مشاركة عبر

إصدار تجريبي ونشر Defender ل Office 365

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

توفر هذه المقالة سير عمل لتجربة Microsoft Defender ل Office 365 ونشره في مؤسستك. يمكنك استخدام هذه التوصيات لإلحاق Microsoft Defender ل Office 365 كأداة أمان عبر الإنترنت فردية أو كجزء من حل شامل باستخدام Microsoft Defender XDR.

تفترض هذه المقالة أن لديك مستأجر Microsoft 365 للإنتاج وتعمل على تجربة Microsoft Defender ل Office 365 ونشره في هذه البيئة. ستحافظ هذه الممارسة على أي إعدادات وتخصيصات تقوم بتكوينها أثناء الإصدار التجريبي الخاص بك للتوزيع الكامل.

يساهم Defender ل Office 365 في بنية الثقة المعدومة من خلال المساعدة في منع أو تقليل تلف الأعمال من الخرق. لمزيد من المعلومات، راجع سيناريو منع تلف الأعمال أو تقليله من خرق العمل في إطار عمل اعتماد Microsoft Zero Trust.

التوزيع الشامل ل Microsoft Defender XDR

هذه هي المقالة 3 من 6 في سلسلة لمساعدتك على نشر مكونات Microsoft Defender XDR، بما في ذلك التحقيق في الحوادث والاستجابة لها.

رسم تخطيطي يعرض Microsoft Defender ل Office 365 في الإصدار التجريبي ونشر عملية Microsoft Defender XDR.

تتوافق المقالات الواردة في هذه السلسلة مع المراحل التالية من النشر الشامل:

طور رابط
A. بدء تشغيل الإصدار التجريبي بدء تشغيل الإصدار التجريبي
B. تجربة مكونات Microsoft Defender XDR وتوزيعها - إصدار تجريبي ونشر Defender for Identity

- إصدار تجريبي ونشر Defender ل Office 365 (هذه المقالة)

- إصدار تجريبي ونشر Defender لنقطة النهاية

- إصدار تجريبي من Microsoft Defender for Cloud Apps وتوزيعه
C. التحقق من التهديدات والاستجابة لها ممارسة التحقيق في الحوادث والاستجابة لها

إصدار تجريبي لسير العمل ونشره ل Defender ل Office 365

يوضح الرسم التخطيطي التالي عملية شائعة لنشر منتج أو خدمة في بيئة تكنولوجيا المعلومات.

رسم تخطيطي لمرحلتي اعتماد الإصدار التجريبي والتقييم والتوزيع الكامل.

تبدأ بتقييم المنتج أو الخدمة وكيفية عملها داخل مؤسستك. بعد ذلك، يمكنك تجربة المنتج أو الخدمة مع مجموعة فرعية صغيرة مناسبة من البنية الأساسية للإنتاج للاختبار والتعلم والتخصيص. بعد ذلك، قم بزيادة نطاق التوزيع تدريجيا حتى تتم تغطية البنية الأساسية أو المؤسسة بأكملها.

فيما يلي سير العمل لتجربة Defender ل Office 365 ونشره في بيئة الإنتاج الخاصة بك.

رسم تخطيطي يوضح خطوات تجربة Microsoft Defender ل Office 365 ونشره.

اتبع الخطوات التالية:

  1. تدقيق سجل MX العام والتحقق من صحته
  2. تدقيق المجالات المقبولة
  3. تدقيق الموصلات الواردة
  4. تنشيط التقييم
  5. إنشاء مجموعات تجريبية
  6. تكوين الحماية
  7. تجربة القدرات

فيما يلي الخطوات الموصى بها لكل مرحلة توزيع.

مرحلة التوزيع الوصف
تقييم إجراء تقييم المنتج ل Defender ل Office 365.
طيار تنفيذ الخطوات من 1 إلى 7 للمجموعات التجريبية.
التوزيع الكامل قم بتكوين مجموعات المستخدمين التجريبية في الخطوة 5 أو إضافة مجموعات مستخدمين للتوسع خارج الإصدار التجريبي وتضمين جميع حسابات المستخدمين في النهاية.

بنية Defender ل Office 365 ومتطلباته

يوضح الرسم التخطيطي التالي البنية الأساسية ل Microsoft Defender ل Office 365، والتي يمكن أن تتضمن بوابة SMTP تابعة لجهة خارجية أو تكاملا محليا. تتطلب سيناريوهات التعايش المختلط (أي أن علب بريد الإنتاج محلية أو متصلة) تكوينات أكثر تعقيدا ولا تتم تغطيتها في هذه المقالة أو إرشادات التقييم.

رسم تخطيطي لبنية Microsoft Defender ل Office 365.

يصف الجدول التالي هذا الرسم التوضيحي.

وسيلة شرح الوصف
1 عادة ما يقوم الخادم المضيف للمرسل الخارجي بإجراء بحث DNS عام عن سجل MX، والذي يوفر الخادم الهدف لترحيل الرسالة. يمكن أن تكون هذه الإحالة إما Exchange Online (EXO) مباشرة أو بوابة SMTP تم تكوينها للترحيل مقابل EXO.
2 تتفاوض Exchange Online Protection وتتحقق من صحة الاتصال الوارد وتفحص رؤوس الرسائل والمحتوى لتحديد النهج الإضافية أو وضع العلامات أو المعالجة المطلوبة.
3 يتكامل Exchange Online مع Microsoft Defender ل Office 365 لتوفير حماية أكثر تقدما من التهديدات والتخفيف من المخاطر والمعالجة.
4 تتم معالجة رسالة غير ضارة أو محظورة أو معزولة وتسليمها إلى المستلم في EXO حيث يتم تقييم تفضيلات المستخدم المتعلقة بالبريد غير الهام أو قواعد علبة البريد أو الإعدادات الأخرى وتشغيلها.
5 يمكن تمكين التكامل مع Active Directory المحلي باستخدام Microsoft Entra Connect لمزامنة وتوفير الكائنات والحسابات الممكنة للبريد إلى معرف Microsoft Entra وفي نهاية المطاف Exchange Online.
6 عند دمج بيئة محلية، من الأفضل استخدام خادم Exchange لإدارة وإدارة السمات والإعدادات والتكوينات المتعلقة بالبريد.
7 يشارك Microsoft Defender ل Office 365 الإشارات إلى Microsoft Defender XDR للكشف والاستجابة الموسعة (XDR).

التكامل المحلي شائع ولكنه اختياري. إذا كانت بيئتك سحابية فقط، فإن هذه الإرشادات تناسبك أيضا.

يتطلب تقييم Defender ل Office 365 الناجح أو إصدار تجريبي للإنتاج المتطلبات الأساسية التالية:

  • جميع علب بريد المستلمين موجودة حاليا في Exchange Online.
  • يتم حل سجل MX العام مباشرة إلى EOP أو بوابة بروتوكول نقل البريد البسيط (SMTP) التابعة لجهة خارجية والتي تقوم بعد ذلك بترحيل البريد الإلكتروني الخارجي الوارد مباشرة إلى EOP.
  • تم تكوين مجال البريد الإلكتروني الأساسي الخاص بك على أنه موثوق به في Exchange Online.
  • لقد نجحت في نشر وتكوين حظر Edge المستند إلى الدليل (DBEB) حسب الاقتضاء. لمزيد من المعلومات، راجع استخدام Directory-Based Edge Blocking لرفض الرسائل المرسلة إلى مستلمين غير صالحين.

هام

إذا لم تكن هذه المتطلبات قابلة للتطبيق أو كنت لا تزال في سيناريو تعايش مختلط، فيمكن أن يتطلب تقييم Microsoft Defender ل Office 365 تكوينات أكثر تعقيدا أو متقدمة لم تتم تغطيتها بالكامل في هذا التوجيه.

الخطوة 1: تدقيق سجل MX العام والتحقق من صحته

لتقييم Microsoft Defender ل Office 365 بشكل فعال، من المهم ترحيل البريد الإلكتروني الخارجي الوارد من خلال مثيل Exchange Online Protection (EOP) المقترن بالمستأجر الخاص بك.

  1. في مدخل مسؤول M365 في https://admin.microsoft.com، قم بتوسيع ... قم بإظهار الكل إذا لزم الأمر، وقم بتوسيع الإعدادات، ثم حدد المجالات. أو، للانتقال مباشرة إلى صفحة المجالات ، استخدم https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. في صفحة المجالات ، حدد مجال البريد الإلكتروني الذي تم التحقق منه بالنقر فوق أي مكان في الإدخال بخلاف خانة الاختيار.
  3. في القائمة المنبثقة تفاصيل المجال التي تفتح، حدد علامة التبويب سجلات DNS . دون سجل MX الذي تم إنشاؤه وتعيينه إلى مستأجر EOP الخاص بك.
  4. الوصول إلى منطقة DNS الخارجية (العامة) والتحقق من سجل MX الأساسي المقترن بمجال البريد الإلكتروني الخاص بك:
    • إذا كان سجل MX العام يطابق حاليا عنوان EOP المعين (على سبيل المثال، contoso-com.mail.protection.outlook.com) فلا يلزم إجراء أي تغييرات توجيه أخرى.
    • إذا تم حل سجل MX العام الخاص بك حاليا إلى بوابة SMTP تابعة لجهة خارجية أو محلية، فقد تكون هناك حاجة إلى تكوينات توجيه إضافية.
    • إذا تم حل سجل MX العام حاليا إلى Exchange المحلي، فقد تظل في نموذج مختلط حيث لم يتم ترحيل بعض علب بريد المستلمين بعد إلى EXO.

الخطوة 2: تدقيق المجالات المقبولة

  1. في مركز إدارة Exchange (EAC) في https://admin.exchange.microsoft.com، قم بتوسيع تدفق البريد، ثم انقر فوق المجالات المقبولة. أو، للانتقال مباشرة إلى صفحة المجالات المقبولة ، استخدم https://admin.exchange.microsoft.com/#/accepteddomains.
  2. في صفحة المجالات المقبولة ، دون قيمة نوع المجال لمجال البريد الإلكتروني الأساسي.
    • إذا تم تعيين نوع المجال إلى موثوق، فمن المفترض أن تكون جميع علب بريد المستلمين لمؤسستك موجودة حاليا في Exchange Online.
    • إذا تم تعيين نوع المجال إلى InternalRelay، فقد تظل في نموذج مختلط حيث لا تزال بعض علب بريد المستلمين موجودة محليا.

الخطوة 3: تدقيق الموصلات الواردة

  1. في مركز إدارة Exchange (EAC) في https://admin.exchange.microsoft.com، قم بتوسيع تدفق البريد، ثم انقر فوق الموصلات. أو، للانتقال مباشرة إلى صفحة الموصلات ، استخدم https://admin.exchange.microsoft.com/#/connectors.
  2. في صفحة الموصلات ، دون أي موصلات بالإعدادات التالية:
    • قيمة From هي مؤسسة شريكة قد ترتبط ببوابة SMTP تابعة لجهة خارجية.
    • القيمة From هي مؤسستك التي قد تشير إلى أنك لا تزال في سيناريو مختلط.

الخطوة 4: تنشيط التقييم

استخدم الإرشادات هنا لتنشيط تقييم Microsoft Defender ل Office 365 من مدخل Microsoft Defender.

للحصول على معلومات مفصلة، راجع تجربة Microsoft Defender ل Office 365.

  1. في مدخل Microsoft Defender في https://security.microsoft.com، قم بتوسيع التعاون> & البريد الإلكتروني حدد النهج & القواعد> حدد نهج التهديد> مرر لأسفل إلى قسم الآخرين ، ثم حدد وضع التقييم. أو، للانتقال مباشرة إلى صفحة وضع التقييم ، استخدم https://security.microsoft.com/atpEvaluation.

  2. في صفحة وضع التقييم ، انقر فوق بدء التقييم.

    لقطة شاشة لصفحة وضع التقييم وزر بدء التقييم للنقر فوقه.

  3. في مربع الحوار تشغيل الحماية ، حدد لا، أريد إعداد التقارير فقط، ثم انقر فوق متابعة.

    لقطة شاشة لمربع حوار تشغيل الحماية وخيار لا، أريد فقط تحديد إعداد التقارير.

  4. في مربع الحوار تحديد المستخدمين الذين تريد تضمينهم ، حدد كافة المستخدمين، ثم انقر فوق متابعة.

    لقطة شاشة لمربع الحوار تحديد المستخدمين الذين تريد تضمينهم وخيار جميع المستخدمين لتحديده.

  5. في مربع الحوار مساعدتنا على فهم تدفق البريد، يتم تحديد أحد الخيارات التالية تلقائيا استنادا إلى اكتشافنا لسجل MX لمجالك:

    • أنا أستخدم Microsoft Exchange Online فقط: تشير سجلات MX لمجالك إلى Microsoft 365. لم يتبقى شيء لتكوينه، لذا انقر فوق إنهاء.

      لقطة شاشة لمربع حوار مساعدتنا على فهم تدفق البريد الخاص بك مع تحديد الخيار I'm only using Microsoft Exchange Online.

    • أستخدم جهة خارجية و/أو موفر خدمة محلي: في الشاشات القادمة، حدد اسم المورد جنبا إلى جنب مع الموصل الوارد الذي يقبل البريد من هذا الحل. يمكنك أيضا تحديد ما إذا كنت بحاجة إلى قاعدة تدفق بريد Exchange Online (تعرف أيضا باسم قاعدة النقل) التي تتخطى تصفية البريد العشوائي للرسائل الواردة من خدمة الحماية أو الجهاز التابع لجهة خارجية. عند الانتهاء، انقر فوق إنهاء.

الخطوة 5: إنشاء مجموعات تجريبية

عند إصدار تجريبي من Microsoft Defender ل Office 365، قد تختار تجربة مستخدمين محددين قبل تمكين النهج وإنفاذها لمؤسستك بأكملها. يمكن أن يساعد إنشاء مجموعات التوزيع في إدارة عمليات التوزيع. على سبيل المثال، إنشاء مجموعات مثل Defender لمستخدمي Office 365 - الحماية القياسية أو Defender لمستخدمي Office 365 - الحماية الصارمة أو Defender لمستخدمي Office 365 - الحماية المخصصة أو Defender لمستخدمي Office 365 - استثناءات.

قد لا يكون من الواضح سبب استخدام المصطلحين "قياسي" و"صارم" لهذه المجموعات، ولكن سيصبح ذلك واضحا عند استكشاف المزيد حول الإعدادات المسبقة لأمان Defender ل Office 365. إن تسمية المجموعات "المخصصة" و"الاستثناءات" تتحدث عن نفسها، وعلى الرغم من أن معظم المستخدمين يجب أن يقعوا ضمن مجموعات قياسيةوصارمة ومخصصة واستثناءات، إلا أنها ستجمع بيانات قيمة لك فيما يتعلق بإدارة المخاطر.

يمكن إنشاء مجموعات التوزيع وتعريفها مباشرة في Exchange Online أو مزامنتها من Active Directory المحلي.

  1. سجل الدخول إلى مركز إدارة Exchange (EAC) https://admin.exchange.microsoft.com باستخدام حساب تم منحه دور مسؤول المستلم أو تم تفويضه لأذونات إدارة المجموعة.

  2. انتقل إلى مجموعات المستلمين>.

    لقطة شاشة لعنصر قائمة المجموعات.

  3. في صفحة المجموعات ، حدد إضافة أيقونة مجموعة.إضافة مجموعة.

    لقطة شاشة لخيار إضافة مجموعة.

  4. بالنسبة إلى نوع المجموعة، حدد توزيع، ثم انقر فوق التالي.

    لقطة شاشة لقسم اختيار نوع مجموعة.

  5. امنح المجموعة اسما ووصفا اختياريا، ثم انقر فوق التالي.

    لقطة شاشة لقسم إعداد الأساسيات.

  6. في الصفحات المتبقية، قم بتعيين مالك وإضافة أعضاء إلى المجموعة وتعيين عنوان البريد الإلكتروني وقيود المغادرة والإعدادات الأخرى.

الخطوة 6: تكوين الحماية

يتم تكوين بعض الإمكانات في Defender ل Office 365 وتشغيلها بشكل افتراضي، ولكن قد ترغب عمليات الأمان في رفع مستوى الحماية من الإعداد الافتراضي.

لم يتم تكوين بعض الإمكانات بعد . لديك الخيارات التالية لتكوين الحماية (التي من السهل تغييرها لاحقا):

  • تعيين المستخدمين لنهج الأمان المحددة مسبقا: نهج الأمان المعينة مسبقا هي الطريقة الموصى بها لتعيين مستوى موحد من الحماية بسرعة عبر جميع الإمكانات. يمكنك الاختيار من بين الحماية القياسية أو الصارمة . يتم وصف إعدادات Standard و Strict في الجداول هنا. يتم تلخيص الاختلافات بين Standard و Strict في الجدول هنا.

    مزايا نهج الأمان المحددة مسبقا هي حماية مجموعات المستخدمين في أسرع وقت ممكن باستخدام الإعدادات الموصى بها من Microsoft استنادا إلى الملاحظات في مراكز البيانات. مع إضافة قدرات حماية جديدة ومع تغير مشهد الأمان، يتم تحديث الإعدادات في نهج الأمان المحددة مسبقا تلقائيا إلى الإعدادات الموصى بها.

    عيب نهج الأمان المعينة مسبقا هو أنه لا يمكنك تخصيص أي من إعدادات الأمان تقريبا في نهج الأمان المحددة مسبقا (على سبيل المثال، لا يمكنك تغيير إجراء من تسليم إلى غير هام إلى عزل، أو العكس). الاستثناء هو إدخالات واستثناءات اختيارية لانتحال هوية المستخدم وحماية انتحال المجال، والتي يجب تكوينها يدويا.

    ضع في اعتبارك أيضا أن نهج الأمان المحددة مسبقا تطبق دائما قبل النهج المخصصة. لذلك، إذا كنت ترغب في إنشاء أي نهج مخصصة واستخدامها، فستحتاج إلى استبعاد المستخدمين في هذه النهج المخصصة من نهج الأمان المحددة مسبقا.

  • تكوين نهج الحماية المخصصة: إذا كنت تفضل تكوين البيئة بنفسك، فقارن الإعدادات الافتراضية والقياسية والصارمة في الإعدادات الموصى بها لأمان EOP وMicrosoft Defender ل Office 365. احتفظ لجدول بيانات حيث ينحرف البناء المخصص.

    يمكنك أيضا استخدام محلل التكوين لمقارنة الإعدادات في النهج المخصصة بالقيم القياسية والصارمة.

للحصول على معلومات مفصلة حول اختيار نهج الأمان المحددة مسبقا مقابل النهج المخصصة، راجع تحديد استراتيجية نهج الحماية.

تعيين نهج أمان محددة مسبقا

نوصيك بالبدء بنهج الأمان المحددة مسبقا في EOP وDefender ل Office 365 بسرعة عن طريق تعيينها لمستخدمين تجريبيين محددين أو مجموعات محددة كجزء من تقييمك. توفر النهج المعينة مسبقا قالب حماية قياسي أساسي أو قالب حماية صارم أكثر عدوانية، والذي يمكن تعيينه بشكل مستقل.

على سبيل المثال، يمكن تطبيق شرط EOP للتقييمات التجريبية إذا كان المستلمون أعضاء في مجموعة حماية قياسية EOP محددة، ثم تتم إدارتها عن طريق إضافة حسابات إلى المجموعة أو إزالتها منها.

وبالمثل، يمكن تطبيق شرط Defender for Office 365 للتقييمات التجريبية إذا كان المستلمون أعضاء في مجموعة حماية قياسية محددة ل Defender ل Office 365 ثم تتم إدارتها عن طريق إضافة حسابات أو إزالتها عبر المجموعة.

للحصول على إرشادات كاملة، راجع استخدام مدخل Microsoft Defender لتعيين نهج أمان قياسية وصارمة محددة مسبقا للمستخدمين.

تكوين نهج الحماية المخصصة

توفر قوالب نهج Standard أو Strict Defender ل Office 365 المحددة مسبقا للمستخدمين التجريبيين الحماية الأساسية الموصى بها. ومع ذلك، يمكنك أيضا إنشاء نهج حماية مخصصة وتعيينها كجزء من تقييمك.

من المهم أن تكون على دراية بالأسبقية التي تأخذها نهج الحماية هذه عند تطبيقها وفرضها، كما هو موضح في ترتيب الأسبقية لنهج الأمان المحددة مسبقا والنهج الأخرى.

يوفر التفسير والجدول في تكوين نهج الحماية مرجعا مفيد لما تحتاج إلى تكوينه.

الخطوة 7: تجربة القدرات

الآن بعد أن تم إعداد الإصدار التجريبي وتكوينه، من المفيد أن تصبح على دراية بأدوات إعداد التقارير والمراقبة ومحاكاة الهجوم الفريدة ل Microsoft Defender ل Microsoft 365.

تمكن الوصف معلومات إضافية
مستكشف المخاطر يعد مستكشف التهديدات أداة قوية قريبة من الوقت الحقيقي لمساعدة فرق عمليات الأمان على التحقيق في التهديدات والاستجابة لها ويعرض معلومات حول البرامج الضارة المكتشفة والتصيد الاحتيالي في البريد الإلكتروني والملفات في Office 365، بالإضافة إلى التهديدات والمخاطر الأمنية الأخرى لمؤسستك. حول مستكشف التهديدات
أتمتة المحاكاة في التدريب على محاكاة الهجوم يمكنك استخدام التدريب على محاكاة الهجوم في مدخل Microsoft Defender لتشغيل سيناريوهات هجوم واقعية في مؤسستك، والتي تساعدك على تحديد المستخدمين المعرضين للخطر والعثور عليها قبل أن يؤثر الهجوم الحقيقي على بيئتك. بدء استخدام التدريب على محاكاة الهجوم
لوحة معلومات التقارير في قائمة التنقل اليسرى، انقر فوق تقارير وقم بتوسيع عنوان التعاون & البريد الإلكتروني. تتعلق تقارير التعاون & البريد الإلكتروني بتحديد اتجاهات الأمان التي سيسمح لك بعضها باتخاذ إجراء (من خلال أزرار مثل "الانتقال إلى عمليات الإرسال")، والبعض الآخر الذي سيعرض الاتجاهات. يتم إنشاء هذه المقاييس تلقائيا. عرض تقارير أمان البريد الإلكتروني في مدخل Microsoft Defender

عرض تقارير Defender ل Office 365 في مدخل Microsoft Defender

تكامل إدارة معلومات الأمان والأحداث

يمكنك دمج Defender ل Office 365 مع Microsoft Sentinel أو خدمة معلومات الأمان العامة وإدارة الأحداث (SIEM) لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. باستخدام Microsoft Sentinel، يمكنك تحليل أحداث الأمان بشكل أكثر شمولا عبر مؤسستك وإنشاء أدلة مبادئ للاستجابة الفعالة والفورية.

رسم تخطيطي يوضح بنية Microsoft Defender ل Office 365 مع تكامل SIEM.

يتضمن Microsoft Sentinel موصل Defender ل Office 365. لمزيد من المعلومات، راجع توصيل التنبيهات من Microsoft Defender ل Office 365.

يمكن أيضا دمج Microsoft Defender ل Office 365 في حلول SIEM الأخرى باستخدام واجهة برمجة تطبيقات إدارة نشاط Office 365. للحصول على معلومات حول التكامل مع أنظمة SIEM العامة، راجع تكامل SIEM العام.

الخطوة التالية

قم بدمج المعلومات في دليل عمليات أمان Microsoft Defender ل Office 365 في عمليات SecOps.

الخطوة التالية للتوزيع الشامل ل Microsoft Defender XDR

تابع النشر الشامل ل Microsoft Defender XDR باستخدام الإصدار التجريبي وانشر Defender لنقطة النهاية.

رسم تخطيطي يوضح Microsoft Defender لنقطة النهاية في الإصدار التجريبي ونشر عملية Microsoft Defender XDR.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.