مشاركة عبر

تفاصيل ونتائج التحقيق والاستجابة التلقائية (AIR) في Microsoft Defender لـ Office 365 الخطة 2

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

في مؤسسات Microsoft 365 التي تحتوي على Microsoft Defender لـ Office 365 الخطة 2، تتوفر تفاصيل حول التحقيقات النشطة والمكتملة من التحقيق والاستجابة التلقائية (AIR) في Defender لـ Office 365 على صفحة التحقيقات في Microsoft Defender المدخل في https://security.microsoft.com/airinvestigation. توفر لك تفاصيل التحقيق حالة محدثة و (بالأذونات الصحيحة) القدرة على الموافقة على أي إجراءات معلقة.

تلميح

تتوفر تفاصيل ونتائج AIR أيضا في Microsoft Defender XDR على صفحة التحقيقات في https://security.microsoft.com/incidents. لمزيد من المعلومات، راجع صفحة التحقيق الموحد.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

  • للاطلاع على متطلبات الأذونات والترخيص ل AIR، راجع الأذونات المطلوبة والترخيص ل AIR.

  • يتم حساب عدد رسائل البريد الإلكتروني في وقت التحقيق. تتم إعادة حساب بعض العد عند فتح القوائم المنبثقة للتحقيق (استنادا إلى الاستعلام الأساسي).

    يتم حساب قيم عدد البريد الإلكتروني التالية في وقت التحقيق ولا تتغير:

    • مجموعات البريد الإلكتروني على علامة التبويب البريد الإلكتروني .
    • قيمة كمية البريد الإلكتروني المعروضة في القائمة المنبثقة لمجموعات البريد الإلكتروني.

    تعكس قيم عدد البريد الإلكتروني التالية رسائل البريد الإلكتروني التي تم تلقيها بعد التحليل الأولي للتحقيق:

    • عدد رسائل البريد الإلكتروني المعروضة في أسفل علامة التبويب البريد الإلكتروني من القائمة المنبثقة لمجموعات البريد الإلكتروني.

    • عدد رسائل البريد الإلكتروني المعروضة في المستكشف (مستكشف التهديدات)

      على سبيل المثال، تعرض مجموعة البريد الإلكتروني التي تعرض كمية أصلية من 10 رسائل إجمالي قائمة بريد إلكتروني يبلغ إجماليها 15 رسالة إذا وصلت خمس رسائل أخرى بين مرحلة تحليل التحقيق وعندما يراجع المسؤول التحقيق. وبالمثل، قد تظهر التحقيقات القديمة عدد رسائل أعلى من استعلامات Threat Explorer، لأن البيانات في Microsoft Defender لـ Office 365 الخطة 2 تنتهي صلاحيتها بعد سبعة أيام من نهاية الإصدار التجريبي وبعد 30 يوما للتراخيص المدفوعة.

      يتم عرض عدد رسائل البريد الإلكتروني التاريخية والحالية في طرق عرض مختلفة لإعطاء المعلومات التالية:

      • تأثير البريد الإلكتروني في وقت التحقيق.
      • تأثير البريد الإلكتروني الحالي حتى عند تشغيل المعالجة.

  • للبريد الإلكتروني، قد ترى تهديدا لشذوذ وحدة التخزين كجزء من التحقيق. يشير الشذوذ في مستوى الصوت إلى ارتفاع في رسائل البريد الإلكتروني المماثلة حول وقت حدث التحقيق مقارنة بالأوقات السابقة. يشير الارتفاع الحاد في نسبة استخدام الشبكة للبريد الإلكتروني مع التشابه في بعض خصائص الرسائل (على سبيل المثال، الموضوع ونص الرسالة ومجال المرسل وعنوان IP للمرسل) إلى بداية هجمات البريد الإلكتروني. ولكن عادة ما تشترك حملات البريد الإلكتروني المجمع والبريد العشوائي وحملات البريد الإلكتروني المشروعة في نفس خصائص الرسالة هذه.

تحقيقات من AIR في Defender لـ Office 365 الخطة 2

في مدخل Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & تحقيقات التعاون>. أو، للانتقال مباشرة إلى صفحة التحقيقات ، استخدم https://security.microsoft.com/airinvestigation.

بشكل افتراضي، يتم عرض تفاصيل التحقيق من الأمس واليوم، ولكن يمكنك تغيير نطاق التاريخ.

المعلومات التالية المعروضة في صفحة التحقيقات . يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

  • المعرف: المعرف الفريد للتحقيق. حدد فتح في نافذة جديدة لفتح تفاصيل التحقيق كما هو موضح في قسم عرض تفاصيل التحقيق .
  • الحالة: يتم وصف قيم الحالة المتوفرة في قسم قيم حالة التحقيق .
  • مصدر الكشف: هذه القيمة هي دائما Office365.
  • التحقيق
  • المستخدمون
  • وقت الإنشاء
  • آخر وقت تم تغييره
  • عدد التهديدات
  • عدد الإجراءات
  • مدة التحقيق

لتصفية الإدخالات، حدد تصفية. تتوفر عوامل التصفية التالية في القائمة المنبثقة عامل التصفية التي تفتح:

  • قسم نوع التحقيق: حدد قيمة واحدة أو أكثر من القيم التالية:
    • التحقيق اليدوي
    • الرسائل التي أبلغ عنها المستخدم
    • ملف تم ضغطه
    • محدد موقع المعلومات (URL)
    • تغيير حكم عنوان URL
    • تم اختراق المستخدم
  • قسم النطاق الزمني: حدد قيم تاريخ البدء وتاريخ الانتهاء. تتوفر البيانات لآخر 72 يوما.
  • قسم الحالة: حدد قيمة واحدة أو أكثر من القيم التالية الموضحة في قسم قيم حالة التحقيق:
    • بدء
    • تشغيل
    • لم يتم العثور على تهديدات
    • تم الإنهاء بواسطة النظام
    • الإجراء المعلق
    • تم العثور على التهديدات
    • تمت المعالجة
    • معالجة جزئية
    • تم الإنهاء بواسطة المستخدم
    • فشل
    • في قائمة الانتظار حسب التقييد
    • تم إنهاؤه بالتقييد

عند الانتهاء من القائمة المنبثقة تصفية ، حدد تطبيق. لمسح عوامل التصفية، حدد مسح عوامل التصفية.

استخدم مربع البحث للعثور على معلومات على الصفحة. اكتب نصا في المربع ثم اضغط على المفتاح ENTER.

استخدم Export لحفظ المعلومات المرئية في ملف CSV. اسم الملف الافتراضي هو Investigations - Microsoft Defender.csv، والموقع الافتراضي هو مجلد التنزيلات المحلي. إذا كان التقرير المصدر موجودا بالفعل في هذا الموقع، يتم زيادة اسم الملف (على سبيل المثال، التحقيقات - Microsoft Defender (1) .csv).

قيم حالة التحقيق

تشير قيم الحالة للتحقيق إلى تقدم التحليل والإجراءات. أثناء تشغيل التحقيق، يتم تحديث قيمة الحالة للإشارة إلى ما إذا تم العثور على تهديدات، وما إذا كان قد تمت الموافقة على الإجراءات.

يتم وصف قيم الحالة المستخدمة في التحقيقات في القائمة التالية:

  • فشل: واجه محلل تحقيق واحد على الأقل مشكلة تعذر إكمالها بشكل صحيح.

    إذا فشل التحقيق بعد الموافقة على إجراءات المعالجة، فربما لا تزال إجراءات المعالجة قد نجحت. لمزيد من المعلومات، راجع تفاصيل التحقيق.

  • لم يتم العثور على تهديدات: انتهى التحقيق ولم يتم تحديد أي تهديدات (حسابات المستخدمين المخترقين أو رسائل البريد الإلكتروني أو عناوين URL أو الملفات).

    إذا كنت تشك في فقدان شيء ضار (سلبي خاطئ)، يمكنك اتخاذ إجراء باستخدام مستكشف التهديدات (المستكشف).

  • تم التحقيق جزئيا (المعروف سابقا باسم التهديدات التي تم العثور عليها): عثر التحقيق التلقائي على مشكلات، ولكن دون إجراءات معالجة محددة لحل المشكلات. يحدث عند تحديد نوع من نشاط المستخدم، ولكن لا تتوفر إجراءات تنظيف. تتضمن الأمثلة أي من أنشطة المستخدم التالية:

    • حدث منع فقدان البيانات (DLP ).
    • رسالة بريد إلكتروني ترسل شذوذا.
    • البرامج الضارة المرسلة.
    • التصيد الاحتيالي المرسل.
    • لم يجد التحقيق أي شيء للقيام به. على سبيل المثال:
      • لا توجد عناوين URL أو ملفات أو رسائل بريد إلكتروني ضارة للمعالجة.
      • لا يوجد نشاط علبة بريد لإصلاحه (على سبيل المثال، إيقاف تشغيل قواعد إعادة التوجيه أو التفويض).

    إذا كنت تشك في فقدان شيء ضار (سلبي خاطئ)، يمكنك اتخاذ إجراء باستخدام مستكشف التهديدات (المستكشف).

  • معالجة جزئية: أسفر التحقيق عن إجراءات معالجة، وتمت الموافقة على بعض الإجراءات وإكمالها. لا تزال الإجراءات الأخرى في انتظار الموافقة.

