التحقق من البريد الإلكتروني الضار الذي تم تسليمه في Microsoft 365

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على:

• Microsoft Defender لـ Office 365 الخطة 1 الخطة 2
• Microsoft 365 Defender

Microsoft Defender لـ Office 365 إمكانية التحقق من الأنشطة التي تعرض الأشخاص في مؤسستك للخطر، واتخاذ إجراء لحماية مؤسستك. على سبيل المثال، إذا كنت جزءا من فريق الأمان في مؤسستك، يمكنك البحث عن رسائل البريد الإلكتروني المريبة التي تم تسليمها التحقيق فيها. يمكنك القيام بذلك باستخدام "مستكشف التهديدات" (أو الكشف في الوقت الحقيقي).

ملاحظة

الانتقال إلى مقالة المعالجة هنا.

قبل البدء

تأكد من تلبية المتطلبات التالية:

• لمنظمتك Microsoft Defender لـ Office 365 تعيين تراخيص للمستخدمين.

• يتم تشغيل تسجيل التدقيق لمنظمتك.

• إن مؤسستك لديها سياسات محددة لمكافحة البريد العشوائي، و مكافحة البرامج الضارة، و مكافحة التصيد الاحتيالي، وما إلى ذلك. راجع الحماية من التهديدات في Office 365.

• أنت مسؤول عام، أو لديك إما مسؤول الأمان أو دور البحث و الازدحام المعين في مدخل Microsoft 365 Defender. لمزيد من المعلومات، راجع الأذونات في Microsoft 365 Defender المدخل. بالنسبة لبعض الإجراءات، يجب أيضا تعيين دور المعاينة.

أذونات دور المعاينة

لتنفيذ إجراءات معينة، مثل عرض رؤوس الرسائل أو تنزيل محتوى رسالة البريد الإلكتروني، يجب أن يكون دور المعاينة مضافا إلى مجموعة دور مناسبة أخرى. يوضح الجدول التالي الأدوار والأذونات المطلوبة.

Activity	مجموعة الدور	هل تحتاج إلى دور المعاينة؟
استخدام "مستكشف التهديدات" (والكشف في الوقت الحقيقي) لتحليل التهديدات	المسؤول العام مسؤول الأمان قارئ الأمان	لا
استخدام "مستكشف التهديدات" (والكشف في الوقت الحقيقي) لعرض رؤوس رسائل البريد الإلكتروني بالإضافة إلى معاينة رسائل البريد الإلكتروني المعزولة وتنزيلها	المسؤول العام مسؤول الأمان قارئ الأمان	لا
استخدام "مستكشف التهديدات" لعرض رؤوس الصفحات ومعاينة البريد الإلكتروني (في صفحة كيان البريد الإلكتروني فقط) وتنزيل رسائل البريد الإلكتروني التي يتم تسليمها إلى علب البريد	المسؤول العام مسؤول الأمان قارئ الأمان معاينة	نعم

ملاحظة

المعاينة هي دور، وليس مجموعة دور. يجب إضافة دور المعاينة إلى مجموعة دور موجودة أو مجموعة دور جديدة في Microsoft 365 Defender المدخل. لمزيد من المعلومات، راجع الأذونات في Microsoft 365 Defender المدخل.

يتم تعيين دور المسؤول العام مركز مسؤولي Microsoft 365 في https://admin.microsoft.com. يتم تعيين أدوار مسؤول الأمان وقارئ الأمان في Microsoft 365 Defender المدخل.

نحن نفهم أن معاينة البريد الإلكتروني وتنزيلها أنشطة حساسة، لذا يتم تمكين التدقيق لهذه الأنشطة. بمجرد أن يقوم المسؤول بتنفيذ هذه الأنشطة على البريد الإلكتروني، يتم إنشاء سجلات التدقيق للشيء نفسه ويمكن مراجعتها في مدخل Microsoft 365 Defender > https://security.microsoft.com في علامة التبويب بحث التدقيق، والتصفية على اسم المسؤول في المربع المستخدمون. سوف تظهر النتائج التي تمت تصفيتها النشاط AdminMailAccess. حدد صفا لعرض التفاصيل في القسم مزيد من المعلومات حول البريد الإلكتروني الذي تم معاينته أو تنزيله.

البحث عن بريد إلكتروني مريب تم تسليمه

إن "مستكشف التهديدات" هو تقرير قوي يمكن أن يخدم أغراضا متعددة، مثل البحث عن الرسائل وحذفها، أو تحديد عنوان IP لمرسل بريد إلكتروني ضار، أو بدء حادث لمزيد من التحقيق. يركز الإجراء التالي على استخدام المستكشف للعثور على البريد الإلكتروني الضار وحذفه من علب بريد المستلمين.

ملاحظة

لا تتضمن عمليات البحث الافتراضية في المستكشف حاليا العناصر التي تم تسليمها التي تمت إزالتها من علبة بريد السحابة عن طريق إزالة تلقائية لمدة ساعة (ZAP). ينطبق هذا القيد على كل طرق العرض (على سبيل المثال، طرق عرض البريد > الإلكتروني البرامج الضارة أو التصيد > الاحتيالي للبريد الإلكتروني). لتضمين العناصر التي تمت إزالتها بواسطة ZAP، تحتاج إلى إضافة مجموعة إجراءات تسليم لتضمين إزالة بواسطة ZAP. إذا قمت بتضمين كل الخيارات، سترى كل نتائج إجراءات التسليم، بما في ذلك العناصر التي تمت إزالتها بواسطة ZAP.

1. في مدخل Microsoft 365 Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & مستكشف التعاون > . الانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorer.

   في صفحة المستكشف ، يعرض العمود إجراءات إضافية المسؤولين نتيجة معالجة رسالة بريد إلكتروني. يمكن الوصول إلى عمود الإجراءات الإضافية في نفس مكان إجراء التسليم وموقع التسليم. قد يتم تحديث الإجراءات الخاصة في نهاية المخطط الزمني للبريد الإلكتروني في "مستكشف التهديدات"، وهي ميزة جديدة تهدف إلى تحسين تجربة الصيد للمسؤولين.

2. في القائمة عرض ، اختر البريد الإلكتروني > الكل من القائمة المنسدلة.

   

   طريقة عرض البرامج الضارة هي طريقة العرض الافتراضية حاليا، وتلتقط رسائل البريد الإلكتروني حيث يتم الكشف عن وجود خطر البرامج الضارة. تعمل طريقة عرض التصيد الاحتيالي بالطريقة نفسها، في حالة التصيد الاحتيالي.

   ومع ذلك ، تسرد كل طريقة عرض البريد الإلكتروني كل بريد تستلمه المؤسسة، سواء تم الكشف عن تهديدات أم لا. كما يمكنك أن تتصور، هذه بيانات كثيرة، ولهذا السبب تعرض طريقة العرض هذه عنصر نائب يطلب تطبيق عامل تصفية. (تتوفر طريقة العرض هذه فقط Defender لـ Office 365 P2.)

   تظهر طريقة عرض الواجبات المرسلة كل رسائل البريد المرسلة من قبل المسؤول أو المستخدم الذي تم إرسال تقرير به إلى Microsoft.

3. البحث والتصفية في " مستكشف التهديدات": تظهر عوامل التصفية في أعلى الصفحة في شريط البحث لمساعدة المسؤولين في عمليات البحث الخاصة بهم. لاحظ أنه يمكن تطبيق عوامل تصفية متعددة في الوقت نفسه، كما يمكن إضافة قيم متعددة مفصولة بفصول إلى عامل تصفية لتضييق نطاق البحث. تذكر:

   • تقوم عوامل التصفية بمطابقة دقيقة لمعظم شروط التصفية.
   • يستخدم عامل تصفية الموضوع استعلام CONTAINS.
   • تعمل عوامل تصفية URL مع البروتوكولات أو بدونها (على ذلك). https).
   • لا يتطلب مجال URL ومسار URL ومجال URL وتصفية المسار بروتوكولا للتصفية.
   • يجب النقر فوق الأيقونة تحديث في كل مرة تقوم فيها بتغيير قيم التصفية للحصول على نتائج ذات صلة.

4. عوامل التصفية المتقدمة: باستخدام عوامل التصفية هذه، يمكنك إنشاء استعلامات معقدة وتصفية مجموعة البيانات. يؤدي النقر فوق عوامل التصفية المتقدمة إلى فتح القائمة من القائمة من خلال خيارات.

   التصفية المتقدمة هي إضافة رائعة لإمكانيات البحث. تسمح قيمة NOT في عوامل تصفية مجال المستلم والمرسل والمرسل للمسؤولين بالتحقق من خلال استبعاد القيم. هذا الخيار هو لا يساوي أي تحديد . يسمح هذا الخيار للمسؤولين باستبعاد علب البريد غير المرغوب فيها من عمليات البحث (على سبيل المثال، علب بريد التنبيهات علب بريد الرد الافتراضية)، وهو مفيد في الحالات التي يبحث فيها المسؤولون عن موضوع معين (على سبيل المثال، الانتباه) حيث لا يمكن تعيين المستلم إلى يساوي أيا من : defaultMail@contoso.com. هذه عملية بحث عن قيمة دقيقة.

   

   تساعد إضافة عامل تصفية الوقت إلى تاريخ البدء وتاريخ الانتهاء فريق الأمان على التنقل لأسفل بسرعة. أقصر مدة زمنية مسموح بها هي 30 دقيقة. إذا كان بإمكانك تضييق نطاق الإجراء المريب حسب الإطار الزمني (على سبيل المثال، حدث قبل 3 ساعات)، فإن هذا سيحد من السياق وسيساعد على تحديد المشكلة.

   

5. الحقول في "مستكشف التهديدات": يعرض "مستكشف التهديدات" الكثير من معلومات البريد ذات الصلة ب الأمان مثل إجراء التسليم وموقع التسليم والتحرك الخاص والاتجاه والتجاوز وتهديد URL. كما يسمح لفريق الأمان في مؤسستك بالتحقق بيقين أعلى.

   إجراء التسليم هو الإجراء الذي تم اتخاذه على رسالة بريد إلكتروني بسبب وجود سياسات أو اكتشافات. فيما يلي الإجراءات المحتملة التي يمكن أن يتخذها البريد الإلكتروني:

   • تم التسليم – تم تسليم البريد الإلكتروني إلى علبة الوارد أو المجلد الخاص بالمستخدم ويمكن للمستخدم الوصول إليه مباشرة.
   • غير هام (تم التسليم إلى بريد غير هام)– تم إرسال البريد الإلكتروني إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم أو المجلد المحذوف، كما يمكن للمستخدم الوصول إلى رسائل البريد الإلكتروني في المجلد غير الهام أو المحذوف.
   • تم الحظر – أي رسائل بريد إلكتروني معزولة أو فشلت أو تم إسقاطها.
   • تم استبدال - أي بريد إلكتروني يتم فيه استبدال المرفقات الضارة بملفات .txt التي ذكر فيها المرفق أنه ضار

   موقع التسليم: يتوفر عامل تصفية موقع التسليم لمساعدة المسؤولين على فهم مكان انتهاء البريد الضار المشتبه به والإجراءات التي تم اتخاذها عليه. يمكن تصدير البيانات الناتجة إلى جدول بيانات. مواقع التسليم المحتملة هي:

   • علبة الوارد أو المجلد – البريد الإلكتروني في علبة الوارد أو مجلد معين، وفقا لقواعد البريد الإلكتروني.
   • علب البريد المحلية أو الخارجية – علبة البريد غير موجودة في السحابة ولكنها موجودة في الموقع الداخلي.
   • مجلد البريد غير الهام – يكون البريد الإلكتروني في مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم.
   • مجلد العناصر المحذوفة – يكون البريد الإلكتروني في مجلد العناصر المحذوفة الخاص بالمستخدم.
   • الفحص – البريد الإلكتروني في عزل، وليس في علبة بريد المستخدم.
   • فشل – فشل البريد الإلكتروني في الوصول إلى علبة البريد.
   • تم إسقاط – تم فقدان البريد الإلكتروني في مكان ما في تدفق البريد.

   الاتجاه: يسمح هذا الخيار لفريق عمليات الأمان بالتصفية حسب 'الاتجاه' الذي يأتي منه البريد أو يجري. قيم الاتجاهات هي الوارد وال الصادر و داخل المؤسسة (التي تطابق البريد الوارد إلى المؤسسة من الخارج أو يتم إرسالها من المؤسسة أو يتم إرسالها داخليا إلى المؤسسة على التوالي). يمكن أن تساعد هذه المعلومات فرق عمليات الأمان على اكتشاف الانتحال والنتحال، نظرا لعدم التطابق بين قيمة الاتجاه (على المثال. الوارد)، وسيظهر مجال المرسل (الذي يبدو أنه مجال داخلي) بوضوح! قيمة الاتجاه منفصلة، ويمكن أن تختلف عن، تتبع الرسائل. يمكن تصدير النتائج إلى جدول بيانات.

   التجاوز: يأخذ عامل التصفية هذا المعلومات التي تظهر على علامة تبويب تفاصيل البريد ويستخدمها للكشف عن المكان الذي تم فيه تجاوز سياسات المؤسسة أو المستخدم للسماح بالبريد وحظره. إن أهم شيء في عامل التصفية هذا هو أنه يساعد فريق الأمان في مؤسستك على معرفة عدد رسائل البريد الإلكتروني المريبة التي تم تسليمها بسبب التكوين. مما يمنحهم فرصة لتعديل السماح والحظر حسب الحاجة. يمكن تصدير مجموعة النتائج هذه من عامل التصفية هذا إلى جدول بيانات.

   تجاوزات "مستكشف التهديدات"	معاناتها
   مسموح به بواسطة نهج المؤسسة	تم السماح بالبريد في علبة البريد كما هو موجه من نهج المؤسسة.
   تم الحظر بواسطة نهج المؤسسة	تم حظر البريد من التسليم إلى علبة البريد كما هو موجه من نهج المؤسسة.
   ملحق الملف المحظور بواسطة نهج المؤسسة	تم حظر الملف من التسليم إلى علبة البريد كما هو موجه من نهج المؤسسة.
   مسموح به بواسطة نهج المستخدم	تم السماح بالبريد في علبة البريد كما هو موجه بواسطة نهج المستخدم.
   تم الحظر بواسطة نهج المستخدم	تم حظر البريد من التسليم إلى علبة البريد كما هو موجه من نهج المستخدم.

   خطر URL: تم تضمين حقل خطر URL على علامة تبويب التفاصيل في رسالة بريد إلكتروني للإشارة إلى التهديد الذي يقدمه عنوان URL. يمكن أن تتضمن التهديدات التي يعرضها عنوان URL البرامج الضارة أو التصيد الاحتيالي أو البريد العشوائي، وسيقول عنوان URL بدون أي تهديدات بلا في قسم التهديدات.

6. طريقة عرض المخطط الزمني للبريد الإلكتروني: قد يحتاج فريق عمليات الأمان إلى التعمق في تفاصيل البريد الإلكتروني للتحقق بشكل أكبر. يتيح المخطط الزمني للبريد الإلكتروني للمسؤولين عرض الإجراءات التي تم اتخاذها على رسالة بريد إلكتروني من التسليم إلى ما بعد التسليم. لعرض مخطط زمني للبريد الإلكتروني، انقر فوق موضوع رسالة بريد إلكتروني، ثم انقر فوق المخطط الزمني للبريد الإلكتروني. (يظهر ضمن عناوين أخرى على اللوحة مثل ملخص أو تفاصيل.) يمكن تصدير هذه النتائج إلى جدول بيانات.

   سيتم فتح المخطط الزمني للبريد الإلكتروني على جدول يعرض كل أحداث التسليم وما بعد التسليم للبريد الإلكتروني. إذا لم يكن هناك أي إجراءات إضافية على البريد الإلكتروني، يجب أن ترى حدثا واحدا للتسليم الأصلي يشير إلى نتيجة، مثل "تم الحظر"، مع قرار مثل "التصيد الاحتيالي". يمكن للمسؤولين تصدير المخطط الزمني للبريد الإلكتروني بأكمله، بما في ذلك كل التفاصيل على علامة التبويب والبريد الإلكتروني (مثل الموضوع والمرسل والمستلم والشبكات وم ID الرسالة). يخفض المخطط الزمني للبريد الإلكتروني عملية العشوائية بسبب وجود وقت أقل يقضيه في التحقق من مواقع مختلفة لمحاولة فهم الأحداث التي حدثت منذ وصول البريد الإلكتروني. عند وقوع أحداث متعددة في الوقت نفسه أو بالقرب منه في نفس الوقت على رسالة بريد إلكتروني، تظهر هذه الأحداث في طريقة عرض المخطط الزمني.

7. معاينة / تنزيل: يوفر Threat Explorer لفريق عمليات الأمان التفاصيل التي يحتاج إليها للتحقق من البريد الإلكتروني المريب. يمكن لفريق عمليات الأمان إما:

   • تحقق من إجراء التسليم وموقعه.

   • عرض المخطط الزمني لبريدك الإلكتروني.

التحقق من إجراء التسليم وموقعه

في "مستكشف التهديدات" (والكشف في الوقت الحقيقي)، لديك الآن عمودا "إجراء التسليم" و"موقع التسليم" بدلا من عمود "حالة التسليم" السابق. يؤدي ذلك إلى صورة أكثر اكتمالا لنتائج رسائل البريد الإلكتروني. جزء من هدف هذا التغيير هو تسهيل عمليات البحث لفرق عمليات الأمان، ولكن النتيجة الصافية هي معرفة موقع رسائل البريد الإلكتروني للمشكلة بنظرة سريعة.

يتم الآن تقسيم حالة التسليم إلى عمودين:

• إجراء التسليم - ما هي حالة هذا البريد الإلكتروني؟
• موقع التسليم - أين تم توجيه هذا البريد الإلكتروني كنتيجة لذلك؟

إجراء التسليم هو الإجراء الذي تم اتخاذه على رسالة بريد إلكتروني بسبب وجود سياسات أو اكتشافات. فيما يلي الإجراءات المحتملة التي يمكن أن يتخذها البريد الإلكتروني:

• تم التسليم – تم تسليم البريد الإلكتروني إلى علبة الوارد أو المجلد الخاص بالمستخدم ويمكن للمستخدم الوصول إليه مباشرة.
• غير هام – تم إرسال البريد الإلكتروني إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم أو المجلد المحذوف، كما يمكن للمستخدم الوصول إلى رسائل البريد الإلكتروني في المجلد "غير الهام" أو "المحذوف".
• تم الحظر – أي رسائل بريد إلكتروني معزولة أو فشلت أو تم إسقاطها.
• تم استبدال - أي بريد إلكتروني يتم فيه استبدال المرفقات الضارة بملفات .txt أن المرفق كان ضارا.

يعرض موقع التسليم نتائج السياسات والكشف التي يتم تشغيلها بعد التسليم. وهي مرتبطة ب "إجراء التسليم". لقد تم إضافة هذا الحقل لإعطاء نظرة متعمقة حول الإجراء الذي تم اتخاذه عند العثور على بريد مشكلة. فيما يلي القيم المحتملة لموقع التسليم:

• علبة الوارد أو المجلد – البريد الإلكتروني في علبة الوارد أو مجلد (وفقا لقواعد البريد الإلكتروني).
• علب البريد المحلية أو الخارجية – علبة البريد غير موجودة على السحابة ولكنها موجودة في الموقع الداخلي.
• مجلد البريد غير الهام – البريد الإلكتروني في مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم.
• مجلد العناصر المحذوفة – يكون البريد الإلكتروني في مجلد العناصر المحذوفة الخاص بالمستخدم.
• الفحص – البريد الإلكتروني في عزل، وليس في علبة بريد المستخدم.
• فشل – فشل البريد الإلكتروني في الوصول إلى علبة البريد.
• تم إسقاطه – يتم فقدان البريد الإلكتروني في مكان ما في تدفق البريد.

عرض المخطط الزمني لبريدك الإلكتروني

الخط الزمني للبريد الإلكتروني هو حقل في "مستكشف التهديدات" يسهل عملية البحث لفريق عمليات الأمان. عند وقوع أحداث متعددة في الوقت نفسه أو بالقرب منه على رسالة بريد إلكتروني، تظهر هذه الأحداث في طريقة عرض المخطط الزمني. يتم التقاط بعض الأحداث التي تحدث بعد تسليم البريد الإلكتروني في العمود الإجراءات الخاصة. يوفر دمج المعلومات من المخطط الزمني لرسالة بريد إلكتروني مع أي إجراءات خاصة تم اتخاذها بعد التسليم نظرة ثاقبة للمسؤولين حول السياسات ومعالجة المخاطر (مثل مكان توجيه البريد، وفي بعض الحالات التقييم النهائي).

هام

الانتقال إلى موضوع المعالجة هنا.

المواضيع ذات الصلة

إعادة معالجة البريد الإلكتروني الضار الذي تم تسليمه في Office 365

Microsoft Defender لـ Office 365

الحماية من التهديدات في Office 365

عرض تقارير Defender لـ Office 365