Анализ олицетворения в Defender для Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Олицетворение — это когда отправитель сообщения электронной почты похож на реальный или ожидаемый адрес электронной почты отправителя. Злоумышленники часто используют олицетворенные адреса электронной почты отправителя для фишинга или других типов атак, чтобы получить доверие получателя. Существует два основных типа олицетворения:
- Олицетворение домена: содержит незначительные различия в домене. Например, lila@ćóntoso.com олицетворяет lila@contoso.com.
- Олицетворение пользователя: содержит незначительные различия в псевдониме электронной почты. Например, rnichell@contoso.com олицетворяет michelle@contoso.com.
Олицетворение домена отличается от спуфингом домена, так как олицетворенный домен часто является реальным зарегистрированным доменом, но с намерением обмануть. Сообщения от отправителей в олицетворенных доменах могут проходить регулярные проверки проверки подлинности электронной почты, которые в противном случае идентифицировали бы сообщения как попытки спуфинги (SPF, DKIM и DMARC).
Защита от олицетворения является частью параметров политики защиты от фишинга, которые являются эксклюзивными для Microsoft Defender для Office 365. Дополнительные сведения об этих параметрах см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.
Администраторы могут использовать аналитические сведения олицетворения на портале Microsoft Defender для быстрой идентификации сообщений от олицетворенных отправителей или доменов отправителей, указанных в защите от олицетворения в политиках защиты от фишинга.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing. Чтобы перейти непосредственно на страницу анализа олицетворения , используйте https://security.microsoft.com/impersonationinsight.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
Email & разрешения на совместную работу на портале Microsoft Defender: членство в любой из следующих групп ролей:
- Управление организацией
- Администратор безопасности
- Читатель сведений о безопасности
- Глобальное средство чтения
Microsoft Entra разрешения. Членство в ролях глобального администратора*, администратора безопасности, читателя безопасности или глобального читателя предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Вы включаете и настраиваете защиту олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365. Защита олицетворения не включена по умолчанию. Дополнительные сведения см. в разделах Настройка политик защиты от фишинга в Microsoft Defender для Office 365 и Использование портала Microsoft Defender для назначения стандартных и строгих предустановленных политик безопасности пользователям.
Дополнительные сведения о требованиях к лицензированию см. в разделе Условия лицензирования.
Откройте аналитические сведения об олицетворении на портале Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к Email & Политики совместной работы>& Правила>Политики> Защиты отфишинга угроз в разделе Политики. Или, чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.
На странице Защита от фишинга аналитические сведения олицетворения выглядят следующим образом:
Есть два режима аналитики:
- Режим аналитики. Если защита от олицетворения включена и настроена в любых политиках защиты от фишинга, аналитика показывает количество обнаруженных сообщений от олицетворенных доменов и олицетворенных пользователей (отправителей) за последние семь дней. Показанное число — это общее число всех обнаруженных попыток олицетворения из всех политик защиты от фишинга.
- Что делать, если режим. Если защита от олицетворения не включена и настроена в активных политиках защиты от фишинга, аналитика показывает, сколько сообщений было обнаружено защитой олицетворения за последние семь дней.
Чтобы просмотреть сведения об обнаружении олицетворения, выберите Просмотреть олицетворения в аналитических сведениях олицетворения, чтобы перейти на страницу Аналитика олицетворения .
Просмотр сведений об обнаружении олицетворения домена
Страница Аналитические сведения об олицетворении по адресу https://security.microsoft.com/impersonationinsight доступна при выборе пункта Просмотреть олицетворения в аналитических сведениях олицетворения на странице Защиты от фишинга .
На странице Анализ олицетворения убедитесь, что выбрана вкладка Домены .
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:*
- Домен отправителя: олицетворение домена, который является доменом, который использовался для отправки сообщения электронной почты.
- Количество сообщений: количество сообщений от олицетворения домена отправителя за последние семь дней.
- Тип олицетворения. Это значение показывает обнаруженное расположение олицетворения (например, Домен в адресе).
- Олицетворенные домены: домен, защищенный защитой олицетворения домена, который должен напоминать домен в домене отправителя.
- Тип домена. Это значение — Корпоративный домен для обслуживаемых доменов или Личный домен для личных доменов.
- Политика: политика защиты от фишинга, которая обнаружила олицетворенный домен.
-
Разрешено олицетворить: одно из следующих значений:
- Да: домен был настроен как доверенный домен (исключение для защиты олицетворения) в политике защиты от фишинга, которая обнаружила сообщение. Сообщения из олицетворенного домена были обнаружены, но разрешены.
- Нет. Домен был настроен для защиты от олицетворения в политике защиты от фишинга, которая обнаружила сообщение. Действие для обнаружения олицетворения домена в политике защиты от фишинга выполняется с сообщением.
* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сужает ширину соответствующих столбцов.
- Уменьшение масштаба в веб-браузере.
Чтобы изменить список обнаружений олицетворения домена с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск и разделенный запятыми список значений, чтобы найти определенные обнаружения олицетворения предметной области.
Экспорт используется для экспорта списка обнаружений олицетворения домена в CSV-файл.
Просмотр сведений об обнаружении олицетворения домена
На вкладке Домены на странице Аналитика олицетворения выберите https://security.microsoft.com/impersonationinsight?type=Domainодно из обнаружений олицетворения, щелкнув в любом месте строки, кроме поля проверка.
Во всплывающем окне сведений доступны следующие сведения:
Почему мы поймали это?
Что нужно сделать?
Сводка по домену: домен, который был обнаружен как олицетворение.
Данные Whois: содержит сведения о домене:
- Расположение отправителя
- Дата создания домена
- Дата окончания срока действия домена
- Лицо
Обозреватель исследования. Щелкните ссылку, чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, чтобы получить дополнительные сведения об отправителе.
Email от отправителя. В этом разделе показаны следующие сведения о аналогичных сообщениях от отправителей в домене:
- Date
- Получатель
- Тема
- Sender
- IP-адрес отправителя
- Действие доставки
Совет
Чтобы просмотреть сведения о других записях олицетворения домена, не выходя из всплывающего окна сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Чтобы предотвратить идентификацию отправителей в обнаруженном домене в качестве олицетворения домена, см. следующий подраздел.
Освобождение отправителей в обнаруженном домене от будущих проверок олицетворения домена
На вкладке Домены на странице Анализа олицетворения по адресу https://security.microsoft.com/impersonationinsight?type=Domainвыполните следующие действия, чтобы исключить отправителей в обнаруженном домене от идентификации в качестве олицетворения домена:
Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка.
В открывщемся всплывающем окне сведений используйте для изменения политику выбора олицетворения и добавьте в список разрешенных олицетворений параметры в верхней части всплывающего окна. Эти параметры работают вместе, чтобы добавить домен в список доверенных отправителей и доменов в политике, которая неправильно определила сообщение как олицетворение домена:
Выберите политику защиты от фишинга в раскрывающемся списке. Политика защиты от фишинга, которая отвечала за обнаружение сообщения, отображается в значении Политика на вкладке Домен .
Переместите переключатель в положение в положение включено, чтобы добавить домен в список доверенных отправителей и доменов в выбранной политике.
Чтобы удалить домен из списка надежных отправителей и доменов , переместите переключатель обратно в
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Просмотр сведений об обнаружении олицетворения пользователя
Страница Аналитические сведения об олицетворении по адресу https://security.microsoft.com/impersonationinsight доступна при выборе пункта Просмотреть олицетворения в аналитических сведениях олицетворения на странице Защиты от фишинга .
На странице Аналитика олицетворения выберите вкладку Пользователи .
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:*
- Отправитель: адрес электронной почты олицетворения отправителя, отправителя сообщения электронной почты.
- Количество сообщений: количество сообщений от олицетворения отправителя за последние семь дней.
- Тип олицетворения: например, пользователь в отображаемом имени.
- Олицетворенные пользователи: отображаемое имя и адрес электронной почты отправителя, защищенный защитой олицетворения, который похож на адрес электронной почты отправителя.
- Тип пользователя: тип применяемой защиты (например, защищенный пользователь или аналитика почтовых ящиков).
- Политика: политика защиты от фишинга, которая обнаружила олицетворенного отправителя.
-
Разрешено олицетворить: одно из следующих значений:
- Да: отправитель был настроен в качестве доверенного пользователя (исключение для защиты олицетворения) в политике защиты от фишинга, которая обнаружила сообщение. Сообщения от олицетворенного отправителя были обнаружены, но разрешены.
- Нет. Отправитель был настроен для защиты от олицетворения в политике защиты от фишинга, которая обнаружила сообщение. Действие для обнаружения олицетворения пользователя в политике защиты от фишинга выполняется с сообщением.
* Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сужает ширину соответствующих столбцов.
- Уменьшение масштаба в веб-браузере.
Чтобы изменить список обнаружений олицетворения пользователя с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск и разделенный запятыми список значений, чтобы найти определенные обнаружения олицетворения пользователя.
Экспорт используется для экспорта списка обнаружений олицетворения пользователя в CSV-файл.
Просмотр сведений об обнаружении олицетворения пользователя
На вкладке Пользователи на странице Аналитика олицетворения выберите https://security.microsoft.com/impersonationinsight?type=Userодно из обнаружений олицетворения, щелкнув в любом месте строки, кроме поля проверка.
Во всплывающем окне сведений доступны следующие сведения:
Почему мы поймали это?
Что нужно сделать?
Сводка по отправителям: отправитель, который был обнаружен как олицетворение.
Обозреватель исследования. Щелкните ссылку, чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, чтобы получить дополнительные сведения об отправителе.
Email от отправителя. В этом разделе приведены следующие сведения о аналогичных сообщениях от отправителя:
- Date
- Получатель
- Тема
- Sender
- IP-адрес отправителя
- Действие доставки
Совет
Чтобы просмотреть сведения о других записях олицетворения пользователя, не выходя из всплывающего меню подробностей, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Чтобы предотвратить идентификацию обнаруженного отправителя в качестве олицетворения пользователя, см. следующий подраздел.
Освобождение обнаруженного отправителя от будущих проверок олицетворения пользователя
На вкладке Пользователи на странице Аналитика олицетворения по адресу https://security.microsoft.com/impersonationinsight?type=Userвыполните следующие действия, чтобы исключить обнаруженных отправителей из определения в качестве олицетворения пользователя:
Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка.
В открывщемся всплывающем окне сведений используйте для изменения политику выбора олицетворения и добавьте в список разрешенных олицетворений параметры в верхней части всплывающего окна. Эти параметры работают вместе, чтобы добавить отправителя в список доверенных отправителей и доменов в политике, которая неправильно определила сообщение как олицетворение пользователя:
Выберите политику защиты от фишинга в раскрывающемся списке. Политика защиты от фишинга, которая отвечала за обнаружение сообщения, отображается в значении Политика на вкладке Домен .
Переместите переключатель в положение Вкл., чтобы добавить отправителя в список доверенных отправителей и доменов в выбранной политике.
Чтобы удалить отправителя из списка надежных отправителей и доменов , переместите переключатель обратно в
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.