاستجابة المباشرة.
  • يتوفر العزل الكامل للأجهزة التي تعمل Windows 11 Windows 10 والإصدار 1703 أو أحدث وWindows Server 2022 وWindows Server 2019 وWindows Server 2016.
  • يمكنك استخدام إمكانية عزل الجهاز في المعاينة العامة على جميع Microsoft Defender لنقطة النهاية المدعومة على Linux المدرجة في متطلبات النظام.
  • يتوفر العزل الانتقائي للأجهزة التي تعمل Windows 10 والإصدار 1709 أو أحدث Windows 11.
  • عند عزل جهاز، يسمح بعمليات ووجهات معينة فقط. لذلك، لن تتمكن الأجهزة الموجودة خلف نفق VPN كامل من الوصول إلى خدمة السحابة Microsoft Defender لنقطة النهاية بعد عزل الجهاز. نوصي باستخدام VPN منقسم النفق Microsoft Defender لنقطة النهاية وحركة مرور الحماية المستندة إلى الحماية المستندة إلى الحماية Microsoft Defender الحماية.
  • تدعم الميزة اتصال VPN.
  • يجب أن يكون لديك واحد على الأقل من أذونات الدور التالية: "إجراءات المعالجة النشطة". لمزيد من المعلومات، راجع إنشاء الأدوار وإدارتها.
  • يجب أن يكون لديك حق الوصول إلى الجهاز استنادا إلى إعدادات مجموعة الأجهزة. لمزيد من المعلومات، راجع إنشاء مجموعات الأجهزة وإدارتها.
  • الاستبعاد لكل من عزل macOS وLinux غير مدعوم.

تقوم ميزة عزل الجهاز هذه بقطع اتصال الجهاز المخترق بالشبكة مع الاحتفاظ بالاتصال بخدمة Defender for Endpoint، والتي تستمر في مراقبة الجهاز.

في Windows 10، الإصدار 1709 أو أحدث، سيكون لديك المزيد من التحكم في مستوى عزل الشبكة. يمكنك أيضا اختيار تمكين Outlook وMicrosoft Teams والاتصال Skype for Business (المعروف أيضا ب "العزل الانتقائي").

ملاحظة

ستتمكن من إعادة توصيل الجهاز بالشبكة في أي وقت. سيتغير الزر الموجود على صفحة الجهاز ليقول Release from isolation، ثم تتخذ نفس الخطوات مثل عزل الجهاز.

بمجرد تحديد عزل الجهاز على صفحة الجهاز، اكتب تعليقا وحدد تأكيد. سيعرض مركز الصيانة معلومات الفحص وسيتضمن المخطط الزمني للجهاز حدثا جديدا.

صفحة تفاصيل جهاز معزولة

ملاحظة

سيبقى الجهاز متصلا بخدمة Defender لنقطة النهاية حتى إذا كان معزولا عن الشبكة. إذا اخترت تمكين اتصال Outlook Skype for Business، فستتمكن من الاتصال بالمستخدم أثناء عزل الجهاز.

إعلام على مستخدم الجهاز

عند عزل جهاز، يتم عرض الإعلام التالي لإعلام المستخدم بأنه يتم عزل الجهاز عن الشبكة:

رسالة لا يوجد بها اتصال بالشبكة

ملاحظة

الإعلام غير متوفر على الأنظمة الأساسية غير التابعة ل Windows.

عزل الأجهزة من الشبكة

ملاحظة

قدرات الاحتواء موجودة حاليا في المعاينة العامة. للتعرف على الميزات الجديدة في إصدار المعاينة Microsoft 365 Defender وأن تكون من بين أول من جرب الميزات القادمة عن طريق تشغيل تجربة المعاينة، راجع ميزات المعاينة في Micrsoft 365 Defender.

عند تحديد جهاز غير مدار تم اختراقه أو احتمال اختراقه، قد ترغب في احتواء هذا الجهاز من الشبكة. عندما تحتوي على جهاز، سيحظر أي جهاز تم إلحاقه Microsoft Defender لنقطة النهاية الاتصال الوارد والصادر مع هذا الجهاز. يمكن أن يساعد هذا الإجراء في منع الأجهزة المجاورة من الاختراق بينما يحدد محلل عمليات الأمان التهديد على الجهاز المخترق ويحدده ويحله.

ملاحظة

يتم دعم حظر الاتصال الوارد والصادر باستخدام جهاز "مضمن" على أجهزة Microsoft Defender لنقطة النهاية Windows 10 وWindows Server 2019+ المضمنة.

