كيفية عمل التحقيق والاستجابة التلقائية في Microsoft Defender لـ Office 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

مع تشغيل تنبيهات الأمان، يعود الأمر إلى فريق عمليات الأمان الخاص بك للنظر في هذه التنبيهات واتخاذ خطوات لحماية مؤسستك. في بعض الأحيان، قد تشعر فرق عمليات الأمان بالإرهاق بسبب حجم التنبيهات التي يتم تشغيلها. يمكن أن تساعد قدرات التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365.

تمكن AIR فريق عمليات الأمان من العمل بشكل أكثر كفاءة وفعالية. تشمل قدرات AIR عمليات التحقيق التلقائية استجابة للتهديدات المعروفة الموجودة اليوم. تنتظر إجراءات المعالجة المناسبة الموافقة، ما يمكن فريق عمليات الأمان من الاستجابة للتهديدات المكتشفة.

توضح هذه المقالة كيفية عمل AIR من خلال عدة أمثلة. عندما تكون مستعدا لبدء استخدام AIR، راجع التحقيق في التهديدات والاستجابة لها تلقائيا.

مثال: تقوم رسالة تصيد احتيالي أبلغ عنها المستخدم بتشغيل دليل مبادئ التحقيق

لنفترض أن مستخدما في مؤسستك يتلقى رسالة بريد إلكتروني يعتقد أنها محاولة تصيد احتيالي. يستخدم المستخدم، المدرب على الإبلاغ عن مثل هذه الرسائل، وظائف Microsoft Report Message أو Report Phishing الإضافية لإرسالها إلى Microsoft للتحليل. يتم إرسال الإرسال أيضا إلى النظام الخاص بك وتكون مرئية في Explorer في طريقة عرض عمليات الإرسال (يشار إليها سابقا باسم طريقة العرض التي أبلغ عنها المستخدم ). بالإضافة إلى ذلك، تقوم الرسالة التي أبلغ عنها المستخدم الآن بتشغيل تنبيه إعلامي يستند إلى النظام، والذي يقوم تلقائيا بتشغيل دليل مبادئ التحقيق.

أثناء مرحلة التحقيق الجذر، يتم تقييم جوانب مختلفة من البريد الإلكتروني. وتشمل هذه الجوانب ما يلي:

  • تحديد نوع التهديد الذي قد يكون عليه؛
  • من أرسلها؛
  • من أين تم إرسال البريد الإلكتروني (إرسال البنية الأساسية)؛
  • ما إذا تم تسليم أو حظر مثيلات أخرى من البريد الإلكتروني؛
  • تقييم من محللينا؛
  • ما إذا كان البريد الإلكتروني مقترنا بأي حملات معروفة؛
  • والمزيد.

بعد اكتمال التحقيق الجذر، يوفر دليل المبادئ قائمة بالإجراءات الموصى بها لاتخاذها على البريد الإلكتروني الأصلي والكيانات المقترنة به (على سبيل المثال، الملفات وعناوين URL والمستلمين).

بعد ذلك، يتم تنفيذ العديد من خطوات التحقيق في التهديدات والتتبع:

  • يتم تحديد رسائل بريد إلكتروني مماثلة عبر عمليات البحث في نظام مجموعة البريد الإلكتروني.
  • تتم مشاركة الإشارة مع الأنظمة الأساسية الأخرى، مثل Microsoft Defender لنقطة النهاية.
  • يتم تحديد ما إذا كان أي مستخدمين قد نقروا عبر أي ارتباطات ضارة في رسائل البريد الإلكتروني المشبوهة.
  • يتم إجراء فحص عبر Exchange Online Protection (EOP) Microsoft Defender لـ Office 365 لمعرفة ما إذا كانت هناك أي رسائل أخرى مشابهة أبلغ عنها المستخدمون.
  • يتم إجراء فحص لمعرفة ما إذا كان قد تم اختراق مستخدم. يستفيد هذا الفحص من الإشارات عبر Office 365 Microsoft Defender for Cloud AppsMicrosoft Entra ID، ما يؤدي إلى ربط أي حالات شاذة لنشاط المستخدم ذات الصلة.

أثناء مرحلة التتبع، يتم تعيين المخاطر والتهديدات إلى خطوات الصيد المختلفة.

المعالجة هي المرحلة الأخيرة من دليل المبادئ. خلال هذه المرحلة، يتم اتخاذ خطوات المعالجة، استنادا إلى مرحلتي التحقيق والتتبع.

مثال: يقوم مسؤول الأمان بإجراء تحقيق من Threat Explorer

بالإضافة إلى التحقيقات التلقائية التي يتم تشغيلها بواسطة تنبيه، يمكن لفريق عمليات الأمان في مؤسستك تشغيل تحقيق تلقائي من طريقة عرض في Threat Explorer. ينشئ هذا التحقيق أيضا تنبيها، بحيث يمكن أن ترى Microsoft Defender XDR الحوادث وأدوات SIEM الخارجية أن هذا التحقيق قد تم تشغيله.

على سبيل المثال، افترض أنك تستخدم طريقة عرض البرامج الضارة في المستكشف. باستخدام علامات التبويب أسفل المخطط، يمكنك تحديد علامة التبويب البريد الإلكتروني . إذا حددت عنصرا واحدا أو أكثر في القائمة، يتم تنشيط الزر + Actions .

المستكشف الذي يحتوي على رسائل محددة

باستخدام قائمة Actions ، يمكنك تحديد Trigger investigation.

قائمة الإجراءات للرسائل المحددة

على غرار أدلة المبادئ التي تم تشغيلها بواسطة تنبيه، تتضمن التحقيقات التلقائية التي يتم تشغيلها من طريقة عرض في Explorer تحقيقا جذريا، وخطوات لتحديد التهديدات وربطها، والإجراءات الموصى بها للتخفيف من هذه التهديدات.

مثال: يدمج فريق عمليات الأمان AIR مع SIEM الخاص بهم باستخدام واجهة برمجة تطبيقات نشاط إدارة Office 365

تتضمن قدرات AIR في Microsoft Defender لـ Office 365 تقارير & التفاصيل التي يمكن لفرق عمليات الأمان استخدامها لمراقبة التهديدات ومعالجتها. ولكن يمكنك أيضا دمج قدرات AIR مع حلول أخرى. تتضمن الأمثلة نظام إدارة معلومات الأمان والأحداث (SIEM) أو نظام إدارة الحالة أو حل إعداد التقارير المخصص. يمكن إجراء هذه الأنواع من عمليات التكامل باستخدام Office 365 Management Activity API.

على سبيل المثال، في الآونة الأخيرة، قامت مؤسسة بإعداد طريقة لفريق عمليات الأمان لعرض تنبيهات التصيد الاحتيالي التي أبلغ عنها المستخدم والتي تمت معالجتها بالفعل بواسطة AIR. يدمج حلهم التنبيهات ذات الصلة مع خادم SIEM الخاص بالمؤسسة ونظام إدارة الحالات الخاص بهم. يقلل الحل إلى حد كبير من عدد الإيجابيات الزائفة بحيث يمكن لفريق عمليات الأمان تركيز وقتهم وجهدهم على التهديدات الحقيقية. لمعرفة المزيد حول هذا الحل المخصص، راجع مدونة مجتمع التكنولوجيا: تحسين فعالية SOC باستخدام Microsoft Defender لـ Office 365 وواجهة برمجة تطبيقات إدارة O365.

الخطوات التالية