Nelle organizzazioni di Microsoft 365 con Microsoft Defender per Office 365 Piano 2, la funzionalità campagne identifica e classifica gli attacchi coordinati di phishing e malware tramite posta elettronica. La categorizzazione degli attacchi tramite posta elettronica in campagne discrete di Microsoft consente di:
Analizzare e rispondere in modo efficiente agli attacchi tramite posta elettronica.
Comprendere meglio l'ambito dell'attacco tramite posta elettronica destinato all'organizzazione.
Mostrare il valore di Microsoft Defender per Office 365 ai decision maker nella prevenzione delle minacce alla posta elettronica.
La funzionalità campagne consente di visualizzare l'immagine complessiva di un attacco tramite posta elettronica più velocemente e più completamente di qualsiasi essere umano.
Guardare questo breve video su come le campagne in Microsoft Defender per Office 365 consentono di comprendere gli attacchi di posta elettronica coordinati destinati all'organizzazione.
Cos'è una campagna?
Una campagna è un attacco coordinato perpetrato tramite posta elettronica contro una o più organizzazioni. Email attacchi che rubano credenziali e dati aziendali sono un settore grande e redditizio. Man mano che le tecnologie aumentano per arrestare gli attacchi, gli utenti malintenzionati modificano i loro metodi per garantire il successo continuo.
Microsoft applica le grandi quantità di dati anti-phishing, anti-spam e antimalware dell'intero servizio per identificare le campagne. Le informazioni sull'attacco vengono analizzate e classificate in base a diversi fattori. Ad esempio:
Origine attacco: gli indirizzi IP di origine e i domini di posta elettronica del mittente.
Proprietà del messaggio: contenuto, stile e tono dei messaggi.
Destinatari del messaggio: modalità di correlazione dei destinatari. Ad esempio, domini destinatari, funzioni di processo del destinatario (amministratori, dirigenti e così via), tipi di società (grandi, piccole, pubbliche, private e così via) e settori.
Payload di attacco: collegamenti dannosi, allegati o altri payload nei messaggi.
Una campagna può essere di breve durata o può durare diversi giorni, settimane o mesi con periodi attivi e inattivi. È possibile che venga lanciata una campagna contro l'organizzazione in modo specifico oppure che l'organizzazione faccia parte di una campagna più ampia tra più aziende.
Licenze e autorizzazioni obbligatorie
La funzionalità campagne è disponibile nelle organizzazioni con Defender per Office 365 Piano 2 (licenze per componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5).
È necessario disporre delle autorizzazioni necessarie per visualizzare le informazioni sulle campagne, come descritto in questo articolo. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: operazioni di sicurezza/dati non elaborati (collaborazione & posta elettronica)/intestazioni del messaggio Email (lettura)..
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
La pagina Campagne è costituita dagli elementi seguenti:
Generatore di filtri/query nella parte superiore della pagina.
Area grafico in cui è possibile usare i pivot disponibili per organizzare il grafico in modi diversi. Per impostazione predefinita, il grafico usa il pivot Tipo campagna , anche se tale pivot non sembra essere selezionato.
Un'area dettagli, impostata per impostazione predefinita sulla scheda Campagna
Suggerimento
Se non vengono visualizzati dati della campagna o dati molto limitati, provare a modificare l'intervallo di date o i filtri.
Tutte le visualizzazioni> di posta elettronica Scheda Campagna nell'area dei dettagli sotto il grafico.
>
Visualizzazione malwareScheda Campagna nell'area dei dettagli sotto il grafico.
Scheda Campagna della visualizzazione >Phish nell'area dei dettagli sotto il grafico.
Se si dispone di un abbonamento Microsoft Defender per endpoint, le informazioni sulle campagne sono connesse con Microsoft Defender per endpoint.
Area grafico nella pagina Campagne
Nella pagina Campagne l'area grafico mostra un grafico a barre che mostra il numero di destinatari al giorno. Per impostazione predefinita, il grafico mostra sia i dati malware che i dati phish .
Per filtrare le informazioni visualizzate nel grafico e nella tabella dei dettagli, modificare i filtri.
Modificare l'organizzazione del grafico selezionando Tipo di campagna e quindi selezionando uno dei valori seguenti nell'elenco a discesa:
Nome campagna
Sottotipo campagna
Dominio del mittente
Indirizzo IP mittente
Azione di recapito
Tecnologia di rilevamento
URL completo
Dominio URL
Url dominio e percorso
Usare Esporta dati del grafico per esportare i dati nel grafico in un file CSV.
Per rimuovere il grafico dalla pagina (che ingrandisce le dimensioni dell'area dei dettagli), eseguire una delle operazioni seguenti:
Selezionare Visualizzazione elencovisualizzazione> grafico nella parte superiore della pagina.
Selezionare Mostra visualizzazione elenco tra il grafico e le visualizzazioni per la tabella dei dettagli.
Area dettagli nella pagina Campagne
Per filtrare le informazioni visualizzate nel grafico e nella tabella dei dettagli, modificare i filtri.
Nella pagina Campagne la scheda Campagna sotto il grafico mostra le informazioni seguenti nella tabella dei dettagli:
Nome
Esempio di oggetto: oggetto di uno dei messaggi della campagna. Tutti i messaggi nella campagna non hanno necessariamente lo stesso oggetto.
Destinazione: percentuale calcolata in base a: (numero di destinatari della campagna nell'organizzazione) / (numero totale di destinatari nella campagna in tutte le organizzazioni del servizio). Questo valore indica il grado in cui la campagna viene indirizzata solo all'organizzazione (un valore più alto) rispetto ad altre organizzazioni del servizio (un valore inferiore).
Tipo: il valore è Phish o Malware.
Sottotipo: il valore contiene altri dettagli sulla campagna. Ad esempio:
Phish: dove disponibile, il marchio che viene phished da questa campagna. Ad esempio, Microsoft, 365, Unknown, Outlooko DocuSign. Quando il rilevamento è basato sulla tecnologia Defender per Office 365, il prefisso ATP- viene aggiunto al valore del sottotipo.
Malware: ad esempio, W32/<MalwareFamilyName> o VBS/<MalwareFamilyName>.
Tag: per altre informazioni sui tag utente, vedere Tag utente.
Destinatari: il numero di utenti oggetti dell'attacco della campagna.
Posta in arrivo: numero di utenti che hanno ricevuto messaggi da questa campagna nella posta in arrivo (non recapitati nella cartella Email indesiderata).
Clic: numero di utenti che hanno selezionato l'URL o aperto l'allegato nel messaggio di phishing.
Percentuale di clic: nelle campagne di phishing, la percentuale calcolata da "Postain arrivo cliccata / ". Questo valore è un indicatore dell'efficacia della campagna. In altre parole, i destinatari sono stati in grado di identificare il messaggio come phishing e quindi hanno evitato l'URL del payload?
La frequenza dei clic non viene usata nelle campagne malware.
Visitato: quanti utenti sono effettivamente passati al sito Web del payload. Se sono presenti valori clicked , ma i collegamenti sicuri hanno bloccato l'accesso al sito Web, questo valore è zero.
Selezionare un'intestazione di colonna da ordinare in base a tale colonna. Per rimuovere le colonne, selezionare Personalizza colonne. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili.
Usare Esporta per esportare i dati nella tabella dei dettagli in un file CSV.
Nella pagina Campagne , la scheda Origine campagna sotto il grafico mostra le origini dei messaggi su una mappa del mondo.
Filtri nella pagina Campagne
Nella parte superiore della pagina Campagna sono disponibili diverse impostazioni di filtro che consentono di trovare e isolare campagne specifiche. I filtri selezionati influiscono sul grafico e sulla tabella dei dettagli.
Per impostazione predefinita, la visualizzazione viene filtrata in base a ieri e oggi. Per modificare il filtro data, selezionare l'intervallo di date e quindi selezionare Valori data inizio e data di fine fino a 30 giorni fa.
