تحليلات التهديدات في Microsoft Defender XDR

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

تحليلات التهديدات هي حل التحليل الذكي للمخاطر داخل المنتج من الباحثين الأمنيين الخبراء في Microsoft. تم تصميمه لمساعدة فرق الأمان على أن تكون فعالة قدر الإمكان أثناء مواجهة التهديدات الناشئة، مثل:

  • الجهات الفاعلة النشطة في مجال التهديد وحملاتها
  • تقنيات الهجوم الشائعة والجديدة
  • الثغرات الأمنية الحرجة
  • أسطح الهجوم الشائعة
  • البرامج الضارة السائدة

شاهد هذا الفيديو القصير لمعرفة المزيد حول كيفية مساعدة تحليلات التهديدات في تعقب أحدث التهديدات وإيقافها.

يمكنك الوصول إلى تحليلات التهديدات إما من الجانب الأيسر العلوي من شريط التنقل Microsoft Defender XDR، أو من بطاقة لوحة معلومات مخصصة تعرض أهم التهديدات لمؤسستك، سواء من حيث التأثير المعروف، أو من حيث التعرض.

لقطة شاشة للصفحة المقصودة لتحليلات المخاطر

يمكن أن يساعد الحصول على رؤية للحملات النشطة أو المستمرة ومعرفة ما يجب القيام به من خلال تحليلات التهديدات في تزويد فريق عمليات الأمان بقرارات مستنيرة.

مع ظهور خصوم أكثر تطورا وتهديدات جديدة بشكل متكرر ومنتشر، من الضروري أن تكون قادرا على القيام بما يلي بسرعة:

  • تحديد التهديدات الناشئة والتفاعل معها
  • تعرف على ما إذا كنت تتعرض للهجوم حاليا
  • تقييم تأثير التهديد على أصولك
  • مراجعة مرونتك في مواجهة التهديدات أو التعرض لها
  • تحديد إجراءات التخفيف أو الاسترداد أو الوقاية التي يمكنك اتخاذها لإيقاف التهديدات أو احتواءها

ويقدم كل تقرير تحليلا للمخاطر المتعقبة وإرشادات شاملة حول كيفية الدفاع ضد هذا التهديد. كما يتضمن بيانات من شبكتك، مما يشير إلى ما إذا كان التهديد نشطا وما إذا كانت لديك حماية قابلة للتطبيق في مكانها.

عرض لوحة معلومات تحليلات المخاطر

تسلط لوحة معلومات تحليلات المخاطر (security.microsoft.com/threatanalytics3) الضوء على التقارير الأكثر صلة بالمؤسسة. يلخص التهديدات في الأقسام التالية:

  • أحدث التهديدات - تسرد أحدث تقارير التهديدات المنشورة أو المحدثة، إلى جانب عدد التنبيهات النشطة والمحلة.
  • التهديدات عالية التأثير - تسرد التهديدات التي لها أعلى تأثير على مؤسستك. يسرد هذا القسم التهديدات مع أكبر عدد من التنبيهات النشطة والمحلة أولا.
  • أعلى تعرض - يسرد التهديدات التي تتعرض لها مؤسستك أعلى مستوى من التعرض. يتم حساب مستوى تعرضك للمخاطر باستخدام جزءين من المعلومات: مدى خطورة الثغرات الأمنية المرتبطة بالتهديد، وعدد الأجهزة في مؤسستك التي يمكن استغلالها بواسطة نقاط الضعف هذه.

لقطة شاشة للوحة معلومات تحليلات المخاطر،

حدد تهديدا من لوحة المعلومات لعرض التقرير لهذا التهديد. يمكنك أيضا تحديد حقل البحث للمفتاح في كلمة أساسية مرتبطة بتقرير تحليلات التهديدات الذي ترغب في قراءته.

عرض التقارير حسب الفئة

يمكنك تصفية قائمة تقارير التهديد وعرض التقارير الأكثر صلة وفقا لنوع تهديد معين أو حسب نوع التقرير.

