كيفية منع التصيد الاحتيالي باستخدام Defender لـ Office 365

14/04/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين Microsoft Defender لـ Office 365 (MDO) وتحسينه لمنع هجمات التصيد الاحتيالي بشكل فعال. يظل التصيد الاحتيالي أحد أكثر التهديدات السيبرانية انتشارًا وخطورة، حيث يهدف إلى سرقة بيانات الاعتماد أو تثبيت برامج ضارة أو خداع الضحايا لإفشاء معلومات سرية. يقدم MDO مجموعة قوية من ميزات مكافحة التصيد الاحتيالي التي تتجاوز الحماية الأساسية لـ Exchange Online Protection (EOP)، وتوفر دفاعات متقدمة ضد الهجمات المعقدة [1].

مقدمة

لقد تطورت هجمات التصيد الاحتيالي من رسائل البريد الإلكتروني العامة إلى حملات مستهدفة ومقنعة للغاية تُعرف باسم التصيد الاحتيالي وصيد الحيتان وتسوية البريد الإلكتروني التجاري (BEC). وتستغل هذه التكتيكات الثقة البشرية ويمكنها تجاوز الدفاعات التقليدية. تم تصميم Microsoft Defender لـ Office 365 لمكافحة هذه التهديدات المتقدمة باستخدام الذكاء الاصطناعي والتعلم الآلي وتحليل السلوك لاكتشاف رسائل البريد الإلكتروني الضارة وحظرها قبل وصولها إلى صناديق البريد الوارد للمستخدمين [2].

سيغطي هذا الدليل العملي تكوين سياسات مكافحة التصيد الاحتيالي في MDO، بما في ذلك الحماية من الانتحال، وذكاء صندوق البريد، والحماية من انتحال الهوية، والارتباطات والمرفقات الآمنة. سيتم توفير إرشادات خطوة بخطوة وأمثلة التكوين وطرق التحقق حتى يتمكن القارئ من تعزيز دفاع مؤسسته ضد هجمات التصيد الاحتيالي وتثقيف المستخدمين حول أفضل الممارسات.

لماذا يُعد Defender لـ Office 365 ضروريًا ضد التصيد الاحتيالي؟

• الحماية المتقدمة: تتجاوز EOP، حيث توفر إمكانية اكتشاف تهديدات اليوم صفر والهجمات متعددة الأشكال.
• تحليل التهديدات: يستخدم الذكاء الواسع للتهديدات من Microsoft لتحديد أنماط وتوجهات الهجوم الناشئة.
• التحليل السلوكي: يحلل سلوك رسائل البريد الإلكتروني وعناوين URL لتحديد الحالات الشاذة التي تشير إلى التصيد الاحتيالي.
• الحماية من الانتحال: للدفاع ضد رسائل البريد الإلكتروني التي تحاول انتحال هوية المديرين التنفيذيين أو العلامات التجارية أو الشركاء الموثوق بهم.
• الروابط والمرفقات الآمنة: يقوم بفحص عناوين URL والمرفقات في الوقت الفعلي في وقت النقر أو الفتح، للحماية من المحتوى الضار.
• الرؤية وإعداد التقارير: توفر أدوات تقارير وتحقيقات تفصيلية لفهم هجمات التصيد الاحتيالي والرد عليها.

المتطلبات الأساسية

لتكوين سياسات مكافحة التصيد الاحتيالي وتحسينها في Microsoft Defender لـ Office 365، ستحتاج إلى العناصر التالية:

1. الترخيص: ترخيص يتضمن Microsoft Defender لـ Office 365 (الخطة 1 أو الخطة 2). يكون هذا عادةً جزءًا من حزم مثل Microsoft 365 E5 Security، أو Microsoft 365 E5، أو Office 365 E5، أو يمكن شراؤه كوظيفة إضافية [3].
2. الوصول الإداري: حساب يتمتع بأذونات مسؤول الأمان أو مسؤول الامتثال في مدخل Microsoft 365 Defender (https://security.microsoft.com).
3. المجالات التي تم التحقق منها: يجب تكوين مجالات البريد الإلكتروني الخاصة بك والتحقق منها في Microsoft 365.
4. سجلات DNS للبريد الإلكتروني: يجب تكوين SPF (إطار سياسة المرسل)، وDKIM (البريد المعرف بمفاتيح المجال)، وDMARC (مصادقة الرسائل وإعداد التقارير والمطابقة المستندة إلى المجال) بشكل صحيح لنطاقاتك. وهذا أمر بالغ الأهمية للحماية من الانتحال وانتحال الشخصية.

