Szczegółowe informacje o personifikacji w Ochrona usługi Office 365 w usłudze Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Personifikacja polega na tym, że nadawca wiadomości e-mail wygląda podobnie do rzeczywistego lub oczekiwanego adresu e-mail nadawcy. Osoby atakujące często używają personifikowanych adresów e-mail nadawcy podczas wyłudzania informacji lub innych typów ataków, aby uzyskać zaufanie odbiorcy. Istnieją dwa podstawowe typy personifikacji:

• Personifikacja domeny: zawiera subtelne różnice w domenie. Na przykład lila@ćóntoso.com personifikuje lila@contoso.com.
• Personifikacja użytkownika: zawiera subtelne różnice w aliasie wiadomości e-mail. Na przykład personifikuje rnichell@contoso.commichelle@contoso.comelement .

Personifikacja domeny różni się od fałszowania domeny, ponieważ domena personifikowana jest często prawdziwą, zarejestrowaną domeną, ale z zamiarem oszukania. Wiadomości od nadawców w domenie personifikowanych mogą przekazywać regularne testy uwierzytelniania poczty e-mail, które w przeciwnym razie identyfikują komunikaty jako próby fałszowania (SPF, DKIM i DMARC).

Ochrona przed personifikacjami jest częścią ustawień zasad ochrony przed wyłudzaniem informacji, które są dostępne wyłącznie dla Ochrona usługi Office 365 w usłudze Microsoft Defender. Aby uzyskać więcej informacji na temat tych ustawień, zobacz Temat Impersonation settings in anti-phishing policies in Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender).

Administratorzy mogą korzystać ze szczegółowych informacji o personifikacji w portalu Microsoft Defender, aby szybko identyfikować komunikaty od personifikowanych nadawców lub domen nadawców określonych w ochronie przed personifikacją w zasadach ochrony przed wyłudzaniem informacji.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony ochrony przed wyłudzaniem informacji , użyj polecenia https://security.microsoft.com/antiphishing. Aby przejść bezpośrednio do strony szczegółowej informacji o personifikacji , użyj polecenia https://security.microsoft.com/impersonationinsight.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

  • Email & uprawnienia do współpracy w portalu Microsoft Defender: Członkostwo w dowolnej z następujących grup ról:

    • Zarządzanie organizacją
    • Administrator zabezpieczeń
    • Czytelnik zabezpieczeń
    • Czytelnik globalny

  • uprawnienia Microsoft Entra: członkostwo w rolach administratora^* globalnego, administratora zabezpieczeń, czytelnika zabezpieczeń lub czytelnika globalnego zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

    Ważna

    ^* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

• W Ochrona usługi Office 365 w usłudze Microsoft Defender włączasz i konfigurujesz ochronę przed personifikacją w zasadach ochrony przed wyłudzaniem informacji. Ochrona przed personifikacją nie jest domyślnie włączona. Aby uzyskać więcej informacji, zobacz Configure anti-phishing policies in Ochrona usługi Office 365 w usłudze Microsoft Defender and Use the Microsoft Defender portal to assign Standard and Strict preset security policies to users (Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender) i Use the Microsoft Defender portal to assign Standard and Strict preset security policies to users (Konfigurowanie zasad ochrony przed wyłudzaniem informacji w usłudze Ochrona usługi Office 365 w usłudze Microsoft Defender) i Use the Microsoft Defender portal to assign Standard and Strict

• Aby uzyskać więcej informacji na temat wymagań licencyjnych, zobacz Postanowienia licencyjne.

Otwieranie szczegółowych informacji o personifikacji w portalu Microsoft Defender

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>— zasady>ochrony przed wyłudzaniem informacji w sekcji Zasady. Aby przejść bezpośrednio do strony Anty-phishing , użyj polecenia https://security.microsoft.com/antiphishing.

Na stronie Ochrona przed wyłudzaniem informacji szczegółowe informacje dotyczące personifikacji wyglądają następująco:

Szczegółowe informacje mają dwa tryby:

• Tryb szczegółowych informacji: jeśli ochrona przed personifikacją jest włączona i skonfigurowana w jakichkolwiek zasadach ochrony przed wyłudzaniem informacji, szczegółowe informacje pokazują liczbę wykrytych komunikatów z domen personifikowanych i personifikowanych użytkowników (nadawców) w ciągu ostatnich siedmiu dni. Wyświetlana liczba to suma wszystkich wykrytych prób personifikacji ze wszystkich zasad ochrony przed wyłudzaniem informacji.
• Tryb warunkowy: jeśli ochrona przed personifikacją nie jest włączona i skonfigurowana w żadnych aktywnych zasadach ochrony przed wyłudzaniem informacji, szczegółowe informacje pokazują, ile komunikatów zostałoby wykrytych przez ochronę przed personifikacją w ciągu ostatnich siedmiu dni.

Aby wyświetlić informacje na temat wykrywania personifikacji, wybierz pozycję Wyświetl personifikacje w szczegółowym wglądu w personifikację, aby przejść do strony Szczegółowe informacje o personifikacji .

Wyświetlanie informacji o wykrywaniu personifikacji domeny

Strona Szczegółowe informacje o personifikacji pod adresem jest dostępna po wybraniu https://security.microsoft.com/impersonationinsight pozycji Wyświetl personifikacje w szczegółowym wglądie w personifikację na stronie Ochrona przed wyłudzaniem informacji .

Na stronie Szczegółowe informacje o personifikacji sprawdź, czy wybrano kartę Domeny .

Wpisy można sortować, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:^*

• Domena nadawcy: domena personifikująca, czyli domena, która została użyta do wysłania wiadomości e-mail.
• Liczba komunikatów: liczba komunikatów z domeny personifikacji nadawcy w ciągu ostatnich siedmiu dni.
• Typ personifikacji: ta wartość pokazuje wykrytą lokalizację personifikacji (na przykład Domena w adresie).
• Personifikowane domeny: domena chroniona przez ochronę przed personifikacją domeny, która powinna przypominać domenę w domenie nadawcy.
• Typ domeny: ta wartość to Domena firmy dla akceptowanych domen lub Domena niestandardowa dla domen niestandardowych.
• Zasady: zasady ochrony przed wyłudzaniem informacji, które wykryły domenę personifikacji.
• Możliwość personifikacji: Jedna z następujących wartości:
  • Tak: domena została skonfigurowana jako domena zaufana (wyjątek ochrony przed personifikacją) w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Wykryto komunikaty z domeny personifikacji, ale są dozwolone.
  • Nie: Domena została skonfigurowana pod kątem ochrony przed personifikacją w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Akcja wykrywania personifikacji domeny w zasadach ochrony przed wyłudzaniem informacji jest wykonywana w komunikacie.

^* Aby wyświetlić wszystkie kolumny, prawdopodobnie trzeba wykonać co najmniej jeden z następujących kroków:

• Przewiń w poziomie w przeglądarce internetowej.
• Zawęź szerokość odpowiednich kolumn.
• Pomniejszyj w przeglądarce internetowej.

Aby zmienić listę wykrywania personifikacji domeny z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Użyj pola Wyszukiwania i rozdzielanej przecinkami listy wartości, aby znaleźć określone wykrywanie personifikacji domeny.

Użyj opcji Eksportuj , aby wyeksportować listę wykrywania personifikacji domeny do pliku CSV.

Wyświetlanie szczegółów dotyczących wykrywania personifikacji domeny

Na karcie Domeny na stronie Szczegółowe informacje o personifikacji pod adresem https://security.microsoft.com/impersonationinsight?type=Domainwybierz jedno z wykrywania personifikacji, klikając dowolne miejsce w wierszu innym niż pole wyboru.

Poniższe informacje są dostępne w wysuwu szczegółów:

• Dlaczego to złapaliśmy?

• Co należy zrobić?

• Podsumowanie domeny: domena, która została wykryta jako personifikacja.

• Dane whois: zawiera informacje o domenie:

  • Lokalizacja nadawcy
  • Data utworzenia domeny
  • Data wygaśnięcia domeny
  • Rejestrujący

• Badanie Eksploratora: wybierz link, aby otworzyć Eksploratora zagrożeń lub wykrywania w czasie rzeczywistym , aby uzyskać dodatkowe szczegóły dotyczące nadawcy.

• Email od nadawcy: W tej sekcji przedstawiono następujące informacje o podobnych komunikatach od nadawców w domenie:

  • Data
  • Odbiorca
  • Temat
  • Nadawca
  • Adres IP nadawcy
  • Akcja dostarczania

Porada

Aby wyświetlić szczegółowe informacje o innych wpisach personifikacji domeny bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

Aby zapobiec identyfikowaniu nadawców w wykrytej domenie jako personifikacji domeny, zobacz następną podsekcję.

Wykluczenie nadawców w wykrytej domenie z przyszłych testów personifikacji domeny

Na karcie Domeny na stronie Szczegółowe informacje o personifikacji pod adresem https://security.microsoft.com/impersonationinsight?type=Domainwykonaj następujące kroki, aby wykluczyć nadawców w wykrytej domenie z identyfikowania jako personifikacja domeny:

Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru.

W wyświetlonym menu wysuwowym szczegółów użyj zasad wybierania personifikacji, aby zmodyfikować ustawienia listy dozwolonych do personifikacji w górnej części wysuwanego menu. Te ustawienia współpracują ze sobą, aby dodać domenę do listy Zaufani nadawcy i domeny w zasadach , które niepoprawnie zidentyfikowały komunikat jako personifikację domeny:

• Wybierz zasady ochrony przed wyłudzaniem informacji na liście rozwijanej. Zasady ochrony przed wyłudzaniem informacji, które były odpowiedzialne za wykrywanie komunikatu, są wyświetlane w wartości Zasady na karcie Domena .

• Przesuń przełącznik do pozycji włączone: aby dodać domenę do listy Zaufani nadawcy i domeny w wybranych zasadach.

  Aby usunąć domenę z listy Zaufani nadawcy i domeny, przesuń przełącznik z powrotem do

Po zakończeniu wysuwanego szczegółów wybierz pozycję Zamknij.

Wyświetlanie informacji o wykrywaniu personifikacji użytkowników

Strona Szczegółowe informacje o personifikacji pod adresem jest dostępna po wybraniu https://security.microsoft.com/impersonationinsight pozycji Wyświetl personifikacje w szczegółowym wglądie w personifikację na stronie Ochrona przed wyłudzaniem informacji .

Na stronie Szczegółowe informacje o personifikacji wybierz kartę Użytkownicy .

Wpisy można sortować, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:^*

• Nadawca: adres e-mail nadawcy personifikującego, który wysłał wiadomość e-mail.
• Liczba komunikatów: liczba komunikatów od nadawcy personifikującego w ciągu ostatnich siedmiu dni.
• Typ personifikacji: na przykład Użytkownik w nazwie wyświetlanej.
• Personifikowane użytkowników: nazwa wyświetlana i adres e-mail nadawcy chronionego przez ochronę przed personifikacją, która przypomina adres e-mail nadawcy.
• Typ użytkownika: typ zastosowanej ochrony (na przykład chronionego użytkownika lub analizy skrzynki pocztowej).
• Zasady: zasady ochrony przed wyłudzaniem informacji, które wykryły personifikowanego nadawcę.
• Możliwość personifikacji: Jedna z następujących wartości:
  • Tak: nadawca został skonfigurowany jako zaufany użytkownik (wyjątek dotyczący ochrony przed personifikacją) w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Wykryto komunikaty od personifikowanego nadawcy, ale są dozwolone.
  • Nie: nadawca został skonfigurowany pod kątem ochrony przed personifikacją w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Akcja wykrywania personifikacji użytkowników w zasadach ochrony przed wyłudzaniem informacji jest wykonywana w komunikacie.

^* Aby wyświetlić wszystkie kolumny, prawdopodobnie trzeba wykonać co najmniej jeden z następujących kroków:

• Przewiń w poziomie w przeglądarce internetowej.
• Zawęź szerokość odpowiednich kolumn.
• Pomniejszyj w przeglądarce internetowej.

Aby zmienić listę wykrywania personifikacji użytkowników z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Użyj pola Wyszukiwania i rozdzielanej przecinkami listy wartości, aby znaleźć określone wykrywanie personifikacji użytkowników.

Użyj opcji Eksportuj , aby wyeksportować listę wykrywania personifikacji użytkowników do pliku CSV.

Wyświetlanie szczegółów dotyczących wykrywania personifikacji użytkownika

Na karcie Użytkownicy na stronie Szczegółowe informacje o personifikacji pod adresem https://security.microsoft.com/impersonationinsight?type=Userwybierz jedno z wykrywania personifikacji, klikając dowolne miejsce w wierszu innym niż pole wyboru.

Poniższe informacje są dostępne w wysuwu szczegółów:

• Dlaczego to złapaliśmy?

• Co należy zrobić?

• Podsumowanie nadawcy: nadawca, który został wykryty jako personifikacja.

• Badanie Eksploratora: wybierz link, aby otworzyć Eksploratora zagrożeń lub wykrywania w czasie rzeczywistym , aby uzyskać dodatkowe szczegóły dotyczące nadawcy.

• Email od nadawcy: W tej sekcji przedstawiono następujące informacje o podobnych komunikatach od nadawcy:

  • Data
  • Odbiorca
  • Temat
  • Nadawca
  • Adres IP nadawcy
  • Akcja dostarczania

Porada

Aby wyświetlić szczegółowe informacje o innych wpisach personifikacji użytkownika bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

Aby zapobiec zidentyfikowaniu wykrytego nadawcy jako personifikacji użytkownika, zobacz następną podsekcję.

Wykluczenie wykrytego nadawcy z przyszłych testów personifikacji użytkowników

Na karcie Użytkownicy na stronie Szczegółowe informacje o personifikacji pod adresem https://security.microsoft.com/impersonationinsight?type=Userwykonaj następujące kroki, aby wykluczyć wykrytych nadawców z identyfikowania ich jako personifikacji użytkownika:

Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru.

W wyświetlonym menu wysuwowym szczegółów użyj zasad wybierania personifikacji, aby zmodyfikować ustawienia listy dozwolonych do personifikacji w górnej części wysuwanego menu. Te ustawienia współpracują ze sobą, aby dodać nadawcę do listy Zaufani nadawcy i domeny w zasadach , które niepoprawnie zidentyfikowały komunikat jako personifikację użytkownika:

• Wybierz zasady ochrony przed wyłudzaniem informacji na liście rozwijanej. Zasady ochrony przed wyłudzaniem informacji, które były odpowiedzialne za wykrywanie komunikatu, są wyświetlane w wartości Zasady na karcie Domena .

• Przesuń przełącznik do pozycji włączone: aby dodać nadawcę do listy Zaufani nadawcy i domeny w wybranych zasadach .

  Aby usunąć nadawcę z listy Zaufani nadawcy i domeny, przesuń przełącznik z powrotem do

Po zakończeniu wysuwanego szczegółów wybierz pozycję Zamknij.