الترحيل إلى Microsoft Defender لـ Office 365 - المرحلة 3: الإعداد


المرحلة 1: التحضير.
المرحلة 1: التحضير		 المرحلة 2: الإعداد.
المرحلة 2: إعداد		 المرحلة 3: الإلحاق.
المرحلة 3: التجهيز للاستخدام
أنت هنا!

مرحبا بك في المرحلة 3: إلحاقالترحيل إلى Microsoft Defender لـ Office 365! تتضمن مرحلة الترحيل هذه الخطوات التالية:

  1. بدء إعداد فرق الأمان
  2. (اختياري) إعفاء المستخدمين التجريبيين من التصفية حسب خدمة الحماية الحالية
  3. ضبط التحليل الذكي للانتحال
  4. ضبط حماية انتحال الهوية وذكاء علبة البريد
  5. استخدام البيانات من الرسائل التي أبلغ عنها المستخدم لقياسها وضبطها
  6. (اختياري) إضافة المزيد من المستخدمين إلى الإصدار التجريبي الخاص بك والتكرار
  7. توسيع حماية Microsoft 365 لجميع المستخدمين وإيقاف تشغيل قاعدة تدفق البريد SCL=-1
  8. تبديل سجلات MX

الخطوة 1: بدء إعداد فرق الأمان

إذا كان لدى مؤسستك فريق استجابة أمان، فقد حان الوقت الآن لبدء دمج Microsoft Defender لـ Office 365 في عمليات الاستجابة الخاصة بك، بما في ذلك أنظمة إصدار التذاكر. هذه العملية هي موضوع كامل في حد ذاته، ولكن يتم تجاهله في بعض الأحيان. يضمن إشراك فريق الاستجابة الأمنية في وقت مبكر أن مؤسستك مستعدة للتعامل مع التهديدات عند تبديل سجلات MX الخاصة بك. يجب أن تكون الاستجابة للحوادث مجهزة تجهيزا جيدا للتعامل مع المهام التالية:

إذا اشترت مؤسستك Microsoft Defender لـ Office 365 الخطة 2، فيجب أن تبدأ في التعرف على ميزات مثل مستكشف التهديدات والتتبع المتقدم والحوادث واستخدامها. للحصول على التدريبات ذات الصلة، راجع https://aka.ms/mdoninja.

إذا قام فريق استجابة الأمان بتجميع الرسائل غير المصفية وتحليلها، يمكنك تكوين علبة بريد SecOps لتلقي هذه الرسائل غير المصفية. للحصول على إرشادات، راجع تكوين علب بريد SecOps في نهج التسليم المتقدم.

SIEM/SOAR

لمزيد من المعلومات حول التكامل مع SIEM/SOAR، راجع المقالات التالية:

إذا لم يكن لدى مؤسستك فريق استجابة أمان أو تدفقات عمليات موجودة، يمكنك استخدام هذه المرة للتعرف على ميزات التتبع والاستجابة الأساسية في Defender لـ Office 365. لمزيد من المعلومات، راجع التحقيق في التهديدات والاستجابة لها.

أدوار التحكم في الوصول استنادا إلى الدور

تستند الأذونات في Defender لـ Office 365 إلى التحكم في الوصول استنادا إلى الدور (RBAC) ويتم شرحها في الأذونات في مدخل Microsoft Defender. فيما يلي النقاط الهامة التي يجب مراعاتها:

  • تمنح الأدوار Microsoft Entra أذونات لجميع أحمال العمل في Microsoft 365. على سبيل المثال، إذا أضفت مستخدما إلى مسؤول الأمان في مدخل Microsoft Azure، فلديه أذونات مسؤول الأمان في كل مكان.
  • تمنح أدوار التعاون & عبر البريد الإلكتروني في مدخل Microsoft Defender أذونات لمدخل Microsoft Defender مدخل التوافق في Microsoft Purview. على سبيل المثال، إذا أضفت مستخدما إلى مسؤول الأمان في مدخل Microsoft Defender، فلديه حق الوصول إلى مسؤول الأمان فقط في مدخل Microsoft Defender مدخل التوافق في Microsoft Purview.
  • تستند العديد من الميزات في مدخل Microsoft Defender إلى Exchange Online PowerShell cmdlets، وبالتالي تتطلب عضوية مجموعة الأدوار في الأدوار المقابلة (من الناحية الفنية، مجموعات الأدوار) في Exchange Online (على وجه الخصوص، للوصول إلى Exchange Online PowerShell المقابلة أوامر cmdlets).
  • هناك أدوار تعاون & للبريد الإلكتروني في مدخل Microsoft Defender لا تعادل أدوار Microsoft Entra، وهي مهمة لعمليات الأمان (على سبيل المثال دور المعاينة ودور البحث والمسح).

