اتخاذ إجراء بشأن نتائج استعلام التتبع المتقدمة

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

يمكنك بسرعة احتواء التهديدات أو معالجة الأصول المخترقة التي تجدها في التتبع المتقدم باستخدام خيارات عمل قوية وشاملة. باستخدام هذه الخيارات، يمكنك:

  • اتخاذ إجراءات مختلفة على الأجهزة
  • ملفات العزل

الأذونات المطلوبة

لاتخاذ إجراء على الأجهزة من خلال التتبع المتقدم، تحتاج إلى دور في Microsoft Defender لنقطة النهاية مع أذونات لإرسال إجراءات المعالجة على الأجهزة. إذا لم تتمكن من اتخاذ إجراء، فاتصل بمسؤول عام للحصول على الإذن التالي:

إجراءات > المعالجة النشطة إدارة المخاطر والثغرات الأمنية - معالجة المعالجة

لاتخاذ إجراء بشأن رسائل البريد الإلكتروني من خلال التتبع المتقدم، تحتاج إلى دور في Microsoft Defender لـ Office 365 للبحث عن رسائل البريد الإلكتروني ومسحها.

اتخاذ إجراءات مختلفة على الأجهزة

يمكنك اتخاذ الإجراءات التالية على الأجهزة التي حددها DeviceId العمود في نتائج الاستعلام:

  • عزل الأجهزة المتأثرة لاحتواء عدوى أو منع الهجمات من التحرك أفقيا
  • جمع حزمة التحقيق للحصول على مزيد من المعلومات الجنائية
  • تشغيل فحص مكافحة الفيروسات للعثور على التهديدات وإزالتها باستخدام آخر تحديثات التحليل الذكي للأمان
  • بدء تحقيق تلقائي للتحقق من التهديدات ومعالجتها على الجهاز وربما الأجهزة المتأثرة الأخرى
  • تقييد تنفيذ التطبيق على الملفات القابلة للتنفيذ الموقعة من Microsoft فقط، مما يمنع نشاط التهديد اللاحق من خلال البرامج الضارة أو الملفات التنفيذية الأخرى غير الموثوق بها

لمعرفة المزيد حول كيفية تنفيذ إجراءات الاستجابة هذه من خلال Microsoft Defender لنقطة النهاية، اقرأ حول إجراءات الاستجابة على الأجهزة.

ملفات العزل

يمكنك نشر إجراء العزل على الملفات بحيث يتم عزلها تلقائيا عند مواجهتها. عند تحديد هذا الإجراء، يمكنك الاختيار بين الأعمدة التالية لتحديد الملفات الموجودة في نتائج الاستعلام المراد عزلها:

  • SHA1: في معظم جداول التتبع المتقدمة، يشير هذا العمود إلى SHA-1 للملف الذي تأثر بالإجراء المسجل. على سبيل المثال، إذا تم نسخ ملف، فسيكون هذا الملف المتأثر هو الملف المنسخ.
  • InitiatingProcessSHA1: في معظم جداول التتبع المتقدمة، يشير هذا العمود إلى الملف المسؤول عن بدء الإجراء المسجل. على سبيل المثال، إذا تم تشغيل عملية تابعة، فسيكون ملف البادئ هذا جزءا من العملية الأصل.
  • SHA256: هذا العمود هو مكافئ SHA-256 للملف المحدد بواسطة SHA1 العمود.
  • InitiatingProcessSHA256: هذا العمود هو مكافئ SHA-256 للملف المحدد بواسطة InitiatingProcessSHA1 العمود.

لمعرفة المزيد حول كيفية اتخاذ إجراءات العزل وكيفية استعادة الملفات، اقرأ حول إجراءات الاستجابة على الملفات.

ملاحظة

لتحديد موقع الملفات وعزلها، يجب أن تتضمن DeviceId نتائج الاستعلام أيضا قيما كمعرفات الجهاز.

لاتخاذ أي من الإجراءات الموضحة، حدد سجلا واحدا أو أكثر في نتائج الاستعلام ثم حدد اتخاذ الإجراءات. سيرشدك المعالج خلال عملية تحديد الإجراءات المفضلة لديك ثم إرسالها.

خيار اتخاذ الإجراءات في مدخل Microsoft Defender

اتخاذ إجراءات مختلفة على رسائل البريد الإلكتروني

وبصرف النظر عن خطوات المعالجة التي تركز على الجهاز، يمكنك أيضا اتخاذ بعض الإجراءات على رسائل البريد الإلكتروني من نتائج الاستعلام. حدد السجلات التي تريد اتخاذ إجراء بشأنها، وحدد اتخاذ إجراءات، ثم ضمن اختيار الإجراءات، حدد اختيارك من ما يلي:

  • Move to mailbox folder - حدد هذا لنقل رسائل البريد الإلكتروني إلى مجلد العناصر غير الهامة أو علبة الوارد أو العناصر المحذوفة

    الخيار اتخاذ إجراءات في مدخل Microsoft Defender

  • Delete email - حدد هذا لنقل رسائل البريد الإلكتروني إلى مجلد العناصر المحذوفة (حذف مبدئي) أو حذفها بشكل دائم (حذف ثابت)

    خيار اتخاذ الإجراءات في مدخل Microsoft Defender

يمكنك أيضا توفير اسم معالجة ووصف مختصر للإجراء الذي تم اتخاذه لتتبعه بسهولة في محفوظات مركز الصيانة. يمكنك أيضا استخدام معرف الموافقة لتصفية هذه الإجراءات في مركز الصيانة. يتم توفير هذا المعرف في نهاية المعالج:

معالج اتخاذ الإجراءات الذي يعرض اختيار الإجراءات للكيانات

تنطبق إجراءات البريد الإلكتروني هذه على عمليات الكشف المخصصة أيضا.

مراجعة الإجراءات المتخذة

يتم تسجيل كل إجراء بشكل فردي في مركز الصيانة ضمنمحفوظاتمركز> الصيانة (security.microsoft.com/action-center/history). انتقل إلى مركز الصيانة للتحقق من حالة كل إجراء.

ملاحظة

قد لا تتوفر بعض الجداول في هذه المقالة في Microsoft Defender لنقطة النهاية. قم بتشغيل Microsoft Defender XDR للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية إلى Microsoft Defender XDR باتباع الخطوات الواردة في ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.