תובנות התחזות ב- Defender עבור Office 365

מאמר
04/26/2024
חל על:

✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

התחזות היא כאשר השולח של הודעת דואר אלקטרוני נראה דומה לאותה כתובת דואר אלקטרוני של שולח אמיתי או צפוי. תוקפים משתמשים לעתים קרובות בכתובות דואר אלקטרוני של שולח מתחזות בהתקפות דיוג או בסוגים אחרים של תקיפות כדי לקבל את אמון הנמען. קיימים שני סוגים בסיסיים של התחזות:

התחזות לתחום: מכילה הבדלים עדינים בתחום. לדוגמה, lila@ćóntoso.com מתחזה lila@contoso.comל- .
התחזות משתמש: מכיל הבדלים עדינים בכינוי הדואר האלקטרוני. לדוגמה, rnichell@contoso.com התחזות ל michelle@contoso.com- .

התחזות לתחום שונה מה התחזות לתחום , מכיוון שהתחום התחזות הוא לעתים קרובות תחום אמיתי ורשום, אך במטרה להטעות. הודעות משולחים בתחום התחזות מסוגלות להעביר בדיקות אימות דואר אלקטרוני רגילות, שמזהות באופן אחר את ההודעות כניסיונות התחזות (SPF, DKIM ו- DMARC).

הגנת התחזות מהווה חלק מהגדרות המדיניות למניעת דיוג בלעדיות Microsoft Defender עבור Office 365. לקבלת מידע נוסף אודות הגדרות אלה, ראה הגדרות התחזות במדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365.

מנהלי מערכת יכולים להשתמש בתובנות התחזות בפורטל Microsoft Defender כדי לזהות במהירות הודעות משולחים מתחזים או תחומי שולח שצוינו בהגנת התחזות במדיניות למניעת דיוג.

מה עליך לדעת לפני שתתחיל?

פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות לדף 'מניעת דיוג' , השתמש ב- https://security.microsoft.com/antiphishing. כדי לעבור ישירות לדף תובנות התחזות , השתמש ב- https://security.microsoft.com/impersonationinsight.
עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:
- Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (אם ההרשאות 'שיתוף פעולה &> דואר אלקטרוני Defender עבור Office 365 פעילות'. משפיע על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאה והגדרות/אבטחה/הגדרות אבטחת ליבה (ניהול) או הרשאה והגדרות/הגדרות אבטחה/הגדרות אבטחה ליבה (קריאה).
- דואר & הרשאות שיתוף פעולה בפורטל Microsoft Defender: חברות בכל אחת מקבוצות התפקידים הבאות:
  - ניהול הארגון
  - מנהל אבטחה
  - קורא אבטחה
  - קורא כללי
- Microsoft Entra: החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה', 'קורא אבטחה' או 'קורא כללי' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.
באפשרותך להפעיל ולהגדיר הגנת התחזות במדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365. הגנת התחזות אינה מופעלת כברירת מחדל. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365 והשתמש בפורטל Microsoft Defender כדי להקצות למשתמשים מדיניות אבטחה קבועה מראש סטנדרטית וקפידה מראש.
לקבלת מידע נוסף אודות דרישות רישוי, ראה תנאי רישוי.

פתח את תובנות התחזות בפורטל Microsoft Defender שלך

בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל מדיניות שיתוף> & דואראלקטרוני &>> כללי איומים למניעת דיוג במקטע מדיניות. לחלופין, כדי לעבור ישירות לדף למניעת דיוג , השתמש ב- https://security.microsoft.com/antiphishing.

בדף מניעת דיוג, תובנה התחזות נראית כך:

לתובנות יש שני מצבים:

מצב תובנות: אם הגנת התחזות זמינה ומוגדרת בכל מדיניות למניעת דיוג, תובנה זוהתה מספר ההודעות שזוהו מתוך תחומים מתחזים ומשתמשים מתחזים (שולחים) בשבעת הימים האחרונים. המספר המוצג הוא הסכום הכולל של כל ניסיונות התחזות שזוהו מכל פריטי המדיניות למניעת דיוג.
מה קורה אם מצב: אם הגנת התחזות אינה זמינה ומוגדרת במדיניות פעילה למניעת דיוג, תובנה זוהתה כמה הודעות זוהו על-ידי הגנת התחזות בשבעת הימים האחרונים.

כדי להציג מידע אודות זיהויי התחזות, בחר הצג התחזות בתובנות התחזות כדי לעבור לדף תובנות התחזות.

הצגת מידע אודות זיהויי התחזות לתחום

דף תובנות התחזותhttps://security.microsoft.com/impersonationinsight ב- זמין בעת בחירה באפשרות הצג התחזות בתובנות התחזות בדף למניעת דיוג.

בדף תובנות התחזות , ודא שהכרטיסיה תחומים נבחרה.

באפשרותך למיין את הערכים על-ידי לחיצה על כותרת עמודה זמינה. העמודות הבאות זמינות:^*:

תחום שולח: התחום התחזות, שהוא התחום ששימש לשליחת הודעת הדואר האלקטרוני.
ספירת הודעות: מספר ההודעות מ התחזות לתחום השולח במהלך שבעת הימים האחרונים.
סוג התחזות: ערך זה מציג את המיקום שזוהה של התחזות (לדוגמה, תחום בכתובת).
תחומים מתחזים: התחום המוגן באמצעות הגנה על התחזות לתחום, אשר אמור להיות דומה לתחום בתחום השולח.
סוג תחום: ערך זה הוא תחום חברה עבור תחומיםמקובלים או תחוםמותאם אישית עבור תחומים מותאמים אישית.
מדיניות: מדיניות למניעת דיוג שזיהתה את התחום התחזה.
מותר להתחזות: אחד מהערכים הבאים:
- כן: התחום הוגדר כתחום מהימן (חריגה להגנה על התחזות) במדיניות למניעת דיוג שזיהתה את ההודעה. זוהו הודעות מהתחום התחזות, אך הן מותרות.
- לא: תצורת התחום נקבעה עבור הגנת התחזות במדיניות למניעת דיוג שזיהתה את ההודעה. הפעולה לזיהוי התחזות לתחום במדיניות למניעת דיוג מתבצעת בהודעה.

^* כדי לראות את כל העמודות, ייתכן שתצטרך לבצע אחד או יותר מהפעולות הבאות:

גלול אופקית בדפדפן האינטרנט שלך.
צמצם את רוחב העמודות המתאימות.
הקטן את התצוגה בדפדפן האינטרנט.

כדי לשנות את רשימת הזיהויים של התחזות לתחום ממרווח רגיל לדחוס, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

השתמש בתיבה חיפוש ורשימה מופרדת באמצעות פסיקים כדי למצוא זיהויים ספציפיים של התחזות לתחום.

השתמש בייצוא כדי לייצא את רשימת הזיהויים של התחזות לתחום לקובץ CSV.

הצגת פרטים אודות זיהוי התחזות לתחום

בכרטיסיה תחומים בדף https://security.microsoft.com/impersonationinsight?type=Domainתובנות התחזות ב- , בחר אחד מזיהוי התחזות על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.

המידע הבא זמין בתפריט הנשלף של הפרטים:

למה נתפוס את זה?
מה עליך לעשות?
סיכום תחום: התחום שזוהה כהתחזות.
Whois data: מכיל מידע אודות התחום:
- מיקום השולח
- תאריך יצירת תחום
- תאריך תפוגה של תחום
- תביעת תדירות
חקירה של Explorer: בחר את הקישור כדי לפתוח את סייר האיומים או את הזיהוי בזמן אמת לקבלת פרטים נוספים על השולח.
דואר אלקטרוני משולח: מקטע זה מציג את המידע הבא אודות הודעות דומות משולחים בתחום:
- תאריך
- נמען
- נושא
- השולח
- IP של השולח
- פעולת מסירה

עצה

כדי להציג פרטים אודות ערכי התחזות לתחום אחרים מבלי לעזוב את התפריט הנשלף של הפרטים, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.

כדי למנוע זיהוי של שולחים בתחום שזוהה כהחזות תחום, עיין בסעיף המשנה הבא.

שולחים פטורים בתחום שזוהה מבדיקת התחזות לתחום בעתיד

בכרטיסיה תחומים של https://security.microsoft.com/impersonationinsight?type=Domainדף תובנות התחזות ב- , השתמש בשלבים הבאים כדי לפטור שולחים בתחום שזוהה מהזיהוי כהחזות תחום:

בחר את הערך מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.

בתפריט הנשלף של הפרטים שנפתח, השתמש במדיניות בחר התחזות כדי לשנות ולהוסיף להגדרות רשימת התחזות המותרות בחלק העליון של התפריט הנשלף. הגדרות אלה פועלות יחד כדי להוסיף את התחום לרשימת השולחים והתחום המהימנים במדיניות שזיהתה באופן שגוי את ההודעה כהתחזות תחום:

בחר את מדיניות מניעת דיוג ברשימה הנפתחת. מדיניות מניעת דיוג שאחראית לזהות את ההודעה מוצגת בערך המדיניותבכרטיסיה תחום.
החלק את הלחצן הדו-מצבי למצב מופעל: כדי להוסיף את התחום לרשימת השולחים והתחום המהימנים במדיניות שנבחרה.

כדי להסיר את התחום מרשימת השולחים והתחום המהימנים , החלק את הלחצן הדו-מצבי בחזרה אל

לאחר שתסיים בתפריט הנשלף של הפרטים, בחר סגור.

הצגת מידע אודות זיהויים של התחזות משתמשים

בדף תובנות התחזות , בחר את הכרטיסיה משתמשים.

באפשרותך למיין את הערכים על-ידי לחיצה על כותרת עמודה זמינה. העמודות הבאות זמינות:^*:

שולח: כתובת הדואר האלקטרוני של השולח התחזה ששלח את הודעת הדואר האלקטרוני.
ספירת הודעות: מספר ההודעות מהשולח מתחזה במהלך שבעת הימים האחרונים.
סוג התחזות: לדוגמה, משתמש בשם תצוגה.
משתמשים מתחזים: שם התצוגה וכתובת הדואר האלקטרוני של השולח המוגנים באמצעות הגנת התחזות, הדומים לאותה כתובת דואר אלקטרוני בשולח.
סוג משתמש: סוג ההגנה המוחלת (לדוגמה, משתמש מוגן או בינתתיבת דואר).
מדיניות: מדיניות למניעת דיוג שזיהתה את השולח התחזה.
מותר להתחזות: אחד מהערכים הבאים:
- כן: השולח הוגדר כמשתמש מהימן (חריגה להגנה על התחזות) במדיניות למניעת דיוג שזיהתה את ההודעה. זוהו הודעות מהשולח מתחזה, אך הן מותרות.
- לא: תצורת השולח נקבעה להגנה על התחזות במדיניות למניעת דיוג שזיהתה את ההודעה. הפעולה לזיהוי התחזות משתמשים במדיניות למניעת דיוג מתבצעת בהודעה.

^* כדי לראות את כל העמודות, ייתכן שתצטרך לבצע אחד או יותר מהפעולות הבאות:

גלול אופקית בדפדפן האינטרנט שלך.
צמצם את רוחב העמודות המתאימות.
הקטן את התצוגה בדפדפן האינטרנט.

כדי לשנות את רשימת הזיהויים של התחזות המשתמשים ממרווח רגיל לדחוס, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

השתמש בתיבה חיפוש ורשימה מופרדת באמצעות פסיקים כדי למצוא זיהויים ספציפיים של התחזות משתמש.

השתמש בייצוא כדי לייצא את רשימת הזיהויים של התחזות המשתמשים לקובץ CSV.

הצגת פרטים אודות זיהוי התחזות של משתמש

בכרטיסיה משתמשים בדף'תובנותhttps://security.microsoft.com/impersonationinsight?type=Userהתחזות' ב- , בחר אחד מזיהוי התחזות על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.

המידע הבא זמין בתפריט הנשלף של הפרטים:

למה נתפוס את זה?
מה עליך לעשות?
סיכום השולח: השולח שזוהה כהחזות.
חקירה של Explorer: בחר את הקישור כדי לפתוח את סייר האיומים או את הזיהוי בזמן אמת לקבלת פרטים נוספים על השולח.
דואר אלקטרוני משולח: מקטע זה מציג את המידע הבא אודות הודעות דומות מהשולח:
- תאריך
- נמען
- נושא
- השולח
- IP של השולח
- פעולת מסירה

עצה

כדי להציג פרטים אודות ערכי התחזות משתמשים אחרים מבלי לעזוב את התפריט הנשלף של הפרטים, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.

כדי למנוע זיהוי של שולח שזוהה כהחזות משתמש, עיין בסעיף המשנה הבא.

פטור שולח שזוהה מבדיקת התחזות משתמש עתידיות

בכרטיסיה משתמשים של דף https://security.microsoft.com/impersonationinsight?type=Userתובנות התחזות ב- , השתמש בשלבים הבאים כדי לפטור שולחים שזוהו כהודעות התחזות משתמש: