تحليلات المخاطر في Microsoft 365 Defender

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

• Microsoft 365 Defender

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل طرحه تجاريا. لا تقدم Microsoft أي ضمانات، صريحة أو ضمنية، فيما يتعلق بالمعلومات المتوفرة هنا.

تحليلات التهديدات هي حل التحليل الذكي للمخاطر داخل المنتج من الباحثين في أمان Microsoft الخبراء. وهي مصممة لمساعدة فرق الأمان على أن تكون فعالة قدر الإمكان في أثناء مواجهة التهديدات الناشئة، مثل:

• الجهات الفاعلة النشطة للمخاطر وحملاتها
• تقنيات الهجوم الشائعة والجديدة
• الثغرات الأمنية الحرجة
• أسطح الهجوم الشائعة
• البرامج الضارة الشائعة

شاهد هذا الفيديو القصير لمعرفة المزيد حول كيفية مساعدة تحليلات التهديدات في تعقب أحدث التهديدات وإيقافها.

يمكنك الوصول إلى تحليلات التهديدات إما من الجانب الأيمن العلوي من شريط التنقل الخاص بمدخل الأمان Microsoft 365، أو من بطاقة لوحة معلومات مخصصة تعرض أهم التهديدات لمؤسستك، سواء من حيث التأثير أو من حيث التعرض.

التهديدات عالية التأثير لديها أكبر احتمال للتسبب في ضرر، في حين أن تهديدات التعرض العالية هي تلك التي تكون أصولك أكثر عرضة لها. يمكن أن يساعد الحصول على رؤية للحملات النشطة أو المستمرة ومعرفة ما يجب فعله من خلال تحليلات التهديدات في تزويد فريق عمليات الأمان لديك بالقرارات المستنيرة.

مكان الوصول إلى تحليلات التهديدات

مع ظهور خصوم أكثر تعقيدا وتهديدات جديدة بشكل متكرر ومتفرع، من المهم أن تكون قادرا على القيام بذلك بسرعة:

• تحديد التهديدات الناشئة والتفاعل معها
• تعرف على ما إذا كنت تتعرض للهجوم حاليا
• تقييم تأثير التهديد على أصولك
• مراجعة مرونتك ضد التهديدات أو التعرض لها
• تحديد إجراءات التخفيف أو الاسترداد أو الوقاية التي يمكنك اتخاذها لإيقاف التهديدات أو احتواءها

يوفر كل تقرير تحليلا للمخاطر المتعقبة وإرشادات واسعة النطاق حول كيفية الدفاع ضد هذا التهديد. كما أنه يتضمن بيانات من شبكتك، ما يشير إلى ما إذا كان التهديد نشطا وما إذا كان لديك حماية قابلة للتطبيق.

عرض لوحة معلومات تحليلات المخاطر

تسلط لوحة معلومات تحليلات المخاطر (security.microsoft.com/threatanalytics3) الضوء على التقارير الأكثر صلة بمؤسستك. وهو يلخص التهديدات في الأقسام التالية:

• أحدث التهديدات - يسرد أحدث تقارير التهديد المنشورة أو المحدثة، إلى جانب عدد التنبيهات النشطة التي تم حلها.
• التهديدات عالية التأثير - تسرد التهديدات التي لها أكبر تأثير على مؤسستك. يسرد هذا القسم التهديدات التي تحتوي على أكبر عدد من التنبيهات النشطة والمحللة أولا.
• أعلى تعرض - يسرد التهديدات ذات أعلى مستويات التعرض أولا. يتم حساب مستوى التعرض للمخاطر باستخدام مجموعتين من المعلومات: مدى خطورة الثغرات الأمنية المرتبطة بالخطر، وعدد الأجهزة في مؤسستك التي يمكن استغلالها من خلال هذه الثغرات الأمنية.

حدد تهديدا من لوحة المعلومات لعرض التقرير عن هذا التهديد.

لوحة معلومات تحليلات المخاطر. يمكنك أيضا تحديد حقل البحث للمفتاح في كلمة أساسية مرتبطة بتقرير تحليلات المخاطر الذي تريد قراءته.

عرض تقرير تحليلات المخاطر

يوفر كل تقرير لتحليلات المخاطر معلومات في عدة أقسام:

• نظرة عامة
• تقرير المحلل
• الحوادث ذات الصلة
• الأصول المتأثرة
• محاولات البريد الإلكتروني التي تم منعها
• عمليات التخفيف من المخاطر & التعرض

نظرة عامة: فهم التهديد بسرعة وتقييم تأثيره ومراجعة الدفاعات

يوفر قسم النظرة العامة معاينة لتقرير المحلل المفصل. كما يوفر مخططات تسلط الضوء على تأثير التهديد الذي تتعرض له مؤسستك، وتعرضك من خلال الأجهزة التي تم تكوينها بشكل خاطئ وغير مصحح.

قسم نظرة عامة لتقرير تحليلات المخاطر

تقييم التأثير على مؤسستك

يتضمن كل تقرير مخططات مصممة لتوفير معلومات حول التأثير التنظيمي للمخاطر:

• الحوادث ذات الصلة — توفر نظرة عامة على تأثير التهديد المتعقب لمؤسستك بالبيانات التالية:
  • عدد التنبيهات النشطة وعدد الحوادث النشطة المرتبطة بها
  • خطورة الحوادث النشطة
• التنبيهات بمرور الوقت— تعرض عدد التنبيهات النشطة والمحلة ذات الصلة بمرور الوقت. يشير عدد التنبيهات التي تم حلها إلى مدى سرعة استجابة مؤسستك للتنبيهات المرتبطة بالخطر. من الناحية المثالية، يجب أن يعرض المخطط تنبيهات تم حلها في غضون أيام قليلة.
• الأصول المتأثرة - تعرض عدد الأجهزة المميزة وحسابات البريد الإلكتروني (علب البريد) التي تحتوي حاليا على تنبيه نشط واحد على الأقل مرتبط بالخطر المتعقب. يتم تشغيل التنبيهات لعلب البريد التي تلقت رسائل البريد الإلكتروني الخاصة بالتهديدات. راجع كل من النهج على مستوى المؤسسة والمستخدم للتجاوزات التي تتسبب في تسليم رسائل البريد الإلكتروني للمخاطر.
• محاولات البريد الإلكتروني التي تم منعها- تعرض عدد رسائل البريد الإلكتروني من الأيام السبعة الماضية التي تم حظرها قبل التسليم أو تسليمها إلى مجلد البريد غير الهام.

مراجعة مرونة الأمان ووضعه

يتضمن كل تقرير مخططات توفر نظرة عامة على مدى مرونة مؤسستك في مواجهة تهديد معين:

• حالة التكوين الآمن — تعرض عدد الأجهزة التي تحتوي على إعدادات أمان تم تكوينها بشكل خاطئ. تطبيق إعدادات الأمان الموصى بها للمساعدة في التخفيف من المخاطر. تعتبر الأجهزة آمنة إذا كانت قد طبقت جميع الإعدادات المتعقبة.
• حالة تصحيح الثغرات الأمنية— تظهر عدد الأجهزة المعرضة للخطر. تطبيق تحديثات الأمان أو التصحيحات لمعالجة الثغرات الأمنية التي تم استغلالها من قبل التهديد.

عرض التقارير لكل علامات التهديد

يمكنك تصفية قائمة تقارير التهديد وعرض التقارير الأكثر صلة وفقا لعلامة تهديد معينة (فئة) أو نوع تقرير.

• علامات التهديد — تساعدك في عرض التقارير الأكثر صلة وفقا لفئة مخاطر معينة. على سبيل المثال، جميع التقارير المتعلقة برامج الفدية الضارة.
• أنواع التقارير — تساعدك على عرض التقارير الأكثر صلة وفقا لنوع تقرير معين. على سبيل المثال، جميع التقارير التي تغطي الأدوات والتقنيات.
• عوامل التصفية — تساعدك على مراجعة قائمة تقارير التهديد بكفاءة وتصفية طريقة العرض استنادا إلى علامة تهديد معينة أو نوع تقرير معين. على سبيل المثال، راجع جميع تقارير التهديدات المتعلقة بفئة برامج الفدية الضارة، أو تقارير التهديدات التي تغطي الثغرات الأمنية.

كيف يعمل؟

أضاف فريق Microsoft Threat Intelligence علامات التهديد إلى كل تقرير من تقارير التهديد:

• تتوفر الآن أربع علامات تهديد:

  • برامج الفدية الضارة
  • التصيّد الاحتيالي
  • ثغرة أمنية
  • مجموعة النشاط

• يتم تقديم علامات التهديد في أعلى صفحة تحليلات المخاطر. هناك عدادات لعدد التقارير المتوفرة ضمن كل علامة.

  

• يمكن أيضا فرز القائمة حسب علامات التهديد:

  

• تتوفر عوامل التصفية لكل علامة تهديد ونوع التقرير:

  

تقرير المحلل: الحصول على رؤى الخبراء من الباحثين في الأمان في Microsoft

في قسم تقرير المحلل ، اقرأ من خلال كتابة الخبير التفصيلي. توفر معظم التقارير أوصافا تفصيلية لسلاسل الهجوم، بما في ذلك التكتيكات والتقنيات المعينة لإطار عمل MITRE ATT&CK، وقوائم شاملة من التوصيات، وإرشادات قوية حول تتبع التهديدات .

معرفة المزيد حول تقرير المحلل

الحوادث ذات الصلة: عرض الحوادث ذات الصلة وإدارتها

توفر علامة تبويب الحوادث ذات الصلة قائمة بجميع الحوادث المتعلقة بالخطر المتعقب. يمكنك تعيين الحوادث أو إدارة التنبيهات المرتبطة بكل حادث.

قسم الحوادث ذات الصلة في تقرير تحليلات المخاطر

الأصول المتأثرة: الحصول على قائمة بالأجهزة وعلب البريد المتأثرة

يعتبر الأصل متأثرا إذا تأثر بتنبيه نشط لم يتم حله. تسرد علامة تبويب الأصول المتأثرة الأنواع التالية من الأصول المتأثرة:

• الأجهزة المتأثرة— نقاط النهاية التي لم يتم حلها Microsoft Defender لنقطة النهاية التنبيهات. وعادة ما تطلق هذه التنبيهات على مشاهد مؤشرات التهديد والأنشطة المعروفة.
• علب البريد المتأثرة — علب البريد التي تلقت رسائل بريد إلكتروني تم تشغيلها Microsoft Defender لـ Office 365 التنبيهات. في حين أن معظم الرسائل التي تقوم بتشغيل التنبيهات عادة ما يتم حظرها، يمكن أن تتجاوز النهج على مستوى المستخدم أو المؤسسة عوامل التصفية.

قسم الأصول المتأثرة في تقرير تحليلات المخاطر

محاولات البريد الإلكتروني التي تم منعها: عرض رسائل البريد الإلكتروني المحظورة أو غير الهامة للتهديدات

عادة ما يحظر Microsoft Defender لـ Office 365 رسائل البريد الإلكتروني ذات مؤشرات التهديد المعروفة، بما في ذلك الارتباطات أو المرفقات الضارة. في بعض الحالات، ستقوم آليات التصفية الاستباقية التي تتحقق من المحتوى المشبوه بدلا من ذلك بإرسال رسائل البريد الإلكتروني الخاصة بالتهديدات إلى مجلد البريد غير الهام. في كلتا الحالتين، يتم تقليل فرص بدء تشغيل رمز البرامج الضارة على الجهاز.

تسرد علامة التبويب "منع محاولات البريد الإلكتروني" كل رسائل البريد الإلكتروني التي تم حظرها قبل التسليم أو تم إرسالها إلى مجلد البريد غير الهام بواسطة Microsoft Defender لـ Office 365.

قسم محاولات البريد الإلكتروني التي تم منعها في تقرير تحليلات المخاطر

التعرض والتخفيف من المخاطر: مراجعة قائمة عمليات التخفيف من المخاطر وحالة أجهزتك

في قسم التخفيف من المخاطر & التعرض ، راجع قائمة التوصيات المحددة القابلة للتنفيذ التي يمكن أن تساعدك على زيادة مرونتك التنظيمية ضد التهديد. تتضمن قائمة عمليات التخفيف المتعقبة ما يلي:

• تحديثات الأمان - نشر تحديثات أمان البرامج المدعومة للثغرات الأمنية الموجودة على الأجهزة الملحقة
• تكوينات الأمان المدعومة
  • الحماية المقدمة من السحابة
  • حماية التطبيقات غير المرغوب فيها (PUA)
  • الحماية في الوقت الحقيقي

تتضمن معلومات التخفيف في هذا القسم بيانات من إدارة المخاطر والثغرات الأمنية، والتي توفر أيضا معلومات تفصيلية حول التنقل لأسفل من ارتباطات مختلفة في التقرير.

قسم التخفيف من المخاطر & التعرض لتقرير تحليلات المخاطر

إعداد إعلامات البريد الإلكتروني لتحديثات التقارير

يمكنك إعداد إعلامات البريد الإلكتروني التي سترسل لك تحديثات حول تقارير تحليلات التهديدات.

لإعداد إعلامات البريد الإلكتروني لتقارير تحليلات التهديدات، نفذ الخطوات التالية:

1. حدد الإعدادات في الشريط الجانبي Microsoft 365 Defender. حدد Microsoft 365 Defender من قائمة الإعدادات.

2. اختر Email notificationsThreat > analytics، وحدد الزر ، + Create a notification rule. ستظهر قائمة منبثقة.

3. اتبع الخطوات المدرجة في القائمة المنبثقة. أولا، امنح القاعدة الجديدة اسما. حقل الوصف اختياري، ولكن الاسم مطلوب. يمكنك تبديل القاعدة أو إيقاف تشغيلها باستخدام خانة الاختيار ضمن حقل الوصف.

ملاحظة

يقبل حقلا الاسم والوصف لقاعدة إعلام جديدة الأحرف والأرقام الإنجليزية فقط. وهي لا تقبل المسافات أو الشرطات أو الشرط السفلية أو أي علامات ترقيم أخرى.

4. اختر نوع التقارير التي تريد إعلامك بها. يمكنك الاختيار بين التحديث حول كافة التقارير المنشورة أو المحدثة حديثا، أو تلك التقارير التي تحتوي على علامة أو نوع معين فقط.

5. أضف مستلما واحدا على الأقل لتلقي رسائل البريد الإلكتروني للإعلام. يمكنك أيضا استخدام هذه الشاشة للتحقق من كيفية تلقي الإعلامات، عن طريق إرسال بريد إلكتروني تجريبي.

6. راجع القاعدة الجديدة. إذا كان هناك أي شيء تريد تغييره، فحدد الزر "تحرير" في نهاية كل مقطع فرعي. بمجرد اكتمال المراجعة، حدد الزر "إنشاء قاعدة ".

7. تهانينا! تم إنشاء القاعدة الجديدة بنجاح. حدد الزر "تم " لإكمال العملية وإغلاق القائمة المنبثقة.

8. ستظهر القاعدة الجديدة الآن في قائمة إعلامات البريد الإلكتروني لتحليلات المخاطر.

تفاصيل التقرير وقيوده الإضافية

ملاحظة

كجزء من تجربة الأمان الموحدة، تتوفر الآن تحليلات التهديدات ليس فقط Microsoft Defender لنقطة النهاية، ولكن أيضا ل Microsoft Defender لحاملي تراخيص E5 Office.

إذا كنت لا تستخدم مدخل الأمان Microsoft 365 (Microsoft 365 Defender)، يمكنك أيضا رؤية تفاصيل التقرير (بدون Microsoft Defender لبيانات Office) في مدخل مركز حماية Microsoft Defender ( Microsoft Defender لنقطة النهاية).

للوصول إلى تقارير تحليلات التهديدات، تحتاج إلى أدوار وأذونات معينة. راجع الأدوار المخصصة في التحكم في الوصول استنادا إلى الدور للحصول على Microsoft 365 Defender للحصول على التفاصيل.

• لعرض التنبيهات أو الحوادث أو بيانات الأصول المتأثرة، تحتاج إلى الحصول على أذونات ل Microsoft Defender لبيانات تنبيهات Office أو Microsoft Defender لنقطة النهاية أو كليهما.
• لعرض محاولات البريد الإلكتروني التي تم منعها، يجب أن يكون لديك أذونات ل Microsoft Defender Office بيانات التتبع.
• لعرض عمليات التخفيف من المخاطر، تحتاج إلى الحصول على أذونات إدارة المخاطر والثغرات الأمنية البيانات في Microsoft Defender لنقطة النهاية.

عند النظر إلى بيانات تحليلات المخاطر، تذكر العوامل التالية:

• تعكس المخططات عمليات التخفيف التي يتم تعقبها فقط. تحقق من نظرة عامة على التقرير للحصول على عمليات تخفيف إضافية غير معروضة في المخططات.
• لا تضمن عمليات التخفيف من المخاطر المرونة الكاملة. تعكس عمليات التخفيف المقدمة أفضل الإجراءات الممكنة اللازمة لتحسين المرونة.
• يتم حساب الأجهزة على أنها "غير متوفرة" إذا لم تكن قد نقلت البيانات إلى الخدمة.
• تستند الإحصائيات المتعلقة بمكافحة الفيروسات إلى إعدادات برنامج الحماية من الفيروسات من Microsoft Defender. يمكن أن تظهر الأجهزة التي تحتوي على حلول الحماية من الفيروسات من جهة خارجية على أنها "مكشوفة".

المقالات ذات الصلة

• العثور على التهديدات بشكل استباقي باستخدام التتبع المتقدم
• فهم قسم تقرير المحلل
• تقييم نقاط الضعف والتعرض الأمنية وحلها