تزييف التحليل الذكي في EOP

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• خطة 1 وخطة 2 من Microsoft Defender لـ Office 365
• Microsoft 365 Defender

في المؤسسات Microsoft 365 التي تحتوي على علب بريد في Exchange Online أو مؤسسات Exchange Online Protection مستقلة (EOP) بدون علب بريد Exchange Online، تتم حماية رسائل البريد الإلكتروني الواردة تلقائيا من الانتحال. يستخدم EOP التحليل الذكي للانتحال كجزء من الدفاع العام لمؤسستك ضد التصيد الاحتيالي. لمزيد من المعلومات، راجع الحماية من الانتحال في EOP.

عندما ينتحل المرسل عنوان بريد إلكتروني، يبدو أنه مستخدم في أحد مجالات مؤسستك، أو مستخدم في مجال خارجي يرسل بريدا إلكترونيا إلى مؤسستك. يجب حظر المهاجمين الذين ينتحلون هوية المرسلين لإرسال البريد الإلكتروني العشوائي أو التصيد الاحتيالي. ولكن هناك سيناريوهات حيث ينتحل المرسلون الشرعيون. على سبيل المثال:

• سيناريوهات شرعية لانتحال المجالات الداخلية:

  • يستخدم المرسلون التابعون لجهات خارجية مجالك لإرسال بريد مجمع إلى موظفيك لاستطلاعات رأي الشركة.
  • تقوم شركة خارجية بإنشاء تحديثات الإعلانات أو المنتجات وإرسالها بالنيابة عنك.
  • يحتاج المساعد بانتظام إلى إرسال بريد إلكتروني لشخص آخر داخل مؤسستك.
  • يرسل تطبيق داخلي إعلامات بالبريد الإلكتروني.

• السيناريوهات المشروعة لانتحال المجالات الخارجية:

  • يوجد المرسل في قائمة بريدية (تعرف أيضا بقائمة مناقشة)، وترحل القائمة البريدية البريد الإلكتروني من المرسل الأصلي إلى جميع المشاركين في القائمة البريدية.
  • ترسل شركة خارجية بريدا إلكترونيا نيابة عن شركة أخرى (على سبيل المثال، تقرير مؤتمت أو شركة برمجيات كخدمة).

يمكنك استخدام رؤى التحليل الذكي المخادعة في مدخل Microsoft 365 Defender لتحديد المرسلين المخادعة الذين يرسلون إليك رسائل بريد إلكتروني غير مصادق عليها (رسائل من مجالات لا تمر بفحوصات SPF أو DKIM أو DMARC) بسرعة، والسماح لهؤلاء المرسلين يدويا.

من خلال السماح للمرسلين المعروفين بإرسال رسائل منتحلة من مواقع معروفة، يمكنك تقليل الإيجابيات الخاطئة (تم وضع علامة سيئة على البريد الإلكتروني الجيد). من خلال مراقبة المرسلين المخادعة المسموح بهم، يمكنك توفير طبقة إضافية من الأمان لمنع وصول الرسائل غير الآمنة إلى مؤسستك.

وبالمثل، يمكنك مراجعة المرسلين المخادعة الذين تم السماح بهم بواسطة التحليل الذكي المخادعة وحظر هؤلاء المرسلين يدويا من رؤى التحليل الذكي المخادعة.

تشرح بقية هذه المقالة كيفية استخدام التحليل الذكي للانتحال في مدخل Microsoft 365 Defender وفي PowerShell (Exchange Online PowerShell للمؤسسات Microsoft 365 مع علب البريد في Exchange Online؛ EOP PowerShell مستقل للمؤسسات دون Exchange Online علب البريد).

ملاحظة

• يظهر فقط المرسلون المخادعة الذين تم اكتشافهم بواسطة التحليل الذكي المخادعة في التحليل الذكي المخادعة. عند تجاوز قرار السماح أو الحظر في نتيجة التحليل، يصبح المرسل المخادع السماح اليدوي أو إدخال الحظر الذي يظهر فقط على علامة تبويب الانتحال في قائمة السماح/الحظر للمستأجر. يمكنك أيضا إنشاء إدخالات السماح أو الحظر يدويا للمرسلين المخادعة قبل اكتشافهم بواسطة التحليل الذكي للانتحال. لمزيد من المعلومات، راجع إدارة قائمة السماح/الحظر للمستأجر في EOP.

• تستبدل نتيجة التحليل الذكي للانتحال وعلامة التبويب "تزييف الهوية" في قائمة "السماح بالمستأجر/الحظر" وظيفة نهج التحليل الذكي الذي كان متوفرا على صفحة نهج مكافحة البريد العشوائي في مركز التوافق & الأمان.

• تظهر نتيجة التحليل الذكي المخادعة بيانات بقيمة 7 أيام. يعرض الأمر Get-SpoofIntelligenceInsight cmdlet بيانات بقيمة 30 يوما.

ما الذي تحتاج إلى معرفته قبل البدء؟

• يمكنك فتح مدخل Microsoft 365 Defender في https://security.microsoft.com. للانتقال مباشرة إلى علامة التبويب "انتحال " في صفحة "السماح بالمستأجر/قائمة الحظر "، استخدم https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. للانتقال مباشرة إلى صفحة التحليل الذكي للانتحال ، استخدم https://security.microsoft.com/spoofintelligence.

• للاتصال Exchange Online PowerShell، راجع الاتصال إلى Exchange Online PowerShell. للاتصال ب EOP PowerShell مستقل، راجع الاتصال إلى Exchange Online Protection PowerShell.

• يجب تعيين أذونات لك في Exchange Online قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة:

  • لتعديل نهج التحليل الذكي المخادعة أو تمكين التحليل الذكي للانتحال أو تعطيله، يجب أن تكون عضوا في
    • إدارة المؤسسة
    • مسؤول الأمان وتكوين العرض فقط أو إدارة المؤسسة للعرض فقط.
  • للوصول للقراءة فقط إلى نهج التحليل الذكي المخادعة، يجب أن تكون عضوا في مجموعات دور القارئ العمومي أو قارئ الأمان .

  لمزيد من المعلومات، راجع الأذونات في Exchange Online.

  ملاحظة

  • إضافة مستخدمين إلى دور Azure Active Directory المقابل في مركز مسؤولي Microsoft 365 يمنح المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365. لمزيد من المعلومات، راجع حول أدوار المسؤولين.
  • كما توفر مجموعة دور إدارة المؤسسة للعرض فقط في Exchange Online إمكانية الوصول للقراءة فقط إلى الميزة.

• يمكنك تمكين وتعطيل التحليل الذكي للانتحال في نهج مكافحة التصيد الاحتيالي في EOP Microsoft Defender لـ Office 365. يتم تمكين التحليل الذكي للانتحال بشكل افتراضي. لمزيد من المعلومات، راجع تكوين نهج مكافحة التصيد الاحتيالي في EOP أو تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

• للحصول على الإعدادات الموصى بها للتحلي الذكي للانتحال، راجع إعدادات نهج مكافحة التصيد الاحتيالي EOP.

فتح التحليل الذكي المخادعة في مدخل Microsoft 365 Defender

1. في مدخل Microsoft 365 Defender، https://security.microsoft.comانتقل إلى "نهج تعاون > & البريد الإلكتروني **" & "**نهج > مخاطر القواعد > "، قوائم السماح/الحظر للمستأجر في قسم "القواعد". للانتقال مباشرة إلى علامة التبويب "انتحال " في صفحة "السماح بالمستأجر/قائمة الحظر "، استخدم https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

2. في صفحة قوائم السماح/الحظر للمستأجر ، تبدو نتيجة التحليل الذكي للانتحال كما يلي:

   

   تحتوي نتيجة التحليل على وضعين:

   • وضع التحليل: إذا تم تمكين التحليل الذكي المخادعة، تظهر لك نتيجة التحليلات عدد الرسائل التي تم اكتشافها بواسطة التحليل الذكي الخادح خلال الأيام السبعة الماضية.
   • ماذا لو كان الوضع: إذا تم تعطيل التحليل الذكي للانتحال، فإن نتيجة التحليل تظهر لك عدد الرسائل التي كان سيتم اكتشافها بواسطة التحليل الذكي الخادعة خلال الأيام السبعة الماضية.

لعرض معلومات حول عمليات الكشف عن المعلومات الذكية الخادعة، انقر فوق عرض نشاط تزييف الهوية في التحليل الذكي المخادعة.

عرض معلومات حول الرسائل المنتحلة

ملاحظة

تذكر أن المرسلين المخادعة فقط الذين تم اكتشافهم بواسطة التحليل الذكي المخادعة يظهرون على هذه الصفحة. عند تجاوز قرار السماح أو الحظر في نتيجة التحليل، يصبح المرسل المخادع السماح اليدوي أو إدخال الحظر الذي يظهر فقط على علامة تبويب الانتحال في قائمة السماح/الحظر للمستأجر.

في صفحة التحليل الذكي المخادعة التي تظهر بعد النقر فوق عرض نشاط تزييف الهوية في التحليل الذكي الخادعة، تحتوي الصفحة على المعلومات التالية:

• المستخدم المخادعة: مجال المستخدم المخادعة الذي يتم عرضه في المربع "من " في عملاء البريد الإلكتروني. يعرف العنوان "من" أيضا بالعنوان 5322.From .
• إرسال البنية الأساسية: يعرف أيضا باسم البنية الأساسية. ستكون البنية الأساسية المرسلة إحدى القيم التالية:
  • المجال الموجود في بحث DNS العكسي (سجل PTR) لعنوان IP لخادم البريد الإلكتروني المصدر.
  • إذا لم يكن لعنوان IP المصدر سجل PTR، فسيتم تعريف البنية الأساسية للإرسال على أنها <source IP>/24 (على سبيل المثال، 192.168.100.100/24).
• عدد الرسائل: عدد الرسائل من تركيبة المجال المخادعة والبنية الأساسية للإرسال إلى مؤسستك خلال آخر 7 أيام.
• آخر ظهور: التاريخ الأخير الذي تم فيه تلقي رسالة من البنية الأساسية للإرسال التي تحتوي على المجال المخادعة.
• نوع الانتحال: إحدى القيم التالية:
  • داخلي: المرسل المخادع موجود في مجال ينتمي إلى مؤسستك ( مجال مقبول).
  • خارجي: المرسل المخادع موجود في مجال خارجي.
• الإجراء: هذه القيمة مسموح بها أو محظورة:
  • مسموح به: فشل المجال في التحقق من مصادقة البريد الإلكتروني الصريحة SPF وDKIM وDMARC. ومع ذلك، مرر المجال عمليات التحقق من مصادقة البريد الإلكتروني الضمنية (المصادقة المركبة). ونتيجة لذلك، لم يتم اتخاذ أي إجراء لمكافحة الانتحال في الرسالة.
  • محظور: يتم وضع علامة على الرسائل من مجموعة من المجال المخادعة وإرسال البنية الأساسية على أنها سيئة من خلال التحليل الذكي للانتحال. يتم التحكم في الإجراء الذي يتم اتخاذه على الرسائل المخادعة بواسطة نهج مكافحة التصيد الاحتيالي الافتراضي أو نهج مكافحة التصيد الاحتيالي المخصصة (القيمة الافتراضية هي نقل الرسالة إلى مجلد البريد الإلكتروني غير الهام). لمزيد من المعلومات، راجع تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

يمكنك النقر فوق عناوين الأعمدة المحددة لفرز النتائج.

لتصفية النتائج، لديك الخيارات التالية:

• انقر فوق الزر "تصفية ". في القائمة المنبثقة " تصفية " التي تظهر، يمكنك تصفية النتائج حسب:
  • نوع تزييف هوية
  • العمل
• استخدم مربع البحث لإدخال قائمة مفصولة بفواصل لقيم المجال المخادعة أو إرسال قيم البنية الأساسية لتصفية النتائج.

عرض تفاصيل حول الرسائل المنتحلة

عند تحديد إدخال من القائمة، تظهر قائمة منبثقة للتفاصيل تحتوي على المعلومات والميزات التالية:

• السماح بالانتحال أو الحظر من الانتحال: حدد إحدى هذه القيم لتجاوز حكم التحليل الذكي للانتحال الأصلي ونقل الإدخال من التحليل الذكي للانتحال إلى قائمة السماح/الحظر للمستأجر كلسماح أو حظر الإدخال للانتحال.
• لماذا اكتشفنا هذا.
• ما عليك القيام به.
• ملخص المجال الذي يتضمن معظم المعلومات نفسها من صفحة التحليل الذكي للانتحال الرئيسية.
• بيانات WhoIs حول المرسل.
• ارتباط لفتح مستكشف المخاطر للاطلاع على تفاصيل إضافية حول المرسل ضمن عرض > التصيد الاحتيالي في Microsoft Defender لـ Office 365.
• رسائل مماثلة رأيناها في المستأجر الخاص بك من نفس المرسل.

حول المرسلين المخادعة المسموح بهم

يسمح المرسل المخادع المسموح به في رؤى التحليل الذكي المخادعة أو المرسل المخادع المحظور الذي قمت بتغييره يدويا إلى السماح بالانتحال فقط بالرسائل من تركيبة المجال المخادع والبنية الأساسية لإرسال. ولا يسمح بالبريد الإلكتروني من المجال المخادعة من أي مصدر، كما أنه لا يسمح بالبريد الإلكتروني من البنية الأساسية للإرسال لأي مجال.

على سبيل المثال، يسمح للمرسل المخادع التالي بالانتحال:

• المجال: gmail.com
• البنية الأساسية: tms.mx.com

سيتم السماح فقط للبريد الإلكتروني من هذا المجال/زوج البنية التحتية المرسلة بالانتحال. لا يسمح تلقائيا بالمرسلين الآخرين الذين يحاولون تزييف gmail.com. لا تزال الرسائل الواردة من المرسلين في مجالات أخرى تنشأ من tms.mx.com محددة بواسطة التحليل الذكي للانتحال، وقد يتم حظرها.

استخدام التحليل الذكي المخادعة في Exchange Online PowerShell أو EOP PowerShell المستقل

في PowerShell، يمكنك استخدام Get-SpoofIntelligenceInsight cmdlet لعرض المرسلين المخادعة المسموح بهم والمحظرين الذين تم اكتشافهم بواسطة التحليل الذكي للانتحال. للسماح بالمرسلين المخادعة يدويا أو حظرهم، تحتاج إلى استخدام New-TenantAllowBlockListSpoofItems cmdlet. لمزيد من المعلومات، راجع استخدام PowerShell لإدارة إدخالات المرسلين المخادعة إلى قائمة السماح/الحظر للمستأجر.

لعرض المعلومات في التحليل الذكي المخادعة، قم بتشغيل الأمر التالي:

Get-SpoofIntelligenceInsight

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-SpoofIntelligenceInsight.

طرق أخرى لإدارة الانتحال والتصيد الاحتيالي

كن مجتهدا في الحماية من الانتحال والتصيد الاحتيالي. فيما يلي طرق ذات صلة للتحقق من المرسلين الذين ينتحلون مجالك ويساعدون على منعهم من إلحاق الضرر بمؤسستك:

• تحقق من تقرير البريد المخادعة. يمكنك استخدام هذا التقرير غالبا لعرض المرسلين المخادعة والمساعدة في إدارتهم. للحصول على معلومات، راجع تقرير عمليات الكشف عن الانتحال.

• راجع تكوين إطار نهج المرسل (SPF). للحصول على مقدمة سريعة إلى SPF وتكوينه بسرعة، راجع إعداد SPF في Microsoft 365 للمساعدة في منع انتحال هوية. للحصول على فهم أكثر تعمقا لكيفية استخدام Office 365 ل SPF، أو لاستكشاف الأخطاء وإصلاحها أو عمليات النشر غير القياسية مثل عمليات النشر المختلطة، ابدأ بكيفية استخدام Office 365 إطار نهج المرسل (SPF) لمنع تزييف الهوية.

• راجع تكوين DomainKeys Identified Mail (DKIM). يجب عليك استخدام DKIM بالإضافة إلى SPF وDMARC للمساعدة في منع المهاجمين من إرسال الرسائل التي تبدو وكأنها واردة من مجالك. يتيح لك DKIM إضافة توقيع رقمي إلى رسائل البريد الإلكتروني في رأس الرسالة. للحصول على معلومات، راجع استخدام DKIM للتحقق من صحة البريد الإلكتروني الصادر المرسل من مجالك المخصص في Office 365.

• راجع تكوين مصادقة الرسائل وإعداد التقارير والمطابقة (DMARC) المستند إلى المجال. يوفر تنفيذ DMARC مع SPF وDKIM حماية إضافية من الانتحال والتصيد الاحتيالي. يساعد DMARC في تلقي أنظمة البريد لتحديد ما يجب فعله بالرسائل المرسلة من مجالك التي تفشل في عمليات التحقق من SPF أو DKIM. للحصول على معلومات، راجع استخدام DMARC للتحقق من صحة البريد الإلكتروني في Office 365.