تقرير المحلل في تحليلات التهديدات
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
يتضمن كل تقرير تحليلات التهديدات أقساما ديناميكية وقسما مكتوبا شاملا يسمى تقرير المحلل. للوصول إلى هذا القسم، افتح التقرير حول التهديد المتعقب وحدد علامة التبويب تقرير المحلل .
قسم تقرير المحلل في تقرير تحليلات التهديدات
مسح تقرير المحلل ضوئيا
تم تصميم كل قسم من تقارير المحلل لتوفير معلومات قابلة للتنفيذ. بينما تختلف التقارير، تتضمن معظم التقارير الأقسام الموضحة في الجدول التالي.
| قسم التقرير | الوصف |
|---|---|
| الملخص التنفيذي | نظرة عامة على التهديد، بما في ذلك متى شوهد لأول مرة، ودوافعه، والأحداث البارزة، والأهداف الرئيسية، والأدوات والتقنيات المميزة. يمكنك استخدام هذه المعلومات لتقييم كيفية تحديد أولويات التهديد في سياق الصناعة والموقع الجغرافي والشبكة. |
| تحليل | معلومات تقنية حول التهديدات، بما في ذلك تفاصيل الهجوم وكيف يمكن للمهاجمين استخدام تقنية جديدة أو سطح هجوم |
| تمت ملاحظة تقنيات MITRE ATT&CK | كيفية تعيين التقنيات المرصودة إلى إطار عمل هجوم MITRE ATT&CK |
| عوامل التخفيف من المخاطر | التوصيات التي يمكن أن توقف أو تساعد في تقليل تأثير التهديد. يتضمن هذا القسم أيضا عوامل التخفيف التي لا يتم تعقبها ديناميكيا كجزء من تقرير تحليلات التهديدات. |
| تفاصيل الكشف | اكتشافات محددة وعامة توفرها حلول أمان Microsoft التي يمكنها عرض النشاط أو المكونات المرتبطة بالتهديد. |
| الصيد المتقدم | استعلامات تتبع متقدمة لتحديد نشاط التهديد المحتمل بشكل استباقي. يتم توفير معظم الاستعلامات لتكملة عمليات الكشف، خاصة لتحديد المكونات أو السلوكيات الضارة المحتملة التي لا يمكن تقييمها ديناميكيا على أنها ضارة. |
| مراجع | منشورات Microsoft والجهات الخارجية المشار إليها من قبل المحللين أثناء إنشاء التقرير. يستند محتوى تحليلات التهديدات إلى البيانات التي تم التحقق من صحتها من قبل باحثي Microsoft. يتم تحديد المعلومات الواردة من مصادر الجهات الخارجية المتاحة للجمهور بوضوح على هذا النحو. |
| سجل التغيير | وقت نشر التقرير ووقت إدخال تغييرات هامة عليه. |
تطبيق عوامل تخفيف إضافية
تتعقب تحليلات المخاطر ديناميكيا حالة تحديثات الأمان والتكوينات الآمنة. تتوفر هذه المعلومات كمخططات وجداول في علامة التبويب التخفيف من المخاطر .
بالإضافة إلى عوامل التخفيف المتعقبة هذه، يناقش تقرير المحلل أيضا عوامل التخفيف التي لا تتم مراقبتها ديناميكيا. فيما يلي بعض الأمثلة على عوامل التخفيف المهمة التي لا يتم تعقبها ديناميكيا:
- حظر رسائل البريد الإلكتروني التي تحتوي على مرفقات .lnk أو أنواع ملفات مشبوهة أخرى
- عشوائية كلمات مرور المسؤول المحلي
- تثقيف المستخدمين النهائيين حول البريد الإلكتروني للتصيد الاحتيالي وناقلات التهديدات الأخرى
- تشغيل قواعد محددة لتقليل الأجزاء المعرضة للهجوم
بينما يمكنك استخدام علامة التبويب التخفيف من المخاطر لتقييم وضع الأمان الخاص بك مقابل التهديد، تتيح لك هذه التوصيات اتخاذ خطوات إضافية نحو تحسين وضع الأمان الخاص بك. اقرأ بعناية جميع إرشادات التخفيف في تقرير المحلل وقم بتطبيقها كلما أمكن ذلك.
فهم كيفية اكتشاف كل تهديد
يوفر تقرير المحلل أيضا عمليات الكشف من Microsoft Defender قدرات الكشف عن الفيروسات ونقطة النهاية والاستجابة لها (EDR).
اكتشافات مكافحة الفيروسات
تتوفر هذه الاكتشافات على الأجهزة التي Microsoft Defender برنامج الحماية من الفيروسات في Windows قيد التشغيل. عند حدوث هذه الاكتشافات على الأجهزة التي تم إلحاقها Microsoft Defender لنقطة النهاية، فإنها تؤدي أيضا إلى تشغيل التنبيهات التي تضيء المخططات في التقرير.
ملاحظة
يسرد تقرير المحلل أيضا عمليات الكشف العامة التي يمكن أن تحدد مجموعة واسعة من التهديدات، بالإضافة إلى المكونات أو السلوكيات الخاصة بالتهديد المتعقب. لا تعكس هذه الاكتشافات العامة في المخططات.
تنبيهات الكشف عن نقطة النهاية والاستجابة لها (EDR)
يتم رفع تنبيهات EDR للأجهزة المإلحاقة Microsoft Defender لنقطة النهاية. تعتمد هذه التنبيهات بشكل عام على إشارات الأمان التي تم جمعها بواسطة مستشعر Microsoft Defender لنقطة النهاية وقدرات نقطة النهاية الأخرى (مثل مكافحة الفيروسات وحماية الشبكة والحماية من العبث) التي تعمل كمصادر إشارة قوية.
مثل قائمة اكتشافات مكافحة الفيروسات، تم تصميم بعض تنبيهات EDR لوضع علامة عامة على السلوك المشبوه الذي قد لا يكون مقترنا بالتهديد المتعقب. في مثل هذه الحالات، سيحدد التقرير بوضوح التنبيه على أنه "عام" وأنه لا يؤثر على أي من المخططات في التقرير.
البحث عن عناصر التهديد الدقيقة باستخدام التتبع المتقدم
بينما تسمح لك عمليات الكشف بتحديد التهديد المتعقب وإيقافه تلقائيا، فإن العديد من أنشطة الهجوم تترك آثارا دقيقة تتطلب فحصا إضافيا. تظهر بعض أنشطة الهجوم سلوكيات يمكن أن تكون طبيعية أيضا، لذلك يمكن أن يؤدي اكتشافها ديناميكيا إلى ضوضاء تشغيلية أو حتى إيجابيات خاطئة.
يوفر التتبع المتقدم واجهة استعلام تستند إلى لغة استعلام Kusto التي تبسط تحديد المؤشرات الدقيقة لنشاط التهديد. كما يتيح لك عرض معلومات سياقية والتحقق مما إذا كانت المؤشرات متصلة بالتهديد.
تم فحص استعلامات التتبع المتقدمة في تقارير المحللين من قبل محللي Microsoft وهي جاهزة للتشغيل في محرر استعلام التتبع المتقدم. يمكنك أيضا استخدام الاستعلامات لإنشاء قواعد الكشف المخصصة التي تشغل التنبيهات للمطابقات المستقبلية.
المواضيع ذات الصلة
- نظرة عامة حول تحليل المخاطر
- العثور على التهديدات بشكل استباقي باستخدام التتبع المتقدم
- قواعد الكشف المخصصة
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