Как заблокировать фишинг с помощью Защитника для Office 365

Как заблокировать фишинг с помощью Защитника для Office 365

14.04.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам настроить и оптимизировать Microsoft Defender для Office 365 (MDO) для эффективного блокирования фишинговых атак. Фишинг остается одной из наиболее распространенных и опасных киберугроз, цель которой – украсть учетные данные, установить вредоносное ПО или обманом заставить жертву раскрыть конфиденциальную информацию. MDO предлагает надежный набор антифишинговых функций, выходящих за рамки базовой защиты Exchange Online Protection (EOP), обеспечивая расширенную защиту от сложных атак [1].

Введение

Фишинговые атаки превратились из обычных электронных писем в целенаправленные и убедительные кампании, известные как целевой фишинг, китобойная атака и компрометация деловой электронной почты (BEC). Эта тактика эксплуатирует человеческое доверие и может обойти традиционную защиту. Microsoft Defender для Office 365 предназначен для борьбы с этими сложными угрозами с помощью искусственного интеллекта, машинного обучения и анализа поведения для обнаружения и блокировки вредоносных электронных писем до того, как они достигнут почтовых ящиков пользователей [2].

В этом практическом руководстве будет рассмотрена настройка политик защиты от фишинга в MDO, включая защиту от спуфинга, анализ почтовых ящиков, защиту от выдачи себя за другое лицо, а также безопасные ссылки и вложения. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог укрепить защиту своей организации от фишинговых атак и обучить пользователей передовому опыту.

Почему Защитник для Office 365 необходим для защиты от фишинга?

  • Расширенная защита: выходит за рамки EOP, обеспечивая обнаружение угроз нулевого дня и полиморфных атак.
  • Аналитика угроз: использует обширный анализ угроз Microsoft для выявления новых векторов и моделей атак.
  • Поведенческий анализ: анализирует поведение электронных писем и URL-адресов для выявления аномалий, указывающих на фишинг.
  • Защита от выдачи себя за другое лицо: защищает от электронных писем, в которых пытаются выдать себя за доверенных руководителей, бренды или партнеров.
  • Безопасные ссылки и вложения: сканирует URL-адреса и вложения в режиме реального времени во время щелчка или открытия, защищая от вредоносного контента.
  • Видимость и отчетность: предоставляет подробные инструменты отчетности и расследования для понимания фишинговых атак и реагирования на них.

Предварительные условия

Чтобы настроить и оптимизировать политики защиты от фишинга в Microsoft Defender для Office 365, вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая Microsoft Defender для Office 365, план 1 или план 2. Обычно она входит в состав таких пакетов, как Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5, или может быть приобретена как надстройка [3].
  2. Административный доступ: учетная запись с разрешениями администратора безопасности или администратора соответствия требованиям на портале Microsoft 365 Defender (https://security.microsoft.com).
  3. Проверенные домены. Ваши домены электронной почты должны быть настроены и проверены в Microsoft 365.
  4. DNS-записи электронной почты: SPF (структура политики отправителей), DKIM (почта, идентифицируемая ключами домена) и DMARC (проверка подлинности сообщений, отчетность и соответствие на основе домена) должны быть правильно настроены для ваших доменов. Это критически важно для защиты от подмены и подмены.

Шаг за шагом: настройка политик защиты от фишинга в MDO

Давайте настроим специальную политику защиты от фишинга для защиты ваших пользователей.

1. Доступ к порталу Защитника Microsoft 365

  1. Откройте браузер и перейдите по адресу https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.

2. Создание собственной политики защиты от фишинга

Хотя MDO имеет политику защиты от фишинга по умолчанию, настоятельно рекомендуется создать собственные политики для определенных групп пользователей (например, руководителей, пользователей с высоким уровнем риска) и настроить параметры защиты.

  1. На левой панели навигации выберите Электронная почта и совместная работа > Политики и правила > Политики угроз.
  2. В разделе Политики нажмите Антифишинг.
  3. Нажмите Создать, чтобы запустить мастер новой политики.

Шаг 1. Назовите политику

  1. Название: «Политика защиты от фишинга».Пользовательское — Руководители (или описательное название вашей целевой группы).
  2. Описание: «Расширенная защита от фишинга для руководителей и пользователей с высоким уровнем риска».
  3. Нажмите Далее.

