Fałszowanie szczegółowych informacji wywiadowczych w ramach EOP

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych przychodzące wiadomości e-mail są automatycznie chronione przed fałszowaniem. W ramach ogólnej ochrony organizacji przed wyłudzaniem informacji EOP używa analizy fałszowania . Aby uzyskać więcej informacji, zobacz Ochrona przed fałszowaniem w ramach EOP.

Gdy nadawca podszywa się pod adres e-mail, wydaje się, że jest użytkownikiem w jednej z domen organizacji lub użytkownikiem w domenie zewnętrznej, który wysyła wiadomość e-mail do organizacji. Osoby atakujące, które podszywają się pod nadawców w celu wysyłania spamu lub wiadomości e-mail wyłudzających informacje, muszą zostać zablokowane. Istnieją jednak scenariusze, w których legalni nadawcy podszywają się pod tych nadawców. Przykład:

• Uzasadnione scenariusze fałszowania domen wewnętrznych:

  • Nadawcy innych firm używają Twojej domeny do wysyłania wiadomości e-mail zbiorczych do własnych pracowników na potrzeby ankiet firmowych.
  • Zewnętrzna firma generuje i wysyła w Twoim imieniu reklamy lub aktualizacje produktów.
  • Asystent regularnie musi wysyłać wiadomości e-mail do innej osoby w organizacji.
  • Aplikacja wewnętrzna wysyła powiadomienia e-mail.

• Uzasadnione scenariusze fałszowania domen zewnętrznych:

  • Nadawca znajduje się na liście adresowej (znanej również jako lista dyskusyjna), a lista adresowa przekazuje wiadomość e-mail od oryginalnego nadawcy do wszystkich uczestników na liście adresowej.
  • Firma zewnętrzna wysyła wiadomość e-mail w imieniu innej firmy (na przykład zautomatyzowanego raportu lub firmy zajmującej się oprogramowaniem jako usługą).

Możesz użyć analizy fałszowania w portalu Microsoft Defender, aby szybko zidentyfikować sfałszowanych nadawców, którzy legalnie wysyłają Ci nieuwierzytelnioną wiadomość e-mail (wiadomości z domen, które nie przechodzą testów SPF, DKIM lub DMARC), i ręcznie zezwolić na tych nadawców.

Zezwalając znanym nadawcom na wysyłanie fałszywych wiadomości ze znanych lokalizacji, można zmniejszyć liczbę wyników fałszywie dodatnich (dobra wiadomość e-mail oznaczona jako zła). Monitorując dozwolonych sfałszowanych nadawców, zapewniasz dodatkową warstwę zabezpieczeń, aby zapobiec napływowi niebezpiecznych komunikatów do organizacji.

Podobnie możesz użyć analizy fałszowania, aby przejrzeć sfałszowanych nadawców, którzy byli dozwoloni przez fałszowanie inteligencji i ręcznie zablokować tych nadawców.

W pozostałej części tego artykułu wyjaśniono, jak korzystać ze szczegółowych informacji na temat fałszowania analizy w portalu Microsoft Defender i w programie PowerShell (Exchange Online programu PowerShell dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online; autonomicznym programem PowerShell EOP dla organizacji bez Exchange Online skrzynki pocztowe).

Uwaga

• Tylko sfałszowani nadawcy, którzy zostali wykryci przez fałszywą inteligencję, pojawiają się w szczegółowej analizie dotyczącej fałszowania. Po zastąpieniu werdyktu zezwalania lub blokowania w szczegółowej analizie sfałszowany nadawca staje się ręcznym wpisem zezwalającym lub blokowym, który pojawia się tylko na karcie Sfałszowani nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy pod adresem https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Możesz również ręcznie utworzyć wpisy zezwalania lub blokować dla sfałszowanych nadawców, zanim zostaną wykryte przez analizę fałszowania. Aby uzyskać więcej informacji, zobacz Spoofed senders in the Tenant Allow/Block List (Spoofed senders in the Tenant Allow/Block List).

