معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على:

• Defender for Endpoint الخطة 2
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

في حلول حماية نقطة النهاية، فإن الإيجابية الخاطئة هي كيان، مثل ملف أو عملية، تم اكتشافه وتحديده على أنه ضار، على الرغم من أن الكيان ليس في الواقع تهديدا. السالب الخاطئ هو كيان لم يتم الكشف عنه كتهديد، على الرغم من أنه في الواقع ضار. يمكن أن تحدث الإيجابيات/السلبيات الخاطئة مع أي حل للحماية من التهديدات، بما في ذلك Microsoft Defender لنقطة النهاية.

لحسن الحظ، يمكن اتخاذ خطوات لمعالجة هذه الأنواع من المشكلات وتقليلها. إذا كنت ترى إيجابيات/سلبيات خاطئة في Microsoft 365 Defender، يمكن لعمليات الأمان اتخاذ خطوات لمعالجتها باستخدام العملية التالية:

1. مراجعة التنبيهات وتصنيفها
2. مراجعة إجراءات المعالجة التي تم اتخاذها
3. مراجعة الاستثناءات وتحديدها
4. إرسال كيان للتحليل
5. مراجعة إعدادات الحماية من التهديدات وضبطها

يمكنك الحصول على المساعدة إذا كانت لا تزال لديك مشاكل تتعلق بإيجابيات/سلبيات خاطئة بعد تنفيذ المهام الموضحة في هذه المقالة. هل لا تزال بحاجة إلى المساعدة؟

ملاحظة

تم إعداد هذه المقالة كإرشادات لمشغلي الأمان ومسؤولي الأمان الذين يستخدمون Microsoft Defender لنقطة النهاية.

الجزء الأول: مراجعة التنبيهات وتصنيفها

إذا رأيت تنبيها تم تشغيله لأنه تم الكشف عن شيء ما على أنه ضار أو مريب لم يكن من المفترض أن يكون، يمكنك منع التنبيه لهذا الكيان. يمكنك أيضا منع التنبيهات التي ليست بالضرورة إيجابيات خاطئة، ولكنها غير موجبة. نوصي بتصنيف التنبيهات أيضا.

تساعد إدارة التنبيهات وتصنيف الإيجابيات الصحيحة/الخاطئة على تدريب حل الحماية من التهديدات ويمكن أن تقلل من عدد الإيجابيات الخاطئة أو السلبيات الخاطئة بمرور الوقت. يساعد اتخاذ هذه الخطوات أيضا على تقليل الضوضاء في لوحة معلومات عمليات الأمان بحيث يمكن لفريق الأمان التركيز على عناصر العمل ذات الأولوية الأعلى.

تحديد ما إذا كان التنبيه دقيقا

قبل تصنيف تنبيه أو منعه، حدد ما إذا كان التنبيه دقيقا أو إيجابيا زائفا أو ضارا.

1. انتقل إلى مدخل Microsoft 365 Defender (https://security.microsoft.com) وسجل الدخول.

2. في جزء التنقل، اختر قائمة انتظار التنبيهات.

3. حدد تنبيها للحصول على مزيد من التفاصيل حول التنبيه. (راجع تنبيهات المراجعة في Microsoft Defender لنقطة النهاية.)

4. استنادا إلى حالة التنبيه، اتبع الخطوات الموضحة في الجدول التالي:

   حالة التنبيه	ما يجب فعله
   التنبيه دقيق	قم بتعيين التنبيه، ثم تحقق منه بشكل أكبر.
   التنبيه إيجابي خطأ	1. تصنيف التنبيه على أنه إيجابية خاطئة. 2. منع التنبيه. 3. إنشاء مؤشر Microsoft Defender لنقطة النهاية. 4. إرسال ملف إلى Microsoft للتحليل.
   التنبيه دقيق، ولكنه غير مهم (غير مهم)	تصنيف التنبيه على أنه إيجابي حقيقي، ثم منع التنبيه.

تصنيف تنبيه

يمكن تصنيف التنبيهات على أنها إيجابيات خاطئة أو إيجابيات حقيقية في Microsoft 365 Defender. يساعد تصنيف التنبيهات على تدريب Microsoft Defender لنقطة النهاية بحيث، مع مرور الوقت، سترى المزيد من التنبيهات الصحيحة وتنبيهات خاطئة أقل.

1. انتقل إلى مدخل Microsoft 365 Defender (https://security.microsoft.com) وسجل الدخول.

2. حدد قائمة انتظار التنبيهات، ثم حدد تنبيها.

3. بالنسبة للتنبيه المحدد، حدد تنبيه "إدارة الإجراءات>". يتم فتح جزء قائمة منبثقة.

4. في قسم "إدارة التنبيه "، حدد إما التنبيه "صواب" أو "تنبيه خطأ". (استخدم تنبيه False لتصنيف إيجابية خاطئة.)

تلميح

لمزيد من المعلومات حول منع التنبيهات، راجع إدارة التنبيهات Microsoft Defender لنقطة النهاية. وإذا كانت مؤسستك تستخدم خادم إدارة معلومات الأمان والأحداث (SIEM)، فتأكد من تعريف قاعدة منع هناك أيضا.

منع تنبيه

إذا كانت لديك تنبيهات إما إيجابية خاطئة أو إيجابية صحيحة ولكن للأحداث غير المتوقعة، يمكنك منع هذه التنبيهات في Microsoft 365 Defender. يساعد منع التنبيهات على تقليل الضوضاء في لوحة معلومات عمليات الأمان.

1. انتقل إلى مدخل Microsoft 365 Defender (https://security.microsoft.com) وسجل الدخول.

2. في جزء التنقل، حدد قائمة انتظار التنبيهات.

3. حدد تنبيها تريد منعه لفتح جزء التفاصيل الخاص به.

4. في جزء التفاصيل ، اختر علامة الحذف (...)، ثم أنشئ قاعدة منع.

5. حدد كل الإعدادات لقاعدة المنع، ثم اختر "حفظ".

تلميح

هل تحتاج إلى المساعدة في قواعد المنع؟ راجع منع تنبيه وإنشاء قاعدة منع جديدة.

الجزء الثاني: مراجعة إجراءات المعالجة

يتم اتخاذ إجراءات المعالجة، مثل إرسال ملف إلى العزل أو إيقاف عملية، على الكيانات (مثل الملفات) التي يتم الكشف عنها كتهديدات. تحدث عدة أنواع من إجراءات المعالجة تلقائيا من خلال التحقيق التلقائي برنامج الحماية من الفيروسات من Microsoft Defender:

• عزل ملف
• إزالة مفتاح تسجيل
• إنهاء عملية
• إيقاف خدمة
• تعطيل برنامج تشغيل
• إزالة مهمة مجدولة

تحدث إجراءات أخرى، مثل بدء فحص مكافحة الفيروسات أو جمع حزمة تحقيق، يدويا أو من خلال Live Response. لا يمكن التراجع عن الإجراءات التي تم اتخاذها من خلال الاستجابة المباشرة.

بعد مراجعة التنبيهات، تكون خطوتك التالية هي مراجعة إجراءات المعالجة. إذا تم اتخاذ أي إجراءات نتيجة للإيجابيات الخاطئة، يمكنك التراجع عن معظم أنواع إجراءات المعالجة. على وجه التحديد، يمكنك:

• استعادة ملف تم عزله من مركز الصيانة
• التراجع عن إجراءات متعددة في وقت واحد
• إزالة ملف من العزل عبر أجهزة متعددة. و
• استعادة ملف من الفحص

عند الانتهاء من مراجعة الإجراءات التي تم اتخاذها نتيجة لإيجابيات خاطئة والتراجع عنها، تابع لمراجعة الاستثناءات أو تعريفها.

مراجعة الإجراءات المكتملة

1. في جزء التنقل الأيمن من مدخل Microsoft 365 Defender، انقر فوق "مركز الصيانة".

2. حدد علامة التبويب " محفوظات " لعرض قائمة بالإجراءات التي تم اتخاذها.

3. حدد عنصرا لعرض مزيد من التفاصيل حول إجراء المعالجة الذي تم اتخاذه.

استعادة ملف تم عزله من مركز الصيانة

1. في جزء التنقل الأيمن من مدخل Microsoft 365 Defender، انقر فوق "مركز الصيانة".

2. في علامة التبويب " محفوظات "، حدد إجراء تريد التراجع عنه.

3. في جزء القائمة المنبثقة، حدد "تراجع". إذا تعذر التراجع عن الإجراء باستخدام هذا الأسلوب، فلن يظهر زر "تراجع ". (لمعرفة المزيد، راجع التراجع عن الإجراءات المكتملة.)

التراجع عن إجراءات متعددة في وقت واحد

1. في جزء التنقل الأيمن من مدخل Microsoft 365 Defender، انقر فوق "مركز الصيانة".