  • الإجراء المعلق: عثر التحقيق على تهديد (على سبيل المثال، بريد إلكتروني ضار أو عنوان URL ضار أو إعداد علبة بريد محفوف بالمخاطر)، وينتظر الموافقة على إجراء لمعالجة التهديد.

    يمكن أن تزيد قائمة الإجراءات المعلقة مع تشغيل التحقيق. اعرض تفاصيل التحقيق لمعرفة ما إذا كانت العناصر الأخرى لا تزال في انتظار الاكتمال.

  • في قائمة الانتظار بواسطة التقييد: يتم إجراء تحقيق في قائمة انتظار. عند اكتمال التحقيقات الأخرى، تبدأ التحقيقات في قائمة الانتظار. يساعد التقييد على تجنب ضعف أداء الخدمة.

    يمكن أن تحد الإجراءات المعلقة من عدد التحقيقات الجديدة التي يمكن تشغيلها. تأكد من الموافقة على الإجراءات المعلقة أو رفضها.

  • المعالجة: انتهى التحقيق وتمت الموافقة على جميع إجراءات المعالجة (لوحظ أنها معالجة كاملة).

    يمكن أن تحتوي إجراءات المعالجة المعتمدة على أخطاء تمنع اتخاذ الإجراءات. بغض النظر عما إذا كانت إجراءات المعالجة قد اكتملت بنجاح، فإن حالة التحقيق لا تتغير. لمزيد من المعلومات، راجع تفاصيل التحقيق.

  • قيد التشغيل: عملية التحقيق جارية. تحدث قيمة الحالة هذه أيضا عند الموافقة على الإجراءات المعلقة .

  • البدء: تم تشغيل التحقيق وينتظر بدء التشغيل.

  • تم الإنهاء بواسطة النظام: توقف التحقيق. على سبيل المثال:

    • انتهت صلاحية الإجراءات المعلقة (متوفرة لمدة أسبوع واحد كحد أقصى).
    • إجراءات كثيرة جدا. على سبيل المثال، يمكن أن يتجاوز عدد كبير جدا من المستخدمين الذين ينقرون على عناوين URL الضارة قدرة التحقيق على تشغيل جميع المحللات، لذلك يتوقف التحقيق.

    إذا توقف التحقيق قبل اتخاذ الإجراءات، فحاول استخدام مستكشف التهديدات (المستكشف) للعثور على التهديدات ومعالجتها.

  • تم الإنهاء بالتقييد: يتوقف التحقيق تلقائيا بعد وضعه في قائمة الانتظار لفترة طويلة جدا، ويتوقف.

    يمكنك بدء تحقيق من مستكشف التهديدات (المستكشف).

عرض تفاصيل التحقيق من AIR في Defender لـ Office 365 الخطة 2

عند تحديد فتح في نافذة جديدة في عمود المعرف لإدخال في صفحة التحقيقات في https://security.microsoft.com/airinvestigation، يتم فتح صفحة جديدة مع تفاصيل التحقيق.

الإطار المتجانب للصفحة هو قيمة التحقيق (الاسم) في صفحة التحقيقات . على سبيل المثال، تم تغيير Url الذي تم النقر فوقه إلى ضار - <عنوان URL>.

يحتوي العنوان الفرعي للصفحة على معرف وحالة التحقيق. على سبيل المثال، اكتمل #660b79 التحقيق - تم إصلاحه.

تحتوي بقية صفحة التفاصيل على عدة علامات تبويب تحتوي على معلومات مفصلة حول التحقيق. بعض علامات التبويب شائعة في جميع التحقيقات. وتتوفر علامات تبويب أخرى استنادا إلى طبيعة التحقيق وحالته.

يتم وصف علامات التبويب في الأقسام الفرعية التالية.

لقطة شاشة لصفحة تفاصيل التحقيق في مدخل Defender.

علامة تبويب الرسم البياني للتحقيق في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، علامة التبويب الرسم البياني للتحقيق هي علامة التبويب الافتراضية التي تمثل بشكل مرئي الحالة الحالية ونتائج التحقيق.

في علامة التبويب الرسم البياني للتحقيق ، يحتوي جزء ملخص التحقيق على التفاصيل التالية:

  • قسم السطر الزمني لحالة التحقيق:
    • بدات
    • تاريخ الإنهاء: هذه القيمة موجودة فقط لقيم الحالة التالية:
      • لم يتم العثور على تهديدات
      • معالجة جزئية
      • تمت المعالجة
      • تم الإنهاء بواسطة النظام
      • تم إنهاؤه بالتقييد
      • تم الإنهاء بواسطة المستخدم
      • تم العثور على التهديدات
      • فشل
    • مدة
    • إجمالي الوقت المعلق: هذه القيمة موجودة فقط للتحقيقات التي كانت معلقة في انتظار الموافقة التي تمت الموافقة عليها أو انتهت صلاحيتها في النهاية.
  • قسم تفاصيل التحقيق:
    • الحالة: حالة التحقيق. إذا كانت القيمة لا توجد تهديدات، فلا توجد قيم أخرى في القسم .
    • خطورة التنبيه: القيمة منخفضة أو **متوسطة أو عالية.
    • الفئة: فئة التنبيه.
    • مصدر الكشف: عادة ما تكون القيمة MDO.

يحتوي جزء الرسم البياني على تمثيل مرئي للعناصر والأنشطة في التحقيق. بعض العناصر شائعة في جميع التحقيقات، بينما يعتمد البعض الآخر على طبيعة التحقيق وتقدمه.

  • تم تلقي التنبيه: يعرض التنبيهات ذات الصلة. حدد للانتقال إلى علامة التبويب التنبيهات للحصول على مزيد من المعلومات.

  • علبة البريد: تعرض علب البريد ذات الصلة. حدد للانتقال إلى علامة التبويب علب البريد للحصول على مزيد من المعلومات.

  • الكيانات التي تم تحليلها: تعرض عدد ونوع الكيانات ذات الصلة التي تم تحليلها أثناء التحقيق. على سبيل المثال:

    • عناوين URL
    • رسائل البريد الإلكتروني
    • الملفات
    • مجموعات البريد الإلكتروني، والتي قد تتضمن عدد الضار وعدد المعالجة.

    حدد للانتقال إلى علامة التبويب Entities للحصول على مزيد من المعلومات.

  • الدليل: يظهر عدد الكيانات التي تم العثور عليها. حدد للانتقال إلى علامة التبويب الأدلة للحصول على مزيد من المعلومات.

  • الموافقة المعلقة: توضح المدة التي انتظرها النظام حتى يقوم المسؤول بإجراء المعالجة اليدوية المقترحة (على سبيل المثال، الحذف المبدئي لرسالة بريد إلكتروني). حدد للانتقال إلى علامة التبويب الإجراءات المعلقة لمزيد من المعلومات.

    بعد قيام المسؤول بالإجراء، يتم استبدال هذا العنصر ب Waited للحصول على موافقة المستخدم.

  • تم الانتظار للحصول على موافقة المستخدم: يوضح المدة التي استغرقها المسؤول للقيام بإجراء المعالجة اليدوية المقترحة. حدد للانتقال إلى علامة التبويب محفوظات الإجراءات المعلقة للحصول على مزيد من المعلومات.

  • النتيجة: يتوفر هذا العنصر بعد انتهاء التحقيق، ويتم تكراره في المواقع التالية على الصفحة:

    • في وسط الرسم البياني. حدد الأيقونة للانتقال إلى علامة التبويب سجل .
    • في عنوان الصفحة.
    • في جزء >ملخص التحقيق قسم تفاصيل التحقيق > قيمة الحالة.

    على سبيل المثال:

    • تمت المعالجة

    • تم الإنهاء بواسطة النظام:

    • لم يتم العثور على تهديدات

    • تم التحقيق جزئيا

      قد تتطلب بعض النتائج مراجعة. استخدم علامات تبويب الأدلةوالكيانات للتحقيق في أي مشكلات محتملة ومعالجتها يدويا.

    • معالجة جزئية

      حالت مشكلة دون معالجة بعض الكيانات الضارة. استخدم علامات تبويب الأدلةوالكيانات للتحقيق في أي مشكلات محتملة ومعالجتها يدويا.

لقطة شاشة لعلامة تبويب الرسم البياني للتحقيق في صفحة تفاصيل التحقيق.

علامة تبويب التنبيهات في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب Alerts التنبيهات المتعلقة بالتحقيق.

يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. يتم وضع علامة نجمية *على الأعمدة الافتراضية :

  • اسم التنبيه*
  • العلامات*
  • شده*
  • اسم الحدث*
  • معرف الحادث*
  • حالة*
  • باب*
  • الأصول المتأثرة
  • مستخدم*
  • مصدر الخدمة*
  • مصدر الكشف
  • حالة التحقيق*
  • النشاط الأخير*
  • تصنيف*
  • عزم
  • تم التعيين إلى*

يؤدي النقر فوق قيمة اسم التنبيه في صف إلى ينقلك إلى صفحة التفاصيل للتنبيه. صفحة التفاصيل هذه هي نفسها النقر فوق قيمة اسم التنبيه في الإدخال المقابل في صفحة التنبيهات في https://security.microsoft.com/alerts. لمزيد من المعلومات، راجع تحليل تنبيه.

يؤدي النقر فوق أي مكان آخر في الصف بخلاف قيمة اسم التنبيه أو خانة الاختيار الموجودة بجانب العمود الأول إلى فتح قائمة منبثقة للتنبيه. هذه القائمة المنبثقة للتفاصيل هي نفسها النقر في أي مكان في الصف بخلاف قيمة اسم التنبيه أو خانة الاختيار بجوار العمود الأول في الإدخال المقابل في صفحة التنبيهات في https://security.microsoft.com/alerts.

تعتمد الإجراءات المتوفرة في أعلى القائمة المنبثقة لتفاصيل التنبيه على طبيعة التنبيه التي تحتوي على نفس الإجراءات المتوفرة في القائمة المنبثقة للتفاصيل للتنبيه المقابل في صفحة التنبيهات في https://security.microsoft.com/alerts. على سبيل المثال، تحتوي التنبيهات المسماة رسائل البريد الإلكتروني التي تحتوي على عنوان URL ضار تمت إزالته بعد التسليم على الإجراءات التالية المتوفرة في القائمة المنبثقة لتفاصيل التنبيه:

  • فتح صفحة التنبيه: تفتح نفس صفحة التفاصيل كما هو الحال عند النقر فوق قيمة اسم التنبيه لإدخال في صفحة التنبيهات في https://security.microsoft.com/alerts. لمزيد من المعلومات، راجع تحليل تنبيه.

  • إدارة التنبيه: يفتح القائمة المنبثقة إدارة التنبيه حيث يمكنك عرض تفاصيل الحادث وتعديلها. لمزيد من المعلومات، راجع إدارة التنبيهات.

  • عرض الرسائل في المستكشف: يفتح المستكشف (مستكشف التهديدات) في طريقة عرض كل البريد الإلكتروني التي تمت تصفيتها بواسطة معرف التنبيه. لمزيد من المعلومات حول طريقة عرض كل البريد الإلكتروني لمستكشف التهديدات، راجع طريقة عرض كل البريد الإلكتروني في مستكشف التهديدات.

  • المزيد من الإجراءات>ربط التنبيه بحادث آخر: في القائمة المنبثقة ارتباط تنبيه إلى حادث آخر يتم فتحه، قم بتكوين الخيارات التالية:

    • حدد إحدى القيم التالية:
      • إنشاء حدث جديد
      • الارتباط بحدث موجود: في المربع اسم الحدث أو المعرف الذي يظهر، ابدأ بكتابة قيمة للبحث عن الحدث الموجود وتحديده.
    • تعليق: أدخل تعليقا اختياريا.

    عند الانتهاء في القائمة المنبثقة ارتباط تنبيه إلى حادث آخر ، حدد حفظ

  • المزيد من الإجراءات>ضبط التنبيه: يفتح قائمة منبثقة لتنبيه Tune . لمزيد من المعلومات، راجع الخطوة 3 والإصدارات الأحدث في إنشاء شروط القاعدة لضبط التنبيهات.

  • المزيد من الإجراءات>اسأل خبراء Defender. يفتح القائمة المنبثقة Ask Defender Experts . لمزيد من المعلومات، راجع التعاون مع الخبراء عند الطلب.

علامة تبويب علب البريد في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تتوفر علامة التبويب علب البريد إذا تم فحص أي علب بريد كجزء من التحقيق.

يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

  • اسم المستخدم
  • مستوى المخاطرة
  • خطر
  • الأنشطة الخطرة
  • Upn
  • Urn

يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار إلى جانب العمود الأول إلى فتح القائمة المنبثقة تفاصيل علبة البريد بالمعلومات التالية:

  • الحكم
  • اسم العرض
  • عنوان البريد الإلكتروني الأساسي
  • UPN
  • معرف الكائن
  • مستوى المخاطرة
  • خطر

حدد مزيد من التفاصيل حول المستخدم لفتح صفحة كيان المستخدم في Microsoft Defender XDR. لمزيد من المعلومات، راجع صفحة كيان المستخدم في Microsoft Defender XDR.

علامة تبويب الأدلة في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب الأدلة الكيانات المشبوهة التي تم تحليلها، ونتائج التحليل.

يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. يتم وضع علامة نجمية *على الأعمدة الافتراضية :

  • أول ظهور*
  • كيان*
  • الحكم*
  • حالة المعالجة*
  • تفاصيل الحالة
  • الأصول المتأثرة*
  • أصل الكشف*
  • التهديدات

لتصفية الإدخالات، حدد تصفية. تتوفر عوامل التصفية التالية في القائمة المنبثقة عامل التصفية التي تفتح:

  • الوحدة: اكتب بعض أو كل اسم الكيان في المربع.
  • الحكم: تعتمد القيم التي يمكنك تحديدها على قيم الحكم في علامة التبويب.
  • أصل الكشف: تعتمد القيم التي يمكنك تحديدها على قيم أصل الكشف في علامة التبويب.

عند الانتهاء من القائمة المنبثقة تصفية ، حدد تطبيق. لمسح عوامل التصفية، حدد مسح عوامل التصفية.

يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل. يعتمد ما هو متوفر في القائمة المنبثقة على طبيعة الأدلة (رسالة البريد الإلكتروني والملف وعنوان URL وما إلى ذلك).

علامة تبويب الكيانات في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب Entities تفاصيل حول الأنواع المختلفة من الكيانات التي تمت مواجهتها وتحليلها أثناء التحقيق.

لقطة شاشة لعلامة التبويب Entities في صفحة تفاصيل التحقيق.

يتم تنظيم علامة التبويب Entities بواسطة جزء تحديد طريقة العرض (طريقة عرض ملخص وعرض لكل نوع كيان) وجدول تفاصيل مطابق ل طريقة العرض هذه:

  • طريقة عرض ملخص الأدلة: هذه هي طريقة العرض الافتراضية.

    يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • نوع الكيان (لا يمكنك إلغاء تحديد هذه القيمة): يحتوي على نفس القيم مثل جزء تحديد طريقة العرض، اعتمادا على الحدث. على سبيل المثال:

      • الملفات
      • عناوين URL
      • عمليات إرسال البريد الإلكتروني
      • رسائل البريد الإلكتروني
      • عناوين IP
      • مجموعات البريد الإلكتروني

      تظهر الأعمدة التالية العدد لكل نوع كيان (صف):

      • الإجمالي
      • تمت المعالجة
      • خبيث
      • مشبوه
      • التحقق
      • لم يتم العثور على تهديدات
      • غير معروف
      • لم يتم العثور عليه
      • لم تتم معالجتها
      • معالجة جزئية

    يؤدي النقر فوق أي مكان في صف في أي مكان آخر غير خانة الاختيار بجوار عمود نوع الكيان إلى أخذك إلى طريقة العرض ذات الصلة من صفحة التحديد (على سبيل المثال، رسائل البريد الإلكتروني).

  • طريقة عرض الملفات: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. يتم وضع علامة نجمية *على الأعمدة الافتراضية :

    • الحكم*
    • حالة المعالجة*
    • تفاصيل الحالة
    • مسار الملف*
    • اسم* الملف (لا يمكنك إلغاء تحديد هذه القيمة)
    • جهاز*

  • طريقة عرض عناوين URL: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • الحكم
    • حالة المعالجة
    • العنوان (لا يمكنك إلغاء تحديد هذه القيمة)

    يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

    • عنوان URL الأصلي
    • قسم الكشف
    • قسم تفاصيل المجال
    • قسم معلومات جهة الاتصال المسجلة
    • قسم انتشار عنوان URL (آخر 30 يوما)

    تتوفر الإجراءات التالية لعنون URL أيضا في القائمة المنبثقة:

    • فتح صفحة URL
    • إرسال للتحليل
    • إدارة المؤشر
    • عرض في المستكشف
    • Go hunt

  • طريقة عرض عمليات إرسال البريد الإلكتروني: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • الحكم
    • حالة المعالجة
    • موضوع
    • المرسل
    • المستلم
    • تم الإبلاغ عنها بواسطة
    • نوع التقرير

    يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

    • قسم تفاصيل إرسال البريد الإلكتروني

    يتوفر إجراء Go hunt لتقديم البريد الإلكتروني أيضا في القائمة المنبثقة.

  • طريقة عرض رسائل البريد الإلكتروني: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • الحكم
    • حالة المعالجة
    • تاريخ تلقي البريد الإلكتروني (لا يمكنك إلغاء تحديد هذه القيمة)
    • حالة التسليم
    • موضوع
    • المرسل
    • المستلم

    يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

    • قسم تفاصيل البريد الإلكتروني

    حدد مزيد من التفاصيل حول البريد الإلكتروني لعرض صفحة كيان البريد الإلكتروني في Defender for XDR.

    تتوفر الإجراءات التالية لرسالة البريد الإلكتروني أيضا في القائمة المنبثقة:

    • Go hunt
    • فتح في المستكشف

  • طريقة عرض عناوين IP: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • الحكم
    • حالة المعالجة
    • العنوان (لا يمكنك إلغاء تحديد هذه القيمة)

    يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

    • قسم تفاصيل IP
    • قسم الكشف
    • IP الذي تمت ملاحظته في قسم أجهزة المؤسسة

    تتوفر الإجراءات التالية لعناوين IP أيضا في القائمة المنبثقة:

    • فتح صفحة عنوان IP
    • إضافة مؤشر
    • فتح إعدادات IP لتطبيق السحابة
    • التحقيق في سجل النشاط
    • Go hunt

  • طريقة عرض مجموعات البريد الإلكتروني: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

    • الحكم
    • حالة المعالجة
    • اسم نظام مجموعة البريد (لا يمكنك إلغاء تحديد هذه القيمة)
    • التهديدات
    • عدد البريد الإلكتروني
    • البرامج الضارة
    • التصيد الاحتيالي
    • التصيد الاحتيالي عالي الثقة
    • البريد المزعج
    • تسليم
    • غير هام
    • استبدال
    • مسدود
    • صندوق بريد
    • ليس في علبة البريد
    • الإعدادات المسبقة/الخارجية
    • حالة خارجة عن المألوف في مستوى الصوت

    يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

    • قسم تفاصيل مجموعة البريد الإلكتروني
    • قسم التهديدات
    • قسم أحدث مواقع التسليم
    • قسم مواقع التسليم الأصلية

    تتوفر الإجراءات التالية لمجموعة البريد الإلكتروني أيضا في القائمة المنبثقة:

    • Go hunt
    • فتح في المستكشف

علامة تبويب السجل في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب Log جميع الإجراءات التي تم اتخاذها أثناء التحقيق.

يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. يتم وضع علامة نجمية *على الأعمدة الافتراضية :

  • معرف
  • نوع الإجراء
  • فعل*
  • حالة*
  • اسم الجهاز*
  • وصف*
  • التعليقات
  • الوقت الذي تم إنشاؤه
  • وقت بدء التنفيذ*
  • مدة*
  • المدة المعلقة
  • المدة الموضوعة في قائمة الانتظار

استخدم Export لحفظ المعلومات المرئية في ملف CSV. يتم AirLogs.csv اسم الملف الافتراضي، والموقع الافتراضي هو مجلد التنزيلات المحلي. إذا كان هناك تقرير تم تصديره بالفعل في هذا الموقع، يتم زيادة اسم الملف (على سبيل المثال، AirLogs (1).csv).

يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للملخص تحتوي على المعلومات التالية:

  • حالة
  • إنشاء
  • بدء التنفيذ
  • مدة
  • الوصف

تلميح

للاطلاع على تفاصيل حول الإدخالات الأخرى دون ترك القائمة المنبثقة للتفاصيل، استخدم العنصر السابق والعنصرالتالي في أعلى القائمة المنبثقة.

علامة تبويب الموافقة المعلقة في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب الموافقة المعلقة الإجراءات المعلقة التي تنتظر اكتمال الموافقة (على سبيل المثال، رسائل الحذف المبدئي).

يتم تنظيم علامة التبويب الموافقة المعلقة بواسطة جزء تحديد طريقة العرض (طريقة عرض لكل نوع إجراء) وجدول تفاصيل مطابق لعرض العرض هذا:

  • رسائل البريد الإلكتروني للحذف المبدئي: يمكنك فرز الإدخالات في جدول التفاصيل بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. يتم وضع علامة نجمية *على الأعمدة الافتراضية :
    • معرف التحقيق
    • أول ظهور
    • التفاصيل
    • عدد البريد الإلكتروني
    • البرامج الضارة
    • التصيد الاحتيالي
    • التصيد الاحتيالي عالي الثقة
    • البريد المزعج
    • تسليم
    • غير هام
    • استبدال
    • مسدود
    • صندوق بريد
    • ليس في علبة البريد
    • الإعدادات المسبقة/الخارجية
    • صندوق بريد
    • نوع الكيان
    • نوع التهديد
    • موضوع

استخدم Export لحفظ المعلومات المرئية في ملف CSV. يتم AirActions.csv اسم الملف الافتراضي، والموقع الافتراضي هو مجلد التنزيلات المحلي. إذا كان هناك تقرير تم تصديره بالفعل في هذا الموقع، يتم زيادة اسم الملف (على سبيل المثال، AirActions (1).csv).

يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار بجوار العمود الأول إلى فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

  • قسم تفاصيل مجموعة البريد الإلكتروني
    • الحكم
    • حالة المعالجة
    • عدد البريد الإلكتروني
    • الاسم
    • حالة خارجة عن المألوف في مستوى الصوت
    • وقت الاستعلام
  • قسم التهديدات:
    • التهديدات: تلخص التهديدات الموجودة في مجموعة البريد الإلكتروني. على سبيل المثال، MaliciousUrl, HighConfPhish, Volume anomaly.
    • عدد أنواع التهديدات التالية الموجودة في مجموعة البريد الإلكتروني:
      • البرامج الضارة
      • التصيد الاحتيالي
      • التصيد الاحتيالي عالي الثقة
      • البريد المزعج
  • قسم آخر موقع تسليم : عدد مواقع التسليم التالية للرسائل في نظام مجموعة البريد الإلكتروني:
    • صندوق بريد
    • ليس في علبة البريد
    • الإعدادات المسبقة/الخارجية
  • قسم مواقع التسليم الأصلية: عدد مواقع التسليم الأصلية التالية للرسائل في نظام مجموعة البريد الإلكتروني:
    • تسليم
    • غير هام
    • استبدال
    • مسدود

تتوفر الإجراءات التالية لرسائل البريد الإلكتروني أيضا في القائمة المنبثقة:

  • Go hunt
  • فتح في المستكشف

يتم وصف الموافقةوالرفض في القسم الفرعي التالي.

الموافقة على الإجراءات في علامة التبويب الموافقة المعلقة في تفاصيل التحقيق

في علامة التبويب Pending approval في صفحة تفاصيل التحقيق، حدد إجراء معلقا بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار العمود الأول.

تتم تسمية القائمة المنبثقة للتفاصيل التي تفتح بعد الإجراء المعلق (على سبيل المثال، رسائل البريد الإلكتروني للحذف المبدئي). اقرأ المعلومات في القائمة المنبثقة، ثم حدد إحدى القيم التالية:

  • الموافقة.
  • رفض.

تلميح

يؤدي الموافقة على جميع الإجراءات و/أو رفضها في التحقيق إلى إغلاقها بالكامل (تصبح قيمة الحالةمعالجة). لا يؤدي الفشل في الموافقة على جميع الإجراءات في التحقيق و/أو رفضها إلى إغلاقها بالكامل (تظل قيمة الحالةمعالجة جزئيا).

لا تحتاج إلى الموافقة على كل إجراء. إذا لم توافق على الإجراء الموصى به أو لم تختص مؤسستك بأنواع معينة من الإجراءات، فيمكنك رفض الإجراء أو عدم اتخاذ أي إجراء.

علامة تبويب محفوظات الإجراءات المعلقة في تفاصيل التحقيق

في صفحة تفاصيل التحقيق، تعرض علامة التبويب محفوظات الإجراءات المعلقة الإجراءات المعلقة التي تم إكمالها.

يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. حدد تخصيص الأعمدة لتغيير الأعمدة المعروضة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة:

  • نوع الإجراء
  • وقت الانتظار
  • العنصر
  • حالة
  • تمت معالجتها بواسطة
  • الوقت

استخدم Export لحفظ المعلومات المرئية في ملف CSV. يتم AirActions.csv اسم الملف الافتراضي، والموقع الافتراضي هو مجلد التنزيلات المحلي. إذا كان هناك تقرير تم تصديره بالفعل في هذا الموقع، يتم زيادة اسم الملف (على سبيل المثال، AirActions (1).csv).

يؤدي النقر فوق قيمة الوحدة في صف إلى فتح قائمة منبثقة التفاصيل مع المعلومات التالية حول نظام مجموعة البريد الإلكتروني:

  • قسم تفاصيل مجموعة البريد الإلكتروني
  • قسم التهديدات
  • قسم أحدث مواقع التسليم
  • قسم مواقع التسليم الأصلية

تتوفر الإجراءات التالية لمجموعة البريد الإلكتروني أيضا في القائمة المنبثقة:

  • Go hunt
  • فتح في المستكشف

يؤدي النقر فوق أي مكان في صف آخر غير خانة الاختيار إلى جانب العمود الأول أو قيمة الوحدة إلى فتح القائمة المنبثقة تفاصيل محفوظات الإجراءات التي تحتوي على المعلومات التالية:

  • قسم الملخص:
    • حالة
    • إنشاء
    • بدء التنفيذ
    • الوصف

تؤدي أنواع معينة من التنبيهات إلى إجراء تحقيق تلقائي في Microsoft 365. لمعرفة المزيد، راجع نهج تنبيه إدارة التهديدات.

  1. في مدخل https://security.microsoft.comMicrosoft 365 Defender، انتقل إلى Actions & submissions>Action center. أو، للانتقال مباشرة إلى صفحة مركز الصيانة ، استخدم https://security.microsoft.com/action-center/.
  2. في صفحة مركز الصيانة ، استخدم علامات التبويب المعلقة أو المحفوظات للعثور على الإجراء.
  3. حدد إجراء من الجدول عن طريق تحديد الارتباط في عمود معرف التحقيق .

تفتح صفحة تفاصيل التحقيق .

الخطوات التالية