نظرة ثاقبة على انتحال الهوية في Defender لـ Office 365
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.
يكون انتحال الهوية عندما يبدو مرسل رسالة بريد إلكتروني مشابها لعنوان البريد الإلكتروني الحقيقي أو المتوقع للمرسل. غالبا ما يستخدم المهاجمون عناوين البريد الإلكتروني للمرسل الذي تم انتحاله في التصيد الاحتيالي أو أنواع أخرى من الهجمات لاكتساب ثقة المستلم. هناك نوعان أساسيان من انتحال الهوية:
- انتحال المجال: يحتوي على اختلافات دقيقة في المجال. على سبيل المثال، lila@ćóntoso.com انتحال lila@contoso.comشخصية .
- انتحال هوية المستخدم: يحتوي على اختلافات دقيقة في الاسم المستعار للبريد الإلكتروني. على سبيل المثال، rnichell@contoso.com انتحال michelle@contoso.comشخصية .
يختلف انتحال المجال عن انتحال المجال، لأن المجال الذي تم انتحاله غالبا ما يكون مجالا حقيقيا ومسجلا، ولكن بهدف خداعه. يمكن للرسائل الواردة من المرسلين في المجال المنتحل الهوية تمرير عمليات التحقق العادية من مصادقة البريد الإلكتروني التي من شأنها أن تحدد الرسائل على أنها محاولات انتحال (SPF وDKIM وDMARC).
تعد حماية انتحال الهوية جزءا من إعدادات نهج مكافحة التصيد الاحتيالي الحصرية Microsoft Defender لـ Office 365. لمزيد من المعلومات حول هذه الإعدادات، راجع إعدادات انتحال الهوية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.
يمكن للمسؤولين استخدام نتيجة تحليلات انتحال الهوية في مدخل Microsoft Defender لتحديد الرسائل بسرعة من المرسلين الذين تم انتحال هويتهم أو مجالات المرسل المحددة في حماية انتحال الهوية في نهج مكافحة التصيد الاحتيالي.
ما الذي تحتاج إلى معرفته قبل أن تبدأ؟
يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة مكافحة التصيد الاحتيالي ، استخدم https://security.microsoft.com/antiphishing. للانتقال مباشرة إلى صفحة نتيجة تحليلات انتحال الهوية، استخدم https://security.microsoft.com/impersonationinsight.
يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:
Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (إذا كانت أذونات & البريد الإلكتروني Defender لـ Office 365>نشطة
. يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender: العضوية في أي من مجموعات الأدوار التالية:
- إدارة المؤسسة
- مسؤول الأمان
- قارئ الأمان
- القارئ العام
Microsoft Entra الأذونات: تمنح العضوية في أدوار المسؤول* العام أو مسؤول الأمان أو قارئ الأمان أو القارئ العمومي المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.
هام
* توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
يمكنك تمكين وتكوين حماية انتحال الهوية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365. لا يتم تمكين حماية انتحال الهوية بشكل افتراضي. لمزيد من المعلومات، راجع تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365واستخدام مدخل Microsoft Defender لتعيين نهج أمان قياسية وصارمة محددة مسبقا للمستخدمين.
لمزيد من المعلومات حول متطلبات الترخيص، راجع شروط الترخيص.
افتح نتيجة تحليلات انتحال الهوية في مدخل Microsoft Defender
في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Anti-phishing في قسم Policies. أو، للانتقال مباشرة إلى صفحة مكافحة التصيد الاحتيالي ، استخدم https://security.microsoft.com/antiphishing.
في صفحة مكافحة التصيد الاحتيالي ، تبدو نتيجة تحليلات انتحال الهوية كما يلي:
تحتوي نتيجة التحليلات على وضعين:
- وضع نتيجة التحليلات: إذا تم تمكين حماية انتحال الهوية وتكوينها في أي نهج لمكافحة التصيد الاحتيالي، تظهر نتيجة التحليلات عدد الرسائل المكتشفة من المجالات المنتحلة صفة والمستخدمين المنتحلين (المرسلين) على مدار الأيام السبعة الماضية. العدد المعروض هو إجمالي جميع محاولات انتحال الهوية المكتشفة من جميع نهج مكافحة التصيد الاحتيالي.
- ماذا لو كان الوضع: إذا لم يتم تمكين حماية انتحال الهوية وتكوينها في أي نهج نشطة لمكافحة التصيد الاحتيالي، فإن نتيجة التحليلات توضح عدد الرسائل التي تم اكتشافها بواسطة حماية انتحال الهوية على مدار الأيام السبعة الماضية.
لعرض معلومات حول اكتشافات انتحال الهوية، حدد عرض الانتحالات في نتيجة تحليلات انتحال الهوية للانتقال إلى صفحة نتيجة تحليلات انتحال الهوية.
عرض معلومات حول اكتشافات انتحال المجال
تتوفر صفحة نتيجة تحليلات انتحال الهوية في https://security.microsoft.com/impersonationinsight عند تحديد عرض الانتحالات في نتيجة تحليلات انتحال الهوية في صفحة مكافحة التصيد الاحتيالي .
في صفحة Impersonation insight ، تحقق من تحديد علامة التبويب Domains .
يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. تتوفر الأعمدة التالية:*
- مجال المرسل: مجال انتحال الهوية، وهو المجال الذي تم استخدامه لإرسال رسالة البريد الإلكتروني.
- عدد الرسائل: عدد الرسائل من انتحال صفة مجال المرسل خلال الأيام السبعة الماضية.
- نوع انتحال الهوية: تعرض هذه القيمة الموقع المكتشف للانتحال (على سبيل المثال، المجال في العنوان).
- المجال (المجالات) المنتحلة: المجال المحمي بحماية انتحال المجال، والذي يجب أن يشبه المجال في مجال المرسل.
- نوع المجال: هذه القيمة هي مجال الشركةللمجالات المقبولة أو المجال المخصص للمجالات المخصصة.
- النهج: نهج مكافحة التصيد الاحتيالي الذي اكتشف المجال المنتحل.
-
مسموح بانتحال الشخصية: إحدى القيم التالية:
- نعم: تم تكوين المجال كمجال موثوق به (استثناء لحماية انتحال الهوية) في نهج مكافحة التصيد الاحتيالي الذي اكتشف الرسالة. تم الكشف عن الرسائل من المجال الذي تم انتحاله، ولكن مسموح بها.
- لا: تم تكوين المجال لحماية انتحال الهوية في نهج مكافحة التصيد الاحتيالي الذي اكتشف الرسالة. يتم إجراء اكتشافات انتحال المجال في نهج مكافحة التصيد الاحتيالي للرسالة.
* لمشاهدة جميع الأعمدة، من المحتمل أن تحتاج إلى القيام بواحد أو أكثر من الخطوات التالية:
- قم بالتمرير أفقيا في مستعرض الويب الخاص بك.
- تضييق عرض الأعمدة المناسبة.
- تصغير مستعرض الويب الخاص بك.
لتغيير قائمة اكتشافات انتحال المجال من التباعد العادي إلى التباعد المضغوط، حدد 
تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد 
ضغط القائمة.
استخدم مربع البحث وقائمة قيم مفصولة بفواصل للعثور على اكتشافات انتحال مجال محددة.
استخدم 
Export لتصدير قائمة اكتشافات انتحال المجال إلى ملف CSV.
عرض تفاصيل حول الكشف عن انتحال المجال
في علامة التبويب Domains في صفحة Impersonation insight في https://security.microsoft.com/impersonationinsight?type=Domain، حدد أحد عمليات الكشف عن الانتحال بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار.
تتوفر المعلومات التالية في القائمة المنبثقة التفاصيل:
لماذا قبضنا على هذا؟
ماذا يجب أن تفعل؟
ملخص المجال: المجال الذي تم اكتشافه على أنه انتحال.
بيانات Whois: تحتوي على معلومات حول المجال:
- موقع المرسل
- تاريخ إنشاء المجال
- تاريخ انتهاء صلاحية المجال
- المسجل
التحقيق في المستكشف: حدد الارتباط لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي للحصول على تفاصيل إضافية حول المرسل.
البريد الإلكتروني من المرسل: يعرض هذا القسم المعلومات التالية حول الرسائل المماثلة من المرسلين في المجال:
- تاريخ
- المستلم
- موضوع
- المرسل
- عنوان IP للمرسل
- إجراء التسليم
تلميح
للاطلاع على تفاصيل حول إدخالات انتحال المجال الأخرى دون ترك القائمة المنبثقة للتفاصيل، استخدم 
العنصر السابقوالعنصر التالي في أعلى القائمة المنبثقة.
لمنع تحديد المرسلين في مجال تم اكتشافه على أنه انتحال للمجال، راجع القسم الفرعي التالي.
إعفاء المرسلين في مجال تم اكتشافه من عمليات التحقق من انتحال المجال المستقبلية
في علامة التبويب Domains في صفحة Impersonation insight في https://security.microsoft.com/impersonationinsight?type=Domain، استخدم الخطوات التالية لإعفاء المرسلين في مجال تم اكتشافه من تحديدهم على أنه انتحال للمجال:
حدد الإدخال من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار.
في القائمة المنبثقة للتفاصيل التي تفتح، استخدم نهج تحديد انتحال الهوية لتعديل إعدادات قائمة الانتحال المسموح بها وإضافتها إلى إعدادات قائمة الانتحال المسموح بها في أعلى القائمة المنبثقة. تعمل هذه الإعدادات معا لإضافة المجال إلى قائمة المرسلين والمجالات الموثوق بها في النهج الذي حدد الرسالة بشكل غير صحيح على أنها انتحال للمجال:
حدد نهج مكافحة التصيد الاحتيالي في القائمة المنسدلة. يتم عرض نهج مكافحة التصيد الاحتيالي المسؤول عن اكتشاف الرسالة في قيمة النهج في علامة التبويب المجال .
مرر مفتاح التبديل إلى تشغيل:
لإضافة المجال إلى قائمة المرسلين والمجالات الموثوق بها في النهج المحدد.لإزالة المجال من قائمة المرسلين والمجالات الموثوق بها ، مرر مفتاح التبديل مرة أخرى إلى
عند الانتهاء من القائمة المنبثقة التفاصيل، حدد إغلاق.
عرض معلومات حول اكتشافات انتحال هوية المستخدم
تتوفر صفحة نتيجة تحليلات انتحال الهوية في https://security.microsoft.com/impersonationinsight عند تحديد عرض الانتحالات في نتيجة تحليلات انتحال الهوية في صفحة مكافحة التصيد الاحتيالي .
في صفحة نتيجة تحليلات انتحال الهوية، حدد علامة التبويب المستخدمون .
يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. تتوفر الأعمدة التالية:*
- المرسل: عنوان البريد الإلكتروني للمرسل الذي انتحل صفة المرسل الذي أرسل رسالة البريد الإلكتروني.
- عدد الرسائل: عدد الرسائل من المرسل الذي انتحال صفة خلال الأيام السبعة الماضية.
- نوع انتحال الهوية: على سبيل المثال، المستخدم في اسم العرض.
- مستخدم (مستخدمين) منتحلي الهوية: اسم العرض وعنوان البريد الإلكتروني للمرسل المحميين بحماية انتحال الهوية، والتي تشبه عنوان البريد الإلكتروني في المرسل.
- نوع المستخدم: نوع الحماية المطبقة (على سبيل المثال، المستخدم المحمي أو التحليل الذكي لعلمة البريد).
- النهج: نهج مكافحة التصيد الاحتيالي الذي اكتشف المرسل المنتحل الهوية.
-
مسموح بانتحال الشخصية: إحدى القيم التالية:
- نعم: تم تكوين المرسل كمستخدم موثوق به (استثناء لحماية انتحال الهوية) في نهج مكافحة التصيد الاحتيالي الذي اكتشف الرسالة. تم الكشف عن الرسائل من المرسل الذي تم انتحاله، ولكن تم السماح بها.
- لا: تم تكوين المرسل لحماية انتحال الهوية في نهج مكافحة التصيد الاحتيالي الذي اكتشف الرسالة. يتم إجراء اكتشافات انتحال هوية المستخدم في نهج مكافحة التصيد الاحتيالي للرسالة.
* لمشاهدة جميع الأعمدة، من المحتمل أن تحتاج إلى القيام بواحد أو أكثر من الخطوات التالية:
- قم بالتمرير أفقيا في مستعرض الويب الخاص بك.
- تضييق عرض الأعمدة المناسبة.
- تصغير مستعرض الويب الخاص بك.
لتغيير قائمة اكتشافات انتحال هوية المستخدم من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.
استخدم مربع البحث وقائمة قيم مفصولة بفواصل للعثور على اكتشافات انتحال شخصية مستخدم محددة.
استخدم Export لتصدير قائمة اكتشافات انتحال هوية المستخدم إلى ملف CSV.
عرض تفاصيل حول الكشف عن انتحال هوية المستخدم
في علامة التبويب Users في صفحة Impersonation insight في https://security.microsoft.com/impersonationinsight?type=User، حدد أحد عمليات الكشف عن الانتحال بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار.
تتوفر المعلومات التالية في القائمة المنبثقة التفاصيل:
لماذا قبضنا على هذا؟
ماذا يجب أن تفعل؟
ملخص المرسل: المرسل الذي تم اكتشافه على أنه انتحال شخصية.
التحقيق في المستكشف: حدد الارتباط لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي للحصول على تفاصيل إضافية حول المرسل.
البريد الإلكتروني من المرسل: يعرض هذا القسم المعلومات التالية حول الرسائل المماثلة من المرسل:
- تاريخ
- المستلم
- موضوع
- المرسل
- عنوان IP للمرسل
- إجراء التسليم
تلميح
للاطلاع على تفاصيل حول إدخالات انتحال هوية المستخدم الأخرى دون ترك القائمة المنبثقة للتفاصيل، استخدم العنصر السابقوالعنصر التالي في أعلى القائمة المنبثقة.
لمنع تحديد المرسل المكتشف على أنه انتحال شخصية المستخدم، راجع القسم الفرعي التالي.
إعفاء مرسل تم اكتشافه من عمليات التحقق المستقبلية من انتحال هوية المستخدم
في علامة التبويب Users في صفحة Impersonation insight في https://security.microsoft.com/impersonationinsight?type=User، استخدم الخطوات التالية لإعفاء المرسلين المكتشفين من التعرف عليهم على أنه انتحال هوية المستخدم:
حدد الإدخال من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار.
في القائمة المنبثقة للتفاصيل التي تفتح، استخدم نهج تحديد انتحال الهوية لتعديل إعدادات قائمة الانتحال المسموح بها وإضافتها إلى إعدادات قائمة الانتحال المسموح بها في أعلى القائمة المنبثقة. تعمل هذه الإعدادات معا لإضافة المرسل إلى قائمة المرسلين والمجالات الموثوق بها في النهج الذي حدد الرسالة بشكل غير صحيح على أنها انتحال هوية المستخدم:
حدد نهج مكافحة التصيد الاحتيالي في القائمة المنسدلة. يتم عرض نهج مكافحة التصيد الاحتيالي المسؤول عن اكتشاف الرسالة في قيمة النهج في علامة التبويب المجال .
قم بتمرير التبديل إلى تشغيل:
لإضافة المرسل إلى قائمة المرسلين والمجالات الموثوق بها في النهج المحدد.لإزالة المرسل من قائمة المرسلين والمجالات الموثوق بها ، مرر مفتاح التبديل مرة أخرى إلى
عند الانتهاء من القائمة المنبثقة التفاصيل، حدد إغلاق.