So blockieren Sie Phishing mit Defender für Office 365

So blockieren Sie Phishing mit Defender für Office 365

14.04.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Optimierung von Microsoft Defender für Office 365 (MDO) helfen, um Phishing-Angriffe effektiv zu blockieren. Phishing ist nach wie vor eine der am weitesten verbreiteten und gefährlichsten Cyber-Bedrohungen und zielt darauf ab, Zugangsdaten zu stehlen, Malware zu installieren oder Opfer zur Preisgabe vertraulicher Informationen zu verleiten. MDO bietet eine robuste Suite von Anti-Phishing-Funktionen, die über den grundlegenden EOP-Schutz (Exchange Online Protection) hinausgehen und erweiterte Abwehrmaßnahmen gegen raffinierte Angriffe bieten [1].

Einführung

Phishing-Angriffe haben sich von generischen E-Mails zu äußerst gezielten und überzeugenden Kampagnen entwickelt, die als Spear-Phishing, Whaling und Business Email Compromise (BEC) bekannt sind. Diese Taktiken nutzen das menschliche Vertrauen aus und können traditionelle Abwehrmechanismen umgehen. Microsoft Defender für Office 365 wurde entwickelt, um diese hochentwickelten Bedrohungen zu bekämpfen, indem es künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen nutzt, um bösartige E-Mails zu erkennen und zu blockieren, bevor sie die Posteingänge der Benutzer erreichen [2].

Dieser praktische Leitfaden behandelt die Konfiguration von Anti-Phishing-Richtlinien in MDO, einschließlich Spoofing-Schutz, Mailbox-Intelligence, Schutz vor Identitätsdiebstahl sowie sichere Links und Anhänge. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser die Abwehr seines Unternehmens gegen Phishing-Angriffe stärken und Benutzer über Best Practices aufklären kann.

Warum ist Defender für Office 365 unverzichtbar gegen Phishing?

  • Erweiterter Schutz: Geht über EOP hinaus und bietet Erkennung von Zero-Day-Bedrohungen und polymorphen Angriffen.
  • Bedrohungsintelligenz: Nutzt die umfangreichen Bedrohungsinformationen von Microsoft, um neue Angriffsvektoren und -muster zu identifizieren.
  • Verhaltensanalyse: Analysiert das Verhalten von E-Mails und URLs, um Anomalien zu identifizieren, die auf Phishing hinweisen.
  • Schutz vor Identitätsdiebstahl: Schützt vor E-Mails, die versuchen, sich als vertrauenswürdige Führungskräfte, Marken oder Partner auszugeben.
  • Sichere Links und Anhänge: Scannt URLs und Anhänge in Echtzeit zum Zeitpunkt des Klickens oder Öffnens und schützt so vor schädlichen Inhalten.
  • Sichtbarkeit und Berichterstattung: Bietet detaillierte Berichts- und Untersuchungstools, um Phishing-Angriffe zu verstehen und darauf zu reagieren.

Voraussetzungen

Um Anti-Phishing-Richtlinien in Microsoft Defender für Office 365 zu konfigurieren und zu optimieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Microsoft Defender für Office 365 Plan 1 oder Plan 2 beinhaltet. Diese ist normalerweise Teil von Paketen wie Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5 oder kann als Add-on erworben werden [3].
  2. Administratorzugriff: Ein Konto mit Sicherheitsadministrator- oder Compliance-Administratorberechtigungen im Microsoft 365 Defender-Portal („https://security.microsoft.com“).
  3. Verifizierte Domänen: Ihre E-Mail-Domänen müssen in Microsoft 365 konfiguriert und überprüft werden.
  4. E-Mail-DNS-Einträge: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) müssen für Ihre Domains korrekt konfiguriert sein. Dies ist entscheidend für den Schutz vor Spoofing und Identitätsdiebstahl.

Schritt für Schritt: Anti-Phishing-Richtlinien in MDO konfigurieren

Lassen Sie uns eine benutzerdefinierte Anti-Phishing-Richtlinie konfigurieren, um Ihre Benutzer zu schützen.

