Krok po kroku ochrona przed zagrożeniami w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Stos ochrony Ochrona usługi Office 365 w usłudze Microsoft Defender lub filtrowania można podzielić na cztery fazy, jak w tym artykule. Ogólnie rzecz biorąc, poczta przychodząca przechodzi przez wszystkie te fazy przed dostarczeniem, ale rzeczywista ścieżka, którą przyjmuje wiadomość e-mail, podlega konfiguracji Ochrona usługi Office 365 w usłudze Defender organizacji.

Porada

Bądź na bieżąco do końca tego artykułu, aby uzyskać ujednoliconą grafikę ze wszystkimi 4 fazami ochrony Ochrona usługi Office 365 w usłudze Defender!

Faza 1 — ochrona krawędzi

Niestety, bloki krawędzi, które kiedyś były krytyczne , są teraz stosunkowo proste do pokonania dla złych aktorów. Z biegiem czasu mniejszy ruch jest blokowany, ale pozostaje ważną częścią stosu.

Bloki krawędzi są zaprojektowane tak, aby były automatyczne. W przypadku fałszywie dodatniego wyniku nadawcy są powiadamiani i poinformowani, jak rozwiązać swój problem. Łączniki od zaufanych partnerów o ograniczonej reputacji mogą zapewnić możliwość dostarczania lub tymczasowe przesłonięcia podczas dołączania nowych punktów końcowych.

Filtrowanie fazy 1 w Ochrona usługi Office 365 w usłudze Defender

  1. Ograniczanie przepustowości sieci chroni infrastrukturę Office 365 i klientów przed atakami typu "odmowa usługi" (DOS), ograniczając liczbę komunikatów, które mogą być przesyłane przez określony zestaw infrastruktury.

  2. Reputacja i ograniczanie przepustowości adresów IP uniemożliwia wysyłanie komunikatów ze znanych nieprawidłowych adresów IP. Jeśli określony adres IP wyśle wiele komunikatów w krótkim czasie, zostaną one ograniczone.

  3. Reputacja domeny blokuje wysyłanie komunikatów ze znanej złej domeny.

  4. Bloki filtrowania krawędzi oparte na katalogach próbują zbierać informacje o katalogu organizacji za pośrednictwem protokołu SMTP.

  5. Wykrywanie backscatter zapobiega atakom organizacji za pośrednictwem nieprawidłowych raportów o braku dostarczania (NDR).

  6. Ulepszone filtrowanie łączników zachowuje informacje o uwierzytelnianiu nawet wtedy, gdy ruch przechodzi przez inne urządzenie, zanim dotrze do Office 365. Zwiększa to dokładność stosu filtrowania, w tym klastrowanie heurystyczne, modele uczenia maszynowego chroniącego przed fałszowaniem i wyłudzaniem informacji, nawet w przypadku złożonych lub hybrydowych scenariuszy routingu.

Faza 2 — analiza nadawcy

Funkcje analizy nadawców mają kluczowe znaczenie dla wykrywania spamu, zbiorczego, personifikacji i nieautoryzowanego fałszowania wiadomości, a także uwzględniają wykrywanie phish. Większość z tych funkcji można konfigurować indywidualnie.

Faza 2 filtrowania w Ochrona usługi Office 365 w usłudze Defender to analiza nadawcy

  1. Wyzwalacze i alerty wykrywania naruszenia zabezpieczeń konta są zgłaszane, gdy konto ma nietypowe zachowanie, spójne z naruszeniem zabezpieczeń. W niektórych przypadkach konto użytkownika jest zablokowane i nie może wysyłać żadnych dalszych wiadomości e-mail, dopóki problem nie zostanie rozwiązany przez zespół ds. operacji zabezpieczeń organizacji.

  2. Email Uwierzytelnianie obejmuje zarówno metody skonfigurowane przez klienta, jak i metody skonfigurowane w chmurze, mające na celu zapewnienie, że nadawcy są autoryzowanymi, autentycznymi nadawcami. Metody te opierają się fałszowaniu.

    • SPF może odrzucać wiadomości e-mail na podstawie rekordów TXT DNS, które wyświetlają listę adresów IP i serwerów, które mogą wysyłać wiadomości e-mail w imieniu organizacji.
    • Program DKIM udostępnia zaszyfrowany podpis, który uwierzytelnia nadawcę.
    • Usługa DMARC umożliwia administratorom oznaczanie SPF i DKIM jako wymaganych w ich domenie i wymusza wyrównanie wyników tych dwóch technologii.
    • Usługa ARC bazuje na usłudze DMARC, aby pracować z przekazywaniem na listach wysyłkowych podczas rejestrowania łańcucha uwierzytelniania.
  3. Analiza fałszowania umożliwia filtrowanie osób, które mogą "podszywać się" (czyli osób wysyłających pocztę w imieniu innego konta lub przekazujących listę adresową) od złośliwych nadawców, którzy imitują domeny organizacyjne lub znane domeny zewnętrzne. Oddziela ona legalną pocztę "w imieniu" od nadawców, którzy podszywają się pod nadawców w celu dostarczania wiadomości spamu i wyłudzania informacji.

