Microsoft 365 الأمن لصانعي القرار في مجال الأعمال (BDMs)

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تناقش هذه المقالة بعض سيناريوهات التهديد والهجمات الأكثر شيوعا التي تواجهها المؤسسات حاليا لبيئاتها Microsoft 365، والإجراءات الموصى بها للتخفيف من هذه المخاطر. في حين أن Microsoft 365 يأتي مع مجموعة واسعة من ميزات الأمان التي تم تكوينها مسبقا، فإنه يتطلب منك أيضا كعميل تحمل المسؤولية عن تأمين هوياتك وبياناتك والأجهزة المستخدمة للوصول إلى الخدمات السحابية. تم تطوير هذه الإرشادات بواسطة Kozeta Beam (Microsoft Cloud Security Architect) وTaragarage Sundararajan (مستشار أول لدى Microsoft).

يتم تنظيم هذه المقالة حسب أولوية العمل، بدءا من حماية تلك الحسابات المستخدمة لإدارة الخدمات والأصول الأكثر أهمية، مثل المستأجر والبريد الإلكتروني SharePoint. يوفر طريقة منهجية للاقتراب من الأمان ويعمل مع جدول البيانات التالي حتى تتمكن من تعقب تقدمك مع المساهمين والفرق عبر مؤسستك: Microsoft 365 الأمان لجدول بيانات BDMs.

توفر لك Microsoft أداة "درجة الأمان" داخل المستأجر لتحليل وضع الأمان تلقائيا استنادا إلى أنشطتك العادية، وتعيين درجة، وتقديم توصيات تحسين الأمان. قبل اتخاذ الإجراءات الموصى بها في هذه المقالة، دون درجاتك وتوصياتك الحالية. ستؤدي الإجراءات الموصى بها في هذه المقالة إلى زيادة درجاتك. الهدف ليس تحقيق أقصى درجة، ولكن أن تكون على دراية بالفرص لحماية البيئة الخاصة بك بطريقة لا تؤثر سلبا على الإنتاجية للمستخدمين. راجع نقاط أمان Microsoft.

شيء آخر قبل أن نبدأ. . . تأكد من تشغيل سجل التدقيق. ستحتاج إلى هذه البيانات لاحقا، في حالة الحاجة إلى التحقيق في حادث أو خرق.

حماية الحسابات المتميزة

كخطوة أولى، نوصي بضمان منح الحسابات الهامة في البيئة طبقة إضافية من الحماية لأن هذه الحسابات لديها حق الوصول والأذونات لإدارة وتغيير الخدمات والموارد الهامة، والتي يمكن أن تؤثر سلبا على المؤسسة بأكملها، إذا تم اختراقها. تعد حماية الحسابات المتميزة واحدة من أكثر الطرق فعالية للحماية من المهاجم الذي يسعى إلى رفع أذونات الحساب المخترق إلى حساب إداري.

توصية	E3	E5
فرض المصادقة متعددة العوامل (MFA) لجميع الحسابات الإدارية.
تنفيذ Azure Active Directory (Azure AD) إدارة الهويات المتميزة (PIM) لتطبيق الوصول المتميز في الوقت المناسب إلى موارد Azure AD وAzure. يمكنك أيضا اكتشاف من لديه حق الوصول ومراجعة الوصول المتميز.
تنفيذ إدارة الوصول المتميز لإدارة التحكم في الوصول متعدد المستويات على مهام الإدارة المتميزة في Office 365.
تكوين محطات عمل الوصول المتميز (PAW) واستخدامها لإدارة الخدمات. لا تستخدم محطات العمل نفسها لاستعراض الإنترنت والتحقق من البريد الإلكتروني غير المرتبط بحسابك الإداري.	!	:::

يوضح الرسم التخطيطي التالي هذه القدرات.

توصيات إضافية:

• تأكد من عدم تعيين أدوار مسؤول للحسابات التي تتم مزامنتها من الموقع المحلي للخدمات السحابية. يساعد هذا على منع المهاجم من تطبيق حسابات محلية للحصول على حق الوصول الإداري إلى الخدمات السحابية.
• تأكد من عدم تعيين أدوار المسؤول لحسابات الخدمة. غالبا ما لا تتم مراقبة هذه الحسابات وتعيينها باستخدام كلمات المرور التي لا تنتهي صلاحيتها. ابدأ بالتأكد من أن حسابات خدمات AADConnect وADS ليست مسؤولين عموميين بشكل افتراضي.
• إزالة التراخيص من حسابات المسؤولين. ما لم تكن هناك حالة استخدام معينة لتعيين تراخيص لحسابات مسؤول معينة، قم بإزالة التراخيص من هذه الحسابات.

