مشاركة عبر

مراجعة إجراءات المعالجة بعد إجراء تحقيق تلقائي

  • مقالة

ينطبق على:

إجراءات المعالجة

عند تشغيل تحقيق تلقائي ، يتم إصدار حكم لكل جزء من الأدلة التي يتم التحقيق فيها. يمكن أن تكون الأحكام ضارة أو مريبة أو لا توجد تهديدات.

حسب

يمكن أن تحدث إجراءات المعالجة تلقائيا أو فقط بناء على موافقة فريق عمليات الأمان في مؤسستك.

ملاحظة

يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.

فيما يلي بعض الأمثلة:

  • مثال 1: يتم تعيين مجموعات أجهزة Fabrikam إلى كامل - معالجة التهديدات تلقائيا (الإعداد الموصى به). في هذه الحالة، يتم اتخاذ إجراءات المعالجة تلقائيا للبيانات الاصطناعية التي تعتبر ضارة بعد تحقيق تلقائي (راجع مراجعة الإجراءات المكتملة).

  • مثال 2: يتم تضمين أجهزة Contoso في مجموعة أجهزة تم تعيينها ل Semi - تتطلب الموافقة على أي معالجة. في هذه الحالة، يجب على فريق عمليات الأمان في Contoso مراجعة جميع إجراءات المعالجة والموافقة عليها بعد إجراء تحقيق تلقائي (راجع مراجعة الإجراءات المعلقة).

  • مثال 3: تم تعيين مجموعات الأجهزة الخاصة ب Tailspin Toys إلى No automated response (غير مستحسن). في هذه الحالة، لا تحدث التحقيقات التلقائية. لا يتم اتخاذ أي إجراءات معالجة أو تعليقها، ولا يتم تسجيل أي إجراءات في مركز الصيانة لأجهزتهم (راجع إدارة مجموعات الأجهزة).

سواء تم اتخاذه تلقائيا أو عند الموافقة، يمكن أن يؤدي التحقيق والمعالجة التلقائية إلى إجراء واحد أو أكثر من إجراءات المعالجة:

  • عزل ملف
  • إزالة مفتاح التسجيل
  • إنهاء عملية
  • إيقاف خدمة
  • تعطيل برنامج تشغيل
  • إزالة مهمة مجدولة

مراجعة الإجراءات المعلقة

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. في جزء التنقل، اختر مركز الصيانة.

  3. راجع العناصر الموجودة في علامة التبويب Pending .

  4. حدد إجراء لفتح جزء القائمة المنبثقة الخاص به.

  5. في جزء القائمة المنبثقة، راجع المعلومات، ثم اتبع إحدى الخطوات التالية:

    • حدد فتح صفحة التحقيق لعرض مزيد من التفاصيل حول التحقيق.
    • حدد Approve لبدء إجراء معلق.
    • حدد رفض لمنع اتخاذ إجراء معلق.
    • حدد Go hunt للانتقال إلى التتبع المتقدم.

الموافقة على إجراءات المعالجة أو رفضها

بالنسبة للحوادث ذات حالة المعالجة للموافقة المعلقة، يمكنك أيضا الموافقة على إجراء معالجة أو رفضه من داخل الحدث.

  1. في جزء التنقل، انتقل إلى الحوادث & التنبيهات>الحوادث.
  2. قم بالتصفية على الإجراء المعلق لحالة التحقيق التلقائي (اختياري).
  3. حدد اسم حدث لفتح صفحة الملخص الخاصة به.
  4. حدد علامة التبويب الأدلة والاستجابة .
  5. حدد عنصرا في القائمة لفتح جزء القائمة المنبثقة الخاص به.
  6. راجع المعلومات، ثم اتبع إحدى الخطوات التالية:
    • حدد خيار الموافقة على الإجراء المعلق لبدء إجراء معلق.
    • حدد الخيار رفض الإجراء المعلق لمنع اتخاذ إجراء معلق.

الخيار Approve\Reject في جزء إدارة الأدلة والاستجابة لحادث في مدخل Microsoft Defender

مراجعة الإجراءات المكتملة

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. في جزء التنقل، اختر مركز الصيانة.

  3. راجع العناصر الموجودة في علامة التبويب محفوظات .

  4. حدد عنصرا لعرض مزيد من التفاصيل حول إجراء المعالجة هذا.

التراجع عن الإجراءات المكتملة

إذا حددت أن جهازا أو ملفا ليس تهديدا، يمكنك التراجع عن إجراءات المعالجة التي تم اتخاذها، سواء تم اتخاذ هذه الإجراءات تلقائيا أو يدويا. في مركز الصيانة، في علامة التبويب محفوظات ، يمكنك التراجع عن أي من الإجراءات التالية:

مصدر الإجراء الإجراءات المدعومة
  • التحقيق التلقائي
  • إجراءات الاستجابة اليدوية (راجع الملاحظة أدناه)
  • برنامج الحماية من الفيروسات من Microsoft Defender
  • تعطيل برنامج تشغيل
  • عزل الجهاز
  • عزل ملف
  • إزالة مفتاح التسجيل
  • إزالة مهمة مجدولة
  • تقييد تنفيذ التعليمات البرمجية
  • إيقاف خدمة

ملاحظة

تتضمن خطة Defender لنقطة النهاية 1Microsoft Defender for Business إجراءات الاستجابة اليدوية التالية فقط:

  • تشغيل مسح الحماية من الفيروسات
  • عزل الجهاز
  • إيقاف ملف وعزله
  • إضافة مؤشر لحظر ملف أو السماح به

للتراجع عن إجراءات متعددة في وقت واحد

  1. انتقل إلى مركز الصيانة (https://security.microsoft.com/action-center) وسجل الدخول.

  2. في علامة التبويب محفوظات ، حدد الإجراءات التي تريد التراجع عنها. تأكد من تحديد العناصر التي لها نفس نوع الإجراء. يتم فتح جزء منبثقة.

  3. في جزء القائمة المنبثقة، حدد تراجع.

لإزالة ملف من العزل عبر أجهزة متعددة

  1. انتقل إلى مركز الصيانة (https://security.microsoft.com/action-center) وسجل الدخول.

  2. في علامة التبويب محفوظات ، حدد عنصرا يحتوي على ملف العزل من نوع الإجراء.

  3. في جزء القائمة المنبثقة، حدد Apply to X more instances of this file، ثم حدد تراجع.

مستويات الأتمتة ونتائج التحقيق التلقائي والإجراءات الناتجة

تؤثر مستويات التنفيذ التلقائي على ما إذا كانت بعض إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة. في بعض الأحيان، يكون لدى فريق عمليات الأمان المزيد من الخطوات التي يجب اتخاذها، اعتمادا على نتائج التحقيق التلقائي. يلخص الجدول التالي مستويات الأتمتة ونتائج التحقيقات التلقائية وما يجب القيام به في كل حالة.

إعداد مجموعة الأجهزة نتائج التحقيق التلقائي ما يجب فعله
كامل - معالجة التهديدات تلقائيا
(مستحسن)		 تم التوصل إلى حكم الضار للحصول على قطعة من الأدلة.

يتم اتخاذ إجراءات المعالجة المناسبة تلقائيا.

 مراجعة الإجراءات المكتملة
شبه - طلب الموافقة على أي معالجة يتم التوصل إلى حكم إما ضارة أو مريبة للحصول على قطعة من الأدلة.

وتنتظر إجراءات المعالجة الموافقة على المتابعة.

 الموافقة على (أو رفض) الإجراءات المعلقة
شبه - طلب الموافقة على معالجة المجلدات الأساسية تم التوصل إلى حكم الضار للحصول على قطعة من الأدلة.

إذا كانت الأداة ملفا أو قابلا للتنفيذ وكانت في دليل نظام التشغيل، مثل مجلد Windows أو مجلد ملفات البرنامج، فإن إجراءات المعالجة تنتظر الموافقة.

إذا لم تكن الأداة في دليل نظام تشغيل، يتم اتخاذ إجراءات المعالجة تلقائيا.
  1. الموافقة على (أو رفض) الإجراءات المعلقة
  2. مراجعة الإجراءات المكتملة
شبه - طلب الموافقة على معالجة المجلدات الأساسية تم التوصل إلى حكم مريب للحصول على قطعة من الأدلة.

إجراءات المعالجة في انتظار الموافقة.

 الموافقة على (أو رفض) الإجراءات المعلقة.
شبه - طلب الموافقة على معالجة المجلدات غير المؤقتة تم التوصل إلى حكم الضار للحصول على قطعة من الأدلة.

إذا كانت الأداة ملفا أو قابلا للتنفيذ غير موجود في مجلد مؤقت، مثل مجلد التنزيلات الخاص بالمستخدم أو المجلد المؤقت، فإن إجراءات المعالجة تنتظر الموافقة.

إذا كانت الأداة ملفا أو قابلا للتنفيذ موجود في مجلد مؤقت، يتم اتخاذ إجراءات المعالجة تلقائيا.
  1. الموافقة على (أو رفض) الإجراءات المعلقة
  2. مراجعة الإجراءات المكتملة
شبه - طلب الموافقة على معالجة المجلدات غير المؤقتة تم التوصل إلى حكم مريب للحصول على قطعة من الأدلة.

إجراءات المعالجة في انتظار الموافقة.

 الموافقة على (أو رفض) الإجراءات المعلقة
أي من مستويات الأتمتة الكاملة أو شبه المكتملة تم التوصل إلى حكم عدم العثور على تهديدات للحصول على قطعة من الأدلة.

لا يتم اتخاذ أي إجراءات معالجة، ولا توجد إجراءات تنتظر الموافقة.

 عرض تفاصيل ونتائج الاختبارات التلقائية
لا توجد استجابة تلقائية (غير مستحسن) لا يتم إجراء تحقيقات آلية، لذلك لا يتم التوصل إلى أحكام، ولا يتم اتخاذ إجراءات إصلاحية أو في انتظار الموافقة عليها. ضع في اعتبارك إعداد مجموعات أجهزتك أو تغييرها لاستخدام التشغيل التلقائي الكامل أو شبه التلقائي

يتم تعقب جميع الأحكام في مركز الصيانة.

ملاحظة

في Defender for Business، يتم إعداد قدرات التحقيق والمعالجة التلقائية مسبقا لاستخدام كامل - معالجة التهديدات تلقائيا. يتم تطبيق هذه الإمكانات على جميع الأجهزة بشكل افتراضي.

الخطوات التالية

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.