تحليل البريد الإلكتروني في تحقيقات Microsoft Defender لـ Office 365

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

أثناء التحقيق التلقائي للتنبيهات، يحلل Microsoft Defender لـ Office 365 البريد الإلكتروني الأصلي للتهديدات ويحدد رسائل البريد الإلكتروني الأخرى المتعلقة بالبريد الإلكتروني الأصلي وربما جزءا من الهجوم. هذا التحليل مهم لأن هجمات البريد الإلكتروني نادرا ما تتكون من بريد إلكتروني واحد.

يحدد تحليل البريد الإلكتروني للتحقيق التلقائي مجموعات البريد الإلكتروني باستخدام سمات من البريد الإلكتروني الأصلي للاستعلام عن البريد الإلكتروني المرسل والمستلم من قبل مؤسستك. يشبه هذا التحليل كيفية بحث محلل عمليات الأمان عن البريد الإلكتروني ذي الصلة في Explorer أو التتبع المتقدم. يتم استخدام العديد من الاستعلامات لتحديد رسائل البريد الإلكتروني المطابقة لأن المهاجمين عادة ما يتحولون إلى معلمات البريد الإلكتروني لتجنب الكشف عن الأمان. يقوم تحليل التجميع بإجراء هذه الفحوصات لتحديد كيفية التعامل مع البريد الإلكتروني المتضمنة في التحقيق:

• ينشئ تحليل البريد الإلكتروني استعلامات (مجموعات) من البريد الإلكتروني باستخدام سمات من البريد الإلكتروني الأصلي: قيم المرسل (عنوان IP، مجال المرسل) والمحتويات (الموضوع، معرف نظام المجموعة) من أجل العثور على البريد الإلكتروني الذي قد يكون مرتبطا.
• إذا كان تحليل عناوين URL والملفات الأصلية للبريد الإلكتروني يحدد أن بعضها ضار (أي البرامج الضارة أو التصيد الاحتيالي)، فإنه ينشئ أيضا استعلامات أو مجموعات من البريد الإلكتروني تحتوي على عنوان URL أو الملف الضار.
• يحسب تحليل تجميع البريد الإلكتروني التهديدات المرتبطة بالبريد الإلكتروني المماثل في نظام المجموعة لتحديد ما إذا كان البريد الإلكتروني ضارا أو مريبا أو لا يحتوي على تهديدات واضحة. إذا كانت مجموعة البريد الإلكتروني المطابقة للاستعلام تحتوي على كمية كافية من البريد العشوائي أو التصيد الاحتيالي العادي أو التصيد الاحتيالي عالي الثقة أو تهديدات البرامج الضارة، تطبيق نوع التهديد هذا على نظام مجموعة البريد الإلكتروني.
• يتحقق تحليل تجميع البريد الإلكتروني أيضا من أحدث موقع تسليم للبريد الإلكتروني والرسائل الأصلية في مجموعات البريد الإلكتروني للمساعدة في تحديد الرسائل التي قد تحتاج إلى إزالة أو تمت معالجتها أو منعها بالفعل. هذا التحليل مهم لأن المهاجمين يتحولون إلى محتوى ضار بالإضافة إلى نهج الأمان والحماية قد يختلفان بين علب البريد. تؤدي هذه الإمكانية إلى حالات حيث قد يظل المحتوى الضار في علب البريد، على الرغم من منع رسالة بريد إلكتروني ضارة واحدة أو أكثر أو اكتشافها وإزالتها بواسطة الإزالة التلقائية للساعة الصفرية (ZAP).
• تحصل مجموعات البريد الإلكتروني التي تعتبر ضارة بسبب البرامج الضارة أو التصيد الاحتيالي عالي الثقة أو الملفات الضارة أو تهديدات URL الضارة على إجراء معلق لحذف الرسائل التي لا تزال في علبة بريد السحابة (علبة الوارد أو مجلدات البريد الإلكتروني غير الهام). إذا كانت مجموعات البريد الإلكتروني أو البريد الإلكتروني الضارة "غير موجودة في علبة البريد" (محظورة أو معزولة أو فاشلة أو محذوفة مبدئيا وما إلى ذلك) أو "محلية/خارجية" مع عدم وجود أي منها في علبة بريد السحابة، فلن يتم إعداد أي إجراء معلق لإزالتها.
• إذا تم تحديد أي من مجموعات البريد الإلكتروني على أنها ضارة، تطبيق التهديد الذي تم تحديده بواسطة نظام المجموعة مرة أخرى على البريد الإلكتروني الأصلي المشارك في التحقيق. يشبه هذا السلوك محلل عمليات الأمان باستخدام نتائج تتبع البريد الإلكتروني لتحديد حكم البريد الإلكتروني الأصلي استنادا إلى بريد إلكتروني مماثل. تضمن هذه النتيجة أنه بغض النظر عما إذا تم الكشف عن عناوين URL أو الملفات أو مؤشرات البريد الإلكتروني المصدر الأصلية أم لا، يمكن للنظام تحديد رسائل البريد الإلكتروني الضارة التي من المحتمل أن تتجنب الكشف من خلال التخصيص أو التحويل أو التهرب أو تقنيات المهاجم الأخرى.
• في التحقيق في اختراق المستخدم، يتم إنشاء مجموعات بريد إلكتروني إضافية لتحديد مشكلات البريد الإلكتروني المحتملة التي تم إنشاؤها بواسطة علبة البريد. تتضمن هذه العملية مجموعة بريد إلكتروني نظيفة (بريد إلكتروني جيد من المستخدم، واختراق محتمل للبيانات، والبريد الإلكتروني المحتمل للأوامر/التحكم)، ومجموعات البريد الإلكتروني المشبوهة (البريد الإلكتروني الذي يحتوي على البريد العشوائي أو التصيد الاحتيالي العادي)، ومجموعات البريد الإلكتروني الضارة (البريد الإلكتروني الذي يحتوي على برامج ضارة أو تصيد احتيالي عالي الثقة). توفر مجموعات البريد الإلكتروني هذه بيانات محللي عمليات الأمان لتحديد المشاكل الأخرى التي قد تحتاج إلى معالجة من حل وسط، والرؤية التي قد تكون الرسائل قد أدت إلى تشغيل التنبيهات الأصلية (على سبيل المثال، التصيد الاحتيالي/البريد العشوائي الذي أدى إلى فرض قيود على إرسال المستخدم)

يضمن تحليل تجميع البريد الإلكتروني عبر التشابه واستعلامات الكيانات الضارة تحديد مشاكل البريد الإلكتروني وتنظيفها بالكامل، حتى إذا تم تحديد بريد إلكتروني واحد فقط من هجوم. يمكنك استخدام ارتباطات من طرق عرض اللوحة الجانبية لتفاصيل مجموعة البريد الإلكتروني لفتح الاستعلامات في المستكشف أو التتبع المتقدم لإجراء تحليل أعمق وتغيير الاستعلامات إذا لزم الأمر. تتيح هذه الإمكانية التحسين والمعالجة اليدوية إذا وجدت استعلامات مجموعة البريد الإلكتروني ضيقة جدا أو واسعة جدا (بما في ذلك البريد الإلكتروني غير المرتبط).

فيما يلي تحسينات إضافية لتحليل البريد الإلكتروني في التحقيقات.

يتجاهل تحقيق AIR عناصر التسليم المتقدمة (علب بريد SecOps ورسائل محاكاة التصيد الاحتيالي)

أثناء تحليل تجميع البريد الإلكتروني، تتجاهل جميع استعلامات التجميع علب بريد SecOps وعناوين URL لمحاكاة التصيد الاحتيالي التي تم تحديدها نهج التسليم المتقدم. لا تظهر علب بريد SecOps وعناوين URL لمحاكاة التصيد الاحتيالي في الاستعلام للحفاظ على سمات التجميع بسيطة وسهلة القراءة. تضمن هذه الاستثناءات تجاهل الرسائل المرسلة إلى علب بريد SecOps والرسائل التي تحتوي على عناوين URL لمحاكاة التصيد الاحتيالي أثناء تحليل التهديدات ولا تتم إزالتها أثناء أي معالجة.

ملاحظة

عند فتح مجموعة بريد إلكتروني لعرضها في Explorer من تفاصيل مجموعة البريد الإلكتروني، يتم تطبيق محاكاة التصيد الاحتيالي وعوامل تصفية علبة بريد SecOps في Explorer، ولكن لا يتم عرضها. إذا قمت بتغيير عوامل تصفية المستكشف أو التواريخ أو تحديث الاستعلام داخل الصفحة، فستتم إزالة استثناءات تصفية محاكاة التصيد الاحتيالي/SecOps، وتظهر رسائل البريد الإلكتروني المطابقة مرة أخرى. إذا قمت بتحديث صفحة Explorer باستخدام وظيفة تحديث المستعرض، تتم إعادة تحميل عوامل تصفية الاستعلام الأصلية، بما في ذلك عوامل تصفية محاكاة التصيد الاحتيالي/SecOps، ولكن إزالة أي تغييرات لاحقة أجريتها.

تحديثات AIR المعلقة لحالة إجراء البريد الإلكتروني

يحسب تحليل البريد الإلكتروني للتحقيق تهديدات البريد الإلكتروني والمواقع في وقت التحقيق لإنشاء أدلة وإجراءات التحقيق. يمكن أن تصبح هذه البيانات قديمة وعتيقة عندما تؤثر الإجراءات خارج التحقيق على البريد الإلكتروني المشارك في التحقيق. على سبيل المثال، قد يقوم التتبع والمعالجة اليدويان لعمليات الأمان بتنظيف البريد الإلكتروني المضمن في التحقيق. وبالمثل، قد تكون إجراءات الحذف المعتمدة في التحقيقات المتوازية أو إجراءات العزل التلقائي ل ZAP قد أزلت البريد الإلكتروني. بالإضافة إلى ذلك، قد تغير عمليات الكشف المتأخرة عن التهديدات بعد تسليم البريد الإلكتروني عدد التهديدات المضمنة في استعلامات/مجموعات البريد الإلكتروني للتحقيق.

لضمان تحديث إجراءات التحقيق، تعيد التحقيقات التي تحتوي على إجراءات معلقة تشغيل استعلامات تحليل البريد الإلكتروني بشكل دوري لتحديث مواقع البريد الإلكتروني والتهديدات.

• عندما تتغير بيانات نظام مجموعة البريد الإلكتروني، فإنها تحدث التهديد وأحدث عدد من مواقع التسليم.
• إذا لم تعد مجموعة البريد الإلكتروني أو البريد الإلكتروني التي تتضمن إجراءات معلقة موجودة في علبة البريد، إلغاء الإجراء المعلق، ويعتبر البريد الإلكتروني/نظام المجموعة الضار معالجة.
• بمجرد معالجة جميع تهديدات التحقيق أو إلغاؤها كما هو موضح سابقا، ينتقل التحقيق إلى حالة معالجة وحل التنبيه الأصلي.

عرض دليل الحادث لمجموعات البريد الإلكتروني والبريد الإلكتروني

تعرض الأدلة المستندة إلى البريد الإلكتروني في علامة التبويب الأدلة والاستجابة لحادث ما المعلومات التالية الآن.

من وسائل التوضيح ذات التعداد الرقمي في الشكل:

1. يمكنك تنفيذ إجراءات المعالجة، بالإضافة إلى مركز الصيانة.

2. يمكنك اتخاذ إجراء معالجة لمجموعات البريد الإلكتروني مع حكم ضار (ولكن ليس مريبا).

3. بالنسبة إلى حكم البريد الإلكتروني العشوائي، يتم تقسيم التصيد الاحتيالي إلى ثقة عالية وتصيد احتيالي عادي.

   للحصول على حكم ضار، تكون فئات التهديد هي البرامج الضارة والتصيد الاحتيالي عالي الثقة وعنوان URL الضار والملف الضار.

   للحصول على حكم مريب، تكون فئات التهديد بريدا عشوائيا وتصيدا احتياليا عاديا.

4. يعتمد عدد البريد الإلكتروني حسب على أحدث موقع تسليم ويتضمن عدادات للبريد الإلكتروني في علب البريد، وليس في علب البريد، وفي أماكن العمل.

5. يتضمن تاريخ الاستعلام ووقته، والذي قد يتم تحديثه لأحدث البيانات.

بالنسبة إلى مجموعات البريد الإلكتروني أو البريد الإلكتروني في علامة التبويب Entities في التحقيق، يعني Prevented أنه لم يكن هناك بريد إلكتروني ضار في علبة البريد لهذا العنصر (البريد أو نظام المجموعة). فيما يلي مثال.

في هذا المثال، البريد الإلكتروني ضار ولكن ليس في علبة بريد.

الخطوات التالية

• عرض إجراءات المعالجة المعلقة أو المكتملة