مع زيادة مخاطر جرائم الإنترنت، تكافح الشركات في جميع أنحاء العالم لحماية أثمن ممتلكاتها: بياناتها. لحسن الحظ، يوفر Microsoft Defender for Office 365 لمسؤولي تكنولوجيا المعلومات والمحللين قدرات التحقيق في التهديدات والاستجابة، مما يتيح لهم حماية مستخدميهم وبياناتهم بشكل استباقي.
باستخدام ميزات الأمان المدمجة في Office 365، يمكنك الحصول على رؤى قيمة حول التهديدات الشائعة، وجمع البيانات العملية، ووضع خطط لإجراءات الاستجابة الفعالة. يمكن لفريق الأمان الخاص بك تحديد ومراقبة وصده الأنشطة الخبيثة بسهولة قبل أن تتسبب في أضرار لا يمكن إصلاحها لمؤسستك.
يقوم هذا المنشور بتفكيك الأدوات المختلفة المضمنة في التحقيق والاستجابة للتهديدات في Microsoft. تابع القراءة للحصول على نظرة عامة على الميزات المختلفة وكيفية دمجها لإنشاء درع لا يُخترق ضد هجمات الملفات والبريد الإلكتروني.
ما هو التحقيق في التهديدات والاستجابة في Office 365؟
التحقيق في التهديدات والاستجابة في Office 365 هو مصطلح مظلة يشير إلى مجموعة من القدرات في Microsoft Defender for Office 365 خطة 2. تساعد هذه الأدوات مسؤولي تكنولوجيا المعلومات والمحللين على مراقبة وجمع المعلومات حول التهديدات المحتملة. يمكن لفرق الأمان استخدام آليات الاستجابة المتاحة في بوابة Microsoft 365 Defender لمعالجة المخاطر في SharePoint Online، وOneDrive for Business، وExchange Online، وMicrosoft Teams.
مع ميزات أمان Office 365 هذه، يمكنك جمع البيانات من عدة مصادر مثل الحوادث الأمنية السابقة، ونشاط المستخدم، والمصادقة، والرسائل البريدية، والأجهزة المخترقة. يتضمن سير العمل للتحقيق في التهديدات والاستجابة ما يلي:
- Explorer (اكتشافات فورية في MS Defender لـ Office 365 Plan 1)
- الحوادث (المعروفة أيضًا باسم التحقيقات)
- تدريب محاكاة الهجوم
- التحقيق والاستجابة التلقائية
من المهم أن نذكر أن جميع هذه القدرات توفر الحماية اللازمة من خلال جمع البيانات من تتبعات الـتهديدات المدمجة في Microsoft Defender، لذا دعونا نلقي نظرة أقرب على هذه أولاً.
تتبعات التهديدات
تتبعات التهديدات هي مجموعة من الأدوات المعلوماتية، والرسوم البيانية، والجداول التي توفر مراقبة Office 365. تعرض تفاصيل مفيدة حول التهديدات الإلكترونية التي يمكن أن تؤثر على منظمتك. تحتوي صفحات المتتبع على أرقام محدثة بانتظام حول المخاطر الرائجة مثل البرامج الضارة والمخططات الاحتيالية لتشير إلى القضايا التي هي حاليًا الأكثر خطورة على منظمتك. بالإضافة إلى ذلك، يمكنك العثور على عمود الإجراءات الذي يعيد توجيهك إلى مستكشف التهديدات حيث يمكنك عرض معلومات أعمق.
ملحوظة:
- تتم تضمين تتبعات التهديدات في Microsoft Defender لـ Office 365 Plan 2 وتحتاج إلى إذن مسؤول عالمي أو مسؤول أمان أو قارئ أمان لاستخدامها.
- للوصول إلى متعقبات التهديدات لمؤسستك، انتقل إلى https://security.microsoft.com/، انقر فوق البريد الإلكتروني والتعاون، ثم متعقب التهديدات. يمكنك أيضًا الانتقال مباشرة إلى https://security.microsoft.com/threattrackerv2.
هناك أربع ميزات مختلفة في متعقبات التهديدات: متعقبات ملحوظة، متعقبات رائجة، الاستعلامات المتتبعة و الاستعلامات المحفوظة.
متعقبات ملحوظة
تظهر هذه القطعة الفرعية التهديدات الجديدة أو الحالية ذات الخطورة المتفاوتة وما إذا كانت موجودة داخل بيئة Microsoft 365 الخاصة بك أم لا. إذا كانت موجودة، يمكنك أيضًا رؤية روابط لمقالات مفيدة تفصل المشكلة وكيف يمكن أن تؤثر على أمان Office 365 في مؤسستك.
يجب على فريق الأمان الخاص بك التحقق من المتعقبات الملحوظة بانتظام لأنها لا تُنشر إلا لبضعة أسابيع ثم تُستبدل بعناصر أحدث. يحافظ هذا على تحديث القائمة لتبقى على علم بالمخاطر الأكثر صلة.
متعقبات رائجة
تسلط المتعقبات الرائجة الضوء على التهديدات الأخيرة التي تم إرسالها إلى بريد مؤسستك خلال الأسبوع الماضي. يكتسب المسؤولون رؤى أفضل من خلال عرض تقييمات ديناميكية لاتجاهات البرامج الضارة على مستوى المستأجر وتحديد سلوك عائلات البرامج الضارة.
الاستعلامات المتتبعة
تعد استعلامات المتتبع آلية مراقبة أخرى في Office 365 تقوم بتقييم النشاط بانتظام في بيئتك من Microsoft عن طريق استغلال الاستعلامات المحفوظة. هذه عملية تلقائية توفر معلومات حديثة حول الأنشطة المشبوهة للمساعدة في ضمان حماية التهديدات في Office 365.
الاستعلامات المحفوظة
البحوث الشائعة في المستكشف أو الاستعلامات المهمة التي تقوم بها عادة يمكن حفظها كاستعلامات محفوظة. بهذه الطريقة، لن تحتاج إلى إنشاء بحث جديد في كل مرة ويمكنك الوصول بسهولة إلى الاستعلامات المحفوظة مسبقًا.
مستكشف التهديدات والكشف الفوري
في Microsoft Defender for Office 365، يسمح المستكشف، المعروف أيضًا باسم مستكشف التهديدات، لخبراء الأمان بتحليل التهديدات المحتملة التي تستهدف منظمتك ومراقبة حجم الهجمات مع مرور الوقت. من خلال هذه الميزة، يمكنك عرض تقارير شاملة وتوصيات السياسات لمعرفة كيف يمكنك الاستجابة بكفاءة للمخاطر التي تحاول التسلل إلى منظمتك.
ملاحظة:
- يتم تضمين المستكشف في خطة Microsoft Defender for Office 365 الثانية بينما تقدم الخطة الأولى الكشف الفوري.
- للوصول إلى أي من هذه الأدوات، انتقل إلى مركز الأمان والامتثال ثم إدارة التهديدات.
Threat Explorer يوفر معلومات مهمة حول التهديدات مثل البيانات التاريخية الأساسية، والأساليب الشائعة للتوصيل والضرر المحتمل الذي قد يحدث. يمكن للمحللين استخدام هذه الأداة كنقطة انطلاق لتحقيقاتهم لفحص البيانات حسب بنية الهجوم، وعائلات التهديدات ومعلمات أخرى.
تحقق من البرامج الضارة المكتشفة
يمكنك استخدام Explorer لعرض البرامج الضارة التي تم اكتشافها في بريد منظمتك. يمكن تصفية التقرير حسب تقنيات Microsoft 365 المختلفة.
عرض عنوان URL لعمليات الاحتيال وبيانات النقر
تُعرض محاولات الاحتيال من خلال عناوين URL في رسائل البريد الإلكتروني أيضًا في Threat Explorer. يتضمن هذا التقرير قائمة بالعناوين URL المسموح بها والمحظورة والتي تم تجاوزها مرتبة في جدولين:
- أعلى العناوين URL: في بعض الأحيان يقوم المهاجمون بإضافة عناوين URL جيدة جنبًا إلى جنب مع الروابط السيئة لتشويش المستلم. تحتوي هذه القائمة في الغالب على عناوين URL شرعية تم العثور عليها في الرسائل التي قمت بتصفيتها، وهي مرتبة حسب عدد البريد الإلكتروني الإجمالي.
- أعلى النقرات: هذه هي عناوين URL التي تم فتحها بتغليف Safe Links وهي مرتبة حسب إجمالي عدد النقرات. الروابط هنا على الأرجح خبيثة ويمكنك العثور على عدد القرارات للنقر على روابط Safe Links بجوار كل عنوان URL.
ملاحظة: عند إعداد مرشح الاحتيال لـ Office 365، يجب عليك تكوين Safe Links وسياساتها لتحديد الروابط التي تم النقر عليها والاستفادة من حماية وقت النقر وتسجيل قرارات النقر.
تساعد قيم قرارات النقر المعروضة في Explorer في فهم الإجراء الذي تم اتخاذه بمجرد تحديد عنوان URL:
- مسموح: تمكن المستخدم من التنقل إلى عنوان URL.
- محظور: لم يتمكن المستخدم من التنقل إلى عنوان URL.
- قرار معلق: تم عرض صفحة الانتظار بينما قام المستخدم بالنقر على عنوان URL.
- خطأ: تم عرض صفحة الخطأ للمستخدم بسبب حدوث خطأ عند محاولة التقاط القرار.
- فشل: حدث استثناء غير معروف عند محاولة التقاط القرار. من الممكن أن المستخدم قام بالنقر عبر العنوان URL.
- لا شيء: تعذّر التقاط القرار. من الممكن أن المستخدم قام بالنقر عبر العنوان URL.
- تجاوز المحظور: قام المستخدم بتجاوز الحظر والتنقل إلى عنوان URL.
- تجاوز قرار معلق: تم عرض صفحة الانفجار ولكن قام المستخدم بتجاوز الرسالة للوصول إلى عنوان URL.
مراجعة رسائل البريد الإلكتروني التي قدمها المستخدمون
تظهر هذه التقارير بيانات تتعلق بالرسائل التي قدمها مستخدمون في مؤسستك كرسائل غير مرغوب فيها أو ليست كذلك أو كرسائل احتيالية. للحصول على نتائج أفضل، يُوصى بتكوين حماية البريد العشوائي لمنتج Office 365.
العثور على والتحقيق في رسائل البريد الإلكتروني الخبيثة التي تم تسليمها
تمنح التنبيهات في الوقت الحقيقي ومستكشف التهديدات الأفراد المسؤولين عن الأمن القدرة على التحقيق في الأنشطة العدوانية التي قد تعرض مؤسستك للخطر. الإجراءات المتاحة هي:
- تحديد وتحديد عنوان IP لمرسل البريد الإلكتروني الخبيث
- العثور على الرسائل وحذفها
- بدء حادث لإجراء تحقيق أعمق
- تحقق من إجراء التسليم والموقع
- عرض جدول زمني لبريدك الإلكتروني
عرض الملفات الخبيثة التي تم اكتشافها في SharePoint Online وOneDrive وMicrosoft Teams
تقارير في قائمة المستكشف تحتوي على معلومات حول الملفات التي تم التعرف عليها كخبيثة بواسطة المرفقات الآمنة لـ OneDrive وMicrosoft Teams وSharePoint Online. يمكن للمسؤولين أيضًا عرض هذه الملفات في الحجر الصحي.
تحقق من تقرير حالة حماية التهديدات
يعرض هذا الودجت حالة أمان Office 365 الخاصة بك. بالإضافة إلى عدد الرسائل الإلكترونية التي تحتوي على محتوى خبيث، يمكنك أيضًا العثور على:
- الملفات أو عناوين URL التي تم حظرها
- إزالة الذات الساعة صفر (ZAP)
- روابط آمنة
- مرفقات آمنة
- ميزات الحماية من التنكيل بالهوية في سياسات مكافحة الصيد الاحتيالي
تتيح لك هذه المعلومات تحليل اتجاهات الأمان لذا يمكنك تحديد ما إذا كانت سياساتك تحتاج إلى تعديل.
تدريب محاكاة هجوم
إعداد وتشغيل هجمات إلكترونية وهمية ولكن ودية في منظمتك لاختبار سياسات الأمان الخاصة بك وتحديد الثغرات قبل حدوث هجوم فعلي. هذه المحاكاة جزء من حماية التهديدات في Office 365 لأنها تساعد في تدريب موظفيك على البقاء يقظين ضد خطط الهندسة الاجتماعية مثل هجمات الصيد الاحتيالي.
ملاحظة: يمكنك الوصول إلى هذه الميزة عن طريق الانتقال إلى بوابة Microsoft 365 Defender > البريد الإلكتروني والتعاون> تدريب المحاكاة للهجوم. أو الانتقال مباشرةً إلى صفحة تدريب المحاكاة للهجوم.
يتكون تدريب المحاكاة للهجوم من سير عمل محدد يتكون من سلسلة من الخطوات التي يجب عليك إكمالها قبل إطلاق الهجوم المحاكي.
اختيار تقنية الهندسة الاجتماعية
أولاً، يجب عليك اختيار أحد النظم الشائعة للهندسة الاجتماعية المتاحة:
- رابط إلى برمجية ضارة: يشغل كودًا تقديريًا من ملف مستضاف على خدمة مشاركة ملفات موثوقة ثم يرسل رسالة تحتوي على رابط إلى هذا الملف الضار. إذا فتح المستخدم الملف، فإن الجهاز يتعرض للاختراق.
- استخراج بيانات الاعتماد: يتم توجيه المستخدمين إلى ما يبدو مثل موقع ويب معروف حيث يمكنهم إدخال اسم المستخدم وكلمة المرور الخاصة بهم.
- رابط في المرفق: يتم إضافة رابط إلى مرفق البريد الإلكتروني ويتصرف بشكل مماثل لاستخراج بيانات الاعتماد.
- مرفق برمجية ضارة: يتم إضافة مرفق ضار إلى رسالة. إذا تم فتح المرفق، فإن جهاز الهدف يتعرض للاختراق.
رابط تجاوزي : يوجه رابط المستخدم إلى موقع ويب مألوف يقوم بتثبيت كود ضار في الخلفية. قد لا تكون حماية Office 365 لنقاط النهاية قادرة على ردع مثل هذه التهديدات وبالتالي، يتم إصابة الجهاز. - رابط توجيه: رابط يعيد توجيه المستخدم إلى موقع ويب مألوف يقوم بتثبيت رمز خبيث في الخلفية. قد لا يكون برنامج حماية نقاط النهاية في Office 365 قادرًا على ردع مثل هذه التهديدات وبالتالي يتعرض الجهاز للعدوى.
اختر اسمًا وصفًا للمحاكاة
الخطوة التالية هي إدخال اسم فريد ووصف تفصيلي للمحاكاة التي تقوم بإنشائها. الوصف التفصيلي اختياري.
حدد حمولة
في هذه الصفحة ، يجب عليك اختيار الحمولة التي سيتم تقديمها للمستخدمين في المحاكاة. يمكن أن تكون هذه إما رسالة بريد إلكتروني أو صفحة ويب. يمكنك الاختيار من الكتالوج المدمج الذي يحتوي على الحمولات المتاحة. كما يمكن إنشاء حمولة مخصصة تعمل بشكل أفضل مع منظمتك.
استهداف المستخدمين
هنا تحدد المستخدمين في شركتك الذين سيتلقون تدريب المحاكاة الهجومية. يمكنك إما تضمين جميع المستخدمين أو اختيار أهداف ومجموعات محددة.
تعيين التدريب
توصي Microsoft بتعيين التدريب لكل محاكاة تقوم بإنشائها حيث يكون الموظفون الذين يخضعون لها أقل عرضة للوقوع ضحية هجوم مماثل. يمكنك عرض الدورات والوحدات المقترحة واختيار تلك التي تتناسب بشكل أفضل مع احتياجاتك استنادًا إلى نتائج المستخدم.
حدد إشعار المستخدم النهائي
تسمح لك هذه العلامة بتكوين إعدادات الإشعار الخاصة بك. يمكنك إضافة إشعار تعزية إيجابي إذا اخترت إشعارات مخصصة للمستخدم النهائي لتشجيع مستخدميك بمجرد الانتهاء من التدريب.
التحقيق والاستجابة التلقائية (AIR)
في أمان Office 365، تقوم قدرات التحقيق الآلي والاستجابة (AIR) بتشغيل التنبيهات التلقائية عندما يستهدف تهديد معروف منظمتك. هذا يقلل من العمل اليدوي ويسمح لفريق الأمان لديك بالعمل بكفاءة أكبر من خلال مراجعة التنبيهات وتحديد أولوياتها والاستجابة لها وفقًا لذلك.
يمكن بدء التحقيق الآلي إما بواسطة مرفق مشبوه وصل في رسالة بريد إلكتروني أو بواسطة محلل باستخدام Threat Explorer. يجمع AIR البيانات المتعلقة بالبريد الإلكتروني المعني مثل المستلمين المقصودين والملفات وعناوين URL. يمكن للمدراء وأفراد الأمان مراجعة نتائج التحقيق والتحقق من التوصيات للموافقة عليها أو رفض إجراءات التصحيح.
يمكن تشغيل AIR بواسطة أحد التنبيهات التالية:
- A possibly malicious URL was clicked
- A user reported an email as phishing or malware
- تمت إزالة رسالة بريد إلكتروني تحتوي على برمجيات خبيثة أو رابط احتيال بعد التسليم
- A suspicious email sending pattern was detected
- A user is restricted from sending messages
خلاصة
يقدم تحقيق التهديدات في Office 365 قدرات متنوعة تساعد في حماية بياناتك. مع خطة Microsoft Defender لـ Office 365 الخطة 2، يمكنك استخدام ميزات متقدمة مثل أدوات تتبع التهديدات وThreat Explorer. يمكنك أيضًا إجراء تدريبات محاكاة الهجمات للحفاظ على يقظة مستخدميك وأمانهم من الهجمات الإلكترونية المحتملة. بالإضافة إلى ذلك، يمكنك إعداد التحقيق الآلي والاستجابة (AIR) لتخفيف العبء عن فريق الأمان لديك حتى يتمكنوا من التركيز على التهديدات ذات الأولوية العالية.
ومع ذلك، الطريقة الوحيدة لضمان الحماية الكاملة لبيئة Office 365 هي بنشر حل حماية البيانات الحديث مثل NAKIVO Backup & Replication. يوفر الحل قدرات قوية للنسخ الاحتياطي والاسترداد لـ Exchange Online وTeams وOneDrive for Business وSharePoint Online.
Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/