  • علامات التهديد - تساعدك في عرض التقارير الأكثر صلة وفقا لفئة تهديد محددة. على سبيل المثال، تتضمن علامة برامج الفدية الضارة جميع التقارير المتعلقة ببرامج الفدية الضارة.
  • أنواع التقارير - تساعدك في عرض التقارير الأكثر صلة وفقا لنوع تقرير معين. على سبيل المثال، تتضمن علامة Tools & techniques جميع التقارير التي تغطي الأدوات والتقنيات.

تحتوي العلامات المختلفة على عوامل تصفية مكافئة تساعدك في مراجعة قائمة تقارير التهديد بكفاءة وتصفية طريقة العرض استنادا إلى علامة تهديد معينة أو نوع تقرير. على سبيل المثال، لعرض جميع تقارير التهديد المتعلقة بفئة برامج الفدية الضارة أو تقارير التهديد التي تتضمن نقاط ضعف.

أضاف فريق التحليل الذكي للمخاطر من Microsoft علامات التهديد إلى كل تقرير تهديد. تتوفر حاليا أربع علامات تهديد:

  • برامج الفدية الضارة
  • التصيّد الاحتيالي
  • ثغرة أمنية
  • مجموعة النشاط

يتم تقديم علامات التهديد في أعلى صفحة تحليلات التهديد. هناك عدادات لعدد التقارير المتوفرة ضمن كل علامة.

لقطة شاشة لعلامات تقرير تحليلات المخاطر.

لتعيين أنواع التقارير التي تريدها في القائمة، حدد عوامل التصفية، واختر من القائمة، وحدد تطبيق.

لقطة شاشة لقائمة عوامل التصفية.

إذا قمت بتعيين أكثر من عامل تصفية، يمكن أيضا فرز قائمة تقارير تحليلات المخاطر حسب علامة التهديد عن طريق تحديد عمود علامات التهديد:

لقطة شاشة لعمود علامات التهديد.

عرض تقرير تحليلات المخاطر

يوفر كل تقرير من تقارير تحليلات التهديدات معلومات في عدة أقسام:

نظرة عامة: فهم التهديد بسرعة وتقييم تأثيره ومراجعة الدفاعات

يوفر قسم نظرة عامة معاينة لتقرير المحلل التفصيلي. كما يوفر مخططات تسلط الضوء على تأثير التهديد على مؤسستك، وتعرضك من خلال الأجهزة التي تم تكوينها بشكل خاطئ وغير المكشوفة.

لقطة شاشة لقسم النظرة العامة في تقرير تحليلات التهديدات.

تقييم التأثير على مؤسستك

يتضمن كل تقرير مخططات مصممة لتوفير معلومات حول التأثير التنظيمي للتهديد:

  • الحوادث ذات الصلة - توفر نظرة عامة على تأثير التهديد المتعقب لمؤسستك بالبيانات التالية:
    • عدد التنبيهات النشطة وعدد الحوادث النشطة المرتبطة بها
    • خطورة الحوادث النشطة
  • التنبيهات بمرور الوقت - تعرض عدد التنبيهات النشطةوالمحلة ذات الصلة بمرور الوقت. يشير عدد التنبيهات التي تم حلها إلى مدى سرعة استجابة مؤسستك للتنبيهات المرتبطة بالتهديد. من الناحية المثالية، يجب أن يعرض المخطط التنبيهات التي تم حلها في غضون بضعة أيام.
  • الأصول المتأثرة - تعرض عدد الأجهزة المميزة وحسابات البريد الإلكتروني (علب البريد) التي تحتوي حاليا على تنبيه نشط واحد على الأقل مرتبط بالتهديد المتعقب. يتم تشغيل التنبيهات لعلب البريد التي تلقت رسائل بريد إلكتروني للمخاطر. راجع كلا من النهج على مستوى المؤسسة والمستخدم للتجاوزات التي تتسبب في تسليم رسائل البريد الإلكتروني للمخاطر.
  • محاولات البريد الإلكتروني التي تم منعها - تعرض عدد رسائل البريد الإلكتروني من الأيام السبعة الماضية التي تم حظرها قبل التسليم أو تسليمها إلى مجلد البريد غير الهام.

مراجعة مرونة الأمان ووضعه

يتضمن كل تقرير مخططات توفر نظرة عامة حول مدى مرونة مؤسستك في مواجهة تهديد معين:

  • حالة التكوين الآمن - تعرض عدد الأجهزة ذات إعدادات الأمان التي تم تكوينها بشكل خاطئ. تطبيق إعدادات الأمان الموصى بها للمساعدة في التخفيف من التهديد. تعتبر الأجهزة آمنة إذا طبقت جميع الإعدادات المتعقبة.
  • حالة تصحيح الثغرات الأمنية - تظهر عدد الأجهزة المعرضة للخطر. تطبيق تحديثات الأمان أو التصحيحات لمعالجة الثغرات الأمنية التي يستغلها التهديد.

تقرير المحلل: الحصول على نتيجة تحليلات الخبراء من باحثي أمان Microsoft

في قسم تقرير المحلل ، اقرأ من خلال كتابة الخبراء التفصيلية. تقدم معظم التقارير أوصافا مفصلة لسلاسل الهجوم، بما في ذلك التكتيكات والتقنيات المعينة لإطار عمل MITRE ATT&CK، وقوائم شاملة بالتوصيات، وإرشادات قوية لتعقب التهديدات .

تعرف على المزيد حول تقرير المحلل

توفر علامة التبويب الحوادث ذات الصلة قائمة بجميع الحوادث المتعلقة بالتهديد المتعقب. يمكنك تعيين الحوادث أو إدارة التنبيهات المرتبطة بكل حادث.

لقطة شاشة لقسم الحوادث ذات الصلة في تقرير تحليلات التهديدات.

الأصول المتأثرة: الحصول على قائمة بالأجهزة وعلب البريد المتأثرة

يعتبر الأصل متأثرا إذا كان متأثرا بتنبيه نشط لم يتم حله. تسرد علامة التبويب الأصول المتأثرة الأنواع التالية من الأصول المتأثرة:

  • الأجهزة المتأثرة - نقاط النهاية التي لم يتم حلها Microsoft Defender لنقطة النهاية التنبيهات. عادة ما تطلق هذه التنبيهات على مشاهد لمؤشرات التهديد والأنشطة المعروفة.
  • علب البريد المتأثرة — علب البريد التي تلقت رسائل بريد إلكتروني أدت إلى تشغيل تنبيهات Microsoft Defender لـ Office 365. بينما يتم حظر معظم الرسائل التي تشغل التنبيهات عادة، يمكن للنهج على مستوى المستخدم أو المؤسسة تجاوز عوامل التصفية.

لقطة شاشة لقسم الأصول المتأثرة في تقرير تحليلات التهديدات.

محاولات البريد الإلكتروني التي تم منعها: عرض رسائل البريد الإلكتروني للتهديدات المحظورة أو غير الهامة

عادة ما تحظر Microsoft Defender لـ Office 365 رسائل البريد الإلكتروني ذات مؤشرات التهديد المعروفة، بما في ذلك الارتباطات أو المرفقات الضارة. في بعض الحالات، سترسل آليات التصفية الاستباقية التي تتحقق من المحتوى المشبوه رسائل بريد إلكتروني للمخاطر إلى مجلد البريد غير الهام بدلا من ذلك. في كلتا الحالتين، يتم تقليل فرص تشغيل التهديد للتعليمات البرمجية للبرامج الضارة على الجهاز.

تسرد علامة التبويب محاولات البريد الإلكتروني التي تم منعها جميع رسائل البريد الإلكتروني التي تم حظرها قبل التسليم أو إرسالها إلى مجلد البريد غير الهام بواسطة Microsoft Defender لـ Office 365.

لقطة شاشة لقسم محاولات البريد الإلكتروني التي تم منعها في تقرير تحليلات التهديدات.

