أفضل 20 طريقة لتحسين حماية Exchange عبر الإنترنت

الهدف الرئيسي من هذه المقالة هو تحسين حماية التبادل عبر الإنترنت لفقدان البيانات أو تعرض الحساب للخطر من خلال اتباع أفضل ممارسات أمان Microsoft والمرور عبر الإعداد الفعلي. تقدم Microsoft مستويين من أمان البريد الإلكتروني في Microsoft 365 - الحماية من Exchange عبر الإنترنت (EOP) والحماية المتقدمة من المخاطر مع Microsoft Defender. يمكن أن تعزز هذه الحلول أمان نظام Microsoft الأساسي وتخفيف مخاوف أمان البريد الإلكتروني في Microsoft 365.

1 قم بتمكين تشفير البريد الإلكتروني

2 قم بتمكين كتل إعادة توجيه قواعد العميل

3 بوويرشيل

4 لا تسمح بتفويض صندوق البريد

5 تصفية الاتصال

6 البريد العشوائي والبرامج الضارة

7 البرامج الضارة

8 سياسة مكافحة التصيد

9 تكوين التصفية المحسّنة

10 تكوين سياسة المرفقات الآمنة والارتباطات الآمنة لـ ATP

11 أضف SPF و DKIM و DMARC

12 لا تسمح بمشاركة تفاصيل التقويم

13 تمكين البحث في سجل التدقيق

14 قم بتمكين تدقيق صندوق البريد لكافة المستخدمين

15 من أوامر بوويرشيل لتدقيق صندوق البريد

16 مراجعة تغييرات الدور أسبوعيًا

17 مراجعة قواعد إعادة توجيه صندوق البريد أسبوعيًا

18 راجع تقرير وصول غير المالكين إلى صندوق البريد كل أسبوعين

19 راجع تقرير اكتشاف البرامج الضارة الأسبوعي

20 راجع تقرير نشاط توفير الحساب أسبوعيًا

تمكين تشفير البريد الإلكتروني

يمكن إضافة قواعد تشفير البريد الإلكتروني لتشفير رسالة بكلمة أساسية معينة في سطر الموضوع أو النص الأساسي. الأكثر شيوعًا هو إضافة "آمن" ككلمة رئيسية في الموضوع لتشفير الرسالة. يعمل M365 / O365 Message Encryption مع Outlook.com و Yahoo! و Gmail وخدمات البريد الإلكتروني الأخرى. يساعد تشفير رسائل البريد الإلكتروني في ضمان أن المستلمين المقصودين فقط هم من يمكنهم عرض محتوى الرسالة.

• في مركز إدارة Microsoft 365 ، انقر فوق Exchange ضمن مراكز المسؤول

• في قسم تدفق البريد ، انقر فوق القواعد

• انقر فوق علامة الجمع وانقر فوق تطبيق Microsoft 365 Message Encryption (يسمح لك بتحديد شروط متعددة)

• قم بتسمية سياستك ومن قسم "تطبيق هذه القاعدة إذا" ، قل "الموضوع أو النص يتضمن ..." ثم أضف كلمتك الرئيسية. هنا ، نقوم بوضع "تشفير"

• في قسم القيام بما يلي ، انقر فوق تحديد واحد لقالب RMS واختر تشفير

• بعد النقر فوق "حفظ" ، يمكنك اختبار سياستك. في هذه الحالة ، نعرض رسالة تم إرسالها إلى مستخدم Gmail

• صندوق بريد مستخدم Gmail:

• عندما يحفظ مستخدم Gmail المرفق ويفتحه (message.html) ، يمكنه اختيار تسجيل الدخول باستخدام بيانات اعتماد Google أو الحصول على رمز مرور لمرة واحدة يتم إرساله إلى بريده الإلكتروني.

• في هذه الحالة ، اخترنا رمز المرور لمرة واحدة.

