معالجة البريد الإلكتروني الضار الذي تم تسليمه في Office 365
ملاحظة
هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.
ينطبق على
المعالجة تعني اتخاذ إجراء محدد ضد التهديد. يمكن تنظيف البريد الإلكتروني الضار المرسل إلى مؤسستك إما بواسطة النظام أو من خلال الإزالة التلقائية لمدة صفر ساعة (ZAP) أو بواسطة فرق الأمان من خلال إجراءات المعالجة مثل الانتقال إلى علبة الوارد أو الانتقال إلى البريد غير الهام أو الانتقال إلى العناصر المحذوفة أو الحذف المبدئي أو الحذف الثابت. Microsoft Defender لـ Office 365 الخطة 2/E5 تمكن فرق الأمان من معالجة التهديدات في وظائف البريد الإلكتروني والتعاون من خلال التحقيق اليدوي والآلية.
ملاحظة
لمعالجة البريد الإلكتروني الضار، تحتاج فرق الأمان إلى تعيين دور البحث والإزالة إليهم. يتم تعيين الدور من خلال الأذونات في مدخل Microsoft 365 Defender.
ما تحتاج إلى معرفته قبل البدء
يمكن للمسؤولين اتخاذ الإجراءات المطلوبة بشأن رسائل البريد الإلكتروني، ولكن للحصول على الموافقة على هذه الإجراءات، يجب تعيين دور البحث والإزالة لهم في أذونات التعاون & البريد الإلكتروني في مدخل Microsoft 365 Defender. بدون البحث والإزالة" الدور المضاف إلى إحدى مجموعات الأدوار، لن يتمكنوا من تنفيذ الإجراء.
المعالجة اليدوية والآلية
يحدث التتبع اليدوي عندما تحدد فرق الأمان التهديدات يدويا باستخدام قدرات البحث والتصفية في Explorer. يمكن تشغيل معالجة البريد الإلكتروني يدويا من خلال أي طريقة عرض للبريد الإلكتروني (البرامج الضارة أو التصيد الاحتيالي أو كل رسائل البريد الإلكتروني) بعد تحديد مجموعة من رسائل البريد الإلكتروني التي تحتاج إلى معالجة.
يمكن لفرق الأمان استخدام Explorer لتحديد رسائل البريد الإلكتروني بعدة طرق:
اختر رسائل البريد الإلكتروني يدويا: استخدم عوامل التصفية في طرق عرض مختلفة. حدد ما يصل إلى 100 رسالة بريد إلكتروني للمعالجة.
تحديد الاستعلام: حدد استعلاما كاملا باستخدام الزر " تحديد الكل " العلوي. يظهر الاستعلام نفسه أيضا في تفاصيل إرسال بريد مركز الصيانة. يمكن للعملاء إرسال 200000 رسالة بريد إلكتروني كحد أقصى من مستكشف التهديدات.
تحديد الاستعلام مع الاستبعاد: قد ترغب فرق عمليات الأمان أحيانا في معالجة رسائل البريد الإلكتروني عن طريق تحديد استعلام كامل واستبعاد بعض رسائل البريد الإلكتروني من الاستعلام يدويا. للقيام بذلك، يمكن للمسؤول استخدام خانة الاختيار "تحديد الكل " والتمرير لأسفل لاستبعاد رسائل البريد الإلكتروني يدويا. يمكن أن يحتوي الاستعلام على 1000 رسالة بريد إلكتروني كحد أقصى. الحد الأقصى لعدد الاستثناءات هو 100.
بمجرد تحديد رسائل البريد الإلكتروني من خلال Explorer، يمكنك بدء المعالجة عن طريق اتخاذ إجراء مباشر أو عن طريق وضع رسائل البريد الإلكتروني في قائمة الانتظار لإجراء ما:
- الموافقة المباشرة: عندما يتم تحديد إجراءات مثل الانتقال إلى علبة الوارد أو الانتقال إلى البريد غير الهام أو الانتقال إلى العناصر المحذوفة أو الحذف المبدئي أو الحذف الثابت من قبل موظفي الأمان الذين لديهم الأذونات المناسبة، ويتم اتباع الخطوات التالية في المعالجة، تبدأ عملية المعالجة في تنفيذ الإجراء المحدد.
ملاحظة
مع بدء المعالجة، فإنه ينشئ تنبيها وتحقيقا بالتوازي. يظهر التنبيه في قائمة انتظار التنبيهات باسم "إجراء إداري تم إرساله من قبل مسؤول" مما يشير إلى أن موظفي الأمان اتخذوا إجراء معالجة كيان. وهو يقدم تفاصيل مثل اسم الشخص الذي نفذ الإجراء، ودعم ارتباط التحقيق، والوقت وما إلى ذلك. من الجيد معرفة كل مرة يتم فيها تنفيذ إجراء قاس مثل المعالجة على الكيانات. يمكن تقسيم كل هذه الإجراءات ضمن علامة التبويب Actions & Submissions > Action CenterHistory -> (معاينة عامة).
- الموافقة على خطوتين: يمكن اتخاذ إجراء "إضافة إلى المعالجة" من قبل المسؤولين الذين ليس لديهم الأذونات المناسبة أو الذين يحتاجون إلى الانتظار لتنفيذ الإجراء. في هذه الحالة، تتم إضافة رسائل البريد الإلكتروني المستهدفة إلى حاوية المعالجة. الموافقة مطلوبة قبل تنفيذ المعالجة.
يتم تشغيل إجراءات التحقيق والاستجابة التلقائية بواسطة التنبيهات أو بواسطة فرق عمليات الأمان من Explorer. قد تتضمن إجراءات المعالجة الموصى بها التي يجب أن يوافق عليها فريق عمليات الأمان. يتم تضمين هذه الإجراءات في علامة التبويب "إجراء " في التحقيق التلقائي.
يتم عرض جميع المعالجة (الموافقات المباشرة) التي تم إنشاؤها في المستكشف أو التتبع المتقدم أو من خلال التحقيق التلقائي في مركز الصيانة. يمكنك الوصول إليها عبر لوحة التنقل اليمنى ضمن علامة التبويب Actions & Submissions >ActionHistory -> .
يتم عرض جميع المعالجة (الموافقات المباشرة) التي تم إنشاؤها في المستكشف أو التتبع المتقدم أو من خلال التحقيق التلقائي في مركز الصيانة. يمكنك الوصول إليها عبر لوحة التنقل اليمنى ضمن علامة التبويب Actions & Submissions >ActionHistory -> .
الإجراءات اليدوية التي تنتظر الموافقة باستخدام عملية الموافقة على خطوتين (1. إضافة إلى المعالجة بواسطة عضو فريق عملية أمان واحد، 2. يتم عرض المراجعة والموافقة من قبل عضو آخر في فريق عمليات الأمان) فقط في مركز > الصيانة Defender لـ Office 365 القديم وليس في الحوادث/التحقيقات ومركز الإجراءات الموحد.
ملاحظة
الموافقة على خطوتين: الإجراءات المتوفرة فقط في مركز إجراءات Office Review > Action center
يعرض مركز الصيانة الموحد إجراءات المعالجة خلال ال 30 يوما الماضية. يتم سرد الإجراءات التي تم اتخاذها من خلال المستكشف بالاسم الذي وفره فريق عمليات الأمان عند إنشاء المعالجة بالإضافة إلى معرف الموافقة ومعرف التحقيق. تتضمن الإجراءات التي يتم اتخاذها من خلال التحقيقات التلقائية عناوين تبدأ بالتنبيه ذي الصلة الذي أدى إلى بدء التحقيق، مثل مجموعة البريد الإلكتروني Zap.
افتح أي عنصر معالجة لعرض تفاصيل عنه، بما في ذلك اسم المعالجة، ومعرف الموافقة، ومعرف التحقيق، وتاريخ الإنشاء، والوصف، والحالة، ومصدر الإجراء، ونوع الإجراء، والمقرر من قبل، والحالة. كما يفتح جزء جانبي مع تفاصيل الإجراء وتفاصيل مجموعة البريد الإلكتروني وتفاصيل التنبيه والحوادث.
- افتح صفحة التحقيق التي تفتح "تحقيق المسؤول" الذي يحتوي على تفاصيل وعلامات تبويب أقل. يعرض تفاصيل مثل: التنبيه ذي الصلة، والكيان المحدد للمعالجة، والإجراء المتخذ، وحالة المعالجة، وعدد الكيانات، والسجلات، والموافق على الإجراء. يحتفظ هذا التحقيق بتعقب التحقيق الذي قام به المسؤول يدويا ويحتوي على تفاصيل التحديدات التي أجراها المسؤول، ومن ثم يسمى تحقيق إجراء المسؤول. لا حاجة للعمل على التحقيق وتنبيهه بالفعل في الحالة المعتمدة.
- عدد البريد الإلكتروني عرض عدد رسائل البريد الإلكتروني المرسلة من خلال مستكشف التهديدات. يمكن أن تكون رسائل البريد الإلكتروني هذه قابلة للتنفيذ أو غير قابلة للتنفيذ.
- سجلات الإجراءات إظهار تفاصيل حالات المعالجة مثل نجاح وفشل و بالفعل في الوجهة.
قابل للتنفيذ: يمكن التعامل مع رسائل البريد الإلكتروني في مواقع علب بريد السحابة التالية ونقلها:
علبه الوارد
غير المرغوب فيه
المجلد المحذوفة
مجلد تم حذفه مبدئيا
ملاحظة
حاليا، يمكن فقط للمستخدم الذي يمكنه الوصول إلى علبة البريد استرداد العناصر من مجلد تم حذفه مبدئيا.
غير قابل للتنفيذ: لا يمكن التعامل مع رسائل البريد الإلكتروني الموجودة في المواقع التالية أو نقلها في إجراءات المعالجة:
- الحجر الصحي
- مجلد تم حذفه بشكل ثابت
- محلي/خارجي
- فشل/إفلات
يتم تصنيف الرسائل المشبوهة على أنها إما قابلة للمعالجة أو غير قابلة للمعالجة. في معظم الحالات، تجمع الرسائل القابلة للمعالجة وغير القابلة للمعالجة بين إجمالي الرسائل المرسلة. ولكن في حالات نادرة قد لا يكون هذا صحيحا. قد يحدث ذلك بسبب تأخيرات النظام أو المهلات أو الرسائل المنتهية الصلاحية. تنتهي صلاحية الرسائل استنادا إلى فترة الاحتفاظ بالمستكشف لمؤسستك.
إلا إذا كنت تقوم بمعالجة الرسائل القديمة بعد فترة الاحتفاظ بالمستكشف الخاص بمؤسستك، فمن المستحسن إعادة محاولة معالجة العناصر إذا رأيت حالات عدم تناسق في الأرقام. بالنسبة إلى تأخيرات النظام، عادة ما يتم تحديث تحديثات المعالجة في غضون بضع ساعات.
إذا كانت فترة استبقاء مؤسستك للبريد الإلكتروني في Explorer هي 30 يوما وكنت تقوم بمعالجة رسائل البريد الإلكتروني التي تعود إلى 29 إلى 30 يوما، فقد لا تتم دائما إضافة عدد عمليات إرسال البريد. قد تكون رسائل البريد الإلكتروني قد بدأت في الانتقال من فترة الاستبقاء بالفعل.
إذا كانت المعالجة عالقة في حالة "قيد التقدم" لفترة من الوقت، فمن المحتمل أن يكون ذلك بسبب تأخيرات النظام. قد يستغرق المعالجة ما يصل إلى بضع ساعات. قد ترى تباينات في عدد عمليات إرسال البريد، حيث إن بعض رسائل البريد الإلكتروني ربما لم يتم تضمين الاستعلام في بداية المعالجة بسبب تأخيرات النظام. من الجيد إعادة محاولة المعالجة في مثل هذه الحالات.
ملاحظة
للحصول على أفضل النتائج، يجب إجراء المعالجة على دفعات تبلغ 50000 أو أقل.
يتم التعامل مع رسائل البريد الإلكتروني القابلة للمعالجة فقط أثناء المعالجة. لا يمكن معالجة رسائل البريد الإلكتروني غير القابلة للمعالجة بواسطة نظام البريد الإلكتروني Office 365، حيث لا يتم تخزينها في علب بريد السحابة.
يمكن للمسؤولين اتخاذ إجراءات بشأن رسائل البريد الإلكتروني في العزل إذا لزم الأمر، ولكن ستنتهي صلاحية رسائل البريد الإلكتروني هذه خارج العزل إذا لم تتم إزالتها يدويا. بشكل افتراضي، لا يمكن للمستخدمين الوصول إلى رسائل البريد الإلكتروني التي تم عزلها بسبب المحتوى الضار، لذلك لا يتعين على موظفي الأمان اتخاذ أي إجراء للتخلص من التهديدات في العزل. إذا كانت رسائل البريد الإلكتروني محلية أو خارجية، يمكن الاتصال بالمستخدم لمعالجة البريد الإلكتروني المشبوه. أو يمكن للمسؤولين استخدام خادم البريد الإلكتروني/أدوات الأمان المنفصلة للإزالة. يمكن تعريف رسائل البريد الإلكتروني هذه عن طريق تطبيق موقع التسليم = عامل التصفية الخارجي المحلي في Explorer. بالنسبة للبريد الإلكتروني الفاشل أو المسقط، أو البريد الإلكتروني الذي لا يمكن للمستخدمين الوصول إليه، لن يكون هناك أي بريد إلكتروني للتخفيف من حدته، حيث إن رسائل البريد هذه لا تصل إلى علبة البريد.
سجلات الإجراءات: يعرض هذا الرسائل التي تمت معالجتها، ناجحة، فاشلة، موجودة بالفعل في الوجهة.
يمكن أن تكون الحالة:
- تاريخ البدء: يتم تشغيل المعالجة.
- في قائمة الانتظار: يتم وضع المعالجة في قائمة الانتظار للتخفيف من رسائل البريد الإلكتروني.
- قيد التقدم: التخفيف قيد التقدم.
- مكتمل: التخفيف من المخاطر على جميع رسائل البريد الإلكتروني القابلة للمعالجة إما مكتملة بنجاح أو مع بعض حالات الفشل.
- فشل: لم تنجح أية معالجة.
نظرا إلى أنه يمكن التعامل مع رسائل البريد الإلكتروني القابلة للمعالجة فقط، يتم عرض عملية تنظيف كل رسالة بريد إلكتروني على أنها ناجحة أو فاشلة. من إجمالي رسائل البريد الإلكتروني القابلة للمعالجة، يتم الإبلاغ عن عمليات التخفيف الناجحة والفشل.
النجاح: تم إنجاز الإجراء المطلوب بشأن رسائل البريد الإلكتروني القابلة للمعالجة. على سبيل المثال: يريد المسؤول إزالة رسائل البريد الإلكتروني من علب البريد، بحيث يتخذ المسؤول إجراء حذف رسائل البريد الإلكتروني مبدئيا. إذا لم يتم العثور على رسالة بريد إلكتروني قابلة للمعالجة في المجلد الأصلي بعد اتخاذ الإجراء، فستظهر الحالة على أنها ناجحة.
الفشل: فشل الإجراء المطلوب بشأن رسائل البريد الإلكتروني القابلة للمعالجة. على سبيل المثال: يريد المسؤول إزالة رسائل البريد الإلكتروني من علب البريد، بحيث يتخذ المسؤول إجراء حذف رسائل البريد الإلكتروني مبدئيا. إذا كان البريد الإلكتروني القابل للمعالجة لا يزال موجودا في علبة البريد بعد اتخاذ الإجراء، فستظهر الحالة على أنها فاشلة.
بالفعل في الوجهة: تم اتخاذ الإجراء المطلوب بالفعل على البريد الإلكتروني أو البريد الإلكتروني الموجود بالفعل في موقع الوجهة. على سبيل المثال: تم حذف رسالة بريد إلكتروني مبدئية من قبل المسؤول من خلال Explorer في اليوم الأول. ثم تظهر رسائل البريد الإلكتروني المماثلة في اليوم 2، والتي يتم حذفها مرة أخرى مبدئيا من قبل المسؤول. أثناء تحديد رسائل البريد الإلكتروني هذه، ينتهي الأمر بالمسؤول إلى التقاط بعض رسائل البريد الإلكتروني من اليوم الأول التي تم حذفها مبدئيا بالفعل. الآن لن يتم اتخاذ إجراء بشأن رسائل البريد الإلكتروني هذه مرة أخرى، سوف تظهر فقط على أنها "بالفعل في الوجهة"، حيث لم يتم اتخاذ أي إجراء بشأنها كما كانت موجودة في موقع الوجهة.
جديد: تمت إضافة عمود وجهة بالفعل في سجل الإجراءات. تستخدم هذه الميزة أحدث موقع تسليم في مستكشف التهديدات للإشارة إلى ما إذا كان قد تم معالجة البريد بالفعل. ستساعد بالفعل في الوجهة فرق الأمان على فهم العدد الإجمالي للرسائل التي لا تزال بحاجة إلى معالجة.
- تاريخ البدء: يتم تشغيل المعالجة.
يمكن اتخاذ الإجراءات فقط على الرسائل في مجلدات "مستكشف المخاطر" و"غير الهام" و"المحذوفة" و"المحذوفة مبدئيا". فيما يلي مثال على كيفية عمل العمود الجديد. يحدث إجراء حذف مبدئي على الرسالة الموجودة في علبة الوارد، ثم ستتم معالجة الرسالة وفقا للنهج. في المرة التالية التي يتم فيها إجراء حذف مبدئي، ستظهر هذه الرسالة أسفل العمود "بالفعل في الوجهة" مما يشير إلى أنه لا يلزم معالجتها مرة أخرى.
حدد أي عنصر في سجل الإجراءات لعرض تفاصيل المعالجة. إذا كانت التفاصيل تقول "ناجح" أو "لم يتم العثور عليه في علبة البريد"، فقد تمت إزالة هذا العنصر بالفعل من علبة البريد. في بعض الأحيان يكون هناك خطأ في النظام أثناء المعالجة. في هذه الحالات، من الجيد إعادة محاولة إجراء المعالجة.
في حالة معالجة دفعات كبيرة من البريد الإلكتروني، قم بتصدير الرسائل المرسلة للمعالجة عبر إرسال البريد، والرسائل التي تمت معالجتها عبر سجلات الإجراءات. يتم زيادة حد التصدير إلى 100000 سجل.
يمكن للمسؤولين اتخاذ إجراءات المعالجة مثل نقل رسائل البريد الإلكتروني إلى مجلد "البريد الإلكتروني غير الهام" أو "علبة الوارد" أو "العناصر المحذوفة" وحذف إجراءات مثل حذف مبدئي أو حذف ثابت من صفحات "التتبع المتقدم".
تخفف المعالجة من التهديدات، وتعالج رسائل البريد الإلكتروني المشبوهة، وتساعد على الحفاظ على أمان المؤسسة.
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