Jaa


Spoof intelligence insight in EOP

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa, joilla ei ole Exchange Online postilaatikoita, saapuvat sähköpostiviestit suojataan automaattisesti huijausta vastaan. EOP käyttää huijaustietoja osana organisaatiosi yleistä puolustusta tietojenkalastelua vastaan. Lisätietoja on artikkelissa Huijaussuojaus EOP:ssa.

Kun lähettäjä esittää sähköpostiosoitteen, hän vaikuttaa olevan jollakin organisaatiosi toimialueilla oleva käyttäjä tai ulkoisen toimialueen käyttäjä, joka lähettää sähköpostia organisaatioosi. Hyökkääjät, jotka huijaavat lähettäjiä lähettämään roskapostia tai tietojenkalastelusähköpostia, on estettävä. On kuitenkin tilanteita, joissa lailliset lähettäjät ovat huijaus. Esimerkki:

  • Sisäiset toimialueiden väärentämisen oikeutetut skenaariot:

    • Kolmannen osapuolen lähettäjät lähettävät toimialueen avulla joukkosähköpostia omille työntekijöillesi yrityksen kyselyitä varten.
    • Ulkoinen yritys luo ja lähettää mainonta- tai tuotepäivityksiä puolestasi.
    • Avustajan on lähetettävä säännöllisesti sähköpostia toiselle organisaatiosi henkilölle.
    • Sisäinen sovellus lähettää sähköposti-ilmoituksia.
  • Ulkoisten toimialueiden väärentämisen oikeutetut skenaariot:

    • Lähettäjä on postituslistalla (eli keskusteluluettelona), ja postitusluettelo välittää sähköpostiviestin alkuperäiseltä lähettäjältä kaikille postitusluettelon osallistujille.
    • Ulkoinen yritys lähettää sähköpostia toisen yrityksen puolesta (esimerkiksi automatisoitu raportti tai ohjelmisto palveluna -yritys).

voit Microsoft Defender portaalin tietojen avulla tunnistaa nopeasti huijatut lähettäjät, jotka lähettävät sinulle todentamattomia sähköpostiviestejä (viestejä toimialueilta, jotka eivät läpäise SPF-, DKIM- tai DMARC-tarkistuksia) ja sallia nämä lähettäjät manuaalisesti.

Sallimalla tunnettujen lähettäjien lähettää väärennettyjä viestejä tunnetuista sijainneista voit vähentää false-positiivisia arvoja (hyvä sähköposti, joka on merkitty virheelliseksi). Valvomalla sallittuja huijattuja lähettäjiä annat lisäsuojauskerroksen, jotta organisaatioosi ei saada turvattomia viestejä.

Voit myös käyttää tietojen spoof-tietoja, jos haluat tarkastella huijattuja lähettäjiä, jotka on sallittu huijatulla älykkyydellä, ja estää kyseiset lähettäjät manuaalisesti.

Tässä artikkelissa kerrotaan, miten voit käyttää tietoja tiedoista Microsoft Defender -portaalissa ja PowerShellissä (Exchange Online PowerShelliä Microsoft 365 -organisaatioille, joiden postilaatikot ovat Exchange Online; erillinen EOP PowerShell organisaatioille, joilla ei ole Exchange Online postilaatikot).

Huomautus

  • Vain huijatut lähettäjät, jotka on tunnistettu huijatulla älykkyydellä, näkyvät tietojen huijatuissa merkityksellisissä toiminnoissa. Kun ohitat merkityksellisten tietojen sallimis- tai estämispäätöksen, huijatusta lähettäjästä tulee manuaalinen sallittu- tai estämismerkintä, joka näkyy vain Spoofed-lähettäjät-välilehdelläVuokraajan salliminen/estä Lists -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Voit myös luoda manuaalisesti sallittuja tai estettyjä merkintöjä huijatuille lähettäjille, ennen kuin tietoja ei tunnisteta. Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa Huijatut lähettäjät.

  • ToimintoarvotSalli tai Estä huijatuissa merkityksellisissä tiedoista viittaavat spoof-tunnistamiseen (tunnistiko Microsoft 365 viestin huijatuksi vai ei). Action-arvo ei välttämättä vaikuta viestin yleiseen suodatukseen. Jos esimerkiksi haluat välttää virheelliset positiiviset tiedot, saatat saada huijattua viestiä, jos huomaamme, ettei sillä ole pahantahtoista tarkoitusta.

  • Tietojen väärentämisen merkitykselliset tiedot ja Vuokraajan salli/estä-luettelon Huijatut lähettäjät -välilehti korvaavat tietoturva & keskuksen roskapostin torjuntakäytäntösivulla käytettävissä olleen huijaustietokäytännön toiminnot.

  • Merkityksellisten tietojen spoof-toiminto näyttää 7 päivän edestä tietoja. Get-SpoofIntelligenceInsight-cmdlet-komento näyttää tietoja 30 päivän ajalta.

Mitä on hyvä tietää ennen aloittamista?

Etsi merkitykselliset tiedot Microsoft Defender portaalista

  1. Siirry Microsoft Defender portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköposti & yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Palveltavan kohteen salliminen/estäminen ListsSäännöt-osassa. Voit myös siirtyä suoraan vuokraajan Salli/Estä-Lists -sivulle valitsemalla https://security.microsoft.com/tenantAllowBlockList.

  2. Valitse Huijatut lähettäjät -välilehti.

  3. Huijatut lähettäjät -välilehden merkitykselliset tiedot ovat seuraavankaltaisia:

    Tietojenkalastelun torjunnan käytäntösivulla oleva tietojenkalastelun torjuntaa koskeva merkityksellinen tieto

    Merkityksellisillä tiedoilla on kaksi tilaa:

    • Merkityksellisten tietojen tila: Jos tietohuijaus on käytössä, merkitykselliset tiedot näyttävät, kuinka monta viestiä huijaustiedot ovat havainneet viimeisten seitsemän päivän aikana.
    • Entä jos -tila: Jos huijaustiedot on poistettu käytöstä, merkitykselliset tiedot näyttävät, kuinka monta viestiä huijaustiedot olisivat havainneet viimeisten seitsemän päivän aikana.

Jos haluat tarkastella tietoja tietojen tunnistamisesta, siirry Spoof Intelligence Insight -sivulle valitsemalla Näytä tietojen väärentämistoiminto spoof-tiedoista.

Näytä tietoja spoof-tunnistuksia koskevista tiedoista

Huomautus

Muista, että tällä sivulla näkyvät vain huijatut lähettäjät, jotka on tunnistettu huijatulla älykkyydellä.

Spoof Intelligence Insight -sivu https://security.microsoft.com/spoofintelligence on käytettävissä, kun valitset Näytä huijausaktiviteettispoofed-tietojen tiedoista Spoofed-lähettäjät-välilehdelläVuokraajan salli/estä Lists -sivulla.

Tietojen säilö -sivulla voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:

  • Spoofed user: Huijatun käyttäjän toimialue , joka näkyy Lähettäjä-ruudussa sähköpostiasiakkaissa. Lähettäjä-osoitetta kutsutaan myös osoitteeksi 5322.From .
  • Infrastruktuurin lähettäminen: Kutsutaan myös infrastruktuuriksi. Lähetysinfrastruktuuri on yksi seuraavista arvoista:
    • Lähdesähköpostipalvelimen IP-osoitteen käänteisestä DNS-hausta (PTR-tietueesta) löytynyt toimialue.
    • Jos ip-lähdeosoitteessa ei ole PTR-tietuetta, lähetysinfrastruktuuri tunnistetaan lähteen IP>/24-osoitteeksi <(esimerkiksi 192.168.100.100/24).
    • Vahvistettu DKIM-toimialue.
  • Viestien määrä: Viestien määrä, joka on peräisin huijatun toimialueen ja lähettävän infrastruktuurin yhdistelmästä organisaatioosi viimeisten seitsemän päivän aikana.
  • Viimeksi nähty: Viimeinen päivämäärä, jolloin viesti vastaanotettiin huijatun toimialueen sisältävästä lähetysinfrastruktuurista.
  • Spoof-tyyppi: Jokin seuraavista arvoista:
    • Sisäinen: Huijattu lähettäjä on organisaatioosi kuuluvalla toimialueella ( hyväksytty toimialue).
    • Ulkoinen: Huijattu lähettäjä on ulkoisessa toimialueessa.
  • Toiminto: Tämä arvo on sallittu tai estetty:

Jos haluat muuttaa huijattujen lähettäjien luettelon normaalista tiivistetyksi välistysväliksi, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.

Jos haluat suodattaa merkinnät, valitse Suodata. Seuraavat suodattimet ovat käytettävissä avautuvassa Suodatin-pikaikkunassa:

  • Spoof-tyyppi: Käytettävissä olevat arvot ovat sisäinen ja ulkoinen.
  • Toiminto: Käytettävissä olevat arvot ovat Salli ja Estä

Kun olet valmis Suodatin-pikaikkunassa, valitse Käytä. Jos haluat tyhjentää suodattimet, valitse Tyhjennä suodattimet.

Etsi tietyt merkinnät hakuruudun ja sitä vastaavan arvon avulla.

Vie spoof-tunnistusluettelo CSV-tiedostoon Vie-toiminnolla.

Näytä tietoja spoof-tunnistuksia koskevista tiedoista

Kun valitset huijaustunnistuksen luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

  • Miksi saimme tämän kiinni? section: Miksi tunnistimme tämän lähettäjän huijaukseksi ja mitä voit tehdä saadaksemme lisätietoja.

  • Toimialueen yhteenveto -osio: Sisältää samat tiedot Spoof Intelligence Insight -pääsivulta.

  • WhoIs-tiedot-osio : Tekniset tiedot lähettäjän toimialueesta.

  • Explorerin tutkimusosio : Defender for Office 365 -organisaatiossa tässä osiossa on linkki Threat Explorerin avaamiseen, jotta näet lisätietoja lähettäjästä Tietojen kalastelu -välilehdellä.

  • Samankaltaiset sähköpostiviestit -osio: Sisältää seuraavat tiedot säilön tunnistamisesta:

    • Päiväys
    • Aihe
    • Vastaanottaja
    • Lähettäjä
    • Lähettäjän IP

    Valitse Mukauta sarakkeita , jos haluat poistaa näytetyt sarakkeet. Kun olet valmis, valitse Käytä.

Vihje

Jos haluat nähdä lisätietoja muista merkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Jos haluat muuttaa spoof-tunnistuksen kohdasta Salliestää tai päinvastoin, katso seuraava osio.

Kumoa tiedustelutietosanakirja

Käytä Spoof Intelligence Insight -sivulla osoitteessa https://security.microsoft.com/spoofintelligencejompaakumpaa seuraavista tavoista kumotaksesi tietojen väärentämispäätöksen:

  • Valitse vähintään yksi merkintä luettelosta valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu.

    1. Valitse näyttöön avautuva Joukkotoiminnot-toiminto .
    2. Valitse avautuvasta Joukkotoiminnot-pikaikkunasta Salli spoofille tai Estä teksauksesta ja valitse sitten Käytä.
  • Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

    Valitse avautuvasta tiedot-pikaikkunasta Salli huijaus tai Estä huijauksesta -vaihtoehto pikaikkunan yläosassa ja valitse sitten Käytä.

Spoof Intelligence Insight -sivulla merkintä poistetaan luettelosta ja lisätään Spoofed-lähettäjät-välilehteenVuokraajan salli/estä luettelot -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Tietoja sallituista huijatuista lähettäjistä

Spoofed-lähettäjän viestit (jotka tunnistetaan automaattisesti tai määritetään manuaalisesti) sallitaan vain käyttämällä huijatun toimialueen ja lähetysinfrastruktuurin yhdistelmää. Esimerkiksi seuraavan huijatun lähettäjän voidaan tehdä huijaus:

  • Toimialue: gmail.com
  • Infrastruktuuri: tms.mx.com

Vain kyseisen toimialue-/lähetysinfrastruktuuriparin lähettämän sähköpostin voi väärentää. Muita lähettäjiä, jotka yrittävät väärentää gmail.com, ei sallita automaattisesti. Muissa toimialueissa olevien lähettäjien viestit, jotka ovat peräisin tms.mx.com, tarkistetaan edelleen tietojen avulla, ja ne voidaan estää.

Käytä merkityksellisten tietojen spoof-tietoja Exchange Online PowerShellissä tai erillisessä EOP PowerShellissä

PowerShellissä käytetään Get-SpoofIntelligenceInsight-cmdlet-komentoa , jolla tarkastellaan huijaustietojen havaitsemia sallittuja ja estettyjä spoofed-lähettäjiä. Jos haluat sallia tai estää manuaalisesti huijatut lähettäjät, sinun on käytettävä New-TenantAllowBlockListSpoofItems-cmdlet-komentoa . Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa PowerShellin avulla sallittujen lähettäjien salliminen ja salliminen PowerShellin avulla. Näin voit luoda estettyjä merkintöjä huijatuille lähettäjille vuokraajan sallittujen ja estettyjen luetteloon.

Jos haluat tarkastella tietoja spoof intelligence insight -toiminnossa, suorita seuraava komento:

Get-SpoofIntelligenceInsight

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-SpoofIntelligenceInsight.

Muita tapoja hallita huijausta ja tietojenkalastelua

Ole ahkera huijaus- ja tietojenkalastelusuojauksen suhteen. Seuraavassa on aiheeseen liittyviä tapoja, joilla voit tarkistaa toimialuettasi väärentävät lähettäjät ja estää heitä vahingoittamasta organisaatiotasi: