Udostępnij za pośrednictwem


Zasady ochrony przed wyłudzaniem informacji na platformie Microsoft 365

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zasady konfigurowania ustawień ochrony przed wyłudzaniem informacji są dostępne w organizacjach platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi, autonomicznymi organizacjami Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych oraz Ochrona usługi Office 365 w usłudze Microsoft Defender organizacji.

Przykłady organizacji Ochrona usługi Office 365 w usłudze Microsoft Defender:

Porada

Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji analizatora zabezpieczeń , aby przejrzeć najlepsze rozwiązania i nauczyć się wzmacniać ochronę, poprawiać zgodność i z ufnością poruszać się po środowisku cyberbezpieczeństwa. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji analizatora zabezpieczeń w Centrum administracyjne platformy Microsoft 365.

Ogólne różnice między zasadami ochrony przed wyłudzaniem informacji w ramach EOP i zasadami ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender opisano w poniższej tabeli:

Funkcja Zasady ochrony przed wyłudzaniem informacji
w ramach EOP
Zasady ochrony przed wyłudzaniem informacji
w Ochrona usługi Office 365 w usłudze Defender
Automatycznie utworzone zasady domyślne
Tworzenie zasad niestandardowych
Typowe ustawienia zasad*
Ustawienia fałszowania
Porada bezpieczeństwa pierwszego kontaktu
Ustawienia personifikacji
Zaawansowane progi wyłudzania informacji

* W zasadach domyślnych nazwa i opis zasad są tylko do odczytu (opis jest pusty) i nie można określić, do kogo mają zastosowanie zasady (zasady domyślne dotyczą wszystkich adresatów).

Aby skonfigurować zasady ochrony przed wyłudzaniem informacji, zobacz następujące artykuły:

W pozostałej części tego artykułu opisano ustawienia, które są dostępne w zasadach ochrony przed wyłudzaniem informacji w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Defender.

Porada

Jako towarzysz tego artykułu zalecamy skorzystanie z przewodnika automatycznej konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. Ten przewodnik dostosowuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do przewodnika konfiguracji platformy Microsoft 365.

Typowe ustawienia zasad

Następujące ustawienia zasad są dostępne w zasadach ochrony przed wyłudzaniem informacji na platformie EOP i Ochrona usługi Office 365 w usłudze Defender:

  • Nazwa: nie można zmienić nazwy domyślnych zasad ochrony przed wyłudzaniem informacji. Po utworzeniu niestandardowych zasad ochrony przed wyłudzaniem informacji nie można zmienić nazwy zasad w portalu Microsoft Defender.

  • Opis Nie można dodać opisu do domyślnych zasad ochrony przed wyłudzaniem informacji, ale możesz dodać i zmienić opis utworzonych zasad niestandardowych.

  • Użytkownicy, grupy i domeny orazWyklucz tych użytkowników, grupy i domeny: Filtry adresatów w celu zidentyfikowania wewnętrznych adresatów, których dotyczą zasady. W zasadach niestandardowych jest wymagany co najmniej jeden warunek. Warunki i wyjątki nie są dostępne w zasadach domyślnych (zasady domyślne dotyczą wszystkich adresatów). W przypadku warunków i wyjątków można użyć następujących filtrów adresatów:

    • Użytkownicy: co najmniej jedna skrzynka pocztowa, użytkownicy poczty lub kontakty pocztowe w organizacji.
    • Grupy:
      • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
      • Określona Grupy Microsoft 365.
    • Domeny: co najmniej jedna ze skonfigurowanych zaakceptowanych domen na platformie Microsoft 365. Podstawowy adres e-mail adresata znajduje się w określonej domenie.

    Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

    • Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

      • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
      • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
    • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

    • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

      • Użytkowników: romain@contoso.com
      • Grupy: Kadra kierownicza

      Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

    Porada

    Co najmniej jeden wybór w ustawieniach Użytkownicy, grupy i domeny jest wymagany w niestandardowych zasadach ochrony przed wyłudzaniem informacji w celu zidentyfikowania adresatów wiadomości, których dotyczą zasady. Zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender mają również ustawienia personifikacji, w których można określić adresy e-mail nadawcy lub domeny nadawcy, które otrzymują ochronę przed personifikacją zgodnie z opisem w dalszej części tego artykułu.

Ustawienia fałszowania

Fałszowanie polega na tym, że adres Od w wiadomości e-mail (adres nadawcy wyświetlany w klientach poczty e-mail) nie jest zgodny z domeną źródła wiadomości e-mail. Aby uzyskać więcej informacji na temat fałszowania, zobacz Ochrona przed fałszowaniem na platformie Microsoft 365.

Następujące ustawienia fałszowania są dostępne w zasadach ochrony przed wyłudzaniem informacji na platformie EOP i Ochrona usługi Office 365 w usłudze Defender:

  • Włączanie analizy fałszowania: włącza lub wyłącza analizę fałszowania. Zalecamy pozostawienie jej włączonej.

    Po włączeniu analizy fałszowania szczegółowe informacje o fałszowaniu analizy pokazują sfałszowanych nadawców, którzy zostali automatycznie wykryci i dozwoloni lub zablokowani przez fałszowanie inteligencji. Możesz ręcznie zastąpić werdykt analizy fałszowania, aby umożliwić lub zablokować wykrytych sfałszowanych nadawców ze szczegółowych informacji. Jednak gdy to zrobisz, sfałszowany nadawca zniknie ze szczegółowych informacji o fałszywych analizach wywiadowczych i będzie widoczny tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy pod adresem https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Możesz też ręcznie utworzyć wpisy zezwalania lub blokowania dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw, nawet jeśli nie zostaną one wykryte przez analizę analizy fałszowania. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

    Uwaga

    • Ochrona przed fałszowaniem jest włączona w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych i jest domyślnie włączona w domyślnych zasadach ochrony przed wyłudzaniem informacji oraz w nowych niestandardowych zasadach ochrony przed wyłudzaniem informacji, które tworzysz.
    • Nie musisz wyłączać ochrony przed fałszowaniem, jeśli rekord MX nie wskazuje na platformę Microsoft 365; Zamiast tego włączysz filtrowanie rozszerzone dla łączników. Aby uzyskać instrukcje, zobacz Rozszerzone filtrowanie łączników w Exchange Online.
    • Wyłączenie ochrony przed fałszowaniem wyłącza tylko niejawną ochronę przed fałszowaniem z testów uwierzytelniania złożonego . Aby uzyskać informacje na temat wpływu jawnych kontroli DMARC na ochronę przed fałszowaniem i konfigurację zasad DMARC domeny źródłowej (p=quarantinelub p=reject w rekordzie DMARC TXT), zobacz sekcję Zasady ochrony przed fałszowaniem i nadawcy DMARC.
  • Nieuwierzytelnione wskaźniki nadawcy: dostępne w sekcji Wskazówki dotyczące bezpieczeństwa & wskaźniki tylko wtedy, gdy jest włączona inteligencja fałszowania. Zobacz szczegóły w następnej sekcji.

  • Akcje: W przypadku komunikatów od zablokowanych sfałszowanych nadawców (automatycznie zablokowanych przez fałszowanie inteligencji (niepowodzenie uwierzytelniania złożonego i złośliwa intencja) lub ręcznie zablokowanych na liście Zezwalaj/Blokuj dzierżawy można również określić akcję do wykonania w przypadku komunikatów:

Ochrona przed fałszowaniem i zasady DMARC nadawcy

W przypadku zasad ochrony przed wyłudzaniem informacji możesz kontrolować, czy p=quarantinep=reject zasady DMARC nadawcy są przestrzegane. Jeśli sprawdzanie DMARC komunikatu zakończy się niepowodzeniem, można określić oddzielne akcje dla p=quarantine lub p=reject w zasadach DMARC nadawcy. Dostępne są następujące ustawienia:

  • Honor DMARC record policy when the message is detected as spoof( Honor DMARC record policy when the message is detected as spoof: This setting turns on honoring the sender's DMARC policy for explicit email authentication failures. Po wybraniu tego ustawienia dostępne są następujące ustawienia:

    • Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC zostaną ustawione jako p=kwarantanna: Dostępne akcje to:
      • Kwarantanna komunikatu
      • Przenoszenie wiadomości do folderów wiadomości-śmieci adresatów
    • Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC zostaną ustawione jako p=reject: Dostępne akcje to:
      • Kwarantanna komunikatu
      • Odrzuć komunikat

    Jeśli wybierzesz opcję Kwarantanna komunikatu jako akcję, zastosowano zasady kwarantanny wybrane do ochrony przed fałszowaniem danych wywiadowczych.

Ustawienia DMARC w zasadach ochrony przed wyłudzaniem informacji.

Relacja między analizą fałszowania a tym, czy zasady DMARC nadawcy są honorowane, opisano w poniższej tabeli:

  HonorUj zasady DMARC włączone HonorUj zasady DMARC Wyłączone
Spoof intelligence On Oddzielne akcje dla niejawnych i jawnych błędów uwierzytelniania poczty e-mail:
  • Niejawne błędy: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany przez fałszywe działanie wywiadowcze w zasadach ochrony przed wyłudzaniem informacji.
  • Jawne błędy:
    • Zasady p=quarantineDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=kwarantanna w zasadach ochrony przed wyłudzaniem informacji.
    • Zasady p=rejectDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=reject w zasadach ochrony przed wyłudzaniem informacji.
    • Zasady p=noneDMARC: platforma Microsoft 365 nie stosuje żadnej akcji, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.
Jeśli komunikat zostanie wykryty jako sfałszowany przez działanie analizy fałszowania w zasadach ochrony przed wyłudzaniem informacji, jest używany zarówno w przypadku niejawnych, jak i jawnych błędów uwierzytelniania poczty e-mail. Jawne błędy uwierzytelniania poczty e-mail ignorują p=quarantinewartości , p=reject, p=nonelub inne wartości w zasadach DMARC.
Spoof intelligence Off Niejawne testy uwierzytelniania poczty e-mail nie są używane.

Jawne błędy uwierzytelniania poczty e-mail:
  • Zasady p=quarantineDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=kwarantanna w zasadach ochrony przed wyłudzaniem informacji.
  • Zasady p=rejectDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=reject w zasadach ochrony przed wyłudzaniem informacji.
  • Zasady p=noneDMARC: komunikat nie jest identyfikowany jako fałszowanie przez platformę Microsoft 365, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.
Niejawne testy uwierzytelniania poczty e-mail nie są używane.

Jawne błędy uwierzytelniania poczty e-mail:
  • Zasady p=quarantineDMARC: komunikaty są poddawane kwarantannie.
  • Zasady p=rejectDMARC: komunikaty są poddawane kwarantannie.
  • Zasady p=noneDMARC: platforma Microsoft 365 nie stosuje żadnej akcji, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.

Uwaga

Jeśli rekord MX dla domeny platformy Microsoft 365 wskazuje na usługę innej firmy lub urządzenie znajdujące się przed platformą Microsoft 365, ustawienie zasad Honor DMARC jest stosowane tylko wtedy, gdy rozszerzone filtrowanie łączników jest włączone dla łącznika odbierającego komunikaty przychodzące.

Klienci mogą zastąpić ustawienie zasad Honor DMARC dla określonych wiadomości e-mail i/lub nadawców przy użyciu następujących metod:

  • Administratorzy lub użytkownicy mogą dodać nadawców do listy Bezpieczni nadawcy w skrzynce pocztowej użytkownika.
  • Administratorzy mogą używać analizy fałszowania lub listy dozwolonych/zablokowanych dzierżaw , aby zezwalać na komunikaty od sfałszowanego nadawcy.
  • Administratorzy tworzą regułę przepływu poczty programu Exchange (znaną również jako reguła transportu) dla wszystkich użytkowników, która zezwala na wiadomości dla tych konkretnych nadawców.
  • Administratorzy tworzą regułę przepływu poczty programu Exchange dla wszystkich użytkowników dla odrzuconej wiadomości e-mail, która kończy się niepowodzeniem zasad DMARC organizacji.

Nieuwierzytelnione wskaźniki nadawcy

Nieuwierzytelnione wskaźniki nadawcy są częścią ustawień fałszowania , które są dostępne w sekcji Wskazówki dotyczące bezpieczeństwa & wskaźników w zasadach ochrony przed wyłudzaniem informacji zarówno w usłudze EOP, jak i usłudze Defender for Office 365. Następujące ustawienia są dostępne tylko po włączeniu analizy fałszowania:

  • Pokaż (?) dla nieuwierzytelnionych nadawców na potrzeby fałszowania: dodaje znak zapytania do zdjęcia nadawcy w polu Od, jeśli wiadomość nie przechodzi testów SPF lub DKIM , a wiadomość nie przekazuje uwierzytelniania złożonego lub DMARC. Gdy to ustawienie jest wyłączone, znak zapytania nie jest dodawany do zdjęcia nadawcy.

  • Pokaż tag "via": dodaje tag "via" (chris@contoso.comza pośrednictwem fabrikam.com) w polu Od, jeśli domena w polu Adres od (nadawca wiadomości wyświetlana w klientach poczty e-mail) różni się od domeny w sygnaturze DKIM lub adresie MAIL FROM . Aby uzyskać więcej informacji na temat tych adresów, zobacz Omówienie standardów wiadomości e-mail.

Aby zapobiec dodawaniu znacznika zapytania lub tagu "via" do wiadomości od określonych nadawców, dostępne są następujące opcje:

  • Zezwalaj na sfałszowanego nadawcę w szczegółowych informacjach analizy fałszowania lub ręcznie na liście zezwalania/blokowania dzierżawy. Zezwolenie nadawcy na fałszowanie uniemożliwia wyświetlanie tagu "via" w komunikatach od nadawcy, nawet jeśli ustawienie tagu Pokaż "za pośrednictwem" jest włączone w zasadach.
  • Skonfiguruj uwierzytelnianie poczty e-mail dla domeny nadawcy.
    • Dla znaku zapytania na zdjęciu nadawcy najważniejszy jest SPF lub DKIM.
    • W przypadku tagu "via" potwierdź, że domena w podpisie DKIM lub adres MAIL FROM jest zgodna (lub jest poddomeną) domeny w adresie Od.

Aby uzyskać więcej informacji, zobacz Identyfikowanie podejrzanych komunikatów w Outlook.com i Outlook w Internecie

Porada bezpieczeństwa pierwszego kontaktu

Ustawienie Pokaż pierwszą poradę dotyczącą bezpieczeństwa kontaktów jest dostępne w organizacjach EOP i Defender dla usługi Office 365 i nie jest zależne od ustawień ochrony przed fałszowaniem i personifikacją. Wskazówka dotycząca bezpieczeństwa jest wyświetlana odbiorcom w następujących scenariuszach:

  • Przy pierwszym pobraniu wiadomości od nadawcy
  • Często nie pobierają wiadomości od nadawcy.

Ta funkcja dodaje dodatkową warstwę ochrony przed potencjalnymi atakami personifikacji, dlatego zalecamy jej włączenie.

Pierwsza porada bezpieczeństwa kontaktu jest kontrolowana przez wartość 9,25 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Ta funkcja zastępuje konieczność tworzenia reguł przepływu poczty (nazywanych również regułami transportu), które dodają nagłówek o nazwie X-MS-Exchange-EnableFirstContactSafetyTip z wartością Enable do komunikatów, chociaż ta funkcja jest nadal dostępna.

W zależności od liczby adresatów w wiadomości pierwsza porada bezpieczeństwa kontaktu może być jedną z następujących wartości:

  • Pojedynczy adresat:

    Często nie otrzymujesz wiadomości e-mail z <adresu> e-mail.

    Pierwsza porada dotycząca bezpieczeństwa kontaktów dla wiadomości z jednym adresatem

  • Wielu adresatów:

    Niektóre osoby, które otrzymały tę wiadomość, często nie otrzymują wiadomości e-mail z <adresu> e-mail.

    Porada dotycząca bezpieczeństwa pierwszego kontaktu dla wiadomości z wieloma adresatami

Uwaga

Jeśli komunikat ma wielu adresatów, czy porada jest wyświetlana i dla kogo jest oparta na modelu większości. Jeśli większość adresatów nigdy nie odbiera lub nie odbiera wiadomości od nadawcy, adresaci, których dotyczy problem, otrzymają poradę Niektóre osoby, które otrzymały tę wiadomość... Jeśli obawiasz się, że to zachowanie uwidacznia nawyki komunikacyjne jednego adresata, nie należy włączać pierwszej wskazówki dotyczącej bezpieczeństwa kontaktów i nadal używać reguł przepływu poczty oraz nagłówka X-MS-Exchange-EnableFirstContactSafetyTip .

Pierwsza porada bezpieczeństwa kontaktu nie jest ostemplowana w komunikatach podpisanych przez protokół S/MIME.

Ustawienia wyłączne w zasadach ochrony przed wyłudzaniem informacji w usłudze Microsoft Defender dla usługi Office 365

W tej sekcji opisano ustawienia zasad, które są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender dla usługi Office 365.

Uwaga

Domyślne zasady ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365 zapewniają ochronę przed fałszowaniem i analizę skrzynek pocztowych dla wszystkich adresatów. Jednak inne dostępne funkcje ochrony przed personifikacją i ustawienia zaawansowane nie są skonfigurowane ani włączone w zasadach domyślnych. Aby włączyć wszystkie funkcje ochrony, zmodyfikuj domyślne zasady ochrony przed wyłudzaniem informacji lub utwórz dodatkowe zasady ochrony przed wyłudzaniem informacji.

Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w usłudze Microsoft Defender dla usługi Office 365

Personifikacja to miejsce, w którym domena poczty e-mail nadawcy lub nadawcy w wiadomości wygląda podobnie do rzeczywistego nadawcy lub domeny:

  • Przykładowa personifikacja contoso.com domeny jest ćóntoso.com.
  • Personifikacja użytkownika jest kombinacją nazwy wyświetlanej użytkownika i adresu e-mail. Na przykład Valeria Barrios (vbarrios@contoso.com) może być personifikowana jako Valeria Barrios, ale z innym adresem e-mail.

Uwaga

Ochrona przed personifikacją wyszukuje podobne domeny. Jeśli na przykład twoja domena jest contoso.com, sprawdzamy różne domeny najwyższego poziomu (.com, biz itp.), ale także domeny, które są nawet nieco podobne. Na przykład contosososo.com lub contoabcdef.com mogą być postrzegane jako próby personifikacji contoso.com.

Domena personifikowana może w przeciwnym razie zostać uznana za uzasadnioną (domena jest zarejestrowana, skonfigurowano rekordy DNS uwierzytelniania poczty e-mail itp.), z wyjątkiem tego, że celem domeny jest oszukanie adresatów.

Ustawienia personifikacji opisane w poniższych sekcjach są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Porada

Szczegółowe informacje o wykrytych próbach personifikacji są dostępne w szczegółowych informacjach dotyczących personifikacji. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o personifikacji w Ochrona usługi Office 365 w usłudze Defender.

Ochrona przed personifikacją użytkowników

Ochrona przed personifikacją użytkowników uniemożliwia personifikację określonych wewnętrznych lub zewnętrznych adresów e-mail jako nadawców wiadomości. Na przykład otrzymasz wiadomość e-mail od wiceprezesa twojej firmy z prośbą o wysłanie jej wewnętrznych informacji o firmie. Czy to zrobisz? Wiele osób wysyłałoby odpowiedź bez zastanowienia.

Chronionych użytkowników można użyć do dodawania wewnętrznych i zewnętrznych adresów e-mail nadawcy w celu ochrony przed personifikacją. Ta lista nadawców , którzy są chronieni przed personifikacją użytkowników, różni się od listy adresatów , których dotyczą zasady (wszyscy adresaci zasad domyślnych; określonych adresatów skonfigurowanych w ustawieniu Użytkownicy, grupy i domeny w sekcji Typowe ustawienia zasad ).

Uwaga

W każdej polityce ochrony przed wyłudzaniem informacji można określić maksymalnie 350 użytkowników na potrzeby ochrony przed personifikacją użytkowników.

Ochrona przed personifikacją użytkownika nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji.

Błąd "Adres e-mail już istnieje", jeśli spróbujesz dodać użytkownika do ochrony przed personifikacją użytkowników, gdy ten adres e-mail jest już określony na potrzeby ochrony przed personifikacją użytkowników w innych zasadach ochrony przed wyłudzaniem informacji. Ten błąd występuje tylko w portalu usługi Defender. Błąd nie zostanie wyświetlony, jeśli użyjesz odpowiedniego parametru TargetedUsersToProtect w poleceniach cmdlet New-AntiPhishPolicy lub Set-AntiPhishPolicy w Exchange Online programu PowerShell.

Domyślnie żadne adresy e-mail nadawcy nie są skonfigurowane do ochrony przed personifikacją w zasadach domyślnych lub w zasadach niestandardowych.

Po dodaniu wewnętrznych lub zewnętrznych adresów e-mail do listy Użytkownicy w celu ochrony wiadomości od tych nadawców podlegają kontroli ochrony przed personifikacją. Wiadomość jest sprawdzana pod kątem personifikacji, jeśli wiadomość jest wysyłana do adresata , do których mają zastosowanie zasady (wszyscy adresaci domyślnych zasad; Użytkownicy, grupy i adresaci domen w zasadach niestandardowych). Jeśli na adres e-mail nadawcy zostanie wykryta personifikacja, do wiadomości zostanie zastosowana akcja dla personifikowanych użytkowników.

W przypadku wykrytych prób personifikacji użytkowników dostępne są następujące akcje:

Ochrona przed personifikacją domeny

Ochrona przed personifikacją domeny uniemożliwia personifikację określonych domen na adresie e-mail nadawcy . Na przykład wszystkie domeny, których jesteś właścicielem (akceptowane domeny) lub określonych domen niestandardowych (domen, których jesteś właścicielem lub domen partnerskich). Domeny nadawcy chronione przed personifikacją różnią się od listy adresatów , których dotyczą zasady (wszyscy adresaci zasad domyślnych; określonych adresatów skonfigurowanych w ustawieniu Użytkownicy, grupy i domeny w sekcji Typowe ustawienia zasad ).

Uwaga

W każdej polityce ochrony przed wyłudzaniem informacji można określić maksymalnie 50 domen niestandardowych dla ochrony przed personifikacją domeny.

Komunikaty od nadawców w określonych domenach podlegają kontrolom ochrony przed personifikacją. Wiadomość jest sprawdzana pod kątem personifikacji, jeśli wiadomość jest wysyłana do adresata , do których mają zastosowanie zasady (wszyscy adresaci domyślnych zasad; Użytkownicy, grupy i adresaci domen w zasadach niestandardowych). Jeśli w domenie adresu e-mail nadawcy zostanie wykryta personifikacja, do wiadomości zostanie zastosowana akcja personifikacji domeny.

