الحماية من التهديدات خطوة بخطوة في Microsoft Defender لـ Office 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

يمكن تقسيم مكدس الحماية أو التصفية Microsoft Defender لـ Office 365 إلى أربع مراحل، كما هو الحال في هذه المقالة. بشكل عام، يمر البريد الوارد عبر كل هذه المراحل قبل التسليم، ولكن المسار الفعلي الذي يأخذه البريد الإلكتروني يخضع لتكوين Defender لـ Office 365 للمؤسسة.

تلميح

ابق على اطلاع حتى نهاية هذه المقالة للحصول على رسم موحد لجميع المراحل الأربع لحماية Defender لـ Office 365!

المرحلة 1 - حماية الحافة

لسوء الحظ، أصبحت كتل Edge التي كانت ذات يوم حرجة بسيطة نسبيا للتغلب على الجهات الفاعلة السيئة. بمرور الوقت، يتم حظر نسبة استخدام الشبكة أقل هنا، ولكنها تظل جزءا مهما من المكدس.

تم تصميم كتل الحافة لتكون تلقائية. في حالة الإيجابيات الخاطئة، يتم إعلام المرسلين وإعلامهم بكيفية معالجة قضيتهم. يمكن أن تضمن الموصلات من الشركاء الموثوق بهم ذوي السمعة المحدودة إمكانية التسليم، أو يمكن وضع تجاوزات مؤقتة، عند إعداد نقاط نهاية جديدة.

1. يحمي تقييد الشبكة Office 365 البنية الأساسية والعملاء من هجمات رفض الخدمة (DOS) عن طريق الحد من عدد الرسائل التي يمكن إرسالها بواسطة مجموعة معينة من البنية الأساسية.

2. تمنع سمعة IP والتقييد الرسائل التي يتم إرسالها من عناوين IP المعروفة سيئة الاتصال. إذا أرسل عنوان IP معين العديد من الرسائل في فترة زمنية قصيرة، تقييدها.

3. تحظر سمعة المجال أي رسائل يتم إرسالها من مجال سيئ معروف.

4. تمنع تصفية الحافة المستندة إلى الدليل محاولات جمع معلومات دليل المؤسسة من خلال SMTP.

5. يمنع الكشف عن التبعثر الخلفي المؤسسة من الهجوم من خلال تقارير غير صالحة بعدم التسليم (NDRs).

6. تحافظ التصفية المحسنة للموصلات على معلومات المصادقة حتى عندما تمر نسبة استخدام الشبكة عبر جهاز آخر قبل أن تصل إلى Office 365. يؤدي ذلك إلى تحسين دقة مكدس التصفية، بما في ذلك تكوين أنظمة المجموعات الاستدلالية، ومكافحة الانتحال، ونماذج التعلم الآلي لمكافحة التصيد الاحتيالي، حتى عندما تكون في سيناريوهات التوجيه المعقدة أو المختلطة.

المرحلة 2 - معلومات المرسل

تعد الميزات في ذكاء المرسل أمرا بالغ الأهمية للقبض على رسائل البريد العشوائي والجملة وانتحال الهوية ورسائل التزييف غير المصرح بها، وأيضا عوامل الكشف عن التصيد الاحتيالي. معظم هذه الميزات قابلة للتكوين بشكل فردي.

1. يتم رفع مشغلات الكشف عن اختراق الحساب والتنبيهات عندما يكون للحساب سلوك شاذ، بما يتفق مع الاختراق. في بعض الحالات، يتم حظر حساب المستخدم ومنعه من إرسال أي رسائل بريد إلكتروني أخرى حتى يتم حل المشكلة من قبل فريق عمليات الأمان في المؤسسة.

2. تتضمن مصادقة البريد الإلكتروني كلا من الطرق والأساليب التي تم تكوينها من قبل العميل والتي تم إعدادها في السحابة، بهدف ضمان أن المرسلين مخولون ومصدقون. تقاوم هذه الأساليب الانتحال.

   • يمكن ل SPF رفض رسائل البريد استنادا إلى سجلات DNS TXT التي تسرد عناوين IP والخوادم المسموح لها بإرسال البريد نيابة عن المؤسسة.
   • يوفر DKIM توقيعا مشفرا يصادق المرسل.
   • يتيح DMARC للمسؤولين وضع علامة على SPF وDKIM كما هو مطلوب في مجالهم ويفرض المحاذاة بين نتائج هاتين التقنيتين.
   • يعتمد ARC على DMARC للعمل مع إعادة التوجيه في القوائم البريدية أثناء تسجيل سلسلة مصادقة.

3. التحليل الذكي للتزييف قادر على تصفية من يسمح لهم ب "الانتحال" (أي أولئك الذين يرسلون البريد نيابة عن حساب آخر، أو يعيدون توجيههم لقائمة بريدية) من المرسلين الضارين الذين يحاكيون المجالات التنظيمية أو المعروفة الخارجية. فهو يفصل "نيابة عن" البريد الشرعي عن المرسلين الذين ينتحلون حق تسليم رسائل البريد العشوائي والتصيد الاحتيالي.

   يكتشف التحليل الذكي للانتحال داخل المؤسسة ويحظر محاولات انتحال الهوية من مجال داخل المؤسسة.

4. يكتشف التحليل الذكي للانتحال عبر المجالات ويحظر محاولات تزييف الهوية من مجال خارج المؤسسة.

5. تتيح التصفية المجمعة للمسؤولين تكوين مستوى ثقة مجمع (BCL) يشير إلى ما إذا كان قد تم إرسال الرسالة من مرسل مجمع. يمكن للمسؤولين استخدام شريط التمرير المجمع في نهج Antispam لتحديد مستوى البريد المجمع الذي يجب التعامل معه على أنه بريد عشوائي.

6. تعلم ذكاء علبة البريد من سلوكيات البريد الإلكتروني القياسية للمستخدم. يستفيد من الرسم البياني لاتصال المستخدم للكشف عن الوقت الذي يبدو فيه المرسل شخصا يتصل به المستخدم عادة، ولكنه في الواقع ضار. يكتشف هذا الأسلوب انتحال الهوية.

7. يتيح انتحال معلومات علبة البريد نتائج انتحال الهوية المحسنة أو يعطلها استنادا إلى خريطة المرسل الفردية لكل مستخدم. عند التمكين، تساعد هذه الميزة على تحديد انتحال الهوية.

8. يسمح انتحال هوية المستخدم للمسؤول بإنشاء قائمة بأهداف عالية القيمة من المحتمل أن يتم انتحالها. إذا وصل بريد حيث يبدو أن المرسل له نفس الاسم والعنوان مثل حساب القيمة العالية المحمية، يتم وضع علامة على البريد أو وضع علامة عليه. (على سبيل المثال، trα cye@contoso.com ل tracye@contoso.com).

9. يكشف انتحال المجال عن المجالات المشابهة لمجال المستلم والتي تحاول أن تبدو وكأنها مجال داخلي. على سبيل المثال، tracye@liw الانتحال re.com ل tracye@litware.com.

المرحلة 3 - تصفية المحتوى

في هذه المرحلة، يبدأ مكدس التصفية في معالجة المحتويات المحددة للبريد، بما في ذلك الارتباطات التشعبية والمرفقات الخاصة به.

1. تسمح قواعد النقل (المعروفة أيضا بقواعد تدفق البريد أو قواعد نقل Exchange) للمسؤول باتخاذ مجموعة واسعة من الإجراءات عند استيفاء مجموعة واسعة بنفس القدر من الشروط للرسالة. يتم تقييم جميع الرسائل التي تتدفق عبر مؤسستك مقابل قواعد تدفق البريد / قواعد النقل الممكنة.

2. يتم استخدام برنامج الحماية من الفيروسات Microsoft Defender للكشف عن جميع البرامج الضارة المعروفة في المرفقات.

3. يستخدم محرك مكافحة الفيروسات (AV) مطابقة النوع الحقيقي للكشف عن نوع الملف، بغض النظر عن ملحق اسم الملف (على سبيل المثال، exe يتم الكشف عن الملفات التي تمت txt إعادة تسميتها كملفات exe ). تسمح هذه الإمكانية لحظر النوع (المعروف أيضا باسم عامل تصفية المرفقات الشائع) بحظر أنواع الملفات المحددة من قبل المسؤولين بشكل صحيح. للحصول على قائمة أنواع الملفات المدعومة، راجع مطابقة النوع الحقيقي في عامل تصفية المرفقات الشائعة.

4. كلما اكتشف Microsoft Defender لـ Office 365 مرفقا ضارا، تتم إضافة تجزئة الملف وتجزئة محتواه النشط إلى سمعة Exchange Online Protection (EOP). يحظر حظر سمعة المرفق هذا الملف عبر جميع Office 365، وعلى نقاط النهاية، من خلال استدعاءات سحابة MSAV.

5. يمكن أن يحدد التجميع الاستدلالي أن الملف مريب بناء على الاستدلال على التسليم. عند العثور على مرفق مشبوه، تتوقف الحملة بأكملها مؤقتا، ويتم وضع بيئة الاختبار المعزولة للملف. إذا تبين أن الملف ضار، حظر الحملة بأكملها.

6. تعمل نماذج التعلم الآلي على عنوان الرسالة ومحتوى النص الأساسي وعناوين URL للكشف عن محاولات التصيد الاحتيالي.

7. تستخدم Microsoft تحديد السمعة من تحديد بيئة الاختبار المعزولة لعنصر URL وسمعة عنوان URL من موجزات الجهات الخارجية في حظر سمعة عنوان URL، لحظر أي رسالة بعنوان URL ضار معروف.

8. يمكن لأساليب توجيه المحتوى الكشف عن الرسائل المشبوهة استنادا إلى البنية وتكرار الكلمات داخل نص الرسالة، باستخدام نماذج التعلم الآلي.

9. تقوم المرفقات الآمنة ببيئة الاختبار المعزولة لكل مرفق للعملاء Defender لـ Office 365، باستخدام التحليل الديناميكي للكشف عن التهديدات التي لم يسبق لها مثيل.

10. يتعامل تفجير المحتوى المرتبط مع كل عنوان URL يرتبط بملف في رسالة بريد إلكتروني كمرفق، مع وضع بيئة الاختبار المعزولة للملف بشكل غير متزامن في وقت التسليم.

11. يحدث تفجير عنوان URL عندما تجد تقنية مكافحة التصيد الاحتيالي المصدر رسالة أو عنوان URL مريبا. بيئة الاختبار المعزولة لتفجير عنوان URL لعناوين URL في الرسالة في وقت التسليم.

المرحلة الرابعة - الحماية بعد التسليم

تتم المرحلة الأخيرة بعد تسليم البريد أو الملفات، والتي تعمل على البريد الموجود في علب بريد وملفات وارتباطات مختلفة تظهر في عملاء مثل Microsoft Teams.

1. الروابط الآمنة هي حماية وقت النقر Defender لـ Office 365. يتم تضمين كل عنوان URL في كل رسالة للإشارة إلى خوادم الارتباطات الآمنة من Microsoft. عند النقر فوق عنوان URL، يتم التحقق منه مقابل أحدث سمعة، قبل إعادة توجيه المستخدم إلى الموقع الهدف. يتم وضع بيئة الاختبار المعزولة على عنوان URL بشكل غير متزامن لتحديث سمعته.

2. تقوم عملية الإزالة التلقائية للساعة الصفرية (ZAP) للتصيد الاحتيالي باكتشاف رسائل التصيد الاحتيالي الضارة التي تم تسليمها بالفعل إلى علب بريد Exchange Online وتحييدها.

3. يقوم ZAP للبرامج الضارة بالكشف عن رسائل البرامج الضارة الضارة التي تم تسليمها بالفعل إلى علب بريد Exchange Online وتحييدها بأثر رجعي.

4. يقوم ZAP للبريد العشوائي بالكشف عن رسائل البريد العشوائي الضارة التي تم تسليمها بالفعل إلى علب بريد Exchange Online وتحييدها بأثر رجعي.

5. تتيح طرق عرض الحملة للمسؤولين رؤية الصورة الكبيرة للهجوم، بشكل أسرع وأكثر تماما، مما يمكن لأي فريق دون أتمتة. تستفيد Microsoft من الكميات الهائلة من بيانات مكافحة التصيد الاحتيالي ومكافحة البريد العشوائي ومكافحة البرامج الضارة عبر الخدمة بأكملها للمساعدة في تحديد الحملات، ثم تسمح للمسؤولين بالتحقيق فيها من البداية إلى النهاية، بما في ذلك الأهداف والتأثيرات والتدفقات، والتي تتوفر أيضا في كتابة الحملة القابلة للتنزيل.

6. يتيح الزر "تقرير" المضمن فيالإصدارات المدعومة من Outlook للأشخاص إمكانية الإبلاغ بسهولة عن الإيجابيات الخاطئة (البريد الإلكتروني الجيد، الذي تم وضع علامة عليه عن طريق الخطأ على أنه سيئ) أو سلبيات خاطئة (تم وضع علامة على البريد الإلكتروني السيئ على أنه جيد) إلى Microsoft لمزيد من التحليل.

7. توفر الارتباطات الآمنة لعملاء Office نفس الحماية من وقت النقر للارتباطات الآمنة، في الأصل، داخل تطبيقات Office المدعومة مثل Word وPowerPoint وExcel.

8. توفر الحماية ل OneDrive وSharePoint وTeams حماية المرفقات الآمنة نفسها من الملفات الضارة، في الأصل، داخل OneDrive وSharePoint وMicrosoft Teams.

9. عند تحديد عنوان URL يشير إلى ملف بعد التسليم، يعرض تفجير المحتوى المرتبط صفحة تحذير حتى تكتمل بيئة الاختبار المعزولة للملف، ويتم العثور على عنوان URL آمنا.

الرسم التخطيطي لمكدس التصفية

الرسم التخطيطي النهائي (كما هو الحال مع جميع أجزاء الرسم التخطيطي الذي يتكون منه) عرضة للتغيير مع نمو المنتج وتطويره. ضع إشارة مرجعية على هذه الصفحة واستخدم خيار الملاحظات الذي ستجده في الأسفل إذا كنت بحاجة إلى السؤال بعد التحديثات. بالنسبة لسجلاتك، هذا هو المكدس مع جميع المراحل بالترتيب:

شكرا خاصا من MSFTTracyP وفريق كتابة المستندات إلى جوليان غاروبا لهذا المحتوى.