الملاحظات

نظرة عامة على التحقيقات التلقائية

  • مقالة
  • قراءة خلال 3 دقائق

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

هل تريد معرفة كيفية عملها؟ شاهد الفيديو التالي:

تستخدم التقنية في التحقيق التلقائي خوارزميات فحص مختلفة وتستند إلى العمليات التي يستخدمها محللو الأمان. تم تصميم قدرات AIR لفحص التنبيهات واتخاذ إجراءات فورية لحل الخروقات. تقلل قدرات AIR بشكل كبير من حجم التنبيه، ما يسمح للعمليات الأمنية بالتركيز على التهديدات الأكثر تطورا والمبادرات الأخرى عالية القيمة. يتم تعقب جميع إجراءات المعالجة، سواء كانت معلقة أو مكتملة، في مركز الصيانة. في مركز الصيانة، تتم الموافقة على الإجراءات المعلقة (أو رفضها)، ويمكن التراجع عن الإجراءات المكتملة إذا لزم الأمر.

توفر هذه المقالة نظرة عامة على AIR وتتضمن ارتباطات إلى الخطوات التالية والموارد الإضافية.

تلميح

هل تريد تجربة Microsoft Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

كيفية بدء التحقيق التلقائي

يمكن أن يبدأ التحقيق التلقائي عند تشغيل تنبيه أو عندما يبدأ عامل تشغيل الأمان التحقيق.

الحاله ما يحدث
يتم تشغيل تنبيه بشكل عام، يبدأ التحقيق التلقائي عند تشغيل تنبيه ، ويتم إنشاء حدث . على سبيل المثال، افترض وجود ملف ضار على جهاز. عند الكشف عن هذا الملف، يتم تشغيل تنبيه، ويتم إنشاء الحدث. تبدأ عملية التحقيق التلقائي على الجهاز. كما يتم إنشاء تنبيهات أخرى بسبب نفس الملف على أجهزة أخرى، تتم إضافتها إلى الحادث المرتبط والتحقيق التلقائي.
يتم بدء التحقيق يدويا يمكن بدء التحقيق التلقائي يدويا من قبل فريق عمليات الأمان. على سبيل المثال، افترض أن عامل تشغيل الأمان يراجع قائمة بالأجهزة ويلاحظ أن الجهاز لديه مستوى عال من المخاطر. يمكن لمشغل الأمان تحديد الجهاز في القائمة لفتح القائمة المنبثقة الخاصة به، ثم تحديد بدء التحقيق التلقائي.

كيف يوسع التحقيق التلقائي نطاقه

في أثناء تشغيل التحقيق، تتم إضافة أي تنبيهات أخرى تم إنشاؤها من الجهاز إلى تحقيق تلقائي مستمر حتى يكتمل هذا التحقيق. بالإضافة إلى ذلك، إذا تمت رؤية نفس التهديد على أجهزة أخرى، تتم إضافة هذه الأجهزة إلى التحقيق.

إذا تم رؤية كيان متجنى عليه في جهاز آخر، فإن عملية التحقيق التلقائي توسع نطاقها لتشمل هذا الجهاز، ويبدأ دليل مبادئ الأمان العام على هذا الجهاز. إذا تم العثور على 10 أجهزة أو أكثر أثناء عملية التوسيع هذه من نفس الكيان، فإن إجراء التوسيع هذا يتطلب موافقة، ويكون مرئيا في علامة تبويب الإجراءات المعلقة .

كيفية معالجة التهديدات

مع تشغيل التنبيهات، وإجراء تحقيق تلقائي، يتم إصدار حكم لكل قطعة من الأدلة التي يتم التحقيق فيها. يمكن أن تكون الأحكام:

  • ضار؛
  • مريب؛ او
  • لم يتم العثور على أي تهديدات.

ومع التوصل إلى الأحكام، يمكن أن تؤدي التحقيقات التلقائية إلى إجراء واحد أو أكثر من إجراءات المعالجة. تتضمن أمثلة إجراءات المعالجة إرسال ملف إلى العزل وإيقاف خدمة وإزالة مهمة مجدولة والمزيد. لمعرفة المزيد، راجع إجراءات المعالجة.

اعتمادا على مستوى التشغيل التلقائي المعين لمؤسستك، بالإضافة إلى إعدادات الأمان الأخرى، يمكن أن تحدث إجراءات المعالجة تلقائيا أو فقط بناء على موافقة فريق عمليات الأمان. تتضمن إعدادات الأمان الإضافية التي يمكن أن تؤثر على المعالجة التلقائية الحماية من التطبيقات التي قد تكون غير مرغوب فيها (PUA).

يتم تعقب جميع إجراءات المعالجة، سواء كانت معلقة أو مكتملة، في مركز الصيانة. إذا لزم الأمر، يمكن لفريق عمليات الأمان التراجع عن إجراء المعالجة. لمعرفة المزيد، راجع مراجعة إجراءات المعالجة والموافقة عليها بعد إجراء تحقيق تلقائي.

تلميح

تحقق من صفحة التحقيق الموحدة الجديدة في مدخل Microsoft 365 Defender. لمعرفة المزيد، راجع صفحة التحقيق الموحد.

متطلبات AIR

يجب أن يتضمن اشتراكك Defender لنقطة النهاية أو Defender for Business.

ملاحظة

يتطلب التحقيق التلقائي والاستجابة برنامج الحماية من الفيروسات من Microsoft Defender لتشغيلها في الوضع الخامل أو الوضع النشط. إذا تم تعطيل برنامج الحماية من الفيروسات من Microsoft Defender أو إلغاء تثبيتها، فلن يعمل التحقيق التلقائي والاستجابة بشكل صحيح.

حاليا، يدعم AIR إصدارات نظام التشغيل التالية فقط:

  • Windows Server 2012 R2 (معاينة)
  • Windows Server 2016 (معاينة)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10، الإصدار 1709 (إصدار نظام التشغيل 16299.1085 مع KB4493441) أو إصدار أحدث
  • Windows 10، الإصدار 1803 (إصدار نظام التشغيل 17134.704 مع KB4493464) أو إصدار أحدث
  • Windows 10، الإصدار 1803 أو أحدث
  • Windows 11

الخطوات التالية

راجع أيضًا