Domyślnie żadne domeny nadawcy nie są skonfigurowane do ochrony przed personifikacją w zasadach domyślnych lub w zasadach niestandardowych.

W przypadku wykrytych prób personifikacji domeny dostępne są następujące akcje:

Ochrona przed personifikacją analizy skrzynki pocztowej

Analiza skrzynek pocztowych używa sztucznej inteligencji (AI) do określania wzorców poczty e-mail użytkowników z ich częstymi kontaktami.

Na przykład Gabriela Laureano (glaureano@contoso.com) jest dyrektorem generalnym twojej firmy, dlatego należy dodać ją jako chronionego nadawcę w obszarze Włączanie użytkownikom ochrony ustawień zasad. Jednak niektórzy adresaci zasad regularnie komunikują się z dostawcą o nazwie Gabriela Laureano (glaureano@fabrikam.com). Ponieważ adresaci mają historię komunikacji z glaureano@fabrikam.comusługą , analiza skrzynki pocztowej nie identyfikuje wiadomości jako glaureano@fabrikam.com próby personifikacji glaureano@contoso.com dla tych adresatów.

Uwaga

Ochrona przed analizą skrzynki pocztowej nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji przez analizę skrzynki pocztowej.

Analiza skrzynki pocztowej ma dwa określone ustawienia:

  • Włącz analizę skrzynki pocztowej: włącz lub wyłącz analizę skrzynek pocztowych. To ustawienie pomaga sztucznej inteligencji odróżnić komunikaty od legalnych i personifikowanych nadawców. Domyślnie to ustawienie jest włączone.
  • Włącz analizę na potrzeby ochrony przed personifikacją: domyślnie to ustawienie jest wyłączone. Użyj historii kontaktów na podstawie analizy skrzynki pocztowej (zarówno częstych kontaktów, jak i braku kontaktu), aby chronić użytkowników przed atakami personifikacji. Aby analiza skrzynki pocztowej podejmowała działania w przypadku wykrytych wiadomości, należy włączyć to ustawienie i ustawienie Włącz analizę skrzynki pocztowej .

W przypadku prób personifikacji wykrytych przez analizę skrzynki pocztowej dostępne są następujące akcje:

  • Nie stosuj żadnej akcji: jest to wartość domyślna. Ta akcja ma taki sam wynik jak w przypadku włączenia funkcji Włączanie analizy skrzynki pocztowej , ale opcja Włącz ochronę przed personifikacją inteligencji jest wyłączona.
  • Przekierowywanie wiadomości na inne adresy e-mail
  • Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów
  • Kwarantanna komunikatu: Jeśli wybierzesz tę akcję, możesz również wybrać zasady kwarantanny, które mają zastosowanie do wiadomości poddawanych kwarantannie przez ochronę przed inteligencją skrzynki pocztowej. Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
  • Dostarczanie komunikatu i dodawanie innych adresów do wiersza Bcc
  • Usuń wiadomość przed jej dostarczeniem

Wskazówki dotyczące bezpieczeństwa personifikacji

Wskazówki dotyczące bezpieczeństwa personifikacji są wyświetlane użytkownikom, gdy komunikaty są identyfikowane jako próby personifikacji. Dostępne są następujące wskazówki dotyczące bezpieczeństwa:

  • Pokaż poradę dotyczącą bezpieczeństwa personifikacji użytkownika: adres Od zawiera użytkownika określonego w ochronie przed personifikacją użytkowników. Opcja dostępna tylko wtedy, gdy opcja Włącz ochronę użytkowników jest włączona i skonfigurowana.

    Ta porada bezpieczeństwa jest kontrolowana przez wartość 9,20 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Tekst mówi:

    Ten nadawca wygląda podobnie do osoby, która wcześniej wysłała Ci wiadomość e-mail, ale może nie być tą osobą.

  • Pokaż poradę dotyczącą bezpieczeństwa personifikacji domeny: adres From zawiera domenę określoną w ochronie przed personifikacją domeny. Dostępne tylko wtedy, gdy włączono i skonfigurowano opcję Włącz domeny do ochrony .

    Ta porada bezpieczeństwa jest kontrolowana przez wartość 9.19 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Tekst mówi:

    Ten nadawca może personifikować domenę skojarzoną z Twoją organizacją.

  • Pokaż poradę bezpieczeństwa dotyczącą personifikacji nietypowych znaków przez użytkownika: adres From zawiera nietypowe zestawy znaków (na przykład symbole matematyczne i tekst lub kombinację wielkich i małych liter) w nadawcy określonym w ochronie przed personifikacją użytkownika. Opcja dostępna tylko wtedy, gdy opcja Włącz ochronę użytkowników jest włączona i skonfigurowana. Tekst mówi:

    Adres <email address> e-mail zawiera nieoczekiwane litery lub cyfry. Zalecamy, aby nie wchodzić w interakcje z tym komunikatem.

Uwaga

Wskazówki dotyczące bezpieczeństwa nie są ostemplowane w następujących komunikatach:

  • Komunikaty podpisane przez protokół S/MIME.
  • Komunikaty, które są dozwolone przez ustawienia organizacyjne.

Zaufani nadawcy i domeny

Zaufani nadawcy i domena to wyjątki od ustawień ochrony przed personifikacją. Komunikaty z określonych domen nadawców i nadawców nigdy nie są klasyfikowane jako ataki oparte na personifikacji przez zasady. Innymi słowy, akcja dotycząca chronionych nadawców, domen chronionych ani ochrony inteligencji skrzynki pocztowej nie jest stosowana do tych zaufanych nadawców ani domen nadawców. Maksymalny limit dla tych list to 1024 wpisy.

Uwaga

Wpisy zaufanej domeny nie obejmują poddomen określonej domeny. Musisz dodać wpis dla każdej poddomeny.

Jeśli komunikaty systemowe platformy Microsoft 365 od następujących nadawców zostaną zidentyfikowane jako próby personifikacji, możesz dodać nadawców do listy zaufanych nadawców:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Zaawansowane progi wyłudzania informacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender

Następujące zaawansowane progi wyłudzania informacji są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender. Te progi kontrolują czułość stosowania modeli uczenia maszynowego do komunikatów w celu określenia werdyktu wyłudzania informacji:

  • 1 — Standardowa: jest to wartość domyślna. Ważność akcji wykonywanej w wiadomości zależy od stopnia pewności, że wiadomość jest wyłudzająca informacje (niska, średnia, wysoka lub bardzo wysoka pewność). Na przykład komunikaty, które są identyfikowane jako wyłudzanie informacji z bardzo wysokim poziomem ufności, mają najsurowsze działania, podczas gdy komunikaty, które są identyfikowane jako wyłudzanie informacji o niskim stopniu ufności, mają mniej poważne działania.
  • 2 — Agresywne: Komunikaty, które są identyfikowane jako wyłudzanie informacji z wysokim stopniem ufności, są traktowane tak, jakby były identyfikowane z bardzo wysokim stopniem pewności.
  • 3 — Bardziej agresywne: Komunikaty, które są identyfikowane jako wyłudzanie informacji ze średnim lub wysokim poziomem ufności, są traktowane tak, jakby były identyfikowane z bardzo wysokim poziomem zaufania.
  • 4 — Najbardziej agresywne: Komunikaty, które są identyfikowane jako wyłudzanie informacji z niskim, średnim lub wysokim stopniem ufności, są traktowane tak, jakby były identyfikowane z bardzo wysokim poziomem zaufania.

Prawdopodobieństwo fałszywie dodatnich (dobrych komunikatów oznaczonych jako złe) zwiększa się w miarę zwiększania tego ustawienia. Aby uzyskać informacje o zalecanych ustawieniach, zobacz ustawienia zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.