Microsoft 365 中的防钓鱼保护
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
网络钓鱼是一种电子邮件攻击,它试图通过看似来自合法或受信任的发件人的邮件来窃取敏感信息。 网络钓鱼有特定类别。 例如:
在攻击者) 对收件人进行侦查后,Spear 网络钓鱼通常使用专门针对目标收件人定制的重点自定义内容 (。
网络捕鲸定向到组织内的主管或其他高价值目标,以获得最大效果。
商业电子邮件泄露 (BEC) 使用伪造的受信任发件人 (财务官员、客户、受信任的合作伙伴等 ) 来诱骗收件人批准付款、转移资金或泄露客户数据。 观看此视频了解更多信息。
加密 数据并要求付款以解密数据的勒索软件几乎总是在钓鱼邮件中开始。 反钓鱼保护无法帮助你解密加密的文件,但它可以帮助检测与勒索软件活动关联的初始网络钓鱼邮件。 有关从勒索软件攻击中恢复的详细信息,请参阅 勒索软件事件响应 playbook。
随着攻击复杂性的不断增加,经过训练的用户甚至难以识别复杂的网络钓鱼邮件。 幸运的是,Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365 中的其他功能可以提供帮助。
EOP 中的防网络钓鱼保护
Microsoft 365 个组织在 Exchange Online 或没有Exchange Online邮箱的独立 EOP 组织中包含以下功能,可帮助保护组织免受网络钓鱼威胁:
欺骗智能:使用欺骗智能见解查看来自外部和内部域的邮件中检测到的欺骗发件人,并手动允许或阻止检测到的发件人。 有关详细信息,请参阅在 EOP 中配置欺骗智能见解。
EOP 中的反钓鱼策略:打开或关闭欺骗智能,打开或关闭 Outlook 中的未经身份验证的发件人指示器,并指定阻止的欺骗发件人的操作。 有关详细信息,请参阅在 EOP 中配置反网络钓鱼策略。
当邮件被检测为欺骗时,请遵循发件人的 DMARC 策略:控制发件人未通过显式 DMARC 检查且 DMARC 策略设置为
p=quarantine
或p=reject
的邮件会发生什么情况。 有关详细信息,请参阅 欺骗保护和发件人 DMARC 策略。允许或阻止租户允许/阻止列表中的欺骗发件人:在欺骗情报见解中重写判决时,欺骗发件人将成为手动允许或阻止条目,仅出现在“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的“欺骗发件人”选项卡上。 也可以在欺骗智能检测到欺骗发件人之前手动为其创建允许或阻止条目。 有关详细信息,请参阅 租户允许/阻止列表中的欺骗发件人。
隐式电子邮件身份验证:EOP 使用发件人信誉、发件人历史记录、收件人历史记录、行为分析和其他高级技术增强入站电子邮件 (SPF、 DKIM 和 DMARC 的标准电子邮件身份验证检查,以帮助识别伪造的发件人。 有关详细信息,请参阅 Microsoft 365 中的电子邮件身份验证。
Microsoft Defender for Office 365 中的其他反网络钓鱼保护
Microsoft Defender for Office 365 包含其他更高级的反网络钓鱼功能:
-
Microsoft Defender for Office 365中的反钓鱼策略:
- 为特定邮件发件人和发件人域配置模拟保护设置、邮箱智能设置以及可调整的高级钓鱼阈值。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置防网络钓鱼策略。
- 有关检测到的模拟尝试的详细信息,请参阅模拟见解。 有关详细信息,请参阅 Defender for Office 365 中的模拟见解。
- 有关 EOP 中的反钓鱼策略与 Defender for Office 365 中的反钓鱼策略之间的差异的详细信息,请参阅 Microsoft 365 中的反钓鱼策略。
- 市场活动视图:机器学习和其他启发式方法可识别和分析针对整个服务和组织的协调网络钓鱼攻击所涉及的消息。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的市场活动视图。
- 攻击模拟训练:管理员可以创建虚假钓鱼邮件并将其作为教育工具发送给内部用户。 有关详细信息,请参阅开始使用 攻击模拟训练。