اقرأ باللغة الإنجليزية

مشاركة عبر


الحملات في Microsoft Defender لـ Office 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

في مؤسسات Microsoft 365 التي تحتوي على Microsoft Defender لـ Office 365 الخطة 2، تحدد ميزة الحملات وتصنف هجمات البريد الإلكتروني للتصيد الاحتيالي والبرامج الضارة المنسقة. يساعدك تصنيف Microsoft لهجمات البريد الإلكتروني في حملات منفصلة على:

  • التحقيق في هجمات البريد الإلكتروني والاستجابة لها بكفاءة.
  • فهم نطاق هجوم البريد الإلكتروني الذي يستهدف مؤسستك بشكل أفضل.
  • إظهار قيمة Microsoft Defender لـ Office 365 لصانعي القرار في منع تهديدات البريد الإلكتروني.

تتيح لك ميزة الحملات رؤية الصورة الإجمالية لهجوم البريد الإلكتروني بشكل أسرع وأكثر تماما من أي إنسان.

شاهد هذا الفيديو القصير حول كيفية مساعدة الحملات في Microsoft Defender لـ Office 365 على فهم هجمات البريد الإلكتروني المنسقة التي تستهدف مؤسستك.

ما هي الحملة؟

الحملة هي هجوم منسق عبر البريد الإلكتروني ضد منظمة واحدة أو عدة مؤسسات. تعد هجمات البريد الإلكتروني التي تسرق بيانات الاعتماد وبيانات الشركة صناعة كبيرة ومربحة. مع زيادة التقنيات لإيقاف الهجمات، يعدل المهاجمون أساليبهم لضمان النجاح المستمر.

تطبق Microsoft كميات هائلة من بيانات مكافحة التصيد الاحتيالي ومكافحة البريد العشوائي ومكافحة البرامج الضارة من الخدمة بأكملها لتحديد الحملات. نقوم بتحليل وتصنيف معلومات الهجوم وفقا لعدة عوامل. على سبيل المثال:

  • مصدر الهجوم: عناوين IP المصدر ومجالات البريد الإلكتروني للمرسل.
  • خصائص الرسالة: محتوى الرسائل ونمطها ونغمتها.
  • مستلمو الرسائل: كيفية ارتباط المستلمين. على سبيل المثال، مجالات المستلمين ووظائف وظيفة المستلم (المسؤولين والتنفيذيين وما إلى ذلك) وأنواع الشركات (الكبيرة والصغيرة والعامة والخاصة وما إلى ذلك) والصناعات.
  • حمولة الهجوم: ارتباطات ضارة أو مرفقات أو حمولات أخرى في الرسائل.

قد تكون الحملة قصيرة الأجل، أو قد تمتد لعدة أيام أو أسابيع أو أشهر مع فترات نشطة وغير نشطة. قد يتم إطلاق حملة ضد مؤسستك على وجه التحديد، أو قد تكون مؤسستك جزءا من حملة أكبر عبر شركات متعددة.

التراخيص والأذونات المطلوبة

  • تتوفر ميزة الحملات في المؤسسات التي تمتلك خطة Defender لـ Office 365 2 (تراخيص إضافية أو مضمنة في اشتراكات مثل Microsoft 365 E5).
  • يجب تعيين أذونات لعرض معلومات حول الحملات كما هو موضح في هذه المقالة. لديك الخيارات التالية:
    • Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (إذا كانت أذونات & البريد الإلكتروني Defender لـ Office 365>نشطة. يؤثر على مدخل Defender فقط، وليس PowerShell): عمليات الأمان/البيانات الأولية (تعاون & البريد الإلكتروني)/رؤوس رسائل البريد الإلكتروني (قراءة).

    • البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender: العضوية في مجموعة دور إدارة المؤسسة أو مسؤول الأمان أو قارئ الأمان.

    • Microsoft Entra الأذونات: تمنح العضوية في أدوار المسؤول* العام أو مسؤول الأمان أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

      هام

      * توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

صفحة الحملات في مدخل Microsoft Defender

لفتح صفحة الحملات في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & حملات التعاون>. أو، للانتقال مباشرة إلى صفحة الحملات ، استخدم https://security.microsoft.com/campaigns.

تتكون صفحة الحملات من العناصر التالية:

  • عامل تصفية/منشئ استعلام في أعلى الصفحة.
  • منطقة مخطط حيث يمكنك استخدام المحاور المتوفرة لتنظيم المخطط بطرق مختلفة. بشكل افتراضي، يستخدم المخطط محور نوع الحملة ، على الرغم من أن هذا المحور لا يبدو محددا.
  • منطقة تفاصيل، يتم تعيينها إلى علامة التبويب حملة بشكل افتراضي

لقطة شاشة تعرض الحملات في مدخل Microsoft Defender.

تلميح

  • إذا لم تتمكن من رؤية أي بيانات حملة أو بيانات محدودة جدا، فحاول تغيير نطاق التاريخ أو عوامل التصفية.

  • يمكنك أيضا عرض نفس المعلومات حول الحملات في مستكشف التهديدات على https://security.microsoft.com/threatexplorerv3:

    • عرض الحملات.
    • علامة تبويب حملة عرض >البريد الإلكتروني بالكامل في منطقة التفاصيل أسفل المخطط.
    • علامة تبويب حملة عرض >البرامج الضارة في منطقة التفاصيل أسفل المخطط.
    • علامة تبويب حملة عرض >التصيد الاحتيالي في منطقة التفاصيل أسفل المخطط.
  • إذا كان لديك اشتراك Microsoft Defender لنقطة النهاية، يتم توصيل معلومات الحملات Microsoft Defender لنقطة النهاية.

ناحية المخطط على صفحة الحملات

في صفحة الحملات ، تعرض منطقة المخطط رسما بيانيا شريطيا يعرض عدد المستلمين يوميا. بشكل افتراضي، يعرض الرسم البياني كل من بيانات البرامج الضارةوالتصيد الاحتيالي .

لتصفية المعلومات المعروضة في المخطط وفي جدول التفاصيل، قم بتغيير عوامل التصفية.

قم بتغيير تنظيم المخطط عن طريق تحديد نوع الحملة، ثم تحديد إحدى القيم التالية في القائمة المنسدلة:

  • اسم الحملة
  • النوع الفرعي للحملة
  • مجال المرسل
  • عنوان IP للمرسل
  • إجراء التسليم
  • تقنية الكشف
  • عنوان URL الكامل
  • مجال URL
  • مجال URL ومساره

استخدم تصدير بيانات المخطط لتصدير البيانات في المخطط إلى ملف CSV.

لإزالة المخطط من الصفحة (الذي يزيد من حجم منطقة التفاصيل)، قم بأي من الخطوات التالية:

  • حدد طريقة عرض قائمةطريقة عرض> المخطط في أعلى الصفحة.
  • حدد إظهار طريقة عرض القائمة بين المخطط وطرق عرض جدول التفاصيل.

منطقة التفاصيل على صفحة الحملات

لتصفية المعلومات المعروضة في المخطط وفي جدول التفاصيل، قم بتغيير عوامل التصفية.

في صفحة الحملات ، تعرض علامة التبويب حملة أسفل المخطط المعلومات التالية في جدول التفاصيل:

  • الاسم
  • عينة الموضوع: سطر موضوع إحدى الرسائل في الحملة. لا تحتوي جميع الرسائل في الحملة بالضرورة على نفس الموضوع.
  • المستهدف: النسبة المئوية كما هو محسوب من قبل: (عدد مستلمي الحملة في مؤسستك) / (العدد الإجمالي للمستلمين في الحملة عبر جميع المؤسسات في الخدمة). تشير هذه القيمة إلى درجة توجيه الحملة إلى مؤسستك فقط (قيمة أعلى) مقابل توجيهها أيضا إلى المؤسسات الأخرى في الخدمة (قيمة أقل).
  • النوع: القيمة هي إما التصيد الاحتيالي أو البرامج الضارة.
  • النوع الفرعي: تحتوي القيمة على مزيد من التفاصيل حول الحملة. على سبيل المثال:
    • التصيد الاحتيالي: عند توفرها، العلامة التجارية التي يتم تصيدها بواسطة هذه الحملة. على سبيل المثال، أو Microsoft365أو Unknownأو Outlookأو .DocuSign عندما يكون الكشف مدفوعا بتقنية Defender لـ Office 365، تتم إضافة البادئة ATP إلى قيمة النوع الفرعي.
    • البرامج الضارة: على سبيل المثال، W32/<MalwareFamilyName> أو VBS/<MalwareFamilyName>.
  • العلامات: لمزيد من المعلومات حول علامات المستخدم، راجع علامات المستخدم.
  • المستلمون: عدد المستخدمين الذين استهدفتهم هذه الحملة.
  • علبة الوارد: عدد المستخدمين الذين تلقوا رسائل من هذه الحملة في علبة الوارد الخاصة بهم (لم يتم تسليمها إلى مجلد البريد الإلكتروني غير الهام).
  • النقر فوق: عدد المستخدمين الذين حددوا عنوان URL أو فتحوا المرفق في رسالة التصيد الاحتيالي.
  • معدل النقر: في حملات التصيد الاحتيالي، يتم حساب النسبة المئوية حسب "علبة الوارد التي تم / النقرفوقها". هذه القيمة هي مؤشر على فعالية الحملة. بمعنى آخر، هل كان المستلمون قادرين على تحديد الرسالة على أنها تصيد احتيالي، وبالتالي تجنبوا عنوان URL للحمولة؟ لا يتم استخدام معدل النقر في حملات البرامج الضارة.
  • تمت الزيارة: كم عدد المستخدمين الذين قاموا بذلك بالفعل إلى موقع البيانات الأساسية على الويب. إذا كانت هناك قيم تم النقر فوقها ، ولكن الارتباطات الآمنة تحظر الوصول إلى موقع الويب، فإن هذه القيمة صفرية.

حدد رأس عمود للفرز حسب هذا العمود. لإزالة الأعمدة، حدد تخصيص الأعمدة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة.

استخدم تصدير لتصدير البيانات في جدول التفاصيل إلى ملف CSV.

في صفحة الحملات ، تعرض علامة التبويب أصل الحملة أسفل المخطط مصادر الرسائل على خريطة العالم.

عوامل التصفية على صفحة الحملات

في أعلى صفحة الحملة ، هناك العديد من إعدادات التصفية لمساعدتك في العثور على حملات معينة وعزلها. تؤثر عوامل التصفية التي تحددها على المخطط وجدول التفاصيل.

بشكل افتراضي، تتم تصفية طريقة العرض حسب الأمس واليوم. لتغيير عامل تصفية التاريخ، حدد نطاق التاريخ، ثم حدد قيم تاريخ البدء وتاريخ الانتهاء قبل 30 يوما.

عوامل تصفية الحملة على صفحة الحملات.

يمكنك أيضا تصفية النتائج حسب رسالة واحدة أو أكثر أو خصائص حملة. بناء الجملة الأساسي هو:

<الخاصية><تساوي أيا من | القيمة أو القيمالمتساوية للخاصية><>

  • حدد خاصية الرسالة أو الحملة من القائمة المنسدلة نوع الحملة (نوع الحملة هو القيمة الافتراضية المحددة).
  • تعتمد قيم الخاصية التي تحتاج إلى إدخالها بشكل كامل على الخاصية . تسمح بعض الخصائص بالنص الحر بقيم متعددة مفصولة بفواصل، وتسمح بعض الخصائص بقيم متعددة محددة من قائمة.

يتم وصف الخصائص المتوفرة والقيم المقترنة بها في الجدول التالي:

مال نوع
Basic
نوع الحملة حدد قيمة واحدة أو أكثر¹:
  • البرامج الضارة
  • التصيد الاحتيالي
اسم الحملة نص. فصل قيم متعددة بفواصل.
النوع الفرعي للحملة نص. فصل قيم متعددة بفواصل.
عنوان المرسل نص. فصل قيم متعددة بفواصل.
المستلمين نص. فصل قيم متعددة بفواصل.
مجال المرسل نص. فصل قيم متعددة بفواصل.
مجال المستلم نص. فصل قيم متعددة بفواصل.
موضوع نص. فصل قيم متعددة بفواصل.
اسم عرض المرسل نص. فصل قيم متعددة بفواصل.
بريد المرسل من العنوان نص. فصل قيم متعددة بفواصل.
بريد المرسل من المجال نص. فصل قيم متعددة بفواصل.
عائلة البرامج الضارة نص. فصل قيم متعددة بفواصل.
العلامات نص. فصل قيم متعددة بفواصل.

لمزيد من المعلومات حول علامات المستخدم، راجع علامات المستخدم.
إجراء التسليم حدد قيمة واحدة أو أكثر¹:
  • مسدود
  • تسليم
  • تم التسليم إلى غير هام
  • استبدال
إجراء إضافي حدد قيمة واحدة أو أكثر¹:
اتجاه حدد قيمة واحدة أو أكثر¹:
  • الوارده
  • Intra-irg
  • الصادره
تقنية الكشف حدد قيمة واحدة أو أكثر¹:
  • عامل تصفية متقدم: إشارات تستند إلى التعلم الآلي.
  • الحماية من البرامج الضارة
  • جرم
  • حملة
  • سمعة المجال
  • تفجير الملف: اكتشفت المرفقات الآمنة مرفقا ضارا أثناء تحليل التفجير.
  • سمعة تفجير الملف: مرفقات الملفات التي تم الكشف عنها مسبقا بواسطة تفجير المرفقات الآمنة في مؤسسات Microsoft 365 الأخرى.
  • سمعة الملف: تحتوي الرسالة على ملف تم تعريفه مسبقا على أنه ضار في مؤسسات Microsoft 365 الأخرى.
  • مطابقة بصمة الإصبع: تشبه الرسالة إلى حد كبير رسالة ضارة تم اكتشافها مسبقا.
  • عامل تصفية عام
  • العلامة التجارية لانتحال الهوية: انتحال صفة المرسل للعلامات التجارية المعروفة.
  • مجال انتحال الهوية: انتحال هوية مجالات المرسل التي تملكها أو حددتها للحماية في نهج مكافحة التصيد الاحتيالي
  • انتحال هوية المستخدم
  • سمعة IP
  • انتحال المعلومات الذكية لعلب البريد: عمليات الكشف عن انتحال الهوية من معلومات علبة البريد في نهج مكافحة التصيد الاحتيالي.
  • الكشف عن التحليل المختلط: ساهمت عوامل تصفية متعددة في حكم الرسالة.
  • تزييف DMARC: فشلت الرسالة في مصادقة DMARC.
  • تزييف المجال الخارجي: تزييف هوية عنوان البريد الإلكتروني للمرسل باستخدام مجال خارجي لمؤسستك.
  • تزييف هوية داخل المؤسسة: تزييف عنوان البريد الإلكتروني للمرسل باستخدام مجال داخلي لمؤسستك.
  • تفجير عنوان URL: اكتشفت الروابط الآمنة عنوان URL ضارا في الرسالة أثناء تحليل التفجير.
  • سمعة تفجير عنوان URL
  • سمعة URL الضارة: تم الكشف عن عناوين URL مسبقا بواسطة تفجيرات الروابط الآمنة في مؤسسات Microsoft 365 الأخرى.
موقع التسليم الأصلي حدد قيمة واحدة أو أكثر¹:
  • مجلد العناصر المحذوفة
  • انخفض
  • فشل
  • علبة الوارد/المجلد
  • مجلد غير هام
  • الإعدادات المسبقة/الخارجية
  • العزل
  • غير معروف
أحدث موقع تسليم نفس قيم موقع التسليم الأصلي
تجاوزات النظام حدد قيمة واحدة أو أكثر¹:
  • مسموح به بواسطة نهج المستخدم
  • محظور بواسطة نهج المستخدم
  • مسموح به بواسطة نهج المؤسسة
  • محظور بواسطة نهج المؤسسة
  • تم حظر ملحق الملف بواسطة نهج المؤسسة
  • بلا
مصدر تجاوز النظام حدد قيمة واحدة أو أكثر¹:
  • عامل تصفية تابع لجهة خارجية
  • مسؤول السفر عبر الزمن (ZAP)
  • كتلة نهج مكافحة البرامج الضارة حسب نوع الملف
  • إعدادات نهج مكافحة البريد العشوائي
  • نهج الاتصال
  • قاعدة نقل Exchange (قاعدة تدفق البريد)
  • تم تخطي التصفية بسبب المؤسسة على الإعدادات المسبقة
  • عامل تصفية منطقة IP من النهج
  • عامل تصفية اللغة من النهج
  • محاكاة التصيد الاحتيالي
  • إصدار العزل
  • علبة بريد SecOPs
  • قائمة عناوين المرسل (تجاوز المسؤول)
  • قائمة عناوين المرسل (تجاوز المستخدم)
  • قائمة مجالات المرسل (تجاوز المسؤول)
Advanced
معرف رسالة الإنترنت نص. فصل قيم متعددة بفواصل.

متوفر في حقل رأس معرف الرسالة في رأس الرسالة. قيمة المثال هي <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (لاحظ أقواس الزاوية).
معرف رسالة الشبكة نص. فصل قيم متعددة بفواصل.

قيمة GUID المتوفرة في حقل رأس X-MS-Exchange-Organization-Network-Message-Id في رأس الرسالة.
عنوان IP للمرسل نص. فصل قيم متعددة بفواصل.
مرفق SHA256 نص. فصل قيم متعددة بفواصل.

للعثور على قيمة تجزئة SHA256 لملف، قم بتشغيل الأمر التالي في PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
معرف نظام المجموعة نص. فصل قيم متعددة بفواصل.
معرف التنبيه نص. فصل قيم متعددة بفواصل.
معرف نهج التنبيه نص. فصل قيم متعددة بفواصل.
معرف الحملة نص. فصل قيم متعددة بفواصل.
إشارة عنوان URL ل ZAP نص. فصل قيم متعددة بفواصل.
عناوين URL
مجال URL نص. فصل قيم متعددة بفواصل.
مجال URL ومساره نص. فصل قيم متعددة بفواصل.
عنوان URL نص. فصل قيم متعددة بفواصل.
مسار URL نص. فصل قيم متعددة بفواصل.
انقر فوق الحكم حدد قيمة واحدة أو أكثر¹:
  • سمح
  • حظر تجاوز
  • مسدود
  • الخطأ
  • فشل
  • بلا
  • الحكم المعلق
  • تم تجاوز الحكم المعلق
ملف
اسم ملف المرفق نص. فصل قيم متعددة بفواصل.

¹ عدم استخدام عامل تصفية الخاصية هذا أو استخدام عامل تصفية الخاصية هذا بدون قيم محددة له نفس النتيجة مثل استخدام عامل تصفية الخاصية هذا مع تحديد كافة القيم.

بعد تحديد خاصية من القائمة المنسدلة نوع الحملة ، حدد يساوي أي من أو لا يساوي أي من، ثم أدخل قيمة أو حددها في مربع الخاصية، يظهر استعلام عامل التصفية أسفل منطقة عامل التصفية.

لقطة شاشة تعرض عامل تصفية حملة محدد.

لإضافة المزيد من الشروط، حدد زوج خاصية/قيمة آخر، ثم حدد AND أو OR. كرر هذه الخطوات عدة مرات حسب الضرورة.

لإزالة أزواج الخصائص/القيم الموجودة، حدد بجوار الإدخال.

عند الانتهاء من إنشاء استعلام عامل التصفية، حدد Refresh.

لحفظ استعلام عامل التصفية، حدد حفظ استعلام>حفظ الاستعلام. في القائمة المنبثقة حفظ الاستعلام التي تفتح، قم بتكوين الإعدادات التالية:

  • اسم الاستعلام: أدخل قيمة فريدة.
  • حدد إحدى القيم التالية:
    • التواريخ الدقيقة: حدد نطاق التاريخ.
    • التواريخ النسبية: حدد من يوم إلى 30 يوما.
  • تعقب هذا الاستعلام

عند الانتهاء من القائمة المنبثقة حفظ الاستعلام ، حدد حفظ، ثم حدد موافق في مربع حوار التأكيد.

عند العودة إلى صفحة الحملات، يمكنك تحميل عامل تصفية محفوظ عن طريق تحديد حفظإعدادات الاستعلام المحفوظةللاستعلام>.

تفاصيل الحملة

عند تحديد إدخال من جدول التفاصيل بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم، يتم فتح قائمة منبثقة تحتوي على تفاصيل حول الحملة.

يتم وصف ما يظهر في القائمة المنبثقة تفاصيل الحملة في الأقسام الفرعية التالية.

معلومات الحملة

في الجزء العلوي من القائمة المنبثقة تفاصيل الحملة، تتوفر معلومات الحملة التالية:

  • معرف الحملة: معرف الحملة الفريد.
  • النشاط: مدة الحملة ونشاطها.
  • البيانات التالية لعامل تصفية نطاق التاريخ الذي حددته (أو التي تحددها في المخطط الزمني):
    • تأثير
    • الرسائل: العدد الإجمالي للمستلمين.
    • علبة الوارد: عدد الرسائل التي تم تسليمها إلى علبة الوارد، وليس إلى مجلد البريد الإلكتروني غير الهام.
    • الارتباط الذي تم النقر فوقه: عدد المستخدمين الذين حددوا عنوان URL للحمولة في رسالة التصيد الاحتيالي.
    • الارتباط الذي تمت زيارته: عدد المستخدمين الذين زاروا عنوان URL.
    • المستهدف (٪): النسبة المئوية كما تم حسابها بواسطة: (عدد مستلمي الحملة في مؤسستك) / (العدد الإجمالي للمستلمين في الحملة عبر جميع المؤسسات في الخدمة). يتم حساب هذه القيمة طوال مدة بقاء الحملة، ولا يتم تغييرها بواسطة عوامل تصفية التاريخ.
  • عوامل تصفية تاريخ/وقت البدء وبيانات/وقت الانتهاء لتدفق الحملة كما هو موضح في القسم التالي.
  • مخطط زمني تفاعلي لنشاط الحملة: يعرض المخطط الزمني النشاط طوال مدة الحملة. يمكنك المرور فوق نقاط البيانات في الرسم البياني لمعرفة عدد الرسائل المكتشفة.

معلومات الحملة

تدفق الحملة

في منتصف القائمة المنبثقة تفاصيل الحملة، يتم تقديم تفاصيل مهمة حول الحملة في رسم تخطيطي للتدفق الأفقي (يعرف باسم الرسم التخطيطي Sankey ). تساعدك هذه التفاصيل على فهم عناصر الحملة والتأثير المحتمل في مؤسستك.

تلميح

يتم التحكم في المعلومات المعروضة في الرسم التخطيطي للتدفق بواسطة عامل تصفية نطاق التاريخ في المخطط الزمني كما هو موضح في القسم السابق.

تفاصيل الحملة التي لا تحتوي على نقرات عنوان URL للمستخدم

إذا قمت بالمرور فوق نطاق أفقي في الرسم التخطيطي، فسترى عدد الرسائل ذات الصلة (على سبيل المثال، الرسائل من عنوان IP مصدر معين، والرسائل من عنوان IP المصدر باستخدام مجال المرسل المحدد، وما إلى ذلك).

يحتوي الرسم التخطيطي على المعلومات التالية:

  • عناوين IP للمرسل

  • مجالات المرسل

  • أحكام التصفية: ترتبط قيم الأحكام بأحكام التصيد الاحتيالي وتصفية البريد العشوائي المتوفرة كما هو موضح في رؤوس رسائل مكافحة البريد العشوائي. يتم وصف القيم المتوفرة في الجدول التالي:

    قيمة حكم تصفية البريد العشوائي الوصف
    سمح SFV:SKN
    <فرع/ SFV:SKI
    تم وضع علامة على الرسالة على أنها ليست بريدا عشوائيا و/أو تم تخطي التصفية قبل تقييمها بواسطة تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة على أنها ليست بريدا عشوائيا بواسطة قاعدة تدفق البريد (تعرف أيضا باسم قاعدة النقل).
    <br/ الرسالة تخطي تصفية البريد العشوائي لأسباب أخرى. على سبيل المثال، يبدو أن المرسل والمستلم في نفس المؤسسة.
    مسدود SFV:SKS تم وضع علامة على الرسالة على أنها بريد عشوائي قبل تقييمها بواسطة تصفية البريد العشوائي. على سبيل المثال، بواسطة قاعدة تدفق البريد.
    الكشف عن SFV:SPM تم وضع علامة على الرسالة على أنها بريد عشوائي عن طريق تصفية البريد العشوائي.
    لم يتم الكشف عنه SFV:NSPM تم وضع علامة على الرسالة على أنها ليست بريدا عشوائيا عن طريق تصفية البريد العشوائي.
    تم الإصدار SFV:SKQ تخطيت الرسالة تصفية البريد العشوائي لأنه تم إصدارها من العزل.
    السماح للمستأجر¹ SFV:SKA تخطيت الرسالة تصفية البريد العشوائي بسبب الإعدادات في نهج مكافحة البريد العشوائي. على سبيل المثال، كان المرسل في قائمة المرسلين المسموح لهم أو قائمة المجالات المسموح بها.
    كتلة المستأجر مربع SFV:SKA تم حظر الرسالة عن طريق تصفية البريد العشوائي بسبب الإعدادات في نهج مكافحة البريد العشوائي. على سبيل المثال، كان المرسل في قائمة المرسلين المسموح لهم أو قائمة المجالات المسموح بها.
    السماح للمستخدم¹ SFV:SFE تخطيت الرسالة تصفية البريد العشوائي لأن المرسل كان في قائمة المرسلين الآمنين للمستخدم.
    كتلة المستخدم مربع SFV:BLK تم حظر الرسالة بواسطة تصفية البريد العشوائي لأن المرسل كان في قائمة المرسلين المحظورين للمستخدم.
    انطلق غير متوفر قامت الإزالة التلقائية للساعة الصفرية (ZAP) بنقل الرسالة التي تم تسليمها إلى مجلد البريد الإلكتروني غير الهام أو العزل. يمكنك تكوين الإجراء في نهج مكافحة البريد العشوائي.

    ¹ راجع نهج مكافحة البريد العشوائي، لأنه من المحتمل أن تكون الخدمة قد حظرت الرسالة المسموح بها.

    ² راجع نهج مكافحة البريد العشوائي، لأنه يجب عزل هذه الرسائل، وليس تسليمها.

  • وجهات الرسائل: تحقق من الرسائل التي تم تسليمها إلى المستلمين (إما إلى علبة الوارد أو مجلد البريد الإلكتروني غير الهام)، حتى إذا لم يحدد المستخدمون عنوان URL للحمولة في الرسالة. يمكنك أيضا إزالة الرسائل المعزولة من العزل. لمزيد من المعلومات، راجع رسائل البريد الإلكتروني المعزولة في EOP.

    • مجلد محذوف
    • انخفض
    • خارجي: يوجد المستلم في مؤسسة البريد الإلكتروني المحلية في البيئات المختلطة.
    • فشل
    • اعاده توجيه
    • علبة الوارد
    • مجلد غير هام
    • العزل
    • غير معروف
  • نقرات URL: يتم وصف هذه القيم في القسم التالي.

ملاحظة

في جميع الطبقات التي تحتوي على أكثر من 10 عناصر، يتم عرض أفضل 10 عناصر، بينما يتم تجميع الباقي معا في أخرى.

نقرات عنوان URL

عند تسليم رسالة تصيد احتيالي إلى علبة الوارد الخاصة بالمستلم أو مجلد البريد الإلكتروني غير الهام، هناك دائما فرصة أن يحدد المستخدم عنوان URL للحمولة. يعد عدم تحديد عنوان URL مقياسا صغيرا للنجاح، ولكنك تحتاج إلى تحديد سبب تسليم رسالة التصيد الاحتيالي إلى علبة البريد في المقام الأول.

إذا حدد مستخدم عنوان URL للحمولة في رسالة التصيد الاحتيالي، يتم عرض الإجراءات في منطقة النقرات على عنوان URL للرسم التخطيطي في طريقة عرض تفاصيل الحملة.

  • سمح
  • BlockPage: حدد المستلم عنوان URL للحمولة، ولكن تم حظر وصوله إلى موقع الويب الضار بواسطة نهج الارتباطات الآمنة في مؤسستك.
  • BlockPageOverride: حدد المستلم عنوان URL للحمولة في الرسالة، وحاولت الارتباطات الآمنة إيقافها، ولكن سمح لها بتجاوز الكتلة. افحص نهج الروابط الآمنة لمعرفة سبب السماح للمستخدمين بتجاوز حكم الروابط الآمنة والمتابعة إلى موقع الويب الضار.
  • PendingDetonationPage: يتم فتح المرفقات الآمنة في Microsoft Defender لـ Office 365 والتحقيق في عنوان URL للحمولة في بيئة ظاهرية.
  • PendingDetonationPageOverride: سمح للمستلم بتجاوز عملية تفجير الحمولة وفتح عنوان URL دون انتظار النتائج.

علامات التبويب

تلميح

يتم التحكم في المعلومات المعروضة على علامات التبويب بواسطة عامل تصفية نطاق التاريخ في القائمة المنبثقة تفاصيل الحملة كما هو موضح في قسم معلومات الحملة .

تسمح لك علامات التبويب الموجودة في القائمة المنبثقة لتفاصيل الحملة بمزيد من التحقيق في الحملة. تتوفر علامات التبويب التالية:

  • نقرات عنوان URL: إذا لم يحدد المستخدمون عنوان URL للحمولة في الرسالة، يكون هذا القسم فارغا. إذا تمكن المستخدم من تحديد عنوان URL، يتم ملء القيم التالية:

    • مستخدم*
    • العلامات
    • عنوان URL*
    • وقت النقر
    • انقر فوق الحكم
  • عناوين IP للمرسل

    • عنوان IP للمرسل*
    • العدد الإجمالي
    • علبة الوارد
    • غير وارد
    • تم تمرير SPF: تمت مصادقة المرسل بواسطة إطار عمل نهج المرسل (SPF). يشير المرسل الذي لا يجتاز التحقق من صحة SPF إلى مرسل غير مصادق عليه، أو أن الرسالة تزييف هوية مرسل شرعي.
  • المرسلون

    • المرسل: هذا هو عنوان المرسل الفعلي في الأمر SMTP MAIL FROM ، والذي ليس بالضرورة من : عنوان البريد الإلكتروني الذي يراه المستخدمون في عملاء البريد الإلكتروني.
    • العدد الإجمالي
    • علبة الوارد
    • غير وارد
    • تم تمرير DKIM: تمت مصادقة المرسل بواسطة Domain Keys Identified Mail (DKIM). يشير المرسل الذي لا يجتاز التحقق من صحة DKIM إلى مرسل غير مصادق عليه، أو أن الرسالة تزييف هوية مرسل شرعي.
    • تم تمرير DMARC: تمت مصادقة المرسل بواسطة مصادقة الرسائل وإعداد التقارير والتوافق (DMARC) المستندة إلى المجال. يشير المرسل الذي لا يجتاز التحقق من صحة DMARC إلى مرسل غير مصادق عليه، أو أن الرسالة تزييف هوية مرسل شرعي.
  • المرفقات

    • اسم الملف
    • SHA256
    • عائلة البرامج الضارة
    • العدد الإجمالي
  • عناوين URL

    • عنوان URL*
    • العدد الإجمالي

* يؤدي تحديد هذه القيمة إلى فتح قائمة منبثقة جديدة تحتوي على مزيد من التفاصيل حول العنصر المحدد (المستخدم وعنوان URL وما إلى ذلك) أعلى طريقة عرض تفاصيل الحملة. للعودة إلى القائمة المنبثقة لتفاصيل الحملة، حدد تم في القائمة المنبثقة الجديدة.

في كل علامة تبويب، حدد رأس عمود للفرز حسب هذا العمود. لإزالة الأعمدة، حدد تخصيص الأعمدة. بشكل افتراضي، يتم تحديد جميع الأعمدة المتوفرة في كل علامة تبويب.

إجراءات إضافية

تسمح لك الإجراءات الموجودة أسفل القائمة المنبثقة لتفاصيل الحملة بالتحقيق في تفاصيل الحملة وتسجيلها:

  • حدد نعم أو لا في هل تعتقد أن هذه الحملة جمعت هذه الرسائل معا بدقة؟.
  • استكشاف الرسائل: استخدم قوة مستكشف التهديدات لمزيد من التحقيق في الحملة عن طريق تحديد إحدى القيم التالية في القائمة المنسدلة:
    • جميع الرسائل: يفتح علامة تبويب بحث مستكشف التهديدات الجديدة باستخدام قيمة معرف الحملة كعامل تصفية البحث.
    • الرسائل الواردة: يفتح علامة تبويب بحث مستكشف التهديدات الجديدة باستخدام معرف الحملةوموقع التسليم: علبة الوارد كعامل تصفية البحث.
    • الرسائل الداخلية: يفتح علامة تبويب بحث مستكشف التهديدات الجديدة باستخدام معرف الحملة والاتجاه : داخل المؤسسة كعامل تصفية البحث.
  • تنزيل تقرير التهديد: قم بتنزيل تفاصيل الحملة إلى مستند Word (بشكل افتراضي، يسمى CampaignReport.docx). يحتوي التنزيل على تفاصيل طوال مدة بقاء الحملة (وليس فقط عامل تصفية التاريخ الذي حددته).