Comment bloquer le phishing avec Defender pour Office 365

Comment bloquer le phishing avec Defender pour Office 365

14/04/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et l'optimisation de Microsoft Defender pour Office 365 (MDO) afin de bloquer efficacement les attaques de phishing. Le phishing reste l'une des cybermenaces les plus répandues et les plus dangereuses, visant à voler des informations d'identification, à installer des logiciels malveillants ou à inciter les victimes à divulguer des informations confidentielles. MDO offre une suite robuste de fonctionnalités anti-phishing qui vont au-delà de la protection de base Exchange Online Protection (EOP), offrant des défenses avancées contre les attaques sophistiquées [1].

Présentation

Les attaques de phishing sont passées d'e-mails génériques à des campagnes hautement ciblées et convaincantes connues sous le nom de spear-phishing, whaling et business email compromis (BEC). Ces tactiques exploitent la confiance humaine et peuvent contourner les défenses traditionnelles. Microsoft Defender pour Office 365 est conçu pour lutter contre ces menaces avancées en utilisant l'intelligence artificielle, l'apprentissage automatique et l'analyse comportementale pour détecter et bloquer les e-mails malveillants avant qu'ils n'atteignent les boîtes de réception des utilisateurs [2].

Ce guide pratique couvrira la configuration des politiques anti-phishing dans MDO, y compris la protection contre l'usurpation d'identité, l'intelligence des boîtes aux lettres, la protection contre l'usurpation d'identité et les liens et pièces jointes sécurisés. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse renforcer la défense de son organisation contre les attaques de phishing et informer les utilisateurs sur les meilleures pratiques.

Pourquoi Defender pour Office 365 est-il essentiel contre le phishing ?

  • Protection avancée : va au-delà de l'EOP, offrant une détection des menaces zero-day et des attaques polymorphes.
  • Threat Intelligence : utilise les vastes informations sur les menaces de Microsoft pour identifier les vecteurs et modèles d'attaque émergents.
  • Analyse comportementale : analyse le comportement des e-mails et des URL pour identifier les anomalies indiquant un phishing.
  • Protection contre l'usurpation d'identité : protège contre les e-mails qui tentent d'usurper l'identité de dirigeants, de marques ou de partenaires de confiance.
  • Liens et pièces jointes sécurisés : analyse les URL et les pièces jointes en temps réel au moment du clic ou de l'ouverture, protégeant ainsi contre le contenu malveillant.
  • Visibilité et reporting : fournit des outils de reporting et d'enquête détaillés pour comprendre et répondre aux attaques de phishing.

Prérequis

Pour configurer et optimiser les stratégies anti-phishing dans Microsoft Defender pour Office 365, vous aurez besoin des éléments suivants :

  1. Licence : une licence qui inclut Microsoft Defender pour Office 365 Plan 1 ou Plan 2. Cela fait généralement partie de packages tels que Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, ou peut être acheté en tant que module complémentaire [3].
  2. Accès administratif : un compte avec les autorisations d'administrateur de sécurité ou d'administrateur de conformité dans le portail Microsoft 365 Defender (https://security.microsoft.com).
  3. Domaines vérifiés : vos domaines de messagerie doivent être configurés et vérifiés dans Microsoft 365.
  4. Enregistrements DNS de courrier électronique : SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance) doivent être configurés correctement pour vos domaines. Ceci est essentiel pour la protection contre l’usurpation d’identité et l’usurpation d’identité.

Étape par étape : configuration des politiques anti-hameçonnage dans MDO

Configurons une politique anti-phishing personnalisée pour protéger vos utilisateurs.

1. Accès au portail Microsoft 365 Defender

  1. Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.

2. Création d'une politique anti-hameçonnage personnalisée

Bien que MDO dispose d'une politique anti-phishing par défaut, il est fortement recommandé de créer des politiques personnalisées pour des groupes d'utilisateurs spécifiques (par exemple, cadres, utilisateurs à haut risque) et d'ajuster les paramètres de protection.

  1. Dans le volet de navigation de gauche, sélectionnez E-mail et collaboration > Politiques et règles > Politiques de menace.
  2. Dans la section Politiques, cliquez sur Anti-phishing.
  3. Cliquez sur Créer pour lancer l'assistant de nouvelle stratégie.

Étape 1 : Nommez la stratégie

  1. Nom : `Politique anti-hameçonnagePersonnalisé - Cadres (ou un nom descriptif pour votre groupe cible).
  2. Description : « Protection avancée contre le phishing pour les dirigeants et les utilisateurs à haut risque. »
  3. Cliquez sur Suivant.

Étape 2 : Utilisateurs, groupes et domaines

  1. Utilisateurs, groupes ou domaines : sélectionnez les utilisateurs ou les groupes auxquels cette stratégie s'appliquera. Pour cet exemple, sélectionnez un groupe de sécurité contenant vos dirigeants.
    • Conseil : Commencez par un petit groupe de test avant de postuler à l'ensemble de l'organisation.
  2. Exclure ces utilisateurs, groupes et domaines : (Facultatif) Ajoutez toutes les entités qui doivent être exclues de cette stratégie.
  3. Cliquez sur Suivant.

