الملاحظات

صفحة كيان البريد الإلكتروني

  • مقالة
  • قراءة خلال 11 دقائق

في هذه المقالة:

يتمتع مسؤولو Microsoft Defender لـ Office 365 E5 و Defender ل Office P1 وP2 بعرض 360 درجة للبريد الإلكتروني باستخدام صفحة كيان البريد الإلكتروني. تم إنشاء صفحة البريد الإلكتروني هذه لتحسين المعلومات التي تم تسليمها في القائمة المنبثقة "تفاصيل البريد الإلكتروني" في مستكشف المخاطر.

الوصول إلى صفحة كيان البريد الإلكتروني

تتوفر صفحة كيان البريد الإلكتروني في مدخل Microsoft 365 Defender في https://security.microsoft.com "مستكشف التعاون > & البريد الإلكتروني". أو للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorer.

في Explorer، حدد موضوع رسالة بريد إلكتروني تقوم بالتحقيق فيها. سيتم عرض شريط ذهبي في أعلى قائمة البريد الإلكتروني المنبثقة لهذا البريد. هذه الدعوة إلى الصفحة الجديدة، تقرأ "تجربة صفحة كيان البريد الإلكتروني الجديد مع البيانات التي تم إثراؤها...". حدد لعرض الصفحة الجديدة.

الشعار الذهبي الذي يحتوي على الكلمات *جرب صفحة كيان البريد الإلكتروني الجديدة مع البيانات التي تم إثراؤها* للانتقال إلى التجربة الجديدة

رسم صفحة كيان البريد الإلكتروني التي تركز على العناوين التي ستراها

ملاحظة

الأذونات اللازمة لعرض هذه الصفحة واستخدامها هي نفسها طريقة عرض المستكشف. يجب أن يكون المسؤول عضوا في المسؤول العمومي أو القارئ العمومي أو مسؤول الأمان أو قارئ الأمان. لمزيد من المعلومات، راجع الأذونات في مدخل Microsoft 365 Defender.

قراءة صفحة كيان البريد الإلكتروني

تم تصميم البنية لتكون سهلة القراءة والتنقل في لمحة سريعة. تسمح لك علامات التبويب المختلفة على طول الجزء العلوي من الصفحة بالتحقق بمزيد من التفاصيل. إليك كيفية عمل التخطيط:

  1. توجد الحقول الأكثر تطلبا على الجانب الأيسر من القائمة المنبثقة. هذه التفاصيل 'ملصقة'، ما يعني أنها مرتكزة إلى اليسار بغض النظر عن علامة التبويب التي تنتقل إليها في بقية القائمة المنبثقة.

    رسم صفحة كيان البريد الإلكتروني مع تمييز الجانب الأيسر

  2. في الزاوية العلوية اليسرى، توجد الإجراءات التي يمكن اتخاذها على رسالة بريد إلكتروني. كما ستتوفر أي إجراءات يمكن اتخاذها من خلال Explorer من خلال صفحة كيان البريد الإلكتروني.

    رسم صفحة كيان البريد الإلكتروني مع تمييز الجانب الأيسر

  3. يمكن إجراء تحليل أعمق من خلال الفرز عبر بقية الصفحة. تحقق من تفاصيل الكشف عن البريد الإلكتروني وحالة مصادقة البريد الإلكتروني والرأس. يجب البحث في هذه المنطقة على أساس كل حالة على حدة، ولكن المعلومات الموجودة في علامات التبويب هذه متوفرة لأي بريد إلكتروني.

    اللوحة الرئيسية للصفحة التي تتضمن رأس البريد الإلكتروني وحالة المصادقة

استخدام علامات تبويب صفحات كيان البريد الإلكتروني

ستسمح لك علامات التبويب على طول الجزء العلوي من صفحة الكيان بالتحقق من البريد الإلكتروني بكفاءة.

  1. المخطط الزمني: تعرض طريقة عرض المخطط الزمني لرسالة بريد إلكتروني (لكل مخطط زمني للمستكشف ) التسليم الأصلي لأحداث ما بعد التسليم التي تحدث على رسالة بريد إلكتروني. بالنسبة إلى رسائل البريد الإلكتروني التي لا تحتوي على إجراءات ما بعد التسليم، تعرض طريقة العرض صف التسليم الأصلي في طريقة عرض المخطط الزمني. أحداث مثل: إزالة تلقائية لمدة صفر ساعة (ZAP)، المعالجة، نقرات URL، إلخ cetera، من مصادر مثل: النظام والمسؤول والمستخدم، تظهر هنا، بالترتيب الذي حدثت به.
  2. تحليل: يعرض التحليل الحقول التي تساعد المسؤولين على تحليل رسالة بريد إلكتروني بعمق. بالنسبة للحالات التي يحتاج فيها المسؤولون إلى فهم المزيد حول الكشف والمرسل/المستلم وتفاصيل مصادقة البريد الإلكتروني، يجب عليهم استخدام علامة التبويب "تحليل". يتم أيضا العثور على ارتباطات للمرفقات وعناوين URL في هذه الصفحة، ضمن "الكيانات ذات الصلة". يتم ترقيم كل من المرفقات والتهديدات المحددة هنا، وسينقلك النقر مباشرة إلى المرفقات وصفحات URL. تحتوي علامة التبويب هذه أيضا على خيار "عرض الرأس" لإظهار رأس البريد الإلكتروني. يمكن للمسؤولين مقارنة أي تفاصيل من رؤوس البريد الإلكتروني، جنبا إلى جنب مع المعلومات الموجودة في اللوحة الرئيسية، للوضوح.
  3. المرفقات: يؤدي ذلك إلى فحص المرفقات الموجودة في البريد الإلكتروني مع العثور على تفاصيل أخرى على المرفقات. يقتصر عدد المرفقات المعروضة حاليا على 10 مرفقات. لاحظ أن تفاصيل إزالة المرفقات التي تم العثور عليها ضارة تظهر هنا أيضا.
  4. عناوين URL: تسرد علامة التبويب هذه عناوين URL الموجودة في البريد الإلكتروني مع تفاصيل أخرى حول عناوين URL. يقتصر عدد عناوين URL على 10 في الوقت الحالي، ولكن يتم تحديد أولويات هذه ال 10 لإظهار عناوين URL الضارة أولا. يوفر لك ترتيب الأولويات الوقت والعمل التخميني. سيتم أيضا عرض عناوين URL التي وجدت أنها ضارة وغير ضارة هنا.
  5. رسائل البريد الإلكتروني المماثلة: تسرد علامة التبويب هذه كل رسائل البريد الإلكتروني المشابهة لمعرف رسالة الشبكة + مجموعة المستلمين الخاصة بهذا البريد الإلكتروني. يستند التشابه إلى نص الرسالة فقط. لا تتضمن التحديدات التي تم إجراؤها على رسائل البريد لتصنيفها على أنها "متشابهة" مراعاة المرفقات.

جديد على صفحة كيان البريد الإلكتروني

هناك قدرات جديدة تأتي مع صفحة كيان البريد الإلكتروني هذه. إليك القائمة.

معاينة البريد الإلكتروني لعلب بريد السحابة

يمكن للمسؤولين معاينة رسائل البريد الإلكتروني في علب بريد السحابة، إذا كانت رسائل البريد لا تزال موجودة في السحابة. في حالة الحذف المبدئي (من قبل مسؤول أو مستخدم) أو ZAP (للعزل)، لن تكون رسائل البريد الإلكتروني موجودة في موقع السحابة. في هذه الحالة، لن يتمكن المسؤولون من معاينة رسائل البريد المحددة هذه. رسائل البريد الإلكتروني التي تم إسقاطها، أو التي فشل التسليم فيها، لم يتم إدخالها في علبة البريد. ونتيجة لذلك، لن يتمكن المسؤولون من معاينة رسائل البريد الإلكتروني هذه أيضا.

تحذير

تتطلب معاينة رسائل البريد الإلكتروني دورا خاصا يسمى معاينة. يمكنك إضافة هذا الدور في مدخل Microsoft 365 Defender كما هو موضح في أدوار التعاون & البريد الإلكتروني في مدخل Microsoft 365 Defender. قد تحتاج إلى إنشاء مجموعة دور تعاون جديدة & البريد الإلكتروني هناك وإضافة دور المعاينة إلى مجموعة الأدوار الجديدة هذه أو إضافة دور المعاينة إلى مجموعة أدوار تسمح للمسؤولين في مؤسستك بالعمل في Explorer.

تفاصيل التدارك

هذه التفاصيل خاصة بمرفقات البريد الإلكتروني وعناوين URL. يمكن للمستخدمين الاطلاع على هذه التفاصيل عن طريق الانتقال إلى Explorer وتطبيق مجموعة عوامل تصفية تقنية الكشف على إزالة الملفات أو إزالة عنوان URL. ستحتوي رسائل البريد الإلكتروني التي تمت تصفيتها للتفريز عن الملفات على ملف ضار يحتوي على تفاصيل إزالة البيانات، وتحتوي تلك التي تمت تصفيتها لعناوين URL على عنوان URL ضار وتفاصيل الحذف الخاصة به.

سيرى المستخدمون تفاصيل الحذف المثرية للمرفقات الضارة المعروفة أو عناوين URL التي تم العثور عليها في رسائل البريد الإلكتروني الخاصة بهم، والتي تم معالجتها لمستأجرهم المحدد. سيتضمن سلسلة التوالف وملخص الحذف ولقطة الشاشة وتفاصيل السلوك المراقب لمساعدة العملاء على فهم سبب اعتبار المرفق أو عنوان URL ضارا وغير ضار.

  1. سلسلة التشبع. يمكن أن يؤدي الالتفاف على ملف واحد أو عنوان URL إلى حدوث توالفات متعددة. تتعقب سلسلة التتبع مسار التتابعات، بما في ذلك الملف أو عنوان URL الضار الأصلي الذي تسبب في الحكم، وجميع الملفات الأخرى أو عناوين URL المتأثرة بالتضمين. قد لا تكون عناوين URL أو الملفات المرفقة هذه موجودة مباشرة في البريد الإلكتروني، ولكن من المهم تضمين هذا التحليل لتحديد سبب اكتشاف أن الملف أو URL ضار.

    ملاحظة

    قد يظهر هذا عنصر المستوى الأعلى فقط إذا لم يتم العثور على أي من الكيانات المرتبطة به على أنها مشكلة، أو تم معالجتها.

  2. يقدم ملخص التعطل ملخصا أساسيا للتعطل مثل وقت التحليل، ووقت حدوث التعطل، ونظام التشغيل والتطبيق، ونظام التشغيل والتطبيق الذي حدث فيه التعطل، وحجم الملف، وسبب الحكم.

  3. تظهر لقطات الشاشة لقطات الشاشة التي تم التقاطها أثناء الانعدار. يمكن أن تكون هناك لقطات شاشة متعددة أثناء الالتفاف. لم يتم التقاط لقطات شاشة ل

    • ملفات نوع الحاوية مثل .zip أو .rar.
    • إذا تم فتح URL في ارتباط يقوم بتنزيل ملف مباشرة. ومع ذلك، سترى الملف الذي تم تنزيله في سلسلة الحذف.

  4. تفاصيل السلوك هي عملية تصدير تعرض تفاصيل السلوك مثل الأحداث الدقيقة التي وقعت أثناء المعالجة، والملاحظات التي تحتوي على عناوين URL وعناوين IP والمجالات والملفات التي تم العثور عليها أثناء المعالجة (ويمكن أن تكون إما إشكالية أو ضارة). كن على علم، قد لا تكون هناك تفاصيل سلوك ل:

    • ملفات الحاوية مثل .zip أو .rar التي تحتفظ بملفات أخرى.

ملخص التلخيص الذي يعرض السلسلة والملخص وتفاصيل الحذف ولقطة شاشة تحت العنوان *Deep Analysis*

ابتكارات أخرى

العلامات: هذه هي العلامات المطبقة على المستخدمين. إذا كان المستخدم مستلما، فسيرى المسؤولون علامة المستلم . وبالمثل، إذا كان المستخدم مرسلا، فعلامة مرسل . سيظهر هذا في الجانب الأيمن من صفحة كيانات البريد الإلكتروني (في الجزء الموصوف على أنه ملصق ، ومن ثم يتم ارتساءه إلى الصفحة).

أحدث موقع للتسليم: موقع التسليم الأخير هو الموقع الذي تم فيه الوصول إلى رسالة بريد إلكتروني بعد انتهاء إجراءات النظام مثل ZAP أو إجراءات المسؤول مثل النقل إلى العناصر المحذوفة. موقع التسليم الأخير غير مخصص لإعلام المسؤولين بالموقع الحالي للرسالة. على سبيل المثال، إذا قام مستخدم بحذف رسالة أو نقلها إلى الأرشيف، فلن يتم تحديث موقع التسليم. ومع ذلك، إذا حدث إجراء نظام وحدث الموقع (مثل ZAP مما أدى إلى نقل رسالة بريد إلكتروني إلى العزل) فإن هذا سيؤدي إلى تحديث أحدث موقع تسليم إلى العزل.

تفاصيل البريد الإلكتروني: التفاصيل المطلوبة لفهم أعمق للبريد الإلكتروني المتوفر في علامة التبويب "تحليل ".

  • Exchange قواعد النقل (المعروفة أيضا بقواعد تدفق البريد أو ETRs): يتم تطبيق هذه القواعد على رسالة في طبقة النقل وتصدر الأسبقية على أحكام التصيد الاحتيالي والبريد العشوائي. يتم إنشاء قواعد تدفق البريد وتعديلها في مركز إدارة Exchange في https://admin.exchange.microsoft.com/#/transportrules، ولكن إذا تم تطبيق أي قاعدة تدفق بريد على رسالة، فسيتم عرض اسم القاعدة و GUID هنا. معلومات قيمة لأغراض التعقب.

  • التجاوز الأساسي: المصدر: يشير التجاوز الأساسي والمصدر إلى إعداد المستأجر أو المستخدم الذي أثر على تسليم البريد الإلكتروني، مع تجاوز موقع التسليم الذي يقدمه النظام (وفقا لتقنية التهديد والكشف). على سبيل المثال، قد يكون هذا بريدا إلكترونيا محظورا بسبب قاعدة نقل مكونة من قبل المستأجر أو بريد إلكتروني مسموح به بسبب إعداد المستخدم النهائي لمرسلي خزينة.

  • كافة عمليات التجاوز: تشير كافة التجاوزات إلى قائمة التجاوزات (إعدادات المستأجر أو المستخدم) التي تم تطبيقها على البريد الإلكتروني، والتي قد تكون قد أثرت أو لا تؤثر على تسليم رسالة بريد إلكتروني. على سبيل المثال، إذا تم تطبيق قاعدة نقل مكونة من مستأجر، بالإضافة إلى إعداد نهج مكون من مستأجر (على سبيل المثال، من قائمة "حظر السماح للمستأجر")، على رسالة بريد إلكتروني، فسيتم إدراج كليهما في هذا الحقل. يمكنك التحقق من حقل التجاوز الأساسي لتحديد الإعداد الذي أثر على تسليم البريد الإلكتروني.

  • مستوى الشكاوى المجمعة (BCL): مستوى الشكاوى المجمعة (BCL) للرسالة. تشير BCL الأعلى إلى أن رسالة البريد المجمع من المرجح أن تنشئ شكاوى (النتيجة الطبيعية إذا كان البريد الإلكتروني من المحتمل أن يكون بريدا عشوائيا).

  • مستوى الثقة في البريد العشوائي (SCL): مستوى الثقة في البريد العشوائي (SCL) للرسالة. تشير القيمة الأعلى إلى أن الرسالة من المرجح أن تكون بريدا عشوائيا.

  • نوع العميل: يشير إلى نوع العميل الذي تم إرسال البريد الإلكتروني منه مثل REST.

  • إعادة التوجيه: بالنسبة للسيناريوهات التي تحتوي على ميزة autoforwaridng، فإنها تشير إلى مستخدم إعادة التوجيه بالإضافة إلى نوع إعادة التوجيه مثل إعادة توجيه ETR أو SMTP.

  • قائمة التوزيع: تعرض قائمة التوزيع، إذا تلقى المستلم البريد الإلكتروني كعضو في القائمة. يعرض قائمة توزيع المستوى الأعلى إذا كانت هناك قوائم توزيع متداخلة مضمنة.

  • إلى، نسخة: يشير إلى العناوين المدرجة في الحقول "إلى" و"نسخة" في رسالة بريد إلكتروني. تقتصر المعلومات الموجودة في هذه الحقول على 5000 حرف.

  • اسم المجال: هو اسم مجال المرسل.

  • مالك المجال: يحدد مالك المجال المرسل.

  • موقع المجال: يحدد موقع المجال المرسل.

  • تاريخ إنشاء المجال: يحدد تاريخ إنشاء المجال المرسل. المجال الذي تم إنشاؤه حديثا هو شيء يمكنك توخي الحذر منه إذا كانت الإشارات الأخرى تشير إلى بعض السلوك المشبوه.

مصادقة البريد الإلكتروني: تتضمن أساليب مصادقة البريد الإلكتروني المستخدمة من قبل Microsoft 365 SPF وDKIM وDMARC.

  • إطار نهج المرسل (SPF): يصف نتائج التحقق من SPF للرسالة. يمكن أن تكون القيم المحتملة:

    • تمرير (عنوان IP): التحقق من SPF للرسالة التي تم تمريرها ويتضمن عنوان IP الخاص بالمرسل. العميل مخول بإرسال البريد الإلكتروني أو ترحيله نيابة عن مجال المرسل.
    • فشل (عنوان IP): فشل التحقق من SPF للرسالة، ويتضمن عنوان IP الخاص بالمرسل. يسمى هذا أحيانا فشلا صعبا.
    • Softfail (السبب): قام سجل SPF بتعيين المضيف على أنه غير مسموح بإرساله ولكنه في مرحلة انتقالية.
    • محايد: يشير سجل SPF صراحة إلى أنه لا يؤكد ما إذا كان عنوان IP مخولا لإرساله.
    • بلا: لا يحتوي المجال على سجل SPF، أو لا يتم تقييم سجل SPF إلى نتيجة.
    • مخفف: حدث خطأ مؤقت. على سبيل المثال، خطأ DNS. قد ينجح التحقق نفسه لاحقا.
    • Permerror: حدث خطأ دائم. على سبيل المثال، يحتوي المجال على سجل SPF منسق بشكل سيئ.

  • DomainKeys Identified Mail (DKIM):

    • التمرير: يشير إلى التحقق من DKIM للرسالة التي تم تمريرها.
    • فشل (سبب): يشير إلى فشل التحقق من DKIM للرسالة ولماذا. على سبيل المثال، إذا لم يتم توقيع الرسالة أو لم يتم التحقق من التوقيع.
    • بلا: يشير إلى أن الرسالة لم يتم توقيعها. قد يشير هذا أو لا يشير إلى أن المجال يحتوي على سجل DKIM أو أن سجل DKIM لا يتم تقييمه إلى نتيجة، فقط أن هذه الرسالة لم يتم توقيعها.

  • مصادقة الرسائل المستندة إلى المجال وإعداد التقارير والتوافق (DMARC):

    • التمرير: يشير إلى التحقق من DMARC للرسالة التي تم تمريرها.
    • فشل: يشير إلى فشل التحقق من DMARC للرسالة.
    • Bestguesspass: يشير إلى عدم وجود سجل DMARC TXT للمجال، ولكن إذا كان أحدها موجودا، فإن التحقق من DMARC للرسالة كان سيتم تمريره.
    • بلا: يشير إلى عدم وجود سجل DMARC TXT لمجال الإرسال في DNS.

المصادقة المركبة: هذه قيمة تستخدمها Microsoft 365 لدمج مصادقة البريد الإلكتروني مثل SPF وDKIM وDMARC لتحديد ما إذا كانت الرسالة أصلية. ويستخدم من: مجال البريد كأساس للتقييم.

لوحة ملخص البريد الإلكتروني

لوحة ملخص البريد الإلكتروني هي طريقة عرض ملخصة لصفحة كيان البريد الإلكتروني الكامل. ويحتوي على تفاصيل موحدة حول البريد الإلكتروني (على سبيل المثال، عمليات الكشف)، بالإضافة إلى معلومات خاصة بالسياق (على سبيل المثال، لبيانات تعريف العزل أو عمليات الإرسال). تحل لوحة ملخص البريد الإلكتروني محل القوائم المنبثقة التقليدية للكشف في الوقت الحقيقي، ومستكشف التهديدات، والإرسالات، وإعداد التقارير.

افتح ارتباط كيان البريد الإلكتروني.

ملاحظة

لعرض كافة المكونات، انقر فوق ارتباط "فتح كيان البريد الإلكتروني " لفتح صفحة كيان البريد الإلكتروني الكامل.

تنقسم لوحة ملخص البريد الإلكتروني إلى الأقسام التالية:

  • تفاصيل التسليم: يحتوي على معلومات حول التهديدات ومستوى الثقة المطابق، وتقنيات الكشف، وموقع التسليم الأصلي والأحدث.

  • تفاصيل البريد الإلكتروني: يحتوي على معلومات حول خصائص البريد الإلكتروني مثل اسم المرسل وعنوان المرسل والوقت المستلم وتفاصيل المصادقة والعديد من التفاصيل الأخرى.

  • عناوين URL: بشكل افتراضي، سترى 3 عناوين URL والتهديدات المقابلة لها. يمكنك دائما النقر فوق "عرض كافة عناوين URL " لتوسيع كافة عناوين URL وعرضها وتصديرها.

  • المرفقات: بشكل افتراضي، سترى 3 مرفقات. يمكنك دائما النقر فوق "عرض كل المرفقات " لتوسيع كل المرفقات وعرضها.

بالإضافة إلى الأقسام المذكورة أعلاه، سترى أيضا مقاطع خاصة ببضع تجارب متكاملة مع لوحة الملخص:

  • الطلبات:

    • تفاصيل الإرسال: يحتوي على معلومات حول عمليات الإرسال المحددة مثل:

      • تاريخ الإرسال
      • الموضوع
      • نوع الإرسال
      • سبب الإرسال
      • معرف الإرسال
      • تم الإرسال بواسطة

    • تفاصيل النتيجة: تتم مراجعة الرسائل المرسلة. يمكنك الاطلاع على نتيجة الإرسال بالإضافة إلى أي خطوات تالية موصى بها.

  • الحجر الصحي:

    • تفاصيل العزل: يحتوي على تفاصيل خاصة بالعزل. لمزيد من المعلومات، راجع إدارة الرسائل المعزولة.

      • انتهاء الصلاحية: التاريخ/الوقت الذي سيتم فيه حذف الرسالة تلقائيا وبشكل دائم من العزل.
      • تم الإصدار إلى: كافة عناوين البريد الإلكتروني (إن وجدت) التي تم إصدار الرسالة إليها.
      • لم يتم إصدارها بعد إلى: كافة عناوين البريد الإلكتروني (إن وجدت) التي لم يتم إصدار الرسالة إليها بعد.

    • إجراءات العزل: لمزيد من المعلومات حول إجراءات العزل المختلفة، راجع إدارة الرسائل المعزولة.