• Wartości akcjiZezwalaj lub Blokuj w analizie analizy fałszowania odnoszą się do wykrywania fałszowania (niezależnie od tego, czy platforma Microsoft 365 zidentyfikowała komunikat jako sfałszowany, czy nie). Wartość Akcja nie musi mieć wpływu na ogólne filtrowanie komunikatu. Aby na przykład uniknąć wyników fałszywie dodatnich, może zostać dostarczona sfałszowana wiadomość, jeśli okaże się, że nie ma ona złośliwej intencji.

• Na liście Dozwolona/zablokowana dzierżawa zostanie zastąpiona funkcja zasad analizy fałszowania, która była dostępna na stronie zasad ochrony przed spamem w Centrum zgodności usługi Security &.

• Analiza fałszowania pokazuje dane o wartości 7 dni. Polecenie cmdlet Get-SpoofIntelligenceInsight pokazuje dane o wartości 30 dni.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do karty Sfałszowane nadawcy na stronie Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Aby przejść bezpośrednio do strony szczegółowej analizy fałszowania , użyj polecenia https://security.microsoft.com/spoofintelligence.

• Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Dostępne są następujące opcje:

  • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt)..
  • uprawnienia Exchange Online:
    • Zezwalaj lub blokuj sfałszowanych nadawców albo włącz lub wyłącz analizę fałszowania: Członkostwo w jednej z następujących grup ról:
      • Zarządzanie organizacją
      • Administrator zabezpieczeńikonfiguracja tylko do wyświetlania lub zarządzanie organizacją tylko do wyświetlania.
    • Dostęp tylko do odczytu do szczegółowych informacji analizy dotyczącej fałszowania: członkostwo w grupach ról Czytelnik globalny, Czytelnik zabezpieczeń lub Zarządzanie organizacją tylko do wyświetlania .
  • uprawnienia Microsoft Entra: członkostwo w rolach administratora globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

• Aby zapoznać się z naszymi zalecanymi ustawieniami zasad ochrony przed wyłudzaniem informacji, zobacz Ustawienia zasad ochrony przed wyłudzaniem informacji na potrzeby EOP.

• Włączasz i wyłączasz analizę fałszowania w zasadach ochrony przed wyłudzaniem informacji w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender. Analiza fałszowania jest domyślnie włączona. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w ramach EOP lub Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.

• Aby zapoznać się z naszymi zalecanymi ustawieniami analizy podróbek, zobacz Ustawienia zasad ochrony przed wyłudzaniem informacji w usłudze EOP.

Znajdowanie szczegółowych informacji na temat fałszowania analizy w portalu Microsoft Defender

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do Email & Zasady współpracy>& Reguły>zasad> zagrożeńZezwalaj/blokuj Listy dzierżawy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

2. Wybierz kartę Spoofed senders (Fałszowani nadawcy ).

3. Na karcie Spoofed senders (Fałszowani nadawcy ) szczegółowe informacje o fałszowaniu analizy wyglądają następująco:

   

   Szczegółowe informacje mają dwa tryby:

   • Tryb szczegółowych informacji: jeśli włączono analizę fałszowania, szczegółowe informacje pokazują, ile komunikatów zostało wykrytych przez analizę fałszowania w ciągu ostatnich siedmiu dni.
   • Co zrobić, jeśli tryb: Jeśli analiza fałszowania jest wyłączona, szczegółowe informacje pokazują, ile komunikatów zostałoby wykrytych przez analizę fałszowania w ciągu ostatnich siedmiu dni.

Aby wyświetlić informacje na temat wykrywania fałszywych danych wywiadowczych, wybierz pozycję Wyświetl działanie fałszowania w szczegółowych informacjach dotyczących fałszowania analizy, aby przejść do strony Szczegółowe informacje o fałszowaniu analizy .

Wyświetlanie informacji o wykrywaniu fałszowania

Uwaga

Pamiętaj, że na tej stronie pojawiają się tylko sfałszowani nadawcy, którzy zostali wykryci przez fałszywą inteligencję.

