رؤى التحليل الذكي للانتحال في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في مؤسسات Microsoft 365 التي تحتوي على علب بريد في مؤسسات Exchange Online أو مستقلة Exchange Online Protection (EOP) بدون علب بريد Exchange Online، تتم حماية رسائل البريد الإلكتروني الواردة تلقائيا من الانتحال. يستخدم EOP التحليل الذكي للتزييف كجزء من الدفاع العام لمؤسستك ضد التصيد الاحتيالي. لمزيد من المعلومات، راجع الحماية من الانتحال في EOP.

عندما ينتحل المرسل عنوان بريد إلكتروني، يبدو أنه مستخدم في أحد مجالات مؤسستك، أو مستخدم في مجال خارجي يرسل بريدا إلكترونيا إلى مؤسستك. يجب حظر المهاجمين الذين ينتحلون هوية المرسلين لإرسال البريد الإلكتروني العشوائي أو التصيد الاحتيالي. ولكن هناك سيناريوهات حيث يقوم المرسلون الشرعيون بالانتحال. على سبيل المثال:

• السيناريوهات المشروعة لتزييف المجالات الداخلية:

  • يستخدم مرسلو الجهات الخارجية مجالك لإرسال بريد مجمع إلى موظفيك لاستطلاعات رأي الشركة.
  • تقوم شركة خارجية بإنشاء الإعلانات أو تحديثات المنتجات وإرسالها نيابة عنك.
  • يحتاج المساعد بانتظام إلى إرسال بريد إلكتروني لشخص آخر داخل مؤسستك.
  • يرسل تطبيق داخلي إعلامات بالبريد الإلكتروني.

• السيناريوهات المشروعة لتزييف المجالات الخارجية:

  • المرسل موجود في قائمة بريدية (تعرف أيضا بقائمة مناقشة)، وترحل القائمة البريدية البريد الإلكتروني من المرسل الأصلي إلى جميع المشاركين في القائمة البريدية.
  • ترسل شركة خارجية بريدا إلكترونيا نيابة عن شركة أخرى (على سبيل المثال، تقرير تلقائي أو شركة برامج كخدمة).

يمكنك استخدام رؤى التحليل الذكي للتزييف في مدخل Microsoft Defender لتحديد المرسلين المخادعين الذين يرسلون إليك بريدا إلكترونيا غير مصادق عليه بشكل شرعي (رسائل من المجالات التي لا تمرر عمليات التحقق من SPF أو DKIM أو DMARC)، والسماح لهؤلاء المرسلين يدويا.

من خلال السماح للمرسلين المعروفين بإرسال رسائل منتحلة من مواقع معروفة، يمكنك تقليل الإيجابيات الخاطئة (البريد الإلكتروني الجيد الذي تم وضع علامة عليه على أنه سيء). من خلال مراقبة المرسلين الذين تم تزييف هوياتهم المسموح بهم، فإنك توفر طبقة إضافية من الأمان لمنع وصول الرسائل غير الآمنة إلى مؤسستك.

وبالمثل، يمكنك استخدام رؤى التحليل الذكي للتزييف لمراجعة المرسلين الذين تم تزييف هوياتهم الذين سمح لهم التحليل الذكي للتزييف وحظر هؤلاء المرسلين يدويا.

تشرح بقية هذه المقالة كيفية استخدام رؤى التحليل الذكي للتزييف في مدخل Microsoft Defender وفي PowerShell (Exchange Online PowerShell للمؤسسات Microsoft 365 مع علب البريد في Exchange Online؛ EOP PowerShell المستقل للمؤسسات دون Exchange Online علب البريد).

ملاحظة

• يظهر فقط المرسلون الذين تم تزييف هوياتهم الذين تم اكتشافهم بواسطة التحليل الذكي للانتحال في رؤى التحليل الذكي المخادع. عند تجاوز حكم السماح أو الحظر في نتيجة التحليلات، يصبح المرسل المخادع إدخالا يدويا للسماح أو الحظر يظهر فقط في علامة تبويب المرسلين المخادعين في صفحة السماح/الحظر للمستأجر القوائم في https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. يمكنك أيضا إنشاء إدخالات السماح أو الحظر يدويا للمرسلين الذين تم تزييف هوياتهم قبل اكتشافها بواسطة التحليل الذكي للتزييف. لمزيد من المعلومات، راجع المرسلين المخادعين في قائمة السماح/الحظر للمستأجر.

• تشير قيم الإجراءAllow أو Block في رؤى التحليل الذكي للتزييف إلى الكشف عن الانتحال (ما إذا كان Microsoft 365 قد حدد الرسالة على أنها منتحلة أم لا). لا تؤثر قيمة الإجراء بالضرورة على التصفية الإجمالية للرسالة. على سبيل المثال، لتجنب الإيجابيات الخاطئة، قد يتم تسليم رسالة منتحلة إذا وجدنا أنه ليس لديها هدف ضار.

• تحل نتيجة التحليل الذكي للانتحال وعلامة تبويب المرسلين المخادعين في قائمة السماح/الحظر للمستأجر محل وظيفة نهج التحليل الذكي للانتحال الذي كان متوفرا في صفحة نهج مكافحة البريد العشوائي في مركز التوافق & الأمان.

• تظهر نتيجة تحليلات التحليل الذكي للانتحال بيانات بقيمة 7 أيام. يعرض الأمر Cmdlet Get-SpoofIntelligenceInsight بيانات بقيمة 30 يوما.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

• يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى علامة تبويب المرسلين المخادعين في صفحة السماح/الحظر للمستأجر القوائم، استخدم https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. للانتقال مباشرة إلى صفحة Spoof intelligence insight ، استخدم https://security.microsoft.com/spoofintelligence.

• للاتصال Exchange Online PowerShell، راجع الاتصال Exchange Online PowerShell. للاتصال ب EOP PowerShell المستقل، راجع الاتصال Exchange Online Protection PowerShell.

• يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:

  • Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).
  • أذونات Exchange Online:
    • السماح بالمرسلين المخادعين أو حظرهم أو تشغيل التحليل الذكي للانتحال أو إيقاف تشغيله: العضوية في إحدى مجموعات الأدوار التالية:
      • إدارة المؤسسة
      • مسؤول الأمانوتكوينالعرض فقط أو إدارة المؤسسة للعرض فقط.
    • الوصول للقراءة فقط إلى رؤى التحليل الذكي للتزييف: العضوية في مجموعات دور القارئ العمومي أو قارئ الأمان أو إدارة المؤسسة للعرض فقط .
  • أذونات Microsoft Entra: تمنح العضوية في أدوار المسؤول العام أو مسؤول الأمان أو القارئ العام أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

• للحصول على الإعدادات الموصى بها لنهج مكافحة التصيد الاحتيالي، راجع إعدادات نهج EOP لمكافحة التصيد الاحتيالي.

• يمكنك تمكين وتعطيل التحليل الذكي للتزييف في نهج مكافحة التصيد الاحتيالي في EOP Microsoft Defender لـ Office 365. يتم تمكين التحليل الذكي للانتحال بشكل افتراضي. لمزيد من المعلومات، راجع تكوين نهج مكافحة التصيد الاحتيالي في EOP أو تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

• للحصول على الإعدادات الموصى بها للتحليل الذكي للتزييف، راجع إعدادات نهج EOP لمكافحة التصيد الاحتيالي.

البحث عن رؤى التحليل الذكي للانتحال في مدخل Microsoft Defender

1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & نهج التعاون>& نهجتهديد> قواعد >المستأجر السماح/حظر القوائم في قسم القواعد. أو، للانتقال مباشرة إلى صفحة السماح/الحظر للمستأجر القوائم، استخدم https://security.microsoft.com/tenantAllowBlockList.

2. حدد علامة التبويب المرسلون المخادعون .

3. في علامة تبويب المرسلين المخادعين ، تبدو نتيجة تحليلات التحليل الذكي للانتحال كما يلي:

   

   تحتوي نتيجة التحليلات على وضعين:

   • وضع Insight: إذا تم تمكين التحليل الذكي للانتحال، فإن نتيجة التحليلات توضح لك عدد الرسائل التي تم اكتشافها بواسطة التحليل الذكي للانتحال خلال الأيام السبعة الماضية.
   • ماذا لو كان الوضع: إذا تم تعطيل التحليل الذكي للانتحال، فإن نتيجة التحليلات توضح لك عدد الرسائل التي كان سيتم اكتشافها بواسطة التحليل الذكي للانتحال خلال الأيام السبعة الماضية.

لعرض معلومات حول اكتشافات التحليل الذكي للتزييف، حدد عرض نشاط تزييف الهوية في رؤى التحليل الذكي للتزييف للانتقال إلى صفحة رؤى التحليل الذكي للتزييف .

عرض معلومات حول عمليات الكشف عن الانتحال

ملاحظة

تذكر أن المرسلين الذين تم تزييف هوياتهم فقط الذين تم اكتشافهم بواسطة التحليل الذكي للانتحال يظهرون في هذه الصفحة.

تتوفر صفحة تحليلات التحليل الذكي للانتحال في https://security.microsoft.com/spoofintelligence عند تحديد عرض نشاط تزييف الهوية من نتيجة تحليل التحليل الذكي للانتحال في علامة التبويب المرسلون الذين تم تزييف هوياتهم في صفحة السماح/الحظر للمستأجر القوائم.

في صفحة Spoof intelligence insight ، يمكنك فرز الإدخالات بالنقر فوق رأس عمود متوفر. تتوفر الأعمدة التالية:

• المستخدم المخادع: مجال المستخدم المخادع المعروض في المربع من في عملاء البريد الإلكتروني. يعرف عنوان From أيضا بالعنوان 5322.From .
• إرسال البنية الأساسية: تعرف أيضا باسم البنية الأساسية. البنية الأساسية المرسلة هي إحدى القيم التالية:
  • المجال الموجود في بحث DNS عكسي (سجل PTR) لعنوان IP لخادم البريد الإلكتروني المصدر.
  • إذا لم يكن عنوان IP المصدر يحتوي على سجل PTR، فسيتم تعريف البنية الأساسية المرسلة على أنها <IP>/24 المصدر (على سبيل المثال، 192.168.100.100/24).
  • مجال DKIM تم التحقق منه.
• عدد الرسائل: عدد الرسائل من مجموعة المجال المخادع والبنية الأساسية المرسلة إلى مؤسستك خلال الأيام السبعة الماضية.
• آخر ظهور: آخر تاريخ تم فيه تلقي رسالة من البنية الأساسية المرسلة التي تحتوي على المجال المخادع.
• نوع الانتحال: إحدى القيم التالية:
  • داخلي: المرسل المخادع موجود في مجال ينتمي إلى مؤسستك ( مجال مقبول).
  • خارجي: المرسل المخادع موجود في مجال خارجي.
• الإجراء: هذه القيمة مسموح بها أو محظورة:
  • مسموح به: فشل المجال في التحقق من مصادقة البريد الإلكتروني الصريحة ل SPFوDKIMوDMARC. ومع ذلك، مرر المجال عمليات التحقق الضمنية من مصادقة البريد الإلكتروني (المصادقة المركبة). ونتيجة لذلك، لم يتم اتخاذ أي إجراء لمكافحة تزييف هوية الرسالة.
  • محظور: يتم تمييز الرسائل من مجموعة المجال المخادع والبنية الأساسية المرسلة على أنها سيئة بواسطة التحليل الذكي للانتحال. يتم التحكم في الإجراء الذي يتم اتخاذه على الرسائل المخادعة ذات الهدف الضار بواسطة نهج الأمان القياسية أو الصارمة المحددة مسبقا أو نهج مكافحة التصيد الاحتيالي الافتراضي أو نهج مكافحة التصيد الاحتيالي المخصصة. لمزيد من المعلومات، راجع تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

لتغيير قائمة المرسلين الذين تم تزييف هوياتهم من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

لتصفية الإدخالات، حدد تصفية. تتوفر عوامل التصفية التالية في القائمة المنبثقة عامل التصفية التي تفتح:

• نوع الانتحال: القيم المتوفرة داخليةوخارجية.
• الإجراء: القيم المتوفرة هي السماحوالكتلة

عند الانتهاء من القائمة المنبثقة تصفية ، حدد تطبيق. لمسح عوامل التصفية، حدد مسح عوامل التصفية.

استخدم مربع البحث والقيمة المقابلة للعثور على إدخالات معينة.

استخدم Export لتصدير قائمة عمليات الكشف عن الانتحال إلى ملف CSV.

عرض تفاصيل حول عمليات الكشف عن الانتحال

عند تحديد اكتشاف انتحال من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار العمود الأول، يتم فتح قائمة منبثقة للتفاصيل تحتوي على المعلومات التالية:

• لماذا قبضنا على هذا؟ القسم: لماذا اكتشفنا هذا المرسل على أنه تزييف، وما يمكنك القيام به لمزيد من المعلومات.

• قسم ملخص المجال: يتضمن نفس المعلومات من صفحة رؤى التحليل الذكي ل Spoof الرئيسية.

• قسم بيانات WhoIs: معلومات تقنية حول مجال المرسل.

• قسم التحقيق في المستكشف: في Defender لـ Office 365 المؤسسة، يحتوي هذا القسم على ارتباط لفتح مستكشف التهديدات للاطلاع على تفاصيل إضافية حول المرسل في علامة التبويب التصيد الاحتيالي.

• قسم رسائل البريد الإلكتروني المماثلة: يحتوي على المعلومات التالية حول الكشف عن الانتحال:

  • تاريخ
  • الموضوع
  • المستلم
  • المرسل
  • عنوان IP للمرسل

  حدد تخصيص الأعمدة لإزالة الأعمدة المعروضة. عند الانتهاء، حدد تطبيق.

تلميح

للاطلاع على تفاصيل حول الإدخالات الأخرى دون ترك القائمة المنبثقة للتفاصيل، استخدم العنصر السابق والعنصرالتالي في أعلى القائمة المنبثقة.

لتغيير الكشف عن تزييف هوية من السماحبحظر أو العكس، راجع القسم التالي.

تجاوز حكم المعلومات الاستخبارية المنتحلة

في صفحة Spoof intelligence insight في https://security.microsoft.com/spoofintelligence، استخدم أيا من الطرق التالية لتجاوز حكم التحليل الذكي للتزييف:

• حدد إدخالا واحدا أو أكثر من القائمة عن طريق تحديد خانة الاختيار بجوار العمود الأول.

  1. حدد إجراء الإجراءات المجمعة الذي يظهر.
  2. في القائمة المنبثقة للإجراءات المجمعة التي تفتح، حدد السماح بالتزييف أو الحظر من الانتحال، ثم حدد تطبيق.

• حدد الإدخال من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار.

  في القائمة المنبثقة للتفاصيل التي تفتح، حدد السماح بالتزييف أو الحظر من الانتحال في أعلى القائمة المنبثقة، ثم حدد تطبيق.

مرة أخرى في صفحة Spoof intelligence insight، تتم إزالة الإدخال من القائمة، ويتم إضافته إلى علامة التبويب Spoofed senders في صفحة Tenant Allow/Block القوائم في https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

حول المرسلين الذين تم تزييف هوياتهم المسموح لهم

يسمح بالرسائل الواردة من مرسل مخادع مسموح به (تم اكتشافه تلقائيا أو تكوينه يدويا) فقط باستخدام مجموعة من المجال المخادع والبنية الأساسية المرسلة. على سبيل المثال، يسمح للمرسل المخادع التالي بالتزييف:

• المجال: gmail.com
• البنية الأساسية: tms.mx.com

يسمح فقط للبريد الإلكتروني من هذا المجال/إرسال زوج البنية الأساسية بالتزييف. لا يسمح تلقائيا للمرسلين الآخرين الذين يحاولون انتحال gmail.com. لا تزال الرسائل الواردة من المرسلين في مجالات أخرى تنشأ من tms.mx.com محددة بواسطة التحليل الذكي للانتحال، وقد يتم حظرها.

استخدم رؤى التحليل الذكي للانتحال في Exchange Online PowerShell أو EOP PowerShell المستقل

في PowerShell، يمكنك استخدام الأمر Cmdlet Get-SpoofIntelligenceInsightلعرض المرسلين المسموح لهم والممنوعين الذين تم اكتشافهم بواسطة التحليل الذكي للتزييف. للسماح بالمرسلين الذين تم تزييف هوياتهم أو حظرهم يدويا، تحتاج إلى استخدام الأمر Cmdlet New-TenantAllowBlockListSpoofItems . لمزيد من المعلومات، راجع استخدام PowerShell لإنشاء إدخالات السماح للمرسلين المخادعين في قائمة السماح/الحظر للمستأجرواستخدام PowerShell لإنشاء إدخالات حظر للمرسلين الذين تم تزييف هوياتهم في قائمة السماح/الحظر للمستأجر.

لعرض المعلومات في تحليل التحليل الذكي للتزييف، قم بتشغيل الأمر التالي:

Get-SpoofIntelligenceInsight

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Get-SpoofIntelligenceInsight.

طرق أخرى لإدارة تزييف الهوية والتصيد الاحتيالي

كن جادا في تزييف الهوية والحماية من التصيد الاحتيالي. فيما يلي طرق ذات صلة للتحقق من المرسلين الذين يقومون بانتحال مجالك والمساعدة في منعهم من إلحاق الضرر بمؤسستك:

• تحقق من تقرير بريد الانتحال. استخدم هذا التقرير في كثير من الأحيان لعرض المرسلين الذين تم تزييف هوياتهم والمساعدة في إدارتهم. للحصول على معلومات، راجع تقرير اكتشافات الانتحال.

• راجع تكوين SPF وDKIM وDMARC. لمزيد من المعلومات، راجع المقالات التالية:

  • مصادقة البريد الإلكتروني في Microsoft 365
  • إعداد SPF للمساعدة في منع تزييف الهوية
  • استخدام DKIM للتحقق من صحة البريد الإلكتروني الصادر المرسل من مجالك المخصص
  • استخدام DMARC للتحقق من صحة البريد الإلكتروني
  • تكوين مخاتم ARC الموثوق بها