الملاحظات

تفاصيل ونتائج التحقيق التلقائي في Microsoft 365

  • مقالة
  • قراءة خلال 5 دقائق

ينطبق على

عند إجراء تحقيق تلقائي في Microsoft Defender Office 365، تتوفر تفاصيل حول هذا التحقيق أثناء عملية التحقيق التلقائية وبعدها. إذا كانت لديك الأذونات اللازمة، يمكنك عرض هذه التفاصيل في Microsoft 365 Defender المدخل. توفر لك تفاصيل التحقيق حالة م أحدث، والقدرة على الموافقة على أي إجراءات معلقة.

تلميح

اطلع على صفحة التحقيق الموحدة الجديدة في Microsoft 365 Defender الإلكتروني. لمعرفة المزيد، راجع (NEW!) صفحة التحقيق الموحدة.

حالة التحقيق

تشير حالة التحقيق إلى تقدم التحليلات والإجراءات. ومع تشغيل التحقيق، تتغير الحالة للإشارة إلى ما إذا كان قد تم العثور على تهديدات، وما إذا تمت الموافقة على الإجراءات.

الحالة الوصف
البدء تم تشغيل التحقيق والانتظار لبدء تشغيله.
قيد التشغيل لقد بدأت عملية التحقيق وهي قيد التنفيذ. تحدث هذه الحالة أيضا عند الموافقة على الإجراءات المعلقة.
لم يتم العثور على أي تهديدات انتهى التحقيق ولم يتم التعرف على أي تهديدات (حساب المستخدم أو رسالة البريد الإلكتروني أو URL أو الملف).

تلميح: إذا كنت تعتقد بتفوية شيء ما (مثل سالب خاطئ)، يمكنك اتخاذ إجراء باستخدام "مستكشف التهديدات".
التهديدات التي تم العثور عليها تم العثور على مشاكل في التحقيق التلقائي، ولكن لا توجد إجراءات إصلاح معينة لحل هذه المشاكل.

يمكن أن تحدث حالة التهديدات التي تم العثور عليها عند تحديد نوع نشاط مستخدم ما ولكن لا تتوفر إجراءات تنظيف. تتضمن الأمثلة أي من أنشطة المستخدم التالية:

  • حدث منع فقدان البيانات
  • رسالة بريد إلكتروني ترسل حالة غير مهينة
  • البرامج الضارة المرسلة
  • التصيد الاحتيالي المرسل

لم يعثر التحقيق على عناوين URL أو ملفات أو رسائل بريد إلكتروني ضارة لمعالجتها، ولا يوجد أي نشاط لعلبة البريد لإصلاحه، مثل إيقاف تشغيل قواعد إعادة توجيه البريد أو التكميل.

تلميح: إذا كنت تعتقد بتفوية شيء ما (مثل سالب خاطئ)، يمكنك التحقق واتخاذ إجراء باستخدام "مستكشف التهديدات"
تم إنهاؤه بواسطة النظام توقف التحقيق. يمكن أن يتوقف التحقيق لعدة أسباب:
  • انتهت صلاحية الإجراءات المعلقة الخاصة بالتحقيق. انتهاء الإجراءات المعلقة بعد انتظار الموافقة لمدة أسبوع واحد
  • هناك العديد من الإجراءات. على سبيل المثال، إذا كان هناك عدد كبير جدا من المستخدمين ينقرون فوق عناوين URL الضارة، فقد يتجاوز ذلك قدرة التحقيق على تشغيل جميع المحللين، بحيث يتوقف التحقيق

تلميح: إذا توقف التحقيق قبل اتخاذ الإجراءات، فحاول استخدام "مستكشف التهديدات" للعثور على التهديدات ومعالجةها.
الإجراء المعلق اعثر التحقيق على خطر، مثل بريد إلكتروني ضار أو عنوان URL ضار أو إعداد علبة بريد خطر، بالإضافة إلى إجراء إصلاح هذا الخطر بانتظار الموافقة.

يتم تشغيل حالة الإجراء المعلق عند العثور على أي تهديدات ذات إجراء مقابل. ومع ذلك، يمكن زيادة قائمة الإجراءات المعلقة مع تشغيل التحقيق. عرض تفاصيل التحقيق لمعرفة ما إذا كانت العناصر الأخرى لا تزال معلقة.
المعالجة تم الانتهاء من التحقيق تمت الموافقة على جميع إجراءات المعالجة (تمت الإشارة إلى أنها تمت المعالجة بالكامل).

ملاحظة: قد تكون إجراءات المعالجة المعتمدة بها أخطاء تمنع اتخاذ الإجراءات. بغض النظر عما إذا تم إكمال إجراءات المعالجة بنجاح، لا تتغير حالة التحقيق. عرض تفاصيل التحقيق.
المعالجة الجزئية أدى التحقيق إلى إجراءات إصلاحية، وتم اعتماد بعضها وإكماله. ما زالت الإجراءات الأخرى معلقة.
فشل اركض محلل تحقيق واحد على الأقل في مشكلة حيث لم يتم إكماله بشكل صحيح.

ملاحظة إذا فشل التحقيق بعد الموافقة على إجراءات المعالجة، فقد تكون إجراءات المعالجة قد نجحت. عرض تفاصيل التحقيق.
في قائمة الانتظار حسب "الوتد" يتم حاليا وضع التحقيق في قائمة انتظار. عند اكتمال التحريات الأخرى، تبدأ التحقيقات في قائمة الانتظار. يساعد التكتل على تجنب أداء الخدمة الرديئة.

تلميح: يمكن أن تحد الإجراءات المعلقة من عدد التحريات الجديدة التي يمكن تشغيلها. تأكد من الموافقة على (أو رفض) الإجراءات المعلقة.
تم إنهاؤه عن طريق "التدويل" إذا تم وضع التحقيق في قائمة الانتظار لفترة طويلة جدا، فإنه يتوقف.

تلميح: يمكنك بدء التحقيق من "مستكشف التهديدات".

عرض تفاصيل التحقيق

  1. انتقل إلى Microsoft 365 Defender (https://security.microsoft.com) ثم سجل الدخول.
  2. في جزء التنقل، حدد مركز الإجراءات.
  3. على علامة التبويب معلق أو علامة التبويب محفوظات، حدد إجراء. يفتح جزء منتفطها.
  4. في جزء "النشرة flyout"، حدد فتح صفحة التحقيق.
  5. استخدم علامات التبويب المختلفة لمعرفة المزيد حول التحقيق.

تؤدي بعض أنواع التنبيهات إلى تشغيل التحقيق التلقائي في Microsoft 365. لمعرفة المزيد، راجع سياسات التنبيه التي تؤدي إلى تشغيل عمليات التحقيق التلقائية.

  1. انتقل إلى Microsoft 365 Defender (https://security.microsoft.com) ثم سجل الدخول.
  2. في جزء التنقل، حدد مركز الإجراءات.
  3. على علامة التبويب معلق أو علامة التبويب محفوظات، حدد إجراء. يفتح جزء منتفطها.
  4. في جزء "النشرة flyout"، حدد فتح صفحة التحقيق.
  5. حدد علامة التبويب تنبيهات لعرض قائمة بكل التنبيهات المقترنة بهذا التحقيق.
  6. حدد أحد العناصر في القائمة لفتح جزء القائمة من القائمة flyout الخاصة به. هناك، يمكنك عرض مزيد من المعلومات حول التنبيه.

ضع النقاط التالية في الاعتبار

  • يتم حساب عدد رسائل البريد الإلكتروني في وقت التحقيق، كما يتم إعادة حساب بعض الحسابات عند فتح القائمة من القائمة المناقلة للتحرير (استنادا إلى استعلام أساسي).

  • يتم حساب عدد رسائل البريد الإلكتروني المعروضة لتجمعات البريد الإلكتروني على علامة التبويب البريد الإلكتروني وقيمة كمية البريد الإلكتروني المعروضة على قائمة منتحلة من نظام المجموعة في وقت التحقيق، ولا تتغير.

  • يعكس عدد البريد الإلكتروني الذي يظهر في أسفل علامة تبويب البريد الإلكتروني في القائمة من القائمة المستكشفة لرسائل البريد الإلكتروني، بالإضافة إلى عدد رسائل البريد الإلكتروني المعروضة في المستكشف رسائل البريد الإلكتروني التي تم تلقيها بعد التحليل الأولي الذي تم إجراءه في التحقيق.

    وبالتالي، فإن مجموعة رسائل البريد الإلكتروني التي تعرض كمية أصلية من 10 رسائل بريد إلكتروني تعرض إجمالي قائمة بريد إلكتروني يصل إلى 15 رسالة عند وصول خمس رسائل بريد إلكتروني أخرى بين مرحلة تحليل التحقيق وعندما يراجع المسؤول التحقيق. وبالمثل، قد تبدأ التحريات القديمة بإظهار عدد أكبر من العدد الذي تظهره استعلامات المستكشف، لأن صلاحية البيانات في Microsoft Defender ل Office 365 الخطة 2 تنتهي بعد سبعة أيام للتراخيص التجريبية وبعد 30 يوما للتراخيص المدفوعة.

    يتم عرض كل من العدد التاريخي والفعلي في طرق العرض المختلفة للإشارة إلى تأثير البريد الإلكتروني في وقت التحقيق والتأثير الحالي حتى وقت تشغيل المعالجة.

  • في سياق البريد الإلكتروني، قد ترى سطح خطر شذوذ في مستوى الصوت كجزء من التحقيق. يشير وجود مشكلة في مستوى الصوت إلى ارتفاع كبير في رسائل البريد الإلكتروني المماثلة حول وقت حدث التحقيق مقارنة مع الإطارات الزمنية السابقة. الارتفاع الكبير في حركة مرور البريد الإلكتروني مع خصائص معينة (على سبيل المثال، مجال الموضوع والمرسل وتشابه الجسم وIP للمرسل) هو أمر نموذجي لبدء حملات البريد الإلكتروني أو الهجمات. ومع ذلك، فإن الحملات المجمعة والبريد العشوائي وحملات البريد الإلكتروني المشروعة تشارك عادة هذه السمات.

  • تمثل حالات الشذوذ الكمية خطرا محتملا، وبالتالي قد تكون أقل حدة مقارنة بالبرامج الضارة أو تهديدات التصيد الاحتيالي التي يتم تحديدها باستخدام محركات مكافحة الفيروسات أو عمليات التسلل أو سمعتها الضارة.

  • ليس عليك الموافقة على كل إجراء. إذا لم توافق على الإجراء الموصى به أو لم تختار مؤسستك أنواعا معينة من الإجراءات، يمكنك عندئذ اختيار رفض الإجراءات أو تجاهلها ببساطة دون اتخاذ أي إجراء.

  • تسمح الموافقة على جميع الإجراءات و/أو رفضها بغلق التحقيق بشكل كامل (يتم حل المشكلة)، مع ترك بعض الإجراءات غير مكتملة في حالة التحقيق التي تتغير إلى حالة تمت المعالجة جزئيا.

الخطوات التالية