أتمتة فحص التصيد الاحتيالي باستخدام وكلاء الذكاء الاصطناعي في Microsoft Defender

أتمتة فحص التصيد الاحتيالي باستخدام وكلاء الذكاء الاصطناعي في Microsoft Defender

10 مارس 2026

مقدمة: المعركة ضد التصيد الاحتيالي في عصر الذكاء الاصطناعي

لا يزال التصيد الاحتيالي أحد أكثر التهديدات السيبرانية استمرارًا وفعالية، ويتطور باستمرار من حيث التعقيد والحجم. بحلول عام 2026، ومع ظهور أدوات الذكاء الاصطناعي التوليدية، سيكون لدى المهاجمين القدرة على إنشاء رسائل بريد إلكتروني تصيدية مقنعة ومخصصة للغاية على نطاق غير مسبوق، مما يجعل الكشف اليدوي والفرز من قبل فرق الأمن والعمليات (SOC) مهمة مستحيلة تقريبًا. يمكن أن يؤدي حجم تقارير التصيد الاحتيالي الواردة من المستخدمين إلى إرباك المحللين بسرعة، مما يؤدي إلى تأخير الاستجابة وزيادة خطر التعرض للاختراق [1].

تقليديًا، تضمنت عملية فحص التصيد الاحتيالي عدة خطوات يدوية: أبلغ المستخدم عن رسالة بريد إلكتروني مشبوهة، وقام محلل أمني بمراجعة رأس البريد الإلكتروني، وتحليل الروابط والمرفقات (غالبًا في بيئات معزولة)، والتحقق من سمعة المرسل، وأخيرًا تحديد طبيعة التهديد وإجراءات العلاج. وعلى الرغم من فعالية هذه العملية على نطاق صغير، إلا أنها بطيئة وعرضة للخطأ البشري وغير قابلة للتوسع لتتناسب مع الحجم الهائل من الهجمات الحديثة [2].

ولمواجهة هذا التحدي، أصدرت Microsoft Phishing Triage Agent، وهو مكون ثوري مستقل من Microsoft Defender لـ Office 365. تم تصميم هذا الوكيل، المدعوم بالذكاء الاصطناعي المتقدم، لتحليل رسائل البريد الإلكتروني المشكوك فيها والتحقيق فيها وعلاجها في غضون ثوانٍ، مما يتيح لفرق SOC التركيز على التهديدات الأكثر تعقيدًا واستراتيجية. يمثل وكيل فرز التصيد الاحتيالي قفزة كبيرة إلى الأمام في مجال أتمتة الأمان، حيث يغير الطريقة التي تستجيب بها المؤسسات لهجمات التصيد الاحتيالي [3].

تهدف هذه المقالة الفنية والتعليمية إلى تقديم نظرة متعمقة على عامل فرز التصيد الاحتيالي ومبادئ تشغيله وفوائده ودليل خطوة بخطوة لتمكينه وتكوينه في بيئة Microsoft Defender for Office 365. سينصب تركيزنا على كيفية تعزيز هذه التقنية للوضع الأمني ​​لمؤسستك ضد تهديدات التصيد الاحتيالي في عام 2026 وما بعده.

تحدي فحص التصيد الاحتيالي وحل وكيل الذكاء الاصطناعي

تكمن فعالية التصيد الاحتيالي في قدرته على استغلال الطبيعة البشرية والثقة. باستخدام الذكاء الاصطناعي، يمكن للمهاجمين:

  • التخصيص الشامل: قم بإنشاء رسائل بريد إلكتروني تصيدية مخصصة للغاية تحاكي الاتصالات المشروعة من البنوك أو الموردين أو حتى زملاء العمل، مما يزيد من احتمالية النجاح.

  • التهرب من الاكتشاف: قم بإنشاء أشكال مختلفة من رسائل البريد الإلكتروني التصيدية التي تتجاوز عوامل تصفية البريد الإلكتروني التقليدية، باستخدام تقنيات التشويش وتعدد الأشكال.

  • الهندسة الاجتماعية المتقدمة: تطوير روايات أكثر تعقيدًا وقابلية للتصديق، واستغلال الأحداث أو الاتجاهات الحالية لخداع الضحايا.

وفي مواجهة هذا السيناريو، تصبح الاستجابة البشرية غير كافية. هذا هو المكان الذي يلعب فيه عامل فرز التصيد الاحتيالي. وهو يعمل بناءً على مبادئ الذكاء الاصطناعي والتعلم الآلي، مما يسمح لك بما يلي:

  • تحليل عميق للسياق: لا يقوم الوكيل بالتحقق من الكلمات الرئيسية أو الروابط المشبوهة فحسب، بل يستخدم نماذج لغة متقدمة لفهم سياق البريد الإلكتروني وأسلوبه والغرض منه. ويمكنه تحديد الحالات الشاذة الدقيقة التي قد تمر دون أن يلاحظها أحد من خلال المرشحات القائمة على القواعد أو المحللين البشريين تحت الضغط.

  • محاكاة وضع الحماية: بالنسبة للروابط والمرفقات، يحاكي الوكيل التفاعل في بيئة معزولة (وضع الحماية)، ومراقبة سلوك الرابط (عمليات إعادة التوجيه، وتنزيل البرامج الضارة) أو المرفق (تنفيذ البرامج النصية الضارة) دون الكشف عن الشبكة الحقيقية للمؤسسة. وهذا يسمح بإجراء تقييم دقيق وآمن للمخاطر [4].

  • المعالجة التلقائية: بناءً على تحليله، يمكن للوكيل اتخاذ إجراءات معالجة محددة مسبقًا مثل نقل البريد الإلكتروني إلى وحدة العزل، أو حذفه نهائيًا من البريد الوارد للمستخدم، أو حتى حظر المرسل على مستوى المدخل.

المزايا المبتكرة للفرز المستقل

يوفر تنفيذ عامل فرز التصيد الاحتيالي فوائد تحويلية للعمليات الأمنية:

  • سرعة لا مثيل لها: يتم تقليل فحص رسائل البريد الإلكتروني التصيدية ومعالجتها من ساعات أو دقائق إلى مجرد ثوانٍ. وهذا يقلل من الفرصة المتاحة للمستخدمين للنقر على الروابط الضارة أو فتح المرفقات الخطيرة.استغاثة، لاحتواء انتشار الهجمات.

  • تحسين الدقة: بفضل التحليل السياقي ومحاكاة وضع الحماية، يحقق الوكيل معدلًا أعلى لاكتشاف التهديدات، والأهم من ذلك، انخفاضًا كبيرًا في النتائج الإيجابية الخاطئة. وهذا يمنع إرهاق فرق مركز العمليات الأمنية (SOC) ويضمن تخصيص الموارد للتهديدات الحقيقية.

  • قابلية التوسع الهائلة: يمكن للوكيل معالجة رسائل البريد الإلكتروني التصيدية بأحجام قد تكون مستحيلة على الفرق البشرية، مما يضمن اتساق الحماية عبر المؤسسة، بغض النظر عن حجم الهجوم أو كثافته.

  • تحسين موارد مركز عمليات الأمن (SOC): من خلال أتمتة فرز التهديدات منخفضة ومتوسطة المخاطر، يتيح عامل فرز التصيد الاحتيالي لمحللي الأمن التركيز على التحقيقات الأكثر تعقيدًا، ومطاردة التهديدات الاستباقية، وتطوير إستراتيجيات الأمان، مما يرفع مستوى نضج مركز عمليات الأمان (SOC) بشكل عام.

  • الاستجابة المتسقة: تضمن الأتمتة التعامل مع كل حادث تصيد بشكل متسق، باتباع سياسات الأمان المحددة مسبقًا، مما يؤدي إلى القضاء على التباين الذي يمكن أن يحدث مع التدخل البشري.

متطلبات التنفيذ

للاستفادة من إمكانات وكيل فرز التصيد الاحتيالي، ستحتاج مؤسستك إلى العناصر التالية:

  • ترخيص Microsoft Defender لـ Office 365: يعد Phishing Triage Agent ميزة متقدمة متوفرة مع تراخيص Microsoft Defender لـ Office 365 (الخطة 2) أو حزم Microsoft 365 E5/A5/G5 التي تتضمن هذه الخطة.

  • الوصول الإداري: حسابات تتمتع بأذونات المسؤول العام أو مسؤول الأمان أو مسؤول الامتثال في بوابة Microsoft Defender (security.microsoft.com).

  • Defender for Office 365 Basic Configuration: من المتوقع أن تكون السياسات الأساسية لمكافحة التصيد الاحتيالي ومكافحة البريد العشوائي والبرامج الضارة قد تم تكوينها وتشغيلها بالفعل.

  • سياسة الإبلاغ عن رسائل المستخدم: لكي يتصرف الوكيل، يجب أن يكون لدى المستخدمين آلية سهلة للإبلاغ عن رسائل البريد الإلكتروني التصيدية (على سبيل المثال، الوظيفة الإضافية للإبلاغ عن الرسائل في Outlook).

دليل خطوة بخطوة: تنشيط وتكوين وكيل فرز التصيد الاحتيالي

يعد تنشيط وتكوين Phishing Triage Agent عملية مباشرة مصممة للتكامل بسلاسة مع بيئة Microsoft Defender for Office 365.

الخطوة 1: تمكين عامل فرز التصيد الاحتيالي في بوابة Microsoft Defender

تتضمن هذه الخطوة الأولية تمكين الميزة في لوحة معلومات الأمان، مما يسمح للوكيل ببدء التشغيل.

  1. الوصول إلى Microsoft Defender Portal: افتح المتصفح الخاص بك وانتقل إلى "security.microsoft.com". قم بتسجيل الدخول باستخدام حساب لديه الأذونات الإدارية اللازمة.

  2. انتقل إلى سياسات التهديدات: في جزء التنقل الأيمن، قم بتوسيع البريد الإلكتروني والتعاون وحدد السياسات والقواعد. ثم انقر فوق سياسات التهديدات.

  3. حدد موقع وكيل فرز التصيد الاحتيالي: ستجد ضمن سياسات التهديدات قسمًا مخصصًا لموارد الذكاء الاصطناعي. حدد وكيل فرز التصيد الاحتيالي (معاينة/GA). يشير تعيين "معاينة/GA" إلى أن الميزة قد تكون في المعاينة العامة أو ربما وصلت بالفعل إلى التوفر العام، اعتمادًا على منطقتك والجدول الزمني لإصدار Microsoft.

  4. تنشيط الوكيل: قم بتبديل مفتاح الحالة إلى تشغيل. سيؤدي هذا إلى تمكين الوكيل. بعد ذلك، سوف تحتاج إلى تحديد نطاق التطبيق. للحصول على تغطية كاملة، حدد المؤسسة بأكملها. يمكنك أيضًا اختيار مجموعات مستخدمين أو مجالات محددة للتنفيذ على مراحل.

  5. حفظ التغييرات: تأكد من حفظ كافة الإعدادات الخاصة بالسياسات التي سيتم تطبيقها.

الخطوة 2: تحديد إجراءات المعالجة الآلية

بعد التنشيط، من الضروري تكوين كيفية استجابة عامل فرز التصيد الاحتيالي لمستويات التهديد المختلفة. يتيح لك هذا تخصيص مدى العدوانية التي يجب أن يكون عليها العامل في المعالجة.

  1. الوصول إلى إجراءات الوكيل التلقائية: في نفس شاشة تكوين عامل فرز التصيد الاحتيالي، انتقل إلى قسم الإجراءات التلقائية.

  2. التهيئة للتهديدات عالية الثقة: بالنسبة لرسائل البريد الإلكتروني المصنفة على أنها ذات ثقة عالية بأنها تصيد احتيالي (أي أن الوكيل متأكد تمامًا من الطبيعة الضارة)، حدد الإجراء الحذف نهائيًا. يؤدي هذا الإجراء إلى إزالة البريد الإلكتروني من البريد الوارد للمستخدم وأي مجلد، مما يمنع أي تفاعل آخر.uture.

  3. التهيئة لمواجهة التهديدات ذات الثقة المتوسطة: بالنسبة إلى رسائل البريد الإلكتروني ذات الثقة المتوسطة (حيث يوجد دليل قوي ولكن ليس قاطعًا على التصيد الاحتيالي)، حدد الانتقال إلى العزل و إعلام المسؤول. يسمح هذا الأسلوب للمحلل البشري بمراجعة البريد الإلكتروني المعزول قبل الحذف الدائم، مما يقلل من مخاطر النتائج الإيجابية الكاذبة مع الاستمرار في احتواء التهديد.

  4. خيارات المعالجة الأخرى: استكشف خيارات أخرى مثل الانتقال إلى البريد غير الهام للتهديدات منخفضة الثقة أو حظر المرسل لمرسلي التصيد الاحتيالي المتكررين. تسمح المرونة في هذه الإعدادات بالتحكم الدقيق في استجابة الوكيل.

  5. حفظ التغييرات: قم بتأكيد إعدادات المعالجة.

الخطوة 3: مراقبة النتائج وتحليلها

لتقييم فعالية عامل فرز التصيد الاحتيالي والتأكد من أنه يعمل كما هو متوقع، يقدم Microsoft Defender لـ Office 365 لوحات معلومات وتقارير مخصصة.

  1. الوصول إلى تقارير البريد الإلكتروني والتعاون: في القائمة الجانبية لمدخل Microsoft Defender، انتقل إلى التقارير > البريد الإلكتروني والتعاون.

  2. اطلع على تقرير "كفاءة وكيل الذكاء الاصطناعي": ابحث عن تقرير "كفاءة وكيل الذكاء الاصطناعي" (أو اسم مشابه، والذي قد يختلف قليلاً). تم تصميم هذا التقرير لإظهار المقاييس الرئيسية مثل:

  3. عدد الهجمات التي تم تجنبها: عدد رسائل البريد الإلكتروني التصيدية التي اكتشفها العميل وعالجها دون الحاجة إلى تدخل بشري.

  4. متوسط ​​وقت الاستجابة: السرعة التي تصرف بها الوكيل مقارنة بالفرز اليدوي.

  5. الإيجابيات/السلبيات الزائفة: تحليل لدقة الوكيل، مما يسمح بضبط سياسات العلاج بشكل دقيق.

  6. اتجاهات الهجوم: نظرة ثاقبة حول أنواع التصيد الاحتيالي الأكثر شيوعًا والتكتيكات التي يستخدمها المهاجمون.

  7. استخدام Threat Explorer: لإجراء تحقيقات أكثر تفصيلاً، يتيح لك Threat Explorer في Defender لـ Office 365 البحث عن رسائل بريد إلكتروني محددة وعرض حكم الممثل وفهم مسار التهديد.

  8. تكوين التنبيهات المخصصة: في Microsoft Sentinel (في حالة التكامل)، يمكنك تكوين التنبيهات المخصصة لإعلامك بالعدد الكبير من اكتشافات التصيد الاحتيالي للوكلاء أو بمحاولات التصيد الاحتيالي المتطورة للغاية التي تتطلب اهتمامًا بشريًا.

اعتبارات إضافية وأفضل الممارسات

  • تدريب المستخدم: على الرغم من أن الوكيل يقوم بإجراء الفحص تلقائيًا، إلا أن التدريب المستمر للمستخدمين لتحديد رسائل البريد الإلكتروني المشبوهة والإبلاغ عنها يظل أمرًا ضروريًا. يتصرف الوكيل بناءً على تقارير المستخدمين، كما أن الثقافة الأمنية القوية هي خط الدفاع الأول.

  • مراجعة دورية للسياسة: إن مشهد التهديدات يتغير باستمرار. قم بمراجعة تكوينات عامل فرز التصيد الاحتيالي وسياسات المعالجة بشكل منتظم لضمان بقائها فعالة ضد أحدث تكتيكات المهاجمين.

  • تكامل SOC: تأكد من تكامل نتائج وتنبيهات وكيل فرز التصيد مع نظام SIEM/SOAR (مثل Microsoft Sentinel) للحصول على عرض موحد للأمان ولتنسيق الاستجابات الأوسع للحوادث.

  • وضع التدقيق الأولي: بالنسبة للمؤسسات التي تريد اتباع نهج أكثر حذرًا، فكر في تكوين الوكيل مبدئيًا في وضع التدقيق أو باستخدام إجراءات معالجة أكثر اعتدالًا (مثل الانتقال إلى البريد غير الهام) لمراقبة أدائه قبل تنفيذ إجراءات أكثر قوة.

  • التعليقات المستمرة: استخدم التقارير والمقاييس لتقديم تعليقات لنماذج الذكاء الاصطناعي، مما يساعد على تحسين دقتها وفعاليتها بمرور الوقت.

الخلاصة

يمثل Microsoft Defender لـ Phishing Triage Agent في Office 365 تقدماً حاسماً في مكافحة التصيد الاحتيالي في عام 2026. من خلال أتمتة فرز رسائل البريد الإلكتروني التصيدية والتحقيق فيها ومعالجتها، فإنه لا يؤدي إلى تسريع وقت الاستجابة بشكل كبير فحسب، بل يعمل أيضاً على تحسين دقة الكشف وتحرير فرق الأمان للتركيز على المزيد من التحديات الإستراتيجية. يعد التنفيذ الفعال لهذا العامل خطوة حاسمة لأي مؤسسة تتطلع إلى تعزيز مرونتها السيبرانية وحماية مستخدميها من التهديدات المتطورة بشكل متزايد في عصر الذكاء الاصطناعي. ومن خلال اعتماد هذه التقنية، يمكن للشركات تحويل دفاعها ضد التصيد الاحتيالي من معركة يدوية تفاعلية إلى معركة هجومية يدويةعملية استباقية وذكية.

المراجع

[1] مجتمع مايكروسوفت التقني. "إشعال 2025: ما الجديد في Microsoft Defender؟" متوفر في: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/ignite-2025-whats-new-in-microsoft-defender/4469996 [2] مجتمع مايكروسوفت التقني. "RSA 2026: ما الجديد في Microsoft Defender؟" متوفر على: [https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [3] لينكدين. "RSA 2026: ما الجديد في Microsoft Defender؟ | سامي لامبو." متاح على: [https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez] (https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez) [4] مجتمع مايكروسوفت التقني. "الأخبار الشهرية - أبريل 2026." متوفر على: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050