• تحقق من صندوق بريد Gmail بحثًا عن رمز المرور

• انسخ رمز المرور والصقه

• يمكننا عرض الرسالة المشفرة في البوابة وإرسال رد مشفر

للتحقق من إعداد المستأجر الخاص بك للتشفير ، استخدم الأمر التالي ، مع التأكد من أن قيمة المرسل حساب صالح داخل المستأجر الخاص بك:

اختبار- IRMConfiguration - المرسل [email protected]

إذا رأيت "النتيجة الشاملة: اجتياز" ، فأنت جاهز للانطلاق

اقرأ أيضًا : كيفية تشفير رسائل البريد الإلكتروني في Microsoft 365 باستخدام ATP؟

تفعيل كتل قواعد العميل لإعادة التوجيه

هذه قاعدة نقل للمساعدة في إيقاف استخراج البيانات مع القواعد التي أنشأها العميل والتي تعيد توجيه البريد الإلكتروني تلقائيًا من علب بريد المستخدمين إلى عناوين البريد الإلكتروني الخارجية. هذه طريقة تسريب بيانات شائعة بشكل متزايد في المنظمات.

انتقل إلى مركز إدارة Exchange> تدفق البريد> القواعد

انقر فوق علامة الجمع وحدد تطبيق Microsoft 365 Message Encryption وحماية الحقوق على الرسائل ...

أضف الخصائص التالية إلى القاعدة:

• إذا كان المرسل موجودًا "داخل المؤسسة"
• وإذا كان المستلم موجودًا "خارج المؤسسة"
• وإذا كان نوع الرسالة "إعادة توجيه تلقائي"
• بعد ذلك ، ارفض الرسالة التي تحتوي على التفسير "غير مسموح بإعادة توجيه البريد الإلكتروني الخارجي عبر قواعد العميل".

نصيحة 1: بالنسبة للشرط الثالث ، تحتاج إلى تحديد خصائص الرسالة> تضمين نوع الرسالة هذا للحصول على خيار إعادة التوجيه التلقائي للتعبئة

نصيحة 2 : بالنسبة للشرط الرابع ، تحتاج إلى تحديد حظر الرسالة…> رفض الرسالة وتضمين شرحًا للتعبئة

• انقر فوق حفظ عند الانتهاء. سيتم تطبيق هذه القاعدة على الفور. سيتلقى العملاء رسالة مخصصة لإيصال عدم التسليم (NDR) تكون مفيدة لإبراز قواعد إعادة التوجيه الخارجية التي ربما لم يعرفوا وجودها ، أو التي تم إنشاؤها بواسطة جهة فاعلة سيئة في صندوق بريد مخترق. يمكنك إنشاء استثناءات لبعض المستخدمين أو المجموعات المحددة في قاعدة النقل التي تم إنشاؤها.

بوويرشيل

• البرنامج النصي Powershell لحظر إعادة التوجيه التلقائي لعميل واحد.
• برنامج Powershell النصي لحظر إعادة التوجيه التلقائي لجميع عملائك عبر بيانات اعتماد مركز الشريك.

لا تسمح بتفويض صندوق البريد

• إذا لم يقم المستخدمون بتفويض علب البريد ، فمن الصعب على المهاجم الانتقال من حساب إلى آخر وسرقة البيانات. تفويض صندوق البريد هو ممارسة للسماح لشخص آخر بإدارة البريد والتقويم الخاصين بك ، مما قد يؤدي إلى انتشار الهجوم.
• لتحديد ما إذا كان هناك أي أذونات تفويض علبة بريد حالية ، قم بتشغيل البرنامج النصي PowerShell من Github. عند المطالبة ، أدخل بيانات اعتماد المسؤول العام للمستأجر.
• إذا كان هناك أي أذونات تفويض موجودة ، فسوف تراها مدرجة. إذا لم يكن هناك أي شيء ، فستحصل فقط على سطر أوامر جديد. الهوية هي صندوق البريد الذي قام بتفويض أذونات المسؤول المعينة والمستخدم هو الشخص الذي لديه هذه الأذونات.
• يمكنك تشغيل الأمر التالي لإزالة حقوق الوصول للمستخدمين:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

