Hamisintelligencia-megállapítások az EOP-ban

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A microsoftos 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben találhatók, Exchange Online postaládák nélkül, a bejövő e-mail üzeneteket automatikusan védi a rendszer az hamisítás ellen. Az EOP hamis intelligenciát használ a szervezet adathalászat elleni általános védelmének részeként. További információ: Hamisítás elleni védelem az EOP-ban.

Amikor egy feladó meghamisítást alkalmaz egy e-mail-címre, úgy tűnik, hogy egy felhasználó a szervezet egyik tartományában, vagy egy külső tartományban lévő felhasználó, aki e-mailt küld a szervezetnek. Le kell tiltani azokat a támadókat, akik levélszemét vagy adathalász e-mail küldésére hamisak. Vannak azonban olyan helyzetek, amikor a megbízható feladók hamisak. Például:

• A belső tartományok hamisításának jogos forgatókönyvei:

  • A külső feladók az Ön tartományát használják arra, hogy tömeges leveleket küldjenek a saját alkalmazottaiknak a céges szavazásokhoz.
  • Egy külső vállalat hirdetéseket vagy termékfrissítéseket hoz létre és küld az Ön nevében.
  • Egy segéd rendszeresen kell e-mailt küldenie egy másik személynek a szervezeten belül.
  • Egy belső alkalmazás e-mail-értesítéseket küld.

• A külső tartományok hamisításának jogos forgatókönyvei:

  • A feladó egy levelezőlistán (más néven vitafórumlistán) van, és a levelezőlista továbbítja az eredeti feladótól érkező e-maileket a levelezőlista összes résztvevőjének.
  • Egy külső vállalat egy másik vállalat nevében küld e-mailt (például egy automatizált jelentést vagy egy szoftverszolgáltatást biztosító vállalatot).

A Microsoft Defender portál hamis intelligenciával kapcsolatos megállapításával gyorsan azonosíthatja azokat a hamis feladókat, akik jogszerűen küldenek Önnek nem hitelesített e-maileket (olyan tartományokból érkező üzeneteket, amelyek nem adnak át SPF-, DKIM- vagy DMARC-ellenőrzéseket), és manuálisan engedélyezheti ezeket a feladókat.

Ha lehetővé teszi az ismert feladók számára, hogy hamisított üzeneteket küldjenek az ismert helyekről, csökkentheti a téves riasztásokat (a rosszként megjelölt jó e-maileket). Az engedélyezett hamis feladók monitorozásával egy további biztonsági réteget biztosít, amely megakadályozza a nem biztonságos üzenetek érkezését a szervezetbe.

Hasonlóképpen, a hamisintelligencia-megállapítással áttekintheti a hamisított feladókat, amelyeket a hamis felderítés engedélyezett, és manuálisan letilthatja ezeket a feladókat.

A cikk további része bemutatja, hogyan használhatja a hamisintelligencia-megállapításokat a Microsoft Defender portálon és a PowerShellben (Exchange Online a PowerShellt olyan Microsoft 365-szervezetek számára, Exchange Online- és különálló EOP PowerShell-lel Exchange Online postaládákban).

Megjegyzés:

• A hamisintelligencia-megállapításban csak a hamis felderítés által észlelt hamis feladók jelennek meg. Ha felülbírálja a megállapítás engedélyezési vagy letiltási ítéletét, a hamisított feladó manuális engedélyezési vagy letiltási bejegyzéssé válik, amely csak a Bérlő engedélyezése/letiltása Listák lap Hamisított feladók lapján jelenik meg a címenhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Manuálisan is létrehozhat engedélyezési vagy letiltott bejegyzéseket a hamisított feladók számára, mielőtt a hamis felderítés észleli őket. További információ: Hamisított feladók a bérlői engedélyezési/tiltólistán.

• A hamisintelligencia-megállapítás Allow (Engedélyezés) vagy Block (Letiltás) műveletértékei a hamis adatok észlelésére utalnak (függetlenül attól, hogy a Microsoft 365 hamisként azonosította-e az üzenetet). A Művelet érték nem feltétlenül befolyásolja az üzenet általános szűrését. A téves riasztások elkerülése érdekében például előfordulhat, hogy hamisított üzenet érkezik, ha azt tapasztaljuk, hogy nem rendelkezik rosszindulatú szándékkal.

• A hamisítottintelligencia-megállapítás és a Hamis feladók lap a Bérlői engedélyezés/letiltás listában felváltja a Biztonsági & Megfelelőségi központ levélszemét elleni szabályzat lapján elérhető hamisintelligencia-szabályzat funkcióit.

• A hamisintelligencia-megállapítás 7 napnyi adatot jelenít meg. A Get-SpoofIntelligenceInsight parancsmag 30 napnyi adatot jelenít meg.

Mit kell tudnia a kezdés előtt?

• A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Hamis feladók lapra szeretne lépni a Bérlő engedélyezése/tiltása Listák lapon, használja a következőthttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem: . A hamisintelligencia-megállapítás oldalának közvetlen megtekintéséhez használja a következőt https://security.microsoft.com/spoofintelligence: .

• Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online Védelmi szolgáltatás PowerShellhez.

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (csak a Defender portált érinti, nem a PowerShellt): Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
  • Exchange Online engedélyek:
    • Hamisított feladók engedélyezése vagy letiltása, illetve hamis felderítés be- vagy kikapcsolása: Tagság az alábbi szerepkörcsoportok egyikében:
      • Szervezetfelügyelet
      • Biztonsági rendszergazdaéscsak megtekintési konfiguráció vagy csak megtekintési szervezet kezelése.
    • Írásvédett hozzáférés a hamisintelligencia-megállapításhoz: Tagság a Globális olvasó, a Biztonsági olvasó vagy a Csak megtekintési szervezet kezelése szerepkörcsoportban.
  • Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználók számára a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

• Az adathalászat elleni házirendek ajánlott beállításaiért lásd: Az EOP adathalászat elleni házirendjének beállításai.

• Engedélyezi és letiltja a hamis felderítést az adathalászat elleni szabályzatokban az EOP-ban és a Office 365-höz készült Microsoft Defender. A hamis felderítés alapértelmezés szerint engedélyezve van. További információ: Adathalászat elleni házirendek konfigurálása az EOP-ban vagy Adathalászat elleni szabályzatok konfigurálása Office 365-höz készült Microsoft Defender.

• A hamis felderítés ajánlott beállításaiért lásd: Az EOP adathalászat elleni szabályzatának beállításai.

A hamisintelligencia-megállapítás megkeresése a Microsoft Defender portálon

1. A Microsoft Defender portálon https://security.microsoft.comlépjen Email & Együttműködési>szabályzatok & Szabályok>Veszélyforrás-szabályzatok>Bérlői engedélyezés/blokkolás Listák a Szabályok szakaszban. Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .

2. Válassza a Hamis feladók lapot.

3. A Hamisított feladók lapon a hamis intelligenciával kapcsolatos megállapítás a következőképpen néz ki:

   

   A megállapításnak két módja van:

   • Elemzési mód: Ha a hamis felderítés engedélyezve van, az elemzés megmutatja, hogy hány üzenetet észlelt a hamis intelligencia az elmúlt hét napban.
   • Mi a teendő, ha a hamisítási intelligencia le van tiltva, akkor a megállapítás megmutatja, hogy hány üzenetet észlelt volna a hamis felderítés az elmúlt hét napban.

A hamisintelligencia-észlelésekkel kapcsolatos információk megtekintéséhez válassza a Hamis hamisítási tevékenység megtekintése lehetőséget a hamisintelligencia-megállapításban a Hamisintelligencia-megállapítás lap megjelenítéséhez.

A hamis hamisítás észlelésére vonatkozó információk megtekintése

Megjegyzés:

Ne feledje, hogy ezen a lapon csak a hamis felderítés által észlelt hamis feladók jelennek meg.

A hamisított intelligencia elemzési lapja akkor érhető el a címenhttps://security.microsoft.com/spoofintelligence, ha a Hamisított feladók lap Hamisított feladók lapján, a Bérlő engedélyezése/letiltása Listák lapon a hamisítási tevékenység megtekintése lehetőséget választja.

A Hamisintelligencia-megállapítás oldalon az elérhető oszlopfejlécre kattintva rendezheti a bejegyzéseket. A következő oszlopok érhetők el:

• Hamisított felhasználó: A hamisított felhasználó tartománya , amely az e-mail-ügyfelek Feladó mezőjében jelenik meg. A Feladó cím más néven 5322.From cím.
• Infrastruktúra küldése: Más néven infrastruktúra. A küldő infrastruktúra az alábbi értékek egyike:
  • A forrás levelezőkiszolgáló IP-címének fordított DNS-keresésében (PTR rekordjában) található tartomány.
  • Ha a forrás IP-címe nem rendelkezik PTR-rekorddal, akkor a küldő infrastruktúra forrás IP>/24 -ként <lesz azonosítva (például 192.168.100.100/24).
  • Ellenőrzött DKIM-tartomány.
• Üzenetek száma: Az elmúlt hét napban a hamisított tartomány és a szervezetnek küldött infrastruktúra kombinációjából származó üzenetek száma.
• Utoljára látható: Az utolsó dátum, amikor üzenetet kapott a hamisított tartományt tartalmazó küldő infrastruktúrától.
• Hamis típus: Az alábbi értékek egyike:
  • Belső: A hamisított feladó egy olyan tartományban található, amely a szervezethez tartozik ( elfogadott tartomány).
  • Külső: A hamisított feladó egy külső tartományban van.
• Művelet: Ez az érték Engedélyezett vagy Letiltva:
  • Engedélyezett: A tartomány nem tudott explicit e-mail-hitelesítést végezni, és ellenőrzi az SPF, a DKIM és a DMARC protokollt. A tartomány azonban megfelelt az implicit e-mail-hitelesítési ellenőrzéseknek (összetett hitelesítés). Ennek eredményeképpen nem történt hamisítás elleni művelet az üzeneten.
  • Letiltva: A hamisított tartomány és a küldő infrastruktúra kombinációjából származó üzeneteket a hamis felderítés rosszként jelöli meg. A hamisított üzeneteken rosszindulatú szándékkal végrehajtott műveletet a Standard vagy a Szigorú előzetes biztonsági szabályzat, az alapértelmezett adathalászat elleni szabályzat vagy az egyéni adathalászat elleni házirendek szabályozzák. További információ: Adathalászat elleni szabályzatok konfigurálása Office 365-höz készült Microsoft Defender.

Ha a hamisított feladók listáját normálról kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A bejegyzések szűréséhez válassza a Szűrés lehetőséget. A megnyíló Szűrő úszó panelen a következő szűrők érhetők el:

• Hamis típus: Az elérhető értékek a Belső és a Külső.
• Művelet: Az elérhető értékek az Engedélyezés és a Letiltás.

Ha végzett a Szűrő úszó panelen, válassza az Alkalmaz lehetőséget. A szűrők törléséhez válassza a Szűrők törlése lehetőséget.

A Keresés mező és egy megfelelő érték használatával kereshet meg bizonyos bejegyzéseket.

Az Exportálás paranccsel exportálhatja a hamisításészlelések listáját egy CSV-fájlba.

A hamis hamisítás észlelésének részleteinek megtekintése

Ha a listában az első oszlop melletti jelölőnégyzeten kívül bárhová kattint a listában, megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:

• Miért kaptuk el ezt? section: Why we detected this sender as hamis, and what you can do for more information.

• Tartomány összefoglalása szakasz: Ugyanazokat az információkat tartalmazza a hamis adatokkal kapcsolatos információk fő oldaláról.

• WhoIs data (WhoIs-adatok ) szakasz: Technikai információk a feladó tartományáról.

• Explorer vizsgálati szakasza: Office 365-höz készült Defender szervezetben ez a szakasz egy hivatkozást tartalmaz a Fenyegetéskezelő megnyitásához, hogy további részleteket látssunk a feladóról az Adathalászat lapon.

• Hasonló e-mailek szakasz: A hamisítás észlelésére vonatkozó alábbi információkat tartalmazza:

  • Date
  • Tárgy
  • Címzett
  • Feladó
  • Feladó IP-címe

  Válassza az Oszlopok testreszabása lehetőséget a megjelenített oszlopok eltávolításához. Ha végzett, válassza az Alkalmaz lehetőséget.

Tipp

Ha a részleteket tartalmazó úszó panel elhagyása nélkül szeretné megtekinteni a többi bejegyzés részleteit, használja az Előző és a Következő elemet az úszó panel tetején.

Ha a hamis hamisítás észlelését EngedélyezésrőlLetiltásra vagy fordítva szeretné módosítani, tekintse meg a következő szakaszt.

A hamisintelligencia-ítélet felülbírálása

A hamisintelligencia-megállapítás oldalán https://security.microsoft.com/spoofintelligencea következő módszerek egyikével bírálja felül a hamisintelligencia-ítéletet:

• Jelöljön ki egy vagy több bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével.

  1. Válassza ki a megjelenő Tömeges műveletek műveletet.
  2. A megnyíló Tömeges műveletek úszó panelen válassza az Engedélyezés hamisításhoz vagy a Hamisításból való letiltás lehetőséget, majd válassza az Alkalmaz lehetőséget.

• Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint.

  A megnyíló részletes úszó panelen válassza a Hamisítás engedélyezése vagy a Hamisítás letiltása lehetőséget az úszó panel tetején, majd válassza az Alkalmaz lehetőséget.

Az Intelligens hamis adatok elemzése lapra visszatérve a bejegyzés el lesz távolítva a listából, és bekerül a Hamisított feladók lapra a Bérlő engedélyezése/letiltása Listák oldalon.https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

Az engedélyezett hamis feladók ismertetése

Az engedélyezett hamisított feladótól érkező üzenetek (automatikusan felismerve vagy manuálisan konfigurálva) csak a hamisított tartomány és a küldő infrastruktúra kombinációjával engedélyezettek. Például a következő hamis feladó hamisítása engedélyezett:

• Tartomány: gmail.com
• Infrastruktúra: tms.mx.com

Csak az adott tartományból/küldő infrastruktúrapárból származó e-mailek hamisítása engedélyezett. A gmail.com hamisítását megkísérelő más feladók nem engedélyezettek automatikusan. A más tartományokban lévő feladóktól érkező üzeneteket, amelyek tms.mx.com származnak, a hamis felderítés továbbra is ellenőrzi, és blokkolhatja.

A hamisintelligencia-megállapítások használata Exchange Online PowerShellben vagy önálló EOP PowerShellben

A PowerShellben a Get-SpoofIntelligenceInsight parancsmaggal tekintheti meg a hamis felderítés által észlelt engedélyezett és letiltott hamis feladókat. A hamisított feladók manuális engedélyezéséhez vagy letiltásához a New-TenantAllowBlockListSpoofItems parancsmagot kell használnia. További információ: Hamisított feladók engedélyezési bejegyzéseinek létrehozása a Bérlői engedélyezési/tiltólistán a PowerShellhasználatával és Blokkbejegyzések létrehozása hamisított feladók számára a bérlői engedélyezési/tiltólistán.

A hamisintelligencia-megállapításban található információk megtekintéséhez futtassa a következő parancsot:

Get-SpoofIntelligenceInsight

Részletes szintaxis- és paraméterinformációkért lásd: Get-SpoofIntelligenceInsight.

A hamisítás és az adathalászat kezelésének egyéb módjai

Legyen körültekintő a hamisítás és az adathalászat elleni védelem terén. Az alábbiakban bemutatjuk, hogyan ellenőrizheti a tartományát hamisítással használó feladókat, és hogyan akadályozhatja meg, hogy károsíthassák a szervezetét:

• Ellenőrizze a Hamis e-mail jelentést. Ezzel a jelentéssel gyakran megtekintheti és kezelheti a hamis feladókat. További információ: Hamis észlelések jelentése.

• Tekintse át az SPF, a DKIM és a DMARC konfigurációját. További információért olvassa el az alábbi témaköröket:

  • Email hitelesítés a Microsoft 365-ben
  • A feladóvédelmi keretrendszer beállítása az identitáshamisítás megelőzéséhez
  • A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez
  • E-mailek ellenőrzése a DMARC segítségével
  • Megbízható ARC-tömítők konfigurálása