الحظر السلوكي والاحتواء

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على:

• Defender for Endpoint الخطة 2
• Microsoft 365 Defender
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

نظرة عامة

يتم تجاوز مشهد التهديد اليوم من خلال البرامج الضارة بلا ملفات والتي تعيش خارج الأرض، والتهديدات متعددة الأشكال للغاية التي تتحور بشكل أسرع من الحلول التقليدية التي يمكن أن تواكبها، والهجمات التي يديرها الإنسان والتي تتكيف مع ما يجده الخصوم على الأجهزة المخترقة. حلول الأمان التقليدية ليست كافية لإيقاف مثل هذه الهجمات؛ تحتاج إلى الذكاء الاصطناعي (الذكاء الاصطناعي) والقدرات المدعومة من التعلم الآلي (ML)، مثل الحظر السلوكي والاحتواء، المضمنة في Defender لنقطة النهاية.

يمكن أن تساعد قدرات الحظر السلوكي والاحتواء في تحديد التهديدات وإيقافها، استنادا إلى سلوكياتها ومعالجة الأشجار حتى عندما يبدأ تنفيذ التهديد. تعمل مكونات وميزات الجيل التالي من الحماية الكشف التلقائي والاستجابة على النقط النهائية و Defender لنقطة النهاية معا في قدرات الحظر السلوكي والاحتواء.

تعمل قدرات الحظر السلوكي والاحتواء مع مكونات وميزات متعددة من Defender لنقطة النهاية لإيقاف الهجمات على الفور ومنع الهجمات من التقدم.

• يمكن لحماية الجيل التالي (التي تتضمن برنامج الحماية من الفيروسات من Microsoft Defender) الكشف عن التهديدات من خلال تحليل السلوكيات، وإيقاف التهديدات التي بدأت في التشغيل.

• يتلقى الكشف عن نقطة النهاية والاستجابة لها (الكشف التلقائي والاستجابة على النقط النهائية) إشارات الأمان عبر الشبكة والأجهزة وسلوك النواة. مع اكتشاف التهديدات، يتم إنشاء التنبيهات. يتم تجميع تنبيهات متعددة من نفس النوع في حوادث، ما يسهل على فريق عمليات الأمان التحقيق والاستجابة.

• يحتوي Defender لنقطة النهاية على مجموعة واسعة من البصريات عبر الهويات والبريد الإلكتروني والبيانات والتطبيقات، بالإضافة إلى إشارات سلوك الشبكة ونقطة النهاية والنواة التي يتم تلقيها من خلال الكشف التلقائي والاستجابة على النقط النهائية. أحد مكونات Microsoft 365 Defender، يقوم Defender لنقطة النهاية بمعالجة هذه الإشارات وربطها، ويرفع تنبيهات الكشف، ويربط التنبيهات ذات الصلة في الحوادث.

مع هذه القدرات، يمكن منع المزيد من التهديدات أو حظرها، حتى لو بدأت في التشغيل. كلما تم الكشف عن سلوك مريب، يتم احتواء التهديد، وإنشاء التنبيهات، وتوقف التهديدات في مساراتها.

تعرض الصورة التالية مثالا للتنبيه الذي تم تشغيله بواسطة قدرات الحظر السلوكي والاحتواء:

مكونات الحظر السلوكي والاحتواء

• قواعد تقليل الأجزاء المعرضة للهجوم المستندة إلى النهج على العميل يتم منع سلوكيات الهجوم الشائعة المعرفة مسبقا من التنفيذ، وفقا لقواعد تقليل الأجزاء المعرضة للهجوم. عندما تحاول هذه السلوكيات التنفيذ، يمكن رؤيتها في Microsoft 365 Defender كتنبيهات إعلامية. لا يتم تمكين قواعد تقليل الأجزاء المعرضة للهجوم بشكل افتراضي؛ تقوم بتكوين نهجك في مدخل Microsoft 365 Defender.

• الحظر السلوكي للعميل يتم الكشف عن التهديدات على نقاط النهاية من خلال التعلم الآلي، ثم يتم حظرها ومعالجتها تلقائيا. (يتم تمكين الحظر السلوكي للعميل بشكل افتراضي.)

• يتم مراقبة حظر حلقة الملاحظات (يشار إليها أيضا باسم الحماية السريعة) الكشف عن التهديدات من خلال الذكاء السلوكي. يتم إيقاف التهديدات ومنعها من التشغيل على نقاط النهاية الأخرى. (يتم تمكين حظر حلقة الملاحظات بشكل افتراضي.)

• يتم حظر البيانات الاصطناعية الضارة أو السلوكيات التي تتم ملاحظتها من خلال الحماية بعد الخرق (الكشف التلقائي والاستجابة على النقط النهائية) في وضع الحظر والكشف عن السلوكيات الضارة التي تتم ملاحظتها من خلال الحماية بعد الاختراق. تعمل الكشف التلقائي والاستجابة على النقط النهائية في وضع الحظر حتى لو لم يكن برنامج الحماية من الفيروسات من Microsoft Defender هو الحل الأساسي لمكافحة الفيروسات. (لا يتم تمكين الكشف التلقائي والاستجابة على النقط النهائية في وضع الحظر بشكل افتراضي؛ يمكنك تشغيله في Microsoft 365 Defender.)

توقع المزيد في مجال الحظر السلوكي والاحتواء، مع استمرار Microsoft في تحسين ميزات الحماية من التهديدات وقدراتها. للاطلاع على ما تم التخطيط له والطرح الآن، تفضل بزيارة المخطط Microsoft 365.

أمثلة على الحظر السلوكي والاحتواء أثناء العمل

وقد حظرت قدرات الحظر السلوكي والاحتواء تقنيات المهاجم مثل ما يلي:

• تفريغ بيانات الاعتماد من LSASS
• حقن العمليات التبادلية
• تجويف العملية
• تجاوز التحكم في حساب المستخدم
• العبث بالحماية من الفيروسات (مثل تعطيله أو إضافة البرامج الضارة كاستبعاد)
• الاتصال بالأوامر والتحكم (C&C) لتنزيل الحمولات
• استخراج العملات
• تعديل سجل التمهيد
• هجمات تمرير التجزئة
• تثبيت شهادة الجذر
• محاولة الاستغلال لمختلف الثغرات الأمنية

فيما يلي مثالان واقعيان للحظر السلوكي والاحتواء في العمل.

مثال 1: هجوم سرقة بيانات الاعتماد ضد 100 منظمة

كما هو موضح في البحث السريع عن التهديدات المخادع: يمنع الحظر المستند إلى السلوك الذكاء الاصطناعي الهجمات في مساراتها، تم إيقاف هجوم سرقة بيانات الاعتماد ضد 100 منظمة في جميع أنحاء العالم من خلال قدرات الحظر السلوكي والاحتواء. تم إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي الرمح التي تحتوي على مستند استدراج إلى المؤسسات المستهدفة. إذا قام أحد المستلمين بفتح المرفق، فقد تمكن مستند بعيد ذي صلة من تنفيذ التعليمات البرمجية على جهاز المستخدم وتحميل برامج Lokibot الضارة، والتي قامت بسرقة بيانات الاعتماد، وصادرت البيانات المسروقة، وانتظرت المزيد من الإرشادات من خادم الأوامر والتحكم.

تم التقاط نماذج تعلم الأجهزة المستندة إلى السلوك في Defender لنقطة النهاية وأوقفت تقنيات المهاجم في نقطتين في سلسلة الهجوم:

• اكتشفت طبقة الحماية الأولى سلوك الاستغلال. حددت مصنفات تعلم الجهاز في السحابة التهديد بشكل صحيح وأرشدت جهاز العميل على الفور لحظر الهجوم.
• طبقة الحماية الثانية، التي ساعدت في إيقاف الحالات التي تجاوز فيها الهجوم الطبقة الأولى، واكتشفت تجويف العملية، وأوقفت هذه العملية، وأزلت الملفات المقابلة (مثل Lokibot).

بينما تم الكشف عن الهجوم وتوقفه، تم تشغيل تنبيهات، مثل "تنبيه وصول أولي"، وظهرت في مدخل Microsoft 365 Defender.

يوضح هذا المثال كيف تضيف نماذج تعلم الأجهزة المستندة إلى السلوك في السحابة طبقات جديدة من الحماية من الهجمات، حتى بعد بدء تشغيلها.

مثال 2: ترحيل NTLM - متغير البرامج الضارة Juicy Malware

كما هو موضح في منشور المدونة الأخير، الحظر السلوكي والاحتواء: تحويل البصريات إلى حماية، في يناير 2020، اكتشف Defender لنقطة النهاية نشاط تصعيد امتياز على جهاز في مؤسسة. تم تشغيل تنبيه يسمى "تصعيد الامتيازات المحتملة باستخدام ترحيل NTLM".

تبين أن التهديد عبارة عن برامج ضارة؛ كان متغيرا جديدا لم يظهر من قبل من أداة اختراق معروفة تسمى Juicy Privilege، والتي يستخدمها المهاجمون للحصول على تصعيد الامتيازات على جهاز.

بعد دقائق من تشغيل التنبيه، تم تحليل الملف، وتم التأكيد على أنه ضار. تم إيقاف العملية وحظرها، كما هو موضح في الصورة التالية:

بعد بضع دقائق من حظر البيانات الاصطناعية، تم حظر مثيلات متعددة للملف نفسه على نفس الجهاز، ما منع المزيد من المهاجمين أو البرامج الضارة الأخرى من النشر على الجهاز.

يوضح هذا المثال أنه مع قدرات الحظر السلوكي والاحتواء، يتم الكشف عن التهديدات، واحتواءها، وحظرها تلقائيا.

تلميح

إذا كنت تبحث عن معلومات متعلقة بالحماية من الفيروسات للأنظمة الأساسية الأخرى، فراجع:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender for Endpoint على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

الخطوات التالية

• تعرف على المزيد حول Defender لنقطة النهاية

• تكوين قواعد تقليل الأجزاء المعرضة للهجوم

• تمكين الكشف التلقائي والاستجابة على النقط النهائية في وضع الحظر

• الاطلاع على نشاط التهديد العالمي الأخير

• الحصول على نظرة عامة على Microsoft 365 Defender