تصفية الاتصال

يمكنك استخدام تصفية الاتصال في EOP لتحديد خوادم البريد الإلكتروني ذات المصدر الجيد أو السيئ من خلال عناوين IP الخاصة بها. المكونات الرئيسية لسياسة تصفية الاتصال الافتراضية هي:

قائمة السماح لـ IP : تخطي تصفية البريد العشوائي لجميع الرسائل الواردة من خوادم البريد الإلكتروني المصدر التي تحددها بواسطة عنوان IP أو نطاق عناوين IP. لمزيد من المعلومات حول الكيفية التي يجب أن تتلاءم بها قائمة السماح لعنوان IP مع إستراتيجية المرسلين الآمنين لديك ، راجع  إنشاء قوائم مرسلين آمنين في EOP .

قائمة حظر IP : قم بحظر جميع الرسائل الواردة من خوادم البريد الإلكتروني المصدر التي تحددها بواسطة عنوان IP أو نطاق عناوين IP. يتم رفض الرسائل الواردة ، ولا يتم وضع علامة عليها كرسائل غير مرغوب فيها ، ولا تحدث تصفية إضافية. لمزيد من المعلومات حول الكيفية التي يجب أن تتلاءم بها قائمة حظر IP مع إستراتيجية المرسلين المحظورين بشكل عام ، راجع  إنشاء قوائم مرسلي الحظر في EOP .

• في مركز إدارة Exchange> الحماية> عامل تصفية الاتصال> انقر فوق رمز القلم الرصاص لتعديل السياسة الافتراضية.

• انقر فوق تصفية الاتصال

• هنا يمكنك السماح \ block IP address.

البريد العشوائي والبرامج الضارة

أسئلة يجب طرحها:

1. ما الإجراءات التي نريد اتخاذها عندما يتم تحديد رسالة على أنها بريد عشوائي؟
   أ. نقل الرسالة إلى مجلد غير هام (افتراضي)
   ب. إضافة رأس X (يرسل الرسالة إلى المستلمين المحددين ، لكنه يضيف نص رأس X إلى رأس الرسالة لتعريفه على أنه بريد عشوائي)
   ج. إرفاق سطر الموضوع بنص (يرسل الرسالة إلى المستلمين المقصودين ولكنه يضيف سطر الموضوع بالنص الذي تحدده في سطر موضوع البادئة بمربع إدخال النص هذا. وباستخدام هذا النص كمعرف ، يمكنك اختياريًا إنشاء قواعد للتصفية أو توجيه الرسائل حسب الضرورة.)
   د. إعادة توجيه الرسالة إلى عنوان البريد الإلكتروني (لإرسال الرسالة إلى عنوان بريد إلكتروني معين بدلاً من المستلمين المعنيين.)
2. هل نحتاج إلى إضافة المرسلين / المجالات المسموح بها أو حظر المرسلين / المجالات؟
3. هل نحتاج إلى تصفية الرسائل المكتوبة بلغة معينة؟
4. هل نحتاج إلى تصفية الرسائل الواردة من بلدان / مناطق معينة؟
5. هل نريد تهيئة أي إشعارات بالبريد العشوائي للمستخدم النهائي لإعلام المستخدمين عندما يتم إرسال الرسائل الموجهة لهم إلى وحدة العزل بدلاً من ذلك؟ (من هذه الإخطارات ، يمكن للمستخدمين النهائيين إصدار نتائج إيجابية كاذبة وإبلاغ Microsoft عنها لتحليلها.)

