معالجة البريد الإلكتروني الضار الذي تم تسليمه في Office 365

• ينطبق على:

  ✅ Microsoft Defender for Office 365 Plan 2

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

المعالجة تعني اتخاذ إجراء محدد ضد التهديد. يمكن تنظيف البريد الإلكتروني الضار المرسل إلى مؤسستك إما بواسطة النظام، أو من خلال الإزالة التلقائية للساعة الصفرية (ZAP)، أو بواسطة فرق الأمان من خلال إجراءات المعالجة مثل الانتقال إلى علبة الوارد، أو الانتقال إلى البريد الإلكتروني غير الهام، أو الانتقال إلى العناصر المحذوفة، أو الحذف المبدئي، أو الحذف الثابت. Microsoft Defender لـ Office 365 الخطة 2/E5 تمكن فرق الأمان من معالجة التهديدات في وظائف البريد الإلكتروني والتعاون من خلال التحقيق اليدوي والآلي.

ما تحتاج إلى معرفته قبل البدء

• يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. يمكن للمسؤولين اتخاذ الإجراء المطلوب بشأن رسائل البريد الإلكتروني، ولكن دور البحث والمسح مطلوب للحصول على الموافقة على هذه الإجراءات. لتعيين دور البحث وإزالة، لديك الخيارات التالية:

  • Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (يؤثر على مدخل Defender فقط، وليس PowerShell): عمليات الأمان/بيانات الأمان/البريد الإلكتروني & إجراءات التعاون المتقدمة (إدارة).
  • البريد الإلكتروني & أذونات التعاون في مدخل Microsoft Defender: العضوية في مجموعات دور إدارة المؤسسة أو محقق البيانات. أو يمكنك إنشاء مجموعة دور جديدة مع تعيين دور البحث وإزالة، وإضافة المستخدمين إلى مجموعة الأدوار المخصصة.

• تحقق من تشغيل التحقيق التلقائي في https://security.microsoft.com/securitysettings/endpoints/integration.

المعالجة اليدوية والآلية

يحدث التتبع اليدوي عندما تحدد فرق الأمان التهديدات يدويا باستخدام إمكانات البحث والتصفية في Explorer. يمكن تشغيل المعالجة اليدوية للبريد الإلكتروني من خلال أي طريقة عرض للبريد الإلكتروني (البرامج الضارة أو التصيد الاحتيالي أو كل البريد الإلكتروني) بعد تحديد مجموعة من رسائل البريد الإلكتروني التي تحتاج إلى المعالجة.

يمكن لفرق الأمان استخدام المستكشف لتحديد رسائل البريد الإلكتروني بعدة طرق:

• اختر رسائل البريد الإلكتروني يدويا: استخدم عوامل التصفية في طرق عرض مختلفة. حدد ما يصل إلى 100 رسالة بريد إلكتروني للمعالجة.

• تحديد الاستعلام: حدد استعلاما كاملا باستخدام زر تحديد الكل العلوي. يظهر الاستعلام نفسه أيضا في تفاصيل إرسال البريد في مركز الصيانة. يمكن للعملاء إرسال 200,000 رسالة بريد إلكتروني كحد أقصى من مستكشف التهديدات.

• تحديد الاستعلام مع الاستبعاد: في بعض الأحيان قد ترغب فرق عمليات الأمان في معالجة رسائل البريد الإلكتروني عن طريق تحديد استعلام كامل واستبعاد رسائل بريد إلكتروني معينة من الاستعلام يدويا. للقيام بذلك، يمكن للمسؤول استخدام خانة الاختيار تحديد الكل والتمرير لأسفل لاستبعاد رسائل البريد الإلكتروني يدويا. يمكن أن يحتوي الاستعلام على 200,000 رسالة بريد إلكتروني كحد أقصى.