Étape 3 : Seuil de phishing et seuil d'usurpation d'identité

Cette section vous permet de configurer le niveau de protection contre le phishing et l'usurpation d'identité.

  1. Seuil de phishing : Il est recommandé de définir une valeur de « 3 » ou « 4 » (la valeur par défaut est 1). Des valeurs plus élevées offrent plus de protection, mais peuvent augmenter les faux positifs.
  2. Activer la protection des utilisateurs : cliquez sur Ajouter un utilisateur et ajoutez les adresses e-mail des dirigeants ou des personnes clés que vous souhaitez protéger contre l'usurpation d'identité (par exemple, PDG, directeur financier). MDO surveillera activement les e-mails qui tentent de usurper l'identité de ces personnes.
  3. Activer les domaines à protéger : cliquez sur Ajouter un domaine et ajoutez vos propres domaines (par exemple « votreentreprise.com »). Cela protège contre l’usurpation de domaine interne et externe.
  4. Actions : définissez des actions pour les messages détectés comme usurpation d'identité :
    • Si le message est détecté comme une usurpation d'identité d'utilisateur : « Message de quarantaine » ou « Déplacer le message vers le dossier de courrier indésirable du destinataire ».
    • Si le message est détecté comme une usurpation d'identité de domaine : « Mettez le message en quarantaine ».
    • Conseil : Commencez par « Déplacer le message vers le courrier indésirable du destinataire » ou le dossier « Quarantaine » pour éviter de perdre des e-mails légitimes.
  5. Mailbox Intelligence : assurez-vous qu'il est Activé. Cela permet à MDO d'utiliser l'intelligence de l'apprentissage automatique pour déterminer les modèles de communication normaux pour chaque utilisateur et détecter les anomalies.
  6. Protection contre l'usurpation d'identité : assurez-vous qu'elle est Activée et définissez l'action pour les messages d'usurpation d'identité non authentifiés sur « Déplacer le message vers le dossier de courrier indésirable du destinataire » ou « Mettre le message en quarantaine ».
  7. Cliquez sur Suivant.

Étape 4 : Révision

  1. Vérifiez tous les paramètres de stratégie.
  2. Cliquez sur Créer.

3. Configuration des pièces jointes sécurisées

Secure Attachments protège contre les logiciels malveillants du jour zéro en ouvrant les pièces jointes dans un environnement virtualisé (bac à sable) avant de les transmettre aux utilisateurs.

  1. Dans le volet de navigation de gauche, sélectionnez E-mail et collaboration > Politiques et règles > Politiques de menace.
  2. Dans la section Politiques, cliquez sur Pièces jointes sécurisées.
  3. Cliquez sur Créer.
  4. Nom : « Politique de pièce jointe sécurisée ».
  5. Description : « Analyse les pièces jointes des e-mails en bac à sable pour vous protéger contre les logiciels malveillants de type zero-day. »
  6. Action de réponse aux logiciels malveillants liés aux pièces jointes sécurisées : Sélectionnez « Bloquer ».
  7. Redirection des pièces jointes détectées : (Facultatif) Vous pouvez rediriger les pièces jointes vers une boîte aux lettres de sécurité pour une analyse plus approfondie.
  8. Appliquer à : sélectionnez Utilisateurs, groupes ou domaines et ajoutez vos utilisateurs ou groupes concernés.
  9. Cliquez sur Créer.

4. Configuration des liens sécurisés

Safe Links réécrit les URL dans les e-mails et les documents pour vérifier leur réputation en temps réel au moment du clic, les protégeant ainsi contre les liens malveillants.

  1. Dans le volet de navigation de gauche, sélectionnez E-mail et collaboration > Politiques et règles > Politiques de menace.
  2. Dans la section Politiques, cliquez sur Liens sécurisés.
  3. Cliquez sur Créer.
  4. Nom : « Politique des liens sécurisés ».
  5. Description : Protège contre les URL malveillantes dans les e-mails et les documents.
  6. Appliquer les liens sécurisés aux messages électroniques : assurez-vous que cette option est Activée.
  7. Appliquer des liens sécurisés au contenu des applications Office 365 : assurez-vous que cette option est Activée.
  8. Actions : configurez les actions pour les URL bloquées (par exemple « Bloquer les URL malveillantes »).
  9. Ne réécrivez pas les URL suivantes : (Facultatif) Ajoutez des URL internes ou approuvées qui ne doivent pas être réécrites.
  10. Appliquer à : sélectionnez Utilisateurs, groupes ou domaines et ajoutez vos utilisateurs ou groupes concernés.
  11. Cliquez sur Créer.

