الترحيل إلى Microsoft Defender لـ Office 365 - المرحلة 2: الإعداد


المرحلة 1: التحضير.
المرحلة 1: التحضير		 المرحلة 2: الإعداد.
المرحلة 2: إعداد		 المرحلة 3: الإلحاق.
المرحلة 3: التجهيز للاستخدام
أنت هنا!

مرحبا بك في المرحلة 2: إعدادالترحيل إلى Microsoft Defender لـ Office 365! تتضمن مرحلة الترحيل هذه الخطوات التالية:

  1. إنشاء مجموعات توزيع للمستخدمين التجريبيين
  2. تكوين إعدادات الرسائل التي أبلغ عنها المستخدم
  3. الاحتفاظ بقاعدة تدفق البريد SCL=-1 أو إنشائها
  4. تكوين التصفية المحسنة للموصلات
  5. إنشاء نهج حماية تجريبية

الخطوة 1: إنشاء مجموعات توزيع للمستخدمين التجريبيين

مجموعات التوزيع مطلوبة في Microsoft 365 للجوانب التالية من الترحيل:

  • استثناءات لقاعدة تدفق البريد SCL=-1: تريد أن يحصل المستخدمون التجريبيون على التأثير الكامل للحماية Defender لـ Office 365، لذلك تحتاج Defender لـ Office 365 لفحص رسائلهم الواردة. يمكنك الحصول على هذه النتيجة عن طريق تعريف المستخدمين التجريبيين في مجموعات التوزيع المناسبة في Microsoft 365، وتكوين هذه المجموعات كاستثناءات لقاعدة تدفق البريد SCL=-1.

    كما وصفنا في الخطوة 2 على متن الطائرة: (اختياري) إعفاء المستخدمين التجريبيين من التصفية حسب خدمة الحماية الحالية، يجب أن تفكر في إعفاء هؤلاء المستخدمين التجريبيين من الفحص بواسطة خدمة الحماية الحالية. القضاء على إمكانية التصفية بواسطة خدمة الحماية الحالية والاعتماد حصريا على Defender لـ Office 365 هو أفضل وأقرب تمثيل لما سيحدث بعد اكتمال الترحيل.

  • اختبار ميزات حماية Defender لـ Office 365 محددة: حتى بالنسبة للمستخدمين التجريبيين، لا تريد تشغيل كل شيء في وقت واحد. يؤدي استخدام نهج مرحلي لميزات الحماية السارية للمستخدمين التجريبيين إلى تسهيل استكشاف الأخطاء وإصلاحها والضبط. مع مراعاة هذا النهج، نوصي بمجموعات التوزيع التالية:

    • مجموعة تجريبية للمرفقات الآمنة: على سبيل المثال، MDOPilot_SafeAttachments
    • مجموعة تجريبية للارتباطات الآمنة: على سبيل المثال، MDOPilot_SafeLinks
    • مجموعة تجريبية لإعدادات نهج مكافحة البريد العشوائي ومكافحة التصيد الاحتيالي القياسية: على سبيل المثال، MDOPilot_SpamPhish_Standard
    • مجموعة تجريبية لإعدادات نهج مكافحة البريد العشوائي ومكافحة التصيد الاحتيالي الصارمة: على سبيل المثال، MDOPilot_SpamPhish_Strict

للوضوح، نستخدم أسماء المجموعات المحددة هذه في جميع أنحاء هذه المقالة، ولكن يمكنك استخدام اصطلاح التسمية الخاص بك.

عندما تكون جاهزا لبدء الاختبار، أضف هذه المجموعات كاستثناءات لقاعدة تدفق البريد SCL=-1. أثناء إنشاء نهج لميزات الحماية المختلفة في Defender لـ Office 365، استخدم هذه المجموعات كشروط تحدد من ينطبق عليه النهج.

ملاحظات:

  • تأتي مصطلحات Standard و Strict من إعدادات الأمان الموصى بها، والتي تستخدم أيضا في نهج الأمان المحددة مسبقا. من الناحية المثالية، سنخبرك بتحديد المستخدمين التجريبيين في نهج الأمان القياسية والصارمة المحددة مسبقا، ولكن لا يمكننا القيام بذلك. لم؟ لأنه لا يمكنك تخصيص الإعدادات في نهج الأمان المحددة مسبقا (على وجه الخصوص، الإجراءات التي يتم اتخاذها على الرسائل). أثناء اختبار الترحيل، تريد معرفة ما قد تفعله Defender لـ Office 365 بالرسائل، والتحقق من أن هذه هي النتيجة التي تريدها، وربما ضبط تكوينات النهج للسماح بهذه النتائج أو منعها.

    لذلك، بدلا من استخدام نهج الأمان المحددة مسبقا، ستقوم بإنشاء نهج مخصصة يدويا بإعدادات مشابهة لإعدادات الأمان القياسية والصارمة التي تشبه، ولكن في بعض الحالات تختلف عن إعدادات نهج الأمان القياسية والصارمة المحددة مسبقا.

  • إذا كنت ترغب في تجربة الإعدادات التي تختلف بشكل كبير عن قيمنا القياسية أو الصارمة الموصى بها، يجب أن تفكر في إنشاء مجموعات توزيع إضافية ومحددة واستخدامها للمستخدمين التجريبيين في هذه السيناريوهات. يمكنك استخدام محلل التكوين لمعرفة مدى أمان إعداداتك. للحصول على الإرشادات، راجع محلل التكوين لنهج الحماية في EOP Microsoft Defender لـ Office 365.

    بالنسبة لمعظم المؤسسات، فإن أفضل نهج هو البدء بالنهج التي تتوافق بشكل وثيق مع إعداداتنا القياسية الموصى بها. بعد قدر الملاحظات والملاحظات التي يمكنك القيام بها في الإطار الزمني المتاح، يمكنك الانتقال إلى إعدادات أكثر عدوانية لاحقا. قد تتطلب حماية انتحال الهوية والتسليم إلى مجلد البريد الإلكتروني غير الهام مقابل التسليم إلى العزل تخصيصا.

    إذا كنت تستخدم نهج مخصصة، فتأكد فقط من تطبيقها قبل النهج التي تحتوي على الإعدادات الموصى بها للترحيل. إذا تم تحديد مستخدم في نهج متعددة من نفس النوع (على سبيل المثال، مكافحة التصيد الاحتيالي)، يتم تطبيق نهج واحد فقط من هذا النوع على المستخدم (استنادا إلى قيمة الأولوية للنهج). لمزيد من المعلومات، راجع ترتيب حماية البريد الإلكتروني وأسبقيته.

الخطوة 2: تكوين إعدادات الرسائل التي أبلغ عنها المستخدم

تعد قدرة المستخدمين على الإبلاغ عن الإيجابيات الخاطئة أو السلبيات الكاذبة من Defender لـ Office 365 جزءا مهما من الترحيل.

يمكنك تحديد علبة بريد Exchange Online لتلقي الرسائل التي يبلغ المستخدمون عن أنها ضارة أو غير ضارة. للحصول على الإرشادات، راجع إعدادات المستخدم المبلغ عنها. يمكن أن تتلقى علبة البريد هذه نسخا من الرسائل التي أرسلها المستخدمون إلى Microsoft، أو يمكن لعلمة البريد اعتراض الرسائل دون الإبلاغ عنها إلى Microsoft (يمكن لفريق الأمان تحليل الرسائل وإرسالها بأنفسهم يدويا). ومع ذلك، لا يسمح نهج الاعتراض للخدمة بالضبط والتعلم تلقائيا.

يجب عليك أيضا تأكيد أن جميع المستخدمين في الإصدار التجريبي لديهم طريقة مدعومة للإبلاغ عن الرسائل التي تلقت حكما غير صحيح من Defender لـ Office 365. تتضمن هذه الخيارات ما يلي:

لا تقلل من أهمية هذه الخطوة. ستمنحك البيانات الواردة من الرسائل التي أبلغ عنها المستخدم حلقة الملاحظات التي تحتاجها للتحقق من تجربة جيدة ومتسقة للمستخدم النهائي قبل الترحيل وبعده. تساعدك هذه الملاحظات على اتخاذ قرارات تكوين نهج مستنيرة، وتوفير تقارير مدعومة بالبيانات للإدارة تفيد بأن الترحيل سار بسلاسة.

بدلا من الاعتماد على البيانات التي تستند إلى تجربة المؤسسة بأكملها، أدى أكثر من ترحيل واحد إلى تكهنات عاطفية استنادا إلى تجربة مستخدم سلبية واحدة. علاوة على ذلك، إذا كنت تقوم بتشغيل عمليات محاكاة التصيد الاحتيالي، يمكنك استخدام الملاحظات من المستخدمين لإعلامك عندما يرون شيئا محفوفا بالمخاطر قد يتطلب التحقيق.

الخطوة 3: الاحتفاظ بقاعدة تدفق البريد SCL=-1 أو إنشائها

نظرا لأن بريدك الإلكتروني الوارد يتم توجيهه من خلال خدمة حماية أخرى تقع أمام Microsoft 365، فمن المحتمل أن يكون لديك بالفعل قاعدة تدفق البريد (المعروفة أيضا باسم قاعدة النقل) في Exchange Online التي تعين مستوى ثقة البريد العشوائي (SCL) لجميع البريد الوارد إلى القيمة -1 (تجاوز تصفية البريد العشوائي). تشجع معظم خدمات الحماية التابعة لجهة خارجية قاعدة تدفق البريد SCL=-1 لعملاء Microsoft 365 الذين يرغبون في استخدام خدماتهم.

إذا كنت تستخدم بعض الآليات الأخرى لتجاوز مكدس تصفية Microsoft (على سبيل المثال، قائمة السماح ب IP) نوصي بالتبديل إلى استخدام قاعدة تدفق البريد SCL=-1 طالما أن كل بريد الإنترنت الوارد إلى Microsoft 365 يأتي من خدمة الحماية التابعة لجهة خارجية (لا يتدفق أي بريد مباشرة من الإنترنت إلى Microsoft 365).

تعد قاعدة تدفق البريد SCL=-1 مهمة أثناء الترحيل للأسباب التالية:

  • يمكنك استخدام مستكشف التهديدات (المستكشف) لمعرفة الميزات الموجودة في مكدس Microsoft التي كانت ستتصرف على الرسائل دون التأثير على النتائج من خدمة الحماية الحالية.

  • يمكنك تدريجيا ضبط الأشخاص المحميين بواسطة مكدس تصفية Microsoft 365 عن طريق تكوين استثناءات لقاعدة تدفق البريد SCL=-1. الاستثناءات هي أعضاء مجموعات التوزيع التجريبية التي نوصي بها لاحقا في هذه المقالة.

    قبل أو أثناء قطع سجل MX إلى Microsoft 365، يمكنك تعطيل هذه القاعدة لتشغيل الحماية الكاملة لمكدس حماية Microsoft 365 لجميع المستلمين في مؤسستك.

لمزيد من المعلومات، راجع استخدام قواعد تدفق البريد لتعيين مستوى ثقة البريد العشوائي (SCL) في الرسائل في Exchange Online.

ملاحظات:

  • إذا كنت تخطط للسماح لبريد الإنترنت بالتدفق عبر خدمة الحماية الحالية مباشرة إلى Microsoft 365 في الوقت نفسه، فأنت بحاجة إلى تقييد قاعدة تدفق البريد SCL=-1 (البريد الذي يتجاوز تصفية البريد العشوائي) إلى البريد الذي تم إرساله عبر خدمة الحماية الحالية فقط. لا تريد أن يهبط بريد الإنترنت غير المصلف في علب بريد المستخدم في Microsoft 365.

    لتعريف البريد الذي تم مسحه ضوئيا بالفعل بواسطة خدمة الحماية الحالية بشكل صحيح، يمكنك إضافة شرط إلى قاعدة تدفق البريد SCL=-1. على سبيل المثال:

    • لخدمات الحماية المستندة إلى السحابة: يمكنك استخدام قيمة رأس ورأس فريدة لمؤسستك. لا يتم مسح الرسائل التي تحتوي على العنوان ضوئيا بواسطة Microsoft 365. يتم مسح الرسائل التي لا تحتوي على رأس ضوئيا بواسطة Microsoft 365
    • لخدمات الحماية المحلية أو الأجهزة: يمكنك استخدام عناوين IP المصدر. لا يتم مسح الرسائل من عناوين IP المصدر ضوئيا بواسطة Microsoft 365. يتم مسح الرسائل التي ليست من عناوين IP المصدر ضوئيا بواسطة Microsoft 365.

  • لا تعتمد حصريا على سجلات MX للتحكم في ما إذا كان يتم تصفية البريد أم لا. يمكن للمرسلين تجاهل سجل MX بسهولة وإرسال بريد إلكتروني مباشرة إلى Microsoft 365.

الخطوة 4: تكوين تصفية محسنة للموصلات

أول شيء يجب القيام به هو تكوين التصفية المحسنة للموصلات (المعروفة أيضا باسم تخطي القائمة) على الموصل المستخدم لتدفق البريد من خدمة الحماية الحالية إلى Microsoft 365. يمكنك استخدام تقرير الرسائل الواردة للمساعدة في تحديد الموصل.

التصفية المحسنة للموصلات مطلوبة من قبل Defender لـ Office 365 لمعرفة من أين تأتي رسائل الإنترنت بالفعل. تعمل التصفية المحسنة للموصلات على تحسين دقة مكدس تصفية Microsoft بشكل كبير (خاصة التحليل الذكي للتزييف، وقدرات ما بعد الاختراق في مستكشف التهديداتوالاستجابة & التحقيق التلقائي (AIR).

لتمكين التصفية المحسنة للموصلات بشكل صحيح، تحتاج إلى إضافة عناوين IP العامة لخدمات الجهات الخارجية **all** و/أو مضيفي نظام البريد الإلكتروني المحلي الذين يوجهون البريد الوارد إلى Microsoft 365.

للتأكد من أن التصفية المحسنة للموصلات تعمل، تحقق من أن الرسائل الواردة تحتوي على واحد أو كليهما من العناوين التالية:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

الخطوة 5: إنشاء نهج حماية تجريبية

من خلال إنشاء نهج الإنتاج، حتى إذا لم يتم تطبيقها على جميع المستخدمين، يمكنك اختبار ميزات ما بعد الاختراق مثل Threat Explorer واختبار دمج Defender لـ Office 365 في عمليات فريق استجابة الأمان.

هام

يمكن تحديد نطاق النهج للمستخدمين أو المجموعات أو المجالات. لا نوصي بخلط الثلاثة جميعا في نهج واحد، لأن المستخدمين الذين يتطابقون مع الثلاثة فقط سيقعون ضمن نطاق النهج. بالنسبة للنهج التجريبية، نوصي باستخدام المجموعات أو المستخدمين. بالنسبة لنهج الإنتاج، نوصي باستخدام المجالات. من المهم للغاية أن نفهم أن مجال البريد الإلكتروني الأساسي للمستخدم فقط هو الذي يحدد ما إذا كان المستخدم يقع داخل نطاق النهج. لذلك، إذا قمت بتبديل سجل MX للمجال الثانوي للمستخدم، فتأكد من أن مجاله الأساسي مشمول أيضا بنهج.

إنشاء نهج مرفقات آمنة تجريبية

المرفقات الآمنة هي أسهل ميزة Defender لـ Office 365 لتمكينها واختبارها قبل تبديل سجل MX. تتمتع المرفقات الآمنة بالمزايا التالية:

  • الحد الأدنى من التكوين.
  • فرصة منخفضة للغاية للإيجابية الزائفة.
  • سلوك مشابه للحماية من البرامج الضارة، والذي يكون دائما قيد التشغيل ولا يتأثر بقاعدة تدفق البريد SCL=-1.

للحصول على الإعدادات الموصى بها، راجع إعدادات نهج المرفقات الآمنة الموصى بها. التوصيات القياسية والصارمة هي نفسها. لإنشاء النهج، راجع إعداد نهج المرفقات الآمنة. تأكد من استخدام MDOPilot_SafeAttachments المجموعة كشرط للنهج (من ينطبق عليه النهج).

ملاحظة

يوفر نهج الأمان المعين مسبقا للحماية المضمنة حماية المرفقات الآمنة لجميع المستلمين الذين لم يتم تعريفهم في أي نهج من نهج المرفقات الآمنة. لمزيد من المعلومات، راجع نهج الأمان المعينة مسبقا في EOP Microsoft Defender لـ Office 365.

ملاحظة

لا ندعم التفاف الارتباطات الملتفة أو إعادة كتابتها بالفعل أو إعادة كتابتها. إذا كانت خدمة الحماية الحالية تقوم بالفعل بتضمين الارتباطات أو إعادة كتابتها في رسائل البريد الإلكتروني، فستحتاج إلى إيقاف تشغيل هذه الميزة للمستخدمين التجريبيين. تتمثل إحدى الطرق لضمان عدم حدوث ذلك في استبعاد مجال عنوان URL للخدمة الأخرى في نهج الروابط الآمنة.

فرص الإيجابيات الخاطئة في الروابط الآمنة منخفضة جدا أيضا، ولكن يجب أن تفكر في اختبار الميزة على عدد أقل من المستخدمين التجريبيين من المرفقات الآمنة. نظرا لأن الميزة تؤثر على تجربة المستخدم، يجب أن تفكر في خطة لتثقيف المستخدمين.

للحصول على الإعدادات الموصى بها، راجع إعدادات نهج الروابط الآمنة. التوصيات القياسية والصارمة هي نفسها. لإنشاء النهج، راجع إعداد نهج الروابط الآمنة. تأكد من استخدام MDOPilot_SafeLinks المجموعة كشرط للنهج (من ينطبق عليه النهج).

ملاحظة

يوفر نهج الأمان المحدد مسبقا للحماية المضمنة حماية الروابط الآمنة لجميع المستلمين الذين لم يتم تعريفهم في أي نهج ارتباطات آمنة. لمزيد من المعلومات، راجع نهج الأمان المعينة مسبقا في EOP Microsoft Defender لـ Office 365.

إنشاء نهج تجريبية لمكافحة البريد العشوائي

إنشاء نهجين لمكافحة البريد العشوائي للمستخدمين التجريبيين:

  • نهج يستخدم الإعدادات القياسية. استخدم MDOPilot_SpamPhish_Standard المجموعة كشرط للنهج (من ينطبق عليه النهج).
  • نهج يستخدم الإعدادات الصارمة. استخدم MDOPilot_SpamPhish_Strict المجموعة كشرط للنهج (من ينطبق عليه النهج). يجب أن يكون لهذا النهج أولوية أعلى (رقم أقل) من النهج مع الإعدادات القياسية.

للحصول على الإعدادات القياسية والصارمة الموصى بها، راجع إعدادات نهج مكافحة البريد العشوائي الموصى بها. لإنشاء النهج، راجع تكوين نهج مكافحة البريد العشوائي.

إنشاء نهج تجريبية لمكافحة التصيد الاحتيالي

إنشاء نهجين لمكافحة التصيد الاحتيالي للمستخدمين التجريبيين:

  • نهج يستخدم الإعدادات القياسية، باستثناء إجراءات الكشف عن انتحال الهوية كما هو موضح أدناه. استخدم MDOPilot_SpamPhish_Standard المجموعة كشرط للنهج (من ينطبق عليه النهج).
  • نهج يستخدم الإعدادات الصارمة، باستثناء إجراءات الكشف عن انتحال الهوية كما هو موضح أدناه. استخدم MDOPilot_SpamPhish_Strict المجموعة كشرط للنهج (من ينطبق عليه النهج). يجب أن يكون لهذا النهج أولوية أعلى (رقم أقل) من النهج مع الإعدادات القياسية.

بالنسبة إلى عمليات الكشف عن الانتحال، فإن الإجراء القياسي الموصى به هو نقل الرسالة إلى مجلدات البريد الإلكتروني غير الهام للمستلمين، والإجراء الصارم الموصى به هو عزل الرسالة. استخدم رؤى التحليل الذكي للتزييف لمراقبة النتائج. يتم شرح التجاوزات في القسم التالي. لمزيد من المعلومات، راجع رؤى التحليل الذكي للتزييف في EOP.

بالنسبة لاكتشافات انتحال الهوية، تجاهل الإجراءات القياسية والصارمة الموصى بها للنهج التجريبية. بدلا من ذلك، استخدم القيمة لا تطبق أي إجراء للإعدادات التالية:

  • إذا تم الكشف عن رسالة على أنها انتحال شخصية المستخدم
  • إذا تم الكشف عن الرسالة كمجال منتحل
  • إذا اكتشف التحليل الذكي لعلمة البريد مستخدما منتحل الهوية

استخدم نتيجة تحليلات انتحال الهوية لمراقبة النتائج. لمزيد من المعلومات، راجع رؤية انتحال الهوية في Defender لـ Office 365.

قم بضبط حماية الانتحال (ضبط السماح والكتل) وقم بتشغيل كل إجراء حماية انتحال للعزل أو نقل الرسائل إلى مجلد البريد الإلكتروني غير الهام (استنادا إلى التوصيات القياسية أو الصارمة). لاحظ النتائج واضبط إعداداتها حسب الضرورة.

لمزيد من المعلومات، راجع المقالات التالية:

الخطوة التالية

تهانينا! لقد أكملت مرحلة الإعدادللترحيل إلى Microsoft Defender لـ Office 365!