Phishing blokkeren met Defender voor Office 365

Phishing blokkeren met Defender voor Office 365

14/04/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en optimaliseren van Microsoft Defender voor Office 365 (MDO) om phishing-aanvallen effectief te blokkeren. Phishing blijft een van de meest voorkomende en gevaarlijke cyberdreigingen, met als doel inloggegevens te stelen, malware te installeren of slachtoffers te misleiden om vertrouwelijke informatie vrij te geven. MDO biedt een robuust pakket antiphishing-functies die verder gaan dan de basisbescherming van Exchange Online Protection (EOP) en geavanceerde bescherming bieden tegen geavanceerde aanvallen [1].

Introductie

Phishing-aanvallen zijn geëvolueerd van generieke e-mails naar zeer gerichte en overtuigende campagnes die bekend staan als spear-phishing, whaling en zakelijke e-mailcompromis (BEC). Deze tactieken maken misbruik van het menselijk vertrouwen en kunnen de traditionele verdedigingsmechanismen omzeilen. Microsoft Defender voor Office 365 is ontworpen om deze geavanceerde bedreigingen te bestrijden door kunstmatige intelligentie, machinaal leren en gedragsanalyse te gebruiken om kwaadaardige e-mails te detecteren en te blokkeren voordat ze de inbox van gebruikers bereiken [2].

Deze praktische gids behandelt het configureren van antiphishingbeleid in MDO, inclusief bescherming tegen spoofing, mailboxintelligentie, bescherming tegen nabootsing van identiteit en beveiligde koppelingen en bijlagen. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden verstrekt, zodat de lezer de verdediging van zijn organisatie tegen phishing-aanvallen kan versterken en gebruikers kan voorlichten over best practices.

Waarom is Defender voor Office 365 essentieel tegen phishing?

  • Geavanceerde bescherming: gaat verder dan EOP en biedt detectie van zero-day-bedreigingen en polymorfe aanvallen.
  • Bedreigingsinformatie: maakt gebruik van de uitgebreide dreigingsinformatie van Microsoft om opkomende aanvalsvectoren en -patronen te identificeren.
  • Gedragsanalyse: analyseert het gedrag van e-mails en URL's om afwijkingen te identificeren die op phishing duiden.
  • Beveiliging tegen nabootsing van identiteit: beschermt tegen e-mails waarin wordt geprobeerd de identiteit van vertrouwde leidinggevenden, merken of partners na te bootsen.
  • Beveiligde koppelingen en bijlagen: scant URL's en bijlagen in realtime op het moment dat u erop klikt of opent, en beschermt tegen schadelijke inhoud.
  • Zichtbaarheid en rapportage: Biedt gedetailleerde rapportage- en onderzoekshulpmiddelen om phishing-aanvallen te begrijpen en erop te reageren.

Vereisten

Om het antiphishingbeleid in Microsoft Defender voor Office 365 te configureren en optimaliseren, hebt u de volgende items nodig:

  1. Licenties: een licentie die Microsoft Defender voor Office 365 Plan 1 of Plan 2 omvat. Deze maakt meestal deel uit van pakketten zoals Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, of kan als add-on worden aangeschaft [3].
  2. Beheerderstoegang: een account met machtigingen voor Beveiligingsbeheerder of Compliancebeheerder in de Microsoft 365 Defender-portal (https://security.microsoft.com).
  3. Geverifieerde domeinen: uw e-maildomeinen moeten worden geconfigureerd en geverifieerd in Microsoft 365.
  4. E-mail DNS Records: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting, and Conformance) moeten correct worden geconfigureerd voor uw domeinen. Dit is van cruciaal belang voor de bescherming tegen spoofing en nabootsing van identiteit.

Stap voor stap: antiphishingbeleid configureren in MDO

Laten we een aangepast antiphishingbeleid configureren om uw gebruikers te beschermen.

1. Toegang tot de Microsoft 365 Defender Portal

  1. Open uw browser en navigeer naar https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.

2. Een aangepast antiphishingbeleid opstellen

Hoewel MDO een standaard antiphishingbeleid heeft, wordt het ten zeerste aanbevolen om aangepast beleid te maken voor specifieke gebruikersgroepen (bijvoorbeeld leidinggevenden en gebruikers met een hoog risico) en om de beveiligingsinstellingen aan te passen.

  1. Selecteer in het linkernavigatievenster E-mail en samenwerking > Beleid en regels > Bedreigingsbeleid.
  2. Klik in het gedeelte Beleid op Antiphishing.
  3. Klik op Maken om de nieuwe beleidswizard te starten.

Stap 1: Geef het beleid een naam

  1. Naam: `AntiphishingbeleidMaatwerk - Leidinggevenden' (of een beschrijvende naam voor uw doelgroep).
  2. Beschrijving: Geavanceerde phishing-bescherming voor leidinggevenden en gebruikers met een hoog risico.
  3. Klik op Volgende.

Stap 2: Gebruikers, groepen en domeinen

  1. Gebruikers, groepen of domeinen: Selecteer de gebruikers of groepen waarop dit beleid van toepassing is. Selecteer voor dit voorbeeld een beveiligingsgroep die uw leidinggevenden bevat.
    • Tip: Begin met een kleine testgroep voordat je je aanmeldt voor de hele organisatie.
  2. Deze gebruikers, groepen en domeinen uitsluiten: (Optioneel) Voeg alle entiteiten toe die moeten worden uitgesloten van dit beleid.
  3. Klik op Volgende.

Stap 3: Drempel voor phishing en imitatie

In deze sectie kunt u het beschermingsniveau tegen phishing en nabootsing van identiteit configureren.

  1. Phishingdrempel: het wordt aanbevolen om een ​​waarde van 3 of 4 in te stellen (standaard is 1). Hogere waarden bieden meer bescherming, maar kunnen het aantal valse positieven vergroten.
  2. Gebruikers inschakelen om te beschermen: klik op Gebruiker toevoegen en voeg de e-mailadressen toe van de leidinggevenden of belangrijke mensen die u wilt beschermen tegen nabootsing van identiteit (bijvoorbeeld CEO, CFO). MDO zal actief toezicht houden op e-mails waarin wordt geprobeerd zich voor te doen als deze mensen.
  3. Schakel domeinen in om te beschermen: Klik op Domein toevoegen en voeg uw eigen domeinen toe (bijvoorbeeld uwbedrijf.com). Dit beschermt tegen interne en externe domeinspoofing.
  4. Acties: Acties instellen voor berichten die als imitatie worden gedetecteerd:
    • Als het bericht wordt gedetecteerd als nabootsing van een gebruiker: Bericht in quarantaine plaatsen of Bericht verplaatsen naar de map Ongewenste e-mail van de ontvanger.
    • Als het bericht wordt gedetecteerd als domeinimitatie: Het bericht in quarantaine plaatsen.
    • Tip: Begin met 'Verplaats bericht naar de map Ongewenste e-mail van de ontvanger' of 'Quarantaine' om te voorkomen dat legitieme e-mails verloren gaan.
  5. Mailbox Intelligence: Zorg ervoor dat deze op Aan staat. Hierdoor kan MDO machine learning-intelligentie gebruiken om normale communicatiepatronen voor elke gebruiker te bepalen en afwijkingen te detecteren.
  6. Spoofing-beveiliging: Zorg ervoor dat deze Aan is en stel de actie voor niet-geverifieerde spoofing-berichten in op 'Verplaats bericht naar de map Ongewenste e-mail van de ontvanger' of 'Het bericht in quarantaine plaatsen'.
  7. Klik op Volgende.

Stap 4: Beoordeling

  1. Controleer alle beleidsinstellingen.
  2. Klik op Maken.

3. Veilige bijlagen configureren

Secure Attachments beschermt tegen zero-day-malware door bijlagen te openen in een gevirtualiseerde omgeving (sandbox) voordat ze aan gebruikers worden afgeleverd.

  1. Selecteer in het linkernavigatievenster E-mail en samenwerking > Beleid en regels > Bedreigingsbeleid.
  2. Klik in het gedeelte Beleid op Beveiligde bijlagen.
  3. Klik op Maken.
  4. Naam: Beleid voor veilige bijlagen.
  5. Beschrijving: Scant e-mailbijlagen in een sandbox om te beschermen tegen zero-day malware.
  6. Beveiligde bijlage Malware-reactie: Selecteer 'Blokkeren'.
  7. Gedetecteerde bijlagen omleiden: (Optioneel) U kunt bijlagen omleiden naar een beveiligingsmailbox voor verdere analyse.
  8. Toepassen op: Selecteer Gebruikers, Groepen of Domeinen en voeg uw relevante gebruikers of groepen toe.
  9. Klik op Maken.

4. Veilige koppelingen configureren

Safe Links herschrijft URL's in e-mails en documenten om hun reputatie in realtime te controleren op het moment van klikken, en beschermt zo tegen kwaadaardige links.

  1. Selecteer in het linkernavigatievenster E-mail en samenwerking > Beleid en regels > Bedreigingsbeleid.
  2. Klik in het gedeelte Beleid op Beveiligde koppelingen.
  3. Klik op Maken.
  4. Naam: Beleid voor veilige links.
  5. Beschrijving: Beschermt tegen kwaadaardige URL's in e-mails en documenten.
  6. Beveiligde koppelingen toepassen op e-mailberichten: zorg ervoor dat dit Ingeschakeld is.
  7. Beveiligde koppelingen toepassen op inhoud in Office 365-apps: zorg ervoor dat dit Ingeschakeld is.
  8. Acties: Configureer acties voor geblokkeerde URL's (bijvoorbeeld Blokkeer kwaadaardige URL's).
  9. Herschrijf de volgende URL's niet: (Optioneel) Voeg interne of vertrouwde URL's toe die niet herschreven mogen worden.
  10. Toepassen op: Selecteer Gebruikers, Groepen of Domeinen en voeg uw relevante gebruikers of groepen toe.
  11. Klik op Maken.

Validatie en testen

Het valideren van de effectiviteit van het antiphishingbeleid is van cruciaal belang om ervoor te zorgen dat de bescherming werkt zoals verwacht.

1. Aanvalsimulatietraining gebruiken

MDO bevat een simulatietool voor phishing-aanvallen waarmee u de veerkracht van gebruikers en de effectiviteit van uw beleid kunt testen.

  1. Ga in de Microsoft 365 Defender-portal naar E-mail en samenwerking > Trainingsaanvalsimulatie.
  2. Klik op Een simulatie starten.
  3. Volg de wizard om een ​​gesimuleerde phishing-campagne te maken en te lanceren voor een groep testgebruikers.
  4. Controleer de resultaten om te zien hoeveel gebruikers zijn gehackt en of het MDO-beleid de gesimuleerde phishing-e-mails heeft onderschept.

2. Beveiligingslogboeken controleren

  1. Ga in de Microsoft 365 Defender-portal naar E-mail en samenwerking > Verkenner.
  2. Gebruik filters om te zoeken naar e-mails met 'Phishing'-, 'Spoof'- of 'Malware'-uitspraken om te zien of het beleid schadelijke e-mails detecteert.

3. Veilige koppelingen en bijlagen testen

Stuur een test-e-mail met een bekende kwaadaardige link (bijvoorbeeld van een beveiligde phishing-testsite) of een malware-testbestand (bijvoorbeeld EICAR) naar een beschermde gebruiker en controleer of MDO de link herschrijft of de bijlage blokkeert.

Beveiligingstips en best practices

  • Gebruikerseducatie: de belangrijkste verdedigingslinie. Train gebruikers regelmatig in het herkennen en rapporteren van phishing-e-mails. Gebruik de trainingsaanvalsimulatie om het leerproces te versterken.
  • SPF, DKIM en DMARC instellen: deze DNS-records zijn cruciaal voor e-mailauthenticatie en bescherming tegen spoofing. Zorg ervoor dat ze correct zijn geconfigureerd voor al uw domeinen.
  • Gedetailleerd beleid: Creëer gepersonaliseerd anti-phishing-beleid voor verschillende gebruikersgroepen, vooral voor degenen die een hoog risico lopen (bijvoorbeeld leidinggevenden, financiën).
  • Verhoog de phishing-drempel: overweeg om de phishing-drempel te verhogen naar 3 of 4 in aangepast beleid voor een betere bescherming door te controleren op valse positieven.
  • Monitorrapporten: bekijk regelmatig rapporten over bedreigingsbescherming in MDO om trends, gerichte aanvallen en gebieden te identificeren waar de bescherming kan worden verbeterd.
  • Integreren met Defender for Endpoint: e-mailbeveiliging en eindpuntbeveiliging werken samen voor een gelaagde verdediging. Als een gebruiker op een kwaadaardige link klikt, kan Defender for Endpoint helpen de bedreiging op het apparaat te detecteren en te verhelpen.

Algemene probleemoplossing

  • Legitieme phishing-e-mails komen door: Controleer uw anti-phishing-beleidsinstellingen, met name de phishing-drempels en acties voor nabootsing van identiteit en spoofing. Zorg ervoor dat SPF, DKIM en DMARC correct zijn geconfigureerd. Bekijk de logboeken in Threat Explorer.
  • False positives (legitieme e-mails geblokkeerd): Stel de phishing-drempels in op een lagere waarde. Controleer de instellingen voor nabootsing van identiteit en spoofing. Voeg vertrouwde afzenders of domeinen toe aan de lijst met uitzonderingen (indien nodig, met de nodige voorzichtigheid).
  • Onherschreven links of niet-geverifieerde bijlagen: controleer of het beleid voor veilige links en veilige bijlagen is ingeschakeld en aan de juiste gebruikers is toegewezen. Controleer of de e-mail via de MDO wordt doorgestuurd.
  • Problemen met simulatie van trainingsaanvallen: controleer of testgebruikers in de juiste groepen zijn opgenomen en of er geen beleid is dat simulatie-e-mails blokkeert voordat ze gebruikers bereiken.

Conclusie

Microsoft Defender voor Office 365 is een krachtig en onmisbaar hulpmiddel in de strijd tegen phishing. Door hun antiphishing-, veilige bijlagen- en veilige links-beleid te configureren en optimaliseren, kunnen organisaties een robuuste verdediging opzetten tegen een breed scala aan kwaadaardige e-mailaanvallen. Door geavanceerde technologie te combineren met voortdurende gebruikerseducatie ontstaat een gelaagde beveiligingsstrategie die de identiteit, gegevens en reputatie van het bedrijf effectief beschermt. Voortdurende waakzaamheid en beleidsaanpassing zijn essentieel om effectief te blijven tegen de steeds evoluerende phishing-tactieken.

Referenties:

[1] Microsoft Leer. Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Leer. Antiphishingbeleid in Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Leer. Microsoft Defender voor Office 365-licentievereisten. Beschikbaar op: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)