معالجة حسابات المستخدمين المخترقة مع التحقيق التلقائي والاستجابة
ينطبق على
تتضمن Microsoft Defender لـ Office 365 الخطة 2 قدرات قوية للتحقيق والاستجابة التلقائية (AIR). يمكن أن توفر هذه القدرات لفريق عمليات الأمان لديك الكثير من الوقت والجهد للتعامل مع التهديدات. تواصل Microsoft تحسين قدرات الأمان. مؤخرا، تم تحسين قدرات AIR لتضمين دليل مبادئ أمان المستخدم الذي تم اختراقه (قيد المعاينة حاليا). اقرأ هذه المقالة لمعرفة المزيد حول دليل مبادئ أمان المستخدم الذي تم اختراقه. واطلع على وقت تسريع نشر المدونة للكشف عن اختراق المستخدم والاستجابة له والحد من نطاق الخرق مع Microsoft Defender لـ Office 365 للحصول على تفاصيل إضافية.
يمكن دليل مبادئ أمان المستخدم الذي تم اختراقه فريق أمان مؤسستك من:
- تسريع الكشف عن حسابات المستخدمين المخترقة؛
- تحديد نطاق الخرق عند اختراق حساب؛ و
- الاستجابة للمستخدمين المخترقين بشكل أكثر فعالية وكفاءة.
تنبيهات المستخدم المخترقة
عند اختراق حساب مستخدم، تحدث سلوكيات غير نمطية أو غير طبيعية. على سبيل المثال، قد يتم إرسال رسائل التصيد الاحتيالي والبريد العشوائي داخليا من حساب مستخدم موثوق به. يمكن Defender لـ Office 365 اكتشاف مثل هذه الحالات الشاذة في أنماط البريد الإلكتروني ونشاط التعاون داخل Office 365. عند حدوث ذلك، يتم تشغيل التنبيهات، وتبدأ عملية التخفيف من المخاطر.
على سبيل المثال، إليك تنبيه تم تشغيله بسبب إرسال بريد إلكتروني مريب:
وفيما يلي مثال على تنبيه تم تشغيله عند الوصول إلى حد الإرسال للمستخدم:
التحقيق في مستخدم تم اختراقه والاستجابة له
عند اختراق حساب مستخدم، يتم تشغيل التنبيهات. وفي بعض الحالات، يتم حظر حساب المستخدم هذا ومنعه من إرسال أي رسائل بريد إلكتروني أخرى حتى يتم حل المشكلة من قبل فريق عمليات الأمان في مؤسستك. في حالات أخرى، يبدأ التحقيق التلقائي الذي يمكن أن يؤدي إلى إجراءات موصى بها يجب على فريق الأمان اتخاذها.
هام
يجب أن يكون لديك الأذونات المناسبة لتنفيذ المهام التالية. راجع الأذونات المطلوبة لاستخدام قدرات AIR.
شاهد هذا الفيديو القصير لمعرفة كيف يمكنك الكشف عن اختراق المستخدم والاستجابة له في Microsoft Defender لـ Office 365 باستخدام التحقيق التلقائي والاستجابة (AIR) وتنبيهات المستخدم المخترقة.
عرض المستخدمين المقيدين والتحقيق فيهم
لديك بعض الخيارات للانتقال إلى قائمة المستخدمين المقيدين. على سبيل المثال، في مدخل Microsoft 365 Defender، يمكنك الانتقال إلى تعاون > البريد الإلكتروني & مراجعة > المستخدمين المقيدين. يصف الإجراء التالي التنقل باستخدام لوحة معلومات التنبيهات ، وهي طريقة جيدة لمشاهدة أنواع مختلفة من التنبيهات التي ربما تم تشغيلها.
افتح مدخل Microsoft 365 Defender في https://security.microsoft.com تنبيهات الحوادث > & وانتقل إليها. أو للانتقال مباشرة إلى صفحة التنبيهات ، استخدم https://security.microsoft.com/alerts.
في صفحة التنبيهات ، قم بتصفية النتائج حسب الفترة الزمنية والنهج المسمى المستخدم مقيد من إرسال البريد الإلكتروني.
إذا قمت بتحديد الإدخال بالنقر فوق الاسم، يفتح مستخدم مقيد من إرسال صفحة البريد الإلكتروني مع تفاصيل إضافية لمراجعتها. إلى جانب الزر "إدارة التنبيه "، يمكنك النقر فوق
مزيد من الخيارات ثم حدد عرض تفاصيل المستخدم المقيد للانتقال إلى صفحة "المستخدمون المقيدون "، حيث يمكنك تحرير المستخدم المقيد.
عرض تفاصيل حول التحقيقات التلقائية
عند بدء تحقيق تلقائي، يمكنك الاطلاع على تفاصيله ونتائجه في مركز التوافق & الأمان. انتقل إلى تحقيقات إدارة > المخاطر، ثم حدد التحقيق لعرض تفاصيله.
لمعرفة المزيد، راجع عرض تفاصيل التحقيق.
ضع النقاط التالية في الاعتبار
ابق على اطلاع على التنبيهات. كما تعلم، كلما طالت فترة عدم الكشف عن التسوية، زاد احتمال التأثير والتكلفة على نطاق واسع لمؤسستك وعملائك وشركائك. يعد الكشف المبكر والاستجابة في الوقت المناسب أمرا بالغ الأهمية للتخفيف من التهديدات، وخاصة عند اختراق حساب المستخدم.
تساعد الأتمتة فريق عمليات الأمان الخاص بك، ولكن لا تحل محله. يمكن أن تكشف قدرات التحقيق والاستجابة التلقائية عن مستخدم تم اختراقه في وقت مبكر، ولكن من المحتمل أن يحتاج فريق عمليات الأمان إلى المشاركة وإجراء بعض التحقيق والمعالجة. هل تحتاج إلى بعض المساعدة في هذا؟ راجع مراجعة الإجراءات والموافقة عليها.
لا تعتمد على تنبيه تسجيل الدخول المشبوه كمؤشرك الوحيد. عند اختراق حساب مستخدم، قد يؤدي أو لا يقوم بتشغيل تنبيه تسجيل دخول مريب. في بعض الأحيان، تكون سلسلة الأنشطة التي تحدث بعد اختراق الحساب هي التي تشغل تنبيها. هل تريد معرفة المزيد حول التنبيهات؟ راجع نهج التنبيه.
الخطوات التالية
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