Repræsentationsindsigt i Defender for Office 365

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender til Office 365 i prøveversionshubben til Microsoft Defender Portal. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Repræsentation er, når afsenderen af en mail ligner en rigtig eller forventet afsenders mailadresse. Angribere bruger ofte repræsenterede afsendermailadresser i phishing eller andre typer angreb for at få modtagerens tillid. Der er to grundlæggende repræsentationstyper:

• Repræsentation af domæne: Indeholder diskrete forskelle i domænet. Lila@ćóntoso.com repræsenterer lila@contoso.comf.eks. .
• Brugerpræsentation: Indeholder diskrete forskelle i mailaliaset. Repræsenterer f.eks rnichell@contoso.commichelle@contoso.com. .

Domænerepræsentation adskiller sig fra domænespoofing, fordi det repræsenterede domæne ofte er et reelt, registreret domæne, men med det formål at bedrage. Meddelelser fra afsendere i det repræsenterede domæne kan bestå regelmæssig kontrol af mailgodkendelse, der ellers ville identificere meddelelserne som spoofing-forsøg (SPF, DKIM og DMARC).

Repræsentationsbeskyttelse er en del af de indstillinger for anti-phishing-politik, der er eksklusive for Microsoft Defender for Office 365. Du kan få flere oplysninger om disse indstillinger under Repræsentationsindstillinger i politikker til bekæmpelse af phishing i Microsoft Defender til Office 365.

Administratorer kan bruge repræsentationsindsigten på Microsoft Defender-portalen til hurtigt at identificere meddelelser fra repræsenterede afsendere eller afsenderdomæner, der er angivet i repræsentationsbeskyttelse i politikker til bekæmpelse af phishing.

Hvad har du brug for at vide, før du begynder?

• Du åbner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Anti-phishing , skal du bruge https://security.microsoft.com/antiphishing. Hvis du vil gå direkte til siden Repræsentationsindsigt , skal du bruge https://security.microsoft.com/impersonationinsight.

• Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

  • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).

  • Mail & samarbejdstilladelser på Microsoft Defender-portalen: Medlemskab i en af følgende rollegrupper:

    • Organisationsadministration
    • Sikkerhedsadministrator
    • Sikkerhedslæser
    • Global læser

  • Microsoft Entra-tilladelser: Medlemskab af rollerne Global administrator^*, Sikkerhedsadministrator, Sikkerhedslæser eller Global læser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

    Vigtigt!

    ^* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

• Du aktiverer og konfigurerer repræsentationsbeskyttelse i politikker til bekæmpelse af phishing i Microsoft Defender til Office 365. Repræsentationsbeskyttelse er ikke aktiveret som standard. Du kan få flere oplysninger under Konfigurer politikker til anti-phishing i Microsoft Defender til Office 365 og Brug Microsoft Defender-portalen til at tildele standard- og strenge forudindstillede sikkerhedspolitikker til brugere.

• Du kan få flere oplysninger om licenskrav under Licensvilkår.

Åbn repræsentationsindsigten i Microsoft Defender-portalen

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Anti-phishing i afsnittet Politikker . Du kan også gå direkte til siden Anti-phishing ved at bruge https://security.microsoft.com/antiphishing.

På siden Anti-phishing ser repræsentationsindsigten sådan ud:

Indsigten har to tilstande:

• Indsigtstilstand: Hvis repræsentationsbeskyttelse er aktiveret og konfigureret i nogen anti-phishing-politikker, viser indsigten antallet af registrerede meddelelser fra repræsenterede domæner og repræsenterede brugere (afsendere) i løbet af de seneste syv dage. Det viste tal er det samlede antal registrerede repræsentationsforsøg fra alle politikker til bekæmpelse af phishing.
• What if-tilstand: Hvis repræsentationsbeskyttelse ikke er aktiveret og konfigureret i nogen aktive anti-phishing-politikker, viser indsigten, hvor mange meddelelser der ville være blevet registreret af repræsentationsbeskyttelse i løbet af de seneste syv dage.

Hvis du vil have vist oplysninger om repræsentationsregistreringer, skal du vælge Vis repræsentationer i repræsentationsindsigten for at gå til siden Repræsentationsindsigt .

Få vist oplysninger om registrering af domænerepræsentation

Siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight er tilgængelig, når du vælger Vis repræsentationer i repræsentationsindsigten på siden Anti-phishing .

På siden Repræsentationsindsigt skal du bekræfte, at fanen Domæner er valgt.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:^*:

• Afsenderdomæne: Det repræsenterende domæne, som er det domæne, der blev brugt til at sende mailen.
• Antal meddelelser: Antallet af meddelelser fra repræsentation af afsenderdomæne i løbet af de seneste syv dage.
• Repræsentationstype: Denne værdi viser den registrerede placering af repræsentationen (f.eks . Domæne i adresse).
• Repræsenterede domæner: Det domæne, der er beskyttet af beskyttelse mod repræsentation af domæner, som skal ligne domænet i afsenderdomænet.
• Domænetype: Denne værdi er Virksomhedsdomæne for accepterede domæner eller Brugerdefineret domæne for brugerdefinerede domæner.
• Politik: Politikken til bekæmpelse af phishing, der registrerede det repræsenterede domæne.
• Tilladt at repræsentere: En af følgende værdier:
  • Ja: Domænet blev konfigureret som et domæne, der er tillid til (en undtagelse for repræsentationsbeskyttelse) i den anti-phishing-politik, der registrerede meddelelsen. Meddelelser fra det repræsenterede domæne blev registreret, men tilladt.
  • Nej: Domænet blev konfigureret til repræsentationsbeskyttelse i den anti-phishing-politik, der registrerede meddelelsen. Handlingen for registrering af domænerepræsentation i politikken til bekæmpelse af phishing udføres i meddelelsen.

^* Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Zoom ud i webbrowseren.

Hvis du vil ændre listen over registreringer af domænerepræsentation fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.

Brug søgefeltet og en kommasepareret liste over værdier til at finde specifikke registreringer af domænerepræsentation.

Brug Eksportér til at eksportere listen over registreringer af domænerepræsentation til en CSV-fil.

Få vist oplysninger om registrering af domæneidentifikation

På fanen Domæner på siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight?type=Domainskal du vælge en af repræsentationsregistreringerne ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

Følgende oplysninger er tilgængelige i pop op-vinduet med detaljer:

• Hvorfor fangede vi det?

• Hvad skal du gøre?

• Domæneoversigt: Det domæne, der blev registreret som repræsentation.

• Whois-data: Indeholder oplysninger om domænet:

  • Afsenderplacering
  • Oprettelsesdato for domæne
  • Udløbsdato for domæne
  • Registrant

• Undersøgelse af Explorer: Vælg linket for at åbne Trusselsoversigt eller registreringer i realtid for at få flere oplysninger om afsenderen.

• Mail fra afsender: I dette afsnit vises følgende oplysninger om lignende meddelelser fra afsendere i domænet:

  • Dato
  • Modtager
  • Emne
  • Afsender
  • Afsenders IP
  • Leveringshandling

Tip

Hvis du vil se detaljer om andre poster for domæne repræsentation uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

Hvis du vil forhindre afsendere i et registreret domæne i at blive identificeret som domænerepræsentation, skal du se næste underafsnit.

Undtaget afsendere i et registreret domæne fra fremtidige kontroller af domænerepræsentation

På fanen Domæner på siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight?type=Domainskal du bruge følgende trin til at fritage afsendere i et registreret domæne fra at blive identificeret som domænerepræsentation:

Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

I pop op-vinduet med detaljer, der åbnes, skal du bruge politikken Vælg repræsentation til at redigere og føje til indstillingerne for listen over tilladte repræsentationer øverst i pop op-vinduet. Disse indstillinger arbejder sammen om at føje domænet til listen over afsendere og domæner , der er tillid til, i politikken, som fejlagtigt har identificeret meddelelsen som domænerepræsentation:

• Vælg politikken til bekæmpelse af phishing på rullelisten. Den anti-phishing-politik, der var ansvarlig for at registrere meddelelsen, vises i værdien Politik under fanen Domæne .

• Sæt til/fra-knappen til: Hvis du vil føje domænet til listen afsendere og domæner, der er tillid til, i den valgte politik.

  Hvis du vil fjerne domænet fra listen over afsendere og domæner , der er tillid til, skal du skubbe til/fra-knappen tilbage til

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Få vist oplysninger om registrering af brugerrepræsentation

Siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight er tilgængelig, når du vælger Vis repræsentationer i repræsentationsindsigten på siden Anti-phishing .

Vælg fanen Brugere på siden Repræsentationsindsigt.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:^*:

• Afsender: Mailadressen på den repræsenterende afsender, der sendte mailen.
• Antal meddelelser: Antallet af meddelelser fra den repræsenterende afsender i løbet af de seneste syv dage.
• Repræsentationstype: F.eks. Bruger i vist navn.
• Repræsenterede brugere: Det viste navn og den viste mailadresse på den afsender, der er beskyttet af repræsentationsbeskyttelse, som ligner mailadressen i Afsender.
• Brugertype: Den type beskyttelse, der anvendes (f.eks. Beskyttet bruger eller Postkasseintelligens).
• Politik: Den anti-phishing-politik, der registrerede den repræsenterede afsender.
• Tilladt at repræsentere: En af følgende værdier:
  • Ja: Afsenderen blev konfigureret som en bruger, der er tillid til (en undtagelse for repræsentationsbeskyttelse) i den anti-phishing-politik, der registrerede meddelelsen. Meddelelser fra den repræsenterede afsender blev registreret, men tilladt.
  • Nej: Afsenderen blev konfigureret til repræsentationsbeskyttelse i den anti-phishing-politik, der registrerede meddelelsen. Handlingen for registrering af brugerrepræsentation i politikken til bekæmpelse af phishing udføres i meddelelsen.

^* Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Zoom ud i webbrowseren.

Hvis du vil ændre listen over registreringer af brugerrepræsentation fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.

Brug søgefeltet og en kommasepareret liste over værdier til at finde bestemte brugerrepræsentationsregistreringer.

Brug Eksportér til at eksportere listen over registreringer af brugerrepræsentation til en CSV-fil.

Få vist oplysninger om registrering af en brugers repræsentation

På fanen Brugere på siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight?type=Userskal du vælge en af repræsentationsregistreringerne ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

Følgende oplysninger er tilgængelige i pop op-vinduet med detaljer:

• Hvorfor fangede vi det?

• Hvad skal du gøre?

• Afsenderoversigt: Den afsender, der blev registreret som repræsentation.

• Undersøgelse af Explorer: Vælg linket for at åbne Trusselsoversigt eller registreringer i realtid for at få flere oplysninger om afsenderen.

• Mail fra afsender: I dette afsnit vises følgende oplysninger om lignende meddelelser fra afsenderen:

  • Dato
  • Modtager
  • Emne
  • Afsender
  • Afsenders IP
  • Leveringshandling

Tip

Hvis du vil se detaljer om andre poster for brugerpræsentation uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

Hvis du vil forhindre, at en registreret afsender identificeres som brugerrepræsentation, skal du se næste undersektion.

Undtaget en registreret afsender fra fremtidige efterligningskontroller for brugere

På fanen Brugere på siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight?type=Userskal du bruge følgende trin til at fritage registrerede afsendere fra at blive identificeret som brugerrepræsentation:

Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

I pop op-vinduet med detaljer, der åbnes, skal du bruge politikken Vælg repræsentation til at redigere og føje til indstillingerne for listen over tilladte repræsentationer øverst i pop op-vinduet. Disse indstillinger arbejder sammen om at føje afsenderen til listen over afsendere og domæner , der er tillid til, på den politik, der fejlagtigt identificerede meddelelsen som brugerrepræsentation:

• Vælg politikken til bekæmpelse af phishing på rullelisten. Den anti-phishing-politik, der var ansvarlig for at registrere meddelelsen, vises i værdien Politik under fanen Domæne .

• Sæt til/fra-knappen til: Hvis du vil føje afsenderen til listen over afsendere og domæner, der er tillid til, i den valgte politik.

  Hvis du vil fjerne afsenderen fra listen over afsendere og domæner , der er tillid til, skal du skubbe til/fra-knappen tilbage til

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.