Шаг 2: Пользователи, группы и домены

  1. Пользователи, группы или домены: выберите пользователей или группы, к которым будет применяться эта политика. В этом примере выберите группу безопасности, в которую входят ваши руководители.
    • Совет. Прежде чем подавать заявку на всю организацию, начните с небольшой тестовой группы.
  2. Исключите этих пользователей, группы и домены: (необязательно) Добавьте любые объекты, которые следует исключить из этой политики.
  3. Нажмите Далее.

Шаг 3. Порог фишинга и порог выдачи себя за другое лицо

В этом разделе можно настроить уровень защиты от фишинга и выдачи себя за другое лицо.

  1. Порог фишинга: рекомендуется установить значение «3» или «4» (по умолчанию — 1). Более высокие значения обеспечивают большую защиту, но могут увеличить количество ложных срабатываний.
  2. Включить защиту пользователей. Нажмите Добавить пользователя и добавьте адреса электронной почты руководителей или ключевых людей, которых вы хотите защитить от выдачи себя за другое лицо (например, генерального директора, финансового директора). MDO будет активно отслеживать электронные письма, в которых пытаются выдать себя за этих людей.
  3. Включить защиту доменов. Нажмите Добавить домен и добавьте свои собственные домены (например, «yourcompany.com»). Это защищает от внутреннего и внешнего подмены домена.
  4. Действия: установите действия для сообщений, обнаруженных как выдача себя за другое лицо:
    • Если сообщение обнаружено как выдача себя за пользователя: Поместить сообщение в карантин или Переместить сообщение в папку нежелательной почты получателя.
    • Если сообщение обнаружено как олицетворение домена: Поместить сообщение в карантин.
    • Совет. Чтобы не потерять подлинные электронные письма, начните с пункта «Переместить сообщение в нежелательную почту получателя» или «Карантин».
  5. Интеллект почтового ящика: убедитесь, что он включен Вкл.. Это позволяет MDO использовать интеллект машинного обучения для определения нормальных моделей общения для каждого пользователя и обнаружения аномалий.
  6. Защита от спуфинга: убедитесь, что он включен Включено, и установите для неаутентифицированных спуфинговых сообщений действие «Переместить сообщение в папку нежелательной почты получателя» или «Поместить сообщение в карантин».
  7. Нажмите Далее.

Шаг 4: Обзор

  1. Просмотрите все параметры политики.
  2. Нажмите Создать.

3. Настройка безопасных вложений

Secure Attachments защищает от вредоносных программ нулевого дня, открывая вложения в виртуализированной среде (песочнице) перед их доставкой пользователям.

  1. На левой панели навигации выберите Электронная почта и совместная работа > Политики и правила > Политики угроз.
  2. В разделе Политики нажмите Безопасные вложения.
  3. Нажмите Создать.
  4. Название: Политика безопасных вложений.
  5. Описание: Сканирует вложения электронной почты в изолированной среде для защиты от вредоносных программ нулевого дня.
  6. Действие по реагированию на вредоносное ПО с защищенным вложением: выберите «Блокировать».
  7. Перенаправить обнаруженные вложения: (Необязательно) Вы можете перенаправить вложения в защищенный почтовый ящик для дальнейшего анализа.
  8. Применить к: выберите Пользователи, группы или домены и добавьте соответствующих пользователей или группы.
  9. Нажмите Создать.

4. Настройка безопасных ссылок

Safe Links перезаписывает URL-адреса в электронных письмах и документах, проверяя их репутацию в режиме реального времени в момент клика, защищая от вредоносных ссылок.

  1. На левой панели навигации выберите Электронная почта и совместная работа > Политики и правила > Политики угроз.
  2. В разделе Политики нажмите Безопасные ссылки.
  3. Нажмите Создать.
  4. Название: Политика безопасных ссылок.
  5. Описание: Защищает от вредоносных URL-адресов в электронных письмах и документах.
  6. Применять защищенные ссылки к сообщениям электронной почты. Убедитесь, что этот параметр Включен.
  7. Применять защищенные ссылки к содержимому в приложениях Office 365. Убедитесь, что этот параметр Включен.
  8. Действия: настройте действия для заблокированных URL-адресов (например, «Блокировать вредоносные URL-адреса»).
  9. Не перезаписывайте следующие URL-адреса: (Необязательно) Добавьте внутренние или доверенные URL-адреса, которые не следует перезаписывать.
  10. Применить к: выберите Пользователи, группы или домены и добавьте соответствующих пользователей или группы.
  11. Нажмите Создать.

Проверка и тестирование

Проверка эффективности политик защиты от фишинга имеет решающее значение для обеспечения правильной работы защиты.

1. Использование обучения моделированию атак

MDO включает в себя инструмент моделирования фишинговых атак, который позволяет вам проверить устойчивость пользователей и эффективность ваших политик.

  1. На портале Защитника Microsoft 365 перейдите в раздел Электронная почта и совместная работа > Обучающее моделирование атаки.
  2. Нажмите Начать моделирование.
  3. Следуйте указаниям мастера, чтобы создать и запустить симулированную фишинговую кампанию для группы тестовых пользователей.
  4. Отслеживайте результаты, чтобы узнать, сколько пользователей было скомпрометировано и перехватили ли политики MDO симулированные фишинговые электронные письма.

2. Проверка журналов защиты

  1. На портале Защитника Microsoft 365 перейдите в раздел Электронная почта и совместная работа > Проводник.
  2. Используйте фильтры для поиска электронных писем с вердиктами «Фишинг», «Подделка» или «Вредоносное ПО», чтобы проверить, обнаруживают ли политики вредоносные электронные письма.

3. Тестирование безопасных ссылок и вложений

Отправьте тестовое электронное письмо с известной вредоносной ссылкой (например, с защищенного сайта для тестирования фишинга) или тестовым файлом вредоносного ПО (например, EICAR) защищенному пользователю и проверьте, перезаписывает ли MDO ссылку или блокирует вложение.

Советы и рекомендации по безопасности

  • Обучение пользователей: самая важная линия защиты. Регулярно обучайте пользователей распознавать фишинговые электронные письма и сообщать о них. Используйте моделирование тренировочной атаки, чтобы закрепить обучение.
  • Настройте SPF, DKIM и DMARC. Эти записи DNS имеют решающее значение для аутентификации электронной почты и защиты от спуфинга. Убедитесь, что они настроены правильно для всех ваших доменов.
  • Детальные политики: создавайте персонализированные политики защиты от фишинга для различных групп пользователей, особенно для тех, кто подвергается высокому риску (например, руководители, финансисты).
  • Увеличение порога фишинга. Рассмотрите возможность увеличения порога фишинга до 3 или 4 в настраиваемых политиках для большей защиты за счет мониторинга ложных срабатываний.
  • Отчеты мониторинга. Регулярно просматривайте отчеты о защите от угроз в MDO, чтобы выявлять тенденции, целевые атаки и области, где защиту можно улучшить.
  • Интеграция с Defender for Endpoint: защита электронной почты и защита конечных точек работают вместе, обеспечивая многоуровневую защиту. Если пользователь нажимает вредоносную ссылку, Защитник для конечной точки может помочь обнаружить и устранить угрозу на устройстве.

Распространенное устранение неполадок

  • Проходят законные фишинговые электронные письма. Проверьте настройки политики защиты от фишинга, особенно пороговые значения фишинга и действия по выдаче себя за другое лицо и подделке. Убедитесь, что SPF, DKIM и DMARC настроены правильно. Просмотрите журналы в Threat Explorer.
  • Ложные срабатывания (законные электронные письма заблокированы): уменьшите пороговые значения фишинга. Проверьте настройки олицетворения и спуфинга. Добавьте доверенных отправителей или домены в список исключений (при необходимости соблюдайте осторожность).
  • Непереписанные ссылки или непроверенные вложения. Убедитесь, что политики безопасных ссылок и безопасных вложений включены и назначены нужным пользователям. Убедитесь, что электронная почта маршрутизируется через MDO.
  • Проблемы моделирования атак при обучении. Убедитесь, что тестовые пользователи включены в правильные группы и что не существует политик, которые могли бы блокировать электронные письма моделирования до того, как они достигнут пользователей.

Заключение

Microsoft Defender для Office 365 — мощный и незаменимый инструмент в борьбе с фишингом. Настраивая и оптимизируя политики защиты от фишинга, безопасных вложений и безопасных ссылок, организации могут создать надежную защиту от широкого спектра вредоносных атак по электронной почте. Сочетание передовых технологий с постоянным обучением пользователей создает многоуровневую стратегию безопасности, которая эффективно защищает идентификационные данные, данные и репутацию компании. Постоянная бдительность и адаптация политики необходимы для того, чтобы оставаться эффективными в борьбе с постоянно меняющимися тактиками фишинга.

Ссылки:

[1] Microsoft Learn. Защитник Microsoft для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Политики защиты от фишинга в Microsoft Defender для Office 365. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about. [3] Microsoft Learn. Требования к лицензированию Microsoft Defender для Office 365. Доступно по адресу: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)