تكوين Microsoft Defender لـ Office 365 للحماية المتقدمة من المخاطر

تكوين Microsoft Defender لـ Office 365 للحماية المتقدمة من المخاطر

12/01/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين Microsoft Defender لـ Office 365 (MDO) وتحسينه، وهو حل قوي للحماية المتقدمة ضد تهديدات البريد الإلكتروني والتعاون. في السيناريو الذي يظل فيه البريد الإلكتروني هو الناقل الرئيسي للهجمات الإلكترونية مثل التصيد الاحتيالي والبرامج الضارة والبريد العشوائي، يوفر MDO طبقات أساسية من الدفاع لحماية المستخدمين والمؤسسة [1].

مقدمة

يعد البريد الإلكتروني أداة اتصال لا غنى عنها، ولكنه أيضًا نقطة دخول متكررة للتهديدات السيبرانية. تعد هجمات التصيد الاحتيالي وبرامج الفدية التي يتم تسليمها عبر المرفقات الضارة وتسوية البريد الإلكتروني للأعمال (BEC) والانتحال من الأساليب الشائعة التي تهدف إلى استغلال ثقة المستخدم وتجاوز الدفاعات التقليدية. Microsoft Defender لـ Office 365 (المعروف سابقًا باسم Office 365 Advanced Threat Protection - ATP) عبارة عن مجموعة أمان مستندة إلى السحابة مصممة للحماية من هذه التهديدات المتقدمة، وتقدم ميزات مثل المرفقات الآمنة والارتباطات الآمنة ومكافحة التصيد الاحتيالي ومكافحة الانتحال والحماية من البرامج الضارة [2].

سيغطي هذا الدليل العملي التكوين خطوة بخطوة لميزات MDO الرئيسية، بما في ذلك إنشاء سياسات للمرفقات الآمنة، والارتباطات الآمنة، ومكافحة التصيد الاحتيالي، ومكافحة البرامج الضارة. سيتم توفير تعليمات مفصلة وأمثلة عملية وأوامر فعلية (عند الاقتضاء) حتى يتمكن القارئ من تنفيذ واختبار والتحقق من فعالية وسائل الحماية هذه. بالإضافة إلى ذلك، ستتم مناقشة النصائح الأمنية وفحوصات الامتثال وأفضل الممارسات لضمان حماية مؤسستك ضد أحدث التهديدات، بشكل مستقل ومهني وموثوق.

ما سبب أهمية برنامج Microsoft Defender لـ Office 365؟

  • الحماية المتقدمة من التهديدات: للدفاع ضد الهجمات المعقدة مثل التصيد الاحتيالي المستهدف وبرامج الفدية والبرامج الضارة لليوم الأول واختراق البريد الإلكتروني للأعمال (BEC) التي قد لا تكتشفها الدفاعات التقليدية.
  • المرفقات الآمنة: لفتح مرفقات البريد الإلكتروني في بيئة وضع الحماية الافتراضية للتحقق مما إذا كانت ضارة قبل تسليمها للمستخدمين، مما يوفر الحماية من البرامج الضارة غير المعروفة.
  • الروابط الآمنة: إعادة كتابة عناوين URL في رسائل البريد الإلكتروني والمستندات للتحقق من أمانها وقت النقر، وحماية المستخدمين من الروابط الضارة، حتى لو كان عنوان URL الأصلي آمنًا وقت التسليم.
  • حماية ضد التصيد الاحتيالي والانتحال: يستخدم الذكاء الآلي والاستدلالات المتقدمة لتحديد رسائل البريد الإلكتروني التصيدية ومحاولات الانتحال وحظرها.
  • التقارير والتحليلات: توفر رؤية تفصيلية للتهديدات المكتشفة، مما يمكّن فرق الأمان من التحقيق في الحوادث وتعديل السياسات حسب الحاجة.
  • تكامل Microsoft 365: يتكامل أصلاً مع Exchange Online وSharePoint Online وOneDrive for Business وMicrosoft Teams، مما يوفر حماية شاملة عبر النظام البيئي التعاوني بأكمله.

المتطلبات الأساسية

لتكوين Microsoft Defender لـ Office 365، ستحتاج إلى العناصر التالية:

  1. الترخيص: يتم تضمين MDO في تراخيص مثل Microsoft 365 E5، أو Office 365 E5، أو Microsoft 365 E5 Security، أو يمكن شراؤه كوظيفة إضافية لاشتراكات Microsoft 365/Office 365 الأخرى [3].
  2. الوصول الإداري: حساب بدور المسؤول العام أو مسؤول الأمان في مدخل Microsoft 365 Defender (https://security.microsoft.com).
  3. المجالات التي تم تكوينها: يجب تكوين مجالاتك والتحقق من صحتها في Microsoft 365، مع توجيه سجلات MX إلى Exchange Online Protection (EOP).

خطوة بخطوة: تكوين Microsoft Defender لـ Office 365

فلنقم بتكوين سياسات الحماية المتقدمة في MDO.

1. الوصول إلى بوابة Microsoft 365 Defender

تتم إدارة جميع إعدادات MDO من بوابة Microsoft 365 Defender الموحدة.

  1. افتح المستعرض الخاص بك وانتقل إلى مدخل Microsoft 365 Defender: https://security.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في جزء التنقل الأيمن، حدد البريد الإلكتروني والتعاون > السياسات والقواعد > سياسات التهديدات.

2. تكوين سياسة المرفقات الآمنة(المرفقات الآمنة)

تحمي سياسات المرفقات الآمنة من البرامج الضارة في مرفقات البريد الإلكتروني.

  1. في صفحة "سياسات التهديدات"، حدد المرفقات الآمنة.
  2. انقر فوق "+إنشاء" لتشغيل معالج سياسة المرفقات الآمنة الجديد.
  3. اسم السياسة: أدخل اسمًا ذا معنى (على سبيل المثال: `سياسة المرفقات الآمنة العالمية).
  4. الوصف: قدم وصفًا واضحًا (على سبيل المثال، الحماية من المرفقات الضارة لجميع المستخدمين).

  5. انقر فوق "التالي".

  6. المستخدمون والمجموعات والمجالات:

    • ضمن "المستخدمون والمجموعات"، حدد "جميع المستخدمين" أو أضف مستخدمين/مجموعات محددة. للحصول على حماية شاملة، يوصى بـ "جميع المستخدمين".
    • ضمن "النطاقات"، حدد "جميع النطاقات" أو نطاقات محددة.

  7. انقر فوق "التالي".

  8. الإعدادات:

    • إجراء الاستجابة للبرامج الضارة للمرفقات الآمنة: حدد "حظر".
      • الشرح: هذا هو الإجراء الأكثر أمانًا لأنه يحظر رسائل البريد الإلكتروني التي تحتوي على مرفقات ضارة تم اكتشافها.
    • إعادة توجيه المرفقات المكتشفة: اختياريًا، يمكنك إعادة توجيه المرفقات الضارة إلى عنوان بريد إلكتروني آمن لصندوق بريد لتحليلها.
    • الأولوية: اترك القيمة الافتراضية، أو قم بتعيين الأولوية إذا كانت لديك سياسات متعددة.

  9. انقر فوق "التالي".

  10. المراجعة: راجع الإعدادات وانقر على "إرسال" لإنشاء السياسة.

3. تكوين سياسة الروابط الآمنة

تحمي سياسات الارتباطات الآمنة من عناوين URL الضارة في رسائل البريد الإلكتروني وتطبيقات Microsoft 365 الأخرى.

  1. في صفحة "سياسات التهديدات"، حدد الارتباطات الآمنة.
  2. انقر فوق "+إنشاء" لتشغيل معالج سياسة الارتباطات الآمنة الجديد.
  3. اسم السياسة: أدخل اسمًا ذا معنى (على سبيل المثال: `سياسة الروابط الآمنة العالمية).
  4. الوصف: قدم وصفًا واضحًا (على سبيل المثال، الحماية من عناوين URL الضارة لجميع المستخدمين).

  5. انقر فوق "التالي".

  6. المستخدمون والمجموعات والمجالات:

    • ضمن "المستخدمون والمجموعات"، حدد "جميع المستخدمين" أو أضف مستخدمين/مجموعات محددة.
    • ضمن "النطاقات"، حدد "جميع النطاقات" أو نطاقات محددة.

  7. انقر فوق "التالي".

  8. إعدادات حماية عنوان URL والنقر:

    • حدد إجراءً لعناوين URL التي يُحتمل أن تكون ضارة: حدد "تمكين الروابط الآمنة في البريد الإلكتروني".
    • تطبيق الروابط الآمنة على رسائل البريد الإلكتروني المرسلة داخل المؤسسة: حدد هذا الخيار لحماية الروابط الداخلية.
    • تطبيق الارتباطات الآمنة على عناوين URL في عملاء Office 365 المعتمدين: حدد هذا الخيار لتأمين الارتباطات في تطبيقات مثل Teams وWord وExcel وPowerPoint.
    • لا تعيد كتابة عناوين URL، ولكن قم بإجراء عمليات التحقق عبر واجهة برمجة التطبيقات (API) فقط على الروابط الآمنة: قم بإلغاء تحديد هذا الخيار، حيث إن إعادة الكتابة أمر بالغ الأهمية للحماية.
    • منع المستخدمين من النقر على عناوين URL الأصلية: حدد هذا الخيار للتأكد من عدم تمكن المستخدمين من تجاوز عملية التحقق.
    • لا تتحقق من عناوين URL التالية: بشكل اختياري، أضف عناوين URL الموثوقة التي لا ينبغي إعادة كتابتها أو التحقق منها (على سبيل المثال، عناوين URL الداخلية لمؤسستك).

  9. انقر فوق "التالي".

  10. المراجعة: راجع الإعدادات وانقر على "إرسال" لإنشاء السياسة.

4. تكوين سياسة مكافحة التصيد الاحتيالي

تعمل سياسات مكافحة التصيد الاحتيالي على الحماية من الانتحال وهجمات التصيد الاحتيالي الأخرى.

  1. في صفحة "سياسات التهديدات"، حدد مكافحة التصيد الاحتيالي.
  2. انقر فوق "+إنشاء" لتشغيل معالج سياسة مكافحة التصيد الاحتيالي الجديد.
  3. اسم السياسة: أعطها اسمًا ذا معنى (على سبيل المثال، السياسة العالمية لمكافحة التصيد الاحتيالي).
  4. الوصف: قدم وصفًا واضحًا (على سبيل المثال، الحماية من التصيد والانتحال لجميع المستخدمين).

  5. انقر فوق "التالي".

  6. المستخدمون والمجموعات والمجالات:

    • ضمن "المستخدمون"، و"المجموعات"، و"المجالات"، حدد "جميع المستخدمين"، و"جميع المجموعات"، و"جميع النطاقات" على التوالي. يمكنك أيضًا استبعاد بعض المستخدمين أو المجموعات إذا لزم الأمر.

  7. انقر فوق "التالي".

  8. حد التصيد الاحتيالي والحماية من انتحال الشخصية:

    • عتبة التصيد الاحتيالي: ضبط مستوى قوة الحماية. يوصى باستخدام الخيار "قياسي" أو "قوي" لمعظم المؤسسات.
    • تمكين ذكاء انتحال الهوية: استمر في "التمكين".
    • تمكين ذكاء صندوق البريد: استمر في التشغيل.
    • تمكين الحماية من انتحال شخصية المستخدم: انقر فوق "+إضافة مستخدم" لحماية المستخدمين التنفيذيين أو ذوي القيمة العالية.
    • تمكين الحماية من انتحال هوية النطاق: انقر فوق +إضافة نطاق لحماية النطاقات الخاصة بك والمجالات الشريكة.

  9. انقر فوق "التالي".

  10. الإجراءات:

    • الرسائل التي تم اكتشافها على أنها مزيفة: حدد "نقل الرسالة إلى البريد الإلكتروني غير الهام" أو "عزل الرسالة".
    • الرسائل التي تم اكتشافها على أنها انتحال هوية مستخدم: حدد عزل الرسالة.
    • تم اكتشاف رسائل على أنها انتحال هوية للنطاق: حدد عزل الرسالة.
    • الرسائل التي تم اكتشافها على أنها رسائل تصيد احتيالي: حدد عزل الرسالة.

  11. انقر فوق "التالي".

  12. المراجعة: راجع الإعدادات وانقر على "إرسال" لإنشاء السياسة.

5. تكوين سياسة مكافحة البرامج الضارة

تحمي سياسات مكافحة البرامج الضارة من البرامج الضارة الموجودة في رسائل البريد الإلكتروني.

  1. في صفحة "سياسات التهديدات"، حدد مكافحة البرامج الضارة.
  2. سترى السياسة الافتراضية ("الافتراضية") التي تنطبق على جميع المستلمين. بالنسبة للتخصيصات، يمكنك إنشاء سياسة جديدة أو تحرير السياسة الافتراضية.
  3. انقر فوق + إنشاء (أو حدد السياسة الافتراضي ثم انقر فوق تحرير الحماية).
  4. اسم السياسة: أعطها اسمًا (على سبيل المثال: سياسة مكافحة البرامج الضارة المخصصة).
  5. الوصف: قدم وصفًا.

  6. انقر فوق "التالي".

  7. المستخدمون والمجموعات والمجالات:

    • حدد "جميع المستلمين" أو قم بإضافة مستخدمين/مجموعات/نطاقات محددة.

  8. انقر فوق "التالي".

  9. إعدادات الحماية:

    • قسم الحماية: احتفظ بخياري تمكين عامل تصفية المرفقات الشائعة وتمكين التجاهل التلقائي للبرامج الضارة لمدة صفر ساعة.
    • قسم العزل: حدد المدة التي يجب أن تظل فيها رسائل البرامج الضارة في العزل (على سبيل المثال، 30 يومًا).
    • قسم الإشعارات: قم بتكوين الإشعارات للمسؤولين والمرسلين/المستلمين عند اكتشاف برامج ضارة.

  10. انقر فوق "التالي".

  11. المراجعة: راجع الإعدادات وانقر على "إرسال" لإنشاء/تحديث السياسة.

التحقق والاختبار

ومن الأهمية بمكان اختبار فعالية السياسات التي تم تكوينها للتأكد من أنها تعمل كما هو متوقع.

1. اختبار المرفقات الآمنة

  1. السيناريو: إرسال بريد إلكتروني من عنوان خارجي إلى مستخدم داخلي باستخدام ملف اختبار غير ضار يحاكي البرامج الضارة (على سبيل المثال، ملف EICAR، وهو نمط اختبار لمكافحة الفيروسات). يمكنك إنشاء ملف EICAR من مواقع الأمان المختلفة.
  2. الإجراء المتوقع: يجب حظر البريد الإلكتروني الذي يحتوي على ملف EICAR أو نقله إلى العزل، ويجب عدم تسليم المرفق إلى المستخدم.
  3. التحقق:
    • في مدخل Microsoft 365 Defender، انتقل إلى البريد الإلكتروني والتعاون > المستكشف (أو تتبع الرسائل).
    • البحث عن البريد الإلكتروني للاختبار. يجب أن ترى أنه تم اكتشافه وحظره بواسطة سياسة المرفقات الآمنة.

2. اختبار الروابط الآمنة

  1. السيناريو: إرسال بريد إلكتروني من عنوان خارجي إلى مستخدم داخلي يحتوي على رابط إلى موقع اختبار التصيد (على سبيل المثال، http://www.phishtest.com أو رابط إلى موقع اختبار البرامج الضارة). يرجى التأكد من أن الرابط ليس موقعًا حقيقيًا يمكن أن يسبب ضررًا.
  2. الإجراء المتوقع: عندما ينقر المستخدم على الرابط، يجب إعادة توجيهه إلى صفحة تحذير الروابط الآمنة، لإعلامه بأن الموقع ضار أو مشبوه، ويجب حظر الوصول إليه.
  3. التحقق:
    • في مدخل Microsoft 365 Defender، انتقل إلى البريد الإلكتروني والتعاون > المستكشف.
    • البحث عن البريد الإلكتروني للاختبار. يجب أن تشاهد تفاصيل النقر الخاصة بالارتباط وأنه تم حظره بواسطة الروابط الآمنة.

3. اختبار مكافحة التصيد الاحتيالي والانتحال

  1. السيناريو:
    • الانتحال: أرسل بريدًا إلكترونيًا من عنوان خارجي ينتحل نطاق مؤسستك (على سبيل المثال، [email protected] من خادم بريد إلكتروني غير مصرح به).
    • التصيد الاحتيالي لانتحال الشخصية: أرسل بريدًا إلكترونيًا من عنوان خارجي يشبه عنوان مسؤول تنفيذي محمي بموجب سياسة الانتحال (على سبيل المثال، [email protected]).
  2. الإجراء المتوقع: يجب نقل رسائل البريد الإلكتروني إلى مجلد العزل أو البريد غير الهام كما تم تكوينه في سياسة مكافحة التصيد الاحتيالي.
  3. التحقق:
    • التحقق من مجلد العزل أو البريد غير الهام الخاص بالمستخدم.
    • على بوابة مايكروsoft 365 Defender، انتقل إلى البريد الإلكتروني والتعاون > المستكشف.
    • البحث عن رسائل البريد الإلكتروني الاختبارية. يجب أن ترى أنه تم اكتشافها ومعالجتها من خلال سياسات مكافحة التصيد الاحتيالي/مكافحة الانتحال.

نصائح أمنية وأفضل الممارسات

  • سياسات الأمان المحددة مسبقًا: فكر في استخدام سياسات الأمان المحددة مسبقًا (قياسية وصارمة) في MDO. إنهم يطبقون الإعدادات الموصى بها من قبل Microsoft للحصول على حماية سريعة وفعالة [4].
  • تعليم المستخدم: التكنولوجيا ليست سوى جزء من الحل. قم بتدريب المستخدمين بانتظام على كيفية التعرف على رسائل البريد الإلكتروني التصيدية والتهديدات الأخرى والإبلاغ عنها. يمكن أن يكون التدريب على محاكاة هجوم Microsoft أداة قيمة لهذا الغرض.
  • المراقبة المستمرة: مراقبة التقارير ومستكشف التهديدات في مدخل Microsoft 365 Defender بانتظام لتحديد اتجاهات الهجوم والمستخدمين ذوي المخاطر العالية وضبط السياسات حسب الحاجة.
  • الاستثناءات بحذر: استخدم الاستثناءات (على سبيل المثال، `لا تتحقق من عناوين URL التالية في الروابط الآمنة) بحذر شديد وفقط للنطاقات التي ثبت أنها آمنة وضرورية.
  • أولوية السياسة: فهم آلية عمل أولوية السياسة. يجب أن تتمتع السياسات الأكثر تحديدًا بأولوية أعلى (عدد أصغر) ليتم تطبيقها قبل السياسات الأكثر عمومية.
  • التكامل مع Microsoft Sentinel: أرسل سجلات وتنبيهات MDO إلى Microsoft Sentinel للحصول على عرض مركزي للأمان وأتمتة الاستجابة للحوادث.
  • حماية التعاون: تذكر أن MDO لا يحمي رسائل البريد الإلكتروني فحسب، بل يحمي أيضًا الملفات في SharePoint وOneDrive والرسائل في Teams. تأكد من تمكين وتكوين وسائل الحماية هذه.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا يتم حظر رسائل البريد الإلكتروني الضارة:
    • تأكد من "تمكين" السياسات وتطبيقها على المستخدمين/المجموعات/المجالات الصحيحة.
    • التحقق من أولوية السياسات. وربما يتم تطبيق سياسة أقل عدوانية ذات أولوية أعلى في وقت قريب.
    • استخدم تتبع الرسائل في مركز إدارة Exchange (EAC) أو مستكشف التهديدات في مدخل Microsoft 365 Defender لمعرفة كيفية معالجة بريد إلكتروني محدد.
    • تأكد من عدم وجود استثناءات أو قوائم السماح التي تسمح بالتسليم.
  • الإيجابيات الكاذبة (تم حظر رسائل البريد الإلكتروني المشروعة):
    • تحقق من البريد الإلكتروني في Threat Explorer لفهم سبب حظره.
    • ضبط حساسية السياسة (على سبيل المثال، عتبة التصيد الاحتيالي الأقل عدوانية).
    • قم بإدراج المرسلين أو النطاقات الموثوقة في القائمة البيضاء، ولكن افعل ذلك بحذر.
    • أرسل البريد الإلكتروني لمراجعة Microsoft لتحسين الاكتشاف.
  • لا تتم إعادة كتابة الروابط بواسطة الروابط الآمنة:
    • تأكد من تفعيل سياسة الروابط الآمنة وتطبيقها على المستخدمين/المجموعات/المجالات الصحيحة.
    • تأكد من إلغاء تحديد "عدم إعادة كتابة عناوين URL، ولكن إجراء عمليات فحص واجهة برمجة التطبيقات (API) على الروابط الآمنة فقط" (ما لم يكن ذلك مخصصًا لسيناريوهات محددة).
    • تأكد من عدم وجود الرابط في قائمة عناوين URL "عدم التحقق".
  • لم يتم اكتشاف المرفقات الضارة:
    • تأكد من أن سياسة المرفقات الآمنة "ممكّنة" وضبطها على "حظر".
    • التحقق من نوع الملف. تركز المرفقات الآمنة على أنواع الملفات التي قد تحتوي على محتوى أو نصوص برمجية قابلة للتنفيذ.

الخلاصة

يعد Microsoft Defender لـ Office 365 أداة قوية وأساسية لحماية المؤسسات من المشهد المتطور باستمرار للبريد الإلكتروني والتهديدات القائمة على التعاون. من خلال التنفيذ الدقيق لسياسات المرفقات الآمنة والارتباطات الآمنة ومكافحة التصيد الاحتيالي والبرامج الضارة وتحسينها، يمكن لفرق الأمان بناء دفاع قوي يحمي المستخدمين من الهجمات المعقدة. يتيح الجمع بين أدوات الكشف المتقدمة والمعالجة الآلية والتحقيق المتعمق للمؤسسات الحفاظ على الإنتاجية مع تخفيف المخاطر الكبيرة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان مجهزين جيدًا لتكوين Microsoft Defender لـ Office 365 والتحقق من صحته وإدارته، مما يضمن بيئة اتصال وتعاون أكثر أمانًا ومرونة لمؤسساتهم.

المراجع:

[1] مايكروسوفت تعلم. مايكروسوفت ديفندر لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/ [2] مايكروسوفت تعلم. نظرة عامة على حزمة الحماية في Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] مايكروسوفت تعلم. ترخيص Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] مايكروسوفت تعلم. الإعدادات الموصى بها لـ EOP وMicrosoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/recommending-settings-for-eop-and-office365 [5] مايكروسوفت تعلم. تكوين سياسات المرفقات الآمنة في Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] مايكروسوفت تعلم. تكوين سياسات الارتباطات الآمنة في Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] مايكروسوفت تعلم. سياسات مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365. متوفر على: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo [8] مايكروسوفت تعلم. تكوين سياسات مكافحة البرامج الضارة في EOP. متوفر في: https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide