הגנה מפני איומים שלב אחר שלב Microsoft Defender עבור Office 365

• חל על:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

ניתן Microsoft Defender עבור Office 365 את ערימת ההגנה או הסינון לארבעה שלבים, כמו במאמר זה. באופן כללי, דואר נכנס עובר את כל השלבים האלה לפני המסירה, אך הדואר האלקטרוני של הנתיב בפועל כפוף לתצורה של Defender עבור Office 365 הארגון.

עצה

המשך להתעדכן עד סוף מאמר זה לקבלת גרפיקה מאוחדת של כל 4 השלבים של Defender עבור Office 365 הגנה!

שלב 1 - הגנת קצה

למרבה הצער, בלוקים של Edge שהיו פעם קריטיים הם עכשיו פשוטים יחסית עבור שחקנים רעים להתגבר. עם הזמן, פחות תנועה חסומה כאן, אך היא נשארת חלק חשוב מהערימה.

בלוקי קצה מיועדים להיות אוטומטיים. במקרה של תוצאות חיוביות מוטעות, השולחים יקבלו הודעה ויסבירו כיצד לטפל בבעיה שלהם. מחברים השותפים המהימנים בעלי מוניטין מוגבל יכולים להבטיח יציבות, או עקיפות זמניות, בעת צירוף נקודות קצה חדשות.

1. ויסות רשת מגן Office 365 התשתית והלקוחות מפני תקיפות מסוג מניעת שירות (DOS) על-ידי הגבלת מספר ההודעות שניתן לשלוח באמצעות קבוצה ספציפית של תשתית.

2. מוניטין של IP ווויסות חוסם הודעות שנשלחות מכתובות IP שגויות ידועות. אם IP ספציפי שולח הודעות רבות בתוך פרק זמן קצר, הן יווסתו.

3. מוניטין תחום חוסם הודעות הנשלחות מתחום שגוי ידוע.

4. בלוקי סינון קצה מבוססי-מדריך כתובות מנסים לקצור מידע מדריך כתובות של ארגון באמצעות SMTP.

5. זיהוי היתקפויות מונע מארגון להיות מותקף באמצעות דוחות אי-מסירה (NDR) לא חוקיים.

6. סינון משופר עבור מחברים משמר מידע אימות גם כאשר התעבורה עוברת דרך מכשיר אחר לפני שהוא מגיע Office 365. הדבר משפר את דיוק הערימה של סינון, כולל קיבוץ באשכולות ביוגרפי, מודלים למניעת התחזות ולמידת מכונה למניעת דיוג, גם בתרחישי ניתוב מורכבים או היברידיים.

שלב 2 - בינת שולח

תכונות בבינה שולח הן קריטיות לקליטת הודעות זבל, בצובר, התחזות והודעות התחזות בלתי מורשות, וגם לגילוי דיוג. רוב התכונות הללו ניתנות להגדרה בנפרד.

1. גורמים מפעילים והתראות של זיהוי חשיפה לסכנה מופעלים כאשר לחשבון יש התנהגות חריגה, התואם לסכנה. במקרים מסוימים, חשבון המשתמש חסום ונמנע לשלוח הודעות דואר אלקטרוני נוספות עד שהבעיה תיפתר על-ידי צוות פעולות האבטחה של הארגון.

2. אימות דואר אלקטרוני כולל הן שיטות ושיטות המוגדרות על-ידי הלקוחות המוגדרות בענן, שמטרתן להבטיח ששולחים הם דיוור מורשים ואותנטיים. שיטות אלה מתנגדות התחזות.

   • SPF יכול לדחות הודעות דואר המבוססות על רשומות DNS TXT שמציין כתובות IP ושרתים המורשים לשלוח דואר בשמו של הארגון.
   • DKIM מספק חתימה מוצפנת שמבצעים אימות של השולח.
   • DMARC מאפשר למנהלי מערכת לסמן SPF ו- DKIM כ הנדרש בתחום שלהם ולאכוף יישור בין התוצאות של שתי טכנולוגיות אלה.
   • גירסאות Build של ARC ב- DMARC כדי לעבוד עם העברה ברשימות דיוור בעת הקלטת שרשרת אימות.

3. בינת התחזות יכולה לסנן את אלה המורשים 'התחזות' (כלומר, משתמשים השולחים דואר בשם חשבון אחר או העברת דואר לרשימת דיוור) משולחים זדוניים אשר שולחים תחומים חיצוניים ארגוניים או ידועים. היא מפרידה דואר 'בשם' חוקי משולחים התחזים כדי להעביר הודעות דואר זבל ודיוג.

   בינת התחזות בתוך הארגון מזהה וחסם ניסיונות התחזות מתחום בתוך הארגון.

4. בינת התחזות בין תחומים מזהה ו חוסמת ניסיונות התחזות מתחום מחוץ לארגון.

5. סינון בצובר מאפשר למנהלי מערכת לקבוע תצורה של רמת מהימנות בצובר (BCL) המציינת אם ההודעה נשלחה משולח בצובר. מנהלי מערכת יכולים להשתמש במחוון בצובר במדיניות Antispam כדי להחליט באיזו רמה של דואר בצובר להתייחס כדואר זבל.

6. בינת תיבות דואר לומדת מתוך אופני פעולה רגילים של דואר אלקטרוני של משתמש. הוא ממנף גרף תקשורת של משתמש כדי לזהות מתי נראה ששולח הוא רק אדם שהמשתמש מתקשר איתו בדרך כלל, אך למעשה הוא זדוני. שיטה זו מזהה התחזות.

7. התחזות של בינת תיבת דואר מפעילה או מבטלת תוצאות התחזות משופרות בהתבסס על מפת השולחים הבודדים של כל משתמש. כאשר תכונה זו מופעלת, היא מסייעת לזהות התחזות.

8. התחזות משתמש מאפשרת למנהל מערכת ליצור רשימה של יעדים בעלי ערך גבוה שעשויים להתחזות. אם מגיע דואר למקום שבו נראה שלשולח יש שם וכתובת זהים לשם ולכתובת של החשבון המוגן בעל הערך הגבוה, הדואר מסומן או מתויג. (לדוגמה, trα cye@contoso.com עבור tracye@contoso.com).

9. התחזות תחום מזהה תחומים הדומים לתחום של הנמען וניסיון להיראות כמו תחום פנימי. לדוגמה, התחזות tracye@liw α re.com עבור tracye@litware.com.

שלב 3 - סינון תוכן

בשלב זה, ערימת הסינון מתחילה לטפל בתוכן הספציפי של הדואר, כולל ההיפר-קישורים והקבצים המצורפים.

1. כללי תעבורה (שנקראים גם כללי זרימת דואר או כללי תעבורה של Exchange) מאפשרים למנהל מערכת לבצע מגוון רחב של פעולות כאשר טווח רחב של תנאים מתקיימים עבור הודעה. כל ההודעות הזורימות דרך הארגון שלך מוערכים לפי כללי זרימת הדואר /כללי התעבורה המותאמים לשימוש.

2. Microsoft Defender אנטי-וירוס ומנוע אנטי-וירוס של ספק חיצוני משמשים לזיהוי כל התוכנות הזדוניות הידועות בקבצים מצורפים.

3. מנועי האנטי-וירוס (AV) משתמשים בהתאמה מסוג True כדי לזהות את סוג הקובץ, ללא קשר לסיומת שם הקובץ (לדוגמה, exetxtexe קבצים שמם משתנה ל מזוהים כקבצים). יכולת זו מאפשרת לחסימת סוגים (המכונה גם מסנן הקבצים המצורפים המשותף) לחסום כראוי סוגי קבצים שצוינו על-ידי מנהלי מערכת. לקבלת הרשימה של סוגי הקבצים הנתמכים, ראה התאמה מסוג True במסנן הקבצים המצורפים המשותפים.

4. בכל Microsoft Defender עבור Office 365 מזהה קובץ מצורף זדוני, קוד ה- Hash של הקובץ ו- Hash של התוכן הפעיל שלו נוספים למוניטין Exchange Online Protection (EOP). מוניטין של קובץ מצורף חוסם את הקובץ בכל Office 365, וב נקודות קצה, דרך שיחות ענן MSAV.

5. קיבוץ באשכולות הטוריסטי יכול לקבוע שקובץ חשוד בהתבסס על היסטוריית מסירה. כאשר נמצא קובץ מצורף חשוד, הקמפיין כולו מושהה והקובץ נמצא בארגז חול (Sandbox). אם הקובץ נראה זדוני, הקמפיין כולו נחסם.

6. מודלים של למידת מכונה משתתפים בכותרת העליונה, בתוכן גוף ההודעה ובכתובות URL של הודעה כדי לזהות ניסיונות דיוג.

7. Microsoft משתמשת בקביעה של מוניטין של מוניטין של ארגז חול (Sandbox) וכתובת URL מהזנות של ספקים חיצוניים בחסימת מוניטין של כתובת URL, כדי לחסום כל הודעה עם כתובת URL זדונית ידועה.

8. טווחי תוכן יכולים לזהות הודעות חשודות בהתבסס על מבנה ותדירות מילים בתוך גוף ההודעה, באמצעות מודלים של למידת מכונה.

9. ארגזי חול של קבצים מצורפים בטוחים Defender עבור Office 365 קבצים מצורפים עבור לקוחות, תוך שימוש בניתוח דינאמי כדי לזהות איומים שלא נראהו מעולם.

10. נפץ תוכן מקושר מתייחס לכל כתובת URL המקשרת לקובץ בהודעת דואר אלקטרוני כקובץ מצורף, תוך שימוש אסינכרוני בארגז החול של הקובץ בעת המסירה.

11. נפץ של כתובת URL מתרחש כאשר טכנולוגיה נגד דיוג במעלה הזרם מוצאת הודעה או כתובת URL כחשודה. בעת המסירה, ארגז חול (Sandbox) של כתובת URL מריצה את כתובות ה- URL בהודעה.

שלב 4 - הגנה לאחר מסירה

השלב האחרון מתרחש לאחר דואר או מסירת קבצים, הפועל על דואר הנכלל בתיבות דואר שונות ובקבצים ובקישורים המופיעים ללקוחות כמו Microsoft Teams.

1. קישורים בטוחים Defender עבור Office 365 ההגנה בזמן לחיצה. כל כתובת URL בכל הודעה גולשת כדי להצביע על שרתי הקישורים הבטוחים של Microsoft. בעת לחיצה על כתובת URL, היא מסומנת כנגד המוניטין העדכני ביותר, לפני שהמשתמש מנותב מחדש לאתר היעד. כתובת ה- URL נמצאת בארגז חול (Sandbox) אסינכרוני כדי לעדכן את המוניטין שלה.

2. מחיקה אוטומטית (ZAP) של אפס שעות עבור דיוג באופן רטרואקטיבי מזהה ומנטרל הודעות דיוג זדוניות שכבר נמסרו לתיבות Exchange Online דואר.

3. ZAP עבור תוכנות זדוניות מזהה ומנטרל באופן רטרואקטיבי הודעות של תוכנות זדוניות שכבר נמסרו לתיבות Exchange Online דואר.

4. ZAP עבור דואר זבל מזהה ומנטרל באופן רטרואקטיבי הודעות זבל זדוניות שכבר נמסרו לתיבות Exchange Online דואר אלקטרוני.

5. תצוגות קמפיין מאפשרות למנהלי מערכת לראות את התמונה הגדולה של מתקפה, מהירה יותר ו לחלוטין, מאשר כל צוות יכול ללא אוטומציה. Microsoft ממנפת את הכמויות העצום של נתונים למניעת דיוג, מניעת הודעות זבל ותוכנות זדוניות ברחבי השירות כולו כדי לסייע בזיהוי קמפיינים, ולאחר מכן מאפשרת למנהלי מערכת לחקור אותם מההתחלה ועד הסוף, כולל יעדים, השפעות ותזרימות, הזמינות גם בכתיבה להורדה של קמפיין.

6. התוספות 'דווח על הודעה' מאפשרות לאנשים לדווח בקלות על תוצאות חיוביות מוטעות (דואר אלקטרוני תקין, שסומנו בטעות כשגיאות תוצאה שגויות) או על תוצאות שליליות מוטעות (דואר אלקטרוני שגוי המסומן כתקין) ל- Microsoft לצורך ניתוח נוסף.

7. קישורים בטוחים עבור לקוחות Office מציעים את אותה הגנה של קישורים בטוחים בזמן לחיצה, במקור, בתוך יישומי Office נתמכים כגון Word, PowerPoint ו- Excel.

8. ההגנה עבור OneDrive, SharePoint ו- Teams מציעה את אותה הגנה של קבצים מצורפים בטוחים מפני קבצים זדוניים, במקור, בתוך OneDrive, SharePoint ו- Microsoft Teams.

9. כאשר כתובת URL שמצביעה על קובץ נבחרה לאחר מסירה , נפץ תוכן מקושר מציג דף אזהרה עד להשלמת ארגז החול של הקובץ, וכתובת ה- URL נמצאת בטוחה.

דיאגרמת ערימת הסינון

הדיאגרמה הסופית (כמו בכל חלקי הדיאגרמה ששולחת אותה) כפופה לשינוי כאשר המוצר גדל ומתפתח. סמן דף זה בסימניה והשתמש באפשרות המשוב שתמצא בחלק התחתון אם עליך לשאול לאחר העדכונים. עבור הרשומות שלך, זוהי הערימה עם כל השלבים לפי הסדר:

תודה מיוחדת מ- MSFTTracyP ומצוות הכתיבה של מסמכים לג'וליאנו גרובה עבור תוכן זה.