Přehled informací o falšování identity v EOP
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek jsou příchozí e-mailové zprávy automaticky chráněné proti falšování identity. EOP používá falšování informací jako součást celkové ochrany vaší organizace proti útokům phishing. Další informace najdete v tématu Ochrana proti falšování identity v EOP.
Když odesílatel zfalšuje e-mailovou adresu, zdá se, že je to uživatel v jedné z domén vaší organizace nebo uživatel v externí doméně, který odesílá e-maily vaší organizaci. Útočníci, kteří falšují odesílatele, aby odesílali spam nebo phishingové e-maily, musí být zablokovaní. Existují ale scénáře, kdy legitimní odesílatelé falšují identity. Příklady:
Legitimní scénáře pro falšování identity interních domén:
- Odesílatelé třetích stran používají vaši doménu k odesílání hromadných e-mailů vašim vlastním zaměstnancům pro firemní hlasování.
- Externí společnost vaším jménem generuje a odesílá reklamy nebo aktualizace produktů.
- Asistent musí pravidelně posílat e-maily jiné osobě ve vaší organizaci.
- Interní aplikace odesílá e-mailová oznámení.
Legitimní scénáře pro falšování identity externích domén:
- Odesílatel je v seznamu adresátů (označovaný také jako seznam diskuzí) a seznam adresátů předává e-maily od původního odesílatele všem účastníkům seznamu adresátů.
- Externí společnost odesílá e-mail jménem jiné společnosti (například automatizované sestavy nebo společnosti typu software jako služba).
Pomocí přehledu informací o falšování identity na portálu Microsoft Defender můžete rychle identifikovat zfalšované odesílatele, kteří vám oprávněně posílají neověřené e-maily (zprávy z domén, které neprošly kontrolami SPF, DKIM nebo DMARC), a ručně je povolit.
Tím, že známým odesílatelům povolíte posílat zfalšované zprávy ze známých míst, můžete omezit počet falešně pozitivních výsledků (dobré e-maily označené jako špatné). Monitorováním povolených falšovaných odesílatelů zajistíte další vrstvu zabezpečení, která zabrání tomu, aby nebezpečné zprávy do vaší organizace dochází.
Stejně tak můžete pomocí přehledu spoof intelligence zkontrolovat zfalšované odesílatele, které povolovaly informace o falšování identity, a ručně tyto odesílatele zablokovat.
Zbytek tohoto článku vysvětluje, jak používat přehled falšování informací na portálu Microsoft Defender a v PowerShellu (Exchange Online PowerShell pro organizace Microsoft 365 s poštovními schránkami v Exchange Online; samostatný PowerShell EOP pro organizace bez Exchange Online poštovních schránek).
Poznámka
V přehledu zfalšovaných informací se zobrazí jenom zfalšovaní odesílatelé, které byly zjištěny pomocí falšování identity. Když v přehledu přepíšete verdikt povolení nebo blokování, zfalšovaný odesílatel se stane ručně povoleným nebo blokovaným záznamem, který se zobrazí jenom na kartě Zfalšovaní odesílatelé na stránce Seznamy Povolení/blokování tenanta na adrese https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Můžete také ručně vytvořit položky povolení nebo blokování pro zfalšované odesílatele předtím, než je rozpoznají informace o falšování identity. Další informace najdete v tématu Falšovaní odesílatelé v seznamu povolených/blokovaných klientů.
Hodnoty AkcePovolit nebo Blokovat v přehledu zfalšovaných informací odkazují na detekci falšování identity (bez ohledu na to, jestli Microsoft 365 identifikoval zprávu jako zfalšovanou nebo ne). Hodnota Akce nemusí nutně ovlivnit celkové filtrování zprávy. Abychom se například vyhnuli falešně pozitivním výsledkům, může se doručovat zfalšovaná zpráva, pokud zjistíme, že nemá škodlivý záměr.
Přehled informací o falšování identity a karta Zfalšovaní odesílatelé v seznamu Povolených nebo blokovaných tenantů nahrazují funkce zásad falšování informací, které byly k dispozici na stránce zásad ochrany proti spamu v Centru dodržování předpisů & zabezpečení.
Přehled zfalšovaných informací ukazuje data za 7 dnů. Rutina Get-SpoofIntelligenceInsight zobrazuje data za 30 dnů.
Co potřebujete vědět, než začnete?
Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na kartu Spoofed senders (Zfalšovaní odesílatelé) na stránce Seznamy povolit/blokovat tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem Pokud chcete přejít přímo na stránku přehledu falšování informací , použijte https://security.microsoft.com/spoofintelligence.
Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.
Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:
Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
-
-
Povolte nebo zablokujte zfalšované odesílatele nebo zapněte nebo vypněte informace o falšování identity: Členství v jedné z následujících skupin rolí:
- Správa organizace
- Správce zabezpečeníakonfigurace jen pro zobrazení nebo Správa organizace jen pro zobrazení.
- Přístup jen pro čtení k přehledu falšování informací: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .
-
Povolte nebo zablokujte zfalšované odesílatele nebo zapněte nebo vypněte informace o falšování identity: Členství v jedné z následujících skupin rolí:
Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.
Důležité
* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Naše doporučená nastavení zásad ochrany proti útokům phishing najdete v tématu Nastavení zásad ochrany před útoky phishing EOP.
V zásadách ochrany proti útokům phishing v EOP a Microsoft Defender pro Office 365 povolíte a zakážete falšování. Ve výchozím nastavení je povolená funkce Falšování. Další informace najdete v tématech Konfigurace zásad ochrany proti útokům phishing v EOP a Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.
Naše doporučená nastavení pro falšování informací najdete v tématu Nastavení zásad ochrany proti útokům phishing EOP.
Vyhledání přehledu falšování informací na portálu Microsoft Defender
Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Pravidla na Email & Zásady spolupráce>& Pravidla>Zásady hrozeb Povolit>nebo blokovat Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList
Vyberte kartu Zfalšovaní odesílatelé .
Na kartě Spoofed Senders (Zfalšovaní odesílatelé ) vypadá přehled s falšováním identity takto:
Přehled má dva režimy:
- Režim přehledu: Pokud je povolená funkce falšování identity, přehled ukazuje, kolik zpráv bylo zjištěno falšováním informací během posledních sedmi dnů.
- Režim Co když: Pokud je funkce falšování informací zakázaná, zobrazí se přehled o tom, kolik zpráv by za posledních 7 dnů detekovala funkce falšování identity.
Pokud chcete zobrazit informace o detekcích falšování, vyberte v přehledu s falšování identity možnost Zobrazit aktivitu falšování identity a přejděte na stránku přehledu falšování.
Zobrazení informací o detekcích falšování identity
Poznámka
Mějte na paměti, že na této stránce se zobrazí jenom zfalšovaní odesílatelé, které byly zjištěny falšovanými informacemi.
Stránka přehledu s informacemi o falšování identity na adrese https://security.microsoft.com/spoofintelligence je k dispozici, když v přehledu falšování identity na kartě Spoofed senders (Falšovaní odesílatelé) na stránce Tenant Allow/Block (Povolit/blokovat Seznamy tenanta) vyberete Zobrazit aktivitu falšování identity.
Na stránce Přehled falšování informací můžete položky seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:
-
Zfalšovaný uživatel: Doména zfalšovaného uživatele, která se zobrazí v poli Od v e-mailových klientech. Adresa odesílatele se označuje také jako
5322.From
adresa. -
Odesílající infrastruktura: Označuje se také jako infrastruktura. Odesílající infrastruktura je jedna z následujících hodnot:
- Doména nalezená při zpětném vyhledávání DNS (záznam PTR) IP adresy zdrojového e-mailového serveru.
- Pokud zdrojová IP adresa nemá žádný záznam PTR, odesílající infrastruktura se identifikuje jako <zdrojová IP>/24 (například 192.168.100.100/24).
- Ověřená doména DKIM.
- Počet zpráv: Počet zpráv z kombinace zfalšované domény a infrastruktury odesílání do vaší organizace za posledních sedm dnů.
- Naposledy vidět: Poslední datum přijetí zprávy z odesílající infrastruktury, která obsahuje zfalšovanou doménu.
-
Typ falšování: Jedna z následujících hodnot:
- Interní: Zfalšovaný odesílatel je v doméně, která patří vaší organizaci ( akceptovaná doména).
- Externí: Zfalšovaný odesílatel je v externí doméně.
-
Akce: Tato hodnota je Povolená nebo Blokovaná:
- Povoleno: Doména selhala při explicitním ověřování e-mailu, kontrolách SPF, DKIM a DMARC. Doména ale prošla našimi implicitními kontrolami ověřování e-mailů (složené ověřování). V důsledku toho nebyla u zprávy provedena žádná akce proti falšování identity.
- Blokované: Zprávy z kombinace zfalšované domény a odesílající infrastruktury jsou označeny jako špatné z důvodu falšování identity. Akce, která se provádí u zfalšovaných zpráv se škodlivým záměrem, je řízena standardními nebo striktními přednastavenými zásadami zabezpečení, výchozími zásadami ochrany proti phishingu nebo vlastními zásadami ochrany proti útokům phishing. Další informace najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.
Pokud chcete změnit seznam zfalšovaných odesílatelů z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.
Pokud chcete položky filtrovat, vyberte Filtr. V informačním rámečku Filtr , který se otevře, jsou k dispozici následující filtry:
- Typ falšování: Dostupné hodnoty jsou Interní a Externí.
- Akce: Dostupné hodnoty jsou Povolit a Blokovat.
