Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di apportare modifiche alla configurazione della sicurezza, ad esempio criteri o regole di trasporto, è importante comprendere l'impatto di tali modifiche in modo che sia possibile pianificare e garantire interruzioni minime per l'organizzazione.
Questa guida dettagliata illustra come valutare una modifica ed esportare i messaggi di posta elettronica interessati per la valutazione.
Ciò di cui hai bisogno
- Microsoft Defender per Office 365 Piano 2 (incluso nell'E5).
- Autorizzazioni sufficienti (minimo lettore di sicurezza necessario per la valutazione tramite Esplora minacce).
- 5-10 minuti per eseguire le procedure seguenti.
Valutare la modifica della normale posizione di recapito del phish di attendibilità in quarantena (dalla cartella Posta indesiderata)
- Accedere al portale di Microsoft Defender e passare a Esplora risorse (sotto Email & Collaborazione nel riquadro di spostamento a sinistra). https://security.microsoft.com/threatexplorer
- Selezionare Phish nella selezione della scheda superiore (Tutti i messaggi di posta elettronica sono la visualizzazione predefinita).
- Premere il pulsante filtro ( Mittente per impostazione predefinita) e selezionare Livello di attendibilità phish.
- Selezionare il livello di confidenza Phishnormale.
- Aggiungere un filtro aggiuntivo del percorso di recapito originale impostato come cartella posta indesiderata.
- Premere Aggiorna. Explorer è ora filtrato per visualizzare tutti i messaggi di posta che vengono rilevati come normale phish di attendibilità e vengono recapitati alla cartella Posta indesiderata a causa delle impostazioni nei criteri di protezione dalla posta indesiderata.
- Se si desidera eseguire il pivot dei dati visualizzati nel grafico, è possibile eseguire questa operazione usando il filtro dei dati in alto a sinistra del grafico (per impostazione predefinita , Azione recapito), selezionando dati utili come l'IP mittente o il dominio mittente per individuare le tendenze e i mittenti più interessati.
- Sotto la sezione del grafico, in cui vengono visualizzati i messaggi di posta elettronica interessati, selezionare Esporta elenco di posta elettronica, che genererà un csv per l'analisi offline. Questo è un elenco dei messaggi di posta elettronica che verrebbero messi in quarantena se l'azione phish fosse stata modificata in quarantena (modifica consigliata sia per i set di impostazioni standard che per i set di impostazioni rigorosi).
Valutare la rimozione di una rimozione dell'override di mittente/dominio
- Accedere al portale di Microsoft Defender e passare a Esplora risorse (sotto Email & Collaborazione nel riquadro di spostamento a sinistra). https://security.microsoft.com/threatexplorer
- Selezionare Tutti i messaggi di posta elettronica se non sono già selezionati.
- Premere il pulsante filtro ( Mittente per impostazione predefinita) e aggiungere un filtro di dominio mittente o mittente, quindi aggiungere la voce in cui si desidera valutare l'impatto della rimozione.
- Espandere l'intervallo di date fino al massimo & premere Aggiorna . La posta dovrebbe ora essere elencata se il dominio mittente/invio è ancora attivo nella messaggistica dell'organizzazione. In caso contrario , potrebbe essere necessario modificare il filtro o in alternativa non si riceve più posta da tale dominio/mittente e può rimuovere la voce in modo sicuro.
- Se la posta è elencata, significa che la voce è ancora un mittente attivo. Eseguire il pivot dei dati nel grafico usando il filtro dei dati (per impostazione predefinita l'azione Recapito) alla tecnologia di rilevamento.
- Il grafico deve essere aggiornato e, se ora non visualizza dati, significa che non sono stati rilevati minacce su nessuno dei messaggi visualizzati in precedenza, il che indica che non è necessaria un'override, in quanto non è presente alcun rilevamento da ignorare.
- Se vengono visualizzati dati quando i dati vengono sezionati dalla tecnologia di rilevamento, ciò significa che la rimozione dell'override avrebbe un impatto su questo mittente/dominio a causa dell'azione dello stack di protezione.
- È consigliabile analizzare ulteriormente la posta per valutare se è veramente dannosa e la voce può essere rimossa o se si tratta di un falso positivo e deve essere corretta in modo che non venga più rilevata erroneamente come minaccia (l'autenticazione è la causa principale dei falsi positivi).
Ulteriori letture
Prendere in considerazione l'uso di set di impostazioni sicuri Assicurandosi di avere sempre i controlli di sicurezza ottimali con i criteri di sicurezza predefiniti.
È anche possibile gestire i problemi di autenticazione della posta elettronica con informazioni dettagliate sull'intelligence spoof intelligence per spoofing.
Altre informazioni sull'autenticazione della posta elettronica Email l'autenticazione in Exchange Online Protection.