Microsoft Defender voor Office 365 configureren voor geavanceerde bescherming tegen bedreigingen

Microsoft Defender voor Office 365 configureren voor geavanceerde bescherming tegen bedreigingen

01/12/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en optimaliseren van Microsoft Defender voor Office 365 (MDO), een robuuste oplossing voor geavanceerde bescherming tegen e-mail- en samenwerkingsbedreigingen. In een scenario waarin e-mail de belangrijkste vector blijft voor cyberaanvallen zoals phishing, malware en spam, biedt MDO essentiële verdedigingslagen om gebruikers en de organisatie te beschermen [1].

Introductie

E-mail is een onmisbaar communicatiemiddel, maar ook een frequent toegangspunt voor cyberdreigingen. Phishing-aanvallen, ransomware geleverd via kwaadaardige bijlagen, zakelijke e-mailcompromis (BEC) en spoofing zijn veel voorkomende tactieken die erop gericht zijn het vertrouwen van gebruikers te misbruiken en traditionele verdedigingsmechanismen te omzeilen. Microsoft Defender voor Office 365 (voorheen bekend als Office 365 Advanced Threat Protection - ATP) is een cloudgebaseerd beveiligingspakket dat is ontworpen om bescherming te bieden tegen deze geavanceerde bedreigingen en functies biedt zoals veilige bijlagen, veilige koppelingen, antiphishing, antispoofing en antimalwarebescherming [2].

Deze praktische gids behandelt de stapsgewijze configuratie van de belangrijkste functies van MDO, inclusief het creëren van beleid voor veilige bijlagen, veilige links, antiphishing en antimalware. Er worden gedetailleerde instructies, praktische voorbeelden en daadwerkelijke opdrachten (indien van toepassing) verstrekt, zodat de lezer de effectiviteit van deze beveiligingen kan implementeren, testen en valideren. Daarnaast worden beveiligingstips, compliance-checks en best practices besproken om ervoor te zorgen dat uw organisatie autonoom, professioneel en betrouwbaar wordt beschermd tegen de nieuwste bedreigingen.

Waarom is Microsoft Defender voor Office 365 cruciaal?

  • Geavanceerde bescherming tegen bedreigingen: Verdedigt tegen geavanceerde aanvallen zoals gerichte phishing, ransomware, zero-day malware en zakelijke e-mailcompromis (BEC) die traditionele verdedigingsmechanismen mogelijk niet detecteren.
  • Veilige bijlagen: opent e-mailbijlagen in een virtuele sandbox-omgeving om te controleren of ze schadelijk zijn voordat ze aan gebruikers worden afgeleverd, ter bescherming tegen onbekende malware.
  • Veilige links: herschrijft URL's in e-mails en documenten om hun veiligheid te verifiëren op het moment van klikken, waardoor gebruikers worden beschermd tegen kwaadaardige links, zelfs als de oorspronkelijke URL veilig was op het moment van levering.
  • Antiphishing- en antispoofingbescherming: maakt gebruik van machine-intelligentie en geavanceerde heuristieken om phishing-e-mails en spoofing-pogingen te identificeren en te blokkeren.
  • Rapportage en analyse: Biedt gedetailleerd inzicht in gedetecteerde bedreigingen, waardoor beveiligingsteams incidenten kunnen onderzoeken en beleid indien nodig kunnen aanpassen.
  • Microsoft 365-integratie: integreert automatisch met Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams en biedt uitgebreide bescherming voor het hele samenwerkingsecosysteem.

Vereisten

Om Microsoft Defender voor Office 365 te configureren, hebt u de volgende items nodig:

  1. Licenties: MDO is inbegrepen in licenties zoals Microsoft 365 E5, Office 365 E5, Microsoft 365 E5 Security, of kan worden aangeschaft als add-on voor andere Microsoft 365/Office 365-abonnementen [3].
  2. Beheerderstoegang: een account met de rol van Global Administrator of Security Administrator in de Microsoft 365 Defender-portal (https://security.microsoft.com).
  3. Geconfigureerde domeinen: uw domeinen moeten worden geconfigureerd en gevalideerd in Microsoft 365, waarbij de MX-records verwijzen naar Exchange Online Protection (EOP).

Stap voor stap: Microsoft Defender voor Office 365 configureren

Laten we geavanceerd beveiligingsbeleid configureren in MDO.

1. Toegang tot de Microsoft 365 Defender Portal

Alle MDO-instellingen worden beheerd vanuit de uniforme Microsoft 365 Defender-portal.

  1. Open uw browser en navigeer naar de Microsoft 365 Defender-portal: https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Selecteer in het linkernavigatievenster E-mail en samenwerking > Beleid en regels > Bedreigingsbeleid.

2. Beleid voor veilige bijlagen configureren(Veilige bijlagen)

Beleid voor veilige bijlagen beschermt tegen zero-day-malware in e-mailbijlagen.

  1. Selecteer op de pagina 'Bedreigingsbeleid' Veilige bijlagen.
  2. Klik op +Maken om de nieuwe beleidswizard voor veilige bijlagen te starten.
  3. Beleidsnaam: geef een betekenisvolle naam (bijvoorbeeld: 'Global Secure Attachment Policy').
  4. Beschrijving: Geef een duidelijke beschrijving (bijvoorbeeld 'Bescherming tegen kwaadaardige bijlagen voor alle gebruikers').

  5. Klik op Volgende.

  6. Gebruikers, groepen en domeinen:

    • Onder Gebruikers en groepen selecteert u Alle gebruikers of voegt u specifieke gebruikers/groepen toe. Voor uitgebreide bescherming wordt 'Alle gebruikers' aanbevolen.
    • Onder Domeinen selecteert u Alle domeinen of specifieke domeinen.

  7. Klik op Volgende.

  8. Instellingen:

    • Veilige bijlagen Malware-reactieactie: Selecteer 'Blokkeren'.
      • Uitleg: Dit is de veiligste actie omdat e-mails met gedetecteerde kwaadaardige bijlagen worden geblokkeerd.
    • Gedetecteerde bijlagen omleiden: Optioneel kunt u kwaadaardige bijlagen omleiden naar een beveiligd e-mailadres voor analyse.
    • Prioriteit: laat de standaardwaarde staan ​​of stel een prioriteit in als u meerdere beleidsregels heeft.

  9. Klik op Volgende.

  10. Controleren: Controleer de instellingen en klik op 'Verzenden' om het beleid te maken.

3. Het beleid voor veilige links configureren

Beleid voor veilige koppelingen beschermt tegen schadelijke URL's in e-mails en andere Microsoft 365-apps.

  1. Selecteer op de pagina 'Bedreigingsbeleid' Veilige koppelingen.
  2. Klik op +Maken om de nieuwe Safe Links-beleidswizard te starten.
  3. Beleidsnaam: Geef een betekenisvolle naam (bijvoorbeeld: Global Safe Links Policy).
  4. Beschrijving: Geef een duidelijke beschrijving (bijvoorbeeld 'Bescherming tegen kwaadaardige URL's voor alle gebruikers').

  5. Klik op Volgende.

  6. Gebruikers, groepen en domeinen:

    • Onder Gebruikers en groepen selecteert u Alle gebruikers of voegt u specifieke gebruikers/groepen toe.
    • Onder Domeinen selecteert u Alle domeinen of specifieke domeinen.

  7. Klik op Volgende.

  8. URL- en klikbeveiligingsinstellingen:

    • Selecteer actie voor potentieel kwaadaardige URL's: Selecteer 'Veilige links in e-mail inschakelen'.
    • Pas beveiligde links toe op e-mailberichten die binnen de organisatie worden verzonden: vink deze optie aan om interne links te beschermen.
    • Beveiligde koppelingen toepassen op URL's in ondersteunde Office 365-clients: vink deze optie aan om koppelingen te beveiligen in toepassingen zoals Teams, Word, Excel en PowerPoint.
    • Herschrijf URL's niet, maar voer controles via API alleen uit op veilige links: Schakel deze optie uit, omdat herschrijven cruciaal is voor de bescherming.
    • Blokkeer dat gebruikers op originele URL's klikken: vink deze optie aan om ervoor te zorgen dat gebruikers de verificatie niet kunnen omzeilen.
    • Verifieer de volgende URL's niet: Voeg optioneel vertrouwde URL's toe die niet herschreven of geverifieerd mogen worden (bijvoorbeeld de interne URL's van uw organisatie).

  9. Klik op Volgende.

  10. Controleren: Controleer de instellingen en klik op 'Verzenden' om het beleid te maken.

4. Antiphishingbeleid configureren

Antiphishingbeleid beschermt tegen spoofing en andere phishing-aanvallen.

  1. Selecteer op de pagina 'Bedreigingsbeleid' Antiphishing.
  2. Klik op '+Maken' om de nieuwe Anti-Phishing-beleidswizard te starten.
  3. Beleidsnaam: geef het een betekenisvolle naam (bijvoorbeeld 'Global Anti-Phishing Policy').
  4. Beschrijving: Geef een duidelijke beschrijving (bijvoorbeeld 'Phishing- en spoofingbescherming voor alle gebruikers').

  5. Klik op Volgende.

  6. Gebruikers, groepen en domeinen:

    • Onder Gebruikers, Groepen en Domeinen selecteert u respectievelijk Alle gebruikers, Alle groepen en Alle domeinen. Indien nodig kunt u ook enkele gebruikers of groepen uitsluiten.

  7. Klik op Volgende.

  8. Phishingdrempel en bescherming tegen nabootsing van identiteit:

    • Phishingdrempel: Stel het agressiviteitsniveau van de bescherming in. Voor de meeste organisaties wordt ‘Standaard’ of ‘Agressief’ aanbevolen.
    • Imitatie-intelligentie inschakelen: 'Ingeschakeld' houden.
    • Mailboxintelligentie inschakelen: Blijf Aan.
    • Bescherming tegen nabootsing van gebruikers inschakelen: Klik op '+Gebruiker toevoegen' om leidinggevende of waardevolle gebruikers te beschermen.
    • Beveiliging tegen nabootsing van domeinen inschakelen: klik op +Domein toevoegen om uw eigen domeinen en die van partners te beschermen.

  9. Klik op Volgende.

  10. Acties:

    • Berichten gedetecteerd als vervalsing: Selecteer 'Bericht naar ongewenste e-mail verplaatsen' of 'Bericht in quarantaine plaatsen'.
    • Berichten gedetecteerd als gebruikersimitatie: Selecteer 'Het bericht in quarantaine plaatsen'.
    • Berichten gedetecteerd als domeinimitatie: Selecteer 'Het bericht in quarantaine plaatsen'.
    • Berichten gedetecteerd als phishing: Selecteer 'Het bericht in quarantaine plaatsen'.

  11. Klik op Volgende.

  12. Controleren: Controleer de instellingen en klik op 'Verzenden' om het beleid te maken.

5. Antimalwarebeleid configureren

Antimalwarebeleid beschermt tegen schadelijke software in e-mails.

  1. Selecteer op de pagina 'Bedreigingsbeleid' Anti-Malware.
  2. U ziet een standaardbeleid (Standaard) dat van toepassing is op alle ontvangers. Voor aanpassingen kunt u een nieuw beleid maken of het standaardbeleid bewerken.
  3. Klik op '+ Maken' (of selecteer het beleid 'Standaard' en klik op 'Beveiliging bewerken').
  4. Beleidsnaam: geef het een naam (bijvoorbeeld: Aangepast antimalwarebeleid).
  5. Beschrijving: Geef een beschrijving op.

  6. Klik op Volgende.

  7. Gebruikers, groepen en domeinen:

    • Selecteer 'Alle ontvangers' of voeg specifieke gebruikers/groepen/domeinen toe.

  8. Klik op Volgende.

  9. Beveiligingsinstellingen:

    • Beveiligingssectie: Houd de opties 'Algemene bijlagefilter inschakelen' en 'Automatische zero-hour-verwijdering voor malware inschakelen' ingeschakeld.
    • Quarantainesectie: definieer hoe lang malwareberichten in quarantaine moeten worden bewaard (bijvoorbeeld 30 dagen).
    • Meldingssectie: Configureer meldingen voor beheerders en afzenders/ontvangers wanneer malware wordt gedetecteerd.

  10. Klik op Volgende.

  11. Controleren: Controleer de instellingen en klik op 'Verzenden' om het beleid aan te maken/bij te werken.

Validatie en testen

Het is van cruciaal belang om de effectiviteit van geconfigureerd beleid te testen om er zeker van te zijn dat het werkt zoals verwacht.

1. Veilige bijlagen testen

  1. Scenario: Stuur een e-mail vanaf een extern adres naar een interne gebruiker met een onschadelijk testbestand dat malware simuleert (bijvoorbeeld een EICAR-bestand, een antivirustestpatroon). U kunt vanaf verschillende beveiligingswebsites een EICAR-bestand genereren.
  2. Verwachte actie: de e-mail met het EICAR-bestand moet worden geblokkeerd of in quarantaine worden geplaatst, en de bijlage mag niet bij de gebruiker worden afgeleverd.
  3. Verificatie:
    • Navigeer in de Microsoft 365 Defender-portal naar E-mail en samenwerking > Verkenner (of Berichten bijhouden).
    • Zoek naar de test-e-mail. U zou moeten zien dat het is gedetecteerd en geblokkeerd door het beleid voor veilige bijlagen.

2. Veilige links testen

  1. Scenario: Stuur een e-mail vanaf een extern adres naar een interne gebruiker met een link naar een phishing-testsite (bijvoorbeeld http://www.phishtest.com of een link naar een malware-testsite). Zorg ervoor dat de link niet naar een echte website verwijst die schade zou kunnen veroorzaken.
  2. Verwachte actie: wanneer de gebruiker op de link klikt, wordt hij of zij doorgestuurd naar een waarschuwingspagina voor veilige links, waarin wordt geïnformeerd dat de site kwaadaardig of verdacht is, en moet de toegang worden geblokkeerd.
  3. Verificatie:
    • Navigeer in de Microsoft 365 Defender-portal naar E-mail en samenwerking > Verkenner.
    • Zoek naar de test-e-mail. U zou klikdetails voor de link moeten zien en dat deze werd geblokkeerd door Veilige links.

3. Antiphishing en antispoofing testen

  1. Scenario:
    • Spoofing: stuur een e-mail vanaf een extern adres dat het domein van uw organisatie vervalst (bijvoorbeeld '[email protected]' vanaf een ongeautoriseerde e-mailserver).
    • Imitatiephishing: stuur een e-mail vanaf een extern adres dat lijkt op het adres van een leidinggevende die wordt beschermd door het imitatiebeleid (bijvoorbeeld [email protected]).
  2. Verwachte actie: e-mails moeten worden verplaatst naar de quarantaine- of junkmap, zoals geconfigureerd in het antiphishingbeleid.
  3. Verificatie:
    • Controleer de quarantaine- of junkmap van de gebruiker.
    • Op het Micro-portaalsoft 365 Defender, navigeer naar E-mail en samenwerking > Verkenner.
    • Zoeken naar test-e-mails. U zou moeten zien dat ze zijn gedetecteerd en afgehandeld door het antiphishing-/antispoofingbeleid.

Beveiligingstips en best practices

  • Vooraf gedefinieerd beveiligingsbeleid: Overweeg het gebruik van het vooraf gedefinieerde beveiligingsbeleid (Standaard en Strikt) in MDO. Ze passen door Microsoft aanbevolen instellingen toe voor snelle en effectieve bescherming [4].
  • Gebruikerseducatie: technologie is slechts een deel van de oplossing. Train uw gebruikers regelmatig in het identificeren en rapporteren van phishing-e-mails en andere bedreigingen. Microsoft Attack Simulation Training kan hiervoor een waardevol hulpmiddel zijn.
  • Continu toezicht: Controleer rapporten en Bedreigingsverkenners regelmatig in de Microsoft 365 Defender-portal om aanvalstrends en gebruikers met een hoog risico te identificeren en indien nodig beleid aan te passen.
  • Uitzonderingen met voorzichtigheid: Gebruik uitzonderingen (bijvoorbeeld Controleer de volgende URL's niet in Veilige links) uiterst voorzichtig en alleen voor domeinen waarvan bewezen is dat ze veilig en noodzakelijk zijn.
  • Beleidsprioriteit: begrijp hoe beleidsprioriteit werkt. Meer specifiek beleid moet een hogere prioriteit hebben (kleiner aantal) en moet vóór meer algemeen beleid worden toegepast.
  • Integratie met Microsoft Sentinel: stuur MDO-logboeken en waarschuwingen naar Microsoft Sentinel voor een gecentraliseerd overzicht van de automatisering van beveiliging en incidentrespons.
  • Samenwerkingsbescherming: onthoud dat MDO niet alleen e-mails beschermt, maar ook bestanden in SharePoint, OneDrive en berichten in Teams. Zorg ervoor dat deze beveiligingen zijn ingeschakeld en geconfigureerd.

Algemene probleemoplossing

  • Schadelijke e-mails worden niet geblokkeerd:
    • Zorg ervoor dat het beleid 'Ingeschakeld' is en wordt toegepast op de juiste gebruikers/groepen/domeinen.
    • Controleer de prioriteit van het beleid. Mogelijk komt er eerder een minder agressief beleid met hogere prioriteit.
    • Gebruik Berichten bijhouden in het Exchange Admin Center (EAC) of Threat Explorer in de Microsoft 365 Defender-portal om te zien hoe een specifieke e-mail is verwerkt.
    • Controleer of er geen uitzonderingen zijn of lijsten toestaan ​​die bezorging toestaan.
  • False positives (legitieme e-mails geblokkeerd):
    • Onderzoek de e-mail in Threat Explorer om te begrijpen waarom deze is geblokkeerd.
    • Pas de beleidsgevoeligheid aan (bijvoorbeeld een minder agressieve phishing-drempel).
    • Zet vertrouwde afzenders of domeinen op de witte lijst, maar doe dit met de nodige voorzichtigheid.
    • Verzend de e-mail ter beoordeling door Microsoft om de detectie te verbeteren.
  • Links worden niet herschreven door Safe Links:
    • Controleer of het Safe Links-beleid 'Aan' is en wordt toegepast op de juiste gebruikers/groepen/domeinen.
    • Zorg ervoor dat 'URL's niet herschrijven, maar alleen API-controles uitvoeren op veilige links' is uitgeschakeld (tenzij bedoeld voor specifieke scenario's).
    • Zorg ervoor dat de link niet in een lijst met 'Niet verifiëren'-URL's staat.
  • Schadelijke bijlagen worden niet gedetecteerd:
    • Zorg ervoor dat het beleid voor veilige bijlagen 'Ingeschakeld' is en ingesteld op 'Blokkeren'.
    • Controleer het bestandstype. Veilige bijlagen richten zich op bestandstypen die uitvoerbare inhoud of scripts kunnen bevatten.

Conclusie

Microsoft Defender voor Office 365 is een krachtig en essentieel hulpmiddel om organisaties te beschermen tegen het steeds evoluerende landschap van op e-mail en samenwerking gebaseerde bedreigingen. Door het beleid voor veilige bijlagen, veilige links, antiphishing en antimalware zorgvuldig te implementeren en te optimaliseren, kunnen beveiligingsteams een robuuste verdediging opbouwen die gebruikers beschermt tegen geavanceerde aanvallen. De combinatie van geavanceerde detectie, geautomatiseerd herstel en diepgaande onderzoekstools stelt organisaties in staat de productiviteit op peil te houden en tegelijkertijd aanzienlijke risico’s te beperken. Met deze praktische gids zijn beveiligingsprofessionals goed toegerust om Microsoft Defender voor Office 365 te configureren, valideren en beheren, waardoor een veiligere en veerkrachtigere communicatie- en samenwerkingsomgeving voor hun organisaties wordt gegarandeerd.

Referenties:

[1] Microsoft Leer. Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/ [2] Microsoft Leer. Overzicht van de beveiligingsstack in Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] Microsoft Leer. Licentie van Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] Microsoft Leer. Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/recommended-settings-for-eop-and-office365 [5] Microsoft Leer. Configureer het beleid voor veilige bijlagen in Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] Microsoft Leer. Configureer het beleid voor veilige koppelingen in Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] Microsoft Leer. Antiphishingbeleid in Microsoft Defender voor Office 365. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo [8] Microsoft Leer. Configureer antimalwarebeleid in EOP. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide