Finjuster beskyttelse mod phishing
Selvom Microsoft 365 leveres med en række anti-phishing-funktioner, der er aktiveret som standard, er det muligt, at nogle phishing-meddelelser stadig kan komme igennem til postkasser i din organisation. I denne artikel beskrives det, hvad du kan gøre for at finde ud af, hvorfor en phishing-meddelelse kom igennem, og hvad du kan gøre for at justere indstillingerne for anti-phishing i din Microsoft 365-organisation uden at komme til at gøre tingene værre ved et uheld.
Første ting først: Tag dig af alle kompromitterede konti, og sørg for, at du blokerer flere phishing-meddelelser fra at komme igennem
Hvis en modtagers konto blev kompromitteret som følge af phishing-meddelelsen, skal du følge trinnene i Besvarelse af en kompromitteret mailkonto i Microsoft 365.
Hvis dit abonnement indeholder Microsoft Defender for Office 365, kan du bruge Office 365 Threat Intelligence til at identificere andre brugere, der også har modtaget phishing-meddelelsen. Du har flere muligheder for at blokere phishing-meddelelser:
- Sikre links i Microsoft Defender for Office 365
- Sikre vedhæftede filer i Microsoft Defender for Office 365
- Politikker til bekæmpelse af phishing i Microsoft Defender for Office 365. Du kan midlertidigt øge tærsklerne for avanceret phishing i politikken fra Standard til Aggressiv, Mere aggressiv eller Mest aggressiv.
Kontrollér, at disse politikker fungerer. Beskyttelse af sikre links og sikre vedhæftede filer er som standard slået til takket være indbygget beskyttelse i forudindstillede sikkerhedspolitikker. Anti-phishing har en standardpolitik, der gælder for alle modtagere, hvor beskyttelse mod spoofing er slået til som standard. Repræsentationsbeskyttelse er ikke slået til i politikken og skal derfor konfigureres. Du kan finde instruktioner under Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365.
Rapportér phishingmeddelelsen til Microsoft
Rapportering af phishing-meddelelser er nyttigt i forbindelse med justering af de filtre, der bruges til at beskytte alle kunder i Microsoft 365. Du kan finde instruktioner under Brug siden Indsendelser til at sende mistanke om spam, phish, URL-adresser, blokeret mail og vedhæftede filer i mails til Microsoft.
Undersøg brevhovederne
Du kan undersøge overskrifterne i phishing-meddelelsen for at se, om der er noget, du selv kan gøre for at forhindre, at der kommer flere phishing-meddelelser. Det vil sige, at hvis du undersøger brevhovederne, kan det hjælpe dig med at identificere de indstillinger i organisationen, der er ansvarlige for at tillade phishing-meddelelserne.
Du skal specifikt kontrollere feltet X-Forefront-Antispam-Report-header i meddelelsesheaderne for at få oplysninger om, at der er sprunget filtrering over for spam eller phishing, i SFV-værdien (Spam Filtering Verdict). Meddelelser, der springer filtrering over, har en post i SCL:-1
, hvilket betyder, at en af dine indstillinger tillod denne meddelelse ved at tilsidesætte de spam- eller phishing-domme, der blev bestemt af tjenesten. Du kan få flere oplysninger om, hvordan du henter brevhoveder og den komplette liste over alle tilgængelige overskrifter til anti-spam og anti-phishing-meddelelser, under Brevhoveder til anti-spam i Microsoft 365.
Tip
Du kan kopiere og indsætte indholdet af en meddelelsesoverskrift i værktøjet Analyse af meddelelsesoverskrift . Dette værktøj hjælper med at fortolke overskrifter og sætte dem i et mere læsevenligt format.
Du kan også bruge konfigurationsanalysen til at sammenligne dine EOP- og Defender for Office 365 sikkerhedspolitikker med Standard- og Strict-anbefalingerne.
Bedste praksis for beskyttelse
Kør Secure Score hver måned for at vurdere din organisations sikkerhedsindstillinger.
For meddelelser, der ender i karantæne ved en fejl (falske positiver) eller for meddelelser, der er tilladt via (falske negative), anbefaler vi, at du søger efter disse meddelelser i Threat Explorer og registreringer i realtid. Du kan søge efter afsender, modtager eller meddelelses-id. Når du har fundet meddelelsen, skal du gå til detaljer ved at klikke på emnet. Hvis du har en meddelelse i karantæne, skal du se, hvad "registreringsteknologien" var, så du kan bruge den relevante metode til at tilsidesætte. Hvis du vil se en tilladt meddelelse, skal du se, hvilken politik der tillader meddelelsen.
Mail fra spoofede afsendere (meddelelsens Fra-adresse stemmer ikke overens med meddelelsens kilde) klassificeres som phishing i Defender for Office 365. Nogle gange er spoofing godartet, og nogle gange ønsker brugerne ikke, at meddelelser fra en bestemt spoofed afsender sættes i karantæne. Hvis du vil minimere indvirkningen for brugerne, skal du jævnligt gennemse indsigten spoof intelligence, poster for spoofed afsendere på lejerens tillad/blokliste og rapporten Spoof-registreringer. Når du har gennemset tilladte og blokerede spoofede afsendere og foretaget de nødvendige tilsidesættelser, kan du med sikkerhed konfigurere spoof intelligence i politikker til anti-phishing for at sætte mistænkelige meddelelser i karantæne i stedet for at levere dem til brugerens mappe med uønsket mail.
I Defender for Office 365 kan du også bruge siden Repræsentationsindsigt på https://security.microsoft.com/impersonationinsight til at spore registrering af brugerrepræsentation eller domænerepræsentation. Du kan få flere oplysninger under Repræsentationsindsigt i Defender for Office 365.
Gennemse jævnligt rapporten Threat Protection Status for phishing-registreringer.
Nogle kunder tillader utilsigtet phishing-meddelelser ved at placere deres egne domæner på listen Tillad afsender eller Tillad domæne i politikker til bekæmpelse af spam. Selvom denne konfiguration tillader nogle legitime meddelelser, tillader den også skadelige meddelelser, der normalt blokeres af spam- og/eller phishingfiltrene. I stedet for at tillade domænet skal du rette det underliggende problem.
Den bedste måde at håndtere legitime meddelelser, der er blokeret af Microsoft 365 (falske positiver), der involverer afsendere i dit domæne, er at konfigurere SPF-, DKIM- og DMARC-posterne fuldt ud og fuldstændigt i DNS for alle dine maildomæner:
Bekræft, at din SPF-post identificerer alle mailkilder for afsendere i dit domæne (glem ikke tredjepartstjenester!).
Brug hårde fejl (-all) til at sikre, at uautoriserede afsendere afvises af mailsystemer, der er konfigureret til at gøre det. Du kan bruge indsigt i spoof intelligence til at identificere afsendere, der bruger dit domæne, så du kan inkludere godkendte afsendere fra tredjepart i din SPF-post.
Du kan finde konfigurationsanvisninger under:
Når det er muligt, anbefaler vi, at du leverer mail til dit domæne direkte til Microsoft 365. Med andre ord skal du pege dit Microsoft 365-domænes MX-post på Microsoft 365. Exchange Online Protection (EOP) er i stand til at yde den bedste beskyttelse til dine cloudbrugere, når deres mail leveres direkte til Microsoft 365. Hvis du skal bruge et tredjeparts-e-mailhygiejnesystem foran EOP, skal du bruge forbedret filtrering for forbindelser. Du kan finde instruktioner under Udvidet filtrering for forbindelser i Exchange Online.
Få brugerne til at bruge den indbyggede knap Rapport i Outlook på internettet eller installere tilføjelsesprogrammer til Microsoft Report Message eller Report Phishing i din organisation. Konfigurer de brugerrapporterede indstillinger for at sende brugerrapporterede meddelelser til en postkasse, til Microsoft eller begge dele. Brugerrapporterede meddelelser er derefter tilgængelige for administratorer under fanen Brugerrapporteret på siden Indsendelser på https://security.microsoft.com/reportsubmission?viewid=user. Administration kan rapportere brugerrapporterede meddelelser eller meddelelser til Microsoft som beskrevet i Brug siden Indsendelser til at sende mistanke om spam, phish, URL-adresser, legitime mails, der blokeres, og vedhæftede filer i mails til Microsoft. Det er vigtigt, at brugeren eller administratoren rapporterer falske positiver eller falske negativer til Microsoft, da det hjælper med at oplære vores registreringssystemer.
Multifaktorgodkendelse (MFA) er en god måde at forhindre kompromitterede konti på. Du bør på det kraftigste overveje at aktivere MFA for alle dine brugere. I forbindelse med en faseinddelt tilgang skal du starte med at aktivere MFA for dine mest følsomme brugere (administratorer, direktører osv.), før du aktiverer MFA for alle. Du kan finde instruktioner under Konfigurer multifaktorgodkendelse.
Videresendelsesregler til eksterne modtagere bruges ofte af hackere til at udtrække data. Brug oplysninger om regler for videresendelse af postkasser i Microsoft Secure Score til at finde og endda forhindre videresendelse af regler til eksterne modtagere. Du kan få flere oplysninger under Mitigating Client External Forwarding Rules with Secure Score (Mitigating Client External Forwarding Rules with Secure Score).
Brug rapporten Automatisk videresendte meddelelser til at få vist specifikke oplysninger om videresendte mails.