Validation et tests

Il est essentiel de valider l’efficacité des politiques anti-hameçonnage pour garantir que la protection fonctionne comme prévu.

1. Utilisation de la formation par simulation d'attaque

MDO comprend un outil de simulation d'attaque de phishing qui vous permet de tester la résilience des utilisateurs et l'efficacité de vos politiques.

  1. Dans le portail Microsoft 365 Defender, accédez à E-mail et collaboration > Simulation d'attaque de formation.
  2. Cliquez sur Démarrer une simulation.
  3. Suivez l'assistant pour créer et lancer une campagne de phishing simulée auprès d'un groupe d'utilisateurs tests.
  4. Surveillez les résultats pour voir combien d'utilisateurs ont été compromis et si les politiques MDO ont intercepté les e-mails de phishing simulés.

2. Vérification des journaux de protection

  1. Dans le portail Microsoft 365 Defender, accédez à E-mail et collaboration > Explorateur.
  2. Utilisez des filtres pour rechercher les e-mails contenant des verdicts « Phishing », « Spoof » ou « Malware » afin de voir si les politiques détectent les e-mails malveillants.

3. Test des liens et pièces jointes sécurisés

Envoyez un e-mail de test contenant un lien malveillant connu (par exemple provenant d'un site de test de phishing sécurisé) ou un fichier de test de malware (par exemple EICAR) à un utilisateur protégé et vérifiez si MDO réécrit le lien ou bloque la pièce jointe.

Conseils de sécurité et bonnes pratiques

  • Éducation des utilisateurs : la ligne de défense la plus importante. Formez régulièrement les utilisateurs à reconnaître et à signaler les e-mails de phishing. Utilisez la simulation d’attaque d’entraînement pour renforcer l’apprentissage.
  • Configurez SPF, DKIM et DMARC : ces enregistrements DNS sont cruciaux pour l'authentification des e-mails et la protection contre l'usurpation d'identité. Assurez-vous qu'ils sont correctement configurés pour tous vos domaines.
  • Politiques granulaires : créez des politiques anti-phishing personnalisées pour différents groupes d'utilisateurs, en particulier pour ceux à haut risque (par exemple, cadres, finances).
  • Augmentez le seuil de phishing : envisagez d'augmenter le seuil de phishing à 3 ou 4 dans les stratégies personnalisées pour une meilleure protection en surveillant les faux positifs.
  • Rapports de surveillance : examinez régulièrement les rapports de protection contre les menaces dans MDO pour identifier les tendances, les attaques ciblées et les domaines dans lesquels la protection peut être améliorée.
  • Intégrez à Defender for Endpoint : la protection des e-mails et la protection des points de terminaison fonctionnent ensemble pour une défense en couches. Si un utilisateur clique sur un lien malveillant, Defender for Endpoint peut aider à détecter et à corriger la menace sur l'appareil.

Dépannage courant

  • E-mails de phishing légitimes passant : vérifiez les paramètres de votre politique anti-phishing, en particulier les seuils de phishing et les actions en cas d'usurpation d'identité et d'usurpation d'identité. Assurez-vous que SPF, DKIM et DMARC sont correctement configurés. Consultez les journaux dans Threat Explorer.
  • Faux positifs (e-mails légitimes bloqués) : Ajustez les seuils de phishing à une valeur inférieure. Vérifiez les paramètres d’usurpation d’identité et d’usurpation d’identité. Ajoutez des expéditeurs ou des domaines de confiance à la liste des exceptions (si nécessaire, avec prudence).
  • Liens non réécrits ou pièces jointes non vérifiées : vérifiez que les stratégies Liens sécurisés et Pièces jointes sécurisées sont activées et attribuées aux utilisateurs appropriés. Confirmez que l'e-mail est acheminé via le MDO.
  • Problèmes de simulation d'attaque de formation : vérifiez que les utilisateurs de test sont inclus dans les groupes appropriés et qu'il n'existe aucune stratégie susceptible de bloquer les e-mails de simulation avant qu'ils n'atteignent les utilisateurs.

Conclusion

Microsoft Defender pour Office 365 est un outil puissant et indispensable dans la lutte contre le phishing. En configurant et en optimisant leurs politiques anti-phishing, de pièces jointes sécurisées et de liens sécurisés, les organisations peuvent établir une défense robuste contre un large éventail d'attaques malveillantes par courrier électronique. La combinaison d'une technologie avancée et d'une formation continue des utilisateurs crée une stratégie de sécurité à plusieurs niveaux qui protège efficacement les identités, les données et la réputation de l'entreprise. Une vigilance constante et une adaptation des politiques sont essentielles pour rester efficace contre les tactiques de phishing en constante évolution.

Références :

[1] Microsoft Apprendre. Microsoft Defender pour Office 365. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Apprendre. Politiques anti-phishing dans Microsoft Defender pour Office 365. Disponible sur : https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Apprendre. Exigences de licence Microsoft Defender pour Office 365. Disponible sur : [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)