Hoe om uitvissing met Defender vir Office 365 te blokkeer

Hoe om uitvissing met Defender vir Office 365 te blokkeer

14/04/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en optimalisering van Microsoft Defender vir Office 365 (MDO) om uitvissing-aanvalle effektief te blokkeer. Uitvissing bly een van die mees algemene en gevaarlikste kuberbedreigings, wat daarop gemik is om geloofsbriewe te steel, wanware te installeer of slagoffers te mislei om vertroulike inligting bekend te maak. MDO bied 'n robuuste reeks anti-phishing-kenmerke wat verder gaan as basiese Exchange Online Protection (EOP)-beskerming, en bied gevorderde verdediging teen gesofistikeerde aanvalle [1].

Inleiding

Uitvissing-aanvalle het ontwikkel van generiese e-posse na hoogs geteikende en oortuigende veldtogte bekend as spiesvisvang, walvisjag en besigheids-e-pos-kompromie (BEC). Hierdie taktieke ontgin menslike vertroue en kan tradisionele verdediging omseil. Microsoft Defender vir Office 365 is ontwerp om hierdie gevorderde bedreigings te bekamp deur kunsmatige intelligensie, masjienleer en gedragsanalise te gebruik om kwaadwillige e-posse op te spoor en te blokkeer voordat dit gebruikers se inkassies bereik [2].

Hierdie praktiese gids sal die opstel van anti-phishing-beleide in MDO dek, insluitend spoofingbeskerming, posbus-intelligensie, nabootsingbeskerming en veilige skakels en aanhangsels. Stap-vir-stap-instruksies, konfigurasievoorbeelde en valideringsmetodes sal verskaf word sodat die leser hul organisasie se verdediging teen uitvissing-aanvalle kan versterk en gebruikers kan opvoed oor beste praktyke.

Waarom is Defender vir Office 365 noodsaaklik teen uitvissing?

  • Gevorderde Beskerming: Gaan verder as EOP, en bied opsporing van nul-dag-bedreigings en polimorfiese aanvalle.
  • Bedreigingsintelligensie: Gebruik Microsoft se groot bedreigingsintelligensie om opkomende aanvalsvektore en -patrone te identifiseer.
  • Gedragsanalise: Ontleed die gedrag van e-posse en URL'e om afwykings te identifiseer wat uitvissing aandui.
  • Nabootsingbeskerming: Verdedig teen e-posse wat probeer om vertroude bestuurders, handelsmerke of vennote na te doen.
  • Veilige skakels en aanhegsels: Skandeer URL's en aanhangsels intyds op die tyd van klik of oopmaak, en beskerm teen kwaadwillige inhoud.
  • Sigbaarheid en verslagdoening: Verskaf gedetailleerde verslagdoening en ondersoekhulpmiddels om uitvissing-aanvalle te verstaan ​​en daarop te reageer.

Voorvereistes

Om anti-phishing-beleide in Microsoft Defender vir Office 365 op te stel en te optimaliseer, sal jy die volgende items benodig:

  1. Lisensiëring: 'n Lisensie wat Microsoft Defender vir Office 365 Plan 1 of Plan 2 insluit. Dit is gewoonlik deel van pakkette soos Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, of kan as 'n byvoeging gekoop word [3].
  2. Administratiewe toegang: 'n Rekening met sekuriteitsadministrateur- of nakomingsadministrateurtoestemmings in die Microsoft 365 Defender-portaal (https://security.microsoft.com).
  3. Geverifieerde domeine: Jou e-posdomeine moet in Microsoft 365 opgestel en geverifieer word.
  4. E-pos DNS-rekords: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting, and Conformance) moet korrek opgestel word vir jou domeine. Dit is van kritieke belang vir beskerming teen bedrog en nabootsing.

Stap vir stap: Stel anti-phishing-beleide in MDO op

Kom ons stel 'n pasgemaakte anti-phishing-beleid op om jou gebruikers te beskerm.

1. Toegang tot die Microsoft 365 Defender Portal

  1. Maak jou blaaier oop en navigeer na https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.

2. Skep 'n pasgemaakte anti-phishing-beleid

Alhoewel MDO 'n verstek anti-phishing-beleid het, word dit sterk aanbeveel om pasgemaakte beleide vir spesifieke gebruikersgroepe (bv. bestuurders, hoërisiko-gebruikers) te skep en beskermingsinstellings aan te pas.

  1. In die linkernavigasievenster, kies E-pos en samewerking > Beleide en Reëls > Bedreigingsbeleide.
  2. In die Beleide-afdeling, klik Anti-phishing.
  3. Klik Skep om die nuwe beleidstowenaar te begin.

Stap 1: Noem die beleid

  1. Naam: Anti-phishing-beleidCustom - Executives (of 'n beskrywende naam vir jou teikengroep).
  2. Beskrywing: Gevorderde uitvissingbeskerming vir bestuurders en hoërisikogebruikers.
  3. Klik Volgende.

Stap 2: Gebruikers, groepe en domeine

  1. Gebruikers, groepe of domeine: Kies die gebruikers of groepe waarop hierdie beleid van toepassing sal wees. Vir hierdie voorbeeld, kies 'n sekuriteitsgroep wat jou bestuurders bevat.
    • Wenk: Begin met 'n klein toetsgroep voordat u by die hele organisasie aansoek doen.
  2. Sluit hierdie gebruikers, groepe en domeine uit: (Opsioneel) Voeg enige entiteite by wat van hierdie beleid uitgesluit moet word.
  3. Klik Volgende.

Stap 3: Uitvissing-drempel en nabootsingsdrempel

Hierdie afdeling laat jou toe om die vlak van beskerming teen uitvissing en nabootsing op te stel.

  1. Phishing-drempel: Dit word aanbeveel om 'n waarde van '3' of '4' te stel (verstek is 1). Hoër waardes bied meer beskerming, maar kan vals positiewes verhoog.
  2. Stel gebruikers in staat om te beskerm: Klik Voeg gebruiker by en voeg die e-posadresse van die bestuurders of sleutelpersone by wat jy teen nabootsing wil beskerm (bv. HUB, finansiële hoof). MDO sal aktief e-posse monitor wat probeer om hierdie mense na te doen.
  3. Aktiveer domeine om te beskerm: Klik Add Domain en voeg jou eie domeine by (bv. yourcompany.com). Dit beskerm teen interne en eksterne domein spoofing.
  4. Handelinge: Stel handelinge vir boodskappe wat as nabootsing bespeur word:
    • As boodskap as gebruikernabootsing bespeur word: Karantynboodskap of Skuif boodskap na die ontvanger se gemors-e-posvouer.
    • As die boodskap as domeinnabootsing bespeur word: Karantineer die boodskap.
    • Wenk: Begin met Skuif boodskap na ontvanger se gemors-e-pos' ofQuarantine`-vouer om te verhoed dat wettige e-posse verloor word.
  5. Posbus-intelligensie: Maak seker dit is Aan. Dit laat MDO toe om masjienleer-intelligensie te gebruik om normale kommunikasiepatrone vir elke gebruiker te bepaal en anomalieë op te spoor.
  6. Spoefbeskerming: Maak seker dit is Aan en stel die aksie vir ongeverifieerde bedrogboodskappe op Skuif boodskap na die ontvanger se gemorspos-lêergids of Stel die boodskap in kwarantyn.
  7. Klik Volgende.

Stap 4: Hersien

  1. Hersien alle beleidinstellings.
  2. Klik Skep.

3. Opstel van veilige aanhegsels

Veilige aanhegsels beskerm teen nul-dag wanware deur aanhegsels in 'n gevirtualiseerde omgewing (sandbox) oop te maak voordat dit aan gebruikers gelewer word.

  1. In die linkernavigasievenster, kies E-pos en samewerking > Beleide en Reëls > Bedreigingsbeleide.
  2. In die Beleide-afdeling, klik Secure Attachments.
  3. Klik Skep.
  4. Naam: Secure Attachment Policy.
  5. Beskrywing: Skandeer sandbox-e-posaanhangsels om teen zero-day malware te beskerm.
  6. Secure Attachment Malware Response Action: Kies Blokkeer.
  7. Herlei bespeurde aanhegsels: (Opsioneel) Jy kan aanhegsels na 'n sekuriteitposbus herlei vir verdere ontleding.
  8. Pas toe op: Kies Gebruikers, Groepe of Domeine en voeg jou relevante gebruikers of groepe by.
  9. Klik Skep.

4. Opstel van veilige skakels

Veilige skakels herskryf URL's in e-posse en dokumente om hul reputasie intyds na te gaan ten tyde van die klik, en beskerm teen kwaadwillige skakels.

  1. In die linkernavigasievenster, kies E-pos en samewerking > Beleide en Reëls > Bedreigingsbeleide.
  2. In die Beleide-afdeling, klik Secure Links.
  3. Klik Skep.
  4. Naam: Beleid vir veilige skakels.
  5. Beskrywing: Beskerm teen kwaadwillige URL's in e-posse en dokumente.
  6. Pas veilige skakels toe op e-posboodskappe: Maak seker dit is Geaktiveer.
  7. Pas veilige skakels toe op inhoud in Office 365-toepassings: Maak seker dit is Geaktiveer.
  8. Handelinge: Stel handelinge op vir geblokkeerde URL's (bv. Blokkeer kwaadwillige URL's).
  9. Moenie die volgende URL's herskryf nie: (Opsioneel) Voeg interne of vertroude URL's by wat nie herskryf moet word nie.
  10. Pas toe op: Kies Gebruikers, Groepe of Domeine en voeg jou relevante gebruikers of groepe by.
  11. Klik Skep.

Bekragtiging en toetsing

Die validering van die doeltreffendheid van anti-phishing-beleide is van kardinale belang om te verseker dat beskerming werk soos verwag word.

