如何使用 Office 365 Defender 阻止网络钓鱼

如何使用 Office 365 Defender 阻止网络钓鱼

2024年4月14日

此技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师配置和优化 Microsoft Defender for Office 365 (MDO),以有效阻止网络钓鱼攻击。网络钓鱼仍然是最普遍和最危险的网络威胁之一,旨在窃取凭据、安装恶意软件或诱骗受害者泄露机密信息。 MDO 提供了一套强大的反网络钓鱼功能,超越了基本的 Exchange Online Protection (EOP) 保护,提供了针对复杂攻击的高级防御 [1]。

简介

网络钓鱼攻击已从普通电子邮件发展为针对性强且令人信服的活动,称为鱼叉式网络钓鱼、捕鲸和商业电子邮件泄露 (BEC)。这些策略利用了人类的信任并可以绕过传统的防御。 Microsoft Defender for Office 365 旨在通过使用人工智能、机器学习和行为分析来对抗这些高级威胁,在恶意电子邮件到达用户收件箱之前检测并阻止它们 [2]。

本实用指南将涵盖在 MDO 中配置反网络钓鱼策略,包括欺骗防护、邮箱智能、模拟防护以及安全链接和附件。将提供分步说明、配置示例和验证方法,以便读者能够加强其组织对网络钓鱼攻击的防御并教育用户最佳实践。

为什么 Defender for Office 365 对于网络钓鱼至关重要?

  • 高级保护:超越 EOP,提供零日威胁和多态攻击检测。
  • 威胁情报:利用 Microsoft 庞大的威胁情报来识别新兴的攻击媒介和模式。
  • 行为分析:分析电子邮件和 URL 的行为以识别表明网络钓鱼的异常情况。
  • 假冒保护:防御试图冒充受信任的高管、品牌或合作伙伴的电子邮件。
  • 安全链接和附件:在单击或打开时实时扫描 URL 和附件,防止恶意内容。
  • 可见性和报告:提供详细的报告和调查工具,以了解和响应网络钓鱼攻击。

先决条件

要在 Microsoft Defender for Office 365 中配置和优化反网络钓鱼策略,您将需要以下项目:

  1. 许可:包含适用于 Office 365 计划 1 或计划 2 的 Microsoft Defender 的许可证。这通常是 Microsoft 365 E5 Security、Microsoft 365 E5、Office 365 E5 等软件包的一部分,也可以作为附加组件购买 [3]。
  2. 管理访问权限:在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 中具有安全管理员或合规管理员权限的帐户。
  3. 已验证的域:您的电子邮件域必须在 Microsoft 365 中配置和验证。
  4. 电子邮件 DNS 记录:必须为您的域正确配置 SPF(发件人策略框架)、DKIM(域密钥识别邮件)和 DMARC(基于域的消息身份验证、报告和一致性)。这对于防止欺骗和假冒至关重要。

分步:在 MDO 中配置反网络钓鱼策略

让我们配置自定义反网络钓鱼策略来保护您的用户。

1.访问 Microsoft 365 Defender 门户

  1. 打开浏览器并导航至“https://security.microsoft.com”。
  2. 使用具有必要权限的帐户登录。

2. 创建自定义反网络钓鱼策略

尽管 MDO 具有默认的反网络钓鱼策略,但强烈建议为特定用户组(例如高管、高风险用户)创建自定义策略并调整保护设置。

  1. 在左侧导航窗格中,选择电子邮件和协作 > 策略与规则 > 威胁策略
  2. 策略部分中,单击反网络钓鱼
  3. 单击“创建”启动新策略向导。

第 1 步:命名策略

  1. 名称反网络钓鱼政策自定义 - 高管(或目标群体的描述性名称)。
  2. 描述:“针对高管和高风险用户的高级网络钓鱼防护。”
  3. 单击下一步

步骤 2:用户、组和域

  1. 用户、组或域:选择要应用此策略的用户或组。对于本示例,选择包含您的主管的安全组。
    • 提示:先从一个小型测试组开始,然后再应用于整个组织。
  2. 排除这些用户、组和域:(可选)添加应从此策略中排除的任何实体。
  3. 单击下一步

步骤 3:网络钓鱼阈值和假冒阈值

此部分允许您配置针对网络钓鱼和假冒的防护级别。

  1. 网络钓鱼阈值:建议设置值“3”或“4”(默认为1)。较高的值提供更多保护,但可能会增加误报。
  2. 启用要保护的用户:单击 添加用户 并添加您想要防止被假冒的高管或关键人员(例如 CEO、CFO)的电子邮件地址。 MDO 将积极监控试图冒充这些人的电子邮件。
  3. 启用要保护的域:单击添加域并添加您自己的域(例如“yourcompany.com”)。这可以防止内部和外部域欺骗。
  4. 操作:为检测为假冒的消息设置操作:
    • 如果邮件被检测为用户模拟:“隔离邮件”或“将邮件移至收件人的垃圾邮件文件夹”。
    • 如果邮件被检测为域模拟:“隔离邮件”。
    • 提示:从“将邮件移至收件人的垃圾邮件”或“隔离”文件夹开始,以避免丢失合法电子邮件。
  5. 邮箱智能:确保其打开。这使得 MDO 能够使用机器学习智能来确定每个用户的正常通信模式并检测异常情况。
  6. 欺骗防护:确保其处于打开状态,并将针对未经身份验证的欺骗邮件的操作设置为“将邮件移至收件人的垃圾邮件文件夹”或“隔离邮件”。
  7. 单击“下一步”。

第 4 步:回顾

  1. 检查所有策略设置。
  2. 单击“创建”。

3. 配置安全附件

安全附件通过在将附件交付给用户之前在虚拟化环境(沙箱)中打开附件来防止零日恶意软件。

  1. 在左侧导航窗格中,选择电子邮件和协作 > 策略与规则 > 威胁策略
  2. 策略部分中,单击安全附件
  3. 单击“创建”。
  4. 名称安全附件策略
  5. 描述:“扫描沙盒电子邮件附件以防范零日恶意软件。”
  6. 安全附件恶意软件响应操作:选择“阻止”。
  7. 重定向检测到的附件:(可选)您可以将附件重定向到安全邮箱以进行进一步分析。
  8. 应用到:选择用户、组或域并添加您的相关用户或组。
  9. 单击“创建”。

4. 配置安全链接

安全链接会重写电子邮件和文档中的 URL,以便在单击时实时检查其信誉,从而防止恶意链接。

  1. 在左侧导航窗格中,选择电子邮件和协作 > 策略与规则 > 威胁策略
  2. 策略部分中,单击安全链接
  3. 单击“创建”。
  4. 名称安全链接政策
  5. 描述:“防止电子邮件和文档中的恶意 URL。”
  6. 将安全链接应用于电子邮件:确保此选项已启用
  7. 将安全链接应用于 Office 365 应用程序中的内容:确保此选项已启用
  8. 操作:配置阻止 URL 的操作(例如“阻止恶意 URL”)。
  9. 不要重写以下 URL:(可选)添加不应重写的内部或可信 URL。
  10. 应用到:选择用户、组或域并添加您的相关用户或组。
  11. 单击“创建”。

验证和测试

验证反网络钓鱼策略的有效性对于确保保护按预期发挥作用至关重要。

1.使用攻击模拟训练

MDO 包括网络钓鱼攻击模拟工具,可让您测试用户的弹性和策略的有效性。

  1. 在 Microsoft 365 Defender 门户中,转到 电子邮件和协作 > 训练攻击模拟
  2. 单击开始模拟
  3. 按照向导创建并向一组测试用户发起模拟网络钓鱼活动。
  4. 监控结果以查看有多少用户受到威胁以及 MDO 策略是否拦截了模拟的网络钓鱼电子邮件。

2.检查保护日志

  1. 在 Microsoft 365 Defender 门户中,转到 电子邮件和协作 > 资源管理器
  2. 使用过滤器查找带有“网络钓鱼”、“欺骗”或“恶意软件”判定的电子邮件,以查看策略是否检测到恶意电子邮件。

3. 测试安全链接和附件

向受保护的用户发送包含已知恶意链接(例如来自安全网络钓鱼测试站点)或恶意软件测试文件(例如 EICAR)的测试电子邮件,并检查 MDO 是否重写链接或阻止附件。

安全提示和最佳实践

  • 用户教育:最重要的防线。定期培训用户识别和报告网络钓鱼电子邮件。使用训练攻击模拟来强化学习。
  • 设置 SPF、DKIM 和 DMARC:这些 DNS 记录对于电子邮件身份验证和欺骗防护至关重要。确保为您的所有域正确配置它们。
  • 细化策略:为不同用户组创建个性化的反网络钓鱼策略,特别是针对高风险用户(例如高管、财务人员)。
  • 增加网络钓鱼阈值:考虑在自定义策略中将网络钓鱼阈值增加到 3 或 4,以便通过监控误报来提供更好的保护。
  • 监控报告:定期审查 MDO 中的威胁防护报告,以确定趋势、针对性攻击以及可以改进防护的领域。
  • 与 Endpoint Defender 集成:电子邮件保护和端点保护协同工作,实现分层防御。如果用户单击恶意链接,Defender for Endpoint 可以帮助检测并修复设备上的威胁。

常见故障排除

  • 合法的网络钓鱼电子邮件通过:检查您的反网络钓鱼策略设置,尤其是网络钓鱼阈值以及针对假冒和欺骗的操作。确保 SPF、DKIM 和 DMARC 配置正确。查看威胁资源管理器中的日志。
  • 误报(合法电子邮件被阻止):将网络钓鱼阈值调整为较低的值。检查模拟和欺骗设置。将受信任的发件人或域添加到例外列表(如有必要,请谨慎)。
  • 未重写的链接或未经验证的附件:验证安全链接和安全附件策略是否已启用并分配给正确的用户。确认电子邮件正在通过 MDO 路由。
  • 训练攻击模拟问题:验证测试用户是否包含在正确的组中,并且没有任何策略可以在模拟电子邮件到达用户之前阻止它们。

结论

Microsoft Defender for Office 365 是打击网络钓鱼的强大且不可或缺的工具。通过配置和优化其反网络钓鱼、安全附件和安全链接策略,组织可以针对各种恶意电子邮件攻击建立强大的防御。将先进技术与持续的用户教育相结合,创建分层安全策略,有效保护公司身份、数据和声誉。持续保持警惕并调整政策对于保持有效抵御不断变化的网络钓鱼策略至关重要。

参考资料:

[1] 微软学习。 适用于 Office 365 的 Microsoft Defender。位于:https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] 微软学习。 Microsoft Defender for Office 365 中的反网络钓鱼策略。网址:https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] 微软学习。 适用于 Office 365 许可要求的 Microsoft Defender。网址:[https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)