تحليل تحليلات المخاطر

  • 3 دقائق

تحليلات المخاطر عبارة عن حل تحليل ذكي للمخاطر من باحثي الأمان من Microsoft ذوي الخبرة. صُمم لمساعدة فرق الأمان على أن تكون فعالة قدر الإمكان أثناء مواجهة التهديدات الناشئة، مثل:

  • الجهات الفاعلة للمخاطر النشطة وحملاتها
  • تقنيات الهجوم الشائعة والجديدة
  • الثغرات الأمنية الحرجة
  • أسطح الهجوم الشائعة
  • البرامج الضارة السائدة

يمكنك الوصول إلى تحليلات التهديدات إما من الجانب الأيسر العلوي من قائمة التنقل في مدخل أمان Microsoft Defender عن طريق توسيع التحليل الذكي للمخاطر، أو من بطاقة لوحة معلومات تحليلات المخاطر المخصصة التي تعرض التهديدات لمؤسستك، سواء من حيث التأثير أو من حيث التعرض.

لقطة شاشة للوحة معلومات تحليلات المخاطر.

تتمتع التهديدات قوية التأثير باحتمال أكبر للتسبب في الضرر، في حين أن تهديدات التعرض العالي هي تلك التي تكون أصولك الأكثر عرضة لها. يمكن أن يساعد الحصول على رؤية للحملات النشطة أو المستمرة ومعرفة ما يجب القيام به من خلال تحليلات المخاطر لتزويد فريق عمليات الأمان بقرارات مدروسة.

مع ظهور خصوم أكثر تعقيدًا وتهديدات جديدة بشكل متكرر ومتفشٍ، من المهم أن تكون قادرًا على الإسراع بالقيام بما يلي:

  • تحديد التهديدات الناشئة والتفاعل معها
  • معرفة ما إذا كنت تتعرض للهجوم حاليًا
  • تقييم تأثير التهديد على أصولك
  • مراجعة مرونتك في التعامل مع المخاطر أو التعرض لها
  • تحديد إجراءات التخفيف من المخاطر والاسترداد أو المنع التي يمكنك اتخاذها لإيقاف المخاطر أو احتوائها

يقدم كل تقرير تحليلًا للمخاطر المتعقبة وتوجيهات شاملة بشأن كيفية الدفاع ضد ذلك التهديد. كما يتضمن بيانات من شبكتك، ما يشير إلى ما إذا كان التهديد نشطًا وما إذا كانت لديك الحماية المعمول بها موضع التنفيذ.

عرض لوحة معلومات تحليلات المخاطر

تسلط لوحة معلومات تحليلات المخاطر الضوء على التقارير الأكثر صلة بمؤسستك. وهو يلخص المخاطر في الأقسام التالية:

  • أحدث المخاطر - يسرد أحدث تقارير المخاطر المنشورة أو المُحدثة، بالإضافة إلى عدد التنبيهات النشطة والتي حُلت.
  • المخاطر شديدة التأثير - يسرد المخاطر التي لها أشد تأثير على المؤسسة. يسرد هذا القسم التهديدات مع أكبر عدد من التنبيهات النشطة والتي حُلت أولًا.
  • أعلى درجة من التعرض - يسرد التهديدات ذات أعلى مستويات التعرض أولًا. يُحسب مستوى التعرض للتهديد باستخدام معلومتين: مدى خطورة الثغرات الأمنية المرتبطة بالتهديد، وعدد الأجهزة في مؤسستك التي يمكن أن تستغلها نقاط الضعف هذه.

يُظهر تحديد تهددي من لوحة المعلومات التقرير المتصل بهذا التهديد.

عرض تقرير تحليلات المخاطر. يقدم كل تقرير تحليلات المخاطر معلومات في عدة أقسام:

  • نظرة عامة
  • تقرير محلل
  • الأحداث ذات الصلة
  • الأصول المتأثرة
  • محاولات البريد الإلكتروني التي مُنعت
  • التعرض والتخفيف من المخاطر

نظرة عامة: سرعة فهم التهديد وتقييم تأثيره ومراجعة الدفاعات

يوفر قسم «النظرة العامة» إصدارًا أوليًا لتقرير المحلل التفصيلي. يوفر أيضًا مخططات بيانية تركز على تأثير التهديد الذي تتعرض له مؤسستك، والتعرض من خلال الأجهزة غير المُكونة وغير المُصححة.

تقييم التأثير على مؤسستك

يتضمن كل تقرير مخططات مصممة لتوفير معلومات حول التأثير المؤسسي للخطر:

  • الأحداث ذات الصلة - توفر نظرة عامة على تأثير التهديد المتعقب على مؤسستك مع عدد التنبيهات النشطة وعدد الأحداث النشطة المرتبطة بها وشدة الأحداث النشطة
  • تنبيهات مع مرور الوقت - تعرض عدد التنبيهات "النشطة" والتنبيهات "التي حُلت" مع مرور الوقت. يشير عدد التنبيهات التي تم حلها إلى مدى سرعة استجابة مؤسستك للتنبيهات المقترنة بالخطر. من الناحية المثالية، يجب أن يظهر المخطط البياني التنبيهات التي تم حلها في غضون أيام قليلة.
  • الأصول المتأثرة — تعرض عدد الأجهزة المميزة وحسابات البريد الإلكتروني (علب البريد) التي لديها حاليًا تنبيه نشط واحد على الأقل مرتبط بالتهديد المتعقب. تعمل التنبيهات لعلب البريد التي استقبلت رسائل بريد إلكتروني للتهديدات. راجع كل من النُهج على مستوى المؤسسة وعلى مستوى المستخدم للتجاوزات التي تتسبب في تسليم رسائل البريد الإلكتروني الخاصة بالمخاطر.
  • محاولات البريد الإلكتروني التي مُنعت — يعرض عدد رسائل البريد الإلكتروني من الأيام السبعة الماضية التي حُظرت قبل التسليم أو تسليمها إلى مجلد البريد غير الهام.

مراجعة مرونة الأمان ووضعه

يتضمن كل تقرير مخططات توفر نظرةً عامةً حول مدى مرونة مؤسستك في مواجهة خطر معين:

  • حالة التكوين الآمن - تعرض عدد الأجهزة ذات إعدادات الأمان المُكوّنة بشكل خاطئ. طبّق إعدادات الأمان الموصى بها للمساعدة في التخفيف من التهديد. تُعد الأجهزة آمنةً إذا كانت قد طبقت كافة الإعدادات المُتعقبة.
  • حالة تصحيح الثغرات الأمنية - تعرض عدد الأجهزة المعرضة للخطر. طبّق تحديثات الأمان أو التصحيحات لمعالجة الثغرات الأمنية التي يستغلها التهديد.

عرض التقارير لكل علامات التهديد

يمكنك تصفية قائمة "threat report" وعرض التقارير الأكثر صلة وفقًا لعلامة تهديد معينة (فئة) أو نوع تقرير.

  • علامات التهديد - تساعدك في عرض التقارير الأكثر صلة وفقًا لفئة تهديد محددة. على سبيل المثال، جميع التقارير المتعلقة ببرامج الفدية الضارة.
  • أنواع التقارير - تساعدك في عرض التقارير الأكثر صلة وفقًا لنوع تقرير معين. على سبيل المثال، جميع التقارير التي تغطي الأدوات والتقنيات.
  • عوامل التصفية - تساعدك في مراجعة قائمة "threat report" بكفاءة وتصفية طريقة العرض استنادًا إلى علامة تهديد محددة أو نوع تقرير. على سبيل المثال، راجع جميع تقارير التهديدات المتعلقة بفئة برامج الفدية الضارة، أو تقارير التهديدات التي تغطي الثغرات الأمنية.

كيف تعمل هذه الوظيفة؟

أضاف فريق التحليل الذكي للمخاطر من Microsoft علامات التهديد إلى كل تقرير تهديد:

تتوفر الآن أربع علامات تهديد:

  • ⁧ ⁩برامج الفدية الضارة⁧⁩
  • التصيد الاحتيالي
  • التعرض للخطر
  • مجموعة النشاط

تظهر علامات التهديد في أعلى صفحة "threat analytics". تُوجد إعدادات لعدد من التقارير المتوفرة ضمن كل علامة.

تقرير المحلل: الحصول على نتيجة تحليلات الخبراء من باحثي أمان Microsoft

في قسم "Analyst report"، اقرأ كتابة الخبير المفصلة. تقدم معظم التقارير أوصافا مفصلة لسلاسل الهجوم، بما في ذلك التكتيكات والتقنيات المعينة لإطار عمل MITRE ATT&CK، وقوائم شاملة من التوصيات، وإرشادات قوية لتعقب التهديدات.

توفر علامة التبويب "Related incidents" قائمة بجميع الأحداث المتعلقة بالتهديد المتعقب. يمكنك تعيين الأحداث أو إدارة التنبيهات المرتبطة بكل حدث.

الأصول المتأثرة: الحصول على قائمة بالأجهزة وعلب البريد المتأثرة

يعتبر الأصل متأثرًا إذا تأثر بتنبيه نشط لم يُحل. تسرد علامة التبويب "Impacted assets" الأنواع التالية من الأصول المتأثرة:

  • الأجهزة المتأثرة - نقاط النهاية التي تحتوي على تنبيهات Microsoft Defender لنقطة النهاية لم تُحل. عادة ما تطلق هذه التنبيهات عند مشاهدة مؤشرات التهديدات والأنشطة المعروفة.

  • علب البريد المتأثرة - علب البريد التي استقبلت رسائل بريد إلكتروني أدت إلى تشغيل تنبيهات Microsoft Defender لـ Office 365. بينما يُجرى عادة حظر معظم الرسائل التي تشغل التنبيهات، يمكن للنُهج على مستوى المستخدم أو على مستوى المؤسسة تجاوز عوامل التصفية.

محاولات البريد الإلكتروني التي مُنعت: يعرض رسائل البريد الإلكتروني للتهديدات المحظورة أو غير الهامة

عادة ما يحظر Microsoft Defender لـ Office 365 رسائل البريد الإلكتروني التي تحتوي على مؤشرات تهديد معروفة، بما في ذلك الارتباطات أو المرفقات الضارة. في بعض الحالات، سترسل آليات التصفية الاستباقية التي تتحقق من المحتوى المشبوه رسائل بريد إلكتروني للمخاطر إلى مجلد البريد غير الهام بدلًا من ذلك. في كلتا الحالتين، تقل فرص تشغيل التهديد للتعلميات البرمجية للبرامج الضارة على الجهاز.

تسرد علامة التبويب محاولات البريد الإلكتروني التي تم منعها جميع رسائل البريد الإلكتروني التي تم حظرها قبل التسليم أو إرسالها إلى مجلد البريد غير الهام بواسطة Microsoft Defender ل Office.

التخفيف من المخاطر والتعرض: مراجعة قائمة عمليات التخفيف من المخاطر وحالة أجهزتك

في قسم التعرض والتخفيف من المخاطر، راجع قائمة التوصيات المحددة القابلة للتنفيذ التي يمكن أن تساعدك على زيادة مرونتك التنظيمية ضد التهديد. تتضمن قائمة عمليات التخفيف من المخاطر المُتعقبة ما يلي:

  • تحديثات الأمان - توزيع تحديثات أمان البرامج المدعومة للثغرات الأمنية الموجودة على الأجهزة المُلحقة
  • تكوينات الأمان المدعومة
    • حماية يتم توفيرها من خلال السحابة
    • حماية التطبيقات غير المرغوب فيها (PUA)
    • حماية في الوقت الحقيقي

وتتضمن معلومات التخفيف من المخاطر في هذا القسم بيانات من إدارة المخاطر والثغرات الأمنية، التي توفر أيضًا معلومات تفصيلية حول التنقل لأسفل من مختلف الروابط في التقرير.

إعداد إشعارات البريد الإلكتروني لتحديثات التقرير

يمكنك إعداد إشعارات البريد الإلكتروني التي ترسل لك تحديثات حول تقارير تحليلات التهديدات.

لإعداد إشعارات البريد الإلكتروني لتقارير تحليلات المخاطر، نفّذ الخطوات التالية:

  1. حدد الإعدادات في الشريط الجانبي ل Microsoft Defender XDR. حدد Microsoft Defender XDR من قائمة الإعدادات.

  2. اختر "Email notifications > Threat analytics"، وحدد الزر "+ Create a notification rule". تظهر قائمة منبثقة.

  3. اتبع الخطوات المذكورة في القائمة المنبثقة. أولًا، امنح القاعدة الجديدة اسمًا. حقل "description" اختياري، ولكن الاسم مطلوب. يمكنك التبديل بين تشغيل القاعدة أو إيقاف تشغيلها باستخدام خانة الاختيار أسفل حقل "description".

    إشعار

    لا يقبل حقلا "name" و"description" لقاعدة إشعار جديدة سوى الأحرف والأرقام الإنجليزية. لا يقبلا المسافات أو الشرطات أو التسطير السفلي أو أي علامات ترقيم أخرى.

  4. اختر نوع التقارير التي تريد إعلامك به. يمكنك الاختيار بين إخبارك بجميع التقارير المنشورة أو المحدثة حديثًا، أو تلك التقارير التي تحتوي على علامة أو نوع معين فقط.

  5. أضف مستلمًا واحدًا على الأقل لاستقبال رسائل البريد الإلكتروني للإشعار. يمكنك أيضًا استخدام هذه الشاشة للتحقق من كيفية تلقي الإشعارات، عن طريق إرسال بريد إلكتروني تجريبي.

  1. مراجعة قاعدتك الجديدة. إذا كان هناك أي شيء ترغب في تغييره، فحدد الزر "Edit" في نهاية كل قسم فرعي. بمجرد اكتمال المراجعة، حدد الزر "Create rule".

لقد نجح إنشاء القاعدة الجديدة. حدد الزر "Done" لإكمال العملية وإغلاق القائمة المنبثقة. ستظهر القاعدة الجديدة الآن في قائمة إشعارات البريد الإلكتروني لتحليلات المخاطر.