È anche possibile filtrare i risultati in base a una o più proprietà del messaggio o della campagna. La sintassi di base è:
<Proprietà><uguale a qualsiasi valore | o valoredella proprietà uguale a nessuno di><uguale>
Selezionare il messaggio o la proprietà della campagna dall'elenco a discesa Tipo di campagna (Tipo di campagna è il valore predefinito selezionato).
I valori delle proprietà che è necessario immettere dipendono completamente dalla proprietà . Alcune proprietà consentono il testo a mano libera con più valori separati da virgole e alcune proprietà consentono più valori selezionati da un elenco.
Le proprietà disponibili e i relativi valori associati sono descritti nella tabella seguente:
Proprietà
Tipo
Di base
Tipo di campagna
Selezionare uno o più valori¹:
Malware
Phishing
Nome campagna
Testo. Separare più valori per virgole.
Sottotipo campagna
Testo. Separare più valori per virgole.
Indirizzo del mittente
Testo. Separare più valori per virgole.
Destinatari
Testo. Separare più valori per virgole.
Dominio del mittente
Testo. Separare più valori per virgole.
Dominio del destinatario
Testo. Separare più valori per virgole.
Oggetto
Testo. Separare più valori per virgole.
Nome visualizzato del mittente
Testo. Separare più valori per virgole.
Posta del mittente dall'indirizzo
Testo. Separare più valori per virgole.
Posta del mittente dal dominio
Testo. Separare più valori per virgole.
Famiglia di malware
Testo. Separare più valori per virgole.
Tag
Testo. Separare più valori per virgole.
Per altre informazioni sui tag utente, vedere Tag utente.
Filtro avanzato: segnali basati su Machine Learning.
Protezione antimalware
Invio in blocco
Campagna
Reputazione del dominio
Detonazione dei file: allegati sicuri hanno rilevato un allegato dannoso durante l'analisi della detonazione.
Reputazione di detonazione dei file: allegati di file precedentemente rilevati da detonazioni di allegati sicuri in altre organizzazioni di Microsoft 365.
Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
Corrispondenza delle impronte digitali: il messaggio è simile a un messaggio dannoso rilevato in precedenza.
Filtro generale
Marchio di rappresentazione: mittente rappresentazione di marchi noti.
Dominio di rappresentazione: Rappresentazione dei domini mittente di cui si è proprietari o specificati per la protezione nei criteri anti-phishing
Utente di rappresentazione
Reputazione IP
Rappresentazione dell'intelligence per le cassette postali: rilevamenti di rappresentazione dall'intelligence delle cassette postali nei criteri anti-phishing.
Rilevamento analisi mista: più filtri hanno contribuito al verdetto del messaggio.
Elenco di domini mittente (override amministratore)
Impostazioni avanzate
ID messaggio Internet
Testo. Separare più valori per virgole.
Disponibile nel campo Intestazione Message-ID nell'intestazione del messaggio. Un valore di esempio è <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (prendere nota delle parentesi angolari).
ID messaggio di rete
Testo. Separare più valori per virgole.
Valore GUID disponibile nel campo intestazione X-MS-Exchange-Organization-Network-Message-Id nell'intestazione del messaggio.
Indirizzo IP mittente
Testo. Separare più valori per virgole.
Allegato SHA256
Testo. Separare più valori per virgole.
Per trovare il valore hash SHA256 di un file, eseguire il comando seguente in PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Cluster ID
Testo. Separare più valori per virgole.
ID avviso
Testo. Separare più valori per virgole.
ID criteri di avviso
Testo. Separare più valori per virgole.
ID campagna
Testo. Separare più valori per virgole.
SEGNALE URL ZAP
Testo. Separare più valori per virgole.
URL
Dominio URL
Testo. Separare più valori per virgole.
Url dominio e percorso
Testo. Separare più valori per virgole.
URL
Testo. Separare più valori per virgole.
Percorso URL
Testo. Separare più valori per virgole.
Fare clic su verdetto
Selezionare uno o più valori¹:
Consentito
Blocco sottoposto a override
Bloccato
Errore
Fallimento
Nessuna
Verdetto in sospeso
Verdetto in sospeso ignorato
File
Nome file allegato
Testo. Separare più valori per virgole.
¹ L'utilizzo di questo filtro di proprietà o di questo filtro di proprietà senza valori selezionati ha lo stesso risultato dell'uso di questo filtro di proprietà con tutti i valori selezionati.
Dopo aver selezionato una proprietà dall'elenco a discesa Tipo campagna , selezionare Uguale o Uguale a qualsiasi di e quindi immettere o selezionare un valore nella casella delle proprietà, la query di filtro viene visualizzata sotto l'area filtro.
Per aggiungere altre condizioni, selezionare un'altra coppia proprietà/valore e quindi selezionare AND o OR. Ripetere questi passaggi tutte le volte necessarie.
Per rimuovere le coppie proprietà/valore esistenti, selezionare accanto alla voce .
Al termine della compilazione della query di filtro, selezionare Aggiorna.
Per salvare la query di filtro, selezionare Salva query>Salva query. Nel riquadro a comparsa Salva query visualizzato configurare le impostazioni seguenti:
Nome query: immettere un valore univoco.
Selezionare uno dei seguenti valori:
Date esatte: selezionare l'intervallo di date.
Date relative: selezionare da uno a 30 giorni.
Tenere traccia di questa query
Al termine del riquadro a comparsa Salva query , selezionare Salva e quindi selezionare OK nella finestra di dialogo di conferma.
Quando si torna alla pagina Campagne , è possibile caricare un filtro salvato selezionando Salva query>Impostazioni query salvate.
Dettagli campagna
Quando si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, viene aperto un riquadro a comparsa contenente i dettagli sulla campagna.
Le informazioni visualizzate nel riquadro a comparsa dei dettagli della campagna sono descritte nelle sottosezioni seguenti.
Informazioni sulla campagna
Nella parte superiore del riquadro a comparsa dei dettagli della campagna sono disponibili le informazioni seguenti:
ID campagna: identificatore univoco della campagna.
Attività: durata e attività della campagna.
I dati seguenti per il filtro dell'intervallo di date selezionato (o selezionato nella sequenza temporale):
Impatto
Messaggi: numero totale di destinatari.
Posta in arrivo: numero di messaggi recapitati alla cartella Posta in arrivo e non alla cartella Posta indesiderata Email.
Collegamento selezionato: numero di utenti che hanno selezionato l'URL del payload nel messaggio di phishing.
Collegamento visitato: numero di utenti che hanno visitato l'URL.
Target(%): percentuale calcolata in base a: (numero di destinatari della campagna nell'organizzazione) / (numero totale di destinatari della campagna in tutte le organizzazioni del servizio). Questo valore viene calcolato per l'intera durata della campagna e non viene modificato dai filtri di data.
Filtri data/ora di inizio e data/ora di fine per il flusso della campagna, come descritto nella sezione successiva.
Sequenza temporale interattiva dell'attività della campagna: la sequenza temporale mostra l'attività per tutta la durata della campagna. È possibile passare il puntatore del mouse sui punti dati nel grafico per visualizzare il numero di messaggi rilevati.
Flusso della campagna
Al centro del riquadro a comparsa dei dettagli della campagna, i dettagli importanti sulla campagna vengono presentati in un diagramma di flusso orizzontale (noto come diagramma Sankey ). Questi dettagli consentono di comprendere gli elementi della campagna e il potenziale impatto nell'organizzazione.
Suggerimento
Le informazioni visualizzate nel diagramma di flusso sono controllate dal filtro dell'intervallo di date nella sequenza temporale, come descritto nella sezione precedente.
Se si passa il puntatore su una banda orizzontale nel diagramma, viene visualizzato il numero di messaggi correlati, ad esempio i messaggi provenienti da un indirizzo IP di origine specifico, i messaggi dall'IP di origine che usano il dominio del mittente specificato e così via.
Il diagramma include le seguenti informazioni:
Indirizzi IP mittenti
Domini mittenti
Verdetti di filtro: i valori del verdetto sono correlati ai verdetti di filtro del phishing e della posta indesiderata disponibili, come descritto nelle intestazioni dei messaggi di posta indesiderata. I valori disponibili sono descritti nella tabella seguente:
Valore
Verdetto filtro posta indesiderata
Descrizione
Consentito
SFV:SKN
<Br/ SFV:SKI
Il messaggio è stato contrassegnato come non posta indesiderata e/o come filtro ignorato prima di essere valutato dal filtro della posta indesiderata. Ad esempio, il messaggio è stato contrassegnato come non posta indesiderata da una regola del flusso di posta (nota anche come regola di trasporto).
<br/ Il messaggio ha ignorato il filtro della posta indesiderata per altri motivi. Ad esempio, il mittente e il destinatario sembrano trovarsi nella stessa organizzazione.
Bloccato
SFV:SKS
Il messaggio è stato contrassegnato come posta indesiderata prima di essere valutato dal filtro della posta indesiderata. Ad esempio, da una regola del flusso di posta.
Rilevato
SFV:SPM
Il messaggio è stato contrassegnato come posta indesiderata dal filtro della posta indesiderata.
Non rilevato
SFV:NSPM
Il messaggio è stato contrassegnato come non indesiderata dal filtro della posta indesiderata.
Rilascio
SFV:SKQ
Il messaggio ha ignorato il filtro della posta indesiderata perché è stato rilasciato dalla quarantena.
Tenant Allow¹
SFV:SKA
Il messaggio ha ignorato il filtro della posta indesiderata a causa delle impostazioni in un criterio di protezione dalla posta indesiderata. Ad esempio, il mittente era nell'elenco mittenti consentiti o nell'elenco di domini consentiti.
Blocco tenant²
SFV:SKA
Il messaggio è stato bloccato dal filtro della posta indesiderata a causa delle impostazioni in un criterio di protezione dalla posta indesiderata. Ad esempio, il mittente era nell'elenco mittenti consentiti o nell'elenco di domini consentiti.
User Allow¹
SFV:SFE
Il messaggio ha ignorato il filtro della posta indesiderata perché il mittente si trovava nell'elenco Mittenti attendibili di un utente.
Blocco utente²
SFV:BLK
Il messaggio è stato bloccato dal filtro della posta indesiderata perché il mittente si trovava nell'elenco Mittenti bloccati di un utente.
¹ Esaminare i criteri di protezione dalla posta indesiderata, perché il messaggio consentito sarebbe stato probabilmente bloccato dal servizio.
² Esaminare i criteri di protezione dalla posta indesiderata, perché questi messaggi devono essere messi in quarantena, non recapitati.
Destinazioni dei messaggi: analizzare i messaggi recapitati ai destinatari (nella cartella Posta in arrivo o Posta indesiderata Email), anche se gli utenti non hanno selezionato l'URL del payload nel messaggio. È anche possibile rimuovere i messaggi in quarantena dalla quarantena. Per altre informazioni, vedere Messaggi di posta elettronica in quarantena in EOP.
Cartella eliminata
Caduto
Esterno: il destinatario si trova nell'organizzazione di posta elettronica locale in ambienti ibridi.
Operazione non riuscita
Inoltrato
Posta in arrivo
Posta indesiderata
Quarantena
Unknown
Clic URL: questi valori sono descritti nella sezione successiva.
Nota
In tutti i livelli che contengono più di 10 elementi, vengono visualizzati i primi 10 elementi, mentre gli altri sono raggruppati in Altri.
Clic URL
Quando un messaggio di phishing viene recapitato alla cartella Posta in arrivo o Email Posta indesiderata di un destinatario, è sempre possibile che l'utente selezioni l'URL del payload. Non selezionare l'URL è una piccola misura di successo, ma è necessario determinare il motivo per cui il messaggio di phishing è stato recapitato alla cassetta postale in primo luogo.
Se un utente ha selezionato l'URL del payload nel messaggio di phishing, le azioni vengono visualizzate nell'area clic URL del diagramma nella visualizzazione dei dettagli della campagna.
Consentito
BlockPage: il destinatario ha selezionato l'URL del payload, ma l'accesso al sito Web dannoso è stato bloccato da un criterio Collegamenti sicuri nell'organizzazione.
BlockPageOverride: il destinatario ha selezionato l'URL del payload nel messaggio, i collegamenti sicuri hanno tentato di arrestarli, ma è stato loro consentito di eseguire l'override del blocco. Esaminare i criteri di Collegamenti sicuri per vedere perché agli utenti è consentito ignorare il verdetto Collegamenti sicuri e continuare con il sito Web dannoso.
PendingDetonationPage: allegati sicuri in Microsoft Defender per Office 365 sta aprendo e analizzando l'URL del payload in un ambiente virtuale.
PendingDetonationPageOverride: al destinatario è stato consentito di eseguire l'override del processo di detonazione del payload e aprire l'URL senza attendere i risultati.
Schede
Suggerimento
Le informazioni visualizzate nelle schede sono controllate dal filtro dell'intervallo di date nel riquadro a comparsa dei dettagli della campagna, come descritto nella sezione Informazioni sulla campagna .
Le schede nel riquadro a comparsa dei dettagli della campagna consentono di analizzare ulteriormente la campagna. Sono disponibili le schede seguenti:
Clic URL: se gli utenti non hanno selezionato l'URL del payload nel messaggio, questa sezione è vuota. Se un utente è stato in grado di selezionare l'URL, vengono popolati i valori seguenti:
Utente*
Tag
URL*
Ora clic
Fare clic su verdetto
Indirizzi IP mittenti
Indirizzo IP mittente*
Conteggio totale
Posta in arrivo
Non posta in arrivo
SPF passato: il mittente è stato autenticato da Sender Policy Framework (SPF). Un mittente che non supera la convalida SPF indica un mittente non autenticato o il messaggio spoofing di un mittente legittimo.
Mittenti
Mittente: si tratta dell'indirizzo mittente effettivo nel comando SMTP MAIL FROM , che non è necessariamente l'indirizzo di posta elettronica Da: visualizzato dagli utenti nei client di posta elettronica.
Conteggio totale
Posta in arrivo
Non posta in arrivo
DKIM passato: il mittente è stato autenticato da DKIM (Domain Keys Identified Mail). Un mittente che non supera la convalida DKIM indica un mittente non autenticato o il messaggio spoofing di un mittente legittimo.
* Selezionando questo valore viene aperto un nuovo riquadro a comparsa che contiene altri dettagli sull'elemento specificato (utente, URL e così via) nella visualizzazione dei dettagli della campagna. Per tornare al riquadro a comparsa dei dettagli della campagna, selezionare Fine nel nuovo riquadro a comparsa.
In ogni scheda selezionare un'intestazione di colonna da ordinare in base a tale colonna. Per rimuovere le colonne, selezionare Personalizza colonne. Per impostazione predefinita, vengono selezionate tutte le colonne disponibili in ogni scheda.
Azioni aggiuntive
Le azioni nella parte inferiore del riquadro a comparsa dei dettagli della campagna consentono di analizzare e registrare i dettagli della campagna:
Selezionare Sì o No in Questa campagna ha raggruppato accuratamente questi messaggi?
Esplorare i messaggi: usare la potenza di Esplora minacce per analizzare ulteriormente la campagna selezionando uno dei valori seguenti nell'elenco a discesa:
Tutti i messaggi: apre una nuova scheda di ricerca di Esplora minacce usando il valore di ID campagna come filtro di ricerca.
Messaggi inseriti nella posta in arrivo: apre una nuova scheda di ricerca di Esplora minacce usando l'ID campagna e il percorso di recapito: Posta in arrivo come filtro di ricerca.
Messaggi interni: apre una nuova scheda di ricerca di Threat Explorer usando l'ID campagna e La direzione: all'interno dell'organizzazione come filtro di ricerca.
Scarica report sulle minacce: scarica i dettagli della campagna in un documento Word (per impostazione predefinita, denominato CampaignReport.docx). Il download contiene i dettagli per l'intera durata della campagna (non solo il filtro di data selezionato).
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.