Zasady ochrony przed wyłudzaniem informacji w organizacjach w chmurze

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Microsoft Defender for Office 365.

Zasady konfigurowania ochrony przed wyłudzaniem informacji są dostępne we wszystkich organizacjach ze skrzynkami pocztowymi w chmurze oraz w organizacjach z Microsoft Defender dla Office 365 (dołączonych lub w subskrypcji dodatku).

Porada

Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji analizatora zabezpieczeń , aby przejrzeć najlepsze rozwiązania i nauczyć się wzmacniać ochronę, poprawiać zgodność i z ufnością poruszać się po środowisku cyberbezpieczeństwa. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji analizatora zabezpieczeń w Centrum administracyjne platformy Microsoft 365.

Zasady ochrony przed wyłudzaniem informacji są dostępne na stronie Ochrona przed wyłudzaniem informacji w portalu Microsoft Defender pod adresem https://security.microsoft.com/antiphishing. Ochrona przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze oferuje podstawowe funkcje ochrony przed wyłudzaniem informacji. Usługa Defender for Office 365 rozszerza te podstawowe możliwości, uwzględniając następujące zaawansowane zabezpieczenia:

• Ochrona przed personifikacjami:
  • Ochrona przed personifikacją użytkownika, domeny i nadawcy.
  • Możliwość definiowania zaufanych nadawców i domen w celu zmniejszenia liczby wyników fałszywie dodatnich.
• Progi wiadomości e-mail dotyczące wyłudzania informacji:
  • Dostosowywalne progi wyłudzania informacji w celu dostrojenia wykrywania.
• Wykrywanie oparte na sztucznej inteligencji i uczeniu maszynowym:
  • Ulepszono wykrywanie zaawansowanych ataków wyłudzania informacji za pomocą zaawansowanych algorytmów.
• Dodatkowe raporty i szczegółowe informacje:
  • Zaawansowane funkcje raportowania i wgląd w próby wyłudzania informacji wykraczające poza podstawowe rejestrowanie.

Ogólne różnice między zasadami ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze i zasadami ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365 opisano w poniższej tabeli:

Funkcja	Zasady ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze	Zasady ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365
Automatycznie utworzone zasady domyślne	✔	✔
Tworzenie zasad niestandardowych	✔	✔
Typowe ustawienia zasad*	✔	✔
Ustawienia fałszowania	✔	✔
Porada bezpieczeństwa pierwszego kontaktu	✔	✔
Ustawienia personifikacji		✔
Progi wiadomości e-mail wyłudzających informacje		✔

^* W zasadach domyślnych nazwa i opis zasad są tylko do odczytu (opis jest pusty) i nie można określić, do kogo mają zastosowanie zasady (zasady domyślne dotyczą wszystkich adresatów).

Aby skonfigurować zasady ochrony przed wyłudzaniem informacji, zobacz następujące artykuły:

• Skonfiguruj zasady ochrony przed wyłudzaniem informacji, jeśli nie masz Microsoft Defender dla Office 365
• Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Microsoft Defender dla Office 365

W pozostałej części tego artykułu opisano ustawienia dostępne w zasadach ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze oraz zasad ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365.

Porada

Jako towarzysz tego artykułu zalecamy skorzystanie z przewodnika automatycznej konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. Ten przewodnik dostosowuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do przewodnika konfiguracji platformy Microsoft 365.

Typowe ustawienia zasad

Następujące ustawienia zasad są dostępne w zasadach ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze i zasad ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365:

• Nazwa: nie można zmienić nazwy domyślnych zasad ochrony przed wyłudzaniem informacji. Po utworzeniu niestandardowych zasad ochrony przed wyłudzaniem informacji nie można zmienić nazwy zasad w portalu Microsoft Defender.

• Opis Nie można dodać opisu do domyślnych zasad ochrony przed wyłudzaniem informacji, ale możesz dodać i zmienić opis utworzonych zasad niestandardowych.

• Użytkownicy, grupy i domeny orazWyklucz tych użytkowników, grupy i domeny: Filtry adresatów w celu zidentyfikowania wewnętrznych adresatów, których dotyczą zasady. W zasadach niestandardowych jest wymagany co najmniej jeden warunek. Warunki i wyjątki nie są dostępne w zasadach domyślnych (zasady domyślne dotyczą wszystkich adresatów). W przypadku warunków i wyjątków można użyć następujących filtrów adresatów:

  • Użytkownicy: co najmniej jedna skrzynka pocztowa, użytkownicy poczty lub kontakty pocztowe w organizacji.
  • Grupy:
    • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
    • Określone Grupy Microsoft 365 (grupy członkostwa dynamicznego w Tożsamość Microsoft Entra nie są obsługiwane).
  • Domeny: co najmniej jedna ze skonfigurowanych zaakceptowanych domen na platformie Microsoft 365. Podstawowy adres e-mail adresata znajduje się w określonej domenie.

  Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

  • Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

    • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
    • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

  • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

    • Użytkowników: romain@contoso.com
    • Grupy: Kadra kierownicza

    Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

  Porada

  Co najmniej jeden wybór w ustawieniach Użytkownicy, grupy i domeny jest wymagany w niestandardowych zasadach ochrony przed wyłudzaniem informacji w celu zidentyfikowania adresatów wiadomości, których dotyczą zasady. Zasady ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365 mają również ustawienia personifikacji, w których można określić adresy e-mail nadawcy lub domeny nadawcy, które otrzymują ochronę przed personifikacją zgodnie z opisem w dalszej części tego artykułu.

Ustawienia fałszowania

Fałszowanie polega na tym, że adres Od w wiadomości e-mail (adres nadawcy wyświetlany przez klientów poczty e-mail) nie jest zgodny z domeną źródła wiadomości e-mail. Aby uzyskać więcej informacji na temat fałszowania, zobacz Ochrona przed fałszowaniem.

Porada

Aby zapoznać się z porównaniem fałszowania i personifikacji, zobacz sekcję Fałszowanie a personifikacja w dalszej części tego artykułu.

Następujące ustawienia fałszowania są dostępne w zasadach ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze oraz w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365:

• Włączanie analizy fałszowania: włącza lub wyłącza analizę fałszowania. Zalecamy pozostawienie jej włączonej.

  Po włączeniu analizy fałszowania szczegółowe informacje o fałszowaniu analizy pokazują sfałszowanych nadawców, którzy zostali automatycznie wykryci i dozwoloni lub zablokowani przez fałszowanie inteligencji. Możesz ręcznie zastąpić werdykt analizy fałszowania, aby umożliwić lub zablokować wykrytych sfałszowanych nadawców ze szczegółowych informacji. Jednak gdy to zrobisz, sfałszowany nadawca znika ze szczegółowych informacji o fałszowaniu analizy i jest widoczny tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj/blokuj listy dzierżawy pod adresem https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Możesz też ręcznie utworzyć wpisy zezwalania lub blokowania dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżaw, nawet jeśli szczegółowe informacje o fałszowaniu analizy nigdy nie wykryły komunikatów. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Szczegółowe informacje o analizie spoofingu
  • Fałszowani nadawcy na liście dozwolonych/zablokowanych dzierżaw

  Uwaga

  • Ochrona przed fałszowaniem jest włączona w standardowych i ścisłych wstępnie ustawionych zasadach zabezpieczeń. Jest ona domyślnie włączona w domyślnych zasadach ochrony przed wyłudzaniem informacji i w nowych niestandardowych zasadach ochrony przed wyłudzaniem informacji, które tworzysz.
  • Nie musisz wyłączać ochrony przed fałszowaniem, jeśli rekord MX nie wskazuje na platformę Microsoft 365; Zamiast tego włączysz filtrowanie rozszerzone dla łączników. Aby uzyskać instrukcje, zobacz Rozszerzone filtrowanie łączników w Exchange Online.
  • Wyłączenie ochrony przed fałszowaniem wyłącza tylko niejawną ochronę przed fałszowaniem z testów uwierzytelniania złożonego . Aby uzyskać informacje o tym, jak ochrona przed fałszowaniem i zasady DMARC domeny źródłowej (p=quarantinelub p=reject w rekordzie DMARC TXT) wpływają na jawne kontrole DMARC, zobacz sekcję Zasady DMARC dotyczące ochrony przed fałszowaniem i nadawcy.

• Nieuwierzytelnione wskaźniki nadawcy: dostępne w sekcji Wskazówki dotyczące bezpieczeństwa & wskaźniki tylko wtedy, gdy jest włączona inteligencja fałszowania. Zobacz szczegóły w następnej sekcji.

• Akcje: W przypadku komunikatów od zablokowanych sfałszowanych nadawców (automatycznie zablokowanych przez fałszowanie inteligencji (niepowodzenie uwierzytelniania złożonego i złośliwa intencja) lub ręcznie zablokowanych na liście Zezwalaj/Blokuj dzierżawy można również określić akcję do wykonania w przypadku komunikatów:

  • Przenieś komunikaty do folderów Email wiadomości-śmieci adresatów: wartość domyślna. Wiadomość jest dostarczana do skrzynki pocztowej i przenoszona do folderu Junk Email. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień wiadomości-śmieci w skrzynkach pocztowych w chmurze.

  • Kwarantanna komunikatu: wysyła komunikat do kwarantanny zamiast zamierzonych adresatów. Aby uzyskać informacje o kwarantannie, zobacz następujące artykuły:

    • Kwarantanna
    • Zarządzaj wiadomościami i plikami poddanymi kwarantannie jako administrator
    • Znajdowanie i zwalnianie wiadomości poddanych kwarantannie jako użytkownik

    Jeśli wybierzesz pozycję Kwarantanna komunikatu, możesz również wybrać zasady kwarantanny, które mają zastosowanie do komunikatów, które zostały poddane kwarantannie przez ochronę przed fałszowaniem danych wywiadowczych. Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Ochrona przed fałszowaniem i zasady DMARC nadawcy

W przypadku zasad ochrony przed wyłudzaniem informacji możesz kontrolować, czy p=quarantinep=reject zasady DMARC nadawcy są przestrzegane. Jeśli sprawdzanie DMARC komunikatu zakończy się niepowodzeniem, można określić oddzielne akcje dla p=quarantine lub p=reject w zasadach DMARC nadawcy. Dostępne są następujące ustawienia:

• Honor DMARC record policy when the message is detected as spoof( Honor DMARC record policy when the message is detected as spoof: This setting turns on honoring the sender's DMARC policy for explicit email authentication failures. Po wybraniu tego ustawienia dostępne są następujące ustawienia:

  • Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC zostaną ustawione jako p=kwarantanna: Dostępne akcje to:
    • Kwarantanna komunikatu
    • Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów
  • Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC zostaną ustawione jako p=reject: Dostępne akcje to:
    • Kwarantanna komunikatu
    • Odrzuć komunikat

  Jeśli wybierzesz opcję Kwarantanna komunikatu jako akcję, system użyje zasad kwarantanny wybranych do ochrony przed fałszowaniem inteligencji.

Relacja między analizą fałszowania a tym, czy zasady DMARC nadawcy są honorowane, opisano w poniższej tabeli:

Porada

Ważne jest, aby zrozumieć, że niepowodzenie uwierzytelniania złożonego nie powoduje bezpośrednio zablokowania komunikatu. Nasz system używa całościowej strategii oceny, która uwzględnia ogólny podejrzany charakter komunikatu wraz z wynikami uwierzytelniania złożonego. Ta metoda zmniejsza ryzyko nieprawidłowego zablokowania legalnej poczty e-mail z domen, które mogą nie być ściśle zgodne z protokołami uwierzytelniania poczty e-mail. To zrównoważone podejście pomaga odróżnić prawdziwie złośliwe wiadomości e-mail od legalnych nadawców wiadomości, którzy nie są zgodni ze standardowymi praktykami uwierzytelniania poczty e-mail.

	HonorUj zasady DMARC włączone	HonorUj zasady DMARC Wyłączone
Spoof intelligence On	Oddzielne akcje dla niejawnych i jawnych błędów uwierzytelniania poczty e-mail: Niejawne błędy: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany przez fałszywe działanie wywiadowcze w zasadach ochrony przed wyłudzaniem informacji. Jawne błędy: Zasady p=quarantineDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=kwarantanna w zasadach ochrony przed wyłudzaniem informacji. Zasady p=rejectDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=reject w zasadach ochrony przed wyłudzaniem informacji. Zasady p=noneDMARC: platforma Microsoft 365 nie podejmuje żadnych działań w oparciu o DMARC, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.	Jeśli komunikat zostanie wykryty jako sfałszowany przez działanie analizy fałszowania w zasadach ochrony przed wyłudzaniem informacji, jest używany zarówno w przypadku niejawnych, jak i jawnych błędów uwierzytelniania poczty e-mail. Jawne błędy uwierzytelniania poczty e-mail ignorują p=quarantinewartości , p=reject, p=nonelub inne wartości w zasadach DMARC.
Spoof intelligence Off	Niejawne testy uwierzytelniania poczty e-mail nie są używane. Jawne błędy uwierzytelniania poczty e-mail: Zasady p=quarantineDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=kwarantanna w zasadach ochrony przed wyłudzaniem informacji. Zasady p=rejectDMARC: użyj polecenia Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako akcja p=reject w zasadach ochrony przed wyłudzaniem informacji. Zasady p=noneDMARC: komunikat nie jest identyfikowany jako fałszowanie przez platformę Microsoft 365, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.	Niejawne testy uwierzytelniania poczty e-mail nie są używane. Jawne błędy uwierzytelniania poczty e-mail: Zasady p=quarantineDMARC: komunikaty są poddawane kwarantannie. Zasady p=rejectDMARC: komunikaty są poddawane kwarantannie. Zasady p=noneDMARC: platforma Microsoft 365 nie podejmuje żadnych działań w oparciu o DMARC, ale inne funkcje ochrony w stosie filtrowania nadal mogą działać w oparciu o komunikat.

Uwaga

Jeśli rekord MX dla domeny platformy Microsoft 365 wskazuje na usługę lub urządzenie spoza firmy Microsoft, które znajduje się przed platformą Microsoft 365, ustawienie zasad Honor DMARC jest stosowane tylko wtedy, gdy rozszerzone filtrowanie łączników jest włączone dla łącznika odbierającego komunikaty przychodzące.

Klienci mogą zastąpić ustawienie zasad Honor DMARC dla określonych wiadomości e-mail i/lub nadawców przy użyciu następujących metod:

• Administratorzy lub użytkownicy mogą dodać nadawców do listy Bezpieczni nadawcy w skrzynce pocztowej użytkownika.
• Administratorzy mogą używać analizy fałszowania lub listy dozwolonych/zablokowanych dzierżaw , aby zezwalać na komunikaty od sfałszowanego nadawcy.
• Administratorzy tworzą regułę przepływu poczty programu Exchange (znaną również jako reguła transportu) dla wszystkich użytkowników, która zezwala na wiadomości dla tych konkretnych nadawców.
• Administratorzy tworzą regułę przepływu poczty programu Exchange dla wszystkich użytkowników dla odrzuconej wiadomości e-mail, która kończy się niepowodzeniem zasad DMARC organizacji.

Nieuwierzytelnione wskaźniki nadawcy

Nieuwierzytelnione wskaźniki nadawcy są częścią ustawień fałszowania, które są dostępne w sekcji Wskazówki dotyczące bezpieczeństwa & wskaźników w zasadach ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze i zasad ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365. Następujące ustawienia są dostępne tylko po włączeniu analizy fałszowania:

• Pokaż (?) dla nieuwierzytelnionych nadawców na potrzeby fałszowania: dodaje znak zapytania do zdjęcia nadawcy w polu Od, jeśli wiadomość nie przechodzi testów SPF lub DKIM , a wiadomość nie przekazuje uwierzytelniania złożonego lub DMARC. Gdy to ustawienie jest wyłączone, znak zapytania nie jest dodawany do zdjęcia nadawcy.

  

• Pokaż tag "via": dodaje tag "via" (chris@contoso.com <u>via</u> fabrikam.com) w polu Od, jeśli domena w adresie Od (nadawca wiadomości wyświetlany w klientach poczty e-mail) różni się od domeny w podpisie DKIM lub adresIE MAIL FROM . Aby uzyskać więcej informacji na temat tych adresów, zobacz Omówienie standardów wiadomości e-mail.

  

Aby zapobiec dodawaniu znacznika zapytania lub tagu "via" do wiadomości od określonych nadawców, dostępne są następujące opcje:

• Zezwalaj na sfałszowanego nadawcę w szczegółowych informacjach analizy fałszowania lub ręcznie na liście zezwalania/blokowania dzierżawy. Zezwolenie nadawcy na fałszowanie uniemożliwia wyświetlanie tagu "via" w komunikatach od nadawcy, nawet jeśli ustawienie tagu Pokaż "za pośrednictwem" jest włączone w zasadach.
• Skonfiguruj uwierzytelnianie poczty e-mail dla domeny nadawcy.
  • Dla znaku zapytania na zdjęciu nadawcy najważniejszy jest SPF lub DKIM.
  • W przypadku tagu "via" potwierdź, że domena w podpisie DKIM lub adres MAIL FROM jest zgodna (lub jest poddomeną) domeny w adresie Od.

Aby uzyskać więcej informacji, zobacz Identyfikowanie podejrzanych komunikatów w Outlook.com i Outlook w sieci Web

Porada bezpieczeństwa pierwszego kontaktu

Ustawienie Pokaż pierwszą poradę dotyczącą bezpieczeństwa kontaktów jest dostępne w zasadach ochrony przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze oraz w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365 i nie jest zależne od ustawień ochrony przed fałszowaniem i personifikacją. Wskazówka dotycząca bezpieczeństwa jest wyświetlana odbiorcom w następujących scenariuszach:

• Przy pierwszym pobraniu wiadomości od nadawcy
• Często nie pobierają wiadomości od nadawcy.

Ta funkcja dodaje dodatkową warstwę ochrony przed potencjalnymi atakami personifikacji, dlatego zalecamy jej włączenie.

Pierwsza porada bezpieczeństwa kontaktu jest kontrolowana przez wartość 9,25 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Ta funkcja zastępuje konieczność tworzenia reguł przepływu poczty (nazywanych również regułami transportu), które dodają nagłówek o nazwie X-MS-Exchange-EnableFirstContactSafetyTip z wartością Enable do komunikatów, chociaż ta funkcja jest nadal dostępna.

W zależności od liczby adresatów w wiadomości pierwsza porada bezpieczeństwa kontaktu może być jedną z następujących wartości:

• Pojedynczy adresat:

  Często nie otrzymujesz wiadomości e-mail z <adresu> e-mail.

  

• Wielu adresatów:

  Niektóre osoby, które otrzymały tę wiadomość, często nie otrzymują wiadomości e-mail z <adresu> e-mail.

  

Uwaga

Jeśli komunikat ma wielu adresatów, czy porada jest wyświetlana i dla kogo jest oparta na modelu większości. Jeśli większość adresatów nigdy nie odbiera wiadomości od nadawcy lub nie odbiera ich często, adresaci, których dotyczy problem, otrzymają poradę Niektóre osoby, które otrzymały tę wiadomość... Jeśli obawiasz się, że to zachowanie uwidacznia nawyki komunikacyjne jednego adresata, nie należy włączać pierwszej wskazówki dotyczącej bezpieczeństwa kontaktów i nadal używać reguł przepływu poczty oraz nagłówka X-MS-Exchange-EnableFirstContactSafetyTip .

Pierwsza porada bezpieczeństwa kontaktu nie jest ostemplowana w komunikatach podpisanych przez protokół S/MIME.

Ustawienia wyłączności w zasadach ochrony przed wyłudzaniem informacji w Microsoft Defender dla Office 365

W tej sekcji opisano ustawienia zasad, które są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365.

Uwaga

Domyślne zasady ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365 zapewniają ochronę przed fałszowaniem i analizę skrzynek pocztowych dla wszystkich adresatów. Jednak inne dostępne funkcje ochrony przed personifikacją i progi wiadomości e-mail wyłudzających informacje nie są skonfigurowane w zasadach domyślnych. Aby włączyć wszystkie funkcje ochrony, zmodyfikuj domyślne zasady ochrony przed wyłudzaniem informacji lub utwórz inne zasady ochrony przed wyłudzaniem informacji.

Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Microsoft Defender dla Office 365

Personifikacja to miejsce, w którym domena poczty e-mail nadawcy lub nadawcy w wiadomości wygląda podobnie do rzeczywistego nadawcy lub domeny:

• Przykładowa personifikacja domeny contoso.com to ćóntoso.com.
• Personifikacja użytkownika jest kombinacją nazwy wyświetlanej użytkownika i adresu e-mail. Na przykład Valeria Barrios (vbarrios@contoso.com) może być personifikowana jako Valeria Barrios, ale z innym adresem e-mail.

Uwaga

Ochrona przed personifikacją wyszukuje podobne domeny. Jeśli na przykład domena jest contoso.com, sprawdzamy różne domeny najwyższego poziomu (.com, .bizitp.), ale także domeny, które są nawet nieco podobne. Na przykład contosososo.com lub contoabcdef.com może być postrzegane jako próby personifikacji elementu contoso.com.

Domena personifikowana może w przeciwnym razie zostać uznana za uzasadnioną (domena jest zarejestrowana, skonfigurowano rekordy DNS uwierzytelniania poczty e-mail itp.), z wyjątkiem tego, że celem domeny jest oszukanie adresatów.

Ustawienia personifikacji opisane w poniższych sekcjach są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365.

Porada

Szczegółowe informacje o wykrytych próbach personifikacji są dostępne w szczegółowych informacjach dotyczących personifikacji. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o personifikacji w usłudze Defender for Office 365.

Aby zapoznać się z porównaniem personifikacji i fałszowania, zobacz sekcję Fałszowanie a personifikacja w dalszej części tego artykułu.

Ochrona przed personifikacją użytkowników

Ochrona przed personifikacją użytkowników uniemożliwia personifikację określonych wewnętrznych lub zewnętrznych adresów e-mail jako nadawców wiadomości. Na przykład otrzymasz wiadomość e-mail od wiceprezesa twojej firmy z prośbą o wysłanie jej wewnętrznych informacji o firmie. Czy to zrobisz? Wiele osób wysyłałoby odpowiedź bez zastanowienia.

Chronionych użytkowników można użyć do dodawania wewnętrznych i zewnętrznych adresów e-mail nadawcy w celu ochrony przed personifikacją. Ta lista nadawców , którzy są chronieni przed personifikacją użytkowników, różni się od listy adresatów , których dotyczą zasady (wszyscy adresaci zasad domyślnych; określonych adresatów skonfigurowanych w ustawieniu Użytkownicy, grupy i domeny w sekcji Typowe ustawienia zasad ).

Uwaga

W każdej polityce ochrony przed wyłudzaniem informacji można określić maksymalnie 350 użytkowników na potrzeby ochrony przed personifikacją użytkowników.

Jeśli włączono zarówno funkcję Włącz analizę skrzynki pocztowej , jak i Włącz analizę w celu ochrony przed personifikacją , ochrona przed personifikacją użytkowników nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji.

Jeśli użytkownik jest już objęty ochroną przed personifikacją w zasadach ochrony przed wyłudzaniem informacji, może wystąpić następujący błąd, jeśli spróbujesz dodać użytkownika do ochrony przed personifikacją w innych zasadach ochrony przed wyłudzaniem informacji: "Adres e-mail już istnieje". Ten błąd występuje tylko w portalu usługi Defender. Błąd nie jest wyświetlany, jeśli używasz odpowiedniego parametru TargetedUsersToProtect w poleceniach cmdlet New-AntiPhishPolicy lub Set-AntiPhishPolicy w Exchange Online programu PowerShell.

Domyślnie żadne adresy e-mail nadawcy nie są skonfigurowane do ochrony przed personifikacją w zasadach domyślnych lub w zasadach niestandardowych.

Po dodaniu wewnętrznych lub zewnętrznych adresów e-mail do listy Użytkownicy w celu ochrony wiadomości od tych nadawców podlegają kontroli ochrony przed personifikacją. Wiadomość jest sprawdzana pod kątem personifikacji, jeśli wiadomość jest wysyłana do adresata , do których mają zastosowanie zasady (wszyscy adresaci domyślnych zasad; Użytkownicy, grupy i adresaci domen w zasadach niestandardowych). Jeśli na adres e-mail nadawcy zostanie wykryta personifikacja, do wiadomości zostanie zastosowana akcja dla personifikowanych użytkowników.

