التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

يتضمن Microsoft Defender لـ Office 365 قدرات التحقيق والاستجابة التلقائية القوية (AIR) التي يمكن أن توفر وقت فريق عمليات الأمان وجهده. مع تشغيل التنبيهات، يعود الأمر إلى فريق عمليات الأمان الخاص بك لمراجعة هذه التنبيهات وتحديد أولوياتها والاستجابة لها. يمكن أن يكون مواكبة حجم التنبيهات الواردة أمرا صعبا. يمكن أن يساعد أتمتة بعض هذه المهام.

تمكن AIR فريق عمليات الأمان من العمل بشكل أكثر كفاءة وفعالية. تشمل قدرات AIR عمليات التحقيق التلقائية استجابة للتهديدات المعروفة الموجودة اليوم. تنتظر إجراءات المعالجة المناسبة الموافقة، ما يمكن فريق عمليات الأمان من الاستجابة بفعالية للتهديدات المكتشفة. باستخدام AIR، يمكن لفريق عمليات الأمان التركيز على المهام ذات الأولوية الأعلى دون إغفال التنبيهات المهمة التي يتم تشغيلها.

توضح هذه المقالة ما يلي:

• التدفق العام ل AIR؛
• كيفية الحصول على الهواء؛ و
• الأذونات المطلوبة لتكوين قدرات AIR أو استخدامها.

تتضمن هذه المقالة أيضا الخطوات التالية والموارد لمعرفة المزيد.

التدفق العام ل AIR

يتم تشغيل تنبيه، ويبدأ دليل مبادئ الأمان تحقيقا تلقائيا، ما يؤدي إلى النتائج والإجراءات الموصى بها. فيما يلي التدفق العام ل AIR، خطوة بخطوة:

1. يتم بدء التحقيق التلقائي بإحدى الطرق التالية:

   • إما أن يتم تشغيل تنبيه بواسطة شيء مريب في البريد الإلكتروني (مثل رسالة أو مرفق أو عنوان URL أو حساب مستخدم مخترق). يتم إنشاء حادث، ويبدأ التحقيق التلقائي؛ او
   • يبدأ محلل الأمان تحقيقا تلقائيا أثناء استخدام Explorer.

2. أثناء تشغيل التحقيق التلقائي، فإنه يجمع بيانات حول البريد الإلكتروني المعني والكيانات المتعلقة بهذا البريد الإلكتروني (على سبيل المثال، الملفات وعناوين URL والمستلمين). يمكن أن يزيد نطاق التحقيق مع تشغيل تنبيهات جديدة وذات صلة.

3. أثناء التحقيق التلقائي وبعده، تتوفر التفاصيل والنتائج لعرضها. قد تتضمن النتائج الإجراءات الموصى بها التي يمكن اتخاذها للاستجابة لأي تهديدات موجودة تم العثور عليها ومعالجتها.

4. يراجع فريق عمليات الأمان نتائج التحقيق والتوصيات، ويوافق على إجراءات المعالجة أو يرفضها.

5. مع الموافقة على إجراءات المعالجة المعلقة (أو رفضها)، يكتمل التحقيق التلقائي.

ملاحظة

إذا لم يسفر التحقيق عن إجراءات موصى بها، فسيغلق التحقيق التلقائي وستظل تفاصيل ما تمت مراجعته كجزء من التحقيق الآلي متاحة على صفحة التحقيق.

في Microsoft Defender لـ Office 365، لا يتم اتخاذ أي إجراءات معالجة تلقائيا. يتم اتخاذ إجراءات المعالجة فقط عند الموافقة من قبل فريق الأمان في مؤسستك. توفر قدرات AIR وقت فريق عمليات الأمان من خلال تحديد إجراءات المعالجة وتوفير التفاصيل اللازمة لاتخاذ قرار مستنير.

أثناء كل تحقيق تلقائي وبعده، يمكن لفريق عمليات الأمان ما يلي:

• عرض تفاصيل حول تنبيه متعلق بالتحقيق
• عرض تفاصيل نتائج التحقيق
• مراجعة الإجراءات والموافقة عليها نتيجة للتحقيق

تلميح

للحصول على نظرة عامة أكثر تفصيلا، راجع كيفية عمل AIR.

كيفية الحصول على AIR

يتم تضمين قدرات AIR في Microsoft Defender لـ Office 365 الخطة 2، طالما أن تسجيل التدقيق قيد التشغيل (يكون قيد التشغيل بشكل افتراضي).

بالإضافة إلى ذلك، تأكد من مراجعة نهج التنبيه الخاصة بمؤسستك، خاصة النهج الافتراضية في فئة إدارة التهديدات.

ما نهج التنبيه التي تؤدي إلى إجراء تحقيقات تلقائية؟

يوفر Microsoft 365 العديد من نهج التنبيه المضمنة التي تساعد في تحديد إساءة استخدام أذونات مسؤول Exchange ونشاط البرامج الضارة والتهديدات الخارجية والداخلية المحتملة ومخاطر إدارة المعلومات. يمكن للعديد من نهج التنبيه الافتراضية تشغيل تحقيقات تلقائية. يصف الجدول التالي التنبيهات التي تؤدي إلى التحقيقات التلقائية، وشدتها في مدخل Microsoft Defender، وكيفية إنشائها:

تنبيه	شده	كيفية إنشاء التنبيه
تم الكشف عن نقرة URL يحتمل أن تكون ضارة	عاليه	يتم إنشاء هذا التنبيه عند حدوث أي مما يلي: مستخدم محمي بواسطة الارتباطات الآمنة في مؤسستك ينقر فوق ارتباط ضار يتم تحديد تغييرات الحكم لعناوين URL بواسطة Microsoft Defender لـ Office 365 يتجاوز المستخدمون صفحات تحذير الارتباطات الآمنة (استنادا إلى نهج الارتباطات الآمنة لمؤسستك. لمزيد من المعلومات حول الأحداث التي تؤدي إلى تشغيل هذا التنبيه، راجع إعداد نهج الروابط الآمنة.
يتم الإبلاغ عن رسالة بريد إلكتروني من قبل المستخدم على أنها برامج ضارة أو تصيد احتيالي	منخفضه	يتم إنشاء هذا التنبيه عندما يبلغ المستخدمون في مؤسستك عن الرسائل كرسالة بريد إلكتروني للتصيد الاحتيالي باستخدام وظائف Microsoft Report Message أو Report Phishing الإضافية.
تمت إزالة رسائل البريد الإلكتروني التي تحتوي على ملف ضار بعد التسليم	اعلاميه	يتم إنشاء هذا التنبيه عند تسليم أي رسائل تحتوي على ملف ضار إلى علب البريد في مؤسستك. إذا حدث هذا الحدث، تقوم Microsoft بإزالة الرسائل المصابة من علب بريد Exchange Online باستخدام الإزالة التلقائية (ZAP) لمدة ساعة صفرية.
تتم إزالة رسائل البريد الإلكتروني التي تحتوي على برامج ضارة بعد التسليم	اعلاميه	يتم إنشاء هذا التنبيه عند تسليم أي رسائل بريد إلكتروني تحتوي على برامج ضارة إلى علب البريد في مؤسستك. إذا حدث هذا الحدث، تقوم Microsoft بإزالة الرسائل المصابة من علب بريد Exchange Online باستخدام الإزالة التلقائية (ZAP) لمدة ساعة صفرية.
تمت إزالة رسائل البريد الإلكتروني التي تحتوي على عنوان URL ضار بعد التسليم	اعلاميه	يتم إنشاء هذا التنبيه عند تسليم أي رسائل تحتوي على عنوان URL ضار إلى علب البريد في مؤسستك. إذا حدث هذا الحدث، تقوم Microsoft بإزالة الرسائل المصابة من علب بريد Exchange Online باستخدام الإزالة التلقائية (ZAP) لمدة ساعة صفرية.
تتم إزالة رسائل البريد الإلكتروني التي تحتوي على عناوين URL للتصيد الاحتيالي بعد التسليم	اعلاميه	يتم إنشاء هذا التنبيه عند تسليم أي رسائل تحتوي على تصيد احتيالي إلى علب البريد في مؤسستك. إذا حدث هذا الحدث، تقوم Microsoft بإزالة الرسائل المصابة من علب بريد Exchange Online باستخدام ZAP.
يتم الكشف عن أنماط إرسال البريد الإلكتروني المشبوهة	المتوسطه	يتم إنشاء هذا التنبيه عندما يرسل شخص ما في مؤسستك بريدا إلكترونيا مشبوها ويتعرض لخطر تقييده من إرسال البريد الإلكتروني. التنبيه هو تحذير مبكر للسلوك قد يشير إلى تعرض الحساب للخطر، ولكنه ليس شديد بما يكفي لتقييد المستخدم. على الرغم من أنه نادر، فقد يكون التنبيه الذي تم إنشاؤه بواسطة هذا النهج حالة شاذة. ومع ذلك، من الجيد التحقق مما إذا كان حساب المستخدم معرضا للخطر.
المستخدم مقيد من إرسال البريد الإلكتروني	عاليه	يتم إنشاء هذا التنبيه عندما يتم تقييد شخص ما في مؤسستك من إرسال البريد الصادر. ينتج هذا التنبيه عادة عند اختراق حساب بريد إلكتروني. لمزيد من المعلومات حول المستخدمين المقيدين، راجع إزالة المستخدمين المحظورين من صفحة الكيانات المقيدة.
مسؤول تشغيل التحقيق اليدوي للبريد الإلكتروني	اعلاميه	يتم إنشاء هذا التنبيه عندما يقوم المسؤول بتشغيل التحقيق اليدوي لرسائل البريد الإلكتروني من Threat Explorer. يعلم هذا التنبيه مؤسستك بأنه تم بدء التحقيق.
مسؤول تشغيل التحقيق في اختراق المستخدم	المتوسطه	يتم إنشاء هذا التنبيه عندما يقوم المسؤول بتشغيل التحقيق اليدوي في اختراق المستخدم لمرسل بريد إلكتروني أو مستلم من مستكشف التهديدات. يعلم هذا التنبيه مؤسستك بأنه تم بدء التحقيق في اختراق المستخدم.

تلميح

لمعرفة المزيد حول نهج التنبيه أو تحرير الإعدادات الافتراضية، راجع نهج التنبيه في مدخل Microsoft Defender.

الأذونات المطلوبة لاستخدام قدرات AIR

تحتاج إلى تعيين أذونات لاستخدام AIR. لديك الخيارات التالية:

• Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (يؤثر على مدخل Defender فقط، وليس PowerShell):

  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها: إجراءات المعالجة المتقدمة لمشغل الأمان/البريد الإلكتروني (إدارة).

• البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender:

  • إعداد ميزات AIR: العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان .
  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها:
    • العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان أو عامل تشغيل الأمان أو قارئ الأمان أو القارئ العمومي . و
    • العضوية في مجموعة أدوار مع تعيين دور البحث وإزالة. بشكل افتراضي، يتم تعيين هذا الدور لمجموعات أدوار محقق البياناتوإدارة المؤسسة . أو يمكنك إنشاء مجموعة دور مخصصة لتعيين دور البحث وإزالة.

• أذونات Microsoft Entra:

  • إعداد ميزات AIR العضوية في أدوار المسؤول العام أو مسؤول الأمان .
  • بدء تحقيق تلقائي أو الموافقة على الإجراءات الموصى بها أو رفضها:
    • العضوية في أدوار المسؤول العام أو مسؤول الأمان أو عامل تشغيل الأمان أو قارئ الأمان أو القارئ العمومي . و
    • العضوية في مجموعة دور التعاون & البريد الإلكتروني مع تعيين دور البحث وإزالة. بشكل افتراضي، يتم تعيين هذا الدور لمجموعات أدوار محقق البياناتوإدارة المؤسسة . أو يمكنك إنشاء مجموعة دور تعاون مخصصة & البريد الإلكتروني لتعيين دور البحث والإزالة.

  تمنح الأذونات Microsoft Entra المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

التراخيص المطلوبة

يجب تعيين تراخيص الخطة 2 Microsoft Defender لـ Office 365 إلى:

• مسؤولو الأمان (بما في ذلك المسؤولون العموميون)
• فريق عمليات الأمان في مؤسستك (بما في ذلك قراء الأمان وأولئك الذين بدور البحث والإزالة)
• المستخدمون النهائيون

الخطوات التالية

• بدء استخدام AIR
• الاطلاع على تفاصيل ونتائج التحقيق التلقائي
• مراجعة الإجراءات المعلقة والموافقة عليها
• عرض إجراءات المعالجة المعلقة أو المكتملة