Hamisintelligencia-megállapítások az EOP-ban
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
A microsoftos 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben találhatók, Exchange Online postaládák nélkül, a bejövő e-mail üzeneteket automatikusan védi a rendszer az hamisítás ellen. Az EOP hamis intelligenciát használ a szervezet adathalászat elleni általános védelmének részeként. További információ: Hamisítás elleni védelem az EOP-ban.
Amikor egy feladó meghamisítást alkalmaz egy e-mail-címre, úgy tűnik, hogy egy felhasználó a szervezet egyik tartományában, vagy egy külső tartományban lévő felhasználó, aki e-mailt küld a szervezetnek. Le kell tiltani azokat a támadókat, akik levélszemét vagy adathalász e-mail küldésére hamisak. Vannak azonban olyan helyzetek, amikor a megbízható feladók hamisak. Például:
A belső tartományok hamisításának jogos forgatókönyvei:
- A külső feladók az Ön tartományát használják arra, hogy tömeges leveleket küldjenek a saját alkalmazottaiknak a céges szavazásokhoz.
- Egy külső vállalat hirdetéseket vagy termékfrissítéseket hoz létre és küld az Ön nevében.
- Egy segéd rendszeresen kell e-mailt küldenie egy másik személynek a szervezeten belül.
- Egy belső alkalmazás e-mail-értesítéseket küld.
A külső tartományok hamisításának jogos forgatókönyvei:
- A feladó egy levelezőlistán (más néven vitafórumlistán) van, és a levelezőlista továbbítja az eredeti feladótól érkező e-maileket a levelezőlista összes résztvevőjének.
- Egy külső vállalat egy másik vállalat nevében küld e-mailt (például egy automatizált jelentést vagy egy szoftverszolgáltatást biztosító vállalatot).
A Microsoft Defender portál hamis intelligenciával kapcsolatos megállapításával gyorsan azonosíthatja azokat a hamis feladókat, akik jogszerűen küldenek Önnek nem hitelesített e-maileket (olyan tartományokból érkező üzeneteket, amelyek nem adnak át SPF-, DKIM- vagy DMARC-ellenőrzéseket), és manuálisan engedélyezheti ezeket a feladókat.
Ha lehetővé teszi az ismert feladók számára, hogy hamisított üzeneteket küldjenek az ismert helyekről, csökkentheti a téves riasztásokat (a rosszként megjelölt jó e-maileket). Az engedélyezett hamis feladók monitorozásával egy további biztonsági réteget biztosít, amely megakadályozza a nem biztonságos üzenetek érkezését a szervezetbe.
Hasonlóképpen, a hamisintelligencia-megállapítással áttekintheti a hamisított feladókat, amelyeket a hamis felderítés engedélyezett, és manuálisan letilthatja ezeket a feladókat.
A cikk további része bemutatja, hogyan használhatja a hamisintelligencia-megállapításokat a Microsoft Defender portálon és a PowerShellben (Exchange Online a PowerShellt olyan Microsoft 365-szervezetek számára, Exchange Online- és különálló EOP PowerShell-lel Exchange Online postaládákban).
Megjegyzés:
A hamisintelligencia-megállapításban csak a hamis felderítés által észlelt hamis feladók jelennek meg. Ha felülbírálja a megállapítás engedélyezési vagy letiltási ítéletét, a hamisított feladó manuális engedélyezési vagy letiltási bejegyzéssé válik, amely csak a Bérlő engedélyezése/letiltása Listák lap Hamisított feladók lapján jelenik meg a címenhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Manuálisan is létrehozhat engedélyezési vagy letiltott bejegyzéseket a hamisított feladók számára, mielőtt a hamis felderítés észleli őket. További információ: Hamisított feladók a bérlői engedélyezési/tiltólistán.
A hamisintelligencia-megállapítás Allow (Engedélyezés) vagy Block (Letiltás) műveletértékei a hamis adatok észlelésére utalnak (függetlenül attól, hogy a Microsoft 365 hamisként azonosította-e az üzenetet). A Művelet érték nem feltétlenül befolyásolja az üzenet általános szűrését. A téves riasztások elkerülése érdekében például előfordulhat, hogy hamisított üzenet érkezik, ha azt tapasztaljuk, hogy nem rendelkezik rosszindulatú szándékkal.
A hamisítottintelligencia-megállapítás és a Hamis feladók lap a Bérlői engedélyezés/letiltás listában felváltja a Biztonsági & Megfelelőségi központ levélszemét elleni szabályzat lapján elérhető hamisintelligencia-szabályzat funkcióit.
A hamisintelligencia-megállapítás 7 napnyi adatot jelenít meg. A Get-SpoofIntelligenceInsight parancsmag 30 napnyi adatot jelenít meg.
Mit kell tudnia a kezdés előtt?
A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Hamis feladók lapra szeretne lépni a Bérlő engedélyezése/tiltása Listák lapon, használja a következőthttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem: . A hamisintelligencia-megállapítás oldalának közvetlen megtekintéséhez használja a következőt https://security.microsoft.com/spoofintelligence: .
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online Védelmi szolgáltatás PowerShellhez.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:
- Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (csak a Defender portált érinti, nem a PowerShellt): Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
- Exchange Online engedélyek:
- Hamisított feladók engedélyezése vagy letiltása, illetve hamis felderítés be- vagy kikapcsolása: Tagság az alábbi szerepkörcsoportok egyikében:
- Szervezetfelügyelet
- Biztonsági rendszergazdaéscsak megtekintési konfiguráció vagy csak megtekintési szervezet kezelése.
- Írásvédett hozzáférés a hamisintelligencia-megállapításhoz: Tagság a Globális olvasó, a Biztonsági olvasó vagy a Csak megtekintési szervezet kezelése szerepkörcsoportban.
- Hamisított feladók engedélyezése vagy letiltása, illetve hamis felderítés be- vagy kikapcsolása: Tagság az alábbi szerepkörcsoportok egyikében:
- Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Az adathalászat elleni házirendek ajánlott beállításaiért lásd: Az EOP adathalászat elleni házirendjének beállításai.
Engedélyezi és letiltja a hamis felderítést az adathalászat elleni szabályzatokban az EOP-ban és a Office 365-höz készült Microsoft Defender. A hamis felderítés alapértelmezés szerint engedélyezve van. További információ: Adathalászat elleni házirendek konfigurálása az EOP-ban vagy Adathalászat elleni szabályzatok konfigurálása Office 365-höz készült Microsoft Defender.
A hamis felderítés ajánlott beállításaiért lásd: Az EOP adathalászat elleni szabályzatának beállításai.
A hamisintelligencia-megállapítás megkeresése a Microsoft Defender portálon
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrás-szabályzatok>Bérlői engedélyezés/blokkolás Listák a Szabályok szakaszban. Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
Válassza a Hamis feladók lapot.
A Hamisított feladók lapon a hamis intelligenciával kapcsolatos megállapítás a következőképpen néz ki:
A megállapításnak két módja van:
- Elemzési mód: Ha a hamis felderítés engedélyezve van, az elemzés megmutatja, hogy hány üzenetet észlelt a hamis intelligencia az elmúlt hét napban.
- Mi a teendő, ha a hamisítási intelligencia le van tiltva, akkor a megállapítás megmutatja, hogy hány üzenetet észlelt volna a hamis felderítés az elmúlt hét napban.
A hamisintelligencia-észlelésekkel kapcsolatos információk megtekintéséhez válassza a Hamis hamisítási tevékenység megtekintése lehetőséget a hamisintelligencia-megállapításban a Hamisintelligencia-megállapítás lap megjelenítéséhez.
A hamis hamisítás észlelésére vonatkozó információk megtekintése
Megjegyzés:
Ne feledje, hogy ezen a lapon csak a hamis felderítés által észlelt hamis feladók jelennek meg.
A hamisított intelligencia elemzési lapja akkor érhető el a címenhttps://security.microsoft.com/spoofintelligence, ha a Hamisított feladók lap Hamisított feladók lapján, a Bérlő engedélyezése/letiltása Listák lapon a hamisítási tevékenység megtekintése lehetőséget választja.
A Hamisintelligencia-megállapítás oldalon az elérhető oszlopfejlécre kattintva rendezheti a bejegyzéseket. A következő oszlopok érhetők el:
- Hamisított felhasználó: A hamisított felhasználó tartománya , amely az e-mail-ügyfelek Feladó mezőjében jelenik meg. A Feladó cím más néven
5322.From
cím. - Infrastruktúra küldése: Más néven infrastruktúra. A küldő infrastruktúra az alábbi értékek egyike:
- A forrás levelezőkiszolgáló IP-címének fordított DNS-keresésében (PTR rekordjában) található tartomány.
- Ha a forrás IP-címe nem rendelkezik PTR-rekorddal, akkor a küldő infrastruktúra forrás IP>/24 -ként <lesz azonosítva (például 192.168.100.100/24).
- Ellenőrzött DKIM-tartomány.
- Üzenetek száma: Az elmúlt hét napban a hamisított tartomány és a szervezetnek küldött infrastruktúra kombinációjából származó üzenetek száma.
- Utoljára látható: Az utolsó dátum, amikor üzenetet kapott a hamisított tartományt tartalmazó küldő infrastruktúrától.
- Hamis típus: Az alábbi értékek egyike:
- Belső: A hamisított feladó egy olyan tartományban található, amely a szervezethez tartozik ( elfogadott tartomány).
- Külső: A hamisított feladó egy külső tartományban van.
- Művelet: Ez az érték Engedélyezett vagy Letiltva:
- Engedélyezett: A tartomány nem tudott explicit e-mail-hitelesítést végezni, és ellenőrzi az SPF, a DKIM és a DMARC protokollt. A tartomány azonban megfelelt az implicit e-mail-hitelesítési ellenőrzéseknek (összetett hitelesítés). Ennek eredményeképpen nem történt hamisítás elleni művelet az üzeneten.
- Letiltva: A hamisított tartomány és a küldő infrastruktúra kombinációjából származó üzeneteket a hamis felderítés rosszként jelöli meg. A hamisított üzeneteken rosszindulatú szándékkal végrehajtott műveletet a Standard vagy a Szigorú előzetes biztonsági szabályzat, az alapértelmezett adathalászat elleni szabályzat vagy az egyéni adathalászat elleni házirendek szabályozzák. További információ: Adathalászat elleni szabályzatok konfigurálása Office 365-höz készült Microsoft Defender.
Ha a hamisított feladók listáját normálról kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.
A bejegyzések szűréséhez válassza a Szűrés lehetőséget. A megnyíló Szűrő úszó panelen a következő szűrők érhetők el:
- Hamis típus: Az elérhető értékek a Belső és a Külső.
- Művelet: Az elérhető értékek az Engedélyezés és a Letiltás.
Ha végzett a Szűrő úszó panelen, válassza az Alkalmaz lehetőséget. A szűrők törléséhez válassza a Szűrők törlése lehetőséget.
A Keresés mező és egy megfelelő érték használatával kereshet meg bizonyos bejegyzéseket.
Az Exportálás paranccsel exportálhatja a hamisításészlelések listáját egy CSV-fájlba.
A hamis hamisítás észlelésének részleteinek megtekintése
Ha a listában az első oszlop melletti jelölőnégyzeten kívül bárhová kattint a listában, megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:
Miért kaptuk el ezt? section: Why we detected this sender as hamis, and what you can do for more information.
Tartomány összefoglalása szakasz: Ugyanazokat az információkat tartalmazza a hamis adatokkal kapcsolatos információk fő oldaláról.
WhoIs data (WhoIs-adatok ) szakasz: Technikai információk a feladó tartományáról.
Explorer vizsgálati szakasza: Office 365-höz készült Defender szervezetben ez a szakasz egy hivatkozást tartalmaz a Fenyegetéskezelő megnyitásához, hogy további részleteket látssunk a feladóról az Adathalászat lapon.
Hasonló e-mailek szakasz: A hamisítás észlelésére vonatkozó alábbi információkat tartalmazza:
- Date
- Tárgy
- Címzett
- Feladó
- Feladó IP-címe
Válassza az Oszlopok testreszabása lehetőséget a megjelenített oszlopok eltávolításához. Ha végzett, válassza az Alkalmaz lehetőséget.
Tipp
Ha a részleteket tartalmazó úszó panel elhagyása nélkül szeretné megtekinteni a többi bejegyzés részleteit, használja az Előző és a Következő elemet az úszó panel tetején.
Ha a hamis hamisítás észlelését EngedélyezésrőlLetiltásra vagy fordítva szeretné módosítani, tekintse meg a következő szakaszt.
A hamisintelligencia-ítélet felülbírálása
A hamisintelligencia-megállapítás oldalán https://security.microsoft.com/spoofintelligencea következő módszerek egyikével bírálja felül a hamisintelligencia-ítéletet:
Jelöljön ki egy vagy több bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével.
- Válassza ki a megjelenő Tömeges műveletek műveletet.
- A megnyíló Tömeges műveletek úszó panelen válassza az Engedélyezés hamisításhoz vagy a Hamisításból való letiltás lehetőséget, majd válassza az Alkalmaz lehetőséget.
Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint.
A megnyíló részletes úszó panelen válassza a Hamisítás engedélyezése vagy a Hamisítás letiltása lehetőséget az úszó panel tetején, majd válassza az Alkalmaz lehetőséget.
Az Intelligens hamis adatok elemzése lapra visszatérve a bejegyzés el lesz távolítva a listából, és bekerül a Hamisított feladók lapra a Bérlő engedélyezése/letiltása Listák oldalon.https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem
Az engedélyezett hamis feladók ismertetése
Az engedélyezett hamisított feladótól érkező üzenetek (automatikusan felismerve vagy manuálisan konfigurálva) csak a hamisított tartomány és a küldő infrastruktúra kombinációjával engedélyezettek. Például a következő hamis feladó hamisítása engedélyezett:
- Tartomány: gmail.com
- Infrastruktúra: tms.mx.com
Csak az adott tartományból/küldő infrastruktúrapárból származó e-mailek hamisítása engedélyezett. A gmail.com hamisítását megkísérelő más feladók nem engedélyezettek automatikusan. A más tartományokban lévő feladóktól érkező üzeneteket, amelyek tms.mx.com származnak, a hamis felderítés továbbra is ellenőrzi, és blokkolhatja.
A hamisintelligencia-megállapítások használata Exchange Online PowerShellben vagy önálló EOP PowerShellben
A PowerShellben a Get-SpoofIntelligenceInsight parancsmaggal tekintheti meg a hamis felderítés által észlelt engedélyezett és letiltott hamis feladókat. A hamisított feladók manuális engedélyezéséhez vagy letiltásához a New-TenantAllowBlockListSpoofItems parancsmagot kell használnia. További információ: Hamisított feladók engedélyezési bejegyzéseinek létrehozása a Bérlői engedélyezési/tiltólistán a PowerShellhasználatával és Blokkbejegyzések létrehozása hamisított feladók számára a bérlői engedélyezési/tiltólistán.
A hamisintelligencia-megállapításban található információk megtekintéséhez futtassa a következő parancsot:
Get-SpoofIntelligenceInsight
Részletes szintaxis- és paraméterinformációkért lásd: Get-SpoofIntelligenceInsight.
A hamisítás és az adathalászat kezelésének egyéb módjai
Legyen körültekintő a hamisítás és az adathalászat elleni védelem terén. Az alábbiakban bemutatjuk, hogyan ellenőrizheti a tartományát hamisítással használó feladókat, és hogyan akadályozhatja meg, hogy károsíthassák a szervezetét:
Ellenőrizze a Hamis e-mail jelentést. Ezzel a jelentéssel gyakran megtekintheti és kezelheti a hamis feladókat. További információ: Hamis észlelések jelentése.
Tekintse át az SPF, a DKIM és a DMARC konfigurációját. További információért olvassa el az alábbi témaköröket:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: