Personifieringsinsikt i Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Personifiering är när avsändaren av ett e-postmeddelande ser ut ungefär som en verklig eller förväntad avsändares e-postadress. Angripare använder ofta e-postadresser för personifierade avsändare i nätfiske eller andra typer av attacker för att få mottagarens förtroende. Det finns två grundläggande typer av personifiering:

• Domänpersonifiering: Innehåller subtila skillnader i domänen. Till exempel lila@ćóntoso.com personifierar lila@contoso.com.
• Användarpersonifiering: Innehåller subtila skillnader i e-postaliaset. Till exempel rnichell@contoso.com personifierar michelle@contoso.com.

Domänimitation skiljer sig från domänförfalskning, eftersom den personifierade domänen ofta är en verklig, registrerad domän, men med avsikt att lura. Meddelanden från avsändare i den personifierade domänen kan skicka regelbundna e-postautentiseringskontroller som annars skulle identifiera meddelandena som förfalskningsförsök (SPF, DKIM och DMARC).

Personifieringsskydd är en del av de principinställningar för skydd mot nätfiske som är exklusiva för Microsoft Defender för Office 365. Mer information om de här inställningarna finns i Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Administratörer kan använda personifieringsinsikten i Microsoft Defender-portalen för att snabbt identifiera meddelanden från personifierade avsändare eller avsändardomäner som anges i personifieringsskydd i principer för skydd mot nätfiske.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing. Om du vill gå direkt till insiktssidan för personifiering använder du https://security.microsoft.com/impersonationinsight.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).

  • Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i någon av följande rollgrupper:

    • Organisationshantering
    • Säkerhetsadministratör
    • Säkerhetsläsare
    • Global läsare

  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör^*, Säkerhetsadministratör, Säkerhetsläsare eller Global läsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

    Viktigt

    ^* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

• Du aktiverar och konfigurerar personifieringsskydd i principer för skydd mot nätfiske i Microsoft Defender för Office 365. Personifieringsskydd är inte aktiverat som standard. Mer information finns i Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365 och Använd Microsoft Defender-portalen för att tilldela standard- och strikt förinställda säkerhetsprinciper till användare.

• Mer information om licensieringskrav finns i Licensvillkor.

Öppna personifieringsinsikten i Microsoft Defender-portalen

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

På sidan Skydd mot nätfiske ser personifieringsinsikten ut så här:

Insikten har två lägen:

• Insiktsläge: Om personifieringsskydd är aktiverat och konfigurerat i några principer för skydd mot nätfiske visar insikten antalet identifierade meddelanden från personifierade domäner och personifierade användare (avsändare) under de senaste sju dagarna. Talet som visas är summan av alla identifierade personifieringsförsök från alla principer för skydd mot nätfiske.
• What if-läge: Om personifieringsskydd inte är aktiverat och konfigurerat i aktiva principer för skydd mot nätfiske visar insikten hur många meddelanden som skulle ha identifierats av personifieringsskydd under de senaste sju dagarna.

Om du vill visa information om personifieringsidentifieringar väljer du Visa personifieringar i personifieringsinsikten för att gå till insiktssidan personifiering .

Visa information om identifiering av domänpersonifiering

Personifieringsinsiktssidan på https://security.microsoft.com/impersonationinsight är tillgänglig när du väljer Visa personifieringar i personifieringsinsikten på sidan Skydd mot nätfiske.

På sidan Personifieringsinsikt kontrollerar du att fliken Domäner är markerad.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:^*:

• Avsändardomän: Den personifierande domänen, som är den domän som användes för att skicka e-postmeddelandet.
• Antal meddelanden: Antalet meddelanden från att personifiera avsändardomänen under de senaste sju dagarna.
• Personifieringstyp: Det här värdet visar den identifierade platsen för personifieringen (till exempel Domän i adress).
• Personifierade domäner: Den domän som skyddas av domänimitationsskydd, som bör likna domänen i avsändardomänen.
• Domäntyp: Det här värdet är Företagsdomän för godkända domäner eller Anpassad domän för anpassade domäner.
• Princip: Den princip för skydd mot nätfiske som identifierade den personifierade domänen.
• Tillåts att personifiera: Ett av följande värden:
  • Ja: Domänen konfigurerades som betrodd domän (ett undantag för personifieringsskydd) i den princip för skydd mot nätfiske som identifierade meddelandet. Meddelanden från den personifierade domänen har identifierats, men tillåts.
  • Nej: Domänen har konfigurerats för personifieringsskydd i principen för skydd mot nätfiske som identifierade meddelandet. Åtgärden för identifiering av domänpersonifiering i principen för skydd mot nätfiske görs i meddelandet.

^* Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Zooma ut i webbläsaren.

Om du vill ändra listan över identifieringar av domänpersonifieringar från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

Använd sökrutan och en kommaavgränsad lista med värden för att hitta specifika identifieringar av domänpersonifiering.

Använd Exportera för att exportera listan över identifieringar av domänpersonifieringar till en CSV-fil.

Visa information om identifiering av domänpersonifiering

På fliken Domäner på sidan Personifieringsinsikt på https://security.microsoft.com/impersonationinsight?type=Domainväljer du någon av identifieringarna för personifiering genom att klicka var som helst på raden förutom kryssrutan.

Följande information finns i den utfällbara menyn med information:

• Varför fångade vi det här?

• Vad behöver du göra?

• Domänsammanfattning: Domänen som identifierades som personifiering.

• Whois-data: Innehåller information om domänen:

  • Avsändarplats
  • Datum då domänen skapades
  • Förfallodatum för domän
  • Registranten

• Undersökning av Utforskaren: Välj länken för att öppna Hotutforskaren eller Realtidsidentifieringar för ytterligare information om avsändaren.

• Email från avsändaren: Det här avsnittet visar följande information om liknande meddelanden från avsändare i domänen:

  • Datum
  • Mottagare
  • Ämne
  • Avsändare
  • Avsändarens IP-adress
  • Leveransåtgärd

Tips

Om du vill se information om andra domänpersonifieringsposter utan att lämna den utfällbara menyn använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Information om hur du förhindrar att avsändare i en identifierad domän identifieras som domänpersonifiering finns i nästa underavsnitt.

Undanta avsändare i en identifierad domän från framtida domän personifieringskontroller

På fliken Domäner på sidan Personifieringsinsikt på https://security.microsoft.com/impersonationinsight?type=Domainanvänder du följande steg för att undanta avsändare i en identifierad domän från att identifieras som domänpersonifiering:

Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan.

I den utfällbara menyn med information som öppnas använder du principen Välj personifiering för att ändra och Lägg till i inställningarna för listan över tillåtna personifieringar överst i den utfällbara menyn. De här inställningarna fungerar tillsammans för att lägga till domänen i listan Betrodda avsändare och domäner i principen som felaktigt identifierade meddelandet som domänpersonifiering:

• Välj principen för skydd mot nätfiske i listrutan. Den princip för skydd mot nätfiske som var ansvarig för att identifiera meddelandet visas i principvärdet på fliken Domän .

• Dra växlingsknappen till på: för att lägga till domänen i listan Betrodda avsändare och domäner i den valda principen.

  Om du vill ta bort domänen från listan Betrodda avsändare och domäner drar du växlingsknappen tillbaka till

När du är klar med den utfällbara menyn med information väljer du Stäng.

Visa information om identifiering av användarpersonifiering

Personifieringsinsiktssidan på https://security.microsoft.com/impersonationinsight är tillgänglig när du väljer Visa personifieringar i personifieringsinsikten på sidan Skydd mot nätfiske.

På sidan Personifieringsinsikt väljer du fliken Användare .

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:^*:

• Avsändare: E-postadressen till den personifierande avsändaren som skickade e-postmeddelandet.
• Antal meddelanden: Antalet meddelanden från den personifierande avsändaren under de senaste sju dagarna.
• Personifieringstyp: Till exempel Användare i visningsnamn.
• Personifierade användare: Visningsnamn och e-postadress för avsändaren som skyddas av personifieringsskydd, som liknar e-postadressen i Avsändaren.
• Användartyp: Den typ av skydd som tillämpas (till exempel Skyddad användare eller Postlådeinformation).
• Princip: Den princip för skydd mot nätfiske som identifierade den personifierade avsändaren.
• Tillåts att personifiera: Ett av följande värden:
  • Ja: Avsändaren konfigurerades som betrodd användare (ett undantag för personifieringsskydd) i den princip för skydd mot nätfiske som identifierade meddelandet. Meddelanden från den personifierade avsändaren har identifierats, men tillåts.
  • Nej: Avsändaren har konfigurerats för personifieringsskydd i principen för skydd mot nätfiske som identifierade meddelandet. Åtgärden för identifiering av användarpersonifiering i principen för skydd mot nätfiske görs i meddelandet.

^* Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Zooma ut i webbläsaren.

Om du vill ändra listan över identifieringar av användarpersonifieringar från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

Använd sökrutan och en kommaavgränsad lista med värden för att hitta specifika identifieringar av användarpersonifieringar.

Använd Exportera för att exportera listan över identifieringar av användarpersonifieringar till en CSV-fil.

Visa information om identifiering av användarpersonifiering

På fliken Användare på sidan Personifieringsinsikt på https://security.microsoft.com/impersonationinsight?type=Userväljer du någon av personifieringsidentifieringarna genom att klicka var som helst på raden förutom kryssrutan.

Följande information finns i den utfällbara menyn med information:

• Varför fångade vi det här?

• Vad behöver du göra?

• Avsändarsammanfattning: Avsändaren som identifierades som personifiering.

• Undersökning av Utforskaren: Välj länken för att öppna Hotutforskaren eller Realtidsidentifieringar för ytterligare information om avsändaren.

• Email från avsändaren: Det här avsnittet visar följande information om liknande meddelanden från avsändaren:

  • Datum
  • Mottagare
  • Ämne
  • Avsändare
  • Avsändarens IP-adress
  • Leveransåtgärd

Tips

Om du vill se information om andra användarpersonifieringsposter utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Information om hur du förhindrar att en identifierad avsändare identifieras som användarpersonifiering finns i nästa underavsnitt.

Undanta en identifierad avsändare från framtida personifieringskontroller för användare

På fliken Användare på insiktssidan Personifiering på https://security.microsoft.com/impersonationinsight?type=Useranvänder du följande steg för att undanta identifierade avsändare från att identifieras som användarpersonifiering:

Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan.

I den utfällbara menyn med information som öppnas använder du principen Välj personifiering för att ändra och Lägg till i inställningarna för listan över tillåtna personifieringar överst i den utfällbara menyn. De här inställningarna fungerar tillsammans för att lägga till avsändaren i listan Betrodda avsändare och domäner i principen som felaktigt identifierade meddelandet som användarpersonifiering:

• Välj principen för skydd mot nätfiske i listrutan. Den princip för skydd mot nätfiske som var ansvarig för att identifiera meddelandet visas i principvärdet på fliken Domän .

• Dra växlingsknappen till på: för att lägga till avsändaren i listan Betrodda avsändare och domäner i den valda principen.

  Om du vill ta bort avsändaren från listan Betrodda avsändare och domäner drar du växlingsknappen tillbaka till

När du är klar med den utfällbara menyn med information väljer du Stäng.