1. Zugriff auf das Microsoft 365 Defender-Portal

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

2. Erstellen einer benutzerdefinierten Anti-Phishing-Richtlinie

Obwohl MDO über eine Standard-Anti-Phishing-Richtlinie verfügt, wird dringend empfohlen, benutzerdefinierte Richtlinien für bestimmte Benutzergruppen (z. B. Führungskräfte, Benutzer mit hohem Risiko) zu erstellen und die Schutzeinstellungen anzupassen.

  1. Wählen Sie im linken Navigationsbereich E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien aus.
  2. Klicken Sie im Abschnitt Richtlinien auf Anti-Phishing.
  3. Klicken Sie auf Erstellen, um den Assistenten für neue Richtlinien zu starten.

Schritt 1: Benennen Sie die Richtlinie

  1. Name: „Anti-Phishing-Richtlinie“.Benutzerdefiniert – Führungskräfte (oder ein beschreibender Name für Ihre Zielgruppe).
  2. Beschreibung: „Erweiterter Phishing-Schutz für Führungskräfte und Benutzer mit hohem Risiko.“
  3. Klicken Sie auf Weiter.

Schritt 2: Benutzer, Gruppen und Domänen

  1. Benutzer, Gruppen oder Domänen: Wählen Sie die Benutzer oder Gruppen aus, für die diese Richtlinie gelten soll. Wählen Sie für dieses Beispiel eine Sicherheitsgruppe aus, die Ihre Führungskräfte enthält.
    • Tipp: Beginnen Sie mit einer kleinen Testgruppe, bevor Sie sich bei der gesamten Organisation bewerben.
  2. Diese Benutzer, Gruppen und Domänen ausschließen: (Optional) Fügen Sie alle Entitäten hinzu, die von dieser Richtlinie ausgeschlossen werden sollen.
  3. Klicken Sie auf Weiter.

Schritt 3: Schwellenwert für Phishing und Identitätsdiebstahl

In diesem Abschnitt können Sie den Grad des Schutzes vor Phishing und Identitätsdiebstahl konfigurieren.

  1. Phishing-Schwellenwert: Es wird empfohlen, einen Wert von „3“ oder „4“ festzulegen (Standard ist 1). Höhere Werte bieten mehr Schutz, können jedoch zu mehr Fehlalarmen führen.
  2. Benutzer zum Schutz aktivieren: Klicken Sie auf Benutzer hinzufügen und fügen Sie die E-Mail-Adressen der Führungskräfte oder Schlüsselpersonen hinzu, die Sie vor Identitätsdiebstahl schützen möchten (z. B. CEO, CFO). MDO wird E-Mails, die versuchen, sich als diese Personen auszugeben, aktiv überwachen.
  3. Zu schützende Domänen aktivieren: Klicken Sie auf Domäne hinzufügen und fügen Sie Ihre eigenen Domänen hinzu (z. B. „IhrUnternehmen.com“). Dies schützt vor internem und externem Domain-Spoofing.
  4. Aktionen: Legen Sie Aktionen für Nachrichten fest, die als Identitätswechsel erkannt wurden:
    • Wenn die Nachricht als Benutzeridentitätswechsel erkannt wird: „Nachricht in Quarantäne“ oder „Nachricht in den Junk-E-Mail-Ordner des Empfängers verschieben“.
    • Wenn die Nachricht als Domänenidentitätsbetrug erkannt wird: „Nachricht unter Quarantäne stellen“.
    • Tipp: Beginnen Sie mit „Nachricht in den Junk-E-Mail-Ordner des Empfängers verschieben“ oder „Quarantäne“, um den Verlust legitimer E-Mails zu vermeiden.
  5. Mailbox Intelligence: Stellen Sie sicher, dass es Ein ist. Dadurch kann MDO die Intelligenz des maschinellen Lernens nutzen, um normale Kommunikationsmuster für jeden Benutzer zu ermitteln und Anomalien zu erkennen.
  6. Spoofing-Schutz: Stellen Sie sicher, dass er Ein ist und legen Sie die Aktion für nicht authentifizierte Spoofing-Nachrichten auf „Nachricht in den Junk-E-Mail-Ordner des Empfängers verschieben“ oder „Nachricht in Quarantäne verschieben“ fest.
  7. Klicken Sie auf Weiter.

Schritt 4: Überprüfen

  1. Überprüfen Sie alle Richtlinieneinstellungen.
  2. Klicken Sie auf Erstellen.

3. Sichere Anhänge konfigurieren

Secure Attachments schützt vor Zero-Day-Malware, indem es Anhänge in einer virtualisierten Umgebung (Sandbox) öffnet, bevor sie an Benutzer übermittelt werden.

  1. Wählen Sie im linken Navigationsbereich E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien aus.
  2. Klicken Sie im Abschnitt Richtlinien auf Sichere Anhänge.
  3. Klicken Sie auf Erstellen.
  4. Name: „Richtlinie für sichere Anhänge“.
  5. Beschreibung: „Scannt Sandbox-E-Mail-Anhänge zum Schutz vor Zero-Day-Malware.“
  6. Maßnahme zur Reaktion auf Malware im sicheren Anhang: Wählen Sie „Blockieren“.
  7. Erkannte Anhänge umleiten: (Optional) Sie können Anhänge zur weiteren Analyse an ein Sicherheitspostfach umleiten.
  8. Anwenden auf: Wählen Sie Benutzer, Gruppen oder Domänen und fügen Sie Ihre relevanten Benutzer oder Gruppen hinzu.
  9. Klicken Sie auf Erstellen.

4. Sichere Links konfigurieren

Safe Links schreibt URLs in E-Mails und Dokumenten um, um deren Reputation zum Zeitpunkt des Klicks in Echtzeit zu überprüfen und so vor bösartigen Links zu schützen.

  1. Wählen Sie im linken Navigationsbereich E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien aus.
  2. Klicken Sie im Abschnitt Richtlinien auf Sichere Links.
  3. Klicken Sie auf Erstellen.
  4. Name: „Richtlinie für sichere Links“.
  5. Beschreibung: „Schützt vor bösartigen URLs in E-Mails und Dokumenten.“
  6. Sichere Links auf E-Mail-Nachrichten anwenden: Stellen Sie sicher, dass dies Aktiviert ist.
  7. Sichere Links auf Inhalte in Office 365-Apps anwenden: Stellen Sie sicher, dass dies Aktiviert ist.
  8. Aktionen: Konfigurieren Sie Aktionen für blockierte URLs (z. B. „Bösartige URLs blockieren“).
  9. Die folgenden URLs nicht neu schreiben: (Optional) Fügen Sie interne oder vertrauenswürdige URLs hinzu, die nicht neu geschrieben werden sollen.
  10. Anwenden auf: Wählen Sie Benutzer, Gruppen oder Domänen und fügen Sie Ihre relevanten Benutzer oder Gruppen hinzu.
  11. Klicken Sie auf Erstellen.

Validierung und Tests

Die Validierung der Wirksamkeit von Anti-Phishing-Richtlinien ist von entscheidender Bedeutung, um sicherzustellen, dass der Schutz wie erwartet funktioniert.

1. Angriffssimulationstraining verwenden

MDO umfasst ein Simulationstool für Phishing-Angriffe, mit dem Sie die Widerstandsfähigkeit der Benutzer und die Wirksamkeit Ihrer Richtlinien testen können.

  1. Gehen Sie im Microsoft 365 Defender-Portal zu E-Mail und Zusammenarbeit > Trainingsangriffssimulation.
  2. Klicken Sie auf Simulation starten.
  3. Folgen Sie dem Assistenten, um eine simulierte Phishing-Kampagne für eine Gruppe von Testbenutzern zu erstellen und zu starten.
  4. Überwachen Sie die Ergebnisse, um zu sehen, wie viele Benutzer kompromittiert wurden und ob MDO-Richtlinien die simulierten Phishing-E-Mails abgefangen haben.

2. Schutzprotokolle prüfen

  1. Gehen Sie im Microsoft 365 Defender-Portal zu E-Mail und Zusammenarbeit > Explorer.
  2. Verwenden Sie Filter, um nach E-Mails mit den Urteilen „Phishing“, „Spoof“ oder „Malware“ zu suchen und festzustellen, ob die Richtlinien schädliche E-Mails erkennen.

3. Testen sicherer Links und Anhänge

Senden Sie eine Test-E-Mail mit einem bekanntermaßen schädlichen Link (z. B. von einer sicheren Phishing-Testseite) oder einer Malware-Testdatei (z. B. EICAR) an einen geschützten Benutzer und prüfen Sie, ob MDO den Link umschreibt oder den Anhang blockiert.

Sicherheitstipps und Best Practices

  • Benutzerschulung: Die wichtigste Verteidigungslinie. Schulen Sie Benutzer regelmäßig darin, Phishing-E-Mails zu erkennen und zu melden. Nutzen Sie die Trainingsangriffssimulation, um das Lernen zu verstärken.
  • Richten Sie SPF, DKIM und DMARC ein: Diese DNS-Einträge sind für die E-Mail-Authentifizierung und den Spoofing-Schutz von entscheidender Bedeutung. Stellen Sie sicher, dass sie für alle Ihre Domänen korrekt konfiguriert sind.
  • Granulare Richtlinien: Erstellen Sie personalisierte Anti-Phishing-Richtlinien für verschiedene Benutzergruppen, insbesondere für Personen mit hohem Risiko (z. B. Führungskräfte, Finanzen).
  • Phishing-Schwellenwert erhöhen: Erwägen Sie, den Phishing-Schwellenwert in benutzerdefinierten Richtlinien auf 3 oder 4 zu erhöhen, um den Schutz durch Überwachung auf Fehlalarme zu erhöhen.
  • Berichte überwachen: Überprüfen Sie regelmäßig Berichte zum Bedrohungsschutz in MDO, um Trends, gezielte Angriffe und Bereiche zu identifizieren, in denen der Schutz verbessert werden kann.
  • Integration mit Defender für Endpunkt: E-Mail-Schutz und Endpunktschutz arbeiten zusammen für eine mehrschichtige Verteidigung. Wenn ein Benutzer auf einen schädlichen Link klickt, kann Defender für Endpunkt dabei helfen, die Bedrohung auf dem Gerät zu erkennen und zu beheben.

Allgemeine Fehlerbehebung

  • Legitime Phishing-E-Mails gelangen durch: Überprüfen Sie Ihre Anti-Phishing-Richtlinieneinstellungen, insbesondere Phishing-Schwellenwerte und Maßnahmen für Identitätsdiebstahl und Spoofing. Stellen Sie sicher, dass SPF, DKIM und DMARC richtig konfiguriert sind. Überprüfen Sie die Protokolle im Threat Explorer.
  • False Positives (legitime E-Mails blockiert): Passen Sie die Phishing-Schwellenwerte auf einen niedrigeren Wert an. Überprüfen Sie die Einstellungen für Identitätswechsel und Spoofing. Fügen Sie vertrauenswürdige Absender oder Domänen zur Ausnahmeliste hinzu (ggf. mit Vorsicht).
  • Nicht umgeschriebene Links oder nicht überprüfte Anhänge: Stellen Sie sicher, dass die Richtlinien für sichere Links und sichere Anhänge aktiviert und den richtigen Benutzern zugewiesen sind. Bestätigen Sie, dass die E-Mail über das MDO weitergeleitet wird.
  • Probleme mit der Simulation von Trainingsangriffen: Stellen Sie sicher, dass Testbenutzer in den richtigen Gruppen enthalten sind und dass es keine Richtlinien gibt, die Simulations-E-Mails blockieren könnten, bevor sie Benutzer erreichen.

Fazit

Microsoft Defender für Office 365 ist ein leistungsstarkes und unverzichtbares Tool im Kampf gegen Phishing. Durch die Konfiguration und Optimierung ihrer Anti-Phishing-, sicheren Anhänge- und sicheren Links-Richtlinien können Unternehmen einen robusten Schutz gegen eine Vielzahl bösartiger E-Mail-Angriffe aufbauen. Durch die Kombination fortschrittlicher Technologie mit kontinuierlicher Benutzerschulung entsteht eine mehrschichtige Sicherheitsstrategie, die Unternehmensidentitäten, Daten und den Ruf wirksam schützt. Ständige Wachsamkeit und Richtlinienanpassung sind unerlässlich, um wirksam gegen die sich ständig weiterentwickelnden Phishing-Taktiken vorzugehen.

Referenzen:

[1] Microsoft Learn. Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Anti-Phishing-Richtlinien in Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn. Microsoft Defender für Office 365-Lizenzanforderungen. Verfügbar unter: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)