Přehled zosobnění v Defender pro Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Zosobnění je, když odesílatel e-mailové zprávy vypadá podobně jako e-mailová adresa skutečného nebo očekávaného odesílatele. Útočníci často používají e-mailové adresy zosobněného odesílatele při útoku phishing nebo jiných typech útoků, aby získali důvěru příjemce. Existují dva základní typy zosobnění:

• Zosobnění domény: Obsahuje drobné rozdíly v doméně. Například lila@ćóntoso.com zosobní lila@contoso.com.
• Zosobnění uživatele: Obsahuje drobné rozdíly v e-mailovém aliasu. Například zosobní rnichell@contoso.commichelle@contoso.com.

Zosobnění domény se liší od falšování identity domény, protože zosobněná doména je často skutečná registrovaná doména, ale se záměrem oklamat. Zprávy od odesílatelů v zosobněné doméně můžou projít pravidelnými kontrolami ověřování e-mailu, které by jinak identifikovaly zprávy jako pokusy o falšování identity (SPF, DKIM a DMARC).

Ochrana před zosobněním je součástí nastavení zásad ochrany proti útokům phishing, která jsou výhradní pro Microsoft Defender pro Office 365. Další informace o těchto nastaveních najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.

Správci můžou pomocí přehledu zosobnění na portálu Microsoft Defender rychle identifikovat zprávy od zosobněných odesílatelů nebo domén odesílatelů, které jsou zadané v ochraně před zosobněním v zásadách ochrany proti útokům phishing.

Co potřebujete vědět, než začnete?

• Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na anti-phishingovou stránku, použijte https://security.microsoft.com/antiphishing. Pokud chcete přejít přímo na stránku Přehled zosobnění , použijte https://security.microsoft.com/impersonationinsight.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

  • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

  • Email & oprávnění ke spolupráci na portálu Microsoft Defender: Členství v některé z následujících skupin rolí:

    • Správa organizace
    • Správce zabezpečení
    • Čtenář zabezpečení
    • Globální čtenář

  • Microsoft Entra oprávnění: Členství v rolích globálního správce^*, správce zabezpečení, čtenáře zabezpečení nebo globálního čtenáře poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

    Důležité

    ^* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

• Ochranu před zosobněním povolíte a nakonfigurujete v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365. Ochrana před zosobněním není ve výchozím nastavení povolená. Další informace najdete v tématech Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365 a Použití portálu Microsoft Defender k přiřazení standardních a striktních přednastavených zásad zabezpečení uživatelům.

• Další informace o licenčních požadavcích najdete v tématu Licenční podmínky.

Otevření přehledu zosobnění na portálu Microsoft Defender

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Email & Zásady spolupráce>& pravidla>Zásady> hrozebAnti-phishing v části Zásady. Nebo pokud chcete přejít přímo na anti-phishingovou stránku, použijte .https://security.microsoft.com/antiphishing

Na stránce Anti-phishing vypadá přehled zosobnění takto:

Přehled má dva režimy:

• Režim přehledu: Pokud je v zásadách ochrany proti útokům phishing povolená a nakonfigurovaná ochrana před zosobněním, zobrazí se v přehledu počet zjištěných zpráv od zosobněných domén a zosobněných uživatelů (odesílatelů) za posledních sedm dnů. Zobrazené číslo představuje součet všech zjištěných pokusů o zosobnění ze všech anti-phishingových zásad.
• Režim Co když: Pokud ochrana před zosobněním není povolená a nakonfigurovaná v žádných aktivních zásadách ochrany proti útokům phishing, přehled ukazuje, kolik zpráv by ochrana před zosobněním zjistila za posledních sedm dní.

Pokud chcete zobrazit informace o detekcích zosobnění, vyberte Zobrazit zosobnění v přehledu zosobnění a přejděte na stránku Přehled zosobnění .

Zobrazení informací o detekcích zosobnění domény

Stránka s přehledem zosobnění na adrese https://security.microsoft.com/impersonationinsight je dostupná, když v přehledu zosobnění na stránce Anti-phishing vyberete Zobrazit zosobnění.

Na stránce Přehled zosobnění ověřte, že je vybraná karta Domény .

Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:^*

• Doména odesílatele: Zosobňující doména, což je doména, která byla použita k odeslání e-mailové zprávy.
• Počet zpráv: Počet zpráv od zosobnění domény odesílatele za posledních sedm dnů.
• Typ zosobnění: Tato hodnota zobrazuje zjištěné umístění zosobnění (například Doména v adrese).
• Zosobněné domény: Doména chráněná ochranou před zosobněním domény, která by měla vypadat podobně jako doména v doméně odesílatele.
• Typ domény: Tato hodnota je Doména společnosti pro akceptované domény nebo Vlastní doména pro vlastní domény.
• Zásada: Zásady ochrany proti útokům phishing, které detekovaly zosobněnou doménu.
• Povoleno zosobnění: Jedna z následujících hodnot:
  • Ano: Doména byla nakonfigurována jako důvěryhodná doména (výjimka pro ochranu před zosobněním) v zásadách ochrany proti útokům phishing, které zprávu detekovaly. Zprávy z zosobněné domény byly zjištěny, ale povolené.
  • Ne: Doména byla nakonfigurovaná pro ochranu před zosobněním v zásadách ochrany proti útokům phishing, které zprávu detekovaly. Akce pro detekci zosobnění domény v zásadách ochrany proti útokům phishing se provede se zprávou.

^* Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Oddálení ve webovém prohlížeči

Pokud chcete změnit seznam detekcí zosobnění domény z normálního na kompaktní, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Kompaktní seznam.

Pomocí vyhledávacího pole a seznamu hodnot oddělených čárkami vyhledejte konkrétní detekce zosobnění domény.

Pomocí exportu vyexportujte seznam detekcí zosobnění domény do souboru CSV.

Zobrazení podrobností o detekci zosobnění domény

Na kartě Domains (Domény ) na stránce S přehledem zosobnění na adrese https://security.microsoft.com/impersonationinsight?type=Domainvyberte jednu z detekcí zosobnění kliknutím na libovolné místo na jiném řádku než na zaškrtávací políčko.

V informačním rámečku s podrobnostmi jsou k dispozici následující informace:

• Proč jsme to chytili?

• Co musíte udělat?

• Domain summary (Souhrn domény): Doména, která byla zjištěna jako zosobnění.

• Data whois: Obsahuje informace o doméně:

  • Umístění odesílatele
  • Datum vytvoření domény
  • Datum vypršení platnosti domény
  • Žadatel o registraci

• Šetření Průzkumníka: Výběrem odkazu otevřete Průzkumníka hrozeb nebo detekce v reálném čase , kde najdete další podrobnosti o odesílateli.

• Email od odesílatele: Tato část obsahuje následující informace o podobných zprávách od odesílatelů v doméně:

  • Date
  • Příjemce
  • Předmět
  • Odesílatel
  • IP adresa odesílatele
  • Akce doručení

Tip

Pokud chcete zobrazit podrobnosti o dalších položkách zosobnění domény, aniž byste opustili vysouvací panel podrobností, použijte v horní části informačního rámečku Možnost Předchozí položka a Další položka.

Pokud chcete zabránit tomu, aby odesílatelé ve zjištěné doméně byli identifikováni jako zosobnění domény, přečtěte si další pododdíl.

Vyloučení odesílatelů ve zjištěné doméně z budoucích kontrol zosobnění domény

Na kartě Domény na stránce Přehled zosobnění na adrese https://security.microsoft.com/impersonationinsight?type=Domainpomocí následujícího postupu vyněžte odesílatele ve zjištěné doméně, aby byli identifikováni jako zosobnění domény:

Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko.

V informačním rámečku podrobností, který se otevře, použijte nastavení Vybrat zásadu zosobnění k úpravě a Přidat do seznamu povolených zosobnění v horní části informačního rámečku. Tato nastavení společně přidají doménu do seznamu Důvěryhodných odesílatelů a domén v zásadách , které nesprávně identifikovaly zprávu jako zosobnění domény:

• V rozevíracím seznamu vyberte zásady ochrany proti útokům phishing. Zásady ochrany proti útokům phishing, které byly zodpovědné za detekci zprávy, se zobrazují v hodnotě Zásady na kartě Doména .

• Posunutím přepínače do polohy Zapnuto přidáte doménu do seznamu Důvěryhodných odesílatelů a domén ve vybrané zásadě.

  Pokud chcete odebrat doménu ze seznamu Důvěryhodných odesílatelů a domén , posuňte přepínač zpět na

Až budete v informačním rámečku podrobností hotovi, vyberte Zavřít.

Zobrazení informací o detekcích zosobnění uživatelů

Stránka s přehledem zosobnění na adrese https://security.microsoft.com/impersonationinsight je dostupná, když v přehledu zosobnění na stránce Anti-phishing vyberete Zobrazit zosobnění.

Na stránce Přehled zosobnění vyberte kartu Uživatelé .

Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:^*

• Odesílatel: E-mailová adresa zosobňujícího odesílatele, který e-mailovou zprávu odeslal.
• Počet zpráv: Počet zpráv od zosobňujícího odesílatele za posledních sedm dnů.
• Typ zosobnění: Například Uživatel se zobrazeným jménem.
• Zosobnění uživatelé: Zobrazované jméno a e-mailová adresa odesílatele chráněného ochranou před zosobněním, které se podobají e-mailové adrese v poli Odesílatel.
• Typ uživatele: Typ použité ochrany (například Chráněný uživatel nebo Inteligentní funkce poštovní schránky).
• Zásada: Zásady ochrany proti útokům phishing, které detekovaly zosobněného odesílatele.
• Povoleno zosobnění: Jedna z následujících hodnot:
  • Ano: Odesílatel byl nakonfigurován jako důvěryhodný uživatel (výjimka pro ochranu před zosobněním) v zásadách ochrany proti útokům phishing, které zprávu detekovaly. Zprávy od zosobněného odesílatele byly zjištěny, ale povoleny.
  • Ne: Odesílatel byl nakonfigurován pro ochranu před zosobněním v zásadách ochrany proti útokům phishing, které zprávu detekovaly. Akce pro detekci zosobnění uživatele v zásadách ochrany proti útokům phishing se provede se zprávou.

^* Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Oddálení ve webovém prohlížeči

Pokud chcete změnit seznam detekce zosobnění uživatele z normálního na kompaktní, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Kompaktní seznam.

Pomocí vyhledávacího pole a seznamu hodnot oddělených čárkami vyhledejte konkrétní detekce zosobnění uživatele.

Pomocí exportu vyexportujte seznam detekcí zosobnění uživatele do souboru CSV.

Zobrazení podrobností o detekci zosobnění uživatele

Na kartě Uživatelé na stránce Přehled zosobnění na https://security.microsoft.com/impersonationinsight?type=Useradrese vyberte jednu z detekcí zosobnění kliknutím na libovolné místo na jiném řádku než na zaškrtávací políčko.

V informačním rámečku s podrobnostmi jsou k dispozici následující informace:

• Proč jsme to chytili?

• Co musíte udělat?

• Souhrn odesílatele: Odesílatel, který byl zjištěn jako zosobnění.

• Šetření Průzkumníka: Výběrem odkazu otevřete Průzkumníka hrozeb nebo detekce v reálném čase , kde najdete další podrobnosti o odesílateli.

• Email od odesílatele: Tato část obsahuje následující informace o podobných zprávách od odesílatele:

  • Date
  • Příjemce
  • Předmět
  • Odesílatel
  • IP adresa odesílatele
  • Akce doručení

Tip

Pokud chcete zobrazit podrobnosti o položkách zosobnění jiných uživatelů, aniž byste opustili vysouvací panel podrobností, použijte předchozí položku a další položku v horní části informačního rámečku.

Pokud chcete zabránit tomu, aby byl zjištěný odesílatel identifikován jako zosobnění uživatele, přečtěte si další pododdíl.

Vyloučení zjištěného odesílatele z budoucích kontrol zosobnění uživatele

Na kartě Uživatelé na stránce Přehled zosobnění na adrese https://security.microsoft.com/impersonationinsight?type=Userpomocí následujícího postupu vyněžte zjištěné odesílatele z identifikace zosobnění uživatele:

Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko.

V informačním rámečku podrobností, který se otevře, použijte nastavení Vybrat zásadu zosobnění k úpravě a Přidat do seznamu povolených zosobnění v horní části informačního rámečku. Tato nastavení společně přidají odesílatele do seznamu Důvěryhodných odesílatelů a domén v zásadách , které nesprávně identifikovaly zprávu jako zosobnění uživatele:

• V rozevíracím seznamu vyberte zásady ochrany proti útokům phishing. Zásady ochrany proti útokům phishing, které byly zodpovědné za detekci zprávy, se zobrazují v hodnotě Zásady na kartě Doména .

• Posunutím přepínače do polohy Zapnuto přidáte odesílatele do seznamu Důvěryhodných odesílatelů a domén ve vybrané zásadě.

  Pokud chcete odesílatele odebrat ze seznamu Důvěryhodných odesílatelů a domén , posuňte přepínač zpět na

Až budete v informačním rámečku podrobností hotovi, vyberte Zavřít.