Strona Szczegółowe informacje o fałszowaniu danych wywiadowczych pod adresem https://security.microsoft.com/spoofintelligence jest dostępna po wybraniu pozycji Wyświetl działanie fałszowania ze szczegółowych informacji o fałszowaniu na karcie Spoofed senders (Spoofed senders) na stronie Zezwalaj na dzierżawę/Blokuj Listy.

Na stronie Szczegółowe informacje o analizie fałszowania można sortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

• Sfałszowany użytkownik: domena sfałszowanego użytkownika wyświetlana w polu Od w klientach poczty e-mail. Adres Od jest również znany jako 5322.From adres.
• Wysyłanie infrastruktury: znana również jako infrastruktura. Infrastruktura wysyłania jest jedną z następujących wartości:
  • Domena znaleziona w odwrotnym wyszukiwaniu DNS (rekord PTR) adresu IP źródłowego serwera poczty e-mail.
  • Jeśli źródłowy adres IP nie ma rekordu PTR, infrastruktura wysyłania jest identyfikowana jako <źródłowy adres IP>/24 (na przykład 192.168.100.100/24).
  • Zweryfikowana domena DKIM.
• Liczba komunikatów: liczba komunikatów z kombinacji sfałszowanej domeny i infrastruktury wysyłania do organizacji w ciągu ostatnich siedmiu dni.
• Ostatnio widziano: ostatnia data odebrania komunikatu z infrastruktury wysyłania zawierającej sfałszowaną domenę.
• Typ fałszowania: Jedna z następujących wartości:
  • Wewnętrzne: sfałszowany nadawca znajduje się w domenie należącej do Organizacji ( akceptowana domena).
  • Zewnętrzne: sfałszowany nadawca znajduje się w domenie zewnętrznej.
• Akcja: Ta wartość to Dozwolone lub Zablokowane:
  • Dozwolone: Domena nie powiodła się jawne uwierzytelnianie poczty e-mail sprawdza SPF, DKIM i DMARC. Jednak domena przeszła nasze niejawne testy uwierzytelniania poczty e-mail (uwierzytelnianie złożone). W związku z tym nie podjęto żadnych działań chroniących przed fałszowaniem wiadomości.
  • Zablokowane: komunikaty z kombinacji sfałszowanej domeny i infrastruktury wysyłania są oznaczone jako złe przez fałszowanie inteligencji. Akcja wykonywana w przypadku sfałszowanych komunikatów ze złośliwą intencją jest kontrolowana przez standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń, domyślne zasady ochrony przed wyłudzaniem informacji lub niestandardowe zasady ochrony przed wyłudzaniem informacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Aby zmienić listę sfałszowanych nadawców z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

• Typ fałszowania: Dostępne wartości to Wewnętrzne i Zewnętrzne.
• Akcja: Dostępne wartości to Zezwalaj i Blokuj

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Search i odpowiedniej wartości, aby znaleźć określone wpisy.

Użyj opcji Eksportuj , aby wyeksportować listę wykrywania fałszowania do pliku CSV.

Wyświetlanie szczegółów dotyczących wykrywania fałszowania

Po wybraniu wykrywania fałszowania z listy przez kliknięcie dowolnego miejsca w wierszu innym niż pole wyboru obok pierwszej kolumny zostanie otwarte okno wysuwane szczegółów zawierające następujące informacje:

• Dlaczego to złapaliśmy? sekcja: Dlaczego wykryliśmy tego nadawcę jako podróbkę i co możesz zrobić, aby uzyskać więcej informacji.

• Sekcja podsumowania domeny: zawiera te same informacje ze strony głównej analizy analizy fałszowania.

• Sekcja danych WhoIs: informacje techniczne dotyczące domeny nadawcy.

• Sekcja badania Eksploratora: w Ochrona usługi Office 365 w usłudze Defender organizacji ta sekcja zawiera link do otwierania Eksploratora zagrożeń, aby wyświetlić dodatkowe szczegóły dotyczące nadawcy na karcie Phish.

• Podobna sekcja wiadomości e-mail : Zawiera następujące informacje o wykrywaniu fałszowania:

  • Data
  • Temat
  • Odbiorcy
  • Nadawcy
  • Adres IP nadawcy

  Wybierz pozycję Dostosuj kolumny , aby usunąć wyświetlane kolumny. Po zakończeniu wybierz pozycję Zastosuj.

Porada

Aby wyświetlić szczegółowe informacje o innych wpisach bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

Aby zmienić wykrywanie fałszowania z Zezwalaj na blok lub odwrotnie, zobacz następną sekcję.

Zastępowanie werdyktu analizy fałszowania

Na stronie Spoof intelligence insight at https://security.microsoft.com/spoofintelligence, użyj jednej z następujących metod, aby zastąpić werdykt analizy fałszowania:

• Wybierz co najmniej jeden wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny.

  1. Wybierz wyświetloną akcję Akcje zbiorcze .
  2. W wyświetlonym oknie wysuwowym Akcje zbiorcze wybierz pozycję Zezwalaj na fałszowanie lub Blokuj fałszowanie, a następnie wybierz pozycję Zastosuj.

• Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru.

  W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Zezwalaj na fałszowanie lub Blokuj fałszowanie w górnej części wysuwanego menu, a następnie wybierz pozycję Zastosuj.

Po powrocie na stronę Analizy fałszowania wpis zostanie usunięty z listy i dodany do karty Spoofed senders (Spoofed senders) na stronie Zezwalaj na dzierżawę/Blokuj Listy pod adresem https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Informacje o dozwolonych sfałszowanych nadawcach

Komunikaty od dozwolonego sfałszowanego nadawcy (automatycznie wykryte lub ręcznie skonfigurowane) są dozwolone tylko przy użyciu kombinacji sfałszowanej domeny i infrastruktury wysyłania. Na przykład następujący sfałszowany nadawca może podszywać się pod:

• Domena: gmail.com
• Infrastruktura: tms.mx.com

Tylko wiadomości e-mail z tej pary infrastruktury/wysyłania są dozwolone do fałszowania. Inni nadawcy próbujący podszyć gmail.com nie są automatycznie dozwoloni. Komunikaty od nadawców w innych domenach, które pochodzą z tms.mx.com, są nadal sprawdzane przez analizę fałszowania i mogą być blokowane.

Korzystanie z analizy fałszowania w programie Exchange Online programie PowerShell lub autonomicznym programie PowerShell EOP

W programie PowerShell polecenie cmdlet Get-SpoofIntelligenceInsight służy do wyświetlania dozwolonych i zablokowanych sfałszowanych nadawców wykrytych przez analizę fałszowania. Aby ręcznie zezwolić lub zablokować sfałszowanych nadawców, należy użyć polecenia cmdlet New-TenantAllowBlockListSpoofItems . Aby uzyskać więcej informacji, zobacz Używanie programu PowerShell do tworzenia wpisów zezwalania na sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżawców oraz tworzenie wpisów blokowych dla sfałszowanych nadawców na liście dozwolonych/zablokowanych dzierżawców.

Aby wyświetlić informacje w analizie analizy fałszowania, uruchom następujące polecenie:

Get-SpoofIntelligenceInsight

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-SpoofIntelligenceInsight.

Inne sposoby zarządzania fałszowaniem i wyłudzaniem informacji

Należy zachować staranność w zakresie fałszowania i wyłudzania informacji. Poniżej przedstawiono powiązane sposoby sprawdzania nadawców, którzy podszywają się pod Twoją domenę, i zapobiegania ich uszkodzeniu organizacji:

• Sprawdź raport dotyczący fałszowania poczty. Ten raport często służy do wyświetlania sfałszowanych nadawców i ułatwiania zarządzania nimi. Aby uzyskać informacje, zobacz Raport wykrywania fałszowania.

• Przejrzyj konfigurację SPF, DKIM i DMARC. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • uwierzytelnianie Email na platformie Microsoft 365
  • Konfigurowanie platformy SPF w celu zapobiegania spoofingowi
  • Sprawdzanie poprawności wychodzących wiadomości e-mail wysyłanych z domeny niestandardowej za pomocą funkcji DKIM
  • Sprawdzanie poprawności poczty e-mail przy użyciu usługi DMARC
  • Konfigurowanie zaufanych uszczelniaczy ARC