W przypadku wykrytych prób personifikacji użytkowników dostępne są następujące akcje:

• Nie stosuj żadnej akcji: akcja domyślna.

• Przekieruj wiadomość na inne adresy e-mail: wysyła wiadomość do określonych adresatów zamiast do zamierzonych adresatów.

• Przenieś wiadomości do folderów Email wiadomości-śmieci adresatów: wiadomość jest dostarczana do skrzynki pocztowej i przenoszona do folderu Junk Email. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień wiadomości-śmieci w skrzynkach pocztowych w chmurze.

• Kwarantanna komunikatu: wysyła komunikat do kwarantanny zamiast zamierzonych adresatów. Aby uzyskać informacje o kwarantannie, zobacz następujące artykuły:

  • Kwarantanna
  • Zarządzaj wiadomościami i plikami poddanymi kwarantannie jako administrator
  • Znajdowanie i zwalnianie wiadomości poddanych kwarantannie jako użytkownik

  Jeśli wybierzesz pozycję Kwarantanna komunikatu, możesz również wybrać zasady kwarantanny, które mają zastosowanie do komunikatów poddawanych kwarantannie przez ochronę przed personifikacją użytkowników. Zasady kwarantanny definiują, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

• Dostarczenie wiadomości i dodanie innych adresów do wiersza Bcc: dostarczenie wiadomości do zamierzonych adresatów i dyskretne dostarczenie wiadomości do określonych adresatów.

• Usuń wiadomość przed jej dostarczeniem: w trybie dyskretnym usuń całą wiadomość, w tym wszystkie załączniki.

Ochrona przed personifikacją domeny

Ochrona przed personifikacją domeny uniemożliwia personifikację określonych domen na adresie e-mail nadawcy . Na przykład wszystkie domeny, których jesteś właścicielem (akceptowane domeny) lub określonych domen niestandardowych (domen, których jesteś właścicielem lub domen partnerskich). Domeny nadawcy chronione przed personifikacją różnią się od listy adresatów , których dotyczą zasady (wszyscy adresaci zasad domyślnych; określonych adresatów skonfigurowanych w ustawieniu Użytkownicy, grupy i domeny w sekcji Typowe ustawienia zasad ).

Uwaga

W każdej polityce ochrony przed wyłudzaniem informacji można określić maksymalnie 50 domen niestandardowych dla ochrony przed personifikacją domeny.

Po włączeniu zarówno opcji Włącz analizę skrzynki pocztowej , jak i Włącz analizę na potrzeby ochrony przed personifikacją ochrona przed personifikacją domeny nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji.

Komunikaty od nadawców w określonych domenach podlegają kontrolom ochrony przed personifikacją. Wiadomość jest sprawdzana pod kątem personifikacji, jeśli wiadomość jest wysyłana do adresata , do których mają zastosowanie zasady (wszyscy adresaci domyślnych zasad; Użytkownicy, grupy i adresaci domen w zasadach niestandardowych). Jeśli w domenie adresu e-mail nadawcy zostanie wykryta personifikacja, do wiadomości zostanie zastosowana akcja personifikacji domeny.

Domyślnie żadne domeny nadawcy nie są skonfigurowane do ochrony przed personifikacją w zasadach domyślnych lub w zasadach niestandardowych.

W przypadku wykrytych prób personifikacji domeny dostępne są następujące akcje:

• Nie stosuj żadnej akcji: wartość domyślna.

• Przekieruj wiadomość na inne adresy e-mail: wysyła wiadomość do określonych adresatów zamiast do zamierzonych adresatów.

• Przenieś wiadomości do folderów Email wiadomości-śmieci adresatów: wiadomość jest dostarczana do skrzynki pocztowej i przenoszona do folderu Junk Email. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień wiadomości-śmieci w skrzynkach pocztowych w chmurze.

• Kwarantanna komunikatu: wysyła komunikat do kwarantanny zamiast zamierzonych adresatów. Aby uzyskać informacje o kwarantannie, zobacz następujące artykuły:

  • Kwarantanna
  • Zarządzaj wiadomościami i plikami poddanymi kwarantannie jako administrator
  • Znajdowanie i zwalnianie wiadomości poddanych kwarantannie jako użytkownik

  Jeśli wybierzesz pozycję Kwarantanna komunikatu, możesz również wybrać zasady kwarantanny, które mają zastosowanie do komunikatów poddawanych kwarantannie przez ochronę przed personifikacją domeny. Zasady kwarantanny definiują, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

• Dostarczenie wiadomości i dodanie innych adresów do wiersza Bcc: dostarczenie wiadomości do zamierzonych adresatów i dyskretne dostarczenie wiadomości do określonych adresatów.

• Usuń wiadomość przed jej dostarczeniem: w trybie dyskretnym usuwa całą wiadomość, w tym wszystkie załączniki.

Ochrona przed personifikacją analizy skrzynki pocztowej

Analiza skrzynek pocztowych używa sztucznej inteligencji (AI) do określania wzorców poczty e-mail użytkowników z ich częstymi kontaktami.

Na przykład Gabriela Laureano (glaureano@contoso.com) jest dyrektorem generalnym twojej firmy, dlatego należy dodać ją jako chronionego nadawcę w obszarze Włączanie użytkownikom ochrony ustawień zasad. Jednak niektórzy adresaci zasad regularnie komunikują się z dostawcą o nazwie Gabriela Laureano (glaureano@fabrikam.com). Ponieważ adresaci mają historię komunikacji z glaureano@fabrikam.comusługą , analiza skrzynki pocztowej nie identyfikuje wiadomości jako glaureano@fabrikam.com próby personifikacji glaureano@contoso.com dla tych adresatów.

Uwaga

Ochrona przed analizą skrzynki pocztowej nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i odbiorca nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji przez analizę skrzynki pocztowej.

Analiza skrzynki pocztowej ma dwa określone ustawienia:

• Włącz analizę skrzynki pocztowej: włącz lub wyłącz analizę skrzynek pocztowych. To ustawienie pomaga sztucznej inteligencji odróżnić komunikaty od legalnych i personifikowanych nadawców. Domyślnie to ustawienie jest włączone.
• Włącz analizę na potrzeby ochrony przed personifikacją: domyślnie to ustawienie jest wyłączone. Aby chronić użytkowników przed atakami personifikacji, użyj historii kontaktów zdobytej na podstawie analizy skrzynki pocztowej (zarówno częstych kontaktów, jak i braku kontaktu). Aby analiza skrzynki pocztowej podejmowała działania w przypadku wykrytych wiadomości, należy włączyć to ustawienie i ustawienie Włącz analizę skrzynki pocztowej .

W przypadku prób personifikacji wykrytych przez analizę skrzynki pocztowej dostępne są następujące akcje:

• Nie stosuj żadnej akcji: wartość domyślna. Ta akcja ma taki sam wynik jak w przypadku włączenia funkcji Włączanie analizy skrzynki pocztowej , ale opcja Włącz ochronę przed personifikacją inteligencji jest wyłączona.
• Przekierowywanie wiadomości na inne adresy e-mail
• Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów
• Kwarantanna komunikatu: Jeśli wybierzesz tę akcję, możesz również wybrać zasady kwarantanny, które mają zastosowanie do wiadomości poddanych kwarantannie przez ochronę przed inteligencją skrzynki pocztowej. Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
• Dostarczanie komunikatu i dodawanie innych adresów do wiersza Bcc
• Usuń wiadomość przed jej dostarczeniem

Wskazówki dotyczące bezpieczeństwa personifikacji

Wskazówki dotyczące bezpieczeństwa personifikacji są wyświetlane użytkownikom, gdy komunikaty są identyfikowane jako próby personifikacji. Dostępne są następujące wskazówki dotyczące bezpieczeństwa:

• Pokaż poradę dotyczącą bezpieczeństwa personifikacji użytkownika: adres Od zawiera użytkownika określonego w ochronie przed personifikacją użytkowników. Opcja dostępna tylko wtedy, gdy opcja Włącz ochronę użytkowników jest włączona i skonfigurowana.

  Ta porada bezpieczeństwa jest kontrolowana przez wartość 9,20 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Tekst mówi:

  <Nadawca> wygląda podobnie do osoby, która wcześniej wysłała Ci wiadomość e-mail, ale może nie być tą osobą.

  

• Pokaż poradę dotyczącą bezpieczeństwa personifikacji domeny: adres From zawiera domenę określoną w ochronie przed personifikacją domeny. Dostępne tylko wtedy, gdy włączono i skonfigurowano opcję Włącz domeny do ochrony .

  Ta porada bezpieczeństwa jest kontrolowana przez wartość 9.19 SFTY pola w nagłówku X-Forefront-Antispam-Report komunikatu. Tekst mówi:

  Ten nadawca może personifikować domenę skojarzoną z Twoją organizacją.

  

• Pokaż poradę bezpieczeństwa dotyczącą personifikacji nietypowych znaków przez użytkownika: adres From zawiera nietypowe zestawy znaków (na przykład symbole matematyczne i tekst lub kombinację wielkich i małych liter) w nadawcy określonym w ochronie przed personifikacją użytkownika. Opcja dostępna tylko wtedy, gdy opcja Włącz ochronę użytkowników jest włączona i skonfigurowana. Tekst mówi:

  Adres <email address> e-mail zawiera nieoczekiwane litery lub cyfry. Zalecamy, aby nie wchodzić w interakcje z tym komunikatem.

Uwaga

Wskazówki dotyczące bezpieczeństwa nie są ostemplowane w następujących komunikatach:

• Komunikaty podpisane przez protokół S/MIME.
• Komunikaty dozwolone przez ustawienia organizacji.

