Spoof intelligence insight in EOP
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa, joilla ei ole Exchange Online postilaatikoita, saapuvat sähköpostiviestit suojataan automaattisesti huijausta vastaan. EOP käyttää huijaustietoja osana organisaatiosi yleistä puolustusta tietojenkalastelua vastaan. Lisätietoja on artikkelissa Huijaussuojaus EOP:ssa.
Kun lähettäjä esittää sähköpostiosoitteen, hän vaikuttaa olevan jollakin organisaatiosi toimialueilla oleva käyttäjä tai ulkoisen toimialueen käyttäjä, joka lähettää sähköpostia organisaatioosi. Hyökkääjät, jotka huijaavat lähettäjiä lähettämään roskapostia tai tietojenkalastelusähköpostia, on estettävä. On kuitenkin tilanteita, joissa lailliset lähettäjät ovat huijaus. Esimerkki:
Sisäiset toimialueiden väärentämisen oikeutetut skenaariot:
- Kolmannen osapuolen lähettäjät lähettävät toimialueen avulla joukkosähköpostia omille työntekijöillesi yrityksen kyselyitä varten.
- Ulkoinen yritys luo ja lähettää mainonta- tai tuotepäivityksiä puolestasi.
- Avustajan on lähetettävä säännöllisesti sähköpostia toiselle organisaatiosi henkilölle.
- Sisäinen sovellus lähettää sähköposti-ilmoituksia.
Ulkoisten toimialueiden väärentämisen oikeutetut skenaariot:
- Lähettäjä on postituslistalla (eli keskusteluluettelona), ja postitusluettelo välittää sähköpostiviestin alkuperäiseltä lähettäjältä kaikille postitusluettelon osallistujille.
- Ulkoinen yritys lähettää sähköpostia toisen yrityksen puolesta (esimerkiksi automatisoitu raportti tai ohjelmisto palveluna -yritys).
voit Microsoft Defender portaalin tietojen avulla tunnistaa nopeasti huijatut lähettäjät, jotka lähettävät sinulle todentamattomia sähköpostiviestejä (viestejä toimialueilta, jotka eivät läpäise SPF-, DKIM- tai DMARC-tarkistuksia) ja sallia nämä lähettäjät manuaalisesti.
Sallimalla tunnettujen lähettäjien lähettää väärennettyjä viestejä tunnetuista sijainneista voit vähentää false-positiivisia arvoja (hyvä sähköposti, joka on merkitty virheelliseksi). Valvomalla sallittuja huijattuja lähettäjiä annat lisäsuojauskerroksen, jotta organisaatioosi ei saada turvattomia viestejä.
Voit myös käyttää tietojen spoof-tietoja, jos haluat tarkastella huijattuja lähettäjiä, jotka on sallittu huijatulla älykkyydellä, ja estää kyseiset lähettäjät manuaalisesti.
Tässä artikkelissa kerrotaan, miten voit käyttää tietoja tiedoista Microsoft Defender -portaalissa ja PowerShellissä (Exchange Online PowerShelliä Microsoft 365 -organisaatioille, joiden postilaatikot ovat Exchange Online; erillinen EOP PowerShell organisaatioille, joilla ei ole Exchange Online postilaatikot).
Huomautus
Vain huijatut lähettäjät, jotka on tunnistettu huijatulla älykkyydellä, näkyvät tietojen huijatuissa merkityksellisissä toiminnoissa. Kun ohitat merkityksellisten tietojen sallimis- tai estämispäätöksen, huijatusta lähettäjästä tulee manuaalinen sallittu- tai estämismerkintä, joka näkyy vain Spoofed-lähettäjät-välilehdelläVuokraajan salliminen/estä Lists -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Voit myös luoda manuaalisesti sallittuja tai estettyjä merkintöjä huijatuille lähettäjille, ennen kuin tietoja ei tunnisteta. Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa Huijatut lähettäjät.
ToimintoarvotSalli tai Estä huijatuissa merkityksellisissä tiedoista viittaavat spoof-tunnistamiseen (tunnistiko Microsoft 365 viestin huijatuksi vai ei). Action-arvo ei välttämättä vaikuta viestin yleiseen suodatukseen. Jos esimerkiksi haluat välttää virheelliset positiiviset tiedot, saatat saada huijattua viestiä, jos huomaamme, ettei sillä ole pahantahtoista tarkoitusta.
Tietojen väärentämisen merkitykselliset tiedot ja Vuokraajan salli/estä-luettelon Huijatut lähettäjät -välilehti korvaavat tietoturva & keskuksen roskapostin torjuntakäytäntösivulla käytettävissä olleen huijaustietokäytännön toiminnot.
Merkityksellisten tietojen spoof-toiminto näyttää 7 päivän edestä tietoja. Get-SpoofIntelligenceInsight-cmdlet-komento näyttää tietoja 30 päivän ajalta.
Mitä on hyvä tietää ennen aloittamista?
Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan Palveltavan kohteen Salli/Estä Lists -sivun Huijatut lähettäjät -välilehteen, käytä kohdetta https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Jos haluat siirtyä suoraan Spoof Intelligence Insight -sivulle, käytä -toimintoa https://security.microsoft.com/spoofintelligence.
Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online PowerShelliin. Jos haluat muodostaa yhteyden erilliseen EOP PowerShelliin, katso kohta Yhteyden muodostaminen Exchange Online Protection PowerShelliin.
Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:
Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).
Exchange Online käyttöoikeudet:
-
Salli tai estä huijattuja lähettäjiä tai ota käyttöön tai poista käytöstä tietoja, jotka ovat jäseninä jossakin seuraavista rooliryhmistä:
- Organisaation hallinta
- Suojauksen järjestelmänvalvojajavain tarkastelu -määritykset tai Vain tarkastelu -organisaation hallinta.
- Vain luku -oikeudet tietojen väärentämiseen: yleisen lukijan, suojauksen lukijan tai vain tarkastelu -organisaation hallinta - rooliryhmien jäsenyys.
-
Salli tai estä huijattuja lähettäjiä tai ota käyttöön tai poista käytöstä tietoja, jotka ovat jäseninä jossakin seuraavista rooliryhmistä:
Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksen lukija -roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.
Tärkeää
* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Tietojenkalastelun torjuntakäytäntöjen suositellut asetukset ovat kohdassa EOP:n tietojenkalastelun torjuntakäytännön asetukset.
Voit ottaa käyttöön ja poistaa käytöstä tietojenkalastelun torjuntakäytännöissä EOP:ssa ja Microsoft Defender for Office 365. Spoof-älykkyys on oletusarvoisesti käytössä. Lisätietoja on artikkelissa Tietojenkalastelun torjuntakäytäntöjen määrittäminen EOP:ssa tai Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365.
Lisätietoja tietojenkalastelun torjuntaa koskevat suositellut asetukset ovat kohdassa EOP:n tietojenkalastelun torjuntakäytännön asetukset.
Etsi merkitykselliset tiedot Microsoft Defender portaalista
Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Palveltavan kohteen salliminen/estäminen ListsSäännöt-osassa. Voit myös siirtyä suoraan vuokraajan Salli/Estä-Lists -sivulle valitsemalla https://security.microsoft.com/tenantAllowBlockList.
Valitse Huijatut lähettäjät -välilehti.
Huijatut lähettäjät -välilehden merkitykselliset tiedot ovat seuraavankaltaisia:
Merkityksellisillä tiedoilla on kaksi tilaa:
- Merkityksellisten tietojen tila: Jos tietohuijaus on käytössä, merkitykselliset tiedot näyttävät, kuinka monta viestiä huijaustiedot ovat havainneet viimeisten seitsemän päivän aikana.
- Entä jos -tila: Jos huijaustiedot on poistettu käytöstä, merkitykselliset tiedot näyttävät, kuinka monta viestiä huijaustiedot olisivat havainneet viimeisten seitsemän päivän aikana.
Jos haluat tarkastella tietoja tietojen tunnistamisesta, siirry Spoof Intelligence Insight -sivulle valitsemalla Näytä tietojen väärentämistoiminto spoof-tiedoista.
Näytä tietoja spoof-tunnistuksia koskevista tiedoista
Huomautus
Muista, että tällä sivulla näkyvät vain huijatut lähettäjät, jotka on tunnistettu huijatulla älykkyydellä.
Spoof Intelligence Insight -sivu https://security.microsoft.com/spoofintelligence on käytettävissä, kun valitset Näytä huijausaktiviteettispoofed-tietojen tiedoista Spoofed-lähettäjät-välilehdelläVuokraajan salli/estä Lists -sivulla.
Tietojen säilö -sivulla voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:
-
Spoofed user: Huijatun käyttäjän toimialue , joka näkyy Lähettäjä-ruudussa sähköpostiasiakkaissa. Lähettäjä-osoitetta kutsutaan myös osoitteeksi
5322.From
. -
Infrastruktuurin lähettäminen: Kutsutaan myös infrastruktuuriksi. Lähetysinfrastruktuuri on yksi seuraavista arvoista:
- Lähdesähköpostipalvelimen IP-osoitteen käänteisestä DNS-hausta (PTR-tietueesta) löytynyt toimialue.
- Jos ip-lähdeosoitteessa ei ole PTR-tietuetta, lähetysinfrastruktuuri tunnistetaan lähteen IP>/24-osoitteeksi <(esimerkiksi 192.168.100.100/24).
- Vahvistettu DKIM-toimialue.
- Viestien määrä: Viestien määrä, joka on peräisin huijatun toimialueen ja lähettävän infrastruktuurin yhdistelmästä organisaatioosi viimeisten seitsemän päivän aikana.
- Viimeksi nähty: Viimeinen päivämäärä, jolloin viesti vastaanotettiin huijatun toimialueen sisältävästä lähetysinfrastruktuurista.
-
Spoof-tyyppi: Jokin seuraavista arvoista:
- Sisäinen: Huijattu lähettäjä on organisaatioosi kuuluvalla toimialueella ( hyväksytty toimialue).
- Ulkoinen: Huijattu lähettäjä on ulkoisessa toimialueessa.
-
Toiminto: Tämä arvo on sallittu tai estetty:
- Sallittu: Toimialue ei läpäissyt eksplisiittistä sähköpostin todennustarkistusta SPF:ssä, DKIM:ssä ja DMARC:ssä. Toimialue kuitenkin läpäisi implisiittiset sähköpostin todennustarkistukset (yhdistelmätodennus). Tämän seurauksena viestiin ei tehty huijauksen vastaisia toimia.
- Estetty: Huijatun toimialueen ja lähetysinfrastruktuurin yhdistelmän viestit on merkitty virheellisiksi huijaustiedon avulla. Huijattujen viestien toimintaa, jonka tarkoitus on haitallinen, hallitaan vakio- tai tiukalla ennalta määritetyllä suojauskäytännöllä, tietojenkalastelun vastaisella oletuskäytännöllä tai mukautetuilla tietojenkalastelun vastaisilla käytännöillä. Lisätietoja on artikkelissa Tietojenkalastelun torjuntakäytäntöjen määrittäminen Microsoft Defender for Office 365.
Jos haluat muuttaa huijattujen lähettäjien luettelon normaalista tiivistetyksi välistysväliksi, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.
Jos haluat suodattaa merkinnät, valitse Suodata. Seuraavat suodattimet ovat käytettävissä avautuvassa Suodatin-pikaikkunassa:
- Spoof-tyyppi: Käytettävissä olevat arvot ovat sisäinen ja ulkoinen.
- Toiminto: Käytettävissä olevat arvot ovat Salli ja Estä
Kun olet valmis Suodatin-pikaikkunassa, valitse Käytä. Jos haluat tyhjentää suodattimet, valitse Tyhjennä suodattimet.
Etsi tietyt merkinnät hakuruudun ja sitä vastaavan arvon avulla.
Vie spoof-tunnistusluettelo CSV-tiedostoon Vie-toiminnolla.
Näytä tietoja spoof-tunnistuksia koskevista tiedoista
Kun valitset huijaustunnistuksen luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:
Miksi saimme tämän kiinni? section: Miksi tunnistimme tämän lähettäjän huijaukseksi ja mitä voit tehdä saadaksemme lisätietoja.
Toimialueen yhteenveto -osio: Sisältää samat tiedot Spoof Intelligence Insight -pääsivulta.
WhoIs-tiedot-osio : Tekniset tiedot lähettäjän toimialueesta.
Explorerin tutkimusosio : Defender for Office 365 -organisaatiossa tässä osiossa on linkki Threat Explorerin avaamiseen, jotta näet lisätietoja lähettäjästä Tietojen kalastelu -välilehdellä.
Samankaltaiset sähköpostiviestit -osio: Sisältää seuraavat tiedot säilön tunnistamisesta:
- Päiväys
- Aihe
- Vastaanottaja
- Lähettäjä
- Lähettäjän IP
Valitse Mukauta sarakkeita , jos haluat poistaa näytetyt sarakkeet. Kun olet valmis, valitse Käytä.
Vihje
Jos haluat nähdä lisätietoja muista merkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.
Jos haluat muuttaa spoof-tunnistuksen kohdasta Salliestää tai päinvastoin, katso seuraava osio.
Kumoa tiedustelutietosanakirja
Käytä Spoof Intelligence Insight -sivulla osoitteessa https://security.microsoft.com/spoofintelligencejompaakumpaa seuraavista tavoista kumotaksesi tietojen väärentämispäätöksen:
Valitse vähintään yksi merkintä luettelosta valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu.
- Valitse näyttöön avautuva Joukkotoiminnot-toiminto .
- Valitse avautuvasta Joukkotoiminnot-pikaikkunasta Salli spoofille tai Estä teksauksesta ja valitse sitten Käytä.
Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Valitse avautuvasta tiedot-pikaikkunasta Salli huijaus tai Estä huijauksesta -vaihtoehto pikaikkunan yläosassa ja valitse sitten Käytä.
Spoof Intelligence Insight -sivulla merkintä poistetaan luettelosta ja lisätään Spoofed-lähettäjät-välilehteenVuokraajan salli/estä luettelot -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Tietoja sallituista huijatuista lähettäjistä
Spoofed-lähettäjän viestit (jotka tunnistetaan automaattisesti tai määritetään manuaalisesti) sallitaan vain käyttämällä huijatun toimialueen ja lähetysinfrastruktuurin yhdistelmää. Esimerkiksi seuraavan huijatun lähettäjän voidaan tehdä huijaus:
- Toimialue: gmail.com
- Infrastruktuuri: tms.mx.com
Vain kyseisen toimialue-/lähetysinfrastruktuuriparin lähettämän sähköpostin voi väärentää. Muita lähettäjiä, jotka yrittävät väärentää gmail.com, ei sallita automaattisesti. Muissa toimialueissa olevien lähettäjien viestit, jotka ovat peräisin tms.mx.com, tarkistetaan edelleen tietojen avulla, ja ne voidaan estää.
Käytä merkityksellisten tietojen spoof-tietoja Exchange Online PowerShellissä tai erillisessä EOP PowerShellissä
PowerShellissä käytetään Get-SpoofIntelligenceInsight-cmdlet-komentoa , jolla tarkastellaan huijaustietojen havaitsemia sallittuja ja estettyjä spoofed-lähettäjiä. Jos haluat sallia tai estää manuaalisesti huijatut lähettäjät, sinun on käytettävä New-TenantAllowBlockListSpoofItems-cmdlet-komentoa . Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa PowerShellin avulla sallittujen lähettäjien salliminen ja salliminen PowerShellin avulla. Näin voit luoda estettyjä merkintöjä huijatuille lähettäjille vuokraajan sallittujen ja estettyjen luetteloon.
Jos haluat tarkastella tietoja spoof intelligence insight -toiminnossa, suorita seuraava komento:
Get-SpoofIntelligenceInsight
Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-SpoofIntelligenceInsight.
Muita tapoja hallita huijausta ja tietojenkalastelua
Ole ahkera huijaus- ja tietojenkalastelusuojauksen suhteen. Seuraavassa on aiheeseen liittyviä tapoja, joilla voit tarkistaa toimialuettasi väärentävät lähettäjät ja estää heitä vahingoittamasta organisaatiotasi:
Tarkista spoof-sähköpostiraportti. Tämän raportin avulla voit usein tarkastella ja auttaa hallinnoimaan huijattuja lähettäjiä. Lisätietoja on artikkelissa Spoof Detections -raportti.
Tarkista SPF-, DKIM- ja DMARC-määritykset. Lisätietoja on seuraavissa artikkeleissa: