Adathalászat elleni védelem finomhangolása

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Bár a Microsoft 365 számos, alapértelmezés szerint engedélyezett adathalászat elleni funkciót tartalmaz, előfordulhat, hogy egyes adathalász üzenetek továbbra is eljutnak a szervezet postaládáiba. Ez a cikk azt ismerteti, hogy mit tehet annak kiderítésére, hogy miért jutott át egy adathalász üzenet, és mit tehet az adathalászat elleni beállítások módosításához a Microsoft 365-szervezetben anélkül, hogy véletlenül rontaná a helyzetet.

Először is: kezelje a feltört fiókokat, és győződjön meg arról, hogy letiltja a további adathalász üzeneteket

Ha egy címzett fiókját az adathalászati üzenet miatt feltörték, kövesse a Válasz egy feltört e-mail fiókra a Microsoft 365-ben című témakörben leírt lépéseket.

Ha az előfizetése Office 365-höz készült Microsoft Defender tartalmaz, a Office 365 Threat Intelligence használatával azonosíthatja azokat a felhasználókat, akik szintén megkapták az adathalász üzenetet. További lehetőségei vannak az adathalász üzenetek letiltására:

• Biztonságos hivatkozások a Office 365-höz készült Microsoft Defender
• Biztonságos mellékletek a Office 365-höz készült Microsoft Defender
• Adathalászat elleni szabályzatok Office 365-höz készült Microsoft Defender. Átmenetileg növelheti a speciális adathalászati küszöbértékeket a házirendben StandardrólAgresszívre, Agresszívebbre vagy Legagresszívabbra.

Ellenőrizze, hogy működnek-e ezek a szabályzatok. A Biztonságos hivatkozások és a Biztonságos mellékletek elleni védelem alapértelmezés szerint be van kapcsolva az előre beállított biztonsági szabályzatok beépített védelmének köszönhetően. Az adathalászat elleni védelem egy alapértelmezett házirenddel rendelkezik, amely minden olyan címzettre érvényes, akinél a hamisítás elleni védelem alapértelmezés szerint be van kapcsolva. A megszemélyesítés elleni védelem nincs bekapcsolva a szabályzatban, ezért konfigurálni kell. Útmutatásért lásd: Adathalászat elleni szabályzatok konfigurálása Office 365-höz készült Microsoft Defender.

Adathalászati üzenet bejelentése a Microsoftnak

Az adathalász üzenetek jelentésének segítségével finomhangolhatja azokat a szűrőket, amelyek a Microsoft 365 minden ügyfele számára védelmet nyújtanak. Útmutatásért lásd : Gyanús levélszemét, adathalászat, URL-címek, letiltott megbízható e-mailek és e-mail-mellékletek küldése a Microsoftnak a Beküldések lapon.

Az üzenetfejlécek vizsgálata

Megvizsgálhatja az adathalász üzenet fejléceit, és megállapíthatja, hogy van-e olyan dolog, amellyel megakadályozhatja, hogy több adathalász üzenet érkezik. Más szóval az üzenetfejlécek vizsgálatával azonosíthatja a szervezet azon beállításait, amelyek az adathalász üzenetek engedélyezéséért felelnek.

Pontosabban az üzenetfejlécek X-Forefront-Antispam-Report fejlécmezőjében kell keresnie a levélszemét vagy adathalászat kihagyott szűrésére utaló jeleket a Levélszemétszűrési ítélet (SFV) értékben. A szűrést kihagyó üzenetek bejegyzése SCL:-1, ami azt jelenti, hogy az egyik beállítás lehetővé tette ezt az üzenetet a szolgáltatás által meghatározott levélszemét- vagy adathalász ítéletek felülírásával. Az üzenetfejlécek beszerzéséről és az összes elérhető levélszemét- és adathalászat elleni üzenetfejléc teljes listájáról a Levélszemét elleni üzenetfejlécek a Microsoft 365-ben című témakörben olvashat bővebben.

Tipp

Az üzenetfejléc tartalmát az Üzenetfejléc-elemző eszközbe másolhatja és beillesztheti. Ez az eszköz segít elemezni a fejléceket, és olvashatóbb formátumba helyezni őket.

A konfigurációelemző használatával összehasonlíthatja az EOP- és Office 365-höz készült Defender biztonsági szabályzatokat a Standard és a Szigorú javaslatokkal.

Ajánlott eljárások a védelem megtartásához

• Havonta futtassa a biztonsági pontszámot a szervezet biztonsági beállításainak felméréséhez.

• Azoknál az üzeneteknél, amelyek tévedésből karanténba kerülnek (hamis pozitívak), vagy amelyeken keresztül engedélyezettek (hamis negatívak), javasoljuk, hogy keresse meg ezeket az üzeneteket a Threat Explorerben és a valós idejű észlelésekben. Kereshet feladó, címzett vagy üzenetazonosító szerint. Miután megtalálta az üzenetet, a tárgyra kattintva lépjen a részletekre. Karanténba helyezett üzenet esetén nézze meg, mi volt az "észlelési technológia", hogy a megfelelő módszerrel felülbírálhassa. Egy engedélyezett üzenet esetén nézze meg, hogy melyik szabályzat engedélyezte az üzenetet.

• Email hamisított feladóktól (az üzenet Feladó címe nem egyezik meg az üzenet forrásával) adathalászként van besorolva a Office 365-höz készült Defender. Néha a hamisítás jóindulatú, és néha a felhasználók nem szeretnék, hogy bizonyos hamis feladóktól érkező üzenetek karanténba legyenek helyezve. A felhasználókra gyakorolt hatás minimalizálása érdekében rendszeres időközönként tekintse át a hamisintelligencia-megállapítást, a hamisított feladók bejegyzéseit a bérlők engedélyezési/letiltási listájában, valamint a Hamis adatok észlelése jelentést. Miután áttekintette az engedélyezett és letiltott hamisításos feladókat, és elvégezte a szükséges felülbírálásokat, magabiztosan konfigurálhatja a hamis felderítést az adathalászat elleni házirendekben a gyanús üzenetek karanténba helyezésére ahelyett, hogy a felhasználó Levélszemét Email mappájába továbbítanák őket.

• A Office 365-höz készült Defender a megszemélyesítési megállapítások lapjának https://security.microsoft.com/impersonationinsight használatával is nyomon követheti a felhasználók megszemélyesítését vagy a tartomány megszemélyesítésének észlelését. További információ: Megszemélyesítési megállapítások Office 365-höz készült Defender.

• Rendszeresen tekintse át a Veszélyforrások elleni védelem állapota jelentést az adathalászat észleléséről.

• Egyes ügyfelek véletlenül engedélyezik az adathalász üzeneteket azáltal, hogy a saját tartományaikat a Feladó engedélyezése vagy a Tartomány engedélyezése listában levélszemét elleni házirendekbe helyezik. Bár ez a konfiguráció lehetővé tesz bizonyos megbízható üzeneteket, lehetővé teszi a kártékony üzeneteket is, amelyeket általában blokkolnak a levélszemét- és/vagy adathalászati szűrők. A tartomány engedélyezése helyett javítsa ki a mögöttes problémát.

  A Microsoft 365 által blokkolt (hamis pozitív) üzenetek kezelésének legjobb módja, ha teljes mértékben és teljesen konfigurálja az SPF, a DKIM és a DMARC rekordokat a DNS-ben az összes e-mail-tartományhoz:

  • Ellenőrizze, hogy az SPF rekord azonosítja-e a tartomány feladóinak összes e-mail-forrását (ne felejtse el a külső szolgáltatásokat!).

  • A sikertelenség (-all) használatával győződjön meg arról, hogy az erre konfigurált levelezőrendszerek elutasítják a jogosulatlan feladókat. A hamisintelligencia-megállapítások segítségével azonosíthatja a tartományát használó feladókat, így jogosult külső feladókat is felvehet az SPF rekordba.

  A konfigurációs utasításokért lásd:

  • A feladóvédelmi keretrendszer beállítása az identitáshamisítás megelőzéséhez
  • A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez
  • E-mailek ellenőrzése a DMARC segítségével

• Amikor csak lehetséges, javasoljuk, hogy közvetlenül a Microsoft 365-be küldje el a tartományához tartozó e-maileket. Más szóval mutasson a Microsoft 365-tartomány MX rekordjára a Microsoft 365-be. Exchange Online Védelmi szolgáltatás (EOP) a lehető legjobb védelmet nyújtja a felhő felhasználóinak, amikor leveleiket közvetlenül a Microsoft 365-be kézbesítik. Ha külső e-mail-higiéniai rendszert kell használnia az EOP előtt, használja a Bővített szűrés összekötőkhöz lehetőséget. Útmutatásért lásd: Továbbfejlesztett szűrés az összekötőkhöz a Exchange Online-ban.

• A felhasználók használhatják a beépített Jelentés gombot a Webes Outlook vagy telepíthetik a Microsoft Report Message vagy Report Phishing bővítményeket a szervezetben. Konfigurálja a felhasználó által jelentett beállításokat úgy, hogy a felhasználók jelentett üzeneteket küldjenek egy jelentési postaládába, a Microsoftnak vagy mindkettőnek. A felhasználók által jelentett üzenetek ezután elérhetők a rendszergazdák számára a Beküldések lap Felhasználó jelentett lapján, a címenhttps://security.microsoft.com/reportsubmission?viewid=user. Rendszergazda jelentheti a felhasználó által jelentett üzeneteket vagy üzeneteket a Microsoftnak a Beküldések lapon leírtak szerint, hogy gyanús levélszeméteket, adathalászatot, URL-címeket, letiltott megbízható e-maileket és e-mail-mellékleteket küldjön a Microsoftnak. Fontos, hogy a microsoftos felhasználók vagy rendszergazdák téves pozitív vagy hamis negatív jelentéseket küldhessenek, mivel ez segít betanítást az észlelési rendszerekben.

• A többtényezős hitelesítés (MFA) jó módszer a fiókok feltörésének megakadályozására. Érdemes megfontolnia az MFA engedélyezését az összes felhasználó számára. Szakaszos megközelítés esetén először engedélyezze az MFA-t a legérzékenyebb felhasználók (rendszergazdák, vezetők stb.) számára, mielőtt mindenki számára engedélyezi az MFA-t. Útmutatásért lásd: Többtényezős hitelesítés beállítása.

• A szabályok külső címzetteknek való továbbítását gyakran használják a támadók az adatok kinyerésére. A Microsoft biztonsági pontszámában található Postaláda-továbbítási szabályok adatainak áttekintése című témakörben megkeresheti és akár megakadályozhatja is a szabályok külső címzetteknek való továbbítását. További információ: Az ügyfél külső továbbítási szabályainak enyhítése biztonsági pontszámmal.

  Az Automatikusan odaítélt üzenetek jelentés segítségével megtekintheti a továbbított e-mailek részleteit.