• انتقل إلى مركز إدارة Microsoft 365> حدد الأمان من مراكز الإدارة> إدارة التهديدات> السياسة> مكافحة البريد العشوائي

• قم بتحرير السياسة الافتراضية

• انتقل عبر علامات التبويب لتهيئة أي من الأسئلة التي تم طرحها مسبقًا

• قم بتوسيع قسم  السماح بالقوائم  لتهيئة مرسلي الرسائل حسب عنوان البريد الإلكتروني أو مجال البريد الإلكتروني المسموح لهم بتخطي تصفية الرسائل غير المرغوب فيها.
• قم بتوسيع  قسم قوائم الحظر  لتكوين مرسلي الرسائل عن طريق عنوان البريد الإلكتروني أو مجال البريد الإلكتروني الذي سيتم تمييزه دائمًا على أنه بريد عشوائي عالي الثقة.

• تتيح لك علامة التبويب خصائص البريد العشوائي الحصول على مزيد من الدقة في سياستك وتشديد الإعدادات في عامل تصفية البريد العشوائي

البرمجيات الخبيثة

تم إعداد هذا بالفعل على مستوى الشركة عبر سياسة مكافحة البرامج الضارة الافتراضية. هل تحتاج إلى إنشاء سياسات أكثر دقة لمجموعة معينة من المستخدمين مثل الإشعارات الإضافية عبر النص أو التصفية المشددة بناءً على امتدادات الملفات؟

• انتقل إلى بوابة الأمان> إدارة التهديدات> السياسة> مكافحة البرامج الضارة

• حدد السياسة الافتراضية لتعديلها
• حدد لا لاستجابة الكشف عن البرامج الضارة

• قم بإيقاف تشغيل الميزة لحظر أنواع المرفقات التي قد تضر بجهاز الكمبيوتر الخاص بك

• تشغيل التطهير التلقائي للبرامج الضارة لمدة ساعة صفر

• تعديل الإخطارات وفقا لذلك

• حدد المستخدمين أو المجموعات أو المجالات الذين تنطبق عليهم هذه السياسة من خلال إنشاء قواعد قائمة على المستلمين

• راجع إعداداتك واحفظها.

سياسة مكافحة التصيد

تأتي اشتراكات Microsoft 365 مع نهج افتراضي لمكافحة التصيد تم تكوينه مسبقًا ولكن إذا كان لديك الترخيص الصحيح لـ ATP ، فيمكنك تكوين إعداد إضافي لمحاولات انتحال الهوية داخل المستأجر. سنقوم بتكوين هذه الإعدادات الإضافية هنا.

• انتقل إلى بوابة الأمان> إدارة التهديدات> السياسة> مكافحة التصيد الاحتيالي لـ ATP

• انقر فوق السياسة الافتراضية> انقر فوق تحرير في قسم انتحال الهوية
• في القسم الأول ، قم بتبديل المفتاح إلى وضع التشغيل وإضافة كبار المديرين التنفيذيين أو المستخدمين داخل المؤسسة الذين من المرجح أن يتم انتحالهم

• في قسم إضافة مجالات للحماية ، قم بتبديل المفتاح لتضمين المجالات التي أمتلكها تلقائيًا

• في قسم الإجراءات ، اختر الإجراء الذي تريد اتخاذه في حالة انتحال هوية مستخدم أو مجال. نوصي إما بالعزل أو الانتقال إلى مجلد البريد العشوائي.

• في قسم Mailbox Intelligence ، قم بالتبديل إلى الحماية واختر الإجراء المطلوب اتخاذه ، كما في الخطوة السابقة

• يسمح لك القسم الأخير بإدراج المرسلين والمجالات في القائمة البيضاء. الامتناع عن إضافة المجالات العامة هنا مثل gmail.com.

• بعد مراجعة الإعدادات الخاصة بك ، يمكنك اختيار حفظ

اقرأ أيضًا : أمان تطبيقات Microsoft Cloud: الدليل النهائي

تكوين التصفية المحسّنة

• يمكن إعداد تصفية البريد الإلكتروني المحسّنة إذا كان لديك موصل في 365 (خدمة تصفية البريد الإلكتروني من جهة خارجية أو التكوين المختلط) ولا يشير سجل MX إلى Microsoft 365 أو Office 365. تتيح لك هذه الميزة الجديدة تصفية البريد الإلكتروني بناءً على الفعلي مصدر الرسائل التي تصل عبر الموصل.
• يُعرف هذا أيضًا باسم تخطي القائمة وستسمح لك هذه الميزة بالتغاضي عن أو تخطي أي عناوين IP تعتبر داخلية بالنسبة لك من أجل الحصول على آخر عنوان IP خارجي معروف ، والذي يجب أن يكون عنوان IP الفعلي للمصدر.
• إذا كنت تستخدم Microsoft Defender ATP ، فسيؤدي ذلك إلى تحسين قدرات التعلم الآلي والأمان حول الروابط الآمنة / المرفقات الآمنة / مكافحة الانتحال من قائمة Microsoft الخبيثة المعروفة القائمة على IP.
• بطريقة ما ، تحصل على طبقة حماية ثانوية من خلال السماح لـ Microsoft بعرض عناوين IP للبريد الإلكتروني الأصلي والتحقق من قاعدة البيانات الخاصة بهم.

للحصول على خطوات تكوين التصفية المحسنة: انقر هنا

تكوين روابط ATP الآمنة وسياسة المرفقات الآمنة

تتيح لك الحماية المتقدمة من المخاطر مع Microsoft Defender (حماية متقدمة من المخاطر مع Microsoft Defender) إنشاء سياسات للارتباطات الآمنة والمرفقات الآمنة عبر Exchange و Teams و OneDrive و SharePoint. يحدث التفجير في الوقت الفعلي عندما ينقر المستخدم على أي رابط ويتم تضمين المحتوى في بيئة وضع الحماية. يتم فتح المرفقات داخل بيئة آلية تحديد الصلاحيات أيضًا قبل تسليمها بالكامل عبر البريد الإلكتروني. يسمح هذا باكتشاف المرفقات والروابط الضارة التي لا يتم الكشف عنها.

• انتقل إلى بوابة الأمان> إدارة التهديدات> السياسة> مرفقات ATP الآمنة

• انقر فوق الإعدادات العامة

• قم بتشغيل ATP لـ SharePoint و OneDrive و Microsoft Teams

• إنشاء سياسة جديدة

• أضف الاسم والوصف واختر التسليم الديناميكي. لمعرفة المزيد عن طرق التسليم ، انقر  هنا .

• حدد الإجراء كـ Dynamic Delivery

• أضف مجال المستلم واختر المجال الرئيسي في المستأجر.

• انقر فوق "التالي" لمراجعة الإعدادات الخاصة بك وانقر فوق "إنهاء"

• بالنسبة إلى الروابط الآمنة ، ارجع إلى إدارة التهديدات> السياسة> روابط ATP الآمنة

• استخدم السياسة الافتراضية أو أنشئ سياسة جديدة وشغل الإعدادات الضرورية المعروضة أدناه.

• يمكنك اختيار إضافة عناوين URL معينة إلى القائمة البيضاء

• مثل سياسة المرفقات الآمنة ، تنطبق على جميع المستخدمين في المستأجر من خلال اسم المجال.

• انقر فوق "التالي" لمراجعة الإعدادات الخاصة بك وانقر فوق "إنهاء"

أضف SPF و DKIM و DMARC

• هل لديك سجلات نظام التعرف على هوية المرسل (SPF) / سجلات DKIM / DMARC قيد التنفيذ؟
• يتحقق نظام التعرف على هوية المرسل (SPF) من أصل رسائل البريد الإلكتروني عن طريق التحقق من عنوان IP الخاص بالمرسل ضد المالك المزعوم لنطاق الإرسال مما يساعد على منع الانتحال.
• يتيح لك DKIM إرفاق توقيع رقمي برسائل البريد الإلكتروني في رأس رسالة رسائل البريد الإلكتروني التي ترسلها. تستخدم أنظمة البريد الإلكتروني التي تتلقى البريد الإلكتروني من مجالك هذا التوقيع الرقمي لتحديد ما إذا كان البريد الإلكتروني الوارد الذي يتلقونه شرعيًا أم لا.
• يساعد DMARC في تلقي أنظمة البريد في تحديد ما يجب فعله مع الرسائل التي تفشل في فحوصات نظام التعرف على هوية المرسل (SPF) أو DKIM ، كما يوفر مستوى آخر من الثقة لشركاء البريد الإلكتروني لديك.

لإضافة السجلات:

• انتقل إلى المجالات في مركز إدارة Microsoft 365 وانقر فوق المجال الذي تريد إضافة السجلات إليه.

• انقر على " سجلات DNS " ولاحظ سجل MX و TXT المدرج ضمن Exchange Online

• أضف سجل TXT لـ v = spf1 بما في ذلك: spf.protection.outlook.com-all إلى إعدادات DNS الخاصة بك لسجل SPF الخاص بنا
• بالنسبة لسجلات DKIM الخاصة بنا ، نحتاج إلى نشر سجلي CNAME في DNS

استخدم التنسيق التالي لسجل CNAME :

حيث :
= مجالنا الأساسي = بادئة سجل MX (مثل domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
مثال : DOMAIN = techieberry.com

سجل CNAME رقم 1:
اسم المضيف: selector1._domainkey.techiebery.com يشير
إلى العنوان أو القيمة: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

حيث :
= المجال الذي نريد حمايته
= 3600
= يشير إلى أنه يجب استخدام هذه القاعدة لـ 100٪ من البريد الإلكتروني
= يحدد السياسة التي تريد أن يتبعها خادم الاستلام في حالة فشل DMARC.
ملاحظة: يمكنك الضبط على لا شيء أو عزل أو رفض

مثال :

• _dmarc.pax8.com 3600 IN TXT "v = DMARC1؛ ع = لا شيء "
• _dmarc.pax8.com 3600 IN TXT "v = DMARC1؛ p = quarantine "
• _dmarc.pax8.com 3600 IN TXT "v = DMARC1؛ ع = رفض "

لا تسمح بمشاركة تفاصيل التقويم

يجب ألا تسمح للمستخدمين بمشاركة تفاصيل التقويم مع مستخدمين خارجيين. تتيح هذه الميزة للمستخدمين مشاركة التفاصيل الكاملة لتقاويمهم مع مستخدمين خارجيين. عادةً ما يقضي المهاجمون وقتًا في التعرف على مؤسستك (التي تقوم بالاستطلاع) قبل شن هجوم. يمكن للتقويمات المتاحة للجمهور أن تساعد المهاجمين في فهم العلاقات التنظيمية ، وتحديد الوقت الذي قد يكون فيه مستخدمون معينون أكثر عرضة للهجوم ، كما هو الحال عندما يسافرون.

• في مركز إدارة Microsoft 365> الإعدادات - إعدادات المؤسسة

• انقر فوق الخدمات وحدد التقويم

• تغيير الإعدادات إلى " معلومات الحالة متواجد / مشغول للتقويم بمرور الوقت فقط "

• قم بتمكين هذا الإعداد على مستأجر واحد عبر PowerShell
• قم بتمكين هذا الإعداد في جميع المستأجرين عبر بيانات اعتماد مركز الشريك باستخدام PowerShell

تمكين البحث في سجل التدقيق

يجب عليك تمكين تسجيل بيانات التدقيق لخدمة Microsoft 365 أو Office 365 للتأكد من أن لديك سجل لتفاعل كل مستخدم ومسؤول مع الخدمة ، بما في ذلك Azure AD و Exchange Online و Microsoft Teams و SharePoint Online / OneDrive for Business. ستجعل هذه البيانات من الممكن التحقيق في الخرق الأمني ​​وتحديد نطاقه ، في حالة حدوثه في أي وقت. يجب عليك (أو أي مسؤول آخر) تشغيل تسجيل التدقيق قبل أن تتمكن من بدء البحث في سجل التدقيق .

• كيف يتم تشغيل تسجيل الدخول؟
• كيفية البحث في سجل التدقيق؟

• انتقل إلى بوابة الأمان> بحث> البحث في سجل التدقيق
• تأكد من عدم حصولك على ما يلي:

• بعد تشغيل التدقيق ، سترى ما يلي:

• يمكنك إنشاء بحث مخصص بناءً على النشاط ونطاق التاريخ والمستخدمين والملف / المجلد / الموقع
• قم بإنشاء سياسة تنبيه جديدة بناءً على حدث معين

• إذا كنت تريد البحث في سجل التدقيق عبر PowerShell ، فستستخدم الأوامر أدناه:

$ Auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• يمكنك استخدام الأمر التالي لتصدير خصائص معينة إلى ملف CSV:

$ Auditlog | تاريخ إنشاء الخاصية ، تحديد الكائن ، UserIds ، نوع السجل ، AuditData | Export-Csv -Append -Path c: \ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

تمكين تدقيق علبة البريد لجميع المستخدمين

بشكل افتراضي ، يتم تدوين كافة عمليات الوصول لغير المالكين ، ولكن يجب عليك تمكين التدوين على علبة البريد حتى يتم تدوين وصول المالك أيضًا. سيسمح لك ذلك باكتشاف الوصول غير المشروع إلى نشاط Exchange عبر الإنترنت إذا تم اختراق حساب المستخدم. سنحتاج إلى تشغيل برنامج نصي PowerShell لتمكين التدقيق لجميع المستخدمين.

ملاحظة : استخدم سجل التدقيق للبحث عن نشاط صندوق البريد الذي تم تسجيله. يمكنك البحث عن نشاط لصندوق بريد مستخدم معين.

• انتقل إلى بوابة الأمان> بحث> البحث في سجل التدقيق

قائمة إجراءات تدقيق علبة البريد

أوامر بوويرشيل تدقيق علبة البريد

للتحقق من حالة تدقيق صندوق البريد:

Get-Mailbox [email protected] | * مراجعة *

للبحث في تدقيق علبة البريد:

بحث-MailboxAuditLog [email protected] -إظهار التفاصيل -تاريخ البدء 01/01/2021 -تاريخ النهاية 01/31/2021

لتصدير النتائج إلى ملف csv:

بحث- MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | تصدير- Csv C: \ users \ AuditLogs.csv -NoTypeInformation

لعرض السجلات وتصديرها بناءً على العمليات :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -حذف العمليات ، نقل ، MoveToDeletedItems ، SoftDelete -LogonTypes Admin ، مفوض ، مالك-تاريخ البدء 01/01/2021 -النتيجة 01/31/2021 -ShowDetails | تصدير- Csv C: \ AuditLogs.csv -NoTypeInformation

لعرض السجلات وتصديرها بناءً على أنواع تسجيل الدخول :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes المالك ، المفوض ، المسؤول -ShowDetails | تصدير- Csv C: \ AuditLogs.csv -NoTypeInformation

مراجعة تغييرات الدور أسبوعيًا

يجب عليك القيام بذلك لأنه يجب عليك مراقبة التغييرات غير المشروعة في مجموعة الأدوار ، والتي قد تمنح المهاجم امتيازات عالية لأداء أشياء أكثر خطورة وتأثيرًا في عقد الإيجار الخاص بك.

• انتقل إلى بوابة الأمان> بحث> البحث في سجل التدقيق
• اكتب " الدور " في البحث وحدد " تمت إضافة عضو إلى الدور " و " تمت إزالة مستخدم من دور الدليل "

مراقبة تغييرات الدور في جميع المستأجرين العملاء

مراجعة قواعد إعادة توجيه صندوق البريد أسبوعيًا

You should review mailbox forwarding rules to external domains at least every week. There are several ways you can do this, including simply reviewing the list of mail forwarding rules to external domains on all of your mailboxes using a PowerShell script, or by reviewing mail forwarding rule creation activity in the last week from the Audit Log Search. While there are lots of legitimate uses of mail forwarding rules to other locations, it is also a very popular data exfiltration tactic for attackers. You should review them regularly to ensure your users’ email is not being exfiltrated. Running the PowerShell script linked below will generate two csv files, “MailboxDelegatePermissions” and “MailForwardingRulesToExternalDomains”, in your System32 folder.

• Monitor on a single tenant
• راقب عمليات إعادة توجيه صندوق البريد الخارجي في جميع مستأجري Microsoft 365 / Office 365 Customer

راجع تقرير وصول غير المالكين إلى صندوق البريد كل أسبوعين

يعرض هذا التقرير صناديق البريد التي تم الوصول إليها من قبل شخص آخر غير مالك علبة البريد. في حين أن هناك العديد من الاستخدامات المشروعة لأذونات التفويض ، فإن المراجعة المنتظمة لهذا الوصول يمكن أن تساعد في منع مهاجم خارجي من الحفاظ على الوصول لفترة طويلة ويمكن أن تساعد في اكتشاف نشاط داخلي ضار في وقت أقرب.

• في مركز إدارة Exchange ، انتقل إلى إدارة الامتثال> تدقيق
• انقر على " تشغيل تقرير الوصول إلى صندوق بريد غير المالك ... "

• حدد نطاق البيانات وقم بإجراء بحث

راجع تقرير اكتشاف البرامج الضارة الأسبوعي

يعرض هذا التقرير حالات معينة من Microsoft تحظر فيها مرفقات البرامج الضارة من الوصول إلى المستخدمين لديك. على الرغم من أن هذا التقرير ليس قابلاً للتنفيذ بشكل صارم ، إلا أن مراجعته ستمنحك فكرة عن الحجم الإجمالي للبرامج الضارة التي تستهدف المستخدمين لديك ، مما قد يدفعك إلى اعتماد وسائل تخفيف أكثر حدة من البرامج الضارة

• انتقل إلى بوابة الأمان> التقارير> لوحة المعلومات

• قم بالتمرير إلى أسفل وانقر على البرامج الضارة المكتشفة في البريد الإلكتروني

• اعرض تقرير الكشف وانقر على + إنشاء جدول

• قم بإنشاء جدول تقرير أسبوعي وأرسله إلى عنوان البريد الإلكتروني المناسب

راجع تقرير نشاط توفير الحساب أسبوعيًا

يتضمن هذا التقرير محفوظات محاولات توفير الحسابات للتطبيقات الخارجية. إذا كنت لا تستخدم عادةً موفرًا تابعًا لجهة خارجية لإدارة الحسابات ، فمن المحتمل أن يكون أي إدخال في القائمة غير مشروع. ولكن ، إذا قمت بذلك ، فهذه طريقة رائعة لمراقبة أحجام المعاملات ، والبحث عن تطبيقات الطرف الثالث الجديدة أو غير العادية التي تدير المستخدمين.

• في مركز إدارة Microsoft 365> Azure Active Directory من مراكز الإدارة> Azure Active Directory> سجلات التدقيق

• في قسم النشاط ، ابحث عن "خارجي" وحدد دعوة مستخدم خارجي

هذه هي الطريقة التي تعمل بها على تحسين الحماية عبر الإنترنت من أجل حماية أفضل.

الآن أود أن أسمع منك:

ما النتيجة من تقرير اليوم التي وجدتها أكثر إثارة للاهتمام؟ أو ربما لديك سؤال حول شيء قمت بتغطيته.

في كلتا الحالتين ، أود أن أسمع منك. لذا انطلق واترك تعليقًا أدناه.