Krok po kroku ochrona przed zagrożeniami w usłudze Microsoft Defender dla usługi Office 365

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w usłudze Microsoft Defender XDR dla usługi Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Usługi Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Stos ochrony lub filtrowania usługi Microsoft Defender dla usługi Office 365 można podzielić na cztery fazy, tak jak w tym artykule. Ogólnie rzecz biorąc, poczta przychodząca przechodzi przez wszystkie te fazy przed dostarczeniem, ale rzeczywista ścieżka, którą przyjmuje wiadomość e-mail, podlega konfiguracji usługi Defender for Office 365 w organizacji.

Porada

Bądź na bieżąco do końca tego artykułu, aby uzyskać ujednoliconą grafikę przedstawiającą wszystkie 4 fazy ochrony usługi Defender for Office 365!

Faza 1 — ochrona krawędzi

Niestety, bloki krawędzi, które kiedyś były krytyczne , są teraz stosunkowo proste do pokonania dla złych aktorów. Z biegiem czasu mniejszy ruch jest blokowany, ale pozostaje ważną częścią stosu.

Bloki krawędzi są zaprojektowane tak, aby były automatyczne. W przypadku fałszywie dodatniego wyniku nadawcy są powiadamiani i poinformowani, jak rozwiązać swój problem. Łączniki od zaufanych partnerów o ograniczonej reputacji mogą zapewnić możliwość dostarczania lub tymczasowe przesłonięcia podczas dołączania nowych punktów końcowych.

1. Ograniczanie przepustowości sieci chroni infrastrukturę usługi Office 365 i klientów przed atakami typu "odmowa usługi" (DOS), ograniczając liczbę komunikatów, które mogą być przesyłane przez określony zestaw infrastruktury.

2. Reputacja i ograniczanie przepustowości adresów IP uniemożliwia wysyłanie komunikatów ze znanych nieprawidłowych adresów IP. Jeśli określony adres IP wyśle wiele komunikatów w krótkim czasie, zostaną one ograniczone.

3. Reputacja domeny blokuje wysyłanie komunikatów ze znanej złej domeny.

4. Bloki filtrowania krawędzi oparte na katalogach próbują zbierać informacje o katalogu organizacji za pośrednictwem protokołu SMTP.

5. Wykrywanie backscatter zapobiega atakom organizacji za pośrednictwem nieprawidłowych raportów o braku dostarczania (NDR).

6. Ulepszone filtrowanie łączników zachowuje informacje o uwierzytelnianiu nawet wtedy, gdy ruch przechodzi przez inne urządzenie, zanim dotrze do usługi Office 365. Zwiększa to dokładność stosu filtrowania, w tym klastrowanie heurystyczne, modele uczenia maszynowego chroniącego przed fałszowaniem i wyłudzaniem informacji, nawet w przypadku złożonych lub hybrydowych scenariuszy routingu.

Faza 2 — analiza nadawcy

Funkcje analizy nadawców mają kluczowe znaczenie dla wykrywania spamu, zbiorczego, personifikacji i nieautoryzowanego fałszowania wiadomości, a także uwzględniają wykrywanie phish. Większość z tych funkcji można konfigurować indywidualnie.

1. Wyzwalacze i alerty wykrywania naruszenia zabezpieczeń konta są zgłaszane, gdy konto ma nietypowe zachowanie, spójne z naruszeniem zabezpieczeń. W niektórych przypadkach konto użytkownika jest zablokowane i nie może wysyłać żadnych dalszych wiadomości e-mail, dopóki problem nie zostanie rozwiązany przez zespół ds. operacji zabezpieczeń organizacji.

2. Uwierzytelnianie poczty e-mail obejmuje zarówno metody skonfigurowane przez klienta, jak i metody skonfigurowane w chmurze, mające na celu zapewnienie, że nadawcy są autoryzowanymi, autentycznymi nadawcami. Metody te opierają się fałszowaniu.

   • SPF może odrzucać wiadomości e-mail na podstawie rekordów TXT DNS, które wyświetlają listę adresów IP i serwerów, które mogą wysyłać wiadomości e-mail w imieniu organizacji.
   • Program DKIM udostępnia zaszyfrowany podpis, który uwierzytelnia nadawcę.
   • Usługa DMARC umożliwia administratorom oznaczanie SPF i DKIM jako wymaganych w ich domenie i wymusza wyrównanie wyników tych dwóch technologii.
   • Usługa ARC bazuje na usłudze DMARC, aby pracować z przekazywaniem na listach wysyłkowych podczas rejestrowania łańcucha uwierzytelniania.

3. Analiza fałszowania umożliwia filtrowanie osób, które mogą "podszywać się" (czyli osób wysyłających pocztę w imieniu innego konta lub przekazujących listę adresową) od złośliwych nadawców, którzy imitują domeny organizacyjne lub znane domeny zewnętrzne. Oddziela ona legalną pocztę "w imieniu" od nadawców, którzy podszywają się pod nadawców w celu dostarczania wiadomości spamu i wyłudzania informacji.

   Analiza fałszowania wewnątrz organizacji wykrywa i blokuje próby fałszowania z domeny w organizacji.

4. Analiza fałszowania między domenami wykrywa i blokuje próby fałszowania z domeny spoza organizacji.

5. Filtrowanie zbiorcze umożliwia administratorom skonfigurowanie poziomu ufności zbiorczej (BCL) wskazującego, czy komunikat został wysłany z nadawcy zbiorczego. Administratorzy mogą użyć suwaka zbiorczego w zasadach ochrony przed spamem, aby zdecydować, jaki poziom poczty zbiorczej należy traktować jako spam.

6. Analiza skrzynek pocztowych uczy się na podstawie standardowych zachowań poczty e-mail użytkownika. Wykorzystuje on wykres komunikacji użytkownika do wykrywania, kiedy nadawcą jest tylko osoba, z kim użytkownik zwykle komunikuje się, ale jest w rzeczywistości złośliwy. Ta metoda wykrywa personifikację.

7. Personifikacja analizy skrzynki pocztowej umożliwia lub wyłącza rozszerzone wyniki personifikacji na podstawie mapy poszczególnych nadawców poszczególnych użytkowników. Po włączeniu tej funkcji można zidentyfikować personifikację.

8. Personifikacja użytkownika umożliwia administratorowi utworzenie listy obiektów docelowych o wysokiej wartości, które mogą być personifikowane. Jeśli nadejdzie wiadomość e-mail, w której nadawca ma tylko taką samą nazwę i adres jak chronione konto o wysokiej wartości, wiadomość zostanie oznaczona lub oznaczona tagiem. (Na przykład trα cye@contoso.com for tracye@contoso.com).

9. Personifikacja domeny wykrywa domeny podobne do domeny adresata, które próbują wyglądać jak domena wewnętrzna. Na przykład ta personifikacja tracye@liw α re.com dla tracye@litware.com.

Faza 3 — filtrowanie zawartości

W tej fazie stos filtrowania zaczyna obsługiwać określoną zawartość wiadomości e-mail, w tym jej hiperlinki i załączniki.

1. Reguły transportu (nazywane również regułami przepływu poczty lub regułami transportu programu Exchange) umożliwiają administratorowi podjęcie szerokiego zakresu akcji, gdy zostanie spełniony równie szeroki zakres warunków dla wiadomości. Wszystkie komunikaty przepływane przez organizację są oceniane pod kątem włączonych reguł przepływu poczty/reguł transportu.

2. Program antywirusowy Microsoft Defender służy do wykrywania całego znanego złośliwego oprogramowania w załącznikach.

3. Aparat antywirusowy (AV) używa dopasowania typu true do wykrywania typu pliku, niezależnie od rozszerzenia nazwy pliku (na przykład exe pliki o zmienionej nazwie txt są wykrywane jako exe pliki). Ta funkcja umożliwia blokowanie typów (nazywane również typowym filtrem załączników) w celu prawidłowego blokowania typów plików określonych przez administratorów. Aby uzyskać listę obsługiwanych typów plików, zobacz Dopasowywanie typu True w typowym filtrze załączników.

4. Za każdym razem, gdy usługa Microsoft Defender dla usługi Office 365 wykryje złośliwy załącznik, skrót pliku i skrót jego aktywnej zawartości są dodawane do reputacji usługi Exchange Online Protection (EOP). Blokowanie reputacji załączników blokuje ten plik we wszystkich usługach Office 365 i w punktach końcowych za pośrednictwem wywołań w chmurze MSAV.

5. Klastrowanie heurystyczne może ustalić, że plik jest podejrzany na podstawie heurystyki dostarczania. Po znalezieniu podejrzanego załącznika cała kampania zostaje wstrzymana, a plik jest w trybie piaskownicy. Jeśli plik zostanie uznany za złośliwy, cała kampania zostanie zablokowana.

6. Modele uczenia maszynowego działają na nagłówku, treści i adresach URL komunikatu w celu wykrywania prób wyłudzania informacji.

7. Firma Microsoft używa określenia reputacji z piaskownicy adresów URL i reputacji adresów URL z kanałów informacyjnych innych firm w blokowania reputacji adresów URL, aby zablokować wszelkie wiadomości ze znanym złośliwym adresem URL.

8. Heurystyka zawartości może wykrywać podejrzane komunikaty na podstawie struktury i częstotliwości słów w treści wiadomości przy użyciu modeli uczenia maszynowego.

9. Bezpieczne załączniki piaskownice dla każdego załącznika dla klientów usługi Defender dla usługi Office 365 przy użyciu analizy dynamicznej w celu wykrywania nigdy wcześniej nie widzianych zagrożeń.

10. Detonacja połączonej zawartości traktuje każdy adres URL łączący się z plikiem w wiadomości e-mail jako załącznik, asynchronicznie piaskownicę pliku w momencie dostarczenia.

11. Detonacja adresu URL ma miejsce, gdy nadrzędna technologia ochrony przed wyłudzaniem informacji znajdzie komunikat lub adres URL jako podejrzany. Piaskownica detonacji adresu URL określa adresy URL w komunikacie w momencie dostarczenia.

Faza 4 — ochrona po dostarczeniu

Ostatni etap odbywa się po dostarczeniu wiadomości e-mail lub pliku, działając na pocztę, która znajduje się w różnych skrzynkach pocztowych, plikach i linkach, które pojawiają się w klientach, takich jak Microsoft Teams.

1. Bezpieczne linki to ochrona usługi Defender dla usługi Office 365 przed kliknięciem. Każdy adres URL w każdej wiadomości jest opakowane w celu wskazywania serwerów bezpiecznych łączy firmy Microsoft. Po kliknięciu adresu URL jest on sprawdzany pod kątem najnowszej reputacji, zanim użytkownik zostanie przekierowany do witryny docelowej. Adres URL jest asynchronicznie w trybie piaskownicy, aby zaktualizować swoją reputację.

2. Automatyczne przeczyszczanie bez godziny (ZAP) w przypadku wyłudzania informacji wstecznie wykrywa i neutralizuje złośliwe wiadomości wyłudzające informacje, które zostały już dostarczone do skrzynek pocztowych usługi Exchange Online.

3. Zap dla złośliwego oprogramowania z mocą wsteczną wykrywa i neutralizuje złośliwe wiadomości złośliwego oprogramowania, które zostały już dostarczone do skrzynek pocztowych usługi Exchange Online.

4. Zap dla spamu wstecznie wykrywa i neutralizuje złośliwe wiadomości spamu, które zostały już dostarczone do skrzynek pocztowych usługi Exchange Online.

5. Widoki kampanii pozwalają administratorom zobaczyć ogólny obraz ataku, szybciej i bardziej całkowicie, niż jakikolwiek zespół mógłby bez automatyzacji. Firma Microsoft korzysta z ogromnych ilości danych chroniących przed wyłudzaniem informacji, ochrony przed spamem i złośliwym oprogramowaniem w całej usłudze, aby ułatwić identyfikowanie kampanii, a następnie umożliwia administratorom badanie ich od początku do końca, w tym celów, wpływów i przepływów, które są również dostępne w zapisie kampanii do pobrania.

6. Dodatki wiadomości raportu umożliwiają użytkownikom łatwe zgłaszanie fałszywych alarmów (dobra wiadomość e-mail, omyłkowo oznaczona jako zła) lub fałszywych negatywów (zła wiadomość e-mail oznaczona jako dobra) firmie Microsoft w celu dalszej analizy.

7. Bezpieczne linki dla klientów pakietu Office oferują taką samą ochronę przed kliknięciem bezpiecznych łączy, natywnie, w obsługiwanych aplikacjach pakietu Office, takich jak Word, PowerPoint i Excel.

8. Ochrona aplikacji OneDrive, SharePoint i Teams zapewnia taką samą ochronę bezpiecznych załączników przed złośliwymi plikami, natywnie, w usłudze OneDrive, SharePoint i Microsoft Teams.

9. Gdy adres URL wskazujący plik jest zaznaczony po dostarczeniu, detonacja połączonej zawartości wyświetla stronę ostrzeżenia do czasu zakończenia piaskownicy pliku, a adres URL zostanie uznany za bezpieczny.

Diagram stosu filtrowania

Końcowy diagram (podobnie jak w przypadku wszystkich części diagramu, który go komponuje) może ulec zmianie w miarę rozwoju i rozwoju produktu. Dodaj do zakładek tę stronę i użyj opcji opinii , którą znajdziesz u dołu, jeśli musisz zapytać po aktualizacji. W przypadku rekordów jest to stos ze wszystkimi fazami w kolejności:

Specjalne podziękowania od MSFTTracyP i zespołu piszącego dokumenty do Giulian Garruba za tę zawartość.