خطوة بخطوة: تكوين سياسات مكافحة التصيد الاحتيالي في MDO

فلنقم بتكوين سياسة مخصصة لمكافحة التصيد الاحتيالي لحماية المستخدمين.

1. الوصول إلى بوابة Microsoft 365 Defender

1. افتح المتصفح الخاص بك وانتقل إلى https://security.microsoft.com.
2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.

2. إنشاء سياسة مخصصة لمكافحة التصيد الاحتيالي

على الرغم من أن MDO لديه سياسة افتراضية لمكافحة التصيد الاحتيالي، إلا أنه يوصى بشدة بإنشاء سياسات مخصصة لمجموعات مستخدمين محددة (مثل المديرين التنفيذيين والمستخدمين ذوي المخاطر العالية) وضبط إعدادات الحماية.

1. في جزء التنقل الأيمن، حدد البريد الإلكتروني والتعاون > السياسات والقواعد > سياسات التهديدات.
2. في قسم السياسات، انقر فوق مكافحة التصيد الاحتيالي.
3. انقر فوق إنشاء لتشغيل معالج السياسة الجديد.

الخطوة 1: قم بتسمية السياسة

1. الاسم: `سياسة مكافحة التصيد الاحتياليمخصص - المديرون التنفيذيون (أو اسم وصفي لمجموعتك المستهدفة).
2. الوصف: `حماية متقدمة من التصيد الاحتيالي للمديرين التنفيذيين والمستخدمين ذوي المخاطر العالية.'
3. انقر التالي.

الخطوة 2: المستخدمون والمجموعات والمجالات

1. المستخدمون أو المجموعات أو المجالات: حدد المستخدمين أو المجموعات التي ستنطبق عليها هذه السياسة. في هذا المثال، حدد مجموعة أمان تحتوي على المديرين التنفيذيين لديك.
   • نصيحة: ابدأ بمجموعة اختبار صغيرة قبل التقديم على المؤسسة بأكملها.
2. استبعاد هؤلاء المستخدمين والمجموعات والمجالات: (اختياري) أضف أي كيانات ينبغي استبعادها من هذه السياسة.
3. انقر التالي.

الخطوة 3: عتبة التصيد الاحتيالي وعتبة انتحال الشخصية

يتيح لك هذا القسم ضبط مستوى الحماية ضد التصيد وانتحال الهوية.

1. عتبة التصيد الاحتيالي: يوصى بتعيين قيمة 3 أو 4 (القيمة الافتراضية هي 1). توفر القيم الأعلى المزيد من الحماية، ولكنها قد تزيد من النتائج الإيجابية الكاذبة.
2. تمكين المستخدمين من الحماية: انقر فوق إضافة مستخدم وأضف عناوين البريد الإلكتروني للمديرين التنفيذيين أو الأشخاص الرئيسيين الذين تريد حمايتهم من انتحال الشخصية (مثل المدير التنفيذي أو المدير المالي). سوف يقوم MDO بمراقبة رسائل البريد الإلكتروني التي تحاول انتحال هوية هؤلاء الأشخاص بشكل نشط.
3. تمكين حماية النطاقات: انقر على إضافة نطاق وأضف النطاقات الخاصة بك (على سبيل المثال، yourcompany.com). وهذا يحمي من انتحال المجال الداخلي والخارجي.
4. الإجراءات: قم بتعيين الإجراءات للرسائل التي تم اكتشافها على أنها انتحال شخصية:
   • إذا تم اكتشاف الرسالة على أنها انتحال هوية مستخدم: عزل الرسالة أو انقل الرسالة إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستلم.
   • إذا تم اكتشاف الرسالة على أنها انتحال هوية للنطاق: عزل الرسالة.
   • نصيحة: ابدأ بـ نقل الرسالة إلى البريد الإلكتروني غير الهام للمستلم' أو مجلدالعزل` لتجنب فقدان رسائل البريد الإلكتروني الشرعية.
5. ذكاء صندوق البريد: تأكد من تشغيله**. يتيح ذلك لـ MDO استخدام ذكاء التعلم الآلي لتحديد أنماط الاتصال العادية لكل مستخدم واكتشاف الحالات الشاذة.
6. الحماية من الانتحال: تأكد من تشغيلها** واضبط الإجراء لرسائل الانتحال غير المصادق عليها على نقل الرسالة إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستلم أو عزل الرسالة.
7. انقر التالي.

الخطوة 4: المراجعة

1. قم بمراجعة كافة إعدادات السياسة.
2. انقر إنشاء.

3. تكوين المرفقات الآمنة

تعمل "المرفقات الآمنة" على الحماية من البرامج الضارة غير المتوقعة عن طريق فتح المرفقات في بيئة افتراضية (وضع الحماية) قبل تسليمها إلى المستخدمين.

1. في جزء التنقل الأيمن، حدد البريد الإلكتروني والتعاون > السياسات والقواعد > سياسات التهديدات.
2. في قسم السياسات، انقر فوق المرفقات الآمنة.
3. انقر إنشاء.
4. الاسم: سياسة المرفقات الآمنة.
5. الوصف: `يقوم بفحص مرفقات البريد الإلكتروني في وضع الحماية للحماية من البرامج الضارة في يوم الصفر.'
6. إجراء الاستجابة للبرامج الضارة للمرفقات الآمنة: حدد "حظر".
7. إعادة توجيه المرفقات المكتشفة: (اختياري) يمكنك إعادة توجيه المرفقات إلى صندوق بريد الأمان لمزيد من التحليل.
8. تطبيق على: حدد المستخدمون أو المجموعات أو المجالات وأضف المستخدمين أو المجموعات ذات الصلة.
9. انقر إنشاء.

4. تكوين الروابط الآمنة

تعمل الروابط الآمنة على إعادة كتابة عناوين URL في رسائل البريد الإلكتروني والمستندات للتحقق من سمعتها في الوقت الفعلي وقت النقر، مما يوفر الحماية من الروابط الضارة.

1. في جزء التنقل الأيمن، حدد البريد الإلكتروني والتعاون > السياسات والقواعد > سياسات التهديدات.
2. في قسم السياسات، انقر فوق الارتباطات الآمنة.
3. انقر إنشاء.
4. الاسم: سياسة الروابط الآمنة.
5. الوصف: `يحمي من عناوين URL الضارة في رسائل البريد الإلكتروني والمستندات.'
6. تطبيق الروابط الآمنة على رسائل البريد الإلكتروني: تأكد من أن هذا ممكّن.
7. تطبيق الارتباطات الآمنة على المحتوى في تطبيقات Office 365: تأكد من تمكينه.
8. الإجراءات: قم بتكوين الإجراءات لعناوين URL المحظورة (على سبيل المثال، حظر عناوين URL الضارة).
9. لا تعيد كتابة عناوين URL التالية: (اختياري) أضف عناوين URL الداخلية أو الموثوقة التي لا ينبغي إعادة كتابتها.
10. تطبيق على: حدد المستخدمون أو المجموعات أو المجالات وأضف المستخدمين أو المجموعات ذات الصلة.
11. انقر إنشاء.

التحقق والاختبار

يعد التحقق من فعالية سياسات مكافحة التصيد الاحتيالي أمرًا بالغ الأهمية لضمان عمل الحماية كما هو متوقع.

1. استخدام التدريب على محاكاة الهجوم

يتضمن MDO أداة محاكاة لهجمات التصيد الاحتيالي التي تسمح لك باختبار مرونة المستخدم وفعالية سياساتك.

1. في مدخل Microsoft 365 Defender، انتقل إلى البريد الإلكتروني والتعاون > محاكاة هجوم التدريب.
2. انقر بدء المحاكاة.
3. اتبع المعالج لإنشاء وإطلاق حملة تصيد احتيالي محاكاة لمجموعة من المستخدمين الاختباريين.
4. راقب النتائج لمعرفة عدد المستخدمين الذين تم اختراقهم وما إذا كانت سياسات MDO قد اعترضت رسائل البريد الإلكتروني التصيدية التي تمت محاكاتها.

2. فحص سجلات الحماية

1. في مدخل Microsoft 365 Defender، انتقل إلى البريد الإلكتروني والتعاون > المستكشف.
2. استخدم عوامل التصفية للبحث عن رسائل البريد الإلكتروني التي تحتوي على أحكام "التصيد الاحتيالي" أو "الانتحال" أو "البرامج الضارة" لمعرفة ما إذا كانت السياسات تكتشف رسائل البريد الإلكتروني الضارة.

3. اختبار الروابط والمرفقات الآمنة

أرسل بريدًا إلكترونيًا اختباريًا يحتوي على رابط ضار معروف (على سبيل المثال من موقع اختبار تصيد آمن) أو ملف اختبار برامج ضارة (على سبيل المثال EICAR) إلى مستخدم محمي وتحقق مما إذا كان MDO يعيد كتابة الرابط أو يحظر المرفق.

نصائح أمنية وأفضل الممارسات

• تعليم المستخدم: خط الدفاع الأكثر أهمية. تدريب المستخدمين بانتظام على التعرف على رسائل البريد الإلكتروني التصيدية والإبلاغ عنها. استخدم محاكاة هجوم التدريب لتعزيز التعلم.
• إعداد نظام التعرف على هوية المرسل (SPF)، وDKIM، وDMARC: تعد سجلات DNS هذه ضرورية لمصادقة البريد الإلكتروني والحماية من الانتحال. تأكد من تكوينها بشكل صحيح لجميع النطاقات الخاصة بك.
• السياسات التفصيلية: يمكنك إنشاء سياسات مخصصة لمكافحة التصيد الاحتيالي لمجموعات مختلفة من المستخدمين، وخاصةً أولئك المعرضين لمخاطر عالية (مثل المديرين التنفيذيين والمالية).
• زيادة حد التصيد الاحتيالي: فكر في زيادة حد التصيد الاحتيالي إلى 3 أو 4 في السياسات المخصصة لتوفير حماية أكبر من خلال مراقبة النتائج الإيجابية الزائفة.
• تقارير المراقبة: قم بمراجعة تقارير الحماية من التهديدات في MDO بانتظام لتحديد الاتجاهات والهجمات المستهدفة والمجالات التي يمكن تحسين الحماية فيها.
• التكامل مع Defender for Endpoint: تعمل حماية البريد الإلكتروني وحماية نقطة النهاية معًا لتوفير دفاع متعدد الطبقات. إذا قام المستخدم بالنقر فوق رابط ضار، فيمكن أن يساعد Defender for Endpoint في اكتشاف التهديد الموجود على الجهاز ومعالجته.

استكشاف الأخطاء وإصلاحها الشائعة

• اختراق رسائل البريد الإلكتروني التصيدية المشروعة: تحقق من إعدادات سياسة مكافحة التصيد الاحتيالي، وخاصة حدود التصيد الاحتيالي وإجراءات انتحال الشخصية والانتحال. تأكد من تكوين SPF وDKIM وDMARC بشكل صحيح. قم بمراجعة السجلات في Threat Explorer.
• الإيجابيات الكاذبة (تم حظر رسائل البريد الإلكتروني المشروعة): اضبط حدود التصيد الاحتيالي على قيمة أقل. التحقق من إعدادات انتحال الشخصية والانتحال. أضف المرسلين أو المجالات الموثوقة إلى قائمة الاستثناءات (بحذر إذا لزم الأمر).
• الروابط التي لم تتم إعادة كتابتها أو المرفقات التي لم يتم التحقق منها: تأكد من تمكين سياسات الارتباطات الآمنة والمرفقات الآمنة وتعيينها للمستخدمين المناسبين. تأكد من أنه يتم توجيه البريد الإلكتروني من خلال MDO.
• مشكلات محاكاة هجوم التدريب: تأكد من تضمين المستخدمين الاختباريين في المجموعات الصحيحة ومن عدم وجود سياسات يمكن أن تمنع رسائل البريد الإلكتروني الخاصة بالمحاكاة قبل وصولها إلى المستخدمين.

الخلاصة

يعد Microsoft Defender لـ Office 365 أداة قوية ولا غنى عنها في مكافحة التصيد الاحتيالي. من خلال تكوين وتحسين سياسات مكافحة التصيد الاحتيالي والمرفقات الآمنة والارتباطات الآمنة، يمكن للمؤسسات إنشاء دفاع قوي ضد مجموعة واسعة من هجمات البريد الإلكتروني الضارة. يؤدي الجمع بين التكنولوجيا المتقدمة وتعليم المستخدم المستمر إلى إنشاء إستراتيجية أمان متعددة الطبقات تحمي بشكل فعال هويات الشركة وبياناتها وسمعتها. تعد اليقظة المستمرة وتكييف السياسات أمرًا ضروريًا للبقاء فعالين ضد أساليب التصيد الاحتيالي المتطورة باستمرار.

---

المراجع:

[1] مايكروسوفت تعلم. مايكروسوفت ديفندر لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] مايكروسوفت تعلم. سياسات مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] مايكروسوفت تعلم. متطلبات ترخيص Microsoft Defender لـ Office 365. متوفر على: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)