Až skončíte v informačním rámečku Filtr , vyberte Použít. Pokud chcete filtry vymazat, vyberte Vymazat filtry.
Pomocí vyhledávacího pole a odpovídající hodnoty vyhledejte konkrétní položky.
Pomocí exportu vyexportujte seznam detekcí falšování identity do souboru CSV.
Zobrazení podrobností o detekcích falšování identity
Když v seznamu vyberete detekci falšování kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček podrobností s následujícími informacemi:
Proč jsme to chytili? proč jsme tohoto odesílatele zjistili jako falšování a co můžete udělat pro další informace.
Oddíl se souhrnem domény: Obsahuje stejné informace z hlavní stránky přehledu informací o falšování identity.
Část WhoIs data : Technické informace o doméně odesílatele.
Část šetření Průzkumníka: V Defender pro Office 365 organizaci obsahuje tato část odkaz na otevření Průzkumníka hrozeb, kde najdete další podrobnosti o odesílateli na kartě Phish.
Část Podobné e-maily : Obsahuje následující informace o detekci falšování:
- Date
- Předmět
- Příjemce
- Odesílatel
- IP adresa odesílatele
Výběrem možnosti Přizpůsobit sloupce odeberete zobrazené sloupce. Až budete hotovi, vyberte Použít.
Tip
Pokud chcete zobrazit podrobnosti o dalších položkách bez opuštění informačního rámečku podrobností, použijte v horní části informačního rámečku Možnost Předchozí položka a Další položka.
Pokud chcete detekci falšování změnit z Povolit na Blokovat nebo naopak, přečtěte si další část.
Přepsání verdiktu falšování inteligentních informací
Na stránce přehledu falšování informací na adrese https://security.microsoft.com/spoofintelligencepoužijte některou z následujících metod k přepsání verdiktu zfalšovaných inteligentních funkcí:
Vyberte jednu nebo více položek ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce.
- Vyberte akci Hromadné akce , která se zobrazí.
- V rozevíracím rámečku Hromadné akce , který se otevře, vyberte Povolit falšování nebo Blokovat falšování identity a pak vyberte Použít.
Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko.
V informačním rámečku podrobností, který se otevře, vyberte Povolit falšování nebo Blokovat falšování identity v horní části informačního rámečku a pak vyberte Použít.
Zpět na stránce přehledu informací o falšování identity se položka odebere ze seznamu a přidá se na kartu Zfalšovaní odesílatelé na stránce povolit/blokovat Seznamy tenanta na https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemadrese .
Informace o povolených falšovaných odesílatelích
Zprávy od povoleného zfalšovaného odesílatele (automaticky zjištěné nebo ručně nakonfigurované) jsou povoleny pouze pomocí kombinace zfalšované domény a infrastruktury odesílání. Například následující zfalšovaný odesílatel může zfalšovat:
- Doména: gmail.com
- Infrastruktura: tms.mx.com
Falšování je povoleno pouze e-maily z této domény a odesílajícího páru infrastruktury. Jiní odesílatelé, kteří se pokoušejí zfalšovat gmail.com, nejsou automaticky povoleni. Zprávy od odesílatelů v jiných doménách, které pocházejí z tms.mx.com, jsou stále kontrolovány falšovanými informacemi a můžou být blokované.
Použití přehledu s falšováním informací v Exchange Online PowerShellu nebo samostatném prostředí PowerShellu EOP
V PowerShellu použijete rutinu Get-SpoofIntelligenceInsight k zobrazení povolených a blokovaných zfalšovaných odesílatelů zjištěných falšováním identity. Pokud chcete ručně povolit nebo blokovat zfalšované odesílatele, musíte použít rutinu New-TenantAllowBlockListSpoofItems . Další informace najdete v tématech Použití PowerShellu k vytvoření položek povolení pro zfalšované odesílatele v seznamu povolených/blokovaných odesílatelů tenanta a Použití PowerShellu k vytvoření položek bloku pro zfalšované odesílatele v seznamu povolených/blokovaných klientů.
Pokud chcete zobrazit informace v přehledu falšování informací, spusťte následující příkaz:
Get-SpoofIntelligenceInsight
Podrobné informace o syntaxi a parametrech najdete v tématu Get-SpoofIntelligenceInsight.
Další způsoby správy falšování identity a útoků phishing
Pečlivě se řizujte falšováním identity a ochranou proti útokům phishing. Tady jsou související způsoby, jak zkontrolovat odesílatele, kteří falšují vaši doménu, a zabránit jim v poškození vaší organizace:
Zkontrolujte zprávu o falšování pošty. Tuto sestavu často používejte k zobrazení a správě zfalšovaných odesílatelů. Informace najdete v tématu Sestava zjišťování falšování identity.
Zkontrolujte konfiguraci SPF, DKIM a DMARC. Další informace najdete v následujících článcích: