مشاركة عبر

تكوين تعطيل الهجوم التلقائي في Microsoft Defender XDR

  • مقالة

يتضمن Microsoft Defender XDR قدرات تعطيل هجوم تلقائي قوية يمكنها حماية بيئتك من الهجمات المتطورة وعالية التأثير.

توضح هذه المقالة كيفية تكوين إمكانات تعطيل الهجوم التلقائي في Microsoft Defender XDR. بعد إعداد كل شيء، يمكنك عرض إجراءات الاحتواء وإدارتها في الحوادث ومركز الصيانة. وإذا لزم الأمر، يمكنك إجراء تغييرات على الإعدادات.

المتطلبات الأساسية

فيما يلي المتطلبات الأساسية لتكوين تعطيل الهجوم التلقائي في Microsoft Defender XDR:

احتياج التفاصيل
متطلبات الاشتراك أحد هذه الاشتراكات:
  • Microsoft 365 E5 أو A5
  • Microsoft 365 E3 مع الوظيفة الإضافية الأمان في Microsoft 365 E5
  • Microsoft 365 E3 مع الوظيفة الإضافية Enterprise Mobility + Security E5
  • Microsoft 365 A3 مع الوظيفة الإضافية Microsoft 365 A5 Security
  • Windows 10 Enterprise E5 أو A5
  • Windows 11 Enterprise E5 أو A5
  • Enterprise Mobility + Security (EMS) E5 أو A5
  • Office 365 E5 أو A5
  • Microsoft Defender لنقطة النهاية (الخطة 2)
  • Microsoft Defender للهوية
  • Microsoft Defender for Cloud Apps
  • Defender لـ Office 365 (الخطة 2)
  • Microsoft Defender for Business

راجع متطلبات الترخيص Microsoft Defender XDR.
متطلبات التوزيع
  • التوزيع عبر منتجات Defender (على سبيل المثال، Defender لنقطة النهاية، Defender لـ Office 365، Defender for Identity، Defender for Cloud Apps)
    • كلما كان النشر أوسع، كلما كانت تغطية الحماية أكبر. على سبيل المثال، إذا تم استخدام إشارة Microsoft Defender for Cloud Apps في اكتشاف معين، فإن هذا المنتج مطلوب للكشف عن سيناريو الهجوم المحدد ذي الصلة.
    • وبالمثل، يجب نشر المنتج ذي الصلة لتنفيذ إجراء استجابة تلقائي. على سبيل المثال، Microsoft Defender لنقطة النهاية مطلوب لاحتواء جهاز تلقائيا.
  • يتم تعيين اكتشاف جهاز Microsoft Defender لنقطة النهاية إلى "الاكتشاف القياسي" (المتطلبات الأساسية للبدء التلقائي لإجراء "احتواء الجهاز")
الأذونات لتكوين إمكانات تعطيل الهجوم التلقائي، يجب أن يكون لديك أحد الأدوار التالية المعينة إما في Microsoft Entra ID (https://portal.azure.com) أو في مركز مسؤولي Microsoft 365 (https://admin.microsoft.com):
  • المسؤول العام
  • مسؤول الأمان
للعمل مع قدرات التحقيق والاستجابة التلقائية، مثل مراجعة الإجراءات المعلقة أو الموافقة عليها أو رفضها، راجع الأذونات المطلوبة لمهام مركز الصيانة.

المتطلبات الأساسية Microsoft Defender لنقطة النهاية

الحد الأدنى لإصدار عميل Sense (عميل MDE)

إصدار الحد الأدنى لعامل الاستشعار المطلوب لإجراء احتواء المستخدم للعمل هو v10.8470. يمكنك تحديد إصدار Sense Agent على جهاز عن طريق تشغيل أمر PowerShell التالي:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

إعداد الأتمتة لأجهزة المؤسسات

راجع مستوى الأتمتة المكون لنهج مجموعة الأجهزة، وما إذا كانت التحقيقات التلقائية تعمل، وما إذا كانت إجراءات المعالجة يتم اتخاذها تلقائيا أو فقط عند الموافقة على أجهزتك تعتمد على إعدادات معينة. يجب أن تكون مسؤولا عاما أو مسؤول أمان لتنفيذ الإجراء التالي:

  1. انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com) وسجل الدخول.

  2. انتقل إلى> SystemSettings>Endpoints>Device groups ضمن Permissions.

  3. راجع نهج مجموعة الأجهزة وانظر إلى عمود مستوى المعالجة . نوصي باستخدام كامل - معالجة التهديدات تلقائيا.

يمكنك أيضا إنشاء مجموعات الأجهزة أو تحريرها لتعيين مستوى المعالجة المناسب لكل مجموعة. يتيح تحديد مستوى الأتمتة شبه تشغيل تعطيل الهجوم التلقائي دون الحاجة إلى الموافقة اليدوية. لاستبعاد مجموعة أجهزة من الاحتواء التلقائي، يمكنك تعيين مستوى التنفيذ التلقائي الخاص بها إلى أي استجابة تلقائية. لاحظ أن هذا الإعداد غير مستحسن للغاية ويجب أن يتم فقط لعدد محدود من الأجهزة.

تكوين اكتشاف الجهاز

يجب تنشيط إعدادات اكتشاف الجهاز إلى "Standard Discovery" كحد أدنى. تعرف على كيفية تكوين اكتشاف الجهاز في إعداد اكتشاف الجهاز.

ملاحظة

يمكن أن يعمل تعطيل الهجوم على الأجهزة بشكل مستقل عن حالة تشغيل برنامج الحماية من الفيروسات Microsoft Defender للجهاز. يمكن أن تكون حالة التشغيل في وضع حظر نشط أو سلبي أو EDR.

المتطلبات الأساسية Microsoft Defender for Identity

إعداد التدقيق في وحدات التحكم بالمجال

تعرف على كيفية إعداد التدقيق في وحدات التحكم بالمجال في تكوين نهج التدقيق لسجلات أحداث Windows للتأكد من تكوين أحداث التدقيق المطلوبة على وحدات التحكم بالمجال حيث يتم نشر مستشعر Defender for Identity.

التحقق من صحة حسابات الإجراءات

يسمح لك Defender for Identity باتخاذ إجراءات معالجة تستهدف حسابات Active Directory محلي في حالة اختراق الهوية. لاتخاذ هذه الإجراءات، يحتاج Defender for Identity إلى الحصول على الأذونات المطلوبة للقيام بذلك. بشكل افتراضي، يقوم مستشعر Defender for Identity بانتحال شخصية حساب LocalSystem لوحدة تحكم المجال وتنفيذ الإجراءات. نظرا لأنه يمكن تغيير الافتراضي، تحقق من أن Defender for Identity لديه الأذونات المطلوبة أو يستخدم حساب LocalSystem الافتراضي.

يمكنك العثور على مزيد من المعلومات حول حسابات الإجراءات في تكوين حسابات الإجراءات Microsoft Defender for Identity

يجب نشر مستشعر Defender for Identity على وحدة التحكم بالمجال حيث سيتم إيقاف تشغيل حساب Active Directory.

ملاحظة

إذا كانت لديك أتمتة لتنشيط مستخدم أو حظره، فتحقق مما إذا كان يمكن أن تتداخل الأتمتة مع التعطيل. على سبيل المثال، إذا كانت هناك أتمتة للتحقق بانتظام من تمكين جميع الموظفين النشطين للحسابات وفرضها، فقد يؤدي ذلك إلى تنشيط الحسابات التي تم إلغاء تنشيطها عن غير قصد بسبب تعطيل الهجوم أثناء اكتشاف هجوم.

المتطلبات الأساسية Microsoft Defender for Cloud Apps

موصل Microsoft Office 365

يجب توصيل Microsoft Defender for Cloud Apps Microsoft Office 365 من خلال الموصل. للاتصال Defender for Cloud Apps، راجع توصيل Microsoft 365 Microsoft Defender for Cloud Apps.

إدارة التطبيقات

يجب تشغيل إدارة التطبيقات. راجع وثائق إدارة التطبيق لتشغيلها.

المتطلبات الأساسية Microsoft Defender لـ Office 365

موقع علب البريد

يجب استضافة علب البريد في Exchange Online.

تسجيل تدقيق علبة بريد

يجب تدقيق أحداث علبة البريد التالية كحد أدنى:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • الحذف الناعم
  • حذف ثابت

راجع إدارة تدقيق علبة البريد للتعرف على إدارة تدقيق علبة البريد.

الخطوات التالية

المحتويات ذات الصلة

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.