دليل عمليات الأمان Microsoft Defender لـ Office 365

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

تقدم هذه المقالة نظرة عامة على متطلبات ومهام تشغيل Microsoft Defender لـ Office 365 بنجاح في مؤسستك. تساعد هذه المهام في ضمان أن مركز عمليات الأمان (SOC) يوفر نهجا عالي الجودة وموثوقا لحماية التهديدات الأمنية المتعلقة بالبريد الإلكتروني والتعاون واكتشافها والاستجابة لها.

يصف بقية هذا الدليل الأنشطة المطلوبة لموظفي SecOps. يتم تجميع الأنشطة في مهام يومية وأسبوعية وشهرية ومخصصة.

توفر المقالة المصاحبة لهذا الدليل نظرة عامة لإدارة الحوادث والتنبيهات من Defender لـ Office 365 على صفحة الحوادث في مدخل Microsoft Defender.

يحتوي دليل عمليات الأمان Microsoft Defender XDR على معلومات إضافية يمكنك استخدامها للتخطيط والتطوير.

للحصول على فيديو حول هذه المعلومات، راجع https://youtu.be/eQanpq9N1Ps.

الأنشطة اليومية

مراقبة قائمة انتظار Microsoft Defender XDR Incidents

تتيح لك صفحة الحوادث في مدخل Microsoft Defender في https://security.microsoft.com/incidents-queue (المعروفة أيضا باسم قائمة انتظار الحوادث) إدارة الأحداث ومراقبتها من المصادر التالية في Defender لـ Office 365:

• التنبيهات.
• التحقيق والاستجابة التلقائية (AIR).

لمزيد من المعلومات حول قائمة انتظار الحوادث، راجع تحديد أولويات الحوادث في Microsoft Defender XDR.

يجب أن تستخدم خطة الفرز لمراقبة قائمة انتظار الحوادث ترتيب الأسبقية التالي للحوادث:

1. تم الكشف عن نقرة URL يحتمل أن تكون ضارة.
2. المستخدم مقيد من إرسال البريد الإلكتروني.
3. تم الكشف عن أنماط إرسال البريد الإلكتروني المشبوهة.
4. تم الإبلاغ عن البريد الإلكتروني من قبل المستخدم على أنه برنامج ضار أو تصيد احتيالي، وأبلغ العديد من المستخدمين عن البريد الإلكتروني على أنه برنامج ضار أو تصيد احتيالي.
5. تمت إزالة رسائل البريد الإلكتروني التي تحتوي على ملف ضار بعد التسليم، ورسائل البريد الإلكتروني التي تحتوي على عنوان URL ضار بعد التسليم، ورسائل البريد الإلكتروني من حملة تمت إزالتها بعد التسليم.
6. تم تسليم التصيد الاحتيالي بسبب تجاوز ETR، وتم تسليم التصيد الاحتيالي بسبب تعطيل مجلد البريد غير الهام للمستخدم، وتسليم التصيد الاحتيالي بسبب نهج السماح ب IP
7. البرامج الضارة غير معطلة بسبب تعطيل ZAPوعدم ازعاج التصيد الاحتيالي بسبب تعطيل ZAP.

يتم وصف إدارة قائمة انتظار الحوادث والشخصيات المسؤولة في الجدول التالي:

Activity	الايقاع	الوصف	شخصية
فرز الحوادث في قائمة انتظار الحوادث في https://security.microsoft.com/incidents-queue.	اليوميه	تحقق من فرز جميع الحوادث المتوسطةوالعالية الخطورة من Defender لـ Office 365.	فريق عمليات الأمان
التحقيق في الحوادث واتخاذ إجراءات الاستجابة لها.	اليوميه	تحقق من جميع الحوادث واتخذ إجراءات الاستجابة الموصى بها أو اليدوية بنشاط.	فريق عمليات الأمان
حل الحوادث.	اليوميه	إذا تمت معالجة الحادث، فقم بحل الحادث. يؤدي حل الحادث إلى حل جميع التنبيهات النشطة المرتبطة والمرتبطة.	فريق عمليات الأمان
تصنيف الحوادث.	اليوميه	تصنيف الحوادث على أنها صحيحة أو خاطئة. بالنسبة للتنبيهات الحقيقية، حدد نوع التهديد. يساعد هذا التصنيف فريق الأمان على رؤية أنماط التهديدات والدفاع عن مؤسستك منها.	فريق عمليات الأمان

