Pilvipalvelupostilaatikoiden tietojen väärentäminen

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender ominaisuuksia ilmaiseksi palvelupakettiin 2 Office 365? Käytä 90 päivän Defender-Office 365 kokeiluversiota Microsoft Defender portaalin kokeilukeskuksessa. Lue lisää siitä, ketkä voivat rekisteröityä ja käyttää kokeiluehtoja Office 365 Try Microsoft Defender -ruudussa.

Kaikissa organisaatioissa, joissa on pilvipalvelupostilaatikoita, saapuvat sähköpostiviestit suojataan automaattisesti tekemiseltä. Microsoft 365 käyttää huijaustietoja osana organisaatiosi yleistä puolustusta tietojenkalastelua vastaan. Lisätietoja on artikkelissa Huijaussuojaus.

Kun lähettäjä esittää sähköpostiosoitteen, hän vaikuttaa olevan jollakin organisaatiosi toimialueilla oleva käyttäjä tai ulkoisen toimialueen käyttäjä, joka lähettää sähköpostia organisaatioosi. Hyökkääjät, jotka huijaavat lähettäjiä lähettämään roskapostia tai tietojenkalastelusähköpostia, on estettävä. On kuitenkin tilanteita, joissa lailliset lähettäjät ovat huijaus. Esimerkki:

• Sisäiset toimialueiden väärentämisen oikeutetut skenaariot:

  • Muut kuin Microsoftin lähettäjät käyttävät toimialuettasi joukkosähköpostin lähettämiseen organisaatiosi käyttäjille (esimerkiksi yrityksen kyselyille).
  • Ulkoinen yritys luo ja lähettää mainonta- tai tuotepäivityksiä puolestasi.
  • Avustajan on lähetettävä säännöllisesti sähköpostia toiselle organisaatiosi henkilölle.
  • Sisäinen sovellus lähettää sähköposti-ilmoituksia.

• Ulkoisten toimialueiden väärentämisen oikeutetut skenaariot:

  • Lähettäjä on postituslistalla (eli keskusteluluettelona), ja postitusluettelo välittää sähköpostiviestin alkuperäiseltä lähettäjältä kaikille postitusluettelon osallistujille.
  • Ulkoinen yritys lähettää sähköpostia toisen yrityksen puolesta (esimerkiksi automatisoitu raportti tai ohjelmisto palveluna -yritys).

Microsoft Defender portaalin tietojen avulla voit nopeasti tunnistaa ja sallia manuaalisesti huijatut lähettäjät, jotka lähettävät sinulle laillisesti sähköpostia, joka ei läpäise sähköpostin todennusta (SPF, DKIM tai DMARC).

Sallimalla tunnettujen lähettäjien lähettää väärennettyjä viestejä tunnetuista sijainneista voit vähentää false-positiivisia arvoja (hyvä sähköposti, joka on merkitty virheelliseksi). Valvomalla sallittuja huijattuja lähettäjiä annat lisäsuojauskerroksen, jotta organisaatioosi ei saada turvattomia viestejä.

Voit myös käyttää tietoja, joiden avulla voit tarkastella huijattuja lähettäjiä, jotka ovat huijattuja ja jotka estävät lähettäjät manuaalisesti.

Tämän artikkelin loppuosassa kerrotaan, miten voit käyttää merkityksellisiä tietoja Microsoft Defender portaalissa ja PowerShellissä.

Huomautus

• Tässä oivallukset näyttävät vain huijatuille lähettäjille, jotka on tunnistettu huijatuilla tiedoilla. Viestit toimialueilta, jotka epäonnistuvat DMARC:ssä ja joissa DMARC-käytäntö on määritetty p=rejectp=quarantine tai ei näy tässä oivalluksetessa. Nämä viestit käsitellään Honor DMARC -tietuekäytännön perusteella, kun viestin havaitaan olevan huijausasetus tietojenkalastelun vastaisissa käytännöissä.

• Kun ohitat tietojen teon sallimis- tai estämispäätöksen, huijatusta lähettäjästä tulee manuaalinen sallittu- tai estämismerkintä, joka näkyy vain Spoofed-lähettäjät-välilehdelläVuokraajan salli/estä luettelot -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Voit myös luoda manuaalisesti sallittuja tai estettyjä merkintöjä huijatuille lähettäjille, ennen kuin huijatut tiedustelutiedot tunnistavat ne. Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa Huijatut lähettäjät.

• ToimintoarvotSalli tai Estä huijatuissa merkityksellisissä tiedoista viittaavat spoof-tunnistamiseen (tunnistiko Microsoft 365 viestin huijatuksi vai ei). Action-arvo ei välttämättä vaikuta viestin yleiseen suodatukseen. Jos esimerkiksi haluat välttää virheelliset positiiviset tiedot, saatat saada huijattua viestiä, jos huomaamme, ettei sillä ole pahantahtoista tarkoitusta.

• Tietohuijaus näyttää seitsemän päivän edestä tietoja. Get-SpoofIntelligenceInsight-cmdlet-komento näyttää tietoja 30 päivän ajalta.

Mitä on hyvä tietää ennen aloittamista?

• Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan Palveltavan kohteen Salli/Estä luettelot -sivun Lähettäjät-välilehdelle, käytä kohdetta https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Jos haluat siirtyä suoraan Spoof Intelligence Insight -sivulle, käytä -toimintoa https://security.microsoft.com/spoofintelligence.

• Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online PowerShelliin.

• Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

  • Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).

  • Exchange Online käyttöoikeudet:

    • Salli tai estä huijattuja lähettäjiä tai ota käyttöön tai poista käytöstä tietoja, jotka ovat jäseninä jossakin seuraavista rooliryhmistä:
      • Organisaation hallinta
      • Suojauksen järjestelmänvalvojajavain tarkastelu -määritykset tai Vain tarkastelu -organisaation hallinta.
    • Vain luku -oikeudet tietojen väärentämiseen: yleisen lukijan, suojauksen lukijan tai vain tarkastelu -organisaation hallinta - rooliryhmien jäsenyys.

  • Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan^*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksen lukija -roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.

    Tärkeää

    ^* Microsoft kannattaa voimakkaasti pienintä etuoikeutta koskevaa periaatetta. Tilien määrittäminen vain niiden tehtävien suorittamiseen tarvittavilla vähimmäisoikeuksilla auttaa pienentämään suojausriskejä ja vahvistamaan organisaatiosi yleistä suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulee rajoittaa hätätilanteisiin tai silloin, kun et voi käyttää eri roolia.

• Suositellut tietojenkalastelun torjuntakäytäntöjen asetukset, mukaan lukien huijaustiedot, ovat artikkelissa Tietojenkalastelun torjuntakäytännön asetukset kaikille pilvipalvelupostilaatikoille.

• Voit ottaa käyttöön ja poistaa käytöstä tietojenkalastelun torjuntakäytännöissä. Spoof-älykkyys on oletusarvoisesti käytössä. Lisätietoja on jossakin seuraavista artikkeleista:

  • Määritä tietojenkalastelun torjuntakäytännöt, jos sinulla ei ole Microsoft Defender Office 365
  • Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender Office 365 varten

Etsi merkitykselliset tiedot Microsoft Defender portaalista

1. Siirry Microsoft Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & yhteistyökäytännöt>& säännöt>Uhkakäytännöt>Vuokraajan salliminen/estäminen -luettelotSäännöt-osassa. Jos haluat siirtyä suoraan Vuokraajan sallittujen ja estettyjen luetteloiden sivulle, käytä -parametria https://security.microsoft.com/tenantAllowBlockList.

2. Valitse Huijatut lähettäjät -välilehti.

3. Huijatut lähettäjät -välilehden merkitykselliset tiedot ovat seuraavankaltaisia:

   

   Merkityksellisillä tiedoilla on kaksi tilaa:

   • Merkityksellisten tietojen tila: Jos tietohuijaus on käytössä, merkitykselliset tiedot näyttävät, kuinka monta viestihuijaustietoa on havaittu viimeisten seitsemän päivän aikana.
   • Entä jos -tila: Jos huijaustiedot on poistettu käytöstä, merkitykselliset tiedot näyttävät, kuinka monta älykkyysviestiä on havaittu viimeisten seitsemän päivän aikana.

Jos haluat tarkastella tietoja tietojen tunnistamisesta, siirry Spoof Intelligence Insight -sivulle valitsemalla Näytä tietojen väärentämistoiminto spoof-tiedoista.

Näytä tietoja spoof-tunnistuksia koskevista tiedoista

Huomautus

Muista, että tässä oivallukset näyttävät vain huijatuille lähettäjille, jotka tunnistetaan spoof-tiedoilla. Viestit toimialueilta, jotka epäonnistuvat DMARC:ssä ja joissa DMARC-käytäntö on määritetty p=rejectp=quarantine tai ei näy tässä oivalluksetessa. Nämä viestit käsitellään Honor DMARC -tietuekäytännön perusteella, kun viestin havaitaan olevan huijausasetus tietojenkalastelun vastaisissa käytännöissä.

Spoof Intelligence Insight -sivu https://security.microsoft.com/spoofintelligence on käytettävissä, kun valitset Näytä huijausaktiviteettispoofed-tietojen tiedoista Spoofed-lähettäjät-välilehdelläVuokraajan salli/estä luettelot -sivulla.

Tietojen säilö -sivulla voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:

• Spoofed-käyttäjä: Huijatun käyttäjän toimialueLähettäjä-ruudussa sähköpostiasiakkaissa (kutsutaan myös osoitteeksi tai P2-osoitteeksi 5322.From ).
• Infrastruktuurin lähettäminen: Kutsutaan myös infrastruktuuriksi. Lähetysinfrastruktuuri on yksi seuraavista arvoista:
  • Lähdesähköpostipalvelimen IP-osoitteen käänteisestä DNS-hausta (PTR-tietueesta) löytynyt toimialue.
  • Jos ip-lähdeosoitteessa ei ole PTR-tietuetta, lähetysinfrastruktuuri tunnistetaan lähteen IP>/24-osoitteeksi <(esimerkiksi 192.168.100.100/24).
  • Vahvistettu DKIM-toimialue.
• Viestien määrä: Viestien määrä, joka on peräisin huijatun toimialueen ja lähettävän infrastruktuurin yhdistelmästä organisaatioosi viimeisten seitsemän päivän aikana.
• Viimeksi nähty: Viimeinen päivämäärä, jolloin viesti vastaanotettiin huijatun toimialueen sisältävästä lähetysinfrastruktuurista.
• Spoof-tyyppi: Jokin seuraavista arvoista:
  • Sisäinen: Huijattu lähettäjä on organisaatioosi kuuluvalla toimialueella ( hyväksytty toimialue).
  • Ulkoinen: Huijattu lähettäjä on ulkoisessa toimialueessa.
• Toiminto: Tämä arvo on sallittu tai estetty:

  • Sallittu: Toimialue ei läpäissyt eksplisiittistä sähköpostin todennustarkistusta SPF:ssä, DKIM:ssä ja DMARC:ssä. Toimialue kuitenkin läpäisi implisiittiset sähköpostin todennustarkistukset (yhdistelmätodennus). Tämän seurauksena viestiin ei tehty huijauksen vastaisia toimia.

  • Estetty: Huijatun toimialueen ja lähetysinfrastruktuurin viestit on merkitty virheellisiksi huijaustietojen avulla. Huijattuja, pahantahtoisia viestejä koskevat toimet ovat hallittavia:

    • Standard- tai Strict-suojauskäytännöt.
    • Tietojenkalastelun vastainen oletuskäytäntö.
    • Mukautetut tietojenkalastelun torjuntakäytännöt.

    Lisätietoja on artikkelissa Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender Office 365 varten.

Jos haluat muuttaa huijattujen lähettäjien luettelon normaalista tiivistetyksi välistysväliksi, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.

Jos haluat suodattaa merkinnät, valitse Suodata. Seuraavat suodattimet ovat käytettävissä avautuvassa Suodatin-pikaikkunassa:

• Spoof-tyyppi: Käytettävissä olevat arvot ovat sisäinen ja ulkoinen.
• Toiminto: Käytettävissä olevat arvot ovat Salli ja Estä

Kun olet valmis Suodatin-pikaikkunassa, valitse Käytä. Jos haluat tyhjentää suodattimet, valitse Tyhjennä suodattimet.

Etsi tietyt merkinnät hakuruudun ja sitä vastaavan arvon avulla.

Vie spoof-tunnistusluettelo CSV-tiedostoon Vie-toiminnolla.

Näytä tietoja spoof-tunnistuksia koskevista tiedoista

Kun valitset huijaustunnistuksen luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

• Miksi saimme tämän kiinni? section: Miksi tunnistimme tämän lähettäjän huijaukseksi ja mitä voit tehdä saadaksemme lisätietoja.

• Toimialueen yhteenveto -osio: Sisältää samat tiedot Spoof Intelligence Insight -pääsivulta.

• WhoIs-tiedot-osio : Tekniset tiedot lähettäjän toimialueesta.

• Explorerin tutkimusosio: Tässä osassa on Defender for Office 365 organisaatiossa linkki Uhkienhallinnan avaamiseen, jotta näet lisätietoja lähettäjästä Tietojen kalastelu -välilehdellä.

• Samankaltaiset sähköpostiviestit -osio: Sisältää seuraavat tiedot säilön tunnistamisesta:

  • Päiväys
  • Aihe
  • Vastaanottaja
  • Lähettäjä
  • Lähettäjän IP

  Valitse Mukauta sarakkeita , jos haluat poistaa näytetyt sarakkeet. Kun olet valmis, valitse Käytä.

Vihje

Jos haluat nähdä lisätietoja muista merkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Jos haluat muuttaa spoof-tunnistuksen kohdasta Salliestää tai päinvastoin, katso seuraava osio.

Kumoa tiedustelutietosanakirja

Käytä Spoof Intelligence Insight -sivulla osoitteessa https://security.microsoft.com/spoofintelligencejompaakumpaa seuraavista tavoista kumotaksesi tietojen väärentämispäätöksen:

• Valitse vähintään yksi merkintä luettelosta valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu.

  1. Valitse näyttöön avautuva Joukkotoiminnot-toiminto .
  2. Valitse avautuvasta Joukkotoiminnot-pikaikkunasta Salli spoofille tai Estä teksauksesta ja valitse sitten Käytä.

• Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

  Valitse avautuvasta tiedot-pikaikkunasta Salli huijaus tai Estä huijauksesta -vaihtoehto pikaikkunan yläosassa ja valitse sitten Käytä.

Spoof Intelligence Insight -sivulla merkintä poistetaan luettelosta ja lisätään Spoofed-lähettäjät-välilehteenVuokraajan salli/estä luettelot -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Tietoja sallituista huijatuista lähettäjistä

Spoofed-lähettäjän viestit (jotka tunnistetaan automaattisesti tai määritetään manuaalisesti) sallitaan vain käyttämällä huijatun toimialueen ja lähetysinfrastruktuurin yhdistelmää. Esimerkiksi seuraavan huijatun lähettäjän voidaan tehdä huijaus:

• Toimialue: gmail.com
• Infrastruktuuri: tms.mx.com

Vain kyseisen toimialue-/lähetysinfrastruktuuriparin lähettämän sähköpostin voi väärentää. Muita lähettäjiä, jotka yrittävät väärentää gmail.com, ei sallita automaattisesti. Spoof intelligence tarkistaa lähettäjien viestit muista toimialueista, jotka ovat peräisin tms.mx.com, ja kyseiset viestit voidaan edelleen estää.

PowerShellin spoof intelligence insight -toiminnon käyttäminen

Exchange Online PowerShellissä käytetään Get-SpoofIntelligenceInsight cmdlet-komentoa, jolla tarkastellaan huijaustiedon havaitsemia sallittuja ja estettyjä tekeviä lähettäjiä. Jos haluat sallia tai estää manuaalisesti huijatut lähettäjät, sinun on käytettävä New-TenantAllowBlockListSpoofItems-cmdlet-komentoa . Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa PowerShellin avulla sallittujen lähettäjien salliminen ja salliminen PowerShellin avulla. Näin voit luoda estettyjä merkintöjä huijatuille lähettäjille vuokraajan sallittujen ja estettyjen luetteloon.

Jos haluat tarkastella tietoja spoof intelligence insight -toiminnossa, suorita seuraava komento:

Get-SpoofIntelligenceInsight

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-SpoofIntelligenceInsight.

Muita tapoja hallita huijausta ja tietojenkalastelua

Ole ahkera huijaus- ja tietojenkalastelusuojauksen suhteen. Seuraavassa on aiheeseen liittyviä tapoja, joilla voit tarkistaa toimialuettasi väärentävät lähettäjät ja estää heitä vahingoittamasta organisaatiotasi:

• Tarkista spoof-sähköpostiraportti. Tämän raportin avulla voit usein tarkastella ja auttaa hallinnoimaan huijattuja lähettäjiä. Lisätietoja on artikkelissa Spoof Detections -raportti.

• Tarkista SPF-, DKIM- ja DMARC-määritykset. Lisätietoja on seuraavissa artikkeleissa:

  • Sähköpostin todennus
  • SPF:n määrittäminen mukautettujen pilvitoimialueiden kelvollisten sähköpostilähteiden tunnistamiseksi
  • DKIM:n määrittäminen allekirjoittamaan pilvitoimialueen sähköposti
  • DMARC:n määrittäminen vahvistamaan pilvipalvelun lähettäjien Lähettäjä-toimialue
  • Luotettujen ARC-tiivistemerkkien määrittäminen