Ladění ochrany proti útokům phishing

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

I když je Microsoft 365 součástí různých anti-phishingových funkcí, které jsou ve výchozím nastavení povolené, je možné, že se některé phishingové zprávy stále dostanou do poštovních schránek ve vaší organizaci. Tento článek popisuje, co můžete udělat, abyste zjistili, proč se phishingová zpráva dostala, a co můžete udělat pro úpravu nastavení ochrany proti útokům phishing ve vaší organizaci Microsoft 365 , aniž byste to omylem zhoršili.

První věc: Zajistěte si všechny ohrožené účty a ujistěte se, že blokujete další phishingové zprávy, aby se neprošly.

Pokud byl v důsledku phishingové zprávy ohrožen účet příjemce, postupujte podle kroků v tématu Reakce na ohrožený e-mailový účet v Microsoftu 365.

Pokud vaše předplatné obsahuje Microsoft Defender pro Office 365, můžete pomocí analýzy hrozeb Office 365 identifikovat další uživatele, kteří také obdrželi phishingovou zprávu. Máte další možnosti blokování phishingových zpráv:

• Bezpečné odkazy v Microsoft Defender pro Office 365
• Bezpečné přílohy v Microsoft Defender pro Office 365
• Zásady ochrany proti útokům phishing v Microsoft Defender pro Office 365. Prahové hodnoty pokročilých útoků phishing v zásadách můžete dočasně zvýšit ze standardních hodnot na agresivní, agresivnější nebo nejagresivnější.

Ověřte, že tyto zásady fungují. Ochrana bezpečných odkazů a bezpečných příloh je ve výchozím nastavení zapnutá díky integrované ochraně v přednastavených zásadách zabezpečení. Anti-phishing má výchozí zásadu, která platí pro všechny příjemce, u kterých je ochrana proti falšování identity ve výchozím nastavení zapnutá. Ochrana před zosobněním není v zásadách zapnutá, a proto je potřeba ji nakonfigurovat. Pokyny najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.

Nahlášení phishingové zprávy Microsoftu

Hlášení phishingových zpráv je užitečné při ladění filtrů, které se používají k ochraně všech zákazníků v Microsoftu 365. Pokyny najdete v tématu Použití stránky Odeslání k odesílání podezřelých spamů, phishing, adres URL, blokování legitimních e-mailů a e-mailových příloh společnosti Microsoft.

Kontrola záhlaví zpráv

Můžete prozkoumat hlavičky phishingové zprávy a zjistit, jestli existuje něco, co můžete udělat sami, abyste zabránili dalším útokům phishing. Jinými slovy, prozkoumání hlaviček zpráv vám může pomoct identifikovat všechna nastavení ve vaší organizaci, která byla zodpovědná za povolení phishingových zpráv.

Konkrétně byste měli zkontrolovat pole záhlaví X-Forefront-Antispam-Report v záhlavích zpráv, jestli v hodnotě SFV (Spam Filtering Verdict) není uvedeno přeskočení filtrování spamu nebo phishingu. Zprávy, které přeskočí filtrování, mají záznam SCL:-1, což znamená, že jedno z vašich nastavení tuto zprávu povolilo, protože přepíšete rozsudky spamu nebo phishingu, které byly určeny službou. Další informace o tom, jak získat záhlaví zpráv, a úplný seznam všech dostupných záhlaví zpráv antispamových a phishingových zpráv najdete v tématu Hlavičky zpráv proti spamu v Microsoftu 365.

Tip

Obsah záhlaví zprávy můžete zkopírovat a vložit do nástroje Analyzátor hlaviček zpráv . Tento nástroj pomáhá analyzovat záhlaví a dát je do čitelnějšího formátu.

Analyzátor konfigurace můžete také použít k porovnání zásad zabezpečení EOP a Defender pro Office 365 se standardními a striktními doporučeními.

Osvědčené postupy pro zajištění ochrany

• Každý měsíc spusťte Secure Score a vyhodnoťte nastavení zabezpečení vaší organizace.

• U zpráv, které omylem končí v karanténě (falešně pozitivní výsledky), nebo zpráv, které jsou povolené (falešně negativní), doporučujeme tyto zprávy vyhledat v Průzkumníku hrozeb a detekcích v reálném čase. Můžete hledat podle odesílatele, příjemce nebo ID zprávy. Po vyhledání zprávy přejděte na podrobnosti kliknutím na předmět. V případě zprávy v karanténě se podívejte, co byla "technologie detekce", abyste mohli použít příslušnou metodu k přepsání. V případě povolené zprávy se podívejte, které zásady ji povolily.

• Email od zfalšovaných odesílatelů (adresa odesílatele zprávy neodpovídá zdroji zprávy) se v Defender pro Office 365 klasifikují jako phishing. Někdy je falšování identity neškodné a někdy uživatelé nechtějí, aby zprávy od konkrétního zfalšovaného odesílatele byly v karanténě. Pokud chcete minimalizovat dopad na uživatele, pravidelně kontrolujte přehled funkce falšování identity, položky pro zfalšované odesílatele v seznamu povolených/blokovaných uživatelů tenanta a sestavu detekce falšování identity. Jakmile zkontrolujete povolené a blokované zfalšované odesílatele a provedete potřebná přepsání, můžete s jistotou nakonfigurovat informace o falšování identity v zásadách ochrany proti útokům phishing tak, aby podezřelé zprávy byly v karanténě, místo abyste je doručovali do složky Nevyžádané Email uživatele.

• V Defender pro Office 365 můžete ke sledování zosobnění uživatele nebo detekce zosobnění domény použít také stránku s přehledem zosobnění zosobnění uživatele na adresehttps://security.microsoft.com/impersonationinsight. Další informace najdete v tématu Přehled zosobnění v Defender pro Office 365.

• Pravidelně kontrolujte sestavu stavu ochrany před internetovými útoky, kde najdete informace o detekci útoků phishing.

• Někteří zákazníci neúmyslně povolují phishingové zprávy tím, že do zásad povolit odesílatele nebo Povolit doménu v zásadách ochrany proti spamu umístí své vlastní domény. I když tato konfigurace umožňuje prostřednictvím některých legitimních zpráv, umožňuje také škodlivé zprávy, které by za normálních okolností byly blokované filtry spamu a/nebo phishingu. Místo povolení domény byste měli opravit základní problém.

  Nejlepší způsob, jak pracovat s legitimními zprávami blokovanými Microsoftem 365 (falešně pozitivní zprávy), které zahrnují odesílatele ve vaší doméně, je úplná a úplná konfigurace záznamů SPF, DKIM a DMARC ve službě DNS pro všechny vaše e-mailové domény:

  • Ověřte, že záznam SPF identifikuje všechny zdroje e-mailu pro odesílatele ve vaší doméně (nezapomeňte na služby třetích stran!).

  • Pomocí hard fail (-all) zajistíte, že e-mailové systémy, které jsou k tomu nakonfigurované, budou neautorizovaní odesílatelé odmítnuti. Přehled informací o falšování identity vám pomůže identifikovat odesílatele, kteří používají vaši doménu, abyste mohli do záznamu SPF zahrnout autorizované odesílatele třetích stran.

  Pokyny ke konfiguraci najdete tady:

  • Nastavení specifikace SPF, aby se zabránilo falšování identity
  • Ověření odchozích e-mailů odeslaných z vlastní domény pomocí DKIM
  • Ověření e-mailů pomocí DMARC

• Kdykoli je to možné, doporučujeme doručovat e-maily pro svoji doménu přímo do Microsoftu 365. Jinými slovy, nasměrujte záznam MX vaší domény Microsoft 365 na Microsoft 365. Exchange Online Protection (EOP) dokáže uživatelům cloudu poskytnout nejlepší ochranu, když se jejich pošta doručí přímo do Microsoftu 365. Pokud před EOP musíte použít e-mailový systém od jiného výrobce, použijte rozšířené filtrování konektorů. Pokyny najdete v tématu Rozšířené filtrování konektorů v Exchange Online.

• Požádejte uživatele, aby používali integrované tlačítko Nahlásit v Outlooku nebo nasadili doplňky Microsoft Report Message nebo Report Phishing ve vaší organizaci. Nakonfigurujte nastavení nahlášené uživatelem tak, aby se zprávy nahlášené uživateli odesílaly do poštovní schránky sestav, do Microsoftu nebo do obou. Zprávy nahlášené uživatelem jsou pak správcům k dispozici na kartě Nahlášené uživatelem na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=user. Správa může společnosti Microsoft hlásit zprávy nahlášené uživateli nebo jakékoli zprávy, jak je popsáno v tématu Použití stránky Odeslání k odesílání podezřelých spamů, phishing, adres URL, blokování legitimních e-mailů a e-mailových příloh společnosti Microsoft. Uživatel nebo správce hlásí společnosti Microsoft falešně pozitivní nebo falešně negativní zprávy, protože to pomáhá vytrénovat naše systémy detekce.

• Vícefaktorové ověřování (MFA) je dobrý způsob, jak zabránit ohroženým účtům. Důrazně byste měli zvážit povolení vícefaktorového ověřování pro všechny uživatele. Pokud chcete použít fázovaný přístup, začněte tím, že povolíte MFA pro nejcitlivější uživatele (správce, vedoucí pracovníky atd.), než povolíte MFA pro všechny. Pokyny najdete v tématu Nastavení vícefaktorového ověřování.

• Pravidla předávání externím příjemcům často používají útočníci k extrahování dat. Pomocí informací Kontrola pravidel předávání poštovních schránek ve skóre zabezpečení Microsoftu můžete najít pravidla přeposílání externím příjemcům a dokonce jim zabránit. Další informace najdete v tématu Omezení rizik pravidel externího předávání klientů se skóre zabezpečení.

  Pomocí sestavy automaticky odforedovaných zpráv můžete zobrazit konkrétní podrobnosti o přeposlaných e-mailech.