مركز الصيانة
ينطبق على:
- Microsoft Defender XDR
يوفر مركز الصيانة تجربة "جزء واحد من الزجاج" لمهام الحوادث والتنبيه مثل:
- الموافقة على إجراءات المعالجة المعلقة.
- عرض سجل تدقيق لإجراءات المعالجة المعتمدة بالفعل.
- مراجعة إجراءات المعالجة المكتملة.
نظرا لأن مركز الصيانة يوفر عرضا شاملا Microsoft Defender XDR في العمل، يمكن لفريق عمليات الأمان العمل بشكل أكثر فعالية وكفاءة.
مركز الإجراءات الموحد
يسرد مركز الإجراءات الموحد (https://security.microsoft.com/action-center) إجراءات المعالجة المعلقة والمكتملة لأجهزتك ومحتوى التعاون & البريد الإلكتروني والهويات في موقع واحد.
على سبيل المثال:
- إذا كنت تستخدم مركز الصيانة في مركز حماية Microsoft Defender (https://securitycenter.windows.com/action-center)، فجرب مركز الإجراءات الموحد في مدخل Microsoft Defender.
- إذا كنت تستخدم مدخل Microsoft Defender بالفعل، فسترى العديد من التحسينات في مركز الصيانة (https://security.microsoft.com/action-center).
يجمع مركز الإجراءات الموحد إجراءات المعالجة عبر Defender لنقطة النهاية Defender لـ Office 365. وهو يحدد لغة مشتركة لجميع إجراءات المعالجة ويوفر تجربة تحقيق موحدة. يتمتع فريق عمليات الأمان لديك بتجربة "جزء واحد من الزجاج" لعرض إجراءات المعالجة وإدارتها.
يمكنك استخدام مركز الإجراءات الموحد إذا كان لديك الأذونات المناسبة واشتراك واحد أو أكثر من الاشتراكات التالية:
- Defender لنقطة النهاية
- [Defender لـ Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
تلميح
لمعرفة المزيد، راجع المتطلبات.
يمكنك الانتقال إلى قائمة الإجراءات التي تنتظر الموافقة بطريقتين مختلفتين:
- انتقل إلى https://security.microsoft.com/action-center؛ أو
- في مدخل Microsoft Defender (https://security.microsoft.com)، في بطاقة استجابة & التحقيق التلقائي، حدد الموافقة في مركز الصيانة.
استخدام مركز الصيانة
انتقل إلى مدخل Microsoft Defender وسجل الدخول.
في جزء التنقل ضمن الإجراءات والإرسالات، اختر مركز الصيانة. أو في بطاقة استجابة & التحقيق التلقائي، حدد الموافقة في مركز الصيانة.
استخدم علامات التبويب الإجراءات المعلقةوالمحفوظات . يلخص الجدول التالي ما ستراه في كل علامة تبويب:
التبويب الوصف المعلقه يعرض قائمة بالإجراءات التي تتطلب الانتباه. يمكنك الموافقة على الإجراءات أو رفضها واحدا تلو الآخر، أو تحديد إجراءات متعددة إذا كان لها نفس نوع الإجراء (مثل ملف العزل).
تأكد من مراجعة الإجراءات المعلقة والموافقة عليها (أو رفضها) في أقرب وقت ممكن بحيث يمكن إكمال التحقيقات التلقائية في الوقت المناسب.التاريخ يعمل كسجل تدقيق للإجراءات التي تم اتخاذها، مثل:
- إجراءات المعالجة التي تم اتخاذها نتيجة للتحقيقات الآلية
- إجراءات المعالجة التي تم اتخاذها على رسائل البريد الإلكتروني أو الملفات أو عناوين URL المشبوهة أو الضارة
- إجراءات المعالجة التي وافق عليها فريق عمليات الأمان
- الأوامر التي تم تشغيلها وإجراءات المعالجة التي تم تطبيقها أثناء جلسات Live Response
- إجراءات المعالجة التي تم اتخاذها بواسطة الحماية من الفيروسات
يوفر طريقة للتراجع عن إجراءات معينة (راجع التراجع عن الإجراءات المكتملة).يمكنك تخصيص البيانات وفرزها وتصفيتها وتصديرها في مركز الصيانة.
- حدد عنوان عمود لفرز العناصر بترتيب تصاعدي أو تنازلي.
- استخدم عامل تصفية الفترة الزمنية لعرض البيانات لليوم الماضي أو الأسبوع أو 30 يوما أو 6 أشهر.
- اختر الأعمدة التي تريد عرضها.
- حدد عدد العناصر التي يجب تضمينها في كل صفحة من البيانات.
- استخدم عوامل التصفية لعرض العناصر التي تريد رؤيتها فقط.
- حدد تصدير لتصدير النتائج إلى ملف .csv.
الإجراءات المتعقبة في مركز الصيانة
يتم تعقب جميع الإجراءات، سواء كانت معلقة للموافقة أو تم اتخاذها بالفعل، في مركز الصيانة. تتضمن الإجراءات المتوفرة ما يلي:
- تجميع حزمة التحقيق
- عزل الجهاز (يمكن التراجع عن هذا الإجراء)
- جهاز إيقاف التجهيز
- تنفيذ التعليمات البرمجية للإصدار
- تحرير من العزل
- نموذج الطلب
- تقييد تنفيذ التعليمات البرمجية (يمكن التراجع عن هذا الإجراء)
- تشغيل مسح الحماية من الفيروسات
- الإيقاف والعزل
- عزل الأجهزة من الشبكة
بالإضافة إلى إجراءات المعالجة التي يتم اتخاذها تلقائيا نتيجة للتحقيقات التلقائية، يتعقب مركز الصيانة أيضا الإجراءات التي اتخذها فريق الأمان لمعالجة التهديدات المكتشفة والإجراءات التي تم اتخاذها نتيجة لميزات الحماية من التهديدات في Microsoft Defender XDR. لمزيد من المعلومات حول إجراءات المعالجة التلقائية واليدوية، راجع إجراءات المعالجة.
عرض تفاصيل مصدر الإجراء
(جديد!) يتضمن مركز الصيانة المحسن الآن عمود مصدر الإجراء الذي يخبرك من أين جاء كل إجراء. يصف الجدول التالي قيم مصدر الإجراء المحتملة:
| قيمة مصدر الإجراء | الوصف |
|---|---|
| إجراء الجهاز اليدوي | إجراء يدوي تم اتخاذه على جهاز. تتضمن الأمثلة عزل الجهاز أو عزل الملفات. |
| إجراء البريد الإلكتروني اليدوي | إجراء يدوي يتم اتخاذه على البريد الإلكتروني. يتضمن المثال الحذف المبدئي لرسائل البريد الإلكتروني أو معالجة رسالة بريد إلكتروني. |
| إجراء الجهاز التلقائي | إجراء تلقائي تم اتخاذه على كيان، مثل ملف أو عملية. تتضمن أمثلة الإجراءات التلقائية إرسال ملف إلى العزل وإيقاف عملية وإزالة مفتاح التسجيل. (راجع إجراءات المعالجة في Microsoft Defender لنقطة النهاية.) |
| إجراء البريد الإلكتروني التلقائي | إجراء تلقائي تم اتخاذه على محتوى البريد الإلكتروني، مثل رسالة بريد إلكتروني أو مرفق أو عنوان URL. تتضمن أمثلة الإجراءات التلقائية الحذف المبدئي لرسائل البريد الإلكتروني، وحظر عناوين URL، وإيقاف تشغيل إعادة توجيه البريد الخارجي. (راجع إجراءات المعالجة في Microsoft Defender لـ Office 365.) |
| إجراء تتبع متقدم | الإجراءات المتخذة على الأجهزة أو البريد الإلكتروني مع التتبع المتقدم. |
| إجراء المستكشف | الإجراءات المتخذة على محتوى البريد الإلكتروني باستخدام Explorer. |
| إجراء الاستجابة المباشرة اليدوية | الإجراءات المتخذة على جهاز مع استجابة مباشرة. تتضمن الأمثلة حذف ملف وإيقاف عملية وإزالة مهمة مجدولة. |
| إجراء الاستجابة المباشرة | الإجراءات المتخذة على جهاز مع واجهات برمجة تطبيقات Microsoft Defender لنقطة النهاية. تتضمن أمثلة الإجراءات عزل جهاز وتشغيل فحص مكافحة الفيروسات والحصول على معلومات حول ملف. |
الأذونات المطلوبة لمهام مركز الصيانة
لتنفيذ المهام، مثل الموافقة على الإجراءات المعلقة أو رفضها في مركز الصيانة، يجب أن يكون لديك أذونات معينة كما هو مدرج في الجدول التالي:
| إجراء المعالجة | الأدوار والأذونات المطلوبة |
|---|---|
| Microsoft Defender لنقطة النهاية المعالجة (الأجهزة) | دور مسؤول الأمان المعين إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com) ---او--- دور إجراءات المعالجة النشطة المعين في Microsoft Defender لنقطة النهاية لمعرفة المزيد، راجع الموارد التالية: - Microsoft Entra الأدوار المضمنة - الإنشاء الأدوار وإدارتها للتحكم في الوصول استنادا إلى الدور (Microsoft Defender لنقطة النهاية) |
| Microsoft Defender لـ Office 365 المعالجة (محتوى Office والبريد الإلكتروني) | دور مسؤول الأمان المعين إما في Microsoft Entra ID (https://portal.azure.com) أو مركز مسؤولي Microsoft 365 (https://admin.microsoft.com) ---و--- دور البحث والإزالة المعين في أدوار التعاون & البريد الإلكتروني Microsoft Defender XDR> هام: إذا كان لديك دور مسؤول الأمان المعين فقط في أدوار التعاون & Microsoft Defender XDR> البريد الإلكتروني، فلن تتمكن من الوصول إلى مركز الصيانة أو قدرات Microsoft Defender XDR. يجب أن يكون لديك دور مسؤول الأمان المعين في Microsoft Entra ID أو مركز مسؤولي Microsoft 365. لمعرفة المزيد، راجع الموارد التالية: - Microsoft Entra الأدوار المضمنة - الأذونات في مركز التوافق & الأمان |
تلميح
يمكن للمستخدمين الذين تم تعيين دور المسؤول العام لهم في Microsoft Entra ID الموافقة على أي إجراء معلق أو رفضه في مركز الصيانة. ومع ذلك، كأفضل ممارسة، يجب على مؤسستك تحديد عدد الأشخاص الذين تم تعيين دور المسؤول العام لهم. نوصي باستخدام مسؤول الأمانوإجراءات المعالجة النشطة وأدوار البحث والمسح المدرجة في الجدول السابق لأذونات مركز الصيانة.
الخطوة التالية
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