تكوين إمكانية الخداع في Microsoft Defender XDR

ينطبق على:

• Microsoft Defender XDR

ملاحظة

تغطي إمكانية الخداع المضمنة في Microsoft Defender XDR جميع عملاء Windows الذين تم إلحاقهم Microsoft Defender لنقطة النهاية. تعرف على كيفية إلحاق العملاء ب Defender لنقطة النهاية في إلحاق Microsoft Defender لنقطة النهاية.

يحتوي Microsoft Defender XDR على تقنية الخداع المضمنة لحماية بيئتك من الهجمات عالية التأثير التي تستخدم الحركة الجانبية التي يديرها الإنسان. توضح هذه المقالة كيفية تكوين إمكانية الخداع في Microsoft Defender XDR.

تشغيل إمكانية الخداع

يتم إيقاف تشغيل إمكانية الخداع بشكل افتراضي. لتشغيله، قم بتنفيذ الخطوات التالية:

1. حدد Settings>Endpoints.
2. ضمن عام، حدد ميزات متقدمة.
3. ابحث عن إمكانات الخداع وقم بتبديل التبديل إلى تشغيل.

يتم إنشاء قاعدة افتراضية وتشغيلها تلقائيا عند تمكين إمكانية الخداع. تقوم القاعدة الافتراضية، التي يمكنك تحريرها وفقا لذلك، تلقائيا بإنشاء حسابات مفككة ومضيفين مدمجين في التغريات والنباتات هذه إلى جميع الأجهزة المستهدفة في المؤسسة. بينما يتم تعيين نطاق ميزة الخداع على جميع الأجهزة في المؤسسة، يتم زرع الإغراء في أجهزة عميل Windows فقط.

الإنشاء وتعديل قواعد الخداع

ملاحظة

يدعم Microsoft Defender XDR حاليا إنشاء ما يصل إلى عشرة (10) قواعد الخداع.

لإنشاء قاعدة الخداع، قم بتنفيذ الخطوات التالية:

1. انتقل إلى Settings>Endpoints. ضمن Rules، حدد Deception rules.
2. حدد Add deception rule.
3. في جزء إنشاء القاعدة، أضف اسم القاعدة ووصفها وحدد أنواع lure المراد إنشاؤها. يمكنك تحديد كل من أنواع الإغراء الأساسية والمتقدمة .
4. حدد الأجهزة التي تنوي زرع الإغراء فيها في قسم النطاق. يمكنك تحديد لزرع التغرير في جميع أجهزة عميل Windows أو في العملاء الذين يعانون من علامات معينة. تغطي ميزة الخداع حاليا عملاء Windows.
5. ثم تستغرق إمكانية الخداع بضع دقائق لإنشاء حسابات ومضيفي فك التشفير تلقائيا. لاحظ أن إمكانية الخداع تنشئ حسابات فك التشفير التي تحاكي اسم المستخدم الأساسي (UPN) في Active Directory.
6. يمكنك مراجعة أو تحرير أو حذف الرموز التي تم إنشاؤها تلقائيا. يمكنك أيضا إضافة حسابات فك التشفير الخاصة بك والمضيفين في هذا القسم. لمنع الاكتشافات الإيجابية الخاطئة، تأكد من عدم استخدام المضيفين/عناوين IP المضافة من قبل المؤسسة.
7. يمكنك تحرير اسم حساب فك التشفير واسم المضيف وعنوان IP حيث يتم غرس الإغراء في قسم decoys. عند إضافة عناوين IP، نوصي باستخدام IP بيئة الاختبار المعزولة إذا كان موجودا في المؤسسة. تجنب استخدام العناوين شائعة الاستخدام، على سبيل المثال، 127.0.0.1و10.0.0.1 وما شابه ذلك.

الحذر

لتجنب التنبيهات الإيجابية الخاطئة، نوصي بشدة بإنشاء حسابات مستخدمين فريدة وأسماء مضيفين عند إنشاء حسابات ومضيفي فك التشفير وتحريرها. تأكد من أن حسابات المستخدمين والمضيفين التي تم إنشاؤها فريدة لكل قاعدة الخداع وأن هذه الحسابات والمضيفين غير موجودين في دليل المؤسسة.

8. حدد ما إذا كنت تستخدم استدراجا تلقائيا أو مخصصا في قسم الإغراء. حدد add new lure ضمن Use custom lures only to upload your own lure. يمكن أن تكون التغريات المخصصة أي نوع ملف (باستثناء .DLL والملفات .EXE) وتقتصر على 10 ميغابايت لكل منها. عند إنشاء وتحميل استدراج مخصص، نوصي بإغراءات لاحتواء أو ذكر المضيفين المزيفين أو حسابات المستخدمين المزيفة التي تم إنشاؤها في الخطوات السابقة لضمان أن الإغراءات جذابة للمهاجمين.
9. أدخل اسما للure ومسارا حيث سيتم زرع الإغراء. يمكنك بعد ذلك تحديد لزرع الإغراء على جميع الأجهزة التي يغطيها قسم النطاق وإذا كنت تريد أن يتم زرع الإغراء كملف مخفي. إذا تركت هذه المربعات دون تحديد، فإن ميزة الخداع تزرع تلقائيا الإغراء غير المضمن في أجهزة عشوائية داخل النطاق.
10. راجع تفاصيل القاعدة التي تم إنشاؤها في قسم الملخص. يمكنك تحرير تفاصيل القاعدة عن طريق تحديد تحرير في القسم الذي تحتاج إلى تعديله. حدد حفظ بعد المراجعة.
11. تظهر القاعدة الجديدة في جزء قواعد Deception بعد الإنشاء الناجح. يستغرق الأمر حوالي 12-24 ساعة لإكمال إنشاء القاعدة. تحقق من الحالة لمراقبة تقدم إنشاء القاعدة.
12. للتحقق من تفاصيل القواعد النشطة، بما في ذلك تفاصيل الأجهزة التي تغطيها وتغرزها، حدد تصدير في جزء القواعد.

لتعديل قاعدة الخداع، قم بتنفيذ الخطوات التالية:

1. حدد القاعدة لتعديلها في جزء قواعد الخداع.
2. حدد تحرير في جزء تفاصيل القاعدة.
3. لإيقاف تشغيل القاعدة، حدد إيقاف التشغيل في جزء التحرير.
4. لحذف قاعدة الخداع، حدد حذف في جزء التحرير.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.