أمثلة التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.
يمكن التحقيق والاستجابة التلقائيان (AIR) في Microsoft Defender لـ Office 365 الخطة 2 (المضمنة في تراخيص Microsoft 365 مثل E5 أو كاشتراك مستقل) فريق SecOps من العمل بشكل أكثر كفاءة وفعالية. يتضمن AIR تحقيقات تلقائية للتهديدات المعروفة، ويوفر إجراءات معالجة موصى بها. يمكن لفريق SecOps مراجعة الأدلة والموافقة على الإجراءات الموصى بها أو رفضها. لمزيد من المعلومات حول AIR، راجع التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2.
توضح هذه المقالة كيفية عمل AIR من خلال عدة أمثلة:
- مثال: تقوم رسالة التصيد الاحتيالي التي أبلغ عنها المستخدم بتشغيل دليل مبادئ التحقيق
- مثال: يقوم مسؤول الأمان بإجراء تحقيق من Threat Explorer
- مثال: يدمج فريق عمليات الأمان AIR مع SIEM الخاص بهم باستخدام واجهة برمجة تطبيقات نشاط إدارة Office 365
مثال: تقوم رسالة التصيد الاحتيالي التي أبلغ عنها المستخدم بتشغيل دليل مبادئ التحقيق
يتلقى المستخدم رسالة بريد إلكتروني تبدو وكأنها محاولة تصيد احتيالي. يقوم المستخدم بالإبلاغ عن الرسالة باستخدام زر التقرير المضمن في Outlook، والذي ينتج عنه تنبيه يتم تشغيله بواسطة البريد الإلكتروني الذي أبلغ عنه المستخدم كنهج تنبيه البرامج الضارة أو التصيد الاحتيالي، والذي يقوم تلقائيا بتشغيل دليل مبادئ التحقيق.
يتم تقييم الجوانب المختلفة لرسالة البريد الإلكتروني المبلغ عنها. على سبيل المثال:
- نوع التهديد المحدد
- من أرسل الرسالة
- من أين تم إرسال الرسالة (إرسال البنية الأساسية)
- ما إذا تم تسليم مثيلات أخرى من الرسالة أو حظرها
- مشهد المستأجر، بما في ذلك الرسائل المماثلة وأحكامها من خلال تجميع البريد الإلكتروني
- ما إذا كانت الرسالة مقترنة بأي حملات معروفة
- والمزيد.
يقوم دليل المبادئ بتقييم عمليات الإرسال وحلها تلقائيا حيث لا يلزم اتخاذ أي إجراء (والذي يحدث بشكل متكرر على الرسائل التي أبلغ عنها المستخدم). بالنسبة إلى عمليات الإرسال المتبقية، يتم توفير قائمة بالإجراءات الموصى بها لاتخاذها بشأن الرسالة الأصلية والكيانات المقترنة بها (على سبيل المثال، الملفات المرفقة وعناوين URL المضمنة والمستلمين):
- تحديد رسائل البريد الإلكتروني المماثلة عبر عمليات البحث في نظام مجموعة البريد الإلكتروني.
- تحديد ما إذا كان أي مستخدمين قد نقروا عبر أي ارتباطات ضارة في رسائل البريد الإلكتروني المشبوهة.
- يتم تعيين المخاطر والتهديدات. لمزيد من المعلومات، راجع تفاصيل ونتائج التحقيق التلقائي.
- خطوات المعالجة. لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender لـ Office 365.
مثال: يقوم مسؤول الأمان بإجراء تحقيق من Threat Explorer
أنت في مستكشف (مستكشف التهديدات) في https://security.microsoft.com/threatexplorerv3 كل طرق عرض البريد الإلكتروني أو البرامج الضارة أو التصيد الاحتيالي . أنت على علامة التبويب البريد الإلكتروني (عرض) لمنطقة التفاصيل أسفل المخطط. يمكنك تحديد رسالة للتحقيق باستخدام أي من الطرق التالية:
حدد إدخالا واحدا أو أكثر في الجدول عن طريق تحديد خانة الاختيار بجوار العمود الأول.
يتوفر اتخاذ إجراء مباشرة في علامة التبويب.
انقر فوق قيمة الموضوع لإدخال في الجدول. تحتوي القائمة المنبثقة التفاصيل التي تفتح على
اتخاذ إجراء في أعلى القائمة المنبثقة.
بعد تحديد اتخاذ إجراء، حدد بدء التحقيق التلقائي. لمزيد من المعلومات، راجع معالجة البريد الإلكتروني.
على غرار أدلة المبادئ التي تم تشغيلها بواسطة تنبيه، تتضمن التحقيقات التلقائية التي يتم تشغيلها من Threat Explorer ما يلي:
- تحقيق جذر.
- خطوات تحديد التهديدات وربطها. لمزيد من المعلومات، راجع تفاصيل ونتائج التحقيق التلقائي.
- الإجراءات الموصى بها للتخفيف من التهديدات. لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender لـ Office 365.
مثال: يدمج فريق عمليات الأمان AIR مع SIEM الخاص بهم باستخدام واجهة برمجة تطبيقات نشاط إدارة Office 365
تتضمن قدرات AIR في Defender لـ Office 365 الخطة 2 تقارير وتفاصيل يمكن لفريق SecOps استخدامها لمراقبة التهديدات ومعالجتها. ولكن يمكنك أيضا دمج قدرات AIR مع حلول أخرى. على سبيل المثال:
- أنظمة إدارة معلومات الأمان والأحداث (SIEM).
- أنظمة إدارة الحالة.
- حلول التقارير المخصصة.
استخدم واجهة برمجة تطبيقات نشاط إدارة Office 365 للتكامل مع هذه الحلول.
للحصول على مثال لحل مخصص يدمج التنبيهات من رسائل التصيد الاحتيالي التي أبلغ عنها المستخدم والتي تمت معالجتها بالفعل بواسطة AIR في خادم SIEM ونظام إدارة الحالة، راجع مدونة أمان Microsoft - تحسين فعالية SOC الخاص بك مع Microsoft Defender لـ Office 365 وواجهة برمجة تطبيقات إدارة Office 365.
يقلل الحل المتكامل بشكل كبير من عدد الإيجابيات الزائفة، ما يسمح لفريق SecOps بتركيز وقتهم وجهدهم على التهديدات الحقيقية.