التعرض والتخفيف من المخاطر: مراجعة قائمة عوامل التخفيف وحالة أجهزتك

في قسم & التخفيف من المخاطر ، راجع قائمة التوصيات القابلة للتنفيذ المحددة التي يمكن أن تساعدك على زيادة مرونتك التنظيمية ضد التهديد. تتضمن قائمة عوامل التخفيف المتعقبة ما يلي:

  • تحديثات الأمان - نشر تحديثات أمان البرامج المدعومة للثغرات الأمنية الموجودة على الأجهزة المإلحاقة
  • تكوينات الأمان المدعومة
    • الحماية المقدمة من السحابة
    • حماية التطبيقات غير المرغوب فيها (PUA)
    • الحماية في الوقت الحقيقي

تتضمن معلومات التخفيف من المخاطر في هذا القسم بيانات من إدارة الثغرات الأمنية في Microsoft Defender، والتي توفر أيضا معلومات تفصيلية للتنقل لأسفل من روابط مختلفة في التقرير.

قسم التخفيف من المخاطر في تقرير تحليلات التهديدات الذي يعرض تفاصيل التكوين الآمن

قسم التخفيف من المخاطر في تقرير تحليلات التهديدات الذي يعرض تفاصيل الثغرات الأمنية

قسم التخفيف من المخاطر & التعرض في تقرير تحليلات التهديدات

إعداد إعلامات البريد الإلكتروني لتحديثات التقارير

يمكنك إعداد إعلامات البريد الإلكتروني التي سترسل لك تحديثات حول تقارير تحليلات التهديدات. لإنشاء إعلامات البريد الإلكتروني، اتبع الخطوات الواردة في الحصول على إعلامات البريد الإلكتروني لتحديثات تحليلات المخاطر في Microsoft Defender XDR.

تفاصيل وقيود إضافية للتقرير

ملاحظة

كجزء من تجربة الأمان الموحدة، تتوفر تحليلات التهديدات الآن ليس فقط Microsoft Defender لنقطة النهاية، ولكن أيضا لأصحاب التراخيص Microsoft Defender لـ Office 365.

إذا كنت لا تستخدم مدخل أمان Microsoft 365 (Microsoft Defender XDR)، يمكنك أيضا الاطلاع على تفاصيل التقرير (بدون Microsoft Defender لبيانات Office) في مدخل مركز حماية Microsoft Defender ( Microsoft Defender لنقطة النهاية).

للوصول إلى تقارير تحليلات التهديدات، تحتاج إلى أدوار وأذونات معينة. راجع الأدوار المخصصة في التحكم في الوصول المستند إلى الدور للحصول على Microsoft Defender XDR للحصول على التفاصيل.

  • لعرض التنبيهات أو الحوادث أو بيانات الأصول المتأثرة، يجب أن يكون لديك أذونات Microsoft Defender لبيانات تنبيهات Office أو Microsoft Defender لنقطة النهاية أو كليهما.
  • لعرض محاولات البريد الإلكتروني التي تم منعها، يجب أن يكون لديك أذونات Microsoft Defender لبيانات تتبع Office.
  • لعرض عوامل التخفيف، تحتاج إلى الحصول على أذونات لبيانات Defender Vulnerability Management في Microsoft Defender لنقطة النهاية.

عند النظر إلى بيانات تحليلات التهديد، تذكر العوامل التالية:

  • تعكس المخططات فقط عوامل التخفيف التي يتم تعقبها. تحقق من نظرة عامة على التقرير بحثا عن عوامل تخفيف إضافية غير معروضة في المخططات.
  • لا تضمن عوامل التخفيف المرونة الكاملة. تعكس عوامل التخفيف المقدمة أفضل الإجراءات الممكنة اللازمة لتحسين المرونة.
  • يتم احتساب الأجهزة على أنها "غير متوفرة" إذا لم تكن قد أرسلت البيانات إلى الخدمة.
  • تستند الإحصائيات المتعلقة ببرنامج الحماية من الفيروسات إلى إعدادات برنامج الحماية من الفيروسات Microsoft Defender. يمكن أن تظهر الأجهزة ذات حلول مكافحة الفيروسات التابعة لجهة خارجية على أنها "مكشوفة".

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.