كيفية احتواء جهاز

  1. انتقل إلى صفحة مخزون الجهاز وحدد الجهاز الذي تريد احتوائه.

  2. حدد Contain device من قائمة الإجراءات في القائمة المنبثقة للجهاز.

    لقطة شاشة للرسالة المنبثقة التي تحتوي على جهاز.

  3. في النافذة المنبثقة التي تحتوي على جهاز، اكتب تعليقا، وحدد تأكيد.

لقطة شاشة لعنصر قائمة الجهاز الذي يحتوي على.

تحتوي على جهاز من صفحة الجهاز

يمكن أيضا احتواء جهاز من صفحة الجهاز عن طريق تحديد احتواء الجهاز من شريط الإجراءات:

لقطة شاشة لعنصر قائمة الجهاز المضمن في صفحة الجهاز.

ملاحظة

قد يستغرق الأمر ما يصل إلى 5 دقائق للحصول على تفاصيل حول جهاز مضمن حديثا للوصول إلى Microsoft Defender لنقطة النهاية الأجهزة المضمنة.

هام

  • إذا قام جهاز مضمن بتغيير عنوان IP الخاص به، فستتعرف جميع Microsoft Defender لنقطة النهاية الأجهزة المضمنة على ذلك وتبدأ في حظر الاتصالات بعنوان IP الجديد. لن يتم حظر عنوان IP الأصلي بعد الآن (قد يستغرق الأمر ما يصل إلى 5 دقائق لرؤية هذه التغييرات).
  • في الحالات التي يتم فيها استخدام IP الخاص بالجهاز المضمن بواسطة جهاز آخر على الشبكة، سيكون هناك تحذير أثناء احتواء الجهاز، مع ارتباط إلى التتبع المتقدم (مع استعلام تم ملؤه مسبقا). سيوفر هذا رؤية للأجهزة الأخرى التي تستخدم نفس عنوان IP لمساعدتك على اتخاذ قرار واع إذا كنت ترغب في متابعة احتواء الجهاز.
  • في الحالات التي يكون فيها الجهاز المضمن عبارة عن جهاز شبكة، سيظهر تحذير مع رسالة تفيد بأن هذا قد يسبب مشكلات في اتصال الشبكة (على سبيل المثال، يحتوي على جهاز توجيه يعمل كبوابة افتراضية). في هذه المرحلة، ستتمكن من اختيار ما إذا كنت تريد احتواء الجهاز أم لا.

بعد أن تحتوي على جهاز، إذا لم يكن السلوك كما هو متوقع، فتحقق من تمكين خدمة محرك التصفية الأساسي (BFE) على Defender للأجهزة المضمنة في نقطة النهاية.

إيقاف احتواء جهاز

ستتمكن من التوقف عن احتواء جهاز في أي وقت.

  1. حدد الجهاز من مخزون الجهاز أو افتح صفحة الجهاز.

  2. حدد Release from containment من قائمة الإجراءات. سيؤدي هذا الإجراء إلى استعادة اتصال هذا الجهاز بالشبكة.

استشارة خبير في التهديدات

يمكنك استشارة خبير تهديدات Microsoft للحصول على مزيد من الرؤى فيما يتعلق بجهاز يحتمل تعرضه للخطر أو الأجهزة المخترقة بالفعل. يمكن إشراك خبراء المخاطر في Microsoft مباشرة من داخل Microsoft 365 Defender للاستجابة الدقيقة في الوقت المناسب. يقدم الخبراء رؤى ليس فقط فيما يتعلق بجهاز يحتمل اختراقه، ولكن أيضا لفهم التهديدات المعقدة أو إعلامات الهجوم المستهدفة التي تحصل عليها بشكل أفضل، أو إذا كنت بحاجة إلى مزيد من المعلومات حول التنبيهات، أو سياق التحليل الذكي للمخاطر الذي تراه على لوحة معلومات المدخل.

راجع استشارة خبير تهديدات Microsoft للحصول على التفاصيل.

التحقق من تفاصيل النشاط في مركز الإجراءات

يوفر مركز الصيانة معلومات حول الإجراءات التي تم اتخاذها على جهاز أو ملف. ستتمكن من عرض التفاصيل التالية:

  • مجموعة حزمة التحقيق
  • فحص برنامج الحماية من الفيروسات
  • تقييد التطبيق
  • عزل الجهاز

يتم أيضا عرض جميع التفاصيل الأخرى ذات الصلة، على سبيل المثال، تاريخ/وقت الإرسال، وإرسال المستخدم، وإذا نجح الإجراء أو فشل.

مركز الصيانة مع معلومات

راجع أيضًا