إدارة الاكتشافات السلبية الإيجابية الخاطئة والزائفة

في Defender لـ Office 365، يمكنك إدارة الإيجابيات الخاطئة (البريد الجيد الذي تم وضع علامة عليه على أنه سيئ) والسلبيات الخاطئة (البريد غير صالح مسموح به) في المواقع التالية:

• صفحة عمليات الإرسال (عمليات إرسال المسؤول).
• قائمة السماح/الحظر للمستأجر
• مستكشف المخاطر

لمزيد من المعلومات، راجع قسم إدارة الاكتشافات السلبية الإيجابية الخاطئة والزائفة لاحقا في هذه المقالة.

يتم وصف الإدارة الإيجابية الخاطئة والسلبية والشخصيات المسؤولة في الجدول التالي:

Activity	الايقاع	الوصف	شخصية
أرسل الإيجابيات الخاطئة والسلبيات الكاذبة إلى Microsoft على https://security.microsoft.com/reportsubmission.	اليوميه	قم بتوفير إشارات إلى Microsoft عن طريق الإبلاغ عن اكتشافات غير صحيحة للبريد الإلكتروني وعنوان URL والملفات.	فريق عمليات الأمان
تحليل تفاصيل إرسال المسؤول.	اليوميه	فهم العوامل التالية للإرسالات التي تجريها إلى Microsoft: ما الذي تسبب في إيجابية خاطئة أو سلبية خاطئة. حالة تكوين Defender لـ Office 365 في وقت الإرسال. ما إذا كنت بحاجة إلى إجراء تغييرات على تكوين Defender لـ Office 365.	فريق عمليات الأمان إدارة الأمان
أضف إدخالات الكتلة في قائمة السماح/الحظر للمستأجر في https://security.microsoft.com/tenantAllowBlockList.	اليوميه	استخدم قائمة السماح/الحظر للمستأجر لإضافة إدخالات الحظر لاكتشافات عنوان URL أو الملف أو المرسل السالبة الخاطئة حسب الحاجة.	فريق عمليات الأمان
تحرير إيجابية خاطئة من العزل.	اليوميه	بعد أن يؤكد المستلم أنه تم عزل الرسالة بشكل غير صحيح، يمكنك إصدار طلبات الإصدار للمستخدمين أو الموافقة عليها. للتحكم في ما يمكن للمستخدمين القيام به للرسائل المعزولة الخاصة بهم (بما في ذلك الإصدار أو إصدار الطلب)، راجع نهج العزل.	فريق عمليات الأمان فريق المراسلة

مراجعة حملات التصيد الاحتيالي والبرامج الضارة التي أدت إلى تسليم البريد

Activity	الايقاع	الوصف	شخصية
مراجعة حملات البريد الإلكتروني.	اليوميه	راجع حملات البريد الإلكتروني التي استهدفت مؤسستك في https://security.microsoft.com/campaigns. التركيز على الحملات التي أدت إلى تسليم الرسائل إلى المستلمين. إزالة الرسائل من الحملات الموجودة في علب بريد المستخدمين. هذا الإجراء مطلوب فقط عندما تحتوي الحملة على بريد إلكتروني لم تتم معالجته بالفعل بواسطة إجراءات من الحوادث أو الإزالة التلقائية لمدة ساعة صفرية (ZAP) أو المعالجة اليدوية.	فريق عمليات الأمان

الأنشطة الأسبوعية

مراجعة اتجاهات الكشف عن البريد الإلكتروني في تقارير Defender لـ Office 365

في Defender لـ Office 365، يمكنك استخدام التقارير التالية لمراجعة اتجاهات الكشف عن البريد الإلكتروني في مؤسستك:

• تقرير حالة تدفق البريد
• تقرير حالة الحماية من التهديدات

Activity	الايقاع	الوصف	شخصية
راجع تقارير الكشف عن البريد الإلكتروني على: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	التنزيلات	راجع اتجاهات الكشف عن البريد الإلكتروني للبرامج الضارة والتصيد الاحتيالي والبريد العشوائي مقارنة بالبريد الإلكتروني الجيد. تسمح لك المراقبة بمرور الوقت برؤية أنماط التهديد وتحديد ما إذا كنت بحاجة إلى ضبط نهج Defender لـ Office 365.	إدارة الأمان فريق عمليات الأمان

تعقب التهديدات الناشئة والاستجابة لها باستخدام تحليلات التهديدات

استخدم تحليلات المخاطر لمراجعة التهديدات النشطة والمتجهة.

Activity	الايقاع	الوصف	شخصية
راجع التهديدات في تحليلات التهديدات في https://security.microsoft.com/threatanalytics3.	التنزيلات	توفر تحليلات التهديدات تحليلا مفصلا، بما في ذلك العناصر التالية: IOCs. استعلامات التتبع حول الجهات الفاعلة النشطة في التهديد وحملاتها. تقنيات الهجوم الشائعة والجديدة. الثغرات الأمنية الحرجة. أسطح الهجوم الشائعة. البرامج الضارة السائدة.	فريق عمليات الأمان فريق تتبع التهديدات

مراجعة أهم المستخدمين المستهدفين للبرامج الضارة والتصيد الاحتيالي

استخدم علامة التبويب أهم المستخدمين المستهدفين (عرض) في منطقة التفاصيل في طرق عرض كل البريد الإلكتروني والبرامج الضارةوالتصيد الاحتيالي في مستكشف التهديدات لاكتشاف المستخدمين الذين هم أهم أهداف البرامج الضارة والبريد الإلكتروني للتصيد الاحتيالي أو تأكيدهم.

Activity	الايقاع	الوصف	شخصية
راجع علامة التبويب أهم المستخدمين المستهدفين في مستكشف التهديدات في https://security.microsoft.com/threatexplorer.	التنزيلات	استخدم المعلومات لتحديد ما إذا كنت بحاجة إلى ضبط النهج أو الحماية لهؤلاء المستخدمين. أضف المستخدمين المتأثرين إلى حسابات الأولوية للحصول على المزايا التالية: رؤية إضافية عندما تؤثر الحوادث عليها. الأساليب الإرشادية المخصصة لأنماط تدفق البريد التنفيذي (حماية الحساب ذات الأولوية). تقرير مشكلات البريد الإلكتروني للحسابات ذات الأولوية	إدارة الأمان فريق عمليات الأمان

مراجعة أهم البرامج الضارة وحملات التصيد الاحتيالي التي تستهدف مؤسستك

تكشف طرق عرض الحملة عن البرامج الضارة وهجمات التصيد الاحتيالي ضد مؤسستك. لمزيد من المعلومات، راجع طرق عرض الحملة في Microsoft Defender لـ Office 365.

Activity	الايقاع	الوصف	شخصية
استخدم طرق عرض الحملة في https://security.microsoft.com/campaigns لمراجعة البرامج الضارة وهجمات التصيد الاحتيالي التي تؤثر عليك.	التنزيلات	تعرف على الهجمات والتقنيات وما Defender لـ Office 365 تمكنت من تحديده ومنعه. استخدم تنزيل تقرير التهديد في طرق عرض الحملة للحصول على معلومات مفصلة حول الحملة.	فريق عمليات الأمان

الأنشطة المخصصة

التحقيق اليدوي وإزالة البريد الإلكتروني

Activity	الايقاع	الوصف	شخصية
تحقق من البريد الإلكتروني غير الصالح وأزله في Threat Explorer https://security.microsoft.com/threatexplorer بناء على طلبات المستخدم.	مخصص	استخدم إجراء التحقيق المشغل في مستكشف التهديدات لبدء دليل مبادئ التحقيق والاستجابة التلقائي على أي بريد إلكتروني من آخر 30 يوما. يؤدي تشغيل التحقيق يدويا إلى توفير الوقت والجهد من خلال تضمين ما يلي مركزيا: تحقيق جذر. خطوات تحديد التهديدات وربطها. الإجراءات الموصى بها للتخفيف من تلك التهديدات. لمزيد من المعلومات، راجع مثال: رسالة تصيد احتيالي أبلغ عنها المستخدم تطلق دليل مبادئ التحقيق أو يمكنك استخدام مستكشف التهديدات للتحقيق يدويا في البريد الإلكتروني مع إمكانات بحث وتصفية قوية واتخاذ إجراء استجابة يدوي مباشرة من نفس المكان. الإجراءات اليدوية المتوفرة: الانتقال إلى علبة الوارد الانتقال إلى غير هام الانتقال إلى العناصر المحذوفة حذف مبدئي حذف ثابت.	فريق عمليات الأمان

البحث بشكل استباقي عن التهديدات

Activity	الايقاع	الوصف	شخصية
التتبع المنتظم والاستباقي للتهديدات على: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	مخصص	البحث للتهديدات باستخدام مستكشف التهديداتوالتتبع المتقدم.	فريق عمليات الأمان فريق تتبع التهديدات
مشاركة استعلامات التتبع.	مخصص	شارك بنشاط الاستعلامات المفيدة والمستخدمة بشكل متكرر داخل فريق الأمان لتعقب التهديدات ومعالجتها يدويا بشكل أسرع. استخدم متتبعات التهديداتوالاستعلامات المشتركة في التتبع المتقدم.	فريق عمليات الأمان فريق تتبع التهديدات
الإنشاء قواعد الكشف المخصصة في https://security.microsoft.com/custom_detection.	مخصص	الإنشاء قواعد الكشف المخصصة لمراقبة الأحداث والأنماط والتهديدات بشكل استباقي استنادا إلى بيانات Defender لـ Office 365 في التتبع المتقدم. تحتوي قواعد الكشف على استعلامات تتبع متقدمة تنشئ تنبيهات استنادا إلى معايير المطابقة.	فريق عمليات الأمان فريق تتبع التهديدات

مراجعة تكوينات نهج Defender لـ Office 365

Activity	الايقاع	الوصف	شخصية
راجع تكوين نهج Defender لـ Office 365 في https://security.microsoft.com/configurationAnalyzer.	مخصص الشهريه	استخدم محلل التكوين لمقارنة إعدادات النهج الحالية بالقيم القياسية أو الصارمة الموصى بها Defender لـ Office 365. يحدد محلل التكوين التغييرات العرضية أو الضارة التي يمكن أن تقلل من وضع الأمان لمؤسستك. أو يمكنك استخدام أداة ORCA المستندة إلى PowerShell.	إدارة الأمان فريق المراسلة
مراجعة تجاوزات الكشف في Defender لـ Office 365 علىhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP	مخصص الشهريه	استخدم عرض البيانات حسب تصنيف مخطط تجاوز > النظام حسب طريقة عرض السبب في تقرير حالة الحماية من التهديدات لمراجعة البريد الإلكتروني الذي تم اكتشافه كتصيد احتيالي ولكن تم تسليمه بسبب إعدادات النهج أو تجاوز المستخدم. تحقق بنشاط من التجاوزات أو إزالتها أو ضبطها لتجنب تسليم البريد الإلكتروني الذي تم تحديده على أنه ضار.	إدارة الأمان فريق المراسلة

مراجعة اكتشافات الانتحال والانتحال

Activity	الايقاع	الوصف	شخصية
راجع رؤى التحليل الذكي للتزييف ونتائج تحليلات الكشف عن انتحال الهوية في https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	مخصص الشهريه	استخدم رؤى التحليل الذكي للتزييفونظرة انتحال الهوية لضبط التصفية لاكتشافات الانتحال والانتحال.	إدارة الأمان فريق المراسلة

مراجعة عضوية حساب الأولوية

Activity	الايقاع	الوصف	شخصية
راجع من تم تعريفه كحساب ذي أولوية في https://security.microsoft.com/securitysettings/userTags.	مخصص	حافظ على عضوية الحسابات ذات الأولوية محدثة مع التغييرات التنظيمية للحصول على المزايا التالية لهؤلاء المستخدمين: رؤية أفضل في التقارير. التصفية في الحوادث والتنبيهات. الأساليب الإرشادية المخصصة لأنماط تدفق البريد التنفيذي (حماية الحساب ذات الأولوية). استخدم علامات المستخدم المخصصة للمستخدمين الآخرين للحصول على: رؤية أفضل في التقارير. التصفية في الحوادث والتنبيهات.	فريق عمليات الأمان

التذييل

تعرف على أدوات وعمليات Microsoft Defender لـ Office 365

يحتاج أعضاء فريق العمليات الأمنية والاستجابة إلى دمج Defender لـ Office 365 الأدوات والميزات في التحقيقات الحالية وعمليات الاستجابة. يمكن أن يستغرق التعرف على الأدوات والقدرات الجديدة وقتا ولكنه جزء مهم من عملية المتابعة. أبسط طريقة لأعضاء فريق أمان SecOps والبريد الإلكتروني للتعرف على Defender لـ Office 365 هي استخدام محتوى التدريب المتوفر كجزء من محتوى تدريب Ninja في https://aka.ms/mdoninja.

يتم تنظيم المحتوى لمستويات المعرفة المختلفة (الأساسيات والمتوسطة والمتقدمة) مع وحدات نمطية متعددة لكل مستوى.

تتوفر أيضا مقاطع فيديو قصيرة لمهام محددة في قناة Microsoft Defender لـ Office 365 YouTube.

أذونات الأنشطة والمهام Defender لـ Office 365

تستند أذونات إدارة Defender لـ Office 365 في مدخل Microsoft Defender وPowerShell إلى نموذج أذونات التحكم في الوصول المستند إلى الدور (RBAC). التحكم في الوصول استنادا إلى الدور هو نفس نموذج الأذونات الذي تستخدمه معظم خدمات Microsoft 365. لمزيد من المعلومات، راجع الأذونات في مدخل Microsoft Defender.

ملاحظة

إدارة الهويات المتميزة (PIM) في Microsoft Entra ID هو أيضا طريقة لتعيين الأذونات المطلوبة لموظفي SecOps. لمزيد من المعلومات، راجع إدارة الهويات المتميزة (PIM) ولماذا تستخدمه مع Microsoft Defender لـ Office 365.

تتوفر الأذونات التالية (الأدوار ومجموعات الأدوار) في Defender لـ Office 365 ويمكن استخدامها لمنح حق الوصول إلى أعضاء فريق الأمان:

• Microsoft Entra ID: الأدوار المركزية التي تعين أذونات لجميع خدمات Microsoft 365، بما في ذلك Defender لـ Office 365. يمكنك عرض أدوار Microsoft Entra والمستخدمين المعينين في مدخل Microsoft Defender، ولكن لا يمكنك إدارتهم مباشرة هناك. بدلا من ذلك، يمكنك إدارة أدوار Microsoft Entra والأعضاء في https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. الأدوار الأكثر تكرارا التي تستخدمها فرق الأمان هي:

  • مسؤول الأمان
  • قارئ الأمان

• تعاون Exchange Online والبريد الإلكتروني &: الأدوار ومجموعات الأدوار التي تمنح إذنا خاصا Microsoft Defender لـ Office 365. الأدوار التالية غير متوفرة في Microsoft Entra ID، ولكن يمكن أن تكون مهمة لفرق الأمان:

  • دور المعاينة (تعاون & البريد الإلكتروني): قم بتعيين هذا الدور لأعضاء الفريق الذين يحتاجون إلى معاينة رسائل البريد الإلكتروني أو تنزيلها كجزء من أنشطة التحقيق. يسمح للمستخدمين بمعاينة رسائل البريد الإلكتروني وتنزيلها من علب بريد السحابة باستخدام مستكشف التهديدات (المستكشف) أو عمليات الكشف في الوقت الحقيقيوصفحة كيان البريد الإلكتروني.

    بشكل افتراضي، يتم تعيين دور المعاينة فقط لمجموعات الأدوار التالية:

    • محقق البيانات
    • مدير eDiscovery

    يمكنك إضافة مستخدمين إلى مجموعات الأدوار هذه، أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور المعاينة ، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.

  • دور البحث والمسح (تعاون & البريد الإلكتروني): الموافقة على حذف الرسائل الضارة كما هو موصى به من قبل AIR أو اتخاذ إجراء يدوي على الرسائل في تجارب التتبع مثل مستكشف التهديدات.

    بشكل افتراضي، يتم تعيين دور البحث وإزالة فقط لمجموعات الأدوار التالية:

    • محقق البيانات
    • إدارة المؤسسة

    يمكنك إضافة مستخدمين إلى مجموعات الأدوار هذه، أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور البحث وإزالة، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.

  • Tenant AllowBlockList Manager (Exchange Online): إدارة إدخالات السماح والحظر في قائمة السماح/الحظر للمستأجر. يعد حظر عناوين URL أو الملفات (باستخدام تجزئة الملف) أو المرسلين إجراء استجابة مفيدا يجب اتخاذه عند التحقق من البريد الإلكتروني الضار الذي تم تسليمه.

    بشكل افتراضي، يتم تعيين هذا الدور فقط إلى مجموعة دور عامل تشغيل الأمان في Exchange Online، وليس في Microsoft Entra ID. لا تسمح لك العضوية في دور عامل تشغيل الأمان في Microsoft Entra IDdoesn بإدارة الإدخالات قائمة السماح/الحظر للمستأجر.

    يمكن لأعضاء أدوار مسؤول الأمان أو إدارة المؤسسة في Microsoft Entra ID أو مجموعات الأدوار المقابلة في Exchange Online إدارة الإدخالات في قائمة السماح/الحظر للمستأجر.

تكامل SIEM/SOAR

يعرض Defender لـ Office 365 معظم بياناته من خلال مجموعة من واجهات برمجة التطبيقات البرمجية. تساعدك واجهات برمجة التطبيقات هذه على أتمتة مهام سير العمل والاستفادة الكاملة من قدرات Defender لـ Office 365. تتوفر البيانات من خلال واجهات برمجة التطبيقات Microsoft Defender XDR ويمكن استخدامها لدمج Defender لـ Office 365 في حلول SIEM/SOAR الحالية.

• واجهة برمجة تطبيقات الحوادث: تعد التنبيهات Defender لـ Office 365 والتحقيقات التلقائية أجزاء نشطة من الحوادث في Microsoft Defender XDR. يمكن لفرق الأمان التركيز على ما هو مهم من خلال تجميع نطاق الهجوم الكامل وجميع الأصول المتأثرة معا.

• واجهة برمجة تطبيقات تدفق الأحداث: يسمح بشحن الأحداث والتنبيهات في الوقت الحقيقي في دفق بيانات واحد عند حدوثها. تتضمن أنواع الأحداث المدعومة في Defender لـ Office 365 ما يلي:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  تحتوي الأحداث على بيانات من معالجة جميع رسائل البريد الإلكتروني (بما في ذلك الرسائل داخل المؤسسة) في آخر 30 يوما.

• واجهة برمجة تطبيقات التتبع المتقدمة: تسمح بتتبع التهديدات عبر المنتجات.

• واجهة برمجة تطبيقات تقييم التهديدات: يمكن استخدامها للإبلاغ عن البريد العشوائي أو عناوين URL للتصيد الاحتيالي أو مرفقات البرامج الضارة مباشرة إلى Microsoft.

لتوصيل Defender لـ Office 365 الحوادث والبيانات الأولية باستخدام Microsoft Sentinel، يمكنك استخدام موصل Microsoft Defender XDR (M365D)

يمكنك استخدام مثال "مرحبًا بالعالم" التالي لاختبار وصول واجهة برمجة التطبيقات إلى واجهات برمجة التطبيقات Microsoft Defender: مرحبًا بالعالم لواجهة برمجة تطبيقات REST Microsoft Defender XDR.

لمزيد من المعلومات حول تكامل أداة SIEM، راجع دمج أدوات SIEM مع Microsoft Defender XDR.

معالجة الإيجابيات الخاطئة والسلبيات الكاذبة في Defender لـ Office 365

تعد الرسائل التي أبلغ عنها المستخدم وإرسالات المسؤول لرسائل البريد الإلكتروني إشارات تعزيز إيجابية هامة لأنظمة الكشف عن التعلم الآلي. تساعدنا عمليات الإرسال على مراجعة الهجمات وفرزها وتعلمها بسرعة والتخفيف من حدتها. يعد الإبلاغ عن الإيجابيات الخاطئة والسلبيات الخاطئة بنشاط نشاطا مهما يوفر ملاحظات Defender لـ Office 365 عند ارتكاب الأخطاء أثناء الكشف.

لدى المؤسسات خيارات متعددة لتكوين الرسائل التي أبلغ عنها المستخدم. اعتمادا على التكوين، قد يكون لفرق الأمان مشاركة أكثر نشاطا عندما يرسل المستخدمون إيجابيات خاطئة أو سلبيات خاطئة إلى Microsoft:

• يتم إرسال الرسائل التي أبلغ عنها المستخدم إلى Microsoft للتحليل عند تكوين الإعدادات التي أبلغ عنها المستخدم بأي من الإعدادات التالية:

  • أرسل الرسائل التي تم الإبلاغ عنها إلى: Microsoft فقط.
  • أرسل الرسائل التي تم الإبلاغ عنها إلى: Microsoft وعلبة بريد التقارير الخاصة بي.

  يجب على أعضاء فرق الأمان إجراء عمليات إرسال المسؤول الإضافية عندما يكتشف فريق العمليات إيجابيات خاطئة أو سلبيات خاطئة لم يبلغ عنها المستخدمون.

• عندما يتم تكوين الرسائل التي أبلغ عنها المستخدم لإرسال رسائل إلى علبة بريد المؤسسة فقط، يجب على فرق الأمان إرسال إيجابيات خاطئة وسلبيات خاطئة أبلغ عنها المستخدم إلى Microsoft عبر عمليات إرسال المسؤول.

عندما يبلغ المستخدم عن رسالة على أنها تصيد احتيالي، Defender لـ Office 365 بإنشاء تنبيه، ويقوم التنبيه بتشغيل دليل مبادئ AIR. يربط منطق الحادث هذه المعلومات بالتنبيهات والأحداث الأخرى حيثما أمكن ذلك. يساعد دمج المعلومات هذا فرق الأمان على فرز الرسائل التي أبلغ عنها المستخدم والتحقيق فيها والاستجابة لها.

يتبع مسار الإرسال في الخدمة عملية متكاملة بإحكام عندما يبلغ المستخدم عن الرسائل ويرسل المسؤولون الرسائل. تتضمن هذه العملية ما يلي:

• الحد من الضوضاء.
• الفرز التلقائي.
• الدرجات من قبل محللي الأمان والحلول المستندة إلى التعلم الآلي التي يتشاركها الإنسان.

لمزيد من المعلومات، راجع الإبلاغ عن رسالة بريد إلكتروني في Defender لـ Office 365 - Microsoft Tech Community.

يمكن لأعضاء فريق الأمان إجراء عمليات الإرسال من مواقع متعددة في مدخل Microsoft Defender على https://security.microsoft.com:

• مسؤول الإرسال: استخدم صفحة عمليات الإرسال لإرسال رسائل البريد العشوائي والتصيد الاحتيالي وعناوين URL والملفات المشتبه بها إلى Microsoft.

• مباشرة من مستكشف التهديدات باستخدام أحد إجراءات الرسالة التالية:

  • تنظيف التقرير
  • الإبلاغ عن التصيد الاحتيالي
  • الإبلاغ عن البرامج الضارة
  • الإبلاغ عن البريد العشوائي

  يمكنك تحديد ما يصل إلى 10 رسائل لإجراء إرسال مجمع. مسؤول عمليات الإرسال التي تم إنشاؤها باستخدام هذه الأساليب مرئية في علامات التبويب المعنية في صفحة عمليات الإرسال.

للتخفيف على المدى القصير من السلبيات الخاطئة، يمكن لفرق الأمان إدارة إدخالات الحظر مباشرة للملفات وعناوين URL والمجالات أو عناوين البريد الإلكتروني في قائمة السماح/الحظر للمستأجر.

للتخفيف على المدى القصير من الإيجابيات الخاطئة، لا يمكن لفرق الأمان إدارة إدخالات السماح للمجالات وعناوين البريد الإلكتروني مباشرة في قائمة السماح/الحظر للمستأجر. بدلا من ذلك، يحتاجون إلى استخدام عمليات إرسال المسؤول للإبلاغ عن رسالة البريد الإلكتروني على أنها إيجابية خاطئة. للحصول على الإرشادات، راجع الإبلاغ عن بريد إلكتروني جيد إلى Microsoft.

يحتوي العزل في Defender لـ Office 365 على رسائل وملفات يحتمل أن تكون خطرة أو غير مرغوب فيها. يمكن لفرق الأمان عرض جميع أنواع الرسائل المعزولة وإصدارها وحذفها لجميع المستخدمين. تمكن هذه الإمكانية فرق الأمان من الاستجابة بفعالية عند عزل رسالة أو ملف إيجابي خاطئ.

دمج أدوات إعداد التقارير التابعة لجهة خارجية مع Defender لـ Office 365 الرسائل التي أبلغ عنها المستخدم

إذا كانت مؤسستك تستخدم أداة إعداد تقارير تابعة لجهة خارجية تسمح للمستخدمين بالإبلاغ عن البريد الإلكتروني المشبوه داخليا، يمكنك دمج الأداة مع قدرات الرسائل التي أبلغ عنها المستخدم Defender لـ Office 365. يوفر هذا التكامل المزايا التالية لفرق الأمان:

• التكامل مع قدرات AIR Defender لـ Office 365.
• فرز مبسط.
• تقليل وقت التحقيق والاستجابة.

قم بتعيين علبة بريد التقارير حيث يتم إرسال الرسائل التي أبلغ عنها المستخدم في صفحة الإعدادات التي أبلغ عنها المستخدم في مدخل Microsoft Defender في https://security.microsoft.com/securitysettings/userSubmission. لمزيد من المعلومات، راجع إعدادات المستخدم المبلغ عنها.

ملاحظة

• يجب أن تكون علبة بريد التقارير علبة بريد Exchange Online.
• يجب أن تتضمن أداة إعداد التقارير التابعة لجهة خارجية الرسالة الأصلية التي تم الإبلاغ عنها كرسالة غير مضغوطة . EML أو . مرفق MSG في الرسالة التي يتم إرسالها إلى علبة بريد التقارير (لا تقم فقط بإعادة توجيه الرسالة الأصلية إلى علبة بريد التقارير). لمزيد من المعلومات، راجع تنسيق إرسال الرسائل لأدوات إعداد التقارير التابعة لجهة خارجية.
• تتطلب علبة بريد التقارير متطلبات أساسية محددة للسماح بتسليم الرسائل التي يحتمل أن تكون سيئة دون تصفيتها أو تغييرها. لمزيد من المعلومات، راجع متطلبات التكوين لعلمة بريد التقارير.

عند وصول رسالة أبلغ عنها مستخدم إلى علبة بريد التقارير، Defender لـ Office 365 تلقائيا بإنشاء التنبيه المسمى البريد الإلكتروني الذي أبلغ عنه المستخدم على أنه برنامج ضار أو تصيد احتيالي. يقوم هذا التنبيه بتشغيل دليل مبادئ AIR. يقوم دليل المبادئ بتنفيذ سلسلة من خطوات التحقيق التلقائي:

• جمع بيانات حول البريد الإلكتروني المحدد.
• جمع بيانات حول التهديدات والكيانات المتعلقة بهذا البريد الإلكتروني (على سبيل المثال، الملفات وعناوين URL والمستلمين).
• قدم الإجراءات الموصى بها لفريق SecOps لاتخاذها بناء على نتائج التحقيق.

يرتبط البريد الإلكتروني الذي أبلغ عنه المستخدم على أنه تنبيهات البرامج الضارة أو التصيد الاحتيالي والتحقيقات التلقائية والإجراءات الموصى بها تلقائيا بالحوادث في Microsoft Defender XDR. يعمل هذا الارتباط على تبسيط عملية الفرز والاستجابة لفرق الأمان. إذا أبلغ عدة مستخدمين عن نفس الرسائل أو رسائل مشابهة، يتم ربط جميع المستخدمين والرسائل بنفس الحدث.

تتم مقارنة البيانات من التنبيهات والتحقيقات في Defender لـ Office 365 تلقائيا بالتنبيهات والتحقيقات في منتجات Microsoft Defender XDR الأخرى:

• Microsoft Defender for Endpoint
• Microsoft Defender for Cloud Apps
• Microsoft Defender للهوية

إذا تم اكتشاف علاقة، ينشئ النظام حادثا يعطي رؤية للهجوم بأكمله.