عادة ما تحتاج مجموعة فرعية فقط من موظفي الأمان إلى حقوق إضافية لتنزيل الرسائل مباشرة من علب بريد المستخدم. تتطلب هذه الحاجة إذنا إضافيا لا يملكه قارئ الأمان بشكل افتراضي.

الخطوة 2: (اختياري) إعفاء المستخدمين التجريبيين من التصفية حسب خدمة الحماية الحالية

على الرغم من أن هذه الخطوة غير مطلوبة، يجب أن تفكر في تكوين المستخدمين التجريبيين لتجاوز التصفية حسب خدمة الحماية الحالية. يسمح هذا الإجراء Defender لـ Office 365 بمعالجة جميع مهام التصفية والحماية للمستخدمين التجريبيين. إذا لم تقم بإعفاء المستخدمين التجريبيين من خدمة الحماية الحالية، Defender لـ Office 365 تعمل بشكل فعال فقط على الرسائل الفائتة من الخدمة الأخرى (تصفية الرسائل التي تمت تصفيتها بالفعل).

ملاحظة

هذه الخطوة مطلوبة بشكل صريح إذا كانت خدمة الحماية الحالية توفر التفاف الارتباط، ولكنك تريد تجربة وظيفة الروابط الآمنة. الالتفاف المزدوج للارتباطات غير مدعوم.

الخطوة 3: ضبط التحليل الذكي للانتحال

تحقق من رؤى التحليل الذكي لتزييف الهوية لمعرفة ما يتم السماح به أو حظره على أنه تزييف، ولتحديد ما إذا كنت بحاجة إلى تجاوز حكم النظام للانتحال. قد تحتوي بعض مصادر البريد الإلكتروني الهام للأعمال على سجلات مصادقة البريد الإلكتروني في DNS (SPF وDKIM وDMARC) وقد تستخدم تجاوزات في خدمة الحماية الحالية لإخفاء مشكلات المجال الخاصة بها.

يمكن للتحليل الذكي للانتحال إنقاذ البريد الإلكتروني من المجالات دون سجلات مصادقة البريد الإلكتروني المناسبة في DNS، ولكن الميزة تحتاج في بعض الأحيان إلى مساعدة في تمييز الانتحال الجيد عن التزييف السيئ. ركز على الأنواع التالية من مصادر الرسائل:

  • مصادر الرسائل خارج نطاقات عناوين IP المحددة في التصفية المحسنة للموصلات.
  • مصادر الرسائل التي تحتوي على أكبر عدد من الرسائل.
  • مصادر الرسائل التي لها أكبر تأثير على مؤسستك.

سيضبط التحليل الذكي للتزييف نفسه في النهاية بعد تكوين إعدادات المستخدم المبلغ عنها، لذلك ليست هناك حاجة للكمال.

الخطوة 4: ضبط حماية انتحال الهوية وذكاء علبة البريد

بعد أن يكون لديك الوقت الكافي لمراقبة نتائج حماية انتحال الهوية في عدم تطبيق أي وضع إجراء ، يمكنك تشغيل كل إجراء من إجراءات حماية انتحال الهوية بشكل فردي في نهج مكافحة التصيد الاحتيالي:

  • حماية انتحال هوية المستخدم: عزل الرسالة لكل من قياسي وصارم.
  • حماية انتحال المجال: عزل الرسالة لكل من قياسي وصارم.
  • الحماية الذكية لعلب البريد: نقل الرسالة إلى مجلدات البريد الإلكتروني غير الهام للمستلمين ل Standard؛ عزل الرسالة ل Strict.

كلما طالت مراقبة نتائج حماية انتحال الهوية دون العمل على الرسائل، كلما زاد عدد البيانات التي يجب عليك تحديدها تسمح أو كتل قد تكون مطلوبة. ضع في اعتبارك استخدام تأخير بين تشغيل كل حماية مهمة بما يكفي للسماح بالمراقبة والتعديل.

ملاحظة

ومن المهم المراقبة والضبط المتكرر والمستمر لهذه الحماية. إذا كنت تشك في إيجابية خاطئة، فتحقق من السبب واستخدم التجاوزات فقط حسب الضرورة وميزة الكشف التي تتطلب ذلك فقط.

ضبط معلومات علبة البريد

على الرغم من تكوين التحليل الذكي لعلمة البريد لاتخاذ أي إجراء بشأن الرسائل التي تم تحديدها على أنها محاولات انتحال، إلا أنه تم تشغيله وتعلم أنماط إرسال البريد الإلكتروني وتلقيه للمستخدمين التجريبيين. إذا كان مستخدم خارجي على اتصال بأحد المستخدمين التجريبيين، فلن يتم تعريف الرسائل الواردة من هذا المستخدم الخارجي على أنها محاولات انتحال بواسطة التحليل الذكي لعلمة البريد (وبالتالي تقليل الإيجابيات الخاطئة).

عندما تكون مستعدا، قم بالخطوات التالية للسماح للتحليل الذكي لعلبة البريد بالتصرف على الرسائل التي يتم اكتشافها كمحاولات انتحال:

  • في نهج مكافحة التصيد الاحتيالي باستخدام إعدادات الحماية القياسية، قم بتغيير قيمة إذا اكتشف التحليل الذكي لعلمة البريد مستخدما منتحل الهويةلنقل الرسالة إلى مجلدات البريد الإلكتروني غير الهام للمستلمين.

  • في نهج مكافحة التصيد الاحتيالي باستخدام إعدادات الحماية الصارمة، قم بتغيير قيمة إذا اكتشف التحليل الذكي لعلمة البريد وانتحال هوية المستخدم من إلى عزل الرسالة.

لتعديل النهج، راجع تكوين نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365.

بعد ملاحظة النتائج وإجراء أي تعديلات، انتقل إلى القسم التالي لعزل الرسائل التي تم اكتشافها بواسطة انتحال هوية المستخدم.

ضبط حماية انتحال هوية المستخدم

في كل من نهج مكافحة التصيد الاحتيالي استنادا إلى الإعدادات القياسية والصارمة، قم بتغيير قيمة إذا تم الكشف عن رسالة بانتحال هوية المستخدم إلى عزل الرسالة.

تحقق من نتيجة تحليلات انتحال الهوية لمعرفة ما يتم حظره كمحاولات انتحال هوية المستخدم.

لتعديل النهج، راجع تكوين نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365.

بعد ملاحظة النتائج وإجراء أي تعديلات، انتقل إلى القسم التالي لعزل الرسائل التي تم اكتشافها بواسطة انتحال هوية المجال.

ضبط حماية انتحال المجال

في كل من نهج مكافحة التصيد الاحتيالي استنادا إلى الإعدادات القياسية والصارمة، قم بتغيير قيمة إذا تم الكشف عن رسالة على أنها انتحال للمجال إلى عزل الرسالة.

تحقق من نتيجة تحليلات انتحال الهوية لمعرفة ما يتم حظره كمحاولات انتحال للمجال.

لتعديل النهج، راجع تكوين نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365.

مراقبة النتائج وإجراء أي تعديلات حسب الضرورة.

الخطوة 5: استخدام البيانات من الرسائل التي أبلغ عنها المستخدم لقياسها وضبطها

عندما يبلغ المستخدمون التجريبيون عن إيجابيات خاطئة وسلبيات خاطئة، تظهر الرسائل على علامة التبويب User reported في صفحة Submissions في مدخل Microsoft Defender. يمكنك الإبلاغ عن الرسائل التي تم تحديدها بشكل خاطئ إلى Microsoft للتحليل واستخدام المعلومات لضبط الإعدادات والاستثناءات في النهج التجريبية حسب الضرورة.

استخدم الميزات التالية لمراقبة إعدادات الحماية وتكرارها في Defender لـ Office 365:

إذا كانت مؤسستك تستخدم خدمة تابعة لجهة خارجية للرسائل التي أبلغ عنها المستخدم، يمكنك دمج هذه البيانات في حلقة الملاحظات.

الخطوة 6: (اختياري) إضافة المزيد من المستخدمين إلى الإصدار التجريبي الخاص بك والتكرار

أثناء العثور على المشكلات وإصلاحها، يمكنك إضافة المزيد من المستخدمين إلى المجموعات التجريبية (وإعفاء هؤلاء المستخدمين التجريبيين الجدد في المقابل من الفحص بواسطة خدمة الحماية الحالية حسب الاقتضاء). كلما زادت الاختبارات التي تقوم بها الآن، قل عدد مشكلات المستخدم التي تحتاج إلى التعامل معها لاحقا. يسمح نهج "الانحداري" هذا بالضبط مقابل أجزاء أكبر من المؤسسة ويعطي فرق الأمان الخاصة بك الوقت للتكيف مع الأدوات والعمليات الجديدة.

  • ينشئ Microsoft 365 تنبيهات عندما تسمح النهج التنظيمية برسائل التصيد الاحتيالي عالية الثقة. لتحديد هذه الرسائل، لديك الخيارات التالية:

    قم بالإبلاغ عن أي إيجابيات خاطئة إلى Microsoft في أقرب وقت ممكن من خلال عمليات إرسال المسؤول، واستخدم ميزة قائمة السماح/الحظر للمستأجر لتكوين التجاوزات الآمنة لتلك الإيجابيات الخاطئة.

  • من الجيد أيضا فحص التجاوزات غير الضرورية. بمعنى آخر، انظر إلى الأحكام التي كان Microsoft 365 سيقدمها على الرسائل. إذا كان Microsoft 365 قد صدر الحكم الصحيح، فستنخفض الحاجة إلى التجاوز إلى حد كبير أو يتم القضاء عليه.

الخطوة 7: توسيع حماية Microsoft 365 لجميع المستخدمين وإيقاف تشغيل قاعدة تدفق البريد SCL=-1

قم بالخطوات الواردة في هذا القسم عندما تكون جاهزا لتبديل سجلات MX للإشارة إلى Microsoft 365.

  1. توسيع النهج التجريبية إلى المؤسسة بأكملها. بشكل أساسي، هناك طرق مختلفة لتوسيع النهج:

    • استخدم نهج الأمان المحددة مسبقا واقسم المستخدمين بين ملف تعريف الحماية القياسية وملف تعريف الحماية الصارمة (تأكد من تغطية الجميع). يتم تطبيق نهج الأمان المعينة مسبقا قبل أي نهج مخصصة قمت بإنشائها أو أي نهج افتراضية. يمكنك إيقاف تشغيل النهج التجريبية الفردية دون حذفها.

      العيب في نهج الأمان المعينة مسبقا هو أنه لا يمكنك تغيير العديد من الإعدادات المهمة بعد إنشائها.

    • قم بتغيير نطاق النهج التي قمت بإنشائها وتعديلها أثناء الإصدار التجريبي لتضمين جميع المستخدمين (على سبيل المثال، جميع المستلمين في جميع المجالات). تذكر أنه إذا تم تطبيق نهج متعددة من نفس النوع (على سبيل المثال، نهج مكافحة التصيد الاحتيالي) على نفس المستخدم (بشكل فردي، حسب عضوية المجموعة، أو مجال البريد الإلكتروني)، يتم تطبيق إعدادات النهج ذات الأولوية القصوى (رقم الأولوية الأدنى) فقط، وتتوقف المعالجة لهذا النوع من النهج.

  2. قم بإيقاف تشغيل قاعدة تدفق البريد SCL=-1 (يمكنك إيقاف تشغيلها دون حذفها).

  3. تحقق من أن التغييرات السابقة قد أصبحت سارية المفعول، ومن تمكين Defender لـ Office 365 بشكل صحيح لجميع المستخدمين. في هذه المرحلة، يسمح الآن لجميع ميزات الحماية Defender لـ Office 365 بالعمل على البريد لجميع المستلمين، ولكن تم فحص هذا البريد بالفعل بواسطة خدمة الحماية الحالية.

يمكنك التوقف مؤقتا في هذه المرحلة لمزيد من تسجيل البيانات وضبطها على نطاق واسع.

الخطوة 8: تبديل سجلات MX

ملاحظة

  • عند تبديل سجل MX لمجالك، قد يستغرق نشر التغييرات في جميع أنحاء الإنترنت ما يصل إلى 48 ساعة.
  • نوصي بخفض قيمة TTL لسجلات DNS لتمكين استجابة أسرع والتراجع المحتمل (إذا لزم الأمر). يمكنك العودة إلى قيمة TTL الأصلية بعد اكتمال التبديل والتحقق منه.
  • يجب أن تفكر في البدء بتغيير المجالات التي يتم استخدامها بشكل أقل تكرارا. يمكنك الإيقاف المؤقت والمراقبة قبل الانتقال إلى مجالات أكبر. ومع ذلك، حتى إذا قمت بذلك، فلا يزال يتعين عليك التأكد من أن جميع المستخدمين والمجالات مشمولة بالنهج، لأنه يتم حل مجالات SMTP الثانوية إلى المجالات الأساسية قبل تطبيق النهج.
  • ستعمل سجلات MX المتعددة لمجال واحد تقنيا، مما يسمح لك بتقسيم التوجيه، شريطة أن تكون قد اتبعت جميع الإرشادات الواردة في هذه المقالة. على وجه التحديد، يجب التأكد من تطبيق النهج على جميع المستخدمين، ومن تطبيق قاعدة تدفق البريد SCL=-1 فقط على البريد الذي يمر عبر خدمة الحماية الحالية كما هو موضح في الخطوة 3 من الإعداد: الاحتفاظ بقاعدة تدفق البريد SCL=-1 أو إنشائها. ومع ذلك، يقدم هذا التكوين سلوكا يجعل استكشاف الأخطاء وإصلاحها أكثر صعوبة، وبالتالي لا نوصي به عادة، خاصة لفترات طويلة من الوقت.
  • قبل تبديل سجلات MX، تحقق من عدم تمكين الإعدادات التالية على الموصل الوارد من خدمة الحماية إلى Microsoft 365. عادة ما يكون للموصل إعداد واحد أو أكثر من الإعدادات التالية التي تم تكوينها:
    • وتطلب أن يتطابق اسم الموضوع على الشهادة التي يستخدمها الشريك للمصادقة مع Office 365 مع اسم المجال هذا (RestrictDomainsToCertificate)
    • رفض رسائل البريد الإلكتروني إذا لم يتم إرسالها من داخل نطاق عناوين IP هذا (RestrictDomainsToIPAddresses) إذا كان نوع الموصل هو Partner وتم تشغيل أي من هذه الإعدادات، فسيفشل تسليم جميع رسائل البريد إلى مجالاتك بعد تبديل سجلات MX. تحتاج إلى تعطيل هذه الإعدادات قبل المتابعة. إذا كان الموصل عبارة عن موصل محلي يستخدم للتكوين المختلط، فلن تحتاج إلى تعديل الموصل المحلي. ولكن، لا يزال بإمكانك التحقق من وجود موصل شريك .
  • إذا كانت بوابة البريد الحالية توفر أيضا التحقق من صحة المستلم، فقد تحتاج إلى التحقق من تكوين المجال على أنه موثوق به في Microsoft 365. يمكن أن يمنع هذا رسائل الارتداد غير الضرورية.

عندما تكون جاهزا، قم بتبديل سجل MX للمجالات الخاصة بك. يمكنك ترحيل جميع المجالات الخاصة بك في وقت واحد. أو يمكنك ترحيل المجالات الأقل استخداما أولا، ثم ترحيل الباقي لاحقا.

لا تتردد في الإيقاف المؤقت والتقييم هنا في أي وقت. ولكن، تذكر: بمجرد إيقاف تشغيل قاعدة تدفق البريد SCL=-1، قد يكون لدى المستخدمين تجربتان مختلفتان للتحقق من الإيجابيات الخاطئة. كلما أسرعت في توفير تجربة واحدة متسقة، كلما كان المستخدمون وفرق مكتب المساعدة أكثر سعادة عندما يتعين عليهم استكشاف أخطاء رسالة مفقودة وإصلاحها.

الخطوات التالية

تهانينا! لقد أكملت الترحيل إلى Microsoft Defender لـ Office 365! نظرا لأنك اتبعت الخطوات الواردة في دليل الترحيل هذا، يجب أن تكون الأيام القليلة الأولى التي يتم فيها تسليم البريد مباشرة إلى Microsoft 365 أكثر سلاسة.

الآن تبدأ العملية العادية وصيانة Defender لـ Office 365. مراقبة ومراقبة المشكلات المشابهة لما واجهته أثناء الإصدار التجريبي، ولكن على نطاق أوسع. تعد رؤى التحليل الذكي للتزييفونظرة انتحال الهوية مفيدة للغاية، ولكن ضع في اعتبارك جعل الأنشطة التالية تكرارا منتظما: