Részletes veszélyforrások elleni védelem Office 365-höz készült Microsoft Defender

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A Office 365-höz készült Microsoft Defender védelmi vagy szűrési verem négy fázisra bontható, ahogy ebben a cikkben is látható. Általánosságban elmondható, hogy a bejövő levelek a kézbesítés előtt minden fázison áthaladnak, de az e-mailek tényleges elérési útja a szervezet Office 365-höz készült Defender konfigurációjának függvénye.

Tipp

Maradjon velünk a cikk végéig a Office 365-höz készült Defender védelem mind a 4 fázisának egységesített ábrájáért!

1. fázis – Edge Protection

Sajnos az egykor kritikus edge-blokkok már viszonylag egyszerűek a rossz szereplők számára. Idővel itt kevesebb forgalom lesz blokkolva, de továbbra is fontos része marad a veremnek.

A peremhálózati blokkok automatikusak. Hamis pozitív üzenetek esetén a küldők értesítést kapnak, és tájékoztatják a probléma megoldásáról. A megbízható, korlátozott hírnévvel rendelkező partnerek összekötői biztosíthatják a kézbesítést, vagy ideiglenes felülbírálások hozhatók létre új végpontok bevezetésekor.

Az 1. fázis szűrése a Office 365-höz készült Defender

  1. A hálózati szabályozás azáltal védi Office 365 infrastruktúrát és az ügyfeleket a szolgáltatásmegtagadásos (DOS) támadásoktól, hogy korlátozza az adott infrastruktúrakészlet által elküldhető üzenetek számát.

  2. Az IP-hírnév és a szabályozás letiltja az üzenetek küldését az ismert helytelenül csatlakozó IP-címekről. Ha egy adott IP-cím rövid időn belül sok üzenetet küld, a rendszer szabályozza őket.

  3. A tartománynév letiltja az ismert rossz tartományból küldött üzeneteket.

  4. A címtáralapú élszűrési blokkok egy szervezet címtáradatait próbálják összegyűjteni az SMTP-ben.

  5. A Backscatter észlelése megakadályozza, hogy a szervezetet érvénytelen kézbesítési jelentések (NDR-ek) támadják meg.

  6. Az összekötők továbbfejlesztett szűrése akkor is megőrzi a hitelesítési információkat, ha a forgalom egy másik eszközön halad át, mielőtt eléri Office 365. Ez javítja a szűrési verem pontosságát, beleértve a heurisztikus fürtözést, az hamisítás elleni és az adathalászat elleni gépi tanulási modelleket, még összetett vagy hibrid útválasztási forgatókönyvek esetén is.

2. fázis – Küldőintelligencia

A küldőintelligencia funkciói kritikus fontosságúak a levélszemét, a tömeges, a megszemélyesítés és a jogosulatlan hamisítási üzenetek észlelésében, valamint az adathalászat észlelésében. A legtöbb funkció egyénileg konfigurálható.

A Office 365-höz készült Defender szűrésének 2. fázisa a Küldőintelligencia

  1. A fiókok feltörése észlelési eseményindítók és riasztások akkor jönnek létre, ha egy fiók rendellenes viselkedéssel rendelkezik, és összhangban van a biztonsági sérüléssel. Bizonyos esetekben a rendszer letiltja a felhasználói fiókot, és megakadályozza a további e-mailek küldését, amíg a szervezet biztonsági üzemeltetési csapata meg nem oldja a problémát.

  2. Email A hitelesítés magában foglalja az ügyfél által konfigurált módszereket és a felhőben beállított módszereket is, amelyek célja annak biztosítása, hogy a feladók hiteles, hiteles feladók legyenek. Ezek a módszerek ellenállnak a hamisításnak.

    • Az SPF elutasíthatja azokat a DNS TXT-rekordokon alapuló leveleket, amelyek a szervezet nevében levélküldésre jogosult IP-címeket és kiszolgálókat sorolnak fel.
    • A DKIM titkosított aláírást biztosít, amely hitelesíti a feladót.
    • A DMARC lehetővé teszi, hogy a rendszergazdák kötelezőként jelöljék meg az SPF-et és a DKIM-et a tartományukban, és kikényszerítsék a két technológia eredményei közötti igazítást.
    • Az ARC a DMARC-ra épül, hogy a hitelesítési lánc rögzítésekor a levelezési listákban való továbbítással is működjön.

  3. A hamis felderítés képes kiszűrni azokat a rosszindulatú feladókat, akik szervezeti vagy ismert külső tartományokat utánoznak (vagyis akik egy másik fiók nevében küldenek leveleket, vagy egy levelezőlistára továbbítják őket). Elkülöníti a megbízható "nevében" leveleket azoktól a feladóktól, akik hamisak a levélszemét és az adathalász üzenetek kézbesítéséhez.

    A szervezeten belüli hamisítási intelligencia észleli és letiltja a szervezet tartományából érkező hamis kísérleteket.

  4. A tartományközi hamisítási intelligencia észleli és letiltja a szervezeten kívüli tartományból érkező hamisítási kísérleteket.

  5. A tömeges szűrés lehetővé teszi a rendszergazdák számára a tömeges megbízhatósági szint (BCL) konfigurálását, amely jelzi, hogy az üzenetet tömeges feladó küldte-e. A rendszergazdák az Antispam házirend Tömeges csúszkával határozhatják meg, hogy milyen szintű tömeges leveleket kezeljenek levélszemétként.

  6. A postaláda-intelligencia a szokásos felhasználói e-mail-viselkedésből tanul. A felhasználó kommunikációs gráfját felhasználva észleli, hogy egy feladó csak olyan személynek tűnik, akivel a felhasználó általában kommunikál, de valójában rosszindulatú. Ez a metódus megszemélyesítést észlel.

  7. A postaládaintelligencia-megszemélyesítés az egyes felhasználók egyéni feladói térképe alapján engedélyezi vagy letiltja a megszemélyesítési eredményeket. Ha engedélyezve van, ez a funkció segít azonosítani a megszemélyesítést.

  8. A felhasználói megszemélyesítés lehetővé teszi, hogy a rendszergazda létrehozzon egy listát a nagy értékű célokról, amelyek valószínűleg megszemélyesítve lesznek. Ha olyan e-mail érkezik, amelynél a feladó neve és címe megegyezik a védett nagy értékű fiók nevével és címével, a rendszer megjelöli vagy címkézi az e-mailt. (Például : trα cye@contoso.com for tracye@contoso.com).

  9. A tartomány megszemélyesítése észleli a címzett tartományához hasonló, belső tartománynak látszó tartományokat. Ez a megszemélyesítés például tracye@liw α re.com a esetében tracye@litware.com.

3. fázis – Tartalomszűrés

Ebben a fázisban a szűrési verem elkezdi kezelni az e-mailek adott tartalmát, beleértve a hivatkozásokat és a mellékleteket.

A MDO 3. fázisú szűrése a tartalomszűrés

  1. Az átviteli szabályok (más néven levélforgalmi szabályok vagy Exchange-átviteli szabályok) lehetővé teszik a rendszergazdák számára, hogy sokféle műveletet hajthassanak végre, ha egy üzenethez ugyanolyan sokféle feltétel teljesül. A szervezeten áthaladó összes üzenet kiértékelése az engedélyezett levélforgalmi szabályokkal/átviteli szabályokkal történik.

  2. Microsoft Defender víruskereső és egy külső víruskereső motor a mellékletekben található összes ismert kártevő észlelésére szolgál.

  3. A víruskereső (AV) motorok valódi típusegyeztetést használnak a fájltípus észleléséhez, függetlenül a fájlnévkiterjesztéstől (például exe a fájlnévre átnevezett txt fájlokat fájlként exe észleli a rendszer). Ez a képesség lehetővé teszi, hogy a típusblokkolás (más néven a gyakori mellékletszűrő) megfelelően blokkolja a rendszergazdák által megadott fájltípusokat. A támogatott fájltípusok listájáért lásd: Igaz típusegyezés a közös mellékletszűrőben.

  4. Ha Office 365-höz készült Microsoft Defender rosszindulatú mellékletet észlel, a fájl kivonata és aktív tartalma kivonata Exchange Online Védelmi szolgáltatás (EOP) hírnevéhez lesz hozzáadva. A mellékletek hírnevének blokkolása blokkolja a fájlt az összes Office 365 és végponton MSAV-felhőhívásokon keresztül.

  5. A heurisztikus fürtözés a kézbesítési heurisztika alapján megállapíthatja, hogy egy fájl gyanús-e. Ha gyanús mellékletet talál, a teljes kampány szünetel, és a fájl tesztkörnyezetbe kerül. Ha a fájl kártékony, a teljes kampány le lesz tiltva.

  6. A gépi tanulási modellek egy üzenet fejlécén, törzstartalman és URL-címén műveletet hajtanak végre az adathalász kísérletek észlelése érdekében.

  7. A Microsoft az URL-tesztkörnyezetből származó hírnév és a harmadik féltől származó hírcsatornák URL-hírnevének meghatározásával blokkolja az URL-hírnév blokkolását az ismert kártékony URL-címmel rendelkező üzenetek blokkolásához.

  8. A tartalom heurisztika gépi tanulási modellek használatával képes észlelni a gyanús üzeneteket az üzenet törzsén belüli struktúra és szófrekvencia alapján.

  9. A Biztonságos mellékletek tesztkörnyezet minden mellékletet Office 365-höz készült Defender ügyfelek számára, dinamikus elemzéssel észleli a soha nem látott fenyegetéseket.

  10. A csatolt tartalom detonációja mellékletként kezeli az e-mailekben lévő fájlokra mutató összes URL-címet, aszinkron módon védőfalként kezeli a fájlt a kézbesítéskor.

  11. Az URL-detonáció akkor történik, ha a felsőbb rétegbeli adathalászat elleni technológia gyanúsnak talál egy üzenetet vagy URL-címet. Az URL-detonáció tesztkörnyezetei a kézbesítés időpontjában az üzenetben szereplő URL-címeket iktatják.

4. fázis – Kézbesítés utáni védelem

Az utolsó szakasz az e-mailek vagy a fájlok kézbesítése után történik, és a különböző postaládákban, fájlokban és hivatkozásokban található leveleken, például a Microsoft Teamsben jelenik meg.

A Office 365-höz készült Defender 4. fázisú szűrése kézbesítés utáni védelem

  1. A Biztonságos hivatkozások Office 365-höz készült Defender kattintásra történő védelmének ideje. Minden üzenet minden URL-címe a Microsoft Biztonságos hivatkozások kiszolgálóira mutat. Ha egy URL-címre kattint, a rendszer összeveti a legújabb hírnévvel, mielőtt a felhasználót átirányítanák a célwebhelyre. Az URL-cím aszinkron módon védőfalként van elnevezettként, hogy frissítse a hírnevét.

  2. Az adathalászat nulla órás automatikus kiürítése (ZAP) visszamenőlegesen észleli és semlegesíti azokat a kártékony adathalász üzeneteket, amelyeket már kézbesített Exchange Online postaládákba.

  3. A kártevő ZAP visszamenőlegesen észleli és semlegesíti azokat a kártevő üzeneteket, amelyeket már kézbesített Exchange Online postaládákba.

  4. A LEVÉLSZEMÉT visszamenőlegesen észleli és semlegesíti azokat a kártékony levélszemét-üzeneteket, amelyeket már kézbesített Exchange Online postaládákba.

  5. A kampánynézetek segítségével a rendszergazdák gyorsabban és teljesebben láthatják a támadásokat, mint bármely csapat automatizálás nélkül. A Microsoft a teljes szolgáltatásban felhasználja az adathalászat elleni, levélszemét- és kártevőirtó adatokat a kampányok azonosításához, majd lehetővé teszi, hogy a rendszergazdák az elejétől a végéig kivizsgálhassák azokat, beleértve a célokat, a hatásokat és a folyamatokat, amelyek egy letölthető kampányírásban is elérhetők.

  6. A Jelentésüzenet bővítmények lehetővé teszik a felhasználóknak, hogy további elemzés céljából egyszerűen jelentsenek hamis pozitívokat (jó e-maileket, tévesen rosszként megjelölteket) vagy hamis negatívakat ( rosszként megjelölt e-maileket).

  7. Az Office-ügyfelek biztonságos hivatkozásai ugyanazt a biztonságos hivatkozási idő-kattintásos védelmet nyújtják natív módon, a támogatott Office-alkalmazásokban, például a Word, a PowerPointban és az Excelben.

  8. A OneDrive, a SharePoint és a Teams védelme ugyanazt a biztonságos mellékletvédelmet biztosítja a kártékony fájlok ellen natív módon, a OneDrive-on, a SharePointon és a Microsoft Teamsen belül.

  9. Ha egy fájlra mutató URL-cím van kiválasztva a kézbesítés után, a csatolt tartalom detonációja figyelmeztető oldalt jelenít meg, amíg a fájl védőfala be nem fejeződik, és az URL-cím biztonságosnak találja.

A szűrési verem diagramja

Az utolsó diagram (akárcsak az azt alkotó diagram minden része) változhat a termék növekedésével és fejlődésével. Könyvjelzőként jelölje meg ezt a lapot, és használja az alul található visszajelzési lehetőséget, ha a frissítések után fel kell kérnie a kérdést. A rekordok esetében ez az a verem, amelyben az összes fázis sorrendben szerepel:

A szűrés összes fázisa sorrendben Office 365-höz készült Defender 1-től 4-ig

Külön köszönet az MSFTTracyP-től és a dokumentumíró csapattól Giulian Garruba-nak a tartalomért.