كيفية عمل التحقيق والاستجابة الآليين في Microsoft Defender لـ Office 365

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Microsoft Defender لـ Office 365 الخطة 2
• Microsoft 365 Defender

مع تشغيل تنبيهات الأمان، يعود الأمر إلى فريق عمليات الأمان لديك للنظر في هذه التنبيهات واتخاذ خطوات لحماية مؤسستك. في بعض الأحيان، يمكن أن تشعر فرق عمليات الأمان بالإرهاق بسبب حجم التنبيهات التي يتم تشغيلها. يمكن أن تساعد قدرات التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365.

يتيح AIR لفريق عمليات الأمان لديك العمل بفعالية وفعالية أكبر. تتضمن قدرات AIR عمليات التحقيق التلقائية استجابة للتهديدات المعروفة الموجودة اليوم. تنتظر إجراءات المعالجة المناسبة الموافقة، ما يتيح لفريق عمليات الأمان لديك الاستجابة للتهديدات المكتشفة.

تصف هذه المقالة كيفية عمل AIR من خلال عدة أمثلة. عندما تكون مستعدا لبدء استخدام AIR، راجع التحقيق التلقائي في التهديدات والاستجابة لها.

• مثال 1: رسالة تصيد احتيالي أبلغ عنها المستخدم تطلق دليل مبادئ التحقيق
• مثال 2: يقوم مسؤول الأمان بتشغيل تحقيق من مستكشف التهديدات
• مثال 3: يدمج فريق عمليات الأمان AIR مع SIEM الخاص بهم باستخدام واجهة برمجة تطبيقات نشاط الإدارة Office 365

مثال: رسالة تصيد احتيالي تم الإبلاغ عنها من قبل المستخدم تطلق دليل مبادئ التحقيق

لنفترض أن المستخدم في مؤسستك يتلقى رسالة بريد إلكتروني يعتقد أنها محاولة تصيد احتيالي. يستخدم المستخدم، المدرب على الإبلاغ عن مثل هذه الرسائل، الوظيفة الإضافية "رسالة التقرير " أو الوظيفة الإضافية "الإبلاغ عن التصيد الاحتيالي " لإرسالها إلى Microsoft للتحليل. يتم أيضا إرسال عمليات الإرسال إلى النظام الخاص بك وتكون مرئية في "المستكشف" في طريقة عرض "عمليات الإرسال " (يشار إليها سابقا بطريقة العرض التي تم الإبلاغ عنها من قبل المستخدم ). بالإضافة إلى ذلك، تؤدي الرسالة التي أبلغ عنها المستخدم الآن إلى تشغيل تنبيه إعلامي يستند إلى النظام، والذي يقوم تلقائيا بتشغيل دليل مبادئ التحقيق.

في أثناء مرحلة التحقيق الجذر، يتم تقييم جوانب مختلفة من البريد الإلكتروني. وتشمل هذه الجوانب ما يلي:

• تحديد نوع التهديد الذي قد يكون عليه؛
• روبوت Who إرساله؛
• المكان الذي تم إرسال البريد الإلكتروني منه (إرسال البنية الأساسية)؛
• ما إذا تم تسليم مثيلات أخرى للبريد الإلكتروني أو حظرها؛
• تقييم من محللينا؛
• ما إذا كان البريد الإلكتروني مقترنا بأي حملات معروفة؛
• والمزيد.

بعد اكتمال التحقيق الجذر، يوفر دليل المبادئ قائمة بالإجراءات الموصى بها لاتخاذها على البريد الإلكتروني الأصلي والكيانات المقترنة به.

بعد ذلك، يتم تنفيذ العديد من خطوات التحقيق في التهديدات والتتبع:

• يتم تعريف رسائل البريد الإلكتروني المماثلة عبر عمليات البحث في مجموعة البريد الإلكتروني.
• تتم مشاركة الإشارة مع أنظمة أساسية أخرى، مثل Microsoft Defender لنقطة النهاية.
• يتم تحديد ما إذا كان أي مستخدم قد نقر عبر أي ارتباطات ضارة في رسائل البريد الإلكتروني المشبوهة.
• يتم إجراء فحص عبر Exchange Online Protection (EOP و(Microsoft Defender لـ Office 365 لمعرفة ما إذا كان هناك أي رسائل أخرى مماثلة أبلغ عنها المستخدمون.
• يتم إجراء فحص لمعرفة ما إذا كان قد تم اختراق مستخدم. يستفيد هذا الفحص من الإشارات عبر Office 365 Microsoft Defender for Cloud Apps وAzure Active Directory، ما يرتبط بأي حالات غير طبيعية متعلقة بنشاط المستخدم.

في أثناء مرحلة التتبع، يتم تعيين المخاطر والتهديدات إلى خطوات التتبع المختلفة.

المعالجة هي المرحلة النهائية من دليل المبادئ. خلال هذه المرحلة، يتم اتخاذ خطوات المعالجة، استنادا إلى مرحلتي التحقيق والتتبع.

مثال: يقوم مسؤول الأمان بتشغيل تحقيق من مستكشف التهديدات

بالإضافة إلى التحقيقات التلقائية التي يتم تشغيلها بواسطة تنبيه، يمكن لفريق عمليات الأمان في مؤسستك تشغيل تحقيق تلقائي من طريقة عرض في مستكشف التهديدات. ينشئ هذا التحقيق أيضا تنبيها، لذلك Microsoft 365 Defender الحوادث وأدوات SIEM الخارجية يمكن أن ترى أنه تم تشغيل هذا التحقيق.

على سبيل المثال، افترض أنك تستخدم طريقة عرض البرامج الضارة في Explorer. باستخدام علامات التبويب أسفل المخطط، يمكنك تحديد علامة التبويب "بريد إلكتروني ". إذا قمت بتحديد عنصر واحد أو أكثر في القائمة، يتم تنشيط الزر +Actions .

باستخدام قائمة الإجراءات ، يمكنك تحديد «Trigger investigation».

على غرار أدلة المبادئ التي يتم تشغيلها بواسطة تنبيه، تتضمن التحقيقات التلقائية التي يتم تشغيلها من طريقة عرض في Explorer تحقيق جذر، وخطوات لتحديد التهديدات وربطها، والإجراءات الموصى بها للتخفيف من تلك التهديدات.

مثال: يدمج فريق عمليات الأمان AIR مع SIEM الخاص بهم باستخدام واجهة برمجة تطبيقات نشاط الإدارة Office 365

تتضمن قدرات AIR في Microsoft Defender لـ Office 365 تقارير & التفاصيل التي يمكن لفرق عمليات الأمان استخدامها لمراقبة التهديدات ومعالجتها. ولكن يمكنك أيضا دمج قدرات AIR مع حلول أخرى. تتضمن الأمثلة نظام إدارة معلومات الأمان والأحداث (SIEM) أو نظام إدارة الحالة أو حل إعداد التقارير المخصص. يمكن إجراء هذه الأنواع من عمليات التكامل باستخدام واجهة برمجة تطبيقات نشاط الإدارة Office 365.

على سبيل المثال، قامت مؤسسة مؤخرا بإعداد طريقة لفريق عمليات الأمان لعرض تنبيهات التصيد الاحتيالي التي أبلغ عنها المستخدم والتي تمت معالجتها بالفعل بواسطة AIR. يدمج حلهم التنبيهات ذات الصلة مع خادم SIEM الخاص بالمؤسسة ونظام إدارة الحالة الخاص بهم. يقلل الحل إلى حد كبير من عدد الإيجابيات الخاطئة بحيث يمكن لفريق عمليات الأمان تركيز وقتهم وجهدهم على التهديدات الحقيقية. لمعرفة المزيد حول هذا الحل المخصص، راجع مدونة المجتمع التقني: تحسين فعالية SOC باستخدام Microsoft Defender لـ Office 365 وواجهة برمجة تطبيقات إدارة O365.

الخطوات التالية

• بدء استخدام AIR
• عرض إجراءات المعالجة المعلقة أو المكتملة