تقليل سطح الهجوم

منطقة التركيز التالية هي تقليل سطح الهجوم. يمكن تحقيق ذلك بأقل جهد وتأثير على المستخدمين والخدمات. من خلال تقليل مساحة الهجوم السطحية، لدى المهاجمين طرق أقل لشن هجوم على مؤسستك.

فيما يلي بعض الأمثلة:

• تعطيل بروتوكولات POP3 وIMAP وSMTP. لم تعد معظم المؤسسات الحديثة تستخدم هذه البروتوكولات القديمة. يمكنك تعطيل هذه الاستثناءات بأمان والسماح بالاستثناءات فقط حسب الحاجة.
• تقليل عدد المسؤولين العموميين في المستأجر والاحتفاظ به إلى الحد الأدنى المطلق المطلوب. وهذا يقلل مباشرة من مساحة الهجوم السطحية لجميع تطبيقات السحابة.
• إيقاف الخوادم والتطبيقات التي لم تعد تستخدم في بيئتك.
• تنفيذ عملية لتعطيل الحسابات التي لم تعد مستخدمة وحذفها.

الحماية من التهديدات المعروفة

تتضمن التهديدات المعروفة البرامج الضارة والحسابات المخترقة والتصيد الاحتيالي. يمكن تنفيذ بعض الحماية من هذه التهديدات بسرعة دون أي تأثير مباشر على المستخدمين، بينما يتطلب البعض الآخر المزيد من التخطيط والتدريب على المستخدم.

توصية	E3	E5
إعداد المصادقة متعددة العوامل واستخدام نهج الوصول المشروط الموصى بها، بما في ذلك نهج مخاطر تسجيل الدخول. توصي Microsoft بمجموعة من النهج التي تعمل معا لحماية جميع التطبيقات السحابية، بما في ذلك خدمات Office 365 Microsoft 365 واختبارها. راجع تكوينات الوصول إلى الهوية والجهاز.
طلب مصادقة متعددة العوامل لجميع المستخدمين. إذا لم يكن لديك الترخيص المطلوب لتنفيذ نهج الوصول المشروط الموصى بها، على الأقل تتطلب مصادقة متعددة العوامل لجميع المستخدمين.
رفع مستوى الحماية من البرامج الضارة في البريد. تتضمن بيئة Office 365 أو Microsoft 365 الحماية من البرامج الضارة، ولكن يمكنك زيادة هذه الحماية عن طريق حظر المرفقات بأنواع الملفات التي تستخدم عادة للبرامج الضارة.
حماية بريدك الإلكتروني من هجمات التصيد الاحتيالي المستهدفة. إذا قمت بتكوين مجال مخصص واحد أو أكثر لبيئة Office 365 أو Microsoft 365، يمكنك تكوين الحماية المستهدفة من التصيد الاحتيالي. يمكن أن تساعد الحماية من التصيد الاحتيالي، وهي جزء من Defender لـ Office 365، في حماية مؤسستك من هجمات التصيد الاحتيالي الضارة المستندة إلى الانتحال وغيرها من هجمات التصيد الاحتيالي. إذا لم تكن قد قمت بتكوين مجال مخصص، فلن تحتاج إلى القيام بذلك.
الحماية من هجمات برامج الفدية الضارة في البريد الإلكتروني. تقوم برامج الفدية الضارة بإبعاد الوصول إلى بياناتك عن طريق تشفير الملفات أو تأمين شاشات الكمبيوتر. ثم يحاول ابتزاز الأموال من ضحية من خلال طلب "الفدية"، عادة في شكل عملات مشفرة مثل البتكوين، في مقابل إعادة الوصول إلى بياناتك. يمكنك المساعدة في الدفاع ضد برامج الفدية الضارة عن طريق إنشاء قاعدة تدفق بريد واحدة أو أكثر لحظر ملحقات الملفات التي تستخدم عادة في برامج الفدية الضارة، أو لتحذير المستخدمين الذين يتلقون هذه المرفقات في البريد الإلكتروني.
حظر الاتصالات من البلدان التي لا تتعامل معها. إنشاء نهج وصول مشروط إلى Azure AD لحظر أي اتصالات واردة من هذه البلدان، وإنشاء جدار حماية جغرافي حول المستأجر الخاص بك بشكل فعال.

يوضح الرسم التخطيطي التالي هذه القدرات.

الحماية من التهديدات غير المعروفة

بعد إضافة حماية إضافية إلى حساباتك المتميزة والحماية من الهجمات المعروفة، قم بتحويل انتباهك إلى الحماية من التهديدات غير المعروفة. يستخدم الخصوم الأكثر تصميما وتقدما أساليب مبتكرة وجديدة وغير معروفة لمهاجمة المنظمات. مع بيانات تتبع الاستخدام الواسعة من Microsoft التي تم جمعها عبر مليارات الأجهزة والتطبيقات والخدمات، يمكننا إجراء Defender لـ Office 365 على Windows Office 365 وAzure لمنع هجمات Zero-Day، واستخدام بيئات بيئة الاختبار المعزولة، والتحقق من الصلاحية قبل السماح بالوصول إلى المحتوى الخاص بك.

توصية	E3	E5
تكوين Microsoft Defender لـ Office 365: ارتباطات خزينة المرفقات خزينة Microsoft Defender لنقطة النهاية للتصيد الاحتيالي SharePoint OneDrive ومكافحة التصيد الاحتيالي Microsoft Teams في حماية Defender لـ Office 365
تكوين قدرات Microsoft Defender لنقطة النهاية: برنامج الحماية من الفيروسات لـ Windows Defender الحماية من الاستغلال تقليل الأجزاء المعرضة للهجوم العزل المستند إلى الأجهزة * الوصول المتحكم به إلى المجلد
استخدم Microsoft Defender for Cloud Apps لاكتشاف تطبيقات SaaS والبدء في استخدام تحليلات السلوك واكتشاف الحالات الشاذة.

يوضح الرسم التخطيطي التالي هذه القدرات.

توصيات إضافية:

• تأمين اتصالات قناة الشريك مثل رسائل البريد الإلكتروني باستخدام TLS.
• افتح Teams Federation فقط للشركاء الذين تتواصل معهم.
• لا تقم بإضافة مجالات المرسلين أو المرسلين الفرديين أو عناوين IP المصدر إلى القائمة المسموح بها لأن هذا يسمح لها بتجاوز عمليات التحقق من البريد العشوائي والبرامج الضارة — من الممارسات الشائعة مع العملاء إضافة مجالاتهم المقبولة أو العديد من المجالات الأخرى حيث قد يكون قد تم الإبلاغ عن مشاكل تدفق البريد الإلكتروني إلى قائمة السماح. لا تقم بإضافة مجالات في قائمة "تصفية البريد العشوائي والاتصال" لأن هذا من المحتمل أن يتجاوز كل عمليات التحقق من البريد العشوائي.
• تمكين إعلامات البريد العشوائي الصادرة — تمكين إعلامات البريد العشوائي الصادرة إلى قائمة توزيع داخليا إلى فريق مسؤول تكنولوجيا المعلومات أو Helpdesk للإبلاغ عن ما إذا كان أي من المستخدمين الداخليين يرسل رسائل البريد الإلكتروني العشوائي خارجيا. قد يكون هذا مؤشرا على أن الحساب قد تم اختراقه.
• تعطيل Remote PowerShell لجميع المستخدمين — يستخدم Remote PowerShell بشكل أساسي من قبل المسؤولين للوصول إلى الخدمات لأغراض إدارية أو الوصول إلى واجهة برمجة التطبيقات البرمجية. نوصي بتعطيل هذا الخيار للمستخدمين غير المسؤولين لتجنب الاستطلاع ما لم يكن لديهم متطلبات عمل للوصول إليه.
• حظر الوصول إلى مدخل Microsoft Azure Management لجميع غير المسؤولين. يمكنك تحقيق ذلك عن طريق إنشاء قاعدة وصول مشروط لحظر كافة المستخدمين، باستثناء المسؤولين.

افتراض الخرق

بينما تتخذ Microsoft كل إجراء ممكن لمنع التهديدات والهجمات، نوصي دائما بالعمل في ظل عقلية "افتراض الخرق". حتى إذا تمكن المهاجم من التطفل على البيئة، نحتاج إلى التأكد من أنه غير قادر على تصفية البيانات أو معلومات الهوية من البيئة. لهذا السبب، نوصي بتمكين الحماية من تسرب البيانات الحساسة مثل أرقام الضمان الاجتماعي وأرقام بطاقات الائتمان والمعلومات الشخصية الأخرى والمعلومات السرية الأخرى على مستوى المؤسسة.

توصية	E3	E5
راجع وتحسين الوصول المشروط والنهج ذات الصلة لتتوافق مع أهدافك لشبكة ثقة صفرية. وتشمل الحماية من التهديدات المعروفة تنفيذ مجموعة من النهج الموصى بها. راجع تنفيذك لهذه النهج للتأكد من حماية تطبيقاتك وبياناتك ضد المتسللين الذين اكتسبوا حق الوصول إلى شبكتك. يتيح نهج حماية تطبيق Intune الموصى به Windows 10 Windows حماية البيانات (WIP). يحمي WIP من التسريبات العرضية لبيانات مؤسستك من خلال التطبيقات والخدمات، مثل البريد الإلكتروني ووسائل التواصل الاجتماعي والسحابة العامة.
تعطيل إعادة توجيه البريد الإلكتروني الخارجي. يمكن للمتسللين الذين يمكنهم الوصول إلى علبة بريد المستخدم سرقة بريدك عن طريق تعيين علبة البريد لإعادة توجيه البريد الإلكتروني تلقائيا. يمكن أن يحدث هذا حتى بدون وعي المستخدم. يمكنك منع حدوث ذلك عن طريق تكوين قاعدة تدفق البريد.
تعطيل مشاركة التقويم الخارجي المجهول. بشكل افتراضي، يتم السماح بمشاركة التقويم المجهول الخارجي. تعطيل مشاركة التقويم لتقليل التسريبات المحتملة للمعلومات الحساسة.
تكوين نهج منع فقدان البيانات للبيانات الحساسة. إنشاء نهج منع فقدان البيانات من Microsoft Purview في مركز التوافق الأمني & لاكتشاف البيانات الحساسة وحمايتها مثل أرقام بطاقات الائتمان وأرقام الضمان الاجتماعي وأرقام الحسابات المصرفية. يتضمن Microsoft 365 العديد من أنواع المعلومات الحساسة المعرفة مسبقا التي يمكنك استخدامها في نهج منع فقدان البيانات. يمكنك أيضا إنشاء أنواع المعلومات الحساسة الخاصة بك للبيانات الحساسة المخصصة للبيئة الخاصة بك.
تنفيذ سياسات تصنيف البيانات وحماية المعلومات. تنفيذ تسميات الحساسية واستخدامها لتصنيف وتطبيق الحماية على البيانات الحساسة. يمكنك أيضا استخدام هذه التسميات في نهج منع فقدان البيانات. إذا كنت تستخدم تسميات Azure حماية البيانات، نوصي بتجنب إنشاء تسميات جديدة في مراكز الإدارة الأخرى.
حماية البيانات في تطبيقات وخدمات الجهات الخارجية باستخدام Defender for Cloud Apps. تكوين نهج Defender for Cloud Apps لحماية المعلومات الحساسة عبر تطبيقات السحابة التابعة لجهة خارجية، مثل Salesforce أو Box أو Dropbox. يمكنك استخدام أنواع المعلومات الحساسة وتسميات الحساسية التي أنشأتها في نهج Defender for Cloud Apps وتطبيقها عبر تطبيقات SaaS. يسمح لك Microsoft Defender for Cloud Apps بفرض مجموعة واسعة من العمليات التلقائية. يمكن تعيين النهج لتوفير عمليات فحص التوافق المستمر، ومهام eDiscovery القانونية، وDLP للمحتوى الحساس المشترك بشكل عام، والمزيد. يمكن ل Defender for Cloud Apps مراقبة أي نوع ملف استنادا إلى أكثر من 20 عامل تصفية لبيانات التعريف (على سبيل المثال، مستوى الوصول ونوع الملف).
استخدم Microsoft Defender لنقطة النهاية لتحديد ما إذا كان المستخدمون يخزنون معلومات حساسة على أجهزتهم Windows.
استخدم الماسح الضوئي ل AIP لتحديد المعلومات وتصنيفها عبر الخوادم ومشاركات الملفات. استخدم أداة إعداد تقارير AIP لعرض النتائج واتخاذ الإجراءات المناسبة.

يوضح الرسم التخطيطي التالي هذه القدرات.

المراقبة والتدقيق المستمران

وأخيرا وليس آخرا، تعد المراقبة والتدقيق المستمر لبيئة Microsoft 365 جنبا إلى جنب مع Windows والأجهزة أمرا بالغ الأهمية للتأكد من أنك قادر على الكشف عن أي عمليات اختراق ومعالجتها بسرعة. توفر أدوات مثل Secure Score وبوابة Microsoft 365 Defender والتحليلات المتقدمة من Microsoft Intelligent Graph معلومات لا تقدر بثمن للمستأجر الخاص بك وتربط كميات هائلة من التحليل الذكي للمخاطر وبيانات الأمان لتوفير حماية من التهديدات والكشف عنها لا مثيل لها.

توصية	E3	E5
تأكد من تشغيل سجل التدقيق .
مراجعة درجة الأمان أسبوعيا — درجة الأمان هي موقع مركزي للوصول إلى حالة الأمان لشركتك واتخاذ إجراءات بناء على توصيات درجة الأمان. يوصى بإجراء هذا الفحص أسبوعيا.
استخدام أدوات Microsoft Defender لـ Office 365: قدرات التحقيق في التهديدات والاستجابة لها التحقيق التلقائي والاستجابة
استخدام Microsoft Defender لنقطة النهاية: الكشف عن نقطة النهاية والاستجابة لها درجة أمان التحقيق والمعالجة التلقائية * التتبع المتقدم
استخدم Microsoft Defender for Cloud Apps للكشف عن السلوك غير المعتاد عبر تطبيقات السحابة لتحديد برامج الفدية الضارة أو المستخدمين المخترقين أو التطبيقات المحتالة وتحليل الاستخدام عالي المخاطر والمعالجة تلقائيا للحد من المخاطر على مؤسستك.
استخدم Microsoft Sentinel أو أداة SIEM الحالية لمراقبة التهديدات عبر بيئتك.
نشر Microsoft Defender for Identity لمراقبة التهديدات التي تستهدف بيئة Active Directory محلي والحماية منها.
استخدم Microsoft Defender for Cloud لمراقبة التهديدات عبر أحمال العمل المختلطة والسحابية. يتضمن Microsoft Defender for Cloud مستوى مجانيا من القدرات ومستوى قياسيا من القدرات التي يتم دفع ثمنها استنادا إلى ساعات الموارد أو المعاملات.

يوضح الرسم التخطيطي التالي هذه القدرات.

أهم إجراءات المراقبة الموصى بها:

• راجع Microsoft Secure Score أسبوعيا — درجة الأمان هي موقع مركزي للوصول إلى حالة الأمان للمستأجر الخاص بك واتخاذ الإجراءات بناء على أهم التوصيات. يوصى بإجراء هذا الفحص أسبوعيا. تتضمن درجة الأمان توصيات من جميع أنحاء Azure AD وIntune و Defender for Cloud Apps و Microsoft Defender لنقطة النهاية، بالإضافة إلى Office 365.
• راجع تسجيلات الدخول المحفوفة بالمخاطر أسبوعيا — استخدم مركز إدارة Azure AD لمراجعة عمليات تسجيل الدخول المحفوفة بالمخاطر أسبوعيا. تتضمن مجموعة قواعد الوصول إلى الهوية والأجهزة الموصى بها نهجا لفرض تغيير كلمة المرور على عمليات تسجيل الدخول المحفوفة بالمخاطر.
• راجع أهم البرامج الضارة والمستخدمين المخادعين أسبوعيا — استخدم Microsoft Defender لـ Office 365 Threat Explorer لمراجعة أفضل المستخدمين المستهدفين بالبرامج الضارة والتصيد الاحتيالي ومعرفة السبب الجذري لتأثر هؤلاء المستخدمين.