تكوين قدرات التحقيق والاستجابة التلقائية في Microsoft Defender XDR

مقالة
04/26/2024

يتضمن Microsoft Defender XDR قدرات تحقيق واستجابة تلقائية قوية يمكن أن توفر لفريق عمليات الأمان الكثير من الوقت والجهد. مع الشفاء الذاتي، تحاكي هذه القدرات الخطوات التي سيتخذها محلل الأمان للتحقيق في التهديدات والاستجابة لها، بشكل أسرع فقط، وأكثر قدرة على التوسع.

توضح هذه المقالة كيفية تكوين التحقيق والاستجابة التلقائية في Microsoft Defender XDR باستخدام الخطوات التالية:

راجع المتطلبات الأساسية.
مراجعة مستوى التنفيذ التلقائي لمجموعات الأجهزة أو تغييره.
راجع نهج الأمان والتنبيه في Office 365.

بعد ذلك، بعد الانتهاء من الإعداد، يمكنك عرض إجراءات المعالجة وإدارتها في مركز الصيانة. وإذا لزم الأمر، يمكنك إجراء تغييرات على إعدادات التحقيق التلقائية.

المتطلبات الأساسية للتحقيق والاستجابة التلقائية في Microsoft Defender XDR

شرط	التفاصيل
متطلبات الاشتراك	أحد هذه الاشتراكات: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 مع الوظيفة الإضافية الأمان في Microsoft 365 E5 Microsoft 365 A3 مع الوظيفة الإضافية Microsoft 365 A5 Security Office 365 E5 بالإضافة إلى Enterprise Mobility + Security E5 بالإضافة إلى Windows E5 راجع متطلبات الترخيص Microsoft Defender XDR.
متطلبات الشبكة	تمكين Microsoft Defender for Identity تم تكوين Microsoft Defender for Cloud Apps تكامل Microsoft Defender for Identity
متطلبات جهاز Windows	Windows 11 Windows 10، الإصدار 1709 أو إصدار أحدث مثبت (راجع معلومات إصدار Windows) يتم تكوين خدمات الحماية من التهديدات التالية: مشكلات الأداء في Microsoft Defender لنقطة النهاية برنامج الحماية من الفيروسات من Microsoft Defender
حماية محتوى البريد الإلكتروني وملفات Office	تم تكوين Microsoft Defender لـ Office 365 يتم تكوين إمكانات التحقيق والمعالجة التلقائية في Defender لنقطة النهاية (مطلوبة لإجراءات الاستجابة اليدوية، مثل حذف رسائل البريد الإلكتروني على الأجهزة)
الأذونات	لتكوين قدرات التحقيق والاستجابة التلقائية، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز مسؤولي Microsoft 365 (https://admin.microsoft.com): المسؤول العام مسؤول الأمان للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

مراجعة مستوى التنفيذ التلقائي لمجموعات الأجهزة أو تغييره

يعتمد ما إذا كان يتم تشغيل التحقيقات التلقائية، وما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على أجهزتك على إعدادات معينة، مثل نهج مجموعة الأجهزة الخاصة بمؤسستك. راجع مستوى الأتمتة المكون لنهج مجموعة الأجهزة. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

انتقل إلى مدخل Microsoft Defender في https://security.microsoft.com وسجل الدخول.
انتقل إلى Settings>Endpoints>Device groups ضمن Permissions.
راجع نهج مجموعة أجهزتك. على وجه الخصوص، انظر إلى عمود مستوى التنفيذ التلقائي . نوصي باستخدام كامل - معالجة التهديدات تلقائيا. قد تحتاج إلى إنشاء مجموعات أجهزتك أو تحريرها للحصول على مستوى الأتمتة الذي تريده. للحصول على تعليمات حول هذه المهمة، راجع المقالات التالية:
- كيفية معالجة التهديدات
- إنشاء مجموعات الأجهزة وإدارتها

مراجعة نهج الأمان والتنبيه في Office 365

توفر Microsoft نهج تنبيه مضمنة تساعد في تحديد مخاطر معينة. تتضمن هذه المخاطر إساءة استخدام أذونات مسؤول Exchange ونشاط البرامج الضارة والتهديدات الخارجية والداخلية المحتملة ومخاطر إدارة دورة حياة البيانات. يمكن لبعض التنبيهات تشغيل التحقيق التلقائي والاستجابة في Office 365. تأكد من تكوين ميزات Defender لـ Office 365 بشكل صحيح.

على الرغم من أن بعض التنبيهات وسياسات الأمان يمكن أن تؤدي إلى إجراء تحقيقات تلقائية، لا يتم اتخاذ أي إجراءات معالجة تلقائيا للبريد الإلكتروني والمحتوى. بدلا من ذلك، تنتظر جميع إجراءات المعالجة لمحتوى البريد الإلكتروني والبريد الإلكتروني موافقة فريق عمليات الأمان في مركز الصيانة.

تساعد إعدادات الأمان في Exchange Online Protection (EOP) Defender لـ Office 365 في حماية البريد الإلكتروني والمحتوى. نوصي باستخدام نهج الأمان القياسية والصارمة المحددة مسبقا لتعيين الحماية للمستخدمين.

إذا كنت تستخدم نهج مخصصة، فاستخدم محلل التكوين لمقارنة إعدادات النهج بإعدادات نهج الأمان القياسية والصارمة المحددة مسبقا. للحصول على قائمة مفصلة بجميع إعدادات النهج، راجع الجداول في الإعدادات الموصى بها ل EOP وأمان Microsoft Defender لـ Office 365.

يمكنك مراجعة نهج التنبيه في مدخل Defender في https://security.microsoft.com>النهج & قواعد>نهج التنبيه أو مباشرة في https://security.microsoft.com/alertpoliciesv2. توجد العديد من نهج التنبيه الافتراضية في فئة إدارة التهديدات . يمكن لبعض نهج التنبيه في فئة إدارة التهديدات تشغيل التحقيق والاستجابة التلقائيين. لمعرفة المزيد، راجع نهج تنبيه إدارة التهديدات.

هل تحتاج إلى إجراء تغييرات على إعدادات التحقيق التلقائي؟

يمكنك الاختيار من بين عدة خيارات لتغيير الإعدادات لقدرات التحقيق والاستجابة التلقائية. يتم سرد بعض الخيارات في الجدول التالي:

للقيام بذلك	اتبع هذه الخطوات
تحديد مستويات الأتمتة لمجموعات الأجهزة	إعداد مجموعة أجهزة واحدة أو أكثر. راجع الإنشاء مجموعات الأجهزة وإدارتها. في مدخل Microsoft Defender، انتقل إلىأدوار نقاط النهايةللأذونات> & مجموعات >الأجهزة. حدد مجموعة أجهزة وراجع إعداد مستوى التنفيذ التلقائي الخاص بها. (نوصي باستخدام كامل - معالجة التهديدات تلقائيا). راجع مستويات التنفيذ التلقائي في قدرات التحقيق والمعالجة التلقائية. كرر الخطوتين 2 و3 حسب الاقتضاء لجميع مجموعات الأجهزة.

للقيام بذلك

اتبع هذه الخطوات

تحديد مستويات الأتمتة لمجموعات الأجهزة

إعداد مجموعة أجهزة واحدة أو أكثر. راجع الإنشاء مجموعات الأجهزة وإدارتها.
في مدخل Microsoft Defender، انتقل إلىأدوار نقاط النهايةللأذونات> & مجموعات >الأجهزة.
حدد مجموعة أجهزة وراجع إعداد مستوى التنفيذ التلقائي الخاص بها. (نوصي باستخدام كامل - معالجة التهديدات تلقائيا). راجع مستويات التنفيذ التلقائي في قدرات التحقيق والمعالجة التلقائية.
كرر الخطوتين 2 و3 حسب الاقتضاء لجميع مجموعات الأجهزة.

الخطوات التالية

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.