1. Gebruik aanvalsimulasie-opleiding

MDO bevat 'n phishing-aanval-simulasie-instrument wat jou toelaat om gebruikersveerkragtigheid en die doeltreffendheid van jou beleid te toets.

  1. Gaan in die Microsoft 365 Defender-portaal na E-pos en samewerking > Opleidingsaanvalsimulasie.
  2. Klik Begin 'n simulasie.
  3. Volg die towenaar om 'n gesimuleerde uitvissingsveldtog aan 'n groep toetsgebruikers te skep en te begin.
  4. Monitor die resultate om te sien hoeveel gebruikers gekompromitteer is en of MDO-beleide die gesimuleerde uitvissing-e-posse onderskep het.

2. Kontroleer beskermingslogboeke

  1. In die Microsoft 365 Defender-portaal, gaan na E-pos en samewerking > Verkenner.
  2. Gebruik filters om te soek na e-posse met Phishing, Spoof of Malware-uitsprake om te sien of die beleide kwaadwillige e-posse opspoor.

3. Toets veilige skakels en aanhegsels

Stuur 'n toets-e-pos met 'n bekende kwaadwillige skakel (bv. vanaf 'n veilige uitvissing-toetswerf) of 'n wanware-toetslêer (bv. EICAR) aan 'n beskermde gebruiker en kyk of MDO die skakel herskryf of die aanhegsel blokkeer.

Sekuriteitswenke en beste praktyke

  • Gebruikersopvoeding: Die belangrikste verdedigingslinie. Lei gebruikers gereeld op om uitvissing-e-posse te herken en aan te meld. Gebruik die Training Attack Simulasie om leer te versterk.
  • Stel SPF, DKIM en DMARC op: Hierdie DNS-rekords is van kardinale belang vir e-posstawing en bedrogbeskerming. Maak seker dat hulle korrek opgestel is vir al jou domeine.
  • Granulêre beleide: Skep gepersonaliseerde anti-phishing-beleide vir verskillende gebruikersgroepe, veral vir diegene met 'n hoë risiko (bv. bestuurders, finansies).
  • Verhoog uitvissingdrempel: Oorweeg dit om die uitvissingdrempel na 3 of 4 in gepasmaakte beleide te verhoog vir groter beskerming deur vir vals positiewe te monitor.
  • Monitor verslae: Hersien gereeld bedreigingbeskermingsverslae in MDO om neigings, geteikende aanvalle en gebiede te identifiseer waar beskerming verbeter kan word.
  • Integreer met Defender for Endpoint: E-posbeskerming en eindpuntbeskerming werk saam vir gelaagde verdediging. As 'n gebruiker op 'n kwaadwillige skakel klik, kan Defender for Endpoint help om die bedreiging op die toestel op te spoor en te herstel.

Algemene probleemoplossing

  • Wettige uitvissing-e-posse wat deurkom: Gaan jou anti-uitvissingbeleidinstellings na, veral uitvissingdrempels en aksies vir nabootsing en bedrog. Maak seker dat SPF, DKIM en DMARC korrek opgestel is. Hersien die logs in Threat Explorer.
  • Vals positiewe (wettige e-posse geblokkeer): Pas uitvissingdrempels na 'n laer waarde aan. Gaan nabootsing- en bedroginstellings na. Voeg vertroude senders of domeine by die uitsonderingslys (indien nodig, met omsigtigheid).
  • Onherskrewe skakels of ongeverifieerde aanhegsels: Verifieer dat die veilige skakels en veilige aanhegsels-beleide geaktiveer is en aan die korrekte gebruikers toegewys is. Bevestig dat die e-pos deur die MDO gestuur word.
  • Opleidingsaanvalsimulasiekwessies: Verifieer dat toetsgebruikers by die korrekte groepe ingesluit is en dat daar geen beleide is wat simulasie-e-posse kan blokkeer voordat hulle gebruikers bereik nie.

Gevolgtrekking

Microsoft Defender vir Office 365 is 'n kragtige en onontbeerlike hulpmiddel in die stryd teen uitvissing. Deur hul beleid teen uitvissing, veilige aanhegsels en veilige skakels op te stel en te optimaliseer, kan organisasies 'n sterk verdediging teen 'n wye reeks kwaadwillige e-posaanvalle vestig. Die kombinasie van gevorderde tegnologie met deurlopende gebruikersopvoeding skep 'n gelaagde sekuriteitstrategie wat maatskappy-identiteite, data en reputasie effektief beskerm. Konstante waaksaamheid en beleidsaanpassing is noodsaaklik om doeltreffend te bly teen steeds ontwikkelende uitvissingtaktieke.

Verwysings:

[1] Microsoft Learn. Microsoft Defender vir Office 365. Beskikbaar by: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Anti-phishing-beleide in Microsoft Defender vir Office 365. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn. Microsoft Defender vir Office 365-lisensievereistes. Beskikbaar by: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)