Dostosowywanie ochrony przed wyłudzaniem informacji
Mimo że platforma Microsoft 365 oferuje różne funkcje ochrony przed wyłudzaniem informacji, które są domyślnie włączone, możliwe jest, że niektóre wiadomości wyłudzające informacje mogą nadal przechodzić do skrzynek pocztowych w organizacji. W tym artykule opisano, co można zrobić, aby dowiedzieć się, dlaczego dotarła wiadomość wyłudzająca informacje i co możesz zrobić, aby dostosować ustawienia ochrony przed wyłudzaniem informacji w organizacji platformy Microsoft 365 bez przypadkowego pogorszenia sytuacji.
Najpierw: zajmij się wszelkimi kontami, których zabezpieczenia zostały naruszone, i upewnij się, że blokujesz dostęp do kolejnych wiadomości wyłudzających informacje
Jeśli konto adresata zostało naruszone w wyniku wiadomości wyłudzającej informacje, wykonaj kroki opisane w temacie Odpowiadanie na naruszone konto e-mail na platformie Microsoft 365.
Jeśli Twoja subskrypcja obejmuje Ochrona usługi Office 365 w usłudze Microsoft Defender, możesz użyć Office 365 Threat Intelligence, aby zidentyfikować innych użytkowników, którzy również otrzymali wiadomość wyłudzającą informacje. Dostępne są dodatkowe opcje blokowania wiadomości wyłudzających informacje:
- Bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender
- Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender
- Zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender. Możesz tymczasowo zwiększyć progi zaawansowanego wyłudzania informacji w zasadach od standardowego do agresywnego, bardziej agresywnego lub najbardziej agresywnego.
Sprawdź, czy te zasady działają. Ochrona bezpiecznych linków i bezpiecznych załączników jest domyślnie włączona dzięki wbudowanej ochronie w wstępnie ustawionych zasadach zabezpieczeń. Ochrona przed wyłudzaniem informacji ma domyślne zasady, które mają zastosowanie do wszystkich adresatów, dla których ochrona przed fałszowaniem jest domyślnie włączona. Ochrona przed personifikacją nie jest włączona w zasadach i dlatego należy ją skonfigurować. Aby uzyskać instrukcje, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.
Zgłoś wiadomość wyłudzającą informacje firmie Microsoft
Raportowanie wiadomości wyłudzających informacje jest pomocne w dostrajaniu filtrów, które są używane do ochrony wszystkich klientów na platformie Microsoft 365. Aby uzyskać instrukcje, zobacz Używanie strony Przesłane do przesyłania podejrzanych wiadomości spamowych, phish, adresów URL, zablokowanych legalnych wiadomości e-mail i załączników wiadomości e-mail do firmy Microsoft.
Sprawdzanie nagłówków komunikatów
Możesz sprawdzić nagłówki wiadomości wyłudzającej informacje, aby sprawdzić, czy istnieje coś, co możesz zrobić samodzielnie, aby zapobiec przepływaniu większej liczby wiadomości wyłudzających informacje. Innymi słowy, badanie nagłówków komunikatów może pomóc w zidentyfikowaniu ustawień w organizacji, które były odpowiedzialne za zezwolenie na wyłudzanie wiadomości.
W szczególności należy sprawdzić pole nagłówka X-Forefront-Antispam-Report w nagłówkach wiadomości pod kątem oznak pominięcia filtrowania pod kątem spamu lub wyłudzania informacji w wartości Werdykt filtrowania spamu (SFV). Komunikaty pomijające filtrowanie mają wpis o wartości SCL:-1, co oznacza, że jedno z ustawień zezwala na tę wiadomość przez zastąpienie spamu lub werdyktów wyłudzających informacje, które zostały określone przez usługę. Aby uzyskać więcej informacji na temat pobierania nagłówków wiadomości i pełnej listy wszystkich dostępnych nagłówków wiadomości antyspamowych i anty-phishingowych, zobacz Nagłówki wiadomości antyspamowych na platformie Microsoft 365.
Porada
Zawartość nagłówka komunikatu można skopiować i wkleić do narzędzia Analizator nagłówka wiadomości . To narzędzie pomaga przeanalizować nagłówki i umieścić je w bardziej czytelnym formacie.
Analizator konfiguracji umożliwia również porównanie zasad EOP i Ochrona usługi Office 365 w usłudze Defender zabezpieczeń z zaleceniami standardowymi i ścisłymi.
Najlepsze rozwiązania dotyczące zachowania ochrony
Co miesiąc uruchom polecenie Wskaźnik bezpieczeństwa, aby ocenić ustawienia zabezpieczeń organizacji.
W przypadku komunikatów, które są poddawane kwarantannie przez pomyłkę (wyniki fałszywie dodatnie) lub komunikatów dozwolonych przez (fałszywie ujemne), zalecamy wyszukanie tych komunikatów w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym. Możesz wyszukiwać według nadawcy, adresata lub identyfikatora wiadomości. Po zlokalizowaniu wiadomości przejdź do szczegółów, klikając temat. W przypadku komunikatu poddanej kwarantannie sprawdź, czym jest "technologia wykrywania", aby można było zastąpić odpowiednią metodę. Aby uzyskać dozwolony komunikat, sprawdź, które zasady zezwalają na komunikat.
Email od sfałszowanych nadawców (adres od wiadomości jest niezgodny ze źródłem wiadomości) jest klasyfikowany jako wyłudzanie informacji w Ochrona usługi Office 365 w usłudze Defender. Czasami fałszowanie jest łagodne, a czasami użytkownicy nie chcą, aby wiadomości od określonego sfałszowanego nadawcy były poddawane kwarantannie. Aby zminimalizować wpływ na użytkowników, okresowo przeglądaj szczegółowe informacje o fałszywych analizach, wpisy dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw oraz raport wykrywania fałszowania. Po przejrzeniu dozwolonych i zablokowanych sfałszowanych nadawców i wprowadzeniu wszelkich niezbędnych przesłoń można bezpiecznie skonfigurować analizę fałszowania w zasadach ochrony przed wyłudzaniem informacji w celu kwarantanny podejrzanych komunikatów zamiast dostarczania ich do folderu Junk Email użytkownika.
W Ochrona usługi Office 365 w usłudze Defender możesz również użyć strony Szczegółowe informacje o personifikacji pod adresemhttps://security.microsoft.com/impersonationinsight, aby śledzić wykrywanie personifikacji użytkowników lub personifikacji domeny. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o personifikacji w Ochrona usługi Office 365 w usłudze Defender.
Okresowo przeglądaj raport o stanie ochrony przed zagrożeniami pod kątem wykrywania wyłudzania informacji.
Niektórzy klienci niechcący zezwalają na wyłudzanie informacji, umieszczając własne domeny na liście Zezwalaj nadawcy lub Zezwalaj na domenę w zasadach ochrony przed spamem. Chociaż ta konfiguracja zezwala na dostęp do niektórych legalnych wiadomości, umożliwia również złośliwe wiadomości, które normalnie byłyby blokowane przez filtry spamu i/lub wyłudzania informacji. Zamiast zezwalać na domenę, należy rozwiązać podstawowy problem.
Najlepszym sposobem radzenia sobie z legalnymi wiadomościami, które są blokowane przez platformę Microsoft 365 (wyniki fałszywie dodatnie), które obejmują nadawców w domenie, jest pełne i całkowite skonfigurowanie rekordów SPF, DKIM i DMARC w systemie DNS dla wszystkich domen poczty e-mail:
Sprawdź, czy rekord SPF identyfikuje wszystkie źródła wiadomości e-mail dla nadawców w domenie (nie zapomnij o usługach innych firm!).
Użyj twardych błędów (-wszystkie), aby upewnić się, że nieautoryzowani nadawcy są odrzucane przez systemy poczty e-mail, które są do tego skonfigurowane. Możesz użyć analizy fałszowania, aby ułatwić identyfikowanie nadawców korzystających z twojej domeny, aby można było dołączyć autoryzowanych nadawców innych firm do rekordu SPF.
Aby uzyskać instrukcje dotyczące konfiguracji, zobacz:
Jeśli to możliwe, zalecamy dostarczenie wiadomości e-mail dla domeny bezpośrednio na platformę Microsoft 365. Innymi słowy, wskaż rekord MX domeny platformy Microsoft 365 na platformę Microsoft 365. Exchange Online Protection (EOP) jest w stanie zapewnić najlepszą ochronę użytkownikom chmury, gdy ich poczta jest dostarczana bezpośrednio na platformę Microsoft 365. Jeśli przed operacją EOP należy użyć systemu higieny poczty e-mail innej firmy, użyj funkcji filtrowania rozszerzonego dla łączników. Aby uzyskać instrukcje, zobacz Rozszerzone filtrowanie łączników w Exchange Online.
Użytkownicy mogą używać wbudowanego przycisku Raport w programie Outlook lub wdrażać dodatki Microsoft Report Message lub Report Phishing w organizacji. Skonfiguruj ustawienia zgłaszane przez użytkownika , aby wysyłać komunikaty zgłaszane przez użytkownika do skrzynki pocztowej raportowania do firmy Microsoft lub obu tych typów. Komunikaty zgłaszane przez użytkownika są następnie dostępne dla administratorów na karcie Zgłaszane przez użytkownika na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=user. Administracja mogą zgłaszać firmie Microsoft wiadomości zgłaszane przez użytkowników lub wszelkie wiadomości zgodnie z opisem w temacie Używanie strony Przesłane do przesyłania do firmy Microsoft podejrzanych wiadomości spamowych, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail. Raportowanie przez użytkownika lub administratora wyników fałszywie dodatnich lub fałszywie ujemnych do firmy Microsoft jest ważne, ponieważ pomaga w trenowaniu naszych systemów wykrywania.
Uwierzytelnianie wieloskładnikowe (MFA) to dobry sposób zapobiegania naruszonym kontom. Należy zdecydowanie rozważyć włączenie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. W przypadku podejścia etapowego rozpocznij od włączenia uwierzytelniania wieloskładnikowego dla najbardziej wrażliwych użytkowników (administratorów, kadry kierowniczej itp.) przed włączeniem uwierzytelniania wieloskładnikowego dla wszystkich. Aby uzyskać instrukcje, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego.
Reguły przekazywania do adresatów zewnętrznych są często używane przez osoby atakujące do wyodrębniania danych. Aby znaleźć reguły przekazywania dalej do adresatów zewnętrznych, skorzystaj z informacji o regułach przekazywania przejrzyj skrzynkę pocztową w usłudze Microsoft Secure Score . Aby uzyskać więcej informacji, zobacz Mitigating Client External Forwarding Rules with Secure Score (Ograniczanie reguł przekazywania zewnętrznego klienta przy użyciu wskaźnika bezpieczeństwa).
Raport Autoforwarded messages umożliwia wyświetlenie szczegółowych informacji o przesłanej dalej wiadomości e-mail.