Falsk intelligensinnsikt for postbokser i skyen

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk 90-dagers Defender for Office 365 prøveversjon på Microsoft Defender portalens prøveversjonshub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I alle organisasjoner med postbokser i skyen beskyttes innkommende e-postmeldinger automatisk mot forfalskning. Microsoft 365 bruker forfalskningsintelligens som en del av organisasjonens overordnede forsvar mot phishing. Hvis du vil ha mer informasjon, kan du se Beskyttelse mot forfalskning.

Når en avsender forfalsker en e-postadresse, ser de ut til å være en bruker i et av organisasjonens domener, eller en bruker i et eksternt domene som sender e-post til organisasjonen. Angripere som forfalsker avsendere til å sende søppelpost eller phishing-e-post, må blokkeres. Det finnes imidlertid scenarioer der legitime avsendere forfalsker. Eksempel:

• Legitime scenarioer for forfalskning av interne domener:

  • Avsendere utenfor Microsoft bruker domenet til å sende masseutsendelse av e-post til brukere i organisasjonen (for eksempel for firmaavspørringer).
  • Et eksternt selskap genererer og sender reklame- eller produktoppdateringer på dine vegne.
  • En assistent må regelmessig sende e-post til en annen person i organisasjonen.
  • Et internt program sender e-postvarsler.

• Legitime scenarioer for forfalskning av eksterne domener:

  • Avsenderen er på en adresseliste (også kjent som en diskusjonsliste), og adresselisten videresender e-post fra den opprinnelige avsenderen til alle deltakerne på adresselisten.
  • Et eksternt selskap sender e-post på vegne av et annet selskap (for eksempel en automatisert rapport eller et programvare-som-tjeneste-selskap).

Bruk innsikten om forfalskningsintelligens i Microsoft Defender-portalen til raskt å identifisere og manuelt tillate falske avsendere som legitimt sender deg e-post som ikke består e-postgodkjenning (SPF-, DKIM- eller DMARC)-kontroller.

Ved å tillate kjente avsendere å sende falske meldinger fra kjente plasseringer, kan du redusere falske positiver (god e-post merket som dårlig). Ved å overvåke de tillatte falske avsenderne oppgir du et ekstra lag med sikkerhet for å hindre at usikre meldinger kommer til organisasjonen.

På samme måte kan du bruke innsikten om forfalskningsintelligens til å se gjennom falske avsendere som tillates av forfalskningsintelligens, og blokkere disse avsenderne manuelt.

Resten av denne artikkelen forklarer hvordan du bruker spoof intelligence-innsikten i Microsoft Defender-portalen og i PowerShell.

Obs!

• Bare falske avsendere som oppdages av forfalskningsintelligens, vises i denne innsikten. Meldinger fra domener som mislykkes DMARC der DMARC-policyen er satt til p=reject eller p=quarantine ikke vises i denne innsikten. Disse meldingene behandles basert på postpolicyen Honor DMARC når meldingen oppdages som falsk innstilling i policyer for anti-phishing.

• Når du overstyrer dommen om tillatelse eller blokkering i falsk intelligensinnsikt, blir den forfalskede avsenderen en manuell tillatelses- eller blokkeringsoppføring som bare vises på fanen Falske avsendere på siden Tillatelses-/blokkeringslister for leier på https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Du kan også manuelt opprette tillatelses- eller blokkeringsoppføringer for falske avsendere før forfalskningsintelligens oppdager dem. Hvis du vil ha mer informasjon, kan du se Falske avsendere i leierens tillatelses-/blokkeringsliste.

• HandlingsverdieneTillat eller Blokker i innsikten om forfalskningsintelligens refererer til forfalskningsgjenkjenning (om Microsoft 365 identifiserte meldingen som forfalsket eller ikke). Handlingsverdien påvirker ikke nødvendigvis den generelle filtreringen av meldingen. Hvis du for eksempel vil unngå falske positiver, kan en falsk melding bli levert hvis vi finner ut at den ikke har ondsinnede hensikter.

• Den falske intelligensinnsikten viser sju dager med data. Cmdleten Get-SpoofIntelligenceInsight viser data for 30 dager.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til fanen Falske avsendere på siden Tillatelses-/blokkeringslister for leier , bruker https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemdu . Hvis du vil gå direkte til siden Forfalslig intelligensinnsikt , bruker https://security.microsoft.com/spoofintelligencedu .

• Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.

• Du må være tilordnet tillatelser før du kan utføre fremgangsmåtene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).

  • Exchange Online tillatelser:

    • Tillat eller blokker falske avsendere, eller aktiver eller deaktiver forfalskningsintelligens: Medlemskap i en av følgende rollegrupper:
      • Organisasjonsadministrasjon
      • Sikkerhetsadministratorogskrivebeskyttet konfigurasjon eller skrivebeskyttet organisasjonsadministrasjon.
    • Skrivebeskyttet tilgang til innsikt i falsk intelligens: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .

  • Microsoft Entra tillatelser: Medlemskap i rollene global administrator^*, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

    Viktig

    ^* Microsoft støtter på det sterkeste prinsippet om minst mulig privilegier. Tilordne kontoer bare minimum tillatelser som er nødvendige for å utføre sine oppgaver bidrar til å redusere sikkerhetsrisikoer og styrker organisasjonens generelle beskyttelse. Global administrator er en svært privilegert rolle som du bør begrense til nødscenarioer eller når du ikke kan bruke en annen rolle.

• Hvis du vil se våre anbefalte innstillinger for policyer for anti-phishing, inkludert forfalskningsintelligens, kan du se innstillinger for anti-phishing-policy for alle postbokser i skyen.

• Du aktiverer og deaktiverer forfalskningsintelligens i policyer for anti-phishing. Forfalskningsintelligens er aktivert som standard. Hvis du vil ha mer informasjon, kan du se én av følgende artikler:

  • Konfigurer policyer for anti-phishing hvis du ikke har Microsoft Defender for Office 365
  • Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365

Finn innsikten om forfalskningsintelligens i Microsoft Defender-portalen

1. Gå til E-post & samarbeidspolicyer>& regler>Trusselpolicyer>Leier tillat/blokker lister i Regler-delen i Microsoft Defender portalenhttps://security.microsoft.com. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

2. Velg fanen Forfalsfalte avsendere .

3. På fanen Forfalsfalte avsendere ser innsikten om forfalskningsintelligens slik ut:

   

   Innsikten har to moduser:

   • Innsiktsmodus: Hvis forfalskningsintelligens er aktivert, viser innsikten hvor mange meldinger forfalskningsintelligens oppdaget i løpet av de siste sju dagene.
   • Hva om-modus: Hvis forfalskningsintelligens er deaktivert, viser innsikten hvor mange meldinger forfalskningsintelligens ville ha oppdaget i løpet av de siste sju dagene.

Hvis du vil vise informasjon om gjenkjenning av forfalskningsintelligens, velger du Vis forfalskingsaktivitet i spoof-intelligensinnsikten for å gå til siden Forfalskingsintelligensinnsikt .

Vis informasjon om forfalskningsgjenkjenning

Obs!

Husk at bare falske avsendere som oppdages av forfalskningsintelligens, vises i denne innsikten. Meldinger fra domener som mislykkes DMARC der DMARC-policyen er satt til p=reject eller p=quarantine ikke vises i denne innsikten. Disse meldingene behandles basert på postpolicyen Honor DMARC når meldingen oppdages som falsk innstilling i policyer for anti-phishing.

Siden Forfalskingsintelligensinnsikt på https://security.microsoft.com/spoofintelligence er tilgjengelig når du velger Vis forfalskningsaktivitet fra spoof-intelligensinnsikten på fanen Falske avsendere på siden Tillat/blokker lister for leier .

På siden Forfalskingsintelligensinnsikt kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

• Forfalsket bruker: Domenet til den forfalskede brukeren i Fra-boksen i e-postklienter (også kjent som 5322.From adressen eller P2-adressen).
• Sender infrastruktur: Også kjent som infrastrukturen. Infrastrukturen som sendes, er én av følgende verdier:
  • Domenet som finnes i et omvendt DNS-oppslag (PTR-post) på kilde-e-postserverens IP-adresse.
  • Hvis kilde-IP-adressen ikke har noen PTR-post, identifiseres infrastrukturen for sending som <kilde-IP>/24 (for eksempel 192.168.100.100/24).
  • Et bekreftet DKIM-domene.
• Antall meldinger: Antall meldinger fra kombinasjonen av det forfalskede domenet og infrastrukturen som sendes til organisasjonen i løpet av de siste sju dagene.
• Sist sett: Siste dato da en melding ble mottatt fra infrastrukturen som sendte, som inneholder det forfalskede domenet.
• Forfalskningstype: Én av følgende verdier:
  • Intern: Den forfalskede avsenderen er i et domene som tilhører organisasjonen (et godtatt domene).
  • Ekstern: Den forfalskede avsenderen er i et eksternt domene.
• Handling: Denne verdien er tillatt eller blokkert:

  • Tillatt: Domenet mislyktes med eksplisitt e-postgodkjenning kontrollerer SPF, DKIM og DMARC. Domenet besto imidlertid våre implisitte godkjenningskontroller for e-post (sammensatt godkjenning). Derfor ble det ikke utført noen handling mot forfalskning i meldingen.

  • Blokkert: Meldinger fra det forfalskede domenet og sending av infrastruktur er merket som dårlig av forfalskningsintelligens. Handlingen som utføres på falske meldinger med ondsinnede hensikter, kontrolleres av:

    • De Standard eller strenge forhåndsinnstilte sikkerhetspolicyene.
    • Standard policy for anti-phishing.
    • Egendefinerte policyer for anti-phishing.

    Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for anti-phishing i Microsoft Defender for Office 365.

Hvis du vil endre listen over forfalskede avsendere fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Forfalskningstype: De tilgjengelige verdiene er interne og eksterne.
• Handling: Tilgjengelige verdier er Tillat og Blokker

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk søkeboksen og en tilsvarende verdi til å finne bestemte oppføringer.

Bruk Eksporter til å eksportere listen over forfalskningsgjenkjenninger til en CSV-fil.

Vis detaljer om forfalskningsgjenkjenning

Når du velger en forfalskningsgjenkjenning fra listen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

• Hvorfor fikk vi tak i dette? inndeling: Hvorfor vi oppdaget denne avsenderen som forfalskning, og hva du kan gjøre for mer informasjon.

• Inndeling for domenesammendrag : Inneholder den samme informasjonen fra hovedsiden for spoof-intelligensinnsikt .

• WhoIs-datainndeling : Teknisk informasjon om avsenderens domene.

• Utforsker-undersøkelsesdelen: I Defender for Office 365 organisasjon inneholder denne delen en kobling for å åpne Trusselutforsker for å se flere detaljer om avsenderen på Phish-fanen.

• Delen Lignende e-postmeldinger : Inneholder følgende informasjon om forfalskningsgjenkjenning:

  • Dato
  • Emne
  • Mottaker
  • Avsender
  • IP-adresse for avsender

  Velg Tilpass kolonner for å fjerne kolonnene som vises. Når du er ferdig, velger du Bruk.

Tips

Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

Hvis du vil endre forfalskningsgjenkjenningen fra Tillat til Blokker eller omvendt, kan du se neste del.

Overstyr den falske etterretningsdommen

Bruk en av følgende metoder på siden Forfalssintelligensinnsikt på https://security.microsoft.com/spoofintelligence:

• Velg én eller flere oppføringer fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen.

  1. Velg massehandlingshandlingene som vises.
  2. Velg Tillat forfalsking eller Blokker fra forfalskning i massehandlinger-undermenyen som åpnes, og velg deretter Bruk.

• Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen.

  Velg Tillat forfalsking eller Blokker fra forfalskning øverst i undermenyen for detaljer som åpnes, og velg deretter Bruk.

Tilbake på siden Forfalslig intelligens-innsikt fjernes oppføringen fra listen og legges til fanen Falske avsendere på siden Tillat/blokker lister for leier på https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Om tillatte falske avsendere

Meldinger fra en tillatt falsk avsender (automatisk oppdaget eller manuelt konfigurert) tillates bare ved hjelp av kombinasjonen av det forfalskede domenet og infrastrukturen som sendes. Følgende forfalskede avsender har for eksempel tillatelse til å forfalske:

• Domene: gmail.com
• Infrastruktur: tms.mx.com

Bare e-post fra dette domenet/sendende infrastrukturparet kan forfalskes. Andre avsendere som prøver å forfalske gmail.com, er ikke automatisk tillatt. Forfalskningsintelligens kontrollerer meldinger fra avsendere i andre domener som kommer fra tms.mx.com, og disse meldingene kan fortsatt blokkeres.

Bruk spoof intelligence-innsikten i PowerShell

I Exchange Online PowerShell bruker du Get-SpoofIntelligenceInsight-cmdleten til å vise tillatte og blokkerte falske avsendere som ble oppdaget av forfalskningsintelligens. Hvis du vil tillate eller blokkere falske avsendere manuelt, må du bruke cmdleten New-TenantAllowBlockListSpoofItems . Hvis du vil ha mer informasjon, kan du se Bruke PowerShell til å opprette tillatelsesoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste og bruke PowerShell til å opprette blokkoppføringer for forfalskede avsendere i listen over leier-tillat/-blokkering.

Kjør følgende kommando for å vise informasjonen i den falske intelligensinnsikten:

Get-SpoofIntelligenceInsight

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-SpoofIntelligenceInsight.

Andre måter å administrere forfalskning og phishing på

Vær flittig om forfalskning og phishing-beskyttelse. Her er relaterte måter å kontrollere avsendere som forfalsker domenet ditt på, og hindre dem i å skade organisasjonen:

• Kontroller rapporten for falsk e-post. Bruk denne rapporten ofte til å vise og hjelpe med å behandle falske avsendere. Hvis du vil ha informasjon, kan du se rapporten for forfalskningsgjenkjenning.

• Se gjennom konfigurasjonen av SPF, DKIM og DMARC. Hvis du vil ha mer informasjon, kan du se følgende artikler:

  • E-postgodkjenning
  • Konfigurer SPF for å identifisere gyldige e-postkilder for egendefinerte skydomener
  • Konfigurer DKIM til å signere e-post fra skydomenet
  • Konfigurer DMARC til å validere Fra-adressedomenet for skyavsendere
  • Konfigurer klarerte ARC-sealers