أمان البريد الإلكتروني باستخدام مستكشف التهديدات والكشف في الوقت الحقيقي في Microsoft Defender لـ Office 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

لدى مؤسسات Microsoft 365 التي Microsoft Defender لـ Office 365 تضمينها في اشتراكها أو التي تم شراؤها كوظيفة إضافية مستكشف (يعرف أيضا باسم مستكشف التهديدات) أو عمليات الكشف في الوقت الحقيقي. هذه الميزات هي أدوات قوية وشبه فورية لمساعدة فرق عمليات الأمان (SecOps) على التحقيق في التهديدات والاستجابة لها. لمزيد من المعلومات، راجع حول مستكشف التهديدات واكتشافات الوقت الحقيقي في Microsoft Defender لـ Office 365.

تشرح هذه المقالة كيفية عرض البرامج الضارة المكتشفة ومحاولات التصيد الاحتيالي والتحقيق فيها في البريد الإلكتروني باستخدام مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي.

تلميح

للحصول على سيناريوهات البريد الإلكتروني الأخرى باستخدام مستكشف التهديدات والكشف في الوقت الحقيقي، راجع المقالات التالية:

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

عرض البريد الإلكتروني للتصيد الاحتيالي المرسل إلى المستخدمين والمجالات التي تم انتحالها

لمزيد من المعلومات حول حماية انتحال هوية المستخدم والمجال في نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365، راجع إعدادات انتحال الهوية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

في نهج مكافحة التصيد الاحتيالي الافتراضية أو المخصصة، تحتاج إلى تحديد المستخدمين والمجالات للحماية من انتحال الهوية، بما في ذلك المجالات التي تمتلكها (المجالات المقبولة). في نهج الأمان القياسية أو الصارمة المعينة مسبقا، تتلقى المجالات التي تملكها تلقائيا حماية انتحال الهوية، ولكنك تحتاج إلى تحديد أي مستخدمين أو مجالات مخصصة لحماية انتحال الهوية. للحصول على الإرشادات، راجع المقالات التالية:

استخدم الخطوات التالية لمراجعة رسائل التصيد الاحتيالي والبحث عن مستخدمين أو مجالات منتحلي صفة.

  1. استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:

  2. في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.

  3. حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.

  4. قم بأي من الخطوات التالية:

    • ابحث عن أي محاولات لانتحال هوية مستخدم أو مجال:

      • حدد المربع عنوان المرسل (الخاصية)، ثم حدد تقنية الكشف في القسم أساسي من القائمة المنسدلة.
      • تحقق من تحديد يساوي أي من كعامل تصفية.
      • في مربع قيمة الخاصية، حدد مجال انتحال الهوية ومستخدم انتحال الهوية
    • ابحث عن محاولات مستخدم معينة منتحلة الهوية:

      • حدد المربع عنوان المرسل (الخاصية)، ثم حدد انتحال شخصية المستخدم في القسم أساسي من القائمة المنسدلة.
      • تحقق من تحديد يساوي أي من كعامل تصفية.
      • في مربع قيمة الخاصية، أدخل عنوان البريد الإلكتروني الكامل للمستلم. فصل قيم مستلمين متعددة بفواصل.
    • ابحث عن محاولات مجال معينة منتحلة:

      • حدد المربع عنوان المرسل (الخاصية)، ثم حدد مجال منتحل الهوية في القسم أساسي من القائمة المنسدلة.
      • تحقق من تحديد يساوي أي من كعامل تصفية.
      • في مربع قيمة الخاصية، أدخل المجال (على سبيل المثال، contoso.com). فصل قيم مجال متعددة بفواصل.
  5. أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.

  6. عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.

  7. في منطقة التفاصيل أسفل المخطط، تحقق من تحديد علامة التبويب البريد الإلكتروني (طريقة العرض).

    يمكنك فرز الإدخالات وإظهار المزيد من الأعمدة كما هو موضح في طريقة عرض البريد الإلكتروني لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.

تصدير بيانات النقر فوق عنوان URL

يمكنك تصدير بيانات النقر على URL إلى ملف CSV لعرض قيم معرف رسالة الشبكةوالنقر فوق الحكم ، مما يساعد على شرح مصدر نسبة استخدام الشبكة للنقر فوق عنوان URL.

  1. استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:

  2. في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.

  3. حدد النطاق الزمني/التاريخ، ثم حدد تحديث. الافتراضي هو أمس واليوم.

  4. في منطقة التفاصيل، حدد علامة التبويب Top URLs أو Top clicks (view).

  5. في طريقة عرض أعلى عناوين URL أو النقرات العلوية ، حدد إدخالا واحدا أو أكثر من الجدول عن طريق تحديد خانة الاختيار بجوار العمود الأول، ثم حدد تصدير. مستكشف>التصيد الاحتيالي>النقرات>حدد أهم عناوين URL أو النقرات العلوية> ل URL أي سجل لفتح القائمة المنبثقة لعنون URL.

يمكنك استخدام قيمة معرف رسالة الشبكة للبحث عن رسائل معينة في مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي أو الأدوات الخارجية. تحدد عمليات البحث هذه رسالة البريد الإلكتروني المقترنة بنتيجة النقر. وجود معرف رسالة الشبكة المترابط يجعل تحليلا أسرع وأكثر قوة.

عرض البرامج الضارة التي تم اكتشافها في البريد الإلكتروني

استخدم الخطوات التالية في مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي لمشاهدة البرامج الضارة التي تم اكتشافها في البريد الإلكتروني بواسطة Microsoft 365.

  1. استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:

  2. في صفحة Explorer أو Real-time detections ، حدد طريقة عرض البرامج الضارة . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض البرامج الضارة في مستكشف التهديدات والكشف في الوقت الحقيقي.

  3. حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.

  4. حدد المربع عنوان المرسل (الخاصية)، ثم حدد تقنية الكشف في القسم أساسي من القائمة المنسدلة.

    • تحقق من تحديد يساوي أي من كعامل تصفية.
    • في مربع قيمة الخاصية، حدد قيمة واحدة أو أكثر من القيم التالية:
      • الحماية من البرامج الضارة
      • تفجير الملف
      • سمعة تفجير الملف
      • سمعة الملف
      • مطابقة بصمة الإصبع
  5. أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.

  6. عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.

يعرض التقرير النتائج التي اكتشفتها البرامج الضارة في البريد الإلكتروني، باستخدام خيارات التكنولوجيا التي حددتها. من هنا، يمكنك إجراء مزيد من التحليل.

الإبلاغ عن الرسائل على أنها نظيفة

يمكنك استخدام صفحة عمليات الإرسال في مدخل Defender في https://security.microsoft.com/reportsubmissionللإبلاغ عن الرسائل كرسائل نظيفة (إيجابيات خاطئة) إلى Microsoft. ولكن يمكنك أيضا إرسال الرسائل كرسائل نظيفة إلى Microsoft من اتخاذ إجراء في مستكشف التهديدات أو صفحة كيان البريد الإلكتروني.

للحصول على إرشادات، راجع تتبع التهديدات: معالج اتخاذ إجراء.

للتلخيص:

  • حدد اتخاذ إجراء باستخدام إحدى الطرق التالية:

    • حدد رسالة واحدة أو أكثر من جدول التفاصيل في علامة التبويب البريد الإلكتروني (عرض) في كل طرق عرض البريد الإلكتروني أو البرامج الضارة أو التصيد الاحتيالي عن طريق تحديد خانات الاختيار للإدخالات.

    أو

    • في القائمة المنبثقة التفاصيل بعد تحديد رسالة من جدول التفاصيل في علامة التبويب البريد الإلكتروني (عرض) في كل طرق عرض البريد الإلكتروني أو البرامج الضارة أو التصيد الاحتيالي بالنقر فوق قيمة الموضوع .
  • في معالج اتخاذ إجراء ، حدد إرسال إلى Microsoft للمراجعة>لقد تأكدت من أنه نظيف.

عرض عنوان URL للتصيد الاحتيالي والنقر فوق بيانات الحكم

تتعقب حماية الروابط الآمنة عناوين URL المسموح بها والحظر والتجاوز. يتم تشغيل الحماية من الروابط الآمنة بشكل افتراضي، وذلك بفضل الحماية المضمنة في نهج الأمان المحددة مسبقا. حماية الروابط الآمنة قيد التشغيل في نهج الأمان القياسية والصارمة المحددة مسبقا. يمكنك أيضا إنشاء وتكوين حماية الروابط الآمنة في نهج الروابط الآمنة المخصصة. لمزيد من المعلومات حول إعدادات نهج الروابط الآمنة، راجع إعدادات نهج الارتباطات الآمنة.

استخدم الخطوات التالية لمشاهدة محاولات التصيد الاحتيالي باستخدام عناوين URL في رسائل البريد الإلكتروني.

  1. استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:

  2. في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.

  3. حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.

  4. حدد مربع عنوان المرسل (الخاصية)، ثم حدد انقر فوق الحكم في قسم عناوين URL من القائمة المنسدلة.

    • تحقق من تحديد يساوي أي من كعامل تصفية.
    • في مربع قيمة الخاصية، حدد قيمة واحدة أو أكثر من القيم التالية:
      • مسدود
      • تم التجاوز المحظور

    للحصول على تفسيرات لقيم حكم النقر ، راجع النقر فوق الحكم في خصائص قابلة للتصفية في طريقة عرض كل البريد الإلكتروني في مستكشف التهديدات.

  5. أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.

  6. عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.

تعرض علامة التبويب أهم عناوين URL (عرض) في منطقة التفاصيل أسفل المخطط عدد الرسائل المحظورةوالرسائل غير الهامةوالرسائل التي تم تسليمها لأفضل خمسة عناوين URL. لمزيد من المعلومات، راجع عرض أهم عناوين URL للحصول على منطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات واكتشافات الوقت الحقيقي.

تظهر علامة التبويب النقرات العلوية (عرض) في ناحية التفاصيل أسفل المخطط أفضل خمسة ارتباطات تم النقر فوقها والتي تم تضمينها بواسطة الارتباطات الآمنة. لا تظهر نقرات عنوان URL على الارتباطات غير المغطاة هنا. لمزيد من المعلومات، راجع عرض النقرات العلوية لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات واكتشافات الوقت الحقيقي.

تعرض جداول URL هذه عناوين URL التي تم حظرها أو زيارتها على الرغم من وجود تحذير. توضح هذه المعلومات الارتباطات السيئة المحتملة التي تم تقديمها للمستخدمين. من هنا، يمكنك إجراء مزيد من التحليل.

حدد عنوان URL من إدخال في طريقة العرض للحصول على التفاصيل. لمزيد من المعلومات، راجع تفاصيل عنوان URL لعلامات التبويب Top URLs وأعلى النقرات في طريقة عرض التصيد الاحتيالي.

تلميح

في القائمة المنبثقة لتفاصيل URL، تتم إزالة التصفية على رسائل البريد الإلكتروني لإظهار العرض الكامل لتعرض URL في بيئتك. يتيح لك هذا السلوك التصفية لرسائل بريد إلكتروني معينة، والعثور على عناوين URL محددة تشكل تهديدات محتملة، ثم توسيع فهمك للتعرض لعنون URL في بيئتك دون الحاجة إلى إضافة عوامل تصفية URL في طريقة عرض التصيد الاحتيالي .

تفسير أحكام النقر

تظهر نتائج خاصية النقر على الحكم في المواقع التالية:

يتم وصف قيم الحكم في القائمة التالية:

  • مسموح به: سمح للمستخدم بفتح عنوان URL.
  • تجاوز الحظر: تم حظر المستخدم من فتح عنوان URL مباشرة، ولكنه تجاوز الكتلة لفتح عنوان URL.
  • محظور: تم حظر المستخدم من فتح عنوان URL.
  • خطأ: تم تقديم صفحة الخطأ للمستخدم، أو حدث خطأ في التقاط الحكم.
  • الفشل: حدث استثناء غير معروف أثناء تسجيل الحكم. ربما قام المستخدم بفتح عنوان URL.
  • لا شيء: غير قادر على تسجيل الحكم الخاص بعنوان URL. ربما قام المستخدم بفتح عنوان URL.
  • الحكم المعلق: قدم للمستخدم صفحة التفجير المعلقة.
  • تم تجاوز الحكم المعلق: تم تقديم صفحة التفجير للمستخدم، لكنهم تجاوزوا الرسالة لفتح عنوان URL.

بدء التحقيق والاستجابة التلقائية في مستكشف التهديدات

يمكن للتحقيق والاستجابة التلقائيين (AIR) في Defender لـ Office 365 الخطة 2 توفير الوقت والجهد أثناء التحقيق في الهجمات الإلكترونية والتخفيف من حدتها. يمكنك تكوين التنبيهات التي تؤدي إلى تشغيل دليل مبادئ الأمان، ويمكنك بدء تشغيل AIR في Threat Explorer. للحصول على التفاصيل، راجع مثال: يقوم مسؤول الأمان بتشغيل تحقيق من Explorer.

التحقيق في البريد الإلكتروني باستخدام صفحة كيان البريد الإلكتروني