Jak blokovat phishing pomocí Defenderu pro Office 365

Jak blokovat phishing pomocí Defenderu pro Office 365

14.04.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a optimalizaci programu Microsoft Defender pro Office 365 (MDO), aby bylo možné účinně blokovat phishingové útoky. Phishing zůstává jednou z nejrozšířenějších a nejnebezpečnějších kybernetických hrozeb, jejímž cílem je ukrást přihlašovací údaje, nainstalovat malware nebo oklamat oběti, aby vyzradily důvěrné informace. MDO nabízí robustní sadu funkcí proti phishingu, které jdou nad rámec základní ochrany Exchange Online Protection (EOP) a poskytují pokročilou obranu proti sofistikovaným útokům [1].

Úvod

Phishingové útoky se vyvinuly z obecných e-mailů na vysoce cílené a přesvědčivé kampaně známé jako spear-phishing, whaling a business email kompromitace (BEC). Tyto taktiky využívají lidskou důvěru a mohou obejít tradiční obranu. Microsoft Defender pro Office 365 je navržen tak, aby bojoval s těmito pokročilými hrozbami pomocí umělé inteligence, strojového učení a analýzy chování k detekci a blokování škodlivých e-mailů dříve, než se dostanou do doručené pošty uživatelů [2].

Tato praktická příručka se bude zabývat konfigurací zásad proti phishingu v MDO, včetně ochrany před falšováním, zpravodajství poštovních schránek, ochrany před předstíráním identity a zabezpečených odkazů a příloh. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl posílit obranu své organizace proti phishingovým útokům a poučit uživatele o osvědčených postupech.

Proč je Defender pro Office 365 nezbytný proti phishingu?

  • Pokročilá ochrana: Jde nad rámec EOP a nabízí detekci zero-day hrozeb a polymorfních útoků.
  • Inteligence hrozeb: Využívá rozsáhlé zpravodajství o hrozbách společnosti Microsoft k identifikaci vznikajících vektorů a vzorců útoků.
  • Analýza chování: Analyzuje chování e-mailů a adres URL a identifikuje anomálie, které naznačují phishing.
  • Ochrana před předstíráním identity: Chrání před e-maily, které se pokoušejí vydávat za důvěryhodné manažery, značky nebo partnery.
  • Zabezpečené odkazy a přílohy: Kontroluje adresy URL a přílohy v reálném čase v okamžiku kliknutí nebo otevření, čímž chrání před škodlivým obsahem.
  • Viditelnost a hlášení: Poskytuje podrobné nástroje pro hlášení a vyšetřování pro pochopení a reakci na phishingové útoky.

Předpoklady

Ke konfiguraci a optimalizaci zásad ochrany proti phishingu v aplikaci Microsoft Defender pro Office 365 budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje Microsoft Defender pro Office 365 Plan 1 nebo Plan 2. Obvykle je součástí balíčků, jako je Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, nebo ji lze zakoupit jako doplněk [3].
  2. Administrativní přístup: Účet s oprávněními Security Administrator nebo Compliance Administrator na portálu Microsoft 365 Defender (https://security.microsoft.com).
  3. Ověřené domény: Vaše e-mailové domény musí být nakonfigurovány a ověřeny v Microsoft 365.
  4. E-mailové záznamy DNS: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting, and Conformance) musí být pro vaše domény správně nakonfigurovány. To je důležité pro ochranu před falšováním a předstíráním identity.

Krok za krokem: Konfigurace zásad Anti-Phishing v MDO

Pojďme nakonfigurovat vlastní zásady ochrany proti phishingu, které ochrání vaše uživatele.

1. Přístup k portálu Microsoft 365 Defender Portal

  1. Otevřete prohlížeč a přejděte na https://security.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Vytvoření vlastní zásady ochrany proti phishingu

Přestože má MDO výchozí zásady ochrany proti phishingu, důrazně se doporučuje vytvořit vlastní zásady pro konkrétní skupiny uživatelů (např. vedoucí pracovníci, vysoce rizikoví uživatelé) a upravit nastavení ochrany.

  1. V levém navigačním panelu vyberte E-mail a spolupráce > Zásady a pravidla > Zásady hrozeb.
  2. V části Zásady klikněte na Anti-phishing.
  3. Kliknutím na Vytvořit spustíte průvodce novou zásadou.

Krok 1: Pojmenujte zásady

  1. Název: Zásady proti phishinguCustom - Executives (nebo popisný název pro vaši cílovou skupinu).
  2. Popis: Pokročilá ochrana proti phishingu pro vedoucí pracovníky a vysoce rizikové uživatele.
  3. Klikněte na Další.

Krok 2: Uživatelé, skupiny a domény

  1. Uživatelé, skupiny nebo domény: Vyberte uživatele nebo skupiny, na které se tato zásada vztahuje. V tomto příkladu vyberte skupinu zabezpečení, která obsahuje vaše vedoucí pracovníky.
    • Tip: Před podáním žádosti pro celou organizaci začněte s malou testovací skupinou.
  2. Vyloučit tyto uživatele, skupiny a domény: (Volitelné) Přidejte všechny entity, které by měly být z těchto zásad vyloučeny.
  3. Klikněte na Další.

Krok 3: Práh phishingu a předstírání identity

Tato část umožňuje nakonfigurovat úroveň ochrany proti phishingu a předstírání jiné identity.

  1. Phishing Threshold: Doporučuje se nastavit hodnotu 3 nebo 4 (výchozí je 1). Vyšší hodnoty nabízejí větší ochranu, ale mohou zvýšit počet falešných poplachů.
  2. Povolit uživatelům ochranu: Klikněte na Přidat uživatele a přidejte e-mailové adresy vedoucích pracovníků nebo klíčových osob, které chcete chránit před předstíráním identity (např. CEO, CFO). MDO bude aktivně sledovat e-maily, které se pokoušejí vydávat za tyto lidi.
  3. Povolte ochranu domén: Klikněte na Přidat doménu a přidejte své vlastní domény (např. vašespolečnost.cz). To chrání před falšováním vnitřní a vnější domény.
  4. Akce: Nastavte akce pro zprávy zjištěné jako předstírání identity:
    • Pokud je zpráva detekována jako zosobnění uživatele: Umístit zprávu do karantény nebo Přesunout zprávu do složky Nevyžádaná pošta příjemce.
    • Pokud je zpráva detekována jako zosobnění domény: Umístit zprávu do karantény.
    • Tip: Začněte příkazem „Přesunout zprávu do složky Nevyžádaná pošta příjemce“ nebo „Karanténa“, abyste předešli ztrátě legitimních e-mailů.
  5. Inteligence poštovní schránky: Ujistěte se, že je Zapnuto. To umožňuje MDO používat inteligenci strojového učení k určení normálních komunikačních vzorců pro každého uživatele a k detekci anomálií.
  6. Ochrana před falšováním: Ujistěte se, že je Zapnuto a nastavte akci pro neověřené falešné zprávy na Přesunout zprávu do složky nevyžádané pošty příjemce nebo Umístit zprávu do karantény.
  7. Klikněte na Další.

Krok 4: Kontrola

  1. Zkontrolujte všechna nastavení zásad.
  2. Klikněte na Vytvořit.

3. Konfigurace bezpečných příloh

Secure Attachments chrání před malwarem zero-day otevřením příloh ve virtualizovaném prostředí (sandbox) před jejich doručením uživatelům.

  1. V levém navigačním panelu vyberte E-mail a spolupráce > Zásady a pravidla > Zásady hrozeb.
  2. V části Zásady klikněte na Zabezpečené přílohy.
  3. Klikněte na Vytvořit.
  4. Název: Zásady bezpečného připojení.
  5. Popis: Prohledá přílohy e-mailů v izolovaném prostoru, aby se chránil před malwarem zero-day.
  6. Akce odezvy na zabezpečený malware: Vyberte „Blokovat“.
  7. Přesměrování zjištěných příloh: (Volitelné) Přílohy můžete přesměrovat do bezpečnostní schránky pro další analýzu.
  8. Použít pro: Vyberte Uživatelé, Skupiny nebo Domény a přidejte příslušné uživatele nebo skupiny.
  9. Klikněte na Vytvořit.

4. Konfigurace bezpečných odkazů

Bezpečné odkazy přepisují adresy URL v e-mailech a dokumentech, aby v reálném čase v okamžiku kliknutí kontrolovaly jejich reputaci, čímž chrání před škodlivými odkazy.

  1. V levém navigačním panelu vyberte E-mail a spolupráce > Zásady a pravidla > Zásady hrozeb.
  2. V části Zásady klikněte na Zabezpečené odkazy.
  3. Klikněte na Vytvořit.
  4. Název: Zásady bezpečných odkazů.
  5. Popis: Chrání před škodlivými adresami URL v e-mailech a dokumentech.
  6. Použít zabezpečené odkazy na e-mailové zprávy: Ujistěte se, že je Povoleno.
  7. Použít zabezpečené odkazy na obsah v aplikacích Office 365: Ujistěte se, že je tato možnost Povoleno.
  8. Akce: Konfigurace akcí pro blokované adresy URL (např. „Blokovat škodlivé adresy URL“).
  9. Nepřepisujte následující adresy URL: (Volitelné) Přidejte interní nebo důvěryhodné adresy URL, které by se neměly přepisovat.
  10. Použít pro: Vyberte Uživatelé, Skupiny nebo Domény a přidejte příslušné uživatele nebo skupiny.
  11. Klikněte na Vytvořit.

Validace a testování

Ověření účinnosti politik proti phishingu je zásadní pro zajištění toho, aby ochrana fungovala podle očekávání.

1. Použití výcviku simulace útoku

MDO obsahuje nástroj pro simulaci phishingových útoků, který vám umožní testovat odolnost uživatelů a efektivitu vašich zásad.

  1. Na portálu Microsoft 365 Defender přejděte na E-mail a spolupráce > Training Attack Simulation.
  2. Klikněte na Spustit simulaci.
  3. Podle průvodce vytvořte a spusťte simulovanou phishingovou kampaň pro skupinu testovacích uživatelů.
  4. Sledujte výsledky, abyste viděli, kolik uživatelů bylo ohroženo a zda zásady MDO zachytily simulované phishingové e-maily.

2. Kontrola protokolů ochrany

  1. Na portálu Microsoft 365 Defender přejděte na E-mail a spolupráce > Průzkumník.
  2. Pomocí filtrů vyhledejte e-maily s verdikty „Phishing“, „Spoof“ nebo „Malware“, abyste zjistili, zda zásady detekují škodlivé e-maily.

3. Testování zabezpečených odkazů a příloh

Odešlete testovací e-mail se známým škodlivým odkazem (např. ze zabezpečeného phishingového testovacího webu) nebo testovacím souborem malwaru (např. EICAR) chráněnému uživateli a zkontrolujte, zda MDO přepíše odkaz nebo zablokuje přílohu.

Bezpečnostní tipy a doporučené postupy

  • Vzdělávání uživatelů: Nejdůležitější obranná linie. Pravidelně školte uživatele, aby rozpoznávali a hlásili phishingové e-maily. Použijte simulaci výcvikových útoků k posílení učení.
  • Nastavte SPF, DKIM a DMARC: Tyto záznamy DNS jsou klíčové pro ověřování e-mailů a ochranu před falšováním. Ujistěte se, že jsou správně nakonfigurovány pro všechny vaše domény.
  • Granular Policies: Vytvořte personalizované zásady proti phishingu pro různé skupiny uživatelů, zejména pro ty, kteří jsou vystaveni vysokému riziku (např. vedoucí pracovníci, finance).
  • Zvýšení prahu phishingu: Zvažte zvýšení prahu phishingu na 3 nebo 4 ve vlastních zásadách pro lepší ochranu sledováním falešných poplachů.
  • Monitorování zpráv: Pravidelně kontrolujte zprávy o ochraně před hrozbami v MDO, abyste identifikovali trendy, cílené útoky a oblasti, kde lze ochranu zlepšit.
  • Integrace s Defender for Endpoint: Ochrana e-mailu a ochrana koncových bodů spolupracují pro vrstvenou obranu. Pokud uživatel klikne na škodlivý odkaz, Defender for Endpoint může pomoci detekovat a napravit hrozbu v zařízení.

Běžné odstraňování problémů

  • Legitimní phishingové e-maily procházející: Zkontrolujte nastavení zásad proti phishingu, zejména prahové hodnoty phishingu a akce pro předstírání identity a falšování. Ujistěte se, že SPF, DKIM a DMARC jsou správně nakonfigurovány. Zkontrolujte protokoly v Průzkumníku hrozeb.
  • Falešně pozitivní (legitimní e-maily jsou blokovány): Upravte prahové hodnoty phishingu na nižší hodnotu. Zkontrolujte nastavení předstírání identity a spoofingu. Přidejte důvěryhodné odesílatele nebo domény do seznamu výjimek (je-li to nutné, opatrně).
  • Nepřepsané odkazy nebo neověřené přílohy: Ověřte, že zásady Bezpečné odkazy a Bezpečné přílohy jsou povoleny a přiřazeny správným uživatelům. Potvrďte, že e-mail je směrován přes MDO.
  • Problémy se simulací útoku: Než se dostanou k uživatelům, ověřte, zda jsou testovací uživatelé zahrnuti do správných skupin a že neexistují žádné zásady, které by mohly blokovat e-maily se simulací.

Závěr

Microsoft Defender pro Office 365 je výkonný a nepostradatelný nástroj v boji proti phishingu. Nakonfigurováním a optimalizací svých zásad ochrany proti phishingu, bezpečných příloh a bezpečných odkazů mohou organizace vytvořit robustní obranu proti široké škále škodlivých e-mailových útoků. Kombinace pokročilé technologie s průběžným vzděláváním uživatelů vytváří vrstvenou bezpečnostní strategii, která účinně chrání firemní identity, data a pověst. Neustálá ostražitost a přizpůsobování politik jsou nezbytné pro udržení účinnosti proti neustále se vyvíjejícím phishingovým taktikám.

Reference:

[1] Microsoft Learn. Microsoft Defender pro Office 365. Dostupné na: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Zásady ochrany proti phishingu v programu Microsoft Defender pro Office 365. Dostupné na: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn. Požadavky na licence Microsoft Defender for Office 365. Dostupné na: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)