أمان البريد الإلكتروني باستخدام مستكشف التهديدات والكشف في الوقت الحقيقي في Microsoft Defender لـ Office 365
تلميح
هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.
لدى مؤسسات Microsoft 365 التي Microsoft Defender لـ Office 365 تضمينها في اشتراكها أو التي تم شراؤها كوظيفة إضافية مستكشف (يعرف أيضا باسم مستكشف التهديدات) أو عمليات الكشف في الوقت الحقيقي. هذه الميزات هي أدوات قوية وشبه فورية لمساعدة فرق عمليات الأمان (SecOps) على التحقيق في التهديدات والاستجابة لها. لمزيد من المعلومات، راجع حول مستكشف التهديدات واكتشافات الوقت الحقيقي في Microsoft Defender لـ Office 365.
تشرح هذه المقالة كيفية عرض البرامج الضارة المكتشفة ومحاولات التصيد الاحتيالي والتحقيق فيها في البريد الإلكتروني باستخدام مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي.
تلميح
للحصول على سيناريوهات البريد الإلكتروني الأخرى باستخدام مستكشف التهديدات والكشف في الوقت الحقيقي، راجع المقالات التالية:
ما الذي تحتاج إلى معرفته قبل أن تبدأ؟
مستكشف التهديدات مضمن في Defender لـ Office 365 الخطة 2. يتم تضمين عمليات الكشف في الوقت الحقيقي في Defender for Office الخطة 1:
- يتم وصف الاختلافات بين مستكشف التهديدات والكشف في الوقت الحقيقي في حول مستكشف التهديدات والكشف في الوقت الحقيقي في Microsoft Defender لـ Office 365.
- يتم وصف الاختلافات بين Defender لـ Office 365 الخطة 2 وDefender for Office الخطة 1 في ورقة المعلومات المرجعية Defender لـ Office 365 الخطة 1 مقابل الخطة 2.
للحصول على الأذونات ومتطلبات الترخيص لمستكشف التهديدات والكشف في الوقت الحقيقي، راجع الأذونات والترخيص لمستكشف التهديدات والكشف في الوقت الحقيقي.
عرض البريد الإلكتروني للتصيد الاحتيالي المرسل إلى المستخدمين والمجالات التي تم انتحالها
لمزيد من المعلومات حول حماية انتحال هوية المستخدم والمجال في نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365، راجع إعدادات انتحال الهوية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.
في نهج مكافحة التصيد الاحتيالي الافتراضية أو المخصصة، تحتاج إلى تحديد المستخدمين والمجالات للحماية من انتحال الهوية، بما في ذلك المجالات التي تمتلكها (المجالات المقبولة). في نهج الأمان القياسية أو الصارمة المعينة مسبقا، تتلقى المجالات التي تملكها تلقائيا حماية انتحال الهوية، ولكنك تحتاج إلى تحديد أي مستخدمين أو مجالات مخصصة لحماية انتحال الهوية. للحصول على الإرشادات، راجع المقالات التالية:
- نهج الأمان التي تم تعيينها مسبقا في EOP و Microsoft Defender لـ Office 365
- تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365
استخدم الخطوات التالية لمراجعة رسائل التصيد الاحتيالي والبحث عن مستخدمين أو مجالات منتحلي صفة.
استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:
- مستكشف التهديدات: في مدخل Defender في https://security.microsoft.com، انتقل إلى Email & Security>Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorerv3.
- عمليات الكشف في الوقت الحقيقي: في مدخل Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & اكتشافات الأمان> فيالوقت الحقيقي. أو، للانتقال مباشرة إلى صفحة الكشف في الوقت الحقيقي ، استخدم https://security.microsoft.com/realtimereportsv3.
في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.
حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.
قم بأي من الخطوات التالية:
ابحث عن أي محاولات لانتحال هوية مستخدم أو مجال:
- حدد المربع عنوان المرسل (الخاصية)، ثم حدد تقنية الكشف في القسم أساسي من القائمة المنسدلة.
- تحقق من تحديد يساوي أي من كعامل تصفية.
- في مربع قيمة الخاصية، حدد مجال انتحال الهوية ومستخدم انتحال الهوية
ابحث عن محاولات مستخدم معينة منتحلة الهوية:
- حدد المربع عنوان المرسل (الخاصية)، ثم حدد انتحال شخصية المستخدم في القسم أساسي من القائمة المنسدلة.
- تحقق من تحديد يساوي أي من كعامل تصفية.
- في مربع قيمة الخاصية، أدخل عنوان البريد الإلكتروني الكامل للمستلم. فصل قيم مستلمين متعددة بفواصل.
ابحث عن محاولات مجال معينة منتحلة:
- حدد المربع عنوان المرسل (الخاصية)، ثم حدد مجال منتحل الهوية في القسم أساسي من القائمة المنسدلة.
- تحقق من تحديد يساوي أي من كعامل تصفية.
- في مربع قيمة الخاصية، أدخل المجال (على سبيل المثال، contoso.com). فصل قيم مجال متعددة بفواصل.
أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.
عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.
في منطقة التفاصيل أسفل المخطط، تحقق من تحديد علامة التبويب البريد الإلكتروني (طريقة العرض).
يمكنك فرز الإدخالات وإظهار المزيد من الأعمدة كما هو موضح في طريقة عرض البريد الإلكتروني لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.
إذا حددت قيمة الموضوع لإدخال في الجدول، يتم فتح القائمة المنبثقة تفاصيل البريد الإلكتروني. تعرف القائمة المنبثقة للتفاصيل هذه باسم لوحة ملخص البريد الإلكتروني وتحتوي على معلومات موجزة موحدة متوفرة أيضا في صفحة كيان البريد الإلكتروني للرسالة.
للحصول على تفاصيل حول المعلومات الموجودة في لوحة ملخص البريد الإلكتروني، راجع لوحة ملخص البريد الإلكتروني.
للحصول على معلومات حول الإجراءات المتوفرة في الجزء العلوي من لوحة ملخص البريد الإلكتروني لمستكشف التهديدات والكشف في الوقت الحقيقي، راجع تفاصيل البريد الإلكتروني من طريقة عرض البريد الإلكتروني لمنطقة التفاصيل في طريقة عرض كل البريد الإلكتروني (تتوفر نفس الإجراءات أيضا من طريقة عرض التصيد الاحتيالي ).
إذا حددت قيمة المستلم لإدخال في الجدول، يتم فتح قائمة منبثقة تفاصيل مختلفة. لمزيد من المعلومات، راجع تفاصيل المستلم من طريقة عرض البريد الإلكتروني لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي.
تصدير بيانات النقر فوق عنوان URL
يمكنك تصدير بيانات النقر على URL إلى ملف CSV لعرض قيم معرف رسالة الشبكةوالنقر فوق الحكم ، مما يساعد على شرح مصدر نسبة استخدام الشبكة للنقر فوق عنوان URL.
استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:
- مستكشف التهديدات: في مدخل Defender في https://security.microsoft.com، انتقل إلى Email & Security>Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorerv3.
- عمليات الكشف في الوقت الحقيقي: في مدخل Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & اكتشافات الأمان> فيالوقت الحقيقي. أو، للانتقال مباشرة إلى صفحة الكشف في الوقت الحقيقي ، استخدم https://security.microsoft.com/realtimereportsv3.
في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.
حدد النطاق الزمني/التاريخ، ثم حدد تحديث. الافتراضي هو أمس واليوم.
في منطقة التفاصيل، حدد علامة التبويب Top URLs أو Top clicks (view).
في طريقة عرض أعلى عناوين URL أو النقرات العلوية ، حدد إدخالا واحدا أو أكثر من الجدول عن طريق تحديد خانة الاختيار بجوار العمود الأول، ثم حدد
تصدير.
Explorer>فيش>النقرات>حدد أهم عناوين URL أو النقرات العلوية> ل URL أي سجل لفتح القائمة المنبثقة لعنون URL.
يمكنك استخدام قيمة معرف رسالة الشبكة للبحث عن رسائل معينة في مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي أو الأدوات الخارجية. تحدد عمليات البحث هذه رسالة البريد الإلكتروني المقترنة بنتيجة النقر. وجود معرف رسالة الشبكة المترابط يجعل تحليلا أسرع وأكثر قوة.
عرض البرامج الضارة التي تم اكتشافها في البريد الإلكتروني
استخدم الخطوات التالية في مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي لمشاهدة البرامج الضارة التي تم اكتشافها في البريد الإلكتروني بواسطة Microsoft 365.
استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:
- مستكشف التهديدات: في مدخل Defender في https://security.microsoft.com، انتقل إلى Email & Security>Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorerv3.
- عمليات الكشف في الوقت الحقيقي: في مدخل Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & اكتشافات الأمان> فيالوقت الحقيقي. أو، للانتقال مباشرة إلى صفحة الكشف في الوقت الحقيقي ، استخدم https://security.microsoft.com/realtimereportsv3.
في صفحة Explorer أو Real-time detections ، حدد طريقة عرض البرامج الضارة . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض البرامج الضارة في مستكشف التهديدات والكشف في الوقت الحقيقي.
حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.
حدد المربع عنوان المرسل (الخاصية)، ثم حدد تقنية الكشف في القسم أساسي من القائمة المنسدلة.
- تحقق من تحديد يساوي أي من كعامل تصفية.
- في مربع قيمة الخاصية، حدد قيمة واحدة أو أكثر من القيم التالية:
- الحماية من البرامج الضارة
- تفجير الملف
- سمعة تفجير الملف
- سمعة الملف
- مطابقة بصمة الإصبع
أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.
عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.
يعرض التقرير النتائج التي اكتشفتها البرامج الضارة في البريد الإلكتروني، باستخدام خيارات التكنولوجيا التي حددتها. من هنا، يمكنك إجراء مزيد من التحليل.
الإبلاغ عن الرسائل على أنها نظيفة
يمكنك استخدام صفحة عمليات الإرسال في مدخل Defender في https://security.microsoft.com/reportsubmissionللإبلاغ عن الرسائل كرسائل نظيفة (إيجابيات خاطئة) إلى Microsoft. ولكن يمكنك أيضا إرسال الرسائل كنظيفة إلى Microsoft من المستكشف أو عمليات الكشف في الوقت الحقيقي.
للحصول على الإرشادات، راجع تتبع التهديدات: معالجة البريد الإلكتروني.
للتلخيص:
حدد
اتخاذ إجراء باستخدام إحدى الطرق التالية:- حدد رسالة واحدة أو أكثر من جدول التفاصيل في علامة التبويب البريد الإلكتروني (عرض) في كل طرق عرض البريد الإلكتروني أو البرامج الضارة أو التصيد الاحتيالي عن طريق تحديد خانات الاختيار للإدخالات.
او
- في القائمة المنبثقة التفاصيل بعد تحديد رسالة من جدول التفاصيل في علامة التبويب البريد الإلكتروني (عرض) في كل طرق عرض البريد الإلكتروني أو البرامج الضارة أو التصيد الاحتيالي بالنقر فوق قيمة الموضوع .
في معالج اتخاذ إجراء ، حدد إرسال إلى Microsoft للمراجعة>لقد تأكدت من أنه نظيف.
عرض عنوان URL للتصيد الاحتيالي والنقر فوق بيانات الحكم
تتعقب حماية الروابط الآمنة عناوين URL المسموح بها والحظر والتجاوز. يتم تشغيل الحماية من الروابط الآمنة بشكل افتراضي، وذلك بفضل الحماية المضمنة في نهج الأمان المحددة مسبقا. حماية الروابط الآمنة قيد التشغيل في نهج الأمان القياسية والصارمة المحددة مسبقا. يمكنك أيضا إنشاء وتكوين حماية الروابط الآمنة في نهج الروابط الآمنة المخصصة. لمزيد من المعلومات حول إعدادات نهج الروابط الآمنة، راجع إعدادات نهج الارتباطات الآمنة.
استخدم الخطوات التالية لمشاهدة محاولات التصيد الاحتيالي باستخدام عناوين URL في رسائل البريد الإلكتروني.
استخدم إحدى الخطوات التالية لفتح مستكشف التهديدات أو عمليات الكشف في الوقت الحقيقي:
- مستكشف التهديدات: في مدخل Defender في https://security.microsoft.com، انتقل إلى Email & Security>Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorerv3.
- عمليات الكشف في الوقت الحقيقي: في مدخل Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & اكتشافات الأمان> فيالوقت الحقيقي. أو، للانتقال مباشرة إلى صفحة الكشف في الوقت الحقيقي ، استخدم https://security.microsoft.com/realtimereportsv3.
في صفحة Explorer أو Real-time detections ، حدد طريقة عرض التصيد الاحتيالي . لمزيد من المعلومات حول طريقة عرض التصيد الاحتيالي ، راجع طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي.
حدد النطاق الزمني/التاريخ. الافتراضي هو أمس واليوم.
حدد مربع عنوان المرسل (الخاصية)، ثم حدد انقر فوق الحكم في قسم عناوين URL من القائمة المنسدلة.
- تحقق من تحديد يساوي أي من كعامل تصفية.
- في مربع قيمة الخاصية، حدد قيمة واحدة أو أكثر من القيم التالية:
- حظر
- تم التجاوز المحظور
للحصول على تفسيرات لقيم حكم النقر ، راجع النقر فوق الحكم في خصائص قابلة للتصفية في طريقة عرض كل البريد الإلكتروني في مستكشف التهديدات.
أدخل المزيد من الشروط باستخدام خصائص أخرى قابلة للتصفية كما هو مطلوب. للحصول على إرشادات، راجع عوامل تصفية الخصائص في مستكشف التهديدات والكشف في الوقت الحقيقي.
عند الانتهاء من إنشاء شروط عامل التصفية، حدد تحديث.
تعرض علامة التبويب أهم عناوين URL (عرض) في منطقة التفاصيل أسفل المخطط عدد الرسائل المحظورةوالرسائل غير الهامةوالرسائل التي تم تسليمها لأفضل خمسة عناوين URL. لمزيد من المعلومات، راجع عرض أهم عناوين URL للحصول على منطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات واكتشافات الوقت الحقيقي.
تظهر علامة التبويب النقرات العلوية (عرض) في ناحية التفاصيل أسفل المخطط أفضل خمسة ارتباطات تم النقر فوقها والتي تم تضمينها بواسطة الارتباطات الآمنة. لا تظهر نقرات عنوان URL على الارتباطات غير المغطاة هنا. لمزيد من المعلومات، راجع عرض النقرات العلوية لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات واكتشافات الوقت الحقيقي.
تعرض جداول URL هذه عناوين URL التي تم حظرها أو زيارتها على الرغم من وجود تحذير. توضح هذه المعلومات الارتباطات السيئة المحتملة التي تم تقديمها للمستخدمين. من هنا، يمكنك إجراء مزيد من التحليل.
حدد عنوان URL من إدخال في طريقة العرض للحصول على التفاصيل. لمزيد من المعلومات، راجع تفاصيل عنوان URL لعلامات التبويب Top URLs وأعلى النقرات في طريقة عرض التصيد الاحتيالي.
تلميح
في القائمة المنبثقة لتفاصيل URL، تتم إزالة التصفية على رسائل البريد الإلكتروني لإظهار العرض الكامل لتعرض URL في بيئتك. يتيح لك هذا السلوك التصفية لرسائل بريد إلكتروني معينة، والعثور على عناوين URL محددة تشكل تهديدات محتملة، ثم توسيع فهمك للتعرض لعنون URL في بيئتك دون الحاجة إلى إضافة عوامل تصفية URL في طريقة عرض التصيد الاحتيالي .
تفسير أحكام النقر
تظهر نتائج خاصية النقر على الحكم في المواقع التالية:
- انقر فوق محور مخطط الحكم لعنون URL انقر فوق طريقة عرض تفاصيل طريقة عرض كل البريد الإلكتروني (مستكشف التهديدات فقط) أو طريقة عرض التصيد الاحتيالي
- عرض النقرات العلوية لمنطقة التفاصيل في طريقة عرض كل البريد الإلكتروني في مستكشف التهديدات
- عرض النقرات العلوية لمنطقة التفاصيل في طريقة عرض التصيد الاحتيالي في مستكشف التهديدات والكشف في الوقت الحقيقي
- طريقة عرض النقرات العلوية لمنطقة التفاصيل في طريقة عرض نقرات URL في مستكشف التهديدات
يتم وصف قيم الحكم في القائمة التالية:
- مسموح به: سمح للمستخدم بفتح عنوان URL.
- تجاوز الحظر: تم حظر المستخدم من فتح عنوان URL مباشرة، ولكنه تجاوز الكتلة لفتح عنوان URL.
- محظور: تم حظر المستخدم من فتح عنوان URL.
- خطأ: تم تقديم صفحة الخطأ للمستخدم، أو حدث خطأ في التقاط الحكم.
- الفشل: حدث استثناء غير معروف أثناء تسجيل الحكم. ربما قام المستخدم بفتح عنوان URL.
- لا شيء: غير قادر على تسجيل الحكم الخاص بعنوان URL. ربما قام المستخدم بفتح عنوان URL.
- الحكم المعلق: قدم للمستخدم صفحة التفجير المعلقة.
- تم تجاوز الحكم المعلق: تم تقديم صفحة التفجير للمستخدم، لكنهم تجاوزوا الرسالة لفتح عنوان URL.
بدء التحقيق والاستجابة التلقائية في مستكشف التهديدات
يمكن للتحقيق والاستجابة التلقائيين (AIR) في Defender لـ Office 365 الخطة 2 توفير الوقت والجهد أثناء التحقيق في الهجمات الإلكترونية والتخفيف من حدتها. يمكنك تكوين التنبيهات التي تؤدي إلى تشغيل دليل مبادئ الأمان، ويمكنك بدء تشغيل AIR في Threat Explorer. للحصول على التفاصيل، راجع مثال: يقوم مسؤول الأمان بتشغيل تحقيق من Explorer.
مقالات أخرى
التحقيق في البريد الإلكتروني باستخدام صفحة كيان البريد الإلكتروني
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