الحماية من البرامج الضارة في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في مؤسسات Microsoft 365 التي تحتوي على علب بريد في مؤسسات Exchange Online أو مستقلة Exchange Online Protection (EOP) دون Exchange Online علب بريد، تتم حماية رسائل البريد الإلكتروني تلقائيا من البرامج الضارة بواسطة EOP. بعض الفئات الرئيسية للبرامج الضارة هي:

• الفيروسات التي تصيب البرامج والبيانات الأخرى، وتنتشر عبر الكمبيوتر أو الشبكة التي تبحث عن برامج للإصابة.
• برامج التجسس التي تجمع معلوماتك الشخصية، مثل معلومات تسجيل الدخول والبيانات الشخصية، وترسلها مرة أخرى إلى مؤلفها.
• برامج الفدية الضارة التي تشفر بياناتك وتطالب بالدفع لفك تشفيرها. لا تساعدك برامج مكافحة البرامج الضارة على فك تشفير الملفات المشفرة، ولكن يمكنها اكتشاف حمولة البرامج الضارة المرتبطة ببرامج الفدية الضارة.

يوفر EOP حماية متعددة الطبقات من البرامج الضارة المصممة لالتقاط جميع البرامج الضارة المعروفة في Windows وLinux وMac التي تنتقل إلى مؤسستك أو خارجها. تساعد الخيارات التالية في توفير الحماية من البرامج الضارة:

• الدفاعات ذات الطبقات ضد البرامج الضارة: تساعد محركات فحص مكافحة البرامج الضارة المتعددة في الحماية من التهديدات المعروفة وغير المعروفة. وتشمل هذه المحركات الكشف عن استدلال قوي لتوفير الحماية حتى خلال المراحل المبكرة من تفشي البرامج الضارة. وقد تبين أن هذا النهج متعدد المحركات يوفر حماية أكثر بكثير من استخدام محرك واحد فقط لمكافحة البرامج الضارة.
• الاستجابة للمخاطر في الوقت الحقيقي: أثناء بعض الفاشيات، قد يكون لدى فريق مكافحة البرامج الضارة معلومات كافية حول فيروس أو أي شكل آخر من البرامج الضارة لكتابة قواعد نهج متطورة تكشف عن التهديد، حتى قبل أن يتوفر تعريف من أي من محركات الفحص التي تستخدمها الخدمة. يتم نشر هذه القواعد على الشبكة العالمية كل ساعتين لتزويد مؤسستك بطبقة إضافية من الحماية من الهجمات.
• نشر سريع لتعريف مكافحة البرامج الضارة: يحافظ فريق مكافحة البرامج الضارة على علاقات وثيقة مع الشركاء الذين يطورون محركات مكافحة البرامج الضارة. ونتيجة لذلك، يمكن للخدمة تلقي ودمج تعريفات البرامج الضارة والتصحيحات قبل إصدارها بشكل عام. غالبا ما يسمح لنا اتصالنا مع هؤلاء الشركاء بتطوير علاجاتنا الخاصة أيضا. تتحقق الخدمة من التعريفات المحدثة لجميع محركات مكافحة البرامج الضارة كل ساعة.

في EOP، يتم عزل^* الرسائل التي تم العثور عليها تحتوي على برامج ضارة في أي مرفقات. يتم التحكم في ما إذا كان بإمكان المستلمين عرض الرسائل المعزولة أو التفاعل معها بطريقة أخرى بواسطة نهج العزل. بشكل افتراضي، يمكن للمسؤولين عرض الرسائل التي تم عزلها بسبب البرامج الضارة وإصدارها فقط. لا يمكن للمستخدمين إصدار رسائل البرامج الضارة المعزولة الخاصة بهم، بغض النظر عن أي إعدادات متوفرة يقوم المسؤولون بتكوينها. لمزيد من المعلومات، راجع المقالات التالية:

^* يتم تخطي تصفية البرامج الضارة على علب بريد SecOps التي تم تحديدها في نهج التسليم المتقدم. لمزيد من المعلومات، راجع تكوين نهج التسليم المتقدم لمحاكاة التصيد الاحتيالي من جهة خارجية وتسليم البريد الإلكتروني إلى علب بريد SecOps.

• تشريح نهج العزل
• إدارة الرسائل والملفات المعزولة كمسؤول في EOP.

تحتوي نهج مكافحة البرامج الضارة أيضا على عامل تصفية مرفقات شائع. يتم تعريف الرسائل التي تحتوي على أنواع الملفات المحددة تلقائيا على أنها برامج ضارة. لمزيد من المعلومات، راجع قسم تصفية المرفقات الشائعة في نهج مكافحة البرامج الضارة لاحقا في هذه المقالة.

لمزيد من المعلومات حول الحماية من البرامج الضارة، راجع الأسئلة المتداولة حول الحماية من البرامج الضارة.

لتكوين نهج مكافحة البرامج الضارة الافتراضي، ولإنشاء نهج مكافحة البرامج الضارة المخصصة وتعديلها وإزالتها، راجع تكوين نهج مكافحة البرامج الضارة. في نهج الأمان القياسية والصارمة التي تم إعدادها مسبقا، تم تكوين إعدادات نهج مكافحة البرامج الضارة بالفعل ولا يمكن إصلاحها كما هو موضح في إعدادات نهج EOP لمكافحة البرامج الضارة.

تلميح

إذا كنت لا توافق على حكم البرامج الضارة، يمكنك الإبلاغ عن مرفق الرسالة إلى Microsoft كإيجابية خاطئة (مرفق جيد تم وضع علامة عليه على أنه سيئ) أو سلبي خاطئ (مرفق غير صحيح مسموح به). لمزيد من المعلومات، راجع كيف أعمل الإبلاغ عن بريد إلكتروني أو ملف مشبوه إلى Microsoft؟.

نهج مكافحة البرامج الضارة

تتحكم نهج مكافحة البرامج الضارة في الإعدادات القابلة للتكوين وخيارات الإعلامات لاكتشاف البرامج الضارة. يتم وصف الإعدادات المهمة في نهج مكافحة البرامج الضارة في الأقسام الفرعية التالية.

عوامل تصفية المستلمين في نهج مكافحة البرامج الضارة

تستخدم عوامل تصفية المستلمين الشروط والاستثناءات لتحديد المستلمين الداخليين الذين ينطبق عليه النهج. شرط واحد على الأقل مطلوب في النهج المخصصة. لا تتوفر الشروط والاستثناءات في النهج الافتراضي (ينطبق النهج الافتراضي على جميع المستلمين). يمكنك استخدام عوامل تصفية المستلم التالية للشروط والاستثناءات:

• المستخدمون: علبة بريد واحدة أو أكثر أو مستخدمو البريد أو جهات اتصال البريد في المؤسسة.
• المجموعات:
  • أعضاء مجموعات التوزيع المحددة أو مجموعات الأمان الممكنة للبريد (مجموعات التوزيع الديناميكية غير مدعومة).
  • مجموعات Microsoft 365 المحدد.
• المجالات: مجال واحد أو أكثر من المجالات المقبولة المكونة في Microsoft 365. عنوان البريد الإلكتروني الأساسي للمستلم موجود في المجال المحدد.

يمكنك استخدام شرط أو استثناء مرة واحدة فقط، ولكن يمكن أن يحتوي الشرط أو الاستثناء على قيم متعددة:

• تستخدم قيم متعددة لنفس الشرط أو الاستثناء منطق OR (على سبيل المثال، <المستلم1> أو <المستلم2>):

  • الشروط: إذا تطابق المستلم مع أي من القيم المحددة، يتم تطبيق النهج عليها.
  • الاستثناءات: إذا تطابق المستلم مع أي من القيم المحددة، فلن يتم تطبيق النهج عليها.

• تستخدم أنواع مختلفة من الاستثناءات منطق OR (على سبيل المثال، <المستلم1> أو <عضو المجموعة 1> أو <عضو المجال1>). إذا تطابق المستلم مع أي من قيم الاستثناء المحددة، فلن يتم تطبيق النهج عليها.

• تستخدم أنواع مختلفة من الشروط منطق AND. يجب أن يتطابق المستلم مع جميع الشروط المحددة لتطبيق النهج عليها. على سبيل المثال، يمكنك تكوين شرط بالقيم التالية:

  • المستخدمين: romain@contoso.com
  • المجموعات: المديرون التنفيذيون

  يتم تطبيق النهج على romain@contoso.comفقط إذا كان أيضا عضوا في مجموعة المديرين التنفيذيين. وبخلاف ذلك، لا يتم تطبيق السياسة عليه.

تصفية المرفقات الشائعة في نهج مكافحة البرامج الضارة

هناك أنواع معينة من الملفات التي لا يجب عليك إرسالها عبر البريد الإلكتروني (على سبيل المثال، الملفات القابلة للتنفيذ). لماذا يكلف نفسه عناء مسح هذه الأنواع من الملفات بحثا عن البرامج الضارة عندما يجب حظرها جميعا، على أي حال؟ هذا هو المكان الذي يأتي فيه عامل تصفية المرفقات الشائعة. يتم تعريف أنواع الملفات التي تحددها تلقائيا على أنها برامج ضارة.

يتم استخدام قائمة بأنواع الملفات الافتراضية في نهج مكافحة البرامج الضارة الافتراضية، وفي نهج مكافحة البرامج الضارة المخصصة التي تقوم بإنشائها، وفي نهج مكافحة البرامج الضارة في نهج الأمان القياسية والصارمة المحددة مسبقا.

في مدخل Microsoft Defender، يمكنك التحديد من قائمة أنواع الملفات الإضافية أو إضافة قيمك الخاصة عند إنشاء نهج مكافحة البرامج الضارة أو تعديلها في مدخل Microsoft Defender.

• أنواع الملفات الافتراضية: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• أنواع ملفات إضافية لتحديدها في مدخل Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

عند الكشف عن الملفات بواسطة عامل تصفية المرفقات الشائعة، يمكنك اختيار رفض الرسالة باستخدام تقرير عدم التسليم (NDR) أو عزل الرسالة.

مطابقة النوع الحقيقي في عامل تصفية المرفقات الشائعة

يستخدم عامل تصفية المرفقات الشائعة أفضل جهد مطابقة للنوع الحقيقي للكشف عن نوع الملف، بغض النظر عن ملحق اسم الملف. تستخدم مطابقة النوع الحقيقي خصائص الملف لتحديد نوع الملف الحقيقي (على سبيل المثال، وحدات البايت البادئة واللاحقة في الملف). على سبيل المثال، إذا exe تمت إعادة تسمية ملف بملحق txt اسم ملف، فإن عامل تصفية المرفقات الشائعة يكتشف الملف كملف exe .

تدعم مطابقة النوع الحقيقي في عامل تصفية المرفقات الشائعة أنواع الملفات التالية:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

إذا فشلت مطابقة النوع الحقيقي أو لم تكن مدعومة لنوع الملف، فسيتم استخدام مطابقة الملحق البسيطة.

الإزالة التلقائية للساعة الصفرية (ZAP) في نهج مكافحة البرامج الضارة

يقوم ZAP لرسائل عزل البرامج الضارة التي تم العثور عليها تحتوي على برامج ضارة بعد تسليمها إلى علب بريد Exchange Online. بشكل افتراضي، يتم تشغيل ZAP للبرامج الضارة، ونوصي بتركه قيد التشغيل. لمزيد من المعلومات، راجع الإزالة التلقائية للساعة الصفرية (ZAP) للبرامج الضارة.

نهج العزل في نهج مكافحة البرامج الضارة

تحدد نهج العزل ما يمكن للمستخدمين القيام به للرسائل المعزولة، وما إذا كان المستخدمون يتلقون إعلامات العزل. بشكل افتراضي، لا يتلقى المستلمون إعلامات للرسائل التي تم عزلها كبرمجيات ضارة، ولا يمكن للمستخدمين إصدار رسائل البرامج الضارة المعزولة الخاصة بهم، بغض النظر عن أي إعدادات متوفرة يقوم المسؤولون بتكوينها. لمزيد من المعلومات، راجع تشريح نهج العزل.

مسؤول الإعلامات في نهج مكافحة البرامج الضارة

يمكنك تحديد مستلم إضافي (مسؤول) لتلقي إعلامات البرامج الضارة التي تم اكتشافها في الرسائل من المرسلين الداخليين أو الخارجيين. يمكنك تخصيص من العنوانوالموضوع ونص الرسالة للإعلامات الداخلية والخارجية.

لا يتم تكوين هذه الإعدادات في نهج مكافحة البرامج الضارة الافتراضي بشكل افتراضي، أو في نهج الأمان القياسية أو الصارمة المحددة مسبقا.

تلميح

يتم إرسال إعلامات مسؤول فقط للمرفقات المصنفة على أنها برامج ضارة.

يحدد نهج العزل المعين لنهج مكافحة البرامج الضارة ما إذا كان المستلمون يتلقون إعلامات بالبريد الإلكتروني للرسائل التي تم عزلها كبرمجيات ضارة.

أولوية نهج مكافحة البرامج الضارة

إذا كانت قيد التشغيل، يتم تطبيق نهج الأمان القياسية والصارمة المحددة مسبقا قبل أي نهج مخصصة لمكافحة البرامج الضارة أو النهج الافتراضي (يكون Strict أولا دائما). إذا قمت بإنشاء نهج مخصصة متعددة لمكافحة البرامج الضارة، يمكنك تحديد الترتيب الذي يتم تطبيقها عليه. تتوقف معالجة النهج بعد تطبيق النهج الأول (النهج ذي الأولوية القصوى لهذا المستلم).

لمزيد من المعلومات حول ترتيب الأسبقية وكيفية تقييم النهج المتعددة، راجع ترتيب حماية البريد الإلكتروني وأسبقيتهوترتيب الأسبقية لنهج الأمان المحددة مسبقا والنهج الأخرى.

نهج مكافحة البرامج الضارة الافتراضي

لدى كل مؤسسة نهج مضمن لمكافحة البرامج الضارة يسمى Default له الخصائص التالية:

• النهج هو النهج الافتراضي (الخاصية IsDefault لها القيمة True)، ولا يمكنك حذف النهج الافتراضي.
• يتم تطبيق النهج تلقائيا على جميع المستلمين في المؤسسة، ولا يمكنك إيقاف تشغيله.
• يتم تطبيق النهج دائما أخيرا (قيمة الأولويةهي أدنى ولا يمكنك تغييرها).