    Analiza fałszowania wewnątrz organizacji wykrywa i blokuje próby fałszowania z domeny w organizacji.

  4. Analiza fałszowania między domenami wykrywa i blokuje próby fałszowania z domeny spoza organizacji.

  5. Filtrowanie zbiorcze umożliwia administratorom skonfigurowanie poziomu ufności zbiorczej (BCL) wskazującego, czy komunikat został wysłany z nadawcy zbiorczego. Administratorzy mogą użyć suwaka zbiorczego w zasadach ochrony przed spamem, aby zdecydować, jaki poziom poczty zbiorczej należy traktować jako spam.

  6. Analiza skrzynek pocztowych uczy się na podstawie standardowych zachowań poczty e-mail użytkownika. Wykorzystuje on wykres komunikacji użytkownika do wykrywania, kiedy nadawcą jest tylko osoba, z kim użytkownik zwykle komunikuje się, ale jest w rzeczywistości złośliwy. Ta metoda wykrywa personifikację.

  7. Personifikacja analizy skrzynki pocztowej umożliwia lub wyłącza rozszerzone wyniki personifikacji na podstawie mapy poszczególnych nadawców poszczególnych użytkowników. Po włączeniu tej funkcji można zidentyfikować personifikację.

  8. Personifikacja użytkownika umożliwia administratorowi utworzenie listy obiektów docelowych o wysokiej wartości, które mogą być personifikowane. Jeśli nadejdzie wiadomość e-mail, w której nadawca ma tylko taką samą nazwę i adres jak chronione konto o wysokiej wartości, wiadomość zostanie oznaczona lub oznaczona tagiem. (Na przykład trα cye@contoso.com for tracye@contoso.com).

  9. Personifikacja domeny wykrywa domeny podobne do domeny adresata, które próbują wyglądać jak domena wewnętrzna. Na przykład ta personifikacja tracye@liw α re.com dla tracye@litware.com.

Faza 3 — filtrowanie zawartości

W tej fazie stos filtrowania zaczyna obsługiwać określoną zawartość wiadomości e-mail, w tym jej hiperlinki i załączniki.

Filtrowanie fazy 3 w MDO to filtrowanie zawartości

  1. Reguły transportu (nazywane również regułami przepływu poczty lub regułami transportu programu Exchange) umożliwiają administratorowi podjęcie szerokiego zakresu akcji, gdy zostanie spełniony równie szeroki zakres warunków dla wiadomości. Wszystkie komunikaty przepływane przez organizację są oceniane pod kątem włączonych reguł przepływu poczty/reguł transportu.

  2. Microsoft Defender Program antywirusowy i aparat antywirusowy innej firmy są używane do wykrywania wszystkich znanych złośliwych oprogramowania w załącznikach.

  3. Aparaty antywirusowe (AV) używają dopasowania typu true do wykrywania typu pliku, niezależnie od rozszerzenia nazwy pliku (na przykład exe pliki o zmienionej nazwie txt są wykrywane jako exe pliki). Ta funkcja umożliwia blokowanie typów (nazywane również typowym filtrem załączników) w celu prawidłowego blokowania typów plików określonych przez administratorów. Aby uzyskać listę obsługiwanych typów plików, zobacz Dopasowywanie typu True w typowym filtrze załączników.

  4. Za każdym razem, gdy Ochrona usługi Office 365 w usłudze Microsoft Defender wykrywa złośliwy załącznik, skrót pliku i skrót jego aktywnej zawartości są dodawane do reputacji Exchange Online Protection (EOP). Blokowanie reputacji załączników blokuje ten plik we wszystkich Office 365 i w punktach końcowych za pośrednictwem wywołań w chmurze MSAV.

  5. Klastrowanie heurystyczne może ustalić, że plik jest podejrzany na podstawie heurystyki dostarczania. Po znalezieniu podejrzanego załącznika cała kampania zostaje wstrzymana, a plik jest w trybie piaskownicy. Jeśli plik zostanie uznany za złośliwy, cała kampania zostanie zablokowana.

  6. Modele uczenia maszynowego działają na nagłówku, treści i adresach URL komunikatu w celu wykrywania prób wyłudzania informacji.

  7. Firma Microsoft używa określenia reputacji z piaskownicy adresów URL i reputacji adresów URL z kanałów informacyjnych innych firm w blokowania reputacji adresów URL, aby zablokować wszelkie wiadomości ze znanym złośliwym adresem URL.

  8. Heurystyka zawartości może wykrywać podejrzane komunikaty na podstawie struktury i częstotliwości słów w treści wiadomości przy użyciu modeli uczenia maszynowego.

  9. Bezpieczne załączniki piaskownice każdego załącznika dla Ochrona usługi Office 365 w usłudze Defender klientów przy użyciu analizy dynamicznej w celu wykrywania nigdy wcześniej nie widziałem zagrożeń.

  10. Detonacja połączonej zawartości traktuje każdy adres URL łączący się z plikiem w wiadomości e-mail jako załącznik, asynchronicznie piaskownicę pliku w momencie dostarczenia.

  11. Detonacja adresu URL ma miejsce, gdy nadrzędna technologia ochrony przed wyłudzaniem informacji znajdzie komunikat lub adres URL jako podejrzany. Piaskownica detonacji adresu URL określa adresy URL w komunikacie w momencie dostarczenia.

Faza 4 — ochrona po dostarczeniu

Ostatni etap odbywa się po dostarczeniu wiadomości e-mail lub pliku, działając na pocztę, która znajduje się w różnych skrzynkach pocztowych, plikach i linkach, które pojawiają się w klientach, takich jak Microsoft Teams.

Filtrowanie fazy 4 w Ochrona usługi Office 365 w usłudze Defender to ochrona po dostarczeniu

  1. Bezpieczne linki to ochrona Ochrona usługi Office 365 w usłudze Defender czasu kliknięcia. Każdy adres URL w każdej wiadomości jest opakowane w celu wskazywania serwerów bezpiecznych łączy firmy Microsoft. Po kliknięciu adresu URL jest on sprawdzany pod kątem najnowszej reputacji, zanim użytkownik zostanie przekierowany do witryny docelowej. Adres URL jest asynchronicznie w trybie piaskownicy, aby zaktualizować swoją reputację.

  2. Automatyczne przeczyszczanie o wartości zero godzin (ZAP) w przypadku wyłudzania informacji z mocą wsteczną wykrywa i neutralizuje złośliwe wiadomości wyłudzające informacje, które zostały już dostarczone do Exchange Online skrzynek pocztowych.

  3. Zap dla złośliwego oprogramowania z mocą wsteczną wykrywa i neutralizuje złośliwe złośliwe oprogramowanie wiadomości, które zostały już dostarczone do Exchange Online skrzynek pocztowych.

  4. Zap dla spamu z mocą wsteczną wykrywa i neutralizuje złośliwe wiadomości spamu, które zostały już dostarczone do Exchange Online skrzynek pocztowych.

  5. Widoki kampanii pozwalają administratorom zobaczyć ogólny obraz ataku, szybciej i bardziej całkowicie, niż jakikolwiek zespół mógłby bez automatyzacji. Firma Microsoft korzysta z ogromnych ilości danych chroniących przed wyłudzaniem informacji, ochrony przed spamem i złośliwym oprogramowaniem w całej usłudze, aby ułatwić identyfikowanie kampanii, a następnie umożliwia administratorom badanie ich od początku do końca, w tym celów, wpływów i przepływów, które są również dostępne w zapisie kampanii do pobrania.

  6. Dodatki wiadomości raportu umożliwiają użytkownikom łatwe zgłaszanie fałszywych alarmów (dobra wiadomość e-mail, omyłkowo oznaczona jako zła) lub fałszywych negatywów (zła wiadomość e-mail oznaczona jako dobra) firmie Microsoft w celu dalszej analizy.

  7. Bezpieczne linki dla klientów pakietu Office oferują taką samą ochronę przed kliknięciem bezpiecznych łączy, natywnie, w obsługiwanych aplikacjach pakietu Office, takich jak Word, PowerPoint i Excel.

  8. Ochrona aplikacji OneDrive, SharePoint i Teams zapewnia taką samą ochronę bezpiecznych załączników przed złośliwymi plikami, natywnie, w usłudze OneDrive, SharePoint i Microsoft Teams.

  9. Gdy adres URL wskazujący plik jest zaznaczony po dostarczeniu, detonacja połączonej zawartości wyświetla stronę ostrzeżenia do czasu zakończenia piaskownicy pliku, a adres URL zostanie uznany za bezpieczny.

Diagram stosu filtrowania

Końcowy diagram (podobnie jak w przypadku wszystkich części diagramu, który go komponuje) może ulec zmianie w miarę rozwoju i rozwoju produktu. Dodaj do zakładek tę stronę i użyj opcji opinii , którą znajdziesz u dołu, jeśli musisz zapytać po aktualizacji. W przypadku rekordów jest to stos ze wszystkimi fazami w kolejności:

Wszystkie fazy filtrowania w Ochrona usługi Office 365 w usłudze Defender w kolejności od 1 do 4

Specjalne podziękowania od MSFTTracyP i zespołu piszącego dokumenty do Giulian Garruba za tę zawartość.