2. في علامة التبويب " محفوظات "، حدد الإجراءات التي تريد التراجع عنها.

3. في الجزء الموجود على الجانب الأيسر من الشاشة، حدد "تراجع".

إزالة ملف من العزل عبر أجهزة متعددة

1. في جزء التنقل الأيمن من مدخل Microsoft 365 Defender، انقر فوق "مركز الصيانة".

2. في علامة التبويب " محفوظات "، حدد ملفا يحتوي على ملف عزل نوع الإجراء.

3. في الجزء الموجود على الجانب الأيسر من الشاشة، حدد تطبيق على X المزيد من مثيلات هذا الملف، ثم حدد "تراجع".

استعادة ملف من الفحص

يمكنك العودة إلى الحالة السابقة وإزالة ملف من العزل إذا كنت قد قررت أنه نظيف بعد التحقيق. قم بتشغيل الأمر التالي على كل جهاز حيث تم عزل الملف.

1. افتح موجه سطر أوامر غير مقيد على الجهاز:

   1. انتقل إلى شاشة البدء واكتب cmd.
   2. انقر بزر الماوس الأيمن فوق موجه الأوامر وحدد "تشغيل كمسؤول".

2. أدخل الأمر التالي، ثم اضغط على مفتاح الإدخال Enter:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   هام

   في بعض السيناريوهات، قد يظهر ThreatName ك EUS:Win32/CustomEnterpriseBlock!cl. سيقوم Defender لنقطة النهاية باستعادة كافة الملفات المحظورة المخصصة التي تم عزلها على هذا الجهاز في آخر 30 يوما.

   قد لا يكون الملف الذي تم عزله كتهديد محتمل للشبكة قابلا للاسترداد. إذا حاول مستخدم استعادة الملف بعد العزل، فقد لا يمكن الوصول إلى هذا الملف. قد يرجع ذلك إلى أن النظام لم يعد لديه بيانات اعتماد الشبكة للوصول إلى الملف. عادة ما يكون ذلك نتيجة لتسجيل الدخول المؤقت إلى نظام أو مجلد مشترك وانتهت صلاحية الرموز المميزة للوصول.

3. في الجزء الموجود على الجانب الأيسر من الشاشة، حدد تطبيق على X المزيد من مثيلات هذا الملف، ثم حدد "تراجع".

الجزء 3: مراجعة الاستثناءات أو تعريفها

الاستثناء هو كيان، مثل ملف أو عنوان URL، تحدده استثناء لإجراءات المعالجة. لا يزال من الممكن الكشف عن الكيان المستبعد، ولكن لا يتم اتخاذ أي إجراءات معالجة على هذا الكيان. أي أنه لن يتم إيقاف الملف أو العملية المكتشفة أو إرسالها إلى العزل أو إزالتها أو تغييرها بواسطة Microsoft Defender لنقطة النهاية.

لتعريف الاستثناءات عبر Microsoft Defender لنقطة النهاية، قم بتنفيذ المهام التالية:

• تحديد استثناءات برنامج الحماية من الفيروسات من Microsoft Defender
• إنشاء مؤشرات "السماح" Microsoft Defender لنقطة النهاية

ملاحظة

تنطبق استثناءات برنامج الحماية من الفيروسات من Microsoft Defender فقط على الحماية من الفيروسات، وليس عبر قدرات Microsoft Defender لنقطة النهاية الأخرى. لاستبعاد الملفات على نطاق واسع، استخدم الاستثناءات برنامج الحماية من الفيروسات من Microsoft Defender والمؤشرات المخصصة Microsoft Defender لنقطة النهاية.

تصف الإجراءات الواردة في هذا القسم كيفية تحديد الاستثناءات والمؤشرات.

استثناءات برنامج الحماية من الفيروسات من Microsoft Defender

بشكل عام، يجب ألا تحتاج إلى تحديد استثناءات برنامج الحماية من الفيروسات من Microsoft Defender. تأكد من تحديد الاستثناءات بشكل لا يضاهى، ومن تضمين الملفات والمجلدات والعمليات والملفات المفتوحة للعملية فقط التي تؤدي إلى نتائج إيجابية خاطئة. بالإضافة إلى ذلك، تأكد من مراجعة الاستثناءات المحددة بانتظام. نوصي باستخدام إدارة نقاط النهاية من Microsoft لتعريف استثناءات الحماية من الفيروسات أو تحريرها؛ ومع ذلك، يمكنك استخدام أساليب أخرى، مثل نهج المجموعة (راجع إدارة Microsoft Defender لنقطة النهاية.

تلميح

هل تحتاج إلى مساعدة في استثناءات برنامج الحماية من الفيروسات؟ راجع تكوين الاستثناءات والتحقق من صحتها لإجراء عمليات فحص برنامج الحماية من الفيروسات من Microsoft Defender.

استخدام إدارة نقاط النهاية من Microsoft لإدارة استثناءات مكافحة الفيروسات (للنهج الموجودة)

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر برنامج الحماية من الفيروسات لأمان > نقطة النهاية، ثم حدد نهجا موجودا. (إذا لم يكن لديك نهج موجود، أو إذا كنت تريد إنشاء نهج جديد، فانتقل إلى الإجراء التالي).

3. اختر "خصائص"، وإلى جانب إعدادات "التكوين"، اختر "تحرير".

4. قم بتوسيع برنامج الحماية من الفيروسات من Microsoft Defender الاستثناءات ثم حدد الاستثناءات الخاصة بك.

5. اختر "مراجعة + حفظ"، ثم اختر "حفظ".

استخدام إدارة نقاط النهاية من Microsoft لإنشاء نهج الحماية من الفيروسات جديد مع استثناءات

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر Endpoint security > Antivirus > + Create Policy.

3. حدد نظاما أساسيا (مثل Windows 10 والإي وقت لاحق أو macOS أو Windows 10 وخادم Windows).

4. بالنسبة لملف التعريف، حدد برنامج الحماية من الفيروسات من Microsoft Defender الاستثناءات، ثم اختر "إنشاء".

5. حدد اسما ووصفا لملف التعريف، ثم اختر "التالي".

6. في علامة التبويب "إعدادات التكوين" ، حدد استثناءات برنامج الحماية من الفيروسات، ثم اختر "التالي".

7. في علامة التبويب "Scope tags "، إذا كنت تستخدم علامات النطاق في مؤسستك، فحدد علامات النطاق للنهج الذي تقوم بإنشائه. (راجع علامات النطاق.)

8. في علامة التبويب "الواجبات "، حدد المستخدمين والمجموعات التي يجب تطبيق نهجك عليها، ثم اختر "التالي". (إذا كنت بحاجة إلى مساعدة في التعيينات، فراجع تعيين ملفات تعريف المستخدمين والجهاز في Microsoft Intune.)

9. في علامة التبويب "مراجعة + إنشاء "، راجع الإعدادات، ثم اختر "إنشاء".

مؤشرات Microsoft Defender لنقطة النهاية

تمكن المؤشرات (وتحديدا مؤشرات التسوية أو IoCs) فريق عمليات الأمان من تحديد الكشف عن الكيانات ومنعها واستبعادها. على سبيل المثال، يمكنك تحديد ملفات معينة ليتم حذفها من عمليات الفحص وإجراءات المعالجة في Microsoft Defender لنقطة النهاية. أو، يمكن استخدام المؤشرات لإنشاء تنبيهات لبعض الملفات أو عناوين IP أو عناوين URL.

لتحديد الكيانات كاستثناءات Microsoft Defender لنقطة النهاية، قم بإنشاء مؤشرات "السماح" لتلك الكيانات. تنطبق مؤشرات "السماح" هذه في Microsoft Defender لنقطة النهاية على الحماية من الجيل التالي، الكشف عن تهديدات نقاط النهاية والرد عليها، والتحقيق التلقائي & المعالجة.

يمكن إنشاء مؤشرات "السماح" من أجل:

• الملفات
• عناوين IP وعناوين URL والمجالات
• شهادات التطبيق

مؤشرات الملفات

عند إنشاء مؤشر "السماح" لملف، مثل ملف قابل للتنفيذ، يساعد على منع حظر الملفات التي تستخدمها مؤسستك. يمكن أن تتضمن الملفات الملفات القابلة للتنفيذ المحمولة (PE)، مثل .exe والملفات .dll .

قبل إنشاء مؤشرات للملفات، تأكد من استيفاء المتطلبات التالية:

• تم تكوين برنامج الحماية من الفيروسات من Microsoft Defender مع تمكين الحماية المستندة إلى السحابة (راجع إدارة الحماية المستندة إلى السحابة)
• إصدار عميل مكافحة البرامج الضارة هو 4.18.1901.x أو أحدث
• يتم تشغيل الأجهزة Windows 10 أو الإصدار 1703 أو الإصدارات الأحدث أو Windows 11؛ Windows Server 2016 أو Windows Server 2019 أو Windows Server 2022
• تم تشغيل ميزة الحظر أو السماح

مؤشرات لعناوين IP أو عناوين URL أو المجالات

عند إنشاء مؤشر "السماح" لعنوان IP أو URL أو المجال، فإنه يساعد على منع حظر المواقع أو عناوين IP التي تستخدمها مؤسستك.

قبل إنشاء مؤشرات لعناوين IP أو عناوين URL أو المجالات، تأكد من استيفاء المتطلبات التالية:

• يتم تمكين حماية الشبكة في Defender لنقطة النهاية في وضع الحظر (راجع تمكين حماية الشبكة)
• إصدار عميل مكافحة البرامج الضارة هو 4.18.1906.x أو أحدث
• يتم تشغيل الأجهزة Windows 10 أو الإصدار 1709 أو الإصدارات الأحدث أو Windows 11

يتم تشغيل مؤشرات الشبكة المخصصة في Microsoft 365 Defender. لمعرفة المزيد، راجع الميزات المتقدمة.

مؤشرات شهادات التطبيق

عند إنشاء مؤشر "السماح" لشهادة تطبيق، فإنه يساعد على منع حظر التطبيقات، مثل التطبيقات المطورة داخليا، التي تستخدمها مؤسستك. .CER أو .PEM ملحقات الملفات معتمدة.

قبل إنشاء مؤشرات لشهادات التطبيق، تأكد من استيفاء المتطلبات التالية:

• تم تكوين برنامج الحماية من الفيروسات من Microsoft Defender مع تمكين الحماية المستندة إلى السحابة (راجع إدارة الحماية المستندة إلى السحابة
• إصدار عميل مكافحة البرامج الضارة هو 4.18.1901.x أو أحدث
• يتم تشغيل الأجهزة Windows 10 أو الإصدار 1703 أو الإصدارات الأحدث أو Windows 11؛ Windows Server 2016 أو Windows Server 2019 أو Windows Server 2022
• تعريفات الحماية من الفيروسات والتهديدات محدثة

تلميح

عند إنشاء مؤشرات، يمكنك تعريفها واحدا تلو الآخر، أو استيراد عناصر متعددة في وقت واحد. ضع في اعتبارك أن هناك حدا يبلغ 15000 مؤشر لمستأجر واحد. وقد تحتاج إلى جمع تفاصيل معينة أولا، مثل معلومات تجزئة الملف. تأكد من مراجعة المتطلبات الأساسية قبل إنشاء المؤشرات.

الجزء 4: إرسال ملف للتحليل

يمكنك إرسال كيانات، مثل الملفات وعمليات الكشف بدون ملفات، إلى Microsoft للتحليل. يحلل باحثو الأمان في Microsoft جميع عمليات الإرسال، وتساعد نتائجهم في إعلام Microsoft Defender لنقطة النهاية قدرات الحماية من التهديدات. عند تسجيل الدخول إلى موقع الإرسال، يمكنك تعقب عمليات الإرسال.

إرسال ملف للتحليل

إذا كان لديك ملف تم اكتشافه بشكل خاطئ على أنه ضار أو فائت، فاتبع هذه الخطوات لإرسال الملف للتحليل.

1. راجع الإرشادات هنا: إرسال الملفات للتحليل.

2. تفضل بزيارة موقع إرسال التحليل الذكي لمخاطر الأمان من Microsoft (https://www.microsoft.com/wdsi/filesubmission)وأرسل ملفك).

إرسال الكشف بدون ملف للتحليل

إذا تم الكشف عن شيء ما على أنه برامج ضارة استنادا إلى السلوك، ولم يكن لديك ملف، يمكنك إرسال Mpsupport.cab الملف للتحليل. يمكنك الحصول على ملف .cab باستخدام أداة الأداة المساعدة Command-Line للحماية من البرامج الضارة من Microsoft (MPCmdRun.exe) على Windows 10 أو Windows 11.

1. انتقل إلى C:\ProgramData\Microsoft\Windows Defender\Platform\<version>، ثم قم بتشغيله MpCmdRun.exe كمسؤول.

2. اكتب mpcmdrun.exe -GetFiles، ثم اضغط على مفتاح الإدخال Enter.

   يتم إنشاء ملف .cab يحتوي على سجلات تشخيص مختلفة. يتم تحديد موقع الملف في إخراج موجه الأوامر. بشكل افتراضي، يكون الموقع C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab.

3. راجع الإرشادات هنا: إرسال الملفات للتحليل.

4. تفضل بزيارة موقع إرسال التحليل الذكي لمخاطر الأمان من Microsoft (https://www.microsoft.com/wdsi/filesubmission)وأرسل ملفات .cab.

ماذا يحدث بعد إرسال ملف؟

يتم فحص عمليات الإرسال الخاصة بك على الفور بواسطة أنظمتنا لمنحك أحدث قرار حتى قبل أن يبدأ المحلل في معالجة حالتك. من المحتمل أن يكون قد تم بالفعل إرسال ملف ومعالجتها من قبل محلل. وفي هذه الحالات، يتم اتخاذ قرار بسرعة.

بالنسبة إلى عمليات الإرسال التي لم تتم معالجتها بالفعل، يتم ترتيب أولوياتها للتحليل كما يلي:

• يتم إعطاء أولوية أعلى للملفات الشائعة التي يحتمل أن تؤثر على أعداد كبيرة من أجهزة الكمبيوتر.
• يتم إعطاء العملاء المصادق عليهم، وخاصة عملاء المؤسسات الذين يستخدمون معرفات ضمان البرامج (SAIDs) الصالحة، أولوية أعلى.
• يتم إعطاء عمليات الإرسال التي تم وضع علامة عليها على أنها ذات أولوية عالية من قبل أصحاب SAID اهتماما فوريا.

للتحقق من وجود تحديثات تتعلق بإرسالك، سجل الدخول إلى موقع إرسال التحليل الذكي لمخاطر الأمان من Microsoft.

تلميح

لمعرفة المزيد، راجع "إرسال الملفات" للتحليل.

الجزء 5: مراجعة إعدادات الحماية من التهديدات وضبطها

يوفر Microsoft Defender لنقطة النهاية مجموعة واسعة من الخيارات، بما في ذلك القدرة على ضبط الإعدادات لمختلف الميزات والقدرات. إذا كنت تحصل على العديد من الإيجابيات الخاطئة، فتأكد من مراجعة إعدادات الحماية من التهديدات في مؤسستك. قد تحتاج إلى إجراء بعض التعديلات على:

• الحماية المقدمة من السحابة
• المعالجة للتطبيقات التي يحتمل أن تكون غير مرغوب فيها
• التحقيق التلقائي والمعالجة

الحماية المقدمة من السحابة

تحقق من مستوى الحماية المقدمة من السحابة للحصول على برنامج الحماية من الفيروسات من Microsoft Defender. بشكل افتراضي، يتم تعيين الحماية المقدمة من السحابة إلى غير مكونة، والتي تتوافق مع مستوى عادي من الحماية لمعظم المؤسسات. إذا تم تعيين الحماية التي توفرها السحابة إلى تسامح عال أو مرتفع أو صفري، فقد تواجه عددا أعلى من الإيجابيات الخاطئة.

تلميح

لمعرفة المزيد حول تكوين الحماية التي توفرها السحابة، راجع تحديد مستوى الحماية المقدمة من السحابة.

نوصي باستخدام إدارة نقاط النهاية من Microsoft لتحرير إعدادات الحماية التي توفرها السحابة أو تعيينها؛ ومع ذلك، يمكنك استخدام أساليب أخرى، مثل نهج المجموعة (راجع إدارة Microsoft Defender لنقطة النهاية.

استخدام إدارة نقاط النهاية من Microsoft لمراجعة إعدادات الحماية المقدمة من السحابة وتحريرها (للنهج الحالية)

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر برنامج الحماية من الفيروسات لأمان > نقطة النهاية ثم حدد نهجا موجودا. (إذا لم يكن لديك نهج موجود، أو إذا كنت تريد إنشاء نهج جديد، فانتقل إلى الإجراء التالي).

3. ضمن "إدارة"، حدد "خصائص". بعد ذلك، إلى جانب إعدادات التكوين، اختر "تحرير".

4. قم بتوسيع حماية السحابة، ومراجعة الإعداد الحالي في صف مستوى الحماية المقدمة من السحابة . نوصي بتعيين الحماية المقدمة من السحابة إلى غير مكونة، ما يوفر حماية قوية مع تقليل فرص الحصول على إيجابيات خاطئة.

5. اختر "مراجعة + حفظ"، ثم "حفظ".

استخدام إدارة نقاط النهاية من Microsoft لتعيين إعدادات الحماية المقدمة من السحابة (لنهج جديد)

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر Endpoint security > Antivirus > + Create policy.

3. بالنسبة للنظام الأساسي، حدد خيارا، ثم لملف التعريف، حدد برنامج الحماية من الفيروسات أو برنامج الحماية من الفيروسات من Microsoft Defender (يعتمد الخيار المحدد على ما حددته للنظام الأساسي.) ثم اختر "إنشاء".

4. في علامة التبويب "Basics "، حدد اسما ووصفا للنهج. ثم اختر "التالي".

5. في علامة التبويب "إعدادات التكوين" ، قم بتوسيع حماية السحابة، وحدد الإعدادات التالية:

   • قم بتعيين تشغيل الحماية المقدمة من السحابة إلى "نعم".
   • تعيين مستوى الحماية المقدمة من السحابة إلى غير مكون. (يوفر هذا المستوى مستوى قويا من الحماية بشكل افتراضي مع تقليل فرص الحصول على إيجابيات خاطئة.)

6. في علامة التبويب "Scope tags "، إذا كنت تستخدم علامات النطاق في مؤسستك، فحدد علامات النطاق للنهج. (راجع علامات النطاق.)

7. في علامة التبويب "الواجبات "، حدد المستخدمين والمجموعات التي يجب تطبيق نهجك عليها، ثم اختر "التالي". (إذا كنت بحاجة إلى مساعدة في التعيينات، فراجع تعيين ملفات تعريف المستخدمين والجهاز في Microsoft Intune.)

8. في علامة التبويب "مراجعة + إنشاء "، راجع الإعدادات، ثم اختر "إنشاء".

المعالجة للتطبيقات التي يحتمل أن تكون غير مرغوب فيها

التطبيقات التي يحتمل أن تكون غير مرغوب فيها (PUA) هي فئة من البرامج التي يمكن أن تتسبب في تشغيل الأجهزة ببطء أو عرض إعلانات غير متوقعة أو تثبيت برامج أخرى قد تكون غير متوقعة أو غير مرغوب فيها. تتضمن أمثلة PUA البرامج الإعلانية وبرامج التجميع وبرامج التهرب التي تتصرف بشكل مختلف مع منتجات الأمان. على الرغم من أن PUA لا يعتبر برامج ضارة، فإن بعض أنواع البرامج تعتمد على سلوكها وسمعتها.

تلميح

لمعرفة المزيد حول PUA، راجع الكشف عن التطبيقات التي يحتمل أن تكون غير مرغوب فيها وحظرها.

استنادا إلى التطبيقات التي تستخدمها مؤسستك، قد تحصل على إيجابيات خاطئة نتيجة لإعدادات حماية PUA. إذا لزم الأمر، ففكر في تشغيل حماية PUA في وضع التدقيق لفترة من الوقت، أو طبق حماية PUA على مجموعة فرعية من الأجهزة في مؤسستك. يمكن تكوين حماية PUA للمستعرض Microsoft Edge ول برنامج الحماية من الفيروسات من Microsoft Defender.

نوصي باستخدام إدارة نقاط النهاية من Microsoft لتحرير إعدادات حماية PUA أو تعيينها؛ ومع ذلك، يمكنك استخدام أساليب أخرى، مثل نهج المجموعة (راجع إدارة Microsoft Defender لنقطة النهاية.

استخدام إدارة نقاط النهاية من Microsoft لتحرير حماية PUA (لملفات تعريف التكوين الموجودة)

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر ملفات تعريف تكوين الأجهزة>، ثم حدد نهجا موجودا. (إذا لم يكن لديك نهج موجود، أو إذا كنت تريد إنشاء نهج جديد، فانتقل إلى الإجراء التالي.)

3. ضمن "إدارة"، اختر "خصائص"، ثم إلى جانب إعدادات التكوين، اختر "تحرير".

4. في علامة التبويب "إعدادات التكوين"، قم بالتمرير لأسفل ثم قم بتوسيع برنامج الحماية من الفيروسات من Microsoft Defender.

5. تعيين الكشف عن التطبيقات غير المرغوب فيها إلى التدقيق. (يمكنك إيقاف تشغيله، ولكن باستخدام وضع التدقيق، ستتمكن من رؤية عمليات الكشف.)

6. اختر "مراجعة + حفظ"، ثم اختر "حفظ".

استخدام إدارة نقاط النهاية من Microsoft لتعيين حماية PUA (لملف تعريف تكوين جديد)

1. انتقل إلى مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com) وسجل الدخول.

2. اختر ملفات تعريف > تكوين الأجهزة > + إنشاء ملف تعريف.

3. بالنسبة إلى النظام الأساسي، اختر Windows 10 والإصدارات الأحدث، وبالنسبة إلى ملف التعريف، حدد قيود الجهاز.

4. في علامة التبويب "Basics "، حدد اسما ووصفا للنهج الخاص بك. ثم اختر "التالي".

5. في علامة التبويب "إعدادات التكوين"، قم بالتمرير لأسفل ثم قم بتوسيع برنامج الحماية من الفيروسات من Microsoft Defender.

6. قم بتعيين "الكشف عن التطبيقات غير المرغوب فيها " إلى "التدقيق"، ثم اختر "التالي". (يمكنك إيقاف تشغيل حماية PUA، ولكن باستخدام وضع التدقيق، ستتمكن من رؤية عمليات الكشف.)

7. في علامة التبويب "الواجبات "، حدد المستخدمين والمجموعات التي يجب تطبيق نهجك عليها، ثم اختر "التالي". (إذا كنت بحاجة إلى مساعدة في التعيينات، فراجع تعيين ملفات تعريف المستخدمين والجهاز في Microsoft Intune.)

8. في علامة التبويب " قواعد التطبيق" ، حدد إصدارات نظام التشغيل أو الإصدارات لتضمينها أو استبعادها من النهج. على سبيل المثال، يمكنك تعيين النهج الذي سيتم تطبيقه على جميع الأجهزة إصدارات معينة من Windows 10. ثم اختر "التالي".

9. في علامة التبويب "مراجعة + إنشاء "، راجع الإعدادات، ثم اختر "إنشاء".

التحقيق التلقائي والمعالجة

تم تصميم قدرات التحقيق والمعالجة التلقائية (AIR) لفحص التنبيهات واتخاذ إجراءات فورية لحل الخروقات. مع تشغيل التنبيهات، وإجراء تحقيق تلقائي، يتم إصدار حكم لكل قطعة من الأدلة التي يتم التحقيق فيها. يمكن أن تكون الأحكام ضارة أو مريبة أو لم يتم العثور على أي تهديدات.

اعتمادا على مستوى التشغيل التلقائي المعين لمؤسستك وإعدادات الأمان الأخرى، يتم اتخاذ إجراءات المعالجة على البيانات الاصطناعية التي تعتبر ضارة أو مريبة. في بعض الحالات، تحدث إجراءات المعالجة تلقائيا؛ في حالات أخرى، يتم اتخاذ إجراءات المعالجة يدويا أو فقط عند موافقة فريق عمليات الأمان.

• تعرف على المزيد حول مستويات التشغيل التلقائي؛ وبعد ذلك
• تكوين قدرات AIR في Defender لنقطة النهاية.

هام

نوصي باستخدام التشغيل التلقائي الكامل للتحقيق التلقائي والمعالجة. لا توقف تشغيل هذه القدرات بسبب إيجابية خاطئة. بدلا من ذلك، استخدم مؤشرات "السماح" لتعريف الاستثناءات، واحتفظ بتعيين التحقيق والمعالجة التلقائيين لاتخاذ الإجراءات المناسبة تلقائيا. يساعد اتباع هذه الإرشادات على تقليل عدد التنبيهات التي يجب على فريق عمليات الأمان التعامل معها.

هل ما زلت بحاجة إلى المساعدة؟

إذا كنت قد عملت على جميع الخطوات الواردة في هذه المقالة وكنت لا تزال بحاجة إلى المساعدة، فاتصل بالدعم التقني.

1. انتقل إلى Microsoft 365 Defender وسجل الدخول.

2. في الزاوية العلوية اليسرى، حدد علامة الاستفهام (؟)، ثم حدد دعم Microsoft.

3. في نافذة مساعد الدعم ، صف مشكلتك، ثم أرسل رسالتك. من هناك، يمكنك فتح طلب خدمة.

تلميح

إذا كنت تبحث عن معلومات متعلقة بالحماية من الفيروسات للأنظمة الأساسية الأخرى، فراجع:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender for Endpoint على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

راجع أيضًا

إدارة Microsoft Defender لنقطة النهاية

نظرة عامة على مدخل Microsoft 365 Defender