Zaufani nadawcy i domeny

Zaufani nadawcy i domena to wyjątki od ustawień ochrony przed personifikacją. Komunikaty z określonych domen nadawców i nadawców nigdy nie są klasyfikowane jako ataki oparte na personifikacji przez zasady. Innymi słowy, akcja dotycząca chronionych nadawców, domen chronionych ani ochrony inteligencji skrzynki pocztowej nie jest stosowana do tych zaufanych nadawców ani domen nadawców. Maksymalny limit dla tych list to 1024 wpisy.

Uwaga

Wpisy zaufanej domeny nie obejmują poddomen określonej domeny. Musisz dodać wpis dla każdej poddomeny.

Jeśli komunikaty systemowe platformy Microsoft 365 od następujących nadawców zostaną zidentyfikowane jako próby personifikacji, możesz dodać nadawców do listy zaufanych nadawców:

• noreply@email.teams.microsoft.com
• noreply@emeaemail.teams.microsoft.com
• no-reply@sharepointonline.com

Progi wiadomości e-mail dotyczące wyłudzania informacji w zasadach ochrony przed wyłudzaniem informacji w Microsoft Defender dla Office 365

Następujące progi wiadomości e-mail dotyczące wyłudzania informacji są dostępne tylko w zasadach ochrony przed wyłudzaniem informacji w usłudze Defender for Office 365. Te progi kontrolują czułość stosowania modeli uczenia maszynowego do komunikatów w celu wyłudzania werdyktów:

• 1 — Standardowa: wartość domyślna. Ważność akcji podjętej w wiadomości zależy od stopnia pewności, że wiadomość jest wyłudzająca informacje (niska, średnia, wysoka lub bardzo wysoka pewność). Na przykład komunikaty zidentyfikowane z bardzo wysokim stopniem ufności mają najsurowsze akcje. Komunikaty zidentyfikowane z niskim stopniem ufności mają mniej poważne działania.
• 2 — Agresywne: Komunikaty zidentyfikowane jako wyłudzające informacje o wysokim stopniu ufności są traktowane tak, jakby były identyfikowane z bardzo wysokim stopniem zaufania.
• 3 — Bardziej agresywne: Komunikaty zidentyfikowane jako wyłudzające informacje o średnim lub wysokim stopniu ufności są traktowane tak, jakby zostały zidentyfikowane z bardzo wysokim stopniem pewności.
• 4 — Najbardziej agresywne: Komunikaty zidentyfikowane jako wyłudzające informacje o niskim, średnim lub wysokim stopniu ufności są traktowane tak, jakby zostały zidentyfikowane z bardzo wysokim poziomem zaufania.

Prawdopodobieństwo fałszywie dodatnich (dobrych komunikatów oznaczonych jako złe) zwiększa się w miarę zwiększania tego ustawienia. Aby uzyskać informacje o zalecanych ustawieniach, zobacz Wyłudzanie wartości progowych wiadomości e-mail w zasadach ochrony przed wyłudzaniem informacji w Microsoft Defender dla Office 365.

Fałszowanie a personifikacja

Fałszowanie to osoba atakująca, która tworzy adres e-mail lub domenę nadawcy, aby wyglądać jak zaufane źródło. Osoba atakująca manipuluje adresem e-mail nadawcy w nagłówku wiadomości (znanym również jako nadawca z adresu, 5322.From adresu lub P2), aby oszukać adresata.

• Ochrona przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze obejmuje podstawowe wykrywanie fałszowania za pośrednictwem weryfikacji SPF, DKIM i DMARC.
• Usługa Defender for Office 365 obejmuje ulepszoną analizę fałszowania w celu lepszego wykrywania i ograniczania zaawansowanych ataków polegających na fałszowaniu.

Personifikacja to osoba atakująca naśladująca zaufanego użytkownika, domenę lub markę, aby nakłonić odbiorcę do przekonania, że wiadomość e-mail jest prawdziwa. Osoba atakująca często używa subtelnych odmian rzeczywistej nazwy użytkownika lub domeny (na przykład mithun@ćóntoso.com zamiast mithun@contoso.com).

• Ochrona przed wyłudzaniem informacji dla wszystkich skrzynek pocztowych w chmurze nie obejmuje ochrony przed personifikacją.
• Usługa Defender for Office 365 obejmuje ochronę przed personifikacją użytkowników, domen i marek, umożliwiając administratorom definiowanie zaufanych jednostek i progów wykrywania.

Personifikacja może przekazywać testy uwierzytelniania poczty e-mail (SPF, DKIM i DMARC), jeśli osoba atakująca utworzyła podobną domenę i opublikowała prawidłowe rekordy DNS. Pomimo przekazania uwierzytelniania osoba atakująca nadal personifikuje zaufaną domenę lub użytkownika, aby oszukać adresatów. To zachowanie podkreśla znaczenie zaawansowanej ochrony przed personifikacją zapewnianej przez usługę Defender dla Office 365.

Aby zrozumieć kolejność przetwarzania typów ochrony poczty e-mail i kolejność priorytetów zasad, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.