بمجرد تحديد رسائل البريد الإلكتروني من خلال Explorer، يمكنك بدء المعالجة عن طريق اتخاذ إجراء مباشر أو عن طريق وضع رسائل البريد الإلكتروني في قائمة الانتظار لإجراء ما:

• الموافقة المباشرة: عندما يتم تحديد إجراءات مثل الانتقال إلى علبة الوارد أو الانتقال إلى البريد غير الهام أو الانتقال إلى العناصر المحذوفة أو الحذف المبدئي أو الحذف الثابت من قبل أفراد الأمن الذين لديهم الأذونات المناسبة، ويتم اتباع الخطوات التالية في المعالجة، تبدأ عملية المعالجة في تنفيذ الإجراء المحدد.

  ملاحظة

  مع بدء المعالجة، فإنه ينشئ تنبيها وتحقيقا بالتوازي. يظهر التنبيه في قائمة انتظار التنبيهات باسم "الإجراء الإداري المقدم من قبل المسؤول" مما يشير إلى أن موظفي الأمن اتخذوا إجراء معالجة كيان. يقدم تفاصيل مثل اسم الشخص الذي قام بالإجراء، ودعم رابط التحقيق، والوقت وما إلى ذلك. إنه يعمل بشكل جيد حقا لمعرفة كل مرة يتم فيها تنفيذ إجراء قاسي مثل المعالجة على الكيانات. يمكن تعقب كل هذه الإجراءات ضمن علامة التبويبActions & Submissions>Action center ->History (معاينة عامة).

• الموافقة على خطوتين: يمكن اتخاذ إجراء "إضافة إلى المعالجة" من قبل المسؤولين الذين ليس لديهم الأذونات المناسبة أو الذين يحتاجون إلى الانتظار لتنفيذ الإجراء. في هذه الحالة، تتم إضافة رسائل البريد الإلكتروني المستهدفة إلى حاوية معالجة. الموافقة مطلوبة قبل تنفيذ المعالجة.

يتم تشغيل إجراءات التحقيق والاستجابة التلقائية بواسطة التنبيهات أو بواسطة فرق عمليات الأمان من Explorer. قد تتضمن هذه إجراءات المعالجة الموصى بها التي يجب أن يوافق عليها فريق عمليات الأمان. يتم تضمين هذه الإجراءات في علامة التبويب Action في التحقيق التلقائي.

يتم عرض جميع المعالجة (الموافقات المباشرة) التي تم إنشاؤها في Explorer أو التتبع المتقدم أو من خلال التحقيق التلقائي في مركز الصيانة في علامة التبويب Actions & Submissions>Action center>History (https://security.microsoft.com/action-center/history).

الإجراءات اليدوية التي تنتظر الموافقة باستخدام عملية الموافقة على خطوتين (1. أضف إلى المعالجة بواسطة عضو واحد في فريق عمليات الأمان، 2. تتم مراجعتها والموافقة عليها من قبل عضو آخر في فريق عمليات الأمان) مرئية في علامة التبويب Actions & Submissions>Action center>Pending (https://security.microsoft.com/action-center/pending). بعد الموافقة، تكون مرئية في علامة التبويب Actions & Submissions>Action center>History (https://security.microsoft.com/action-center/history).

يعرض مركز الإجراءات الموحد إجراءات المعالجة خلال ال 30 يوما الماضية. يتم سرد الإجراءات التي تم اتخاذها من خلال المستكشف بالاسم الذي قدمه فريق عمليات الأمان عند إنشاء المعالجة بالإضافة إلى معرف الموافقة ومعرف التحقيق. تحتوي الإجراءات التي تم اتخاذها من خلال التحقيقات التلقائية على عناوين تبدأ بالتنبيه ذي الصلة الذي قام بتشغيل التحقيق، مثل نظام مجموعة البريد الإلكتروني Zap.

افتح أي عنصر معالجة لعرض تفاصيل حوله، بما في ذلك اسم المعالجة ومعرف الموافقة ومعرف التحقيق وتاريخ الإنشاء والوصف والحالة ومصدر الإجراء ونوع الإجراء والقرار حسب الحالة. كما يفتح جزء جانبي مع تفاصيل الإجراء وتفاصيل مجموعة البريد الإلكتروني وتفاصيل التنبيه والحادث.

• فتح صفحة التحقيق يؤدي ذلك إلى فتح تحقيق مسؤول يحتوي على تفاصيل وعلامات تبويب أقل. يعرض تفاصيل مثل: التنبيه ذي الصلة، والكيان المحدد للمعالجة، والإجراءات المتخذة، وحالة المعالجة، وعدد الكيانات، والسجلات، والموافق على الإجراء. يحتفظ هذا التحقيق بتتبع التحقيق الذي يقوم به المسؤول يدويا ويحتوي على تفاصيل التحديدات التي أجراها المسؤول، ومن ثم يسمى التحقيق في إجراء المسؤول. لا حاجة للتصرف بناء على التحقيق وتنبيهه بالفعل في حالة الموافقة.

• عدد البريد الإلكتروني يعرض عدد رسائل البريد الإلكتروني المرسلة من خلال مستكشف التهديدات. يمكن أن تكون رسائل البريد الإلكتروني هذه قابلة للتنفيذ أو غير قابلة للتنفيذ.

• سجلات الإجراءات إظهار تفاصيل حالات المعالجة مثل الناجحة والفشلة والوجهة بالفعل.

  

  • قابل للتنفيذ: يمكن تنفيذ رسائل البريد الإلكتروني في مواقع علبة البريد السحابية التالية ونقلها:

    • علبه الوارد

    • غير المرغوب فيه

    • مجلد محذوف

    • مجلد محذوف مبدئيا

      ملاحظة

      حاليا، يمكن للمستخدم الذي لديه حق الوصول إلى علبة البريد فقط استرداد العناصر من مجلد محذوف مبدئيا.

  • غير قابل للتنفيذ: لا يمكن العمل على رسائل البريد الإلكتروني في المواقع التالية أو نقلها في إجراءات المعالجة:

    • العزل
    • مجلد محذوف بشدة
    • محلي/خارجي
    • فشل/إسقاط
    • غير معروف

  • أنواع إجراءات النقل والحذف المدعومة:

    • الانتقال إلى مجلد غير هام: ينقل الرسائل إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم.
    • الانتقال إلى علبة الوارد: ينقل الرسائل إلى مجلد علبة الوارد للمستخدمين.
    • الانتقال إلى العناصر المحذوفة: ينقل الرسائل إلى مجلد العناصر المحذوفة للمستخدم.
    • حذف مبدئي: ينقل الرسائل إلى مجلد محذوف في السحابة.
    • الحذف الثابت: يحذف الرسائل نهائيا.

  يتم تصنيف الرسائل المشبوهة على أنها إما قابلة للمعالجة أو غير قابلة للمعالجة. في معظم الحالات، تجمع الرسائل القابلة للمعالجة وغير القابلة للمعالجة بين إجمالي الرسائل المرسلة. ولكن في حالات نادرة قد لا يكون هذا صحيحا. يمكن أن يحدث هذا بسبب تأخيرات النظام أو المهلات أو الرسائل منتهية الصلاحية. تنتهي صلاحية الرسائل استنادا إلى فترة استبقاء المستكشف لمؤسستك.

  ما لم تكن تقوم بتصحيح الرسائل القديمة بعد فترة استبقاء المستكشف الخاصة بمؤسستك، فمن المستحسن إعادة محاولة معالجة العناصر إذا رأيت تناقضات في الأرقام. بالنسبة لتأخيرات النظام، يتم عادة تحديث تحديثات المعالجة في غضون ساعات قليلة.

  إذا كانت فترة استبقاء البريد الإلكتروني لمؤسستك في المستكشف 30 يوما وكنت تقوم بلمعالجة لرسائل البريد الإلكتروني التي تعود إلى 29-30 يوما، فقد لا تتم دائما إضافة عدد عمليات إرسال البريد. ربما بدأت رسائل البريد الإلكتروني في الانتقال من فترة الاستبقاء بالفعل.

  إذا كانت المعالجات عالقة في حالة "قيد التقدم" لفترة من الوقت، فمن المحتمل أن يكون ذلك بسبب تأخير النظام. قد يستغرق الأمر ما يصل إلى بضع ساعات للمعالجة. قد ترى اختلافات في عدد عمليات إرسال البريد، حيث ربما لم يتم تضمين بعض رسائل البريد الإلكتروني في الاستعلام في بداية المعالجة بسبب تأخيرات النظام. من الجيد إعادة محاولة المعالجة في مثل هذه الحالات.

  ملاحظة

  للحصول على أفضل النتائج، يجب إجراء المعالجة على دفعات من 50000 أو أقل.

  يتم العمل فقط على رسائل البريد الإلكتروني القابلة للمعالجة أثناء المعالجة. لا يمكن معالجة رسائل البريد الإلكتروني غير القابلة للمعالجة بواسطة نظام البريد الإلكتروني Office 365، حيث لا يتم تخزينها في علب بريد السحابة.

  يمكن للمسؤولين اتخاذ إجراءات على رسائل البريد الإلكتروني في العزل إذا لزم الأمر، ولكن تنتهي صلاحية رسائل البريد الإلكتروني هذه خارج العزل إذا لم يتم إزالتها يدويا. بشكل افتراضي، لا يمكن للمستخدمين الوصول إلى رسائل البريد الإلكتروني المعزولة بسبب المحتوى الضار، لذلك لا يتعين على موظفي الأمن اتخاذ أي إجراء للتخلص من التهديدات في العزل. إذا كانت رسائل البريد الإلكتروني محلية أو خارجية، يمكن الاتصال بالمستخدم لمعالجة البريد الإلكتروني المشبوه. أو يمكن للمسؤولين استخدام أدوات أمان/خادم بريد إلكتروني منفصلة للإزالة. يمكن تحديد رسائل البريد الإلكتروني هذه عن طريق تطبيق موقع التسليم = عامل التصفية الخارجي المحلي في المستكشف. بالنسبة للبريد الإلكتروني الفاشل أو الذي تم إسقاطه، أو البريد الإلكتروني الذي لا يمكن للمستخدمين الوصول إليه، لن يكون هناك أي بريد إلكتروني للتخفيف منه، نظرا لأن هذه الرسائل لا تصل إلى علبة البريد.

• سجلات الإجراءات: يعرض هذا الرسائل المعالجة، الناجحة، الفاشلة، الموجودة بالفعل في الوجهة.

  يمكن أن تكون الحالة:

  • تم البدء: يتم تشغيل المعالجة.
    • في قائمة الانتظار: يتم وضع المعالجة في قائمة الانتظار للتخفيف من رسائل البريد الإلكتروني.
    • قيد التقدم: التخفيف قيد التقدم.
    • مكتمل: التخفيف من المخاطر على جميع رسائل البريد الإلكتروني القابلة للمعالجة إما اكتمل بنجاح أو مع بعض حالات الفشل.
    • فشل: لم تنجح أي معالجة.

  نظرا إلى أنه يمكن العمل على رسائل البريد الإلكتروني القابلة للمعالجة فقط، يتم عرض تنظيف كل بريد إلكتروني على أنه ناجح أو فاشل. من إجمالي رسائل البريد الإلكتروني القابلة للمعالجة، يتم الإبلاغ عن عوامل التخفيف الناجحة والفشلة.

  • النجاح: تم إنجاز الإجراء المطلوب بشأن رسائل البريد الإلكتروني القابلة للمعالجة. على سبيل المثال: يريد المسؤول إزالة رسائل البريد الإلكتروني من علب البريد، لذلك يتخذ المسؤول إجراء الحذف المبدئي لرسائل البريد الإلكتروني. إذا لم يتم العثور على بريد إلكتروني قابل للمعالجة في المجلد الأصلي بعد اتخاذ الإجراء، فستظهر الحالة على أنها ناجحة.

  • الفشل: فشل الإجراء المطلوب على رسائل البريد الإلكتروني القابلة للمعالجة. على سبيل المثال: يريد المسؤول إزالة رسائل البريد الإلكتروني من علب البريد، لذلك يتخذ المسؤول إجراء الحذف المبدئي لرسائل البريد الإلكتروني. إذا كان لا يزال يوجد بريد إلكتروني قابل للمعالجة في علبة البريد بعد اتخاذ الإجراء، فستظهر الحالة على أنها فاشلة.

  • بالفعل في الوجهة: تم اتخاذ الإجراء المطلوب بالفعل على البريد الإلكتروني أو البريد الإلكتروني الموجود بالفعل في موقع الوجهة. على سبيل المثال: تم حذف رسالة بريد إلكتروني مبدئيا من قبل المسؤول من خلال Explorer في اليوم الأول. ثم تظهر رسائل البريد الإلكتروني المماثلة في اليوم 2، والتي يتم حذفها مرة أخرى مبدئيا من قبل المسؤول. أثناء تحديد رسائل البريد الإلكتروني هذه، ينتهي الأمر بالمسؤول إلى التقاط بعض رسائل البريد الإلكتروني من اليوم الأول التي تم حذفها مبدئيا بالفعل. الآن لن يتم التصرف في رسائل البريد الإلكتروني هذه مرة أخرى، ستظهر فقط على أنها "موجودة بالفعل في الوجهة"، حيث لم يتم اتخاذ أي إجراء بشأنها كما كانت موجودة في موقع الوجهة.

  • جديد: تمت إضافة عمود وجهة بالفعل في سجل الإجراءات. تستخدم هذه الميزة أحدث موقع تسليم في مستكشف التهديدات للإشارة إلى ما إذا كان قد تم بالفعل معالجة البريد. يساعد بالفعل في الوجهة فرق الأمان على فهم العدد الإجمالي للرسائل التي لا تزال بحاجة إلى معالجتها.

لا يمكن اتخاذ الإجراءات إلا على الرسائل الموجودة في مجلدات علبة الوارد وغير الهام والمحذوفة والمحذوفة مبدئيا من مستكشف التهديدات. فيما يلي مثال على كيفية عمل العمود الجديد. يتم إجراء حذف مبدئي على الرسالة الموجودة في علبة الوارد، ثم تتم معالجة الرسالة وفقا للنهج. في المرة التالية التي يتم فيها إجراء حذف مبدئي، ستظهر هذه الرسالة أسفل العمود "بالفعل في الوجهة" للإشارة إلى أنه لا يلزم معالجته مرة أخرى.

حدد أي عنصر في سجل الإجراءات لعرض تفاصيل المعالجة. إذا كانت التفاصيل تقول "ناجحة" أو "لم يتم العثور عليها في علبة البريد"، فقد تمت إزالة هذا العنصر بالفعل من علبة البريد. في بعض الأحيان يكون هناك خطأ في النظام أثناء المعالجة. في هذه الحالات، من الجيد إعادة محاولة إجراء المعالجة.

في حالة معالجة دفعات كبيرة من البريد الإلكتروني، قم بتصدير الرسائل المرسلة للمعالجة عبر إرسال البريد، والرسائل التي تمت معالجتها عبر سجلات الإجراءات. يتم زيادة حد التصدير إلى 100,000 سجل.

يمكن للمسؤولين اتخاذ إجراءات معالجة مثل نقل رسائل البريد الإلكتروني إلى مجلد العناصر غير الهامة أو علبة الوارد أو العناصر المحذوفة وحذف إجراءات مثل الحذف المبدئي أو الحذف الثابت من صفحات التتبع المتقدمة.

تخفف المعالجة من التهديدات، وتعالج رسائل البريد الإلكتروني المشبوهة، وتساعد على الحفاظ على أمان المؤسسة.