Inzicht in imitatie in Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Imitatie is wanneer de afzender van een e-mailbericht lijkt op het e-mailadres van een echte of verwachte afzender. Aanvallers gebruiken vaak geïmiteerde e-mailadressen van afzenders bij phishing of andere soorten aanvallen om het vertrouwen van de ontvanger te winnen. Er zijn twee basistypen imitatie:
- Domeinimitatie: bevat subtiele verschillen in het domein. Lila@ćóntoso.com imiteert lila@contoso.combijvoorbeeld .
- Gebruikersimitatie: bevat subtiele verschillen in de e-mailalias. Imiteert michelle@contoso.combijvoorbeeld rnichell@contoso.com .
Domeinimitatie verschilt van domeinvervalsing, omdat het geïmiteerde domein vaak een echt, geregistreerd domein is, maar met de bedoeling om te misleiden. Berichten van afzenders in het geïmiteerde domein kunnen normale e-mailverificatiecontroles doorstaan die anders de berichten zouden identificeren als spoofingpogingen (SPF, DKIM en DMARC).
Imitatiebeveiliging maakt deel uit van de instellingen voor antiphishingbeleid die exclusief zijn voor Microsoft Defender voor Office 365. Zie Imitatie-instellingen in antiphishingbeleid in Microsoft Defender voor Office 365 voor meer informatie over deze instellingen.
Beheerders kunnen het imitatie-inzicht in de Microsoft Defender-portal gebruiken om snel berichten van geïmiteerde afzenders of afzenderdomeinen te identificeren die zijn opgegeven in imitatiebeveiliging in antiphishingbeleid.
Wat moet u weten voordat u begint?
U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Antiphishing wilt gaan, gebruikt u https://security.microsoft.com/antiphishing. Als u rechtstreeks naar de pagina Imitatie-inzicht wilt gaan, gebruikt u https://security.microsoft.com/impersonationinsight.
Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:
Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell: Autorisatie en instellingen/Beveiligingsinstellingen/Basisbeveiligingsinstellingen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
Email & samenwerkingsmachtigingen in de Microsoft Defender-portal: Lidmaatschap van een van de volgende rolgroepen:
- Organisatiebeheer
- Beveiligingsbeheerder
- Beveiligingslezer
- Globale lezer
Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder, Beveiligingslezer of Globale lezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
U kunt imitatiebeveiliging inschakelen en configureren in antiphishingbeleid in Microsoft Defender voor Office 365. Imitatiebeveiliging is niet standaard ingeschakeld. Zie Antiphishingbeleid configureren in Microsoft Defender voor Office 365 en De Microsoft Defender portal gebruiken om standaard- en strikt vooraf ingesteld beveiligingsbeleid toe te wijzen aan gebruikers voor meer informatie.
Zie Licentievoorwaarden voor meer informatie over licentievereisten.
Het imitatie-inzicht openen in de Microsoft Defender-portal
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Antiphishing in de sectie Beleid. Of gebruik https://security.microsoft.com/antiphishingom rechtstreeks naar de antiphishingpagina te gaan.
Op de pagina Antiphishing ziet het imitatie-inzicht er als volgt uit:
Het inzicht heeft twee modi:
- Inzichtmodus: als imitatiebeveiliging is ingeschakeld en geconfigureerd in een antiphishingbeleid, wordt in het inzicht het aantal gedetecteerde berichten van geïmiteerde domeinen en geïmiteerde gebruikers (afzenders) in de afgelopen zeven dagen weergegeven. Het weergegeven aantal is het totaal van alle gedetecteerde imitatiepogingen van alle antiphishingbeleidsregels.
- What if-modus: als imitatiebeveiliging niet is ingeschakeld en geconfigureerd in een actief antiphishingbeleid, laat het inzicht zien hoeveel berichten de afgelopen zeven dagen door imitatiebeveiliging zijn gedetecteerd.
Als u informatie over imitatiedetecties wilt weergeven, selecteert u Imitatie-imitaties weergeven in het imitatie-inzicht om naar de pagina Imitatie-inzicht te gaan.
Informatie weergeven over detecties van domeinimitatie
De pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight is beschikbaar wanneer u Imitatie-imitaties weergeven selecteert in het imitatie-inzicht op de pagina Antiphishing .
Controleer op de pagina Imitatie-inzicht of het tabblad Domeinen is geselecteerd.
U kunt de items sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:*
- Afzenderdomein: het domein dat zich imiteert, het domein dat is gebruikt om het e-mailbericht te verzenden.
- Aantal berichten: het aantal berichten van het domein van de afzender in de afgelopen zeven dagen.
- Imitatietype: Deze waarde toont de gedetecteerde locatie van de imitatie (bijvoorbeeld Domein in adres).
- Geïmiteerd domein(en): het domein dat wordt beveiligd door domein-imitatiebeveiliging, dat moet lijken op het domein in Afzenderdomein.
- Domeintype: deze waarde is Bedrijfsdomein voor geaccepteerde domeinen of Aangepast domein voor aangepaste domeinen.
- Beleid: het antiphishingbeleid waarmee het geïmiteerde domein is gedetecteerd.
-
Toegestaan om te imiteren: een van de volgende waarden:
- Ja: Het domein is geconfigureerd als vertrouwd domein (een uitzondering voor imitatiebeveiliging) in het antiphishingbeleid dat het bericht heeft gedetecteerd. Berichten van het geïmiteerde domein zijn gedetecteerd, maar toegestaan.
- Nee: Het domein is geconfigureerd voor imitatiebeveiliging in het antiphishingbeleid dat het bericht heeft gedetecteerd. De actie voor domein-imitatiedetecties in het antiphishingbeleid wordt uitgevoerd op het bericht.
* Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:
- Horizontaal schuiven in uw webbrowser.
- De breedte van de juiste kolommen beperken.
- Uitzoomen in uw webbrowser.
Als u de lijst met domeinimitatiedetecties wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u vervolgens Lijst comprimeren.
Gebruik het vak Zoeken en een door komma's gescheiden lijst met waarden om specifieke domein-imitatiedetecties te vinden.
Gebruik Exporteren om de lijst met domein-imitatiedetecties te exporteren naar een CSV-bestand.
Details weergeven over een domein-imitatiedetectie
Selecteer op het tabblad Domeinen op de pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight?type=Domaineen van de detecties van imitatie door op een andere plaats in de rij dan het selectievakje te klikken.
De volgende informatie is beschikbaar in de flyout details:
Waarom hebben we dit gepakt?
Wat moet u doen?
Domeinoverzicht: het domein dat is gedetecteerd als imitatie.
Whois-gegevens: bevat informatie over het domein:
- Locatie van afzender
- Datum van domein gemaakt
- Vervaldatum domein
- Registrant
Explorer-onderzoek: selecteer de koppeling om Bedreigingsverkenner of realtime detecties te openen voor meer informatie over de afzender.
Email van afzender: deze sectie bevat de volgende informatie over vergelijkbare berichten van afzenders in het domein:
- Datum
- Ontvanger
- Onderwerp
- Afzender
- IP-adres van afzender
- Leveringsactie
Tip
Als u details wilt weergeven over andere domeinimitatievermeldingen zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.
Als u wilt voorkomen dat afzenders in een gedetecteerd domein worden geïdentificeerd als domeinimitatie, raadpleegt u de volgende subsectie.
Afzenders in een gedetecteerd domein uitsluiten van toekomstige verificaties voor domeinimitatie
Gebruik op het tabblad Domeinen van de pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight?type=Domainde volgende stappen om afzenders in een gedetecteerd domein uit te schakelen voor identificatie als domeinimitatie:
Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken.
Gebruik in de flyout met details die wordt geopend de instellingen imitatiebeleid selecteren om te wijzigen en Toevoegen aan de lijst met toegestane imitatie boven aan de flyout. Deze instellingen werken samen om het domein toe te voegen aan de lijst Vertrouwde afzenders en domeinen in het beleid dat het bericht onjuist heeft geïdentificeerd als domeinimitatie:
Selecteer het antiphishingbeleid in de vervolgkeuzelijst. Het antiphishingbeleid dat verantwoordelijk was voor het detecteren van het bericht, wordt weergegeven in de waarde Beleid op het tabblad Domein .
Schuif de wisselknop naar aan: om het domein toe te voegen aan de lijst Vertrouwde afzenders en domeinen in het geselecteerde beleid.
Als u het domein wilt verwijderen uit de lijst Vertrouwde afzenders en domeinen , schuift u de wisselknop terug naar
Wanneer u klaar bent in de flyout met details, selecteert u Sluiten.
Informatie weergeven over detecties van gebruikersimitatie
De pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight is beschikbaar wanneer u Imitatie-imitaties weergeven selecteert in het imitatie-inzicht op de pagina Antiphishing .
Selecteer op de pagina Imitatie-inzicht het tabblad Gebruikers .
U kunt de items sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:*
- Afzender: het e-mailadres van de afzender die het e-mailbericht heeft verzonden.
- Aantal berichten: het aantal berichten van de afzender die zich imiteert in de afgelopen zeven dagen.
- Imitatietype: bijvoorbeeld Gebruiker in weergavenaam.
- Geïmiteerde gebruiker(s): de weergavenaam en het e-mailadres van de afzender die wordt beveiligd door imitatiebeveiliging, die lijkt op het e-mailadres in Afzender.
- Gebruikerstype: het type beveiliging dat is toegepast (bijvoorbeeld Beveiligde gebruiker of Postvakintelligentie).
- Beleid: het antiphishingbeleid waarmee de geïmiteerde afzender is gedetecteerd.
-
Toegestaan om te imiteren: een van de volgende waarden:
- Ja: De afzender is geconfigureerd als vertrouwde gebruiker (een uitzondering voor imitatiebeveiliging) in het antiphishingbeleid dat het bericht heeft gedetecteerd. Berichten van de geïmiteerde afzender zijn gedetecteerd, maar toegestaan.
- Nee: de afzender is geconfigureerd voor imitatiebeveiliging in het antiphishingbeleid waarmee het bericht is gedetecteerd. De actie voor detectie van gebruikersimitatie in het antiphishingbeleid wordt uitgevoerd op het bericht.
* Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:
- Horizontaal schuiven in uw webbrowser.
- De breedte van de juiste kolommen beperken.
- Uitzoomen in uw webbrowser.
Als u de lijst met detecties van gebruikersimitatie wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u vervolgens Lijst comprimeren.
Gebruik het vak Zoeken en een door komma's gescheiden lijst met waarden om specifieke detecties van gebruikersimitatie te vinden.
Gebruik Exporteren om de lijst met detecties van gebruikersimitatie te exporteren naar een CSV-bestand.
Details weergeven over detectie van imitatie van gebruikers
Selecteer op het tabblad Gebruikers op de pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight?type=Usereen van de detecties van imitatie door op een andere plaats in de rij dan het selectievakje te klikken.
De volgende informatie is beschikbaar in de flyout details:
Waarom hebben we dit gepakt?
Wat moet u doen?
Afzenderoverzicht: de afzender die is gedetecteerd als imitatie.
Explorer-onderzoek: selecteer de koppeling om Bedreigingsverkenner of realtime detecties te openen voor meer informatie over de afzender.
Email van afzender: in deze sectie ziet u de volgende informatie over vergelijkbare berichten van de afzender:
- Datum
- Ontvanger
- Onderwerp
- Afzender
- IP-adres van afzender
- Leveringsactie
Tip
Als u details wilt weergeven over andere vermeldingen voor imitatie van gebruikers zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.
Als u wilt voorkomen dat een gedetecteerde afzender wordt geïdentificeerd als gebruikersimitatie, raadpleegt u de volgende subsectie.
Een gedetecteerde afzender uitsluiten van toekomstige imitatiecontroles van gebruikers
Gebruik op het tabblad Gebruikers van de pagina Imitatie-inzicht op https://security.microsoft.com/impersonationinsight?type=Userde volgende stappen om gedetecteerde afzenders uit te schakelen voor identificatie als gebruikersimitatie:
Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken.
Gebruik in de flyout met details die wordt geopend de instellingen imitatiebeleid selecteren om te wijzigen en Toevoegen aan de lijst met toegestane imitatie boven aan de flyout. Deze instellingen werken samen om de afzender toe te voegen aan de lijst Vertrouwde afzenders en domeinen in het beleid dat het bericht onjuist heeft geïdentificeerd als gebruikersimitatie:
Selecteer het antiphishingbeleid in de vervolgkeuzelijst. Het antiphishingbeleid dat verantwoordelijk was voor het detecteren van het bericht, wordt weergegeven in de waarde Beleid op het tabblad Domein .
Schuif de wisselknop naar Aan: om de afzender toe te voegen aan de lijst Vertrouwde afzenders en domeinen in het geselecteerde beleid.
Als u de afzender wilt verwijderen uit de lijst Vertrouwde afzenders en domeinen , schuift u de wisselknop terug naar
Wanneer u klaar bent in de flyout met details, selecteert u Sluiten.