تكوين نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي من جهة خارجية وتسليم البريد الإلكتروني إلى علب بريد SecOps
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.
للحفاظ على أمان مؤسستك بشكل افتراضي، لا يسمح Exchange Online Protection (EOP) بالقوائم الآمنة أو تجاوز التصفية للرسائل التي تم تعريفها على أنها برامج ضارة أو تصيد احتيالي عالي الثقة. ولكن، هناك سيناريوهات محددة تتطلب تسليم الرسائل غير المصفنة. على سبيل المثال:
- محاكاة التصيد الاحتيالي لجهات خارجية: يمكن أن تساعدك هجمات المحاكاة في تحديد المستخدمين المعرضين للخطر وتدريبهم قبل أن يؤثر الهجوم الحقيقي على مؤسستك.
- علب بريد عمليات الأمان (SecOps): علب البريد المخصصة التي تستخدمها فرق الأمان لجمع الرسائل غير المصفة وتحليلها (جيدة وسيئة).
استخدم نهج التسليم المتقدم في EOP لمنع تصفية الرسائل الواردة في هذه السيناريوهات المحددة ¹. يضمن نهج التسليم المتقدم أن الرسائل في هذه السيناريوهات تحقق النتائج التالية:
- لا تتخذ عوامل التصفية في EOP Defender لـ Office 365 أي إجراء على هذه الرسائل. يتم تجاوز تصفية البرامج الضارة لعلب بريد SecOps فقط.
- لا تتخذ عملية المسح بدون ساعة (ZAP) للبريد العشوائي والتصيد الاحتيالي أي إجراء على هذه الرسائل. يتم تجاوز ZAP للبرامج الضارة لعلب بريد SecOps فقط.
- لا تمنع الارتباطات الآمنة في Defender لـ Office 365 عناوين URL المحددة في هذه الرسائل أو تفجرها في وقت النقر. لا تزال عناوين URL ملتفة، ولكنها غير محظورة.
- لا تقوم المرفقات الآمنة في Defender لـ Office 365 بتفجير المرفقات في هذه الرسائل.
- لا يتم تشغيل تنبيهات النظام الافتراضية لهذه السيناريوهات.
- يتجاهل AIR والتكتتل في Defender لـ Office 365 هذه الرسائل.
- خصيصا لمحاكاة التصيد الاحتيالي التابعة لجهة خارجية:
- مسؤول الإرسال يولد استجابة تلقائية تفيد بأن الرسالة جزء من حملة محاكاة التصيد الاحتيالي ولا تشكل تهديدا حقيقيا. لا يتم تشغيل التنبيهات و AIR. تظهر تجربة عمليات إرسال المسؤول هذه الرسائل كتهديد محاكاة.
- عندما يبلغ مستخدم عن رسالة محاكاة تصيد احتيالي باستخدام الزر "تقرير" المضمن في Outlook أو الوظائف الإضافية "رسالة تقرير Microsoft" أو "الإبلاغ عن التصيد الاحتيالي"، لا ينشئ النظام تنبيها أو تحقيقا أو حادثا. لا يتم تفجير الارتباطات أو الملفات، ولكن تظهر الرسالة على علامة تبويب المستخدم المبلغ عنها في صفحة عمليات الإرسال .
الرسائل التي يتم تحديدها بواسطة نهج التسليم المتقدم ليست تهديدات أمنية، لذلك يتم وضع علامة على الرسائل بتجاوزات النظام. تظهر التجارب مسؤول هذه الرسائل كمحاكاة للتصيد الاحتيالي أو تجاوز نظام علبة بريد SecOps. يمكن للمسؤولين استخدام هذه القيم لتصفية الرسائل وتحليلها في التجارب التالية:
- مستكشف التهديدات (المستكشف) أو عمليات الكشف في الوقت الحقيقي في Defender لـ Office 365: يمكن للمسؤولين التصفية على مصدر تجاوز النظام وتحديد محاكاة التصيد الاحتيالي أو علبة بريد SecOps.
- صفحة كيان البريد الإلكتروني: يمكن للمسؤولين عرض رسالة تم السماح بها بواسطة نهج المؤسسة بواسطة علبة بريد SecOps أو محاكاة التصيد الاحتيالي ضمن تجاوز المستأجر في قسم التجاوز (التجاوزات).
- تقرير حالة الحماية من التهديدات: يمكن مسؤول التصفية حسب عرض البيانات حسب تجاوز النظام في القائمة المنسدلة وتحديد لرؤية الرسائل المسموح بها بسبب تجاوز نظام محاكاة التصيد الاحتيالي. لمشاهدة الرسائل المسموح بها بواسطة تجاوز علبة بريد SecOps، يمكنك تحديد تصنيف المخطط حسب موقع التسليم في القائمة المنسدلة تصنيف المخطط حسب السبب .
- التتبع المتقدم في Microsoft Defender لنقطة النهاية: تعد محاكاة التصيد الاحتيالي وتجاوزات نظام علبة بريد SecOps خيارات داخل OrgLevelPolicy في EmailEvents.
- طرق عرض الحملة: يمكن مسؤول التصفية على مصدر تجاوز النظام وتحديد إما محاكاة التصيد الاحتيالي أو علبة بريد SecOps.
ما الذي تحتاج إلى معرفته قبل أن تبدأ؟
يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.
للاتصال Exchange Online PowerShell، راجع الاتصال Exchange Online PowerShell.
يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:
Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (إذا كانت أذونات & البريد الإلكتروني Defender لـ Office 365>نشطة. يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).
البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defenderوأذونات Exchange Online:
- إنشاء إعدادات مكونة أو تعديلها أو إزالتها في نهج التسليم المتقدم: العضوية في مجموعات دور مسؤول الأمان في التحكم في الوصول استنادا إلى الدور للتعاون & البريد الإلكتروني والعضوية في مجموعة دور إدارة المؤسسة في Exchange Online RBAC.
-
الوصول للقراءة فقط إلى نهج التسليم المتقدم: العضوية في مجموعات دور القارئ العام أو قارئ الأمان في البريد الإلكتروني & التحكم في الوصول استنادا إلى الدور للتعاون.
- عرض إدارة المؤسسة فقط في Exchange Online RBAC.
Microsoft Entra الأذونات: تمنح العضوية في أدوار المسؤول* العام أو مسؤول الأمان أو القارئ العام أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.
هام
* توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
استخدم مدخل Microsoft Defender لتكوين علب بريد SecOps في نهج التسليم المتقدم
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.
في صفحة التسليم المتقدم ، تحقق من تحديد علامة التبويب علبة بريد SecOps .
في علامة التبويب علبة بريد SecOps ، حدد الزر Add في منطقة No SecOps mailboxes المكونة من الصفحة.
إذا كانت هناك إدخالات موجودة بالفعل في علامة التبويب علبة بريد SecOps ، فحدد تحرير (الزر إضافة غير متوفر).
في القائمة المنبثقة إضافة علب بريد SecOps التي تفتح، أدخل علبة بريد Exchange Online موجودة تريد تعيينها كعلبة بريد SecOps عن طريق القيام بأي من الخطوات التالية:
انقر في المربع، ودع قائمة علب البريد تحل، ثم حدد علبة البريد.
انقر في المربع ابدأ بكتابة معرف لعلمة البريد (الاسم واسم العرض والاسم المستعار وعنوان البريد الإلكتروني واسم الحساب وما إلى ذلك)، وحدد علبة البريد (اسم العرض) من النتائج.
كرر هذه الخطوة عدة مرات حسب الضرورة. مجموعات التوزيع غير مسموح بها.
لإزالة قيمة موجودة، حدد إزالة بجوار القيمة.
عند الانتهاء من القائمة المنبثقة Add SecOps mailboxes ، حدد Add..
راجع المعلومات الموجودة في تجاوز القائمة المنبثقة المحفوظة تغييرات إلى علبة بريد SecOps ، ثم حدد إغلاق.
بالعودة إلى علامة التبويب علبة بريد SecOps ، يتم الآن سرد إدخالات علبة بريد SecOps التي قمت بتكوينها:
- يحتوي عمود اسم العرض على اسم العرض لعلب البريد.
- يحتوي عمود البريد الإلكتروني على عنوان البريد الإلكتروني لكل إدخال.
- لتغيير قائمة الإدخالات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.
استخدم مدخل Microsoft Defender لتعديل علب بريد SecOps أو إزالتها في نهج التسليم المتقدم
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.
في صفحة التسليم المتقدم ، تحقق من تحديد علامة التبويب علبة بريد SecOps .
في علامة التبويب علبة بريد SecOps ، حدد تحرير.
في القائمة المنبثقة تحرير علب بريد SecOps التي تفتح، أضف علب البريد أو أزلها كما هو موضح في الخطوة 3 في استخدام مدخل Microsoft Defender لتكوين علب بريد SecOps في قسم نهج التسليم المتقدم.
لإزالة كافة علب البريد، حدد إزالة بجانب كل قيمة حتى لا يتم تحديد المزيد من علب البريد.
عند الانتهاء من القائمة المنبثقة تحرير علب بريد SecOps ، حدد حفظ.
راجع المعلومات الموجودة في تجاوز القائمة المنبثقة المحفوظة تغييرات إلى علبة بريد SecOps ، ثم حدد إغلاق.
مرة أخرى في علامة التبويب علبة بريد SecOps ، يتم عرض إدخالات علبة بريد SecOps التي قمت بتكوينها. إذا قمت بإزالة جميع الإدخالات، تكون القائمة فارغة.
استخدم مدخل Microsoft Defender لتكوين عمليات محاكاة التصيد الاحتيالي لجهة خارجية في نهج التسليم المتقدم
لتكوين محاكاة التصيد الاحتيالي لجهة خارجية، تحتاج إلى توفير المعلومات التالية:
-
مجال واحد على الأقل: المجال من عنوان MAIL FROM (المعروف أيضا باسم
5321.MailFrom
العنوان أو مرسل P1 أو مرسل المغلف) المستخدم في إرسال SMTP للرسالة أو مجال DKIM كما هو محدد من قبل مورد محاكاة التصيد الاحتيالي. - إرسال عنوان IP واحد على الأقل.
- بالنسبة لمحاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (على سبيل المثال، رسائل Microsoft Teams أو Word المستندات أو جداول بيانات Excel)، يمكنك اختياريا تحديد عناوين URL للمحاكاة للسماح بعدم التعامل معها كتهديدات حقيقية في وقت النقر: لا يتم حظر عناوين URL أو تفجيرها، ولا يتم إنشاء تنبيهات النقر فوق عنوان URL أو الحوادث الناتجة. يتم التفاف عناوين URL في وقت النقر، ولكن لا يتم حظرها.
يجب أن يكون هناك تطابق على مجال واحد على الأقل وعنوان IP إرسال واحد، ولكن لا يتم الاحتفاظ بأي اقتران بين القيم.
إذا لم يشير سجل MX إلى Microsoft 365، فيجب أن يتطابق عنوان IP في Authentication-results
العنوان مع عنوان IP في نهج التسليم المتقدم. إذا لم تتطابق عناوين IP، فقد تحتاج إلى تكوين تصفية محسنة للموصلات بحيث يتم الكشف عن عنوان IP الصحيح.
ملاحظة
لا تعمل التصفية المحسنة للموصلات مع عمليات محاكاة التصيد الاحتيالي لجهات خارجية في سيناريوهات توجيه البريد الإلكتروني التي تتضمن البريد الوارد إلى Exchange عبر الإنترنت مرتين (على سبيل المثال، البريد الإلكتروني عبر الإنترنت الذي يتم توجيهه إلى Microsoft 365، ثم إلى بيئة محلية أو خدمة أمان تابعة لجهة خارجية، ثم العودة إلى Microsoft 365). لا يمكن ل EOP تحديد عنوان IP الحقيقي لمصدر الرسالة. لا تحاول التغلب على هذا القيد عن طريق إضافة عناوين IP للبنية الأساسية المحلية أو الخارجية التي ترسل البنية الأساسية إلى محاكاة التصيد الاحتيالي التابعة لجهة خارجية. يؤدي القيام بذلك إلى تجاوز تصفية البريد العشوائي بشكل فعال لأي مرسل إنترنت ينتحل صفة المجال المحدد في محاكاة التصيد الاحتيالي التابع لجهة خارجية. يتم دعم سيناريوهات التوجيه حيث يشير سجل MX إلى خدمة جهة خارجية ثم يتم توجيه البريد إلى Exchange Online إذا تم تكوين التصفية المحسنة للموصلات.
حاليا، لا يدعم نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي التابع لجهة خارجية عمليات المحاكاة داخل نفس المؤسسة (DIR:INT
)، خاصة عندما يتم توجيه البريد الإلكتروني عبر بوابة Exchange Server قبل Microsoft 365 في تدفق البريد المختلط. للتغلب على هذه المشكلة، لديك الخيارات التالية:
- إنشاء موصل إرسال مخصص لا يصادق رسائل محاكاة التصيد الاحتيالي كرسائل داخلية.
- قم بتكوين محاكاة التصيد الاحتيالي لتجاوز البنية الأساسية Exchange Server وتوجيه البريد مباشرة إلى سجل Microsoft 365 MX (على سبيل المثال، contoso-com.mail.protection.outlook.com).
- على الرغم من أنه يمكنك تعيين مسح الرسائل داخل المؤسسة إلى None في نهج مكافحة البريد العشوائي ، فإننا لا نوصي بهذا الخيار لأنه يؤثر على رسائل البريد الإلكتروني الأخرى.
إذا كنت تستخدم نهج الأمان المعين مسبقا للحماية المضمنة أو إذا كانت نهج الارتباطات الآمنة المخصصة لديك تحتوي على الإعداد عدم إعادة كتابة عناوين URL، أو إجراء عمليات التحقق عبر واجهة برمجة تطبيقات SafeLinks التي تم تمكينها فقط، ولا يتعامل وقت حماية النقر مع ارتباطات محاكاة التصيد الاحتيالي في البريد الإلكتروني كتهديدات في Outlook على ويب وOutlook for iOS وAndroid وOutlook for Windows v16.0.15317.10000 أو إصدار أحدث، Outlook for Mac الإصدار 16.74 (23061100) أو أحدث. إذا كنت تستخدم إصدارات قديمة من Outlook، ففكر في تعطيل عدم إعادة كتابة عناوين URL، وإجراء عمليات التحقق عبر SafeLinks API فقط في نهج الارتباطات الآمنة المخصصة.
قد تؤدي إضافة عناوين URL لمحاكاة التصيد الاحتيالي إلى قسم عدم إعادة كتابة عناوين URL التالية في البريد الإلكتروني في نهج الارتباطات الآمنة إلى تنبيهات غير مرغوب فيها لنقرات URL. يسمح تلقائيا بعناوين URL لمحاكاة التصيد الاحتيالي في رسائل البريد الإلكتروني أثناء تدفق البريد ووقت النقر.
حاليا، لا يدعم نهج التسليم المتقدم لعلب بريد SecOps الرسائل داخل المؤسسة (DIR:INT
)، وسيتم عزل هذه الرسائل. كحل بديل، يمكنك استخدام نهج منفصل لمكافحة البريد العشوائي لعلب بريد SecOps التي لا تعطل الرسائل داخل المؤسسة. لا نوصي بتعطيل الحماية داخل المؤسسة لجميع علب البريد.
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.
في صفحة التسليم المتقدم ، حدد علامة التبويب محاكاة التصيد الاحتيالي .
في علامة التبويب محاكاة التصيد الاحتيالي ، حدد الزر Add في منطقة No third party phishing simulations المكونة من الصفحة.
إذا كانت هناك إدخالات موجودة بالفعل في علامة التبويب محاكاة التصيد الاحتيالي ، فحدد تحرير (الزر إضافة غير متوفر).
في القائمة المنبثقة Add third party phishing simulations التي تفتح، قم بتكوين الإعدادات التالية:
المجال: قم بتوسيع هذا الإعداد وأدخل مجال عنوان بريد إلكتروني واحد على الأقل بالنقر في المربع، وإدخال قيمة (على سبيل المثال، contoso.com)، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. كرر هذه الخطوة عدة مرات حسب الضرورة. يمكنك إضافة ما يصل إلى 50 إدخالا. استخدم إحدى القيم التالية:
- المجال في
5321.MailFrom
العنوان (المعروف أيضا باسم عنوان MAIL FROM أو مرسل P1 أو مرسل المغلف) المستخدم في إرسال SMTP للرسالة. - مجال DKIM كما هو محدد من قبل مورد محاكاة التصيد الاحتيالي.
- المجال في
إرسال IP: قم بتوسيع هذا الإعداد وأدخل عنوان IPv4 صالحا واحدا على الأقل بالنقر في المربع، وإدخال قيمة، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. كرر هذه الخطوة عدة مرات حسب الضرورة. يمكنك إضافة ما يصل إلى 10 إدخالات. القيم الصالحة هي:
- عنوان IP واحد: على سبيل المثال، 192.168.1.1.
- نطاق IP: على سبيل المثال، 192.168.0.1-192.168.0.254.
- CIDR IP: على سبيل المثال، 192.168.0.1/25.
عناوين URL للمحاكاة للسماح: هذا الإعداد غير مطلوب للارتباطات في عمليات محاكاة التصيد الاحتيالي عبر البريد الإلكتروني. استخدم هذا الإعداد لتحديد الارتباطات اختياريا في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (الارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.
أضف إدخالات عنوان URL عن طريق توسيع هذا الإعداد، والنقر في المربع، وإدخال قيمة، ثم الضغط على المفتاح ENTER أو تحديد القيمة المعروضة أسفل المربع. يمكنك إضافة ما يصل إلى 30 إدخالا. للحصول على بناء جملة عنوان URL، راجع بناء جملة عنوان URL لقائمة السماح/الحظر للمستأجر.
لإزالة مجال أو IP أو قيمة URL موجودة، حدد إزالة بجوار القيمة.
ضع في اعتبارك المثال التالي:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- عنوان IP المتصل هو 172.17.17.7.
- المجال في عنوان MAIL FROM (
smtp.mailfrom
) contoso.com. - مجال DKIM (
header.d
) contoso-simulation.com.
من المثال، يمكنك استخدام إحدى المجموعات التالية لتكوين محاكاة تصيد احتيالي تابعة لجهة خارجية:
المجال: contoso.com
إرسال IP: 172.17.17.7المجال: contoso-simulation.com
إرسال IP: 172.17.17.7عند الانتهاء من القائمة المنبثقة Add third party phishing simulations ، حدد Add.
راجع المعلومات الواردة في القائمة المنبثقة التغييرات في محاكاة التصيد الاحتيالي ، ثم حدد إغلاق.
بالعودة إلى علامة التبويب محاكاة التصيد الاحتيالي ، يتم الآن سرد إدخالات محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي قمت بتكوينها:
- يحتوي عمود القيمة على المجال أو عنوان IP أو إدخال عنوان URL.
- يحتوي عمود النوع على القيمة إرسال عنوان URL للمحاكاة IP أو المجال أو المسموح به لكل إدخال.
- يظهر عمود التاريخ وقت إنشاء الإدخال.
- لتغيير قائمة الإدخالات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.
استخدم مدخل Microsoft Defender لتعديل أو إزالة عمليات محاكاة التصيد الاحتيالي التابعة لجهة خارجية في نهج التسليم المتقدم
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Advanced delivery في قسم Rules. أو، للانتقال مباشرة إلى صفحة التسليم المتقدم ، استخدم https://security.microsoft.com/advanceddelivery.
في صفحة التسليم المتقدم ، حدد علامة التبويب محاكاة التصيد الاحتيالي .
في علامة التبويب محاكاة التصيد الاحتيالي ، حدد تحرير.
في القائمة المنبثقة تحرير محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي تفتح أو تضيف أو تزيل إدخالات للمجالوإرسال عنوان IPوعناوين URL للمحاكاة كما هو موضح في الخطوة 3 في استخدام مدخل Microsoft Defender لتكوين علب بريد SecOps في قسم نهج التسليم المتقدم.
لإزالة جميع الإدخالات، حدد إزالة بجانب كل قيمة حتى لا يتم تحديد المزيد من المجالات أو عناوين IP أو عناوين URL.
عند الانتهاء من القائمة المنبثقة Edit third-party phishing simulation ، حدد Save.
راجع المعلومات الواردة في القائمة المنبثقة التغييرات في محاكاة التصيد الاحتيالي ، ثم حدد إغلاق.
مرة أخرى في علامة التبويب محاكاة التصيد الاحتيالي ، يتم عرض إدخالات محاكاة التصيد الاحتيالي التابعة لجهة خارجية التي قمت بتكوينها. إذا قمت بإزالة جميع الإدخالات، تكون القائمة فارغة.
سيناريوهات إضافية تتطلب تجاوز التصفية
بالإضافة إلى السيناريوهين اللذين يمكن أن يساعدك فيهما نهج التسليم المتقدم، هناك سيناريوهات أخرى قد تحتاج فيها إلى تجاوز تصفية الرسائل:
عوامل تصفية الجهات الخارجية: إذا لم يشير سجل MX لمجالك إلى Office 365 (يتم توجيه الرسائل إلى مكان آخر أولا)، فلن يتوفرالأمان بشكل افتراضي. إذا كنت ترغب في إضافة حماية، فأنت بحاجة إلى تمكين التصفية المحسنة للموصلات (المعروفة أيضا باسم تخطي القائمة). لمزيد من المعلومات، راجع إدارة تدفق البريد باستخدام خدمة سحابية تابعة لجهة خارجية مع Exchange Online. إذا كنت لا تريد التصفية المحسنة للموصلات، فاستخدم قواعد تدفق البريد (المعروفة أيضا باسم قواعد النقل) لتجاوز تصفية Microsoft للرسائل التي تم تقييمها بالفعل بواسطة تصفية الجهات الخارجية. لمزيد من المعلومات، راجع استخدام قواعد تدفق البريد لتعيين SCL في الرسائل.
الإيجابيات الخاطئة قيد المراجعة: قد ترغب في السماح مؤقتا بالرسائل الجيدة التي تم تعريفها بشكل غير صحيح على أنها سيئة (إيجابيات خاطئة) قمت بالإبلاغ عنها عبر عمليات إرسال المسؤول، ولكن لا تزال Microsoft تحلل الرسائل. وكما هو الحال مع جميع التجاوزات، نوصي بشدة بأن تكون هذه البدلات مؤقتة.
إجراءات PowerShell لعلب بريد SecOps في نهج التسليم المتقدم
في PowerShell، العناصر الأساسية لعلب بريد SecOps في نهج التسليم المتقدم هي:
- نهج تجاوز SecOps: يتم التحكم فيه بواسطة أوامر cmdlets *-SecOpsOverridePolicy .
- قاعدة تجاوز SecOps: يتم التحكم فيها بواسطة أوامر cmdlets *-ExoSecOpsOverrideRule .
يحتوي هذا السلوك على النتائج التالية:
- يمكنك إنشاء النهج أولا، ثم إنشاء القاعدة التي تحدد النهج الذي تنطبق عليه القاعدة.
- عند إزالة نهج من PowerShell، تتم أيضا إزالة القاعدة المقابلة.
- عند إزالة قاعدة من PowerShell، لا تتم إزالة النهج المقابل. تحتاج إلى إزالة النهج المقابل يدويا.
استخدام PowerShell لتكوين علب بريد SecOps
يعد تكوين علبة بريد SecOps في نهج التسليم المتقدم في PowerShell عملية من خطوتين:
- إنشاء نهج تجاوز SecOps.
- إنشاء قاعدة تجاوز SecOps التي تحدد النهج الذي تنطبق عليه القاعدة.
الخطوة 1: استخدام PowerShell لإنشاء نهج تجاوز SecOps
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
بغض النظر عن قيمة الاسم التي تحددها، فإن اسم النهج هو SecOpsOverridePolicy، لذلك قد تستخدم هذه القيمة أيضا.
ينشئ هذا المثال نهج علبة بريد SecOps.
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-SecOpsOverridePolicy.
الخطوة 2: استخدام PowerShell لإنشاء قاعدة تجاوز SecOps
في Exchange Online PowerShell، قم بتشغيل الأمر التالي:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
بغض النظر عن قيمة الاسم التي تحددها، سيكون _Exe:SecOpsOverrid:<GUID\>
اسم القاعدة [sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 312c23cf-0377-4162-b93d-6548a9977efb9).
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-ExoSecOpsOverrideRule.
استخدام PowerShell لعرض نهج تجاوز SecOps
في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول نهج علبة بريد SecOps واحد فقط.
Get-SecOpsOverridePolicy
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-SecOpsOverridePolicy.
استخدام PowerShell لعرض قواعد تجاوز SecOps
في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول قواعد تجاوز SecOps.
Get-ExoSecOpsOverrideRule
على الرغم من أن الأمر السابق يجب أن يرجع قاعدة واحدة فقط، فقد يتم أيضا تضمين قاعدة معلقة للحذف في النتائج.
يحدد هذا المثال القاعدة الصالحة (واحدة) وأي قواعد غير صالحة.
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
بعد تحديد القواعد غير الصالحة، يمكنك إزالتها باستخدام الأمر Cmdlet Remove-ExoSecOpsOverrideRule كما هو موضح لاحقا في هذه المقالة.
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-ExoSecOpsOverrideRule.
استخدام PowerShell لتعديل نهج تجاوز SecOps
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
يضيف secops2@contoso.com
هذا المثال إلى نهج تجاوز SecOps.
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
ملاحظة
إذا كانت هناك قاعدة تجاوز SecOps مقترنة وصحيحة، يتم أيضا تحديث عناوين البريد الإلكتروني في القاعدة.
للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-SecOpsOverridePolicy.
استخدام PowerShell لتعديل قاعدة تجاوز SecOps
لا يقوم الأمر cmdlet Set-ExoSecOpsOverrideRule بتعديل عناوين البريد الإلكتروني في قاعدة تجاوز SecOps. لتعديل عناوين البريد الإلكتروني في قاعدة تجاوز SecOps، استخدم الأمر Cmdlet Set-SecOpsOverridePolicy .
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-ExoSecOpsOverrideRule.
استخدام PowerShell لإزالة نهج تجاوز SecOps
في Exchange Online PowerShell، يزيل هذا المثال نهج علبة بريد SecOps والقاعدة المقابلة.
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-SecOpsOverridePolicy.
استخدام PowerShell لإزالة قواعد تجاوز SecOps
في Exchange Online PowerShell، استخدم الأوامر التالية:
إزالة أي قواعد تجاوز SecOps:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
إزالة قاعدة تجاوز SecOps المحددة:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-ExoSecOpsOverrideRule.
إجراءات PowerShell لمحاكاة التصيد الاحتيالي لجهات خارجية في نهج التسليم المتقدم
في PowerShell، العناصر الأساسية لمحاكاة التصيد الاحتيالي لجهات خارجية في نهج التسليم المتقدم هي:
- نهج تجاوز محاكاة التصيد الاحتيالي: يتم التحكم فيه بواسطة أوامر cmdlets *-PhishSimOverridePolicy .
- قاعدة تجاوز محاكاة التصيد الاحتيالي: يتم التحكم فيها بواسطة أوامر cmdlets *-ExoPhishSimOverrideRule .
- عناوين URL لمحاكاة التصيد الاحتيالي المسموح بها (غير محظورة): يتم التحكم فيها بواسطة cmdlets *-TenantAllowBlockListItems .
ملاحظة
كما هو موضح سابقا، لا يلزم تحديد عناوين URL للارتباطات في عمليات محاكاة التصيد الاحتيالي المستندة إلى البريد الإلكتروني. يمكنك اختياريا تحديد الارتباطات في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (الارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.
يحتوي هذا السلوك على النتائج التالية:
- يمكنك إنشاء النهج أولا، ثم إنشاء القاعدة التي تحدد النهج الذي تنطبق عليه القاعدة.
- يمكنك تعديل الإعدادات في النهج والقاعدة بشكل منفصل.
- عند إزالة نهج من PowerShell، تتم أيضا إزالة القاعدة المقابلة.
- عند إزالة قاعدة من PowerShell، لا تتم إزالة النهج المقابل. تحتاج إلى إزالة النهج المقابل يدويا.
استخدام PowerShell لتكوين محاكاة التصيد الاحتيالي التابعة لجهة خارجية
يعد تكوين محاكاة التصيد الاحتيالي لجهة خارجية في PowerShell عملية متعددة الخطوات:
- إنشاء نهج تجاوز محاكاة التصيد الاحتيالي.
- إنشاء قاعدة تجاوز محاكاة التصيد الاحتيالي التي تحدد:
- النهج الذي تنطبق عليه القاعدة.
- عنوان IP المصدر لرسائل محاكاة التصيد الاحتيالي.
- اختياريا، حدد عناوين URL لمحاكاة التصيد الاحتيالي في عمليات محاكاة التصيد الاحتيالي غير عبر البريد الإلكتروني (ارتباطات في رسائل Teams أو في مستندات Office) التي لا ينبغي التعامل معها كتهديدات حقيقية في وقت النقر.
الخطوة 1: استخدام PowerShell لإنشاء نهج تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، ينشئ هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي.
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
بغض النظر عن قيمة الاسم التي تحددها، فإن اسم النهج هو PhishSimOverridePolicy، لذلك قد تستخدم هذه القيمة أيضا.
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-PhishSimOverridePolicy.
الخطوة 2: استخدام PowerShell لإنشاء قاعدة تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
بغض النظر عن قيمة الاسم التي تحددها، سيكون _Exe:PhishSimOverr:<GUID\>
اسم القاعدة [sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 6fed4b63-3563-495d-a481-b24a311f8329).
إدخال عنوان IP صالح هو إحدى القيم التالية:
- عنوان IP واحد: على سبيل المثال، 192.168.1.1.
- نطاق IP: على سبيل المثال، 192.168.0.1-192.168.0.254.
- CIDR IP: على سبيل المثال، 192.168.0.1/25.
ينشئ هذا المثال قاعدة تجاوز محاكاة التصيد الاحتيالي بالإعدادات المحددة.
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-ExoPhishSimOverrideRule.
الخطوة 3: (اختياري) استخدم PowerShell لتحديد عناوين URL لمحاكاة التصيد الاحتيالي للسماح
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
للحصول على تفاصيل حول بناء جملة عنوان URL، راجع بناء جملة عنوان URL لقائمة السماح/الحظر للمستأجر
يضيف هذا المثال عنوان URL يسمح بإدخال عنوان URL المحدد لمحاكاة التصيد الاحتيالي لجهة خارجية دون انتهاء صلاحية.
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع New-TenantAllowBlockListItems.
استخدام PowerShell لعرض نهج تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، يقوم هذا المثال بإرجاع معلومات مفصلة حول نهج تجاوز محاكاة التصيد الاحتيالي الوحيد.
Get-PhishSimOverridePolicy
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-PhishSimOverridePolicy.
استخدام PowerShell لعرض قواعد تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell)، يقوم هذا المثال بإرجاع معلومات مفصلة حول قواعد تجاوز محاكاة التصيد الاحتيالي.
Get-ExoPhishSimOverrideRule
على الرغم من أن الأمر السابق يجب أن يرجع قاعدة واحدة فقط، فقد يتم أيضا تضمين أي قواعد معلقة للحذف في النتائج.
يحدد هذا المثال القاعدة الصالحة (واحدة) وأي قواعد غير صالحة.
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
بعد تحديد القواعد غير الصالحة، يمكنك إزالتها باستخدام الأمر Cmdlet Remove-ExoPhishSimOverrideRule كما هو موضح لاحقا في هذه المقالة.
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-ExoPhishSimOverrideRule.
استخدم PowerShell لعرض إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها
في Exchange Online PowerShell، قم بتشغيل الأمر التالي:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Get-TenantAllowBlockListItems.
استخدام PowerShell لتعديل نهج تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
يعطل هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي.
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-PhishSimOverridePolicy.
استخدام PowerShell لتعديل قواعد تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
أو
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
استخدم الأمر cmdlet Get-ExoPhishSimOverrideRule للعثور على <قيم PhishSimOverrideRuleIdentity> . يستخدم اسم القاعدة بناء الجملة التالي: _Exe:PhishSimOverr:<GUID\>
[sic] حيث <GUID> هو قيمة GUID فريدة (على سبيل المثال، 6fed4b63-3563-495d-a481-b24a311f8329).
يعدل هذا المثال قاعدة تجاوز محاكاة التصيد الاحتيالي (ربما فقط) بالإعدادات التالية:
- أضف blueyonderairlines.com إدخال المجال.
- قم بإزالة إدخال عنوان IP 192.168.1.55.
لا تؤثر هذه التغييرات على الإدخالات الموجودة في القاعدة.
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Set-ExoPhishSimOverrideRule.
استخدم PowerShell لتعديل إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها
لا يمكنك تعديل قيم URL مباشرة. يمكنك إزالة إدخالات URL الموجودةوإضافة إدخالات URL جديدة كما هو موضح في هذه المقالة.
في Exchange Online PowerShell، لتعديل خصائص أخرى لإدخال عنوان URL لمحاكاة التصيد الاحتيالي المسموح به (على سبيل المثال، تاريخ انتهاء الصلاحية أو التعليقات)، استخدم بناء الجملة التالي:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
يمكنك تحديد الإدخال المراد تعديله حسب قيم URL الخاصة به ( المعلمة Entries ) أو قيمة Identity من إخراج Get-TenantAllowBlockListItems cmdlet ( معلمة Ids ).
قام هذا المثال بتعديل تاريخ انتهاء صلاحية الإدخال المحدد.
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-TenantAllowBlockListItems.
استخدام PowerShell لإزالة نهج تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، يزيل هذا المثال نهج تجاوز محاكاة التصيد الاحتيالي والقاعدة المقابلة.
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-PhishSimOverridePolicy.
استخدام PowerShell لإزالة قواعد تجاوز محاكاة التصيد الاحتيالي
في Exchange Online PowerShell، استخدم الأوامر التالية:
إزالة أي قواعد تجاوز لمحاكاة التصيد الاحتيالي:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
إزالة قاعدة تجاوز محاكاة التصيد الاحتيالي المحددة:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-ExoPhishSimOverrideRule.
استخدم PowerShell لإزالة إدخالات عنوان URL لمحاكاة التصيد الاحتيالي المسموح بها
في Exchange Online PowerShell، استخدم بناء الجملة التالي:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
يمكنك تحديد الإدخال المراد تعديله حسب قيم URL الخاصة به ( المعلمة Entries ) أو قيمة Identity من إخراج Get-TenantAllowBlockListItems cmdlet ( معلمة Ids ).
قام هذا المثال بتعديل تاريخ انتهاء صلاحية الإدخال المحدد.
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-TenantAllowBlockListItems.