Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Хотя Microsoft 365 поставляется с различными функциями защиты от фишинга, которые включены по умолчанию, вполне возможно, что некоторые фишинговые сообщения по-прежнему могут попасть в почтовые ящики в вашей организации. В этой статье описывается, что можно сделать, чтобы узнать, почему произошло фишинговое сообщение, и что можно сделать, чтобы настроить параметры защиты от фишинга в организации Microsoft 365, не усложняя ситуацию.
Во-первых, прежде всего: работа с любыми скомпрометированных учетных записей и убедитесь, что вы блокируете любые фишинговые сообщения от прохождения
Если учетная запись получателя была скомпрометирована в результате фишингового сообщения, выполните действия, описанные в статье Реагирование на скомпрометированную учетную запись электронной почты в Microsoft 365.
Если ваша подписка включает Microsoft Defender для Office 365, вы можете использовать Office 365 аналитику угроз для идентификации других пользователей, которые также получили фишинговое сообщение. У вас есть дополнительные возможности для блокировки фишинговых сообщений:
- Безопасные ссылки в Microsoft Defender для Office 365
- Безопасные вложения в Microsoft Defender для Office 365
- Политики защиты от фишинга в Microsoft Defender для Office 365. Вы можете временно увеличить пороговое значение фишинга электронной почты в политике с Standard на Агрессивный, Более агрессивный или Самый агрессивный.
Убедитесь, что эти политики работают. Защита безопасных ссылок и безопасных вложений включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита от фишинга имеет политику по умолчанию, которая применяется ко всем получателям, где защита от спуфингов включена по умолчанию. Защита олицетворения не включена в политике, поэтому ее необходимо настроить. Инструкции см. в статье Настройка политик защиты от фишинга в Microsoft Defender для Office 365.
Сообщите о фишинговом сообщении в корпорацию Майкрософт
Отчеты о фишинговых сообщениях полезны при настройке фильтров, которые используются для защиты всех клиентов в Microsoft 365. Инструкции см . в статье Использование страницы Отправки для отправки в корпорацию Майкрософт подозрительных спама, фишинга, URL-адресов, допустимых сообщений электронной почты и вложений.
Проверка заголовков сообщений
Вы можете проверить заголовки фишингового сообщения, чтобы узнать, есть ли что-нибудь, что вы можете сделать самостоятельно, чтобы предотвратить больше фишинговых сообщений. Иными словами, изучение заголовков сообщений может помочь вам определить любые параметры в организации, которые отвечали за разрешение фишинговых сообщений в.
В частности, следует проверка поле заголовка X-Forefront-Antispam-Report в заголовках сообщений для указания пропущенной фильтрации нежелательной почты или фишинга в значении "Вердикт фильтрации нежелательной почты" (SFV). Сообщения, которые пропускают фильтрацию, имеют запись SCL:-1, которая означает, что один из ваших параметров разрешил это сообщение, переопределив спам или фишинговые вердикты, которые были определены службой. Дополнительные сведения о том, как получить заголовки сообщений и полный список всех доступных заголовков сообщений для защиты от нежелательной почты и фишинга, см. в статье Заголовки сообщений защиты от нежелательной почты в Microsoft 365.
Совет
Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.
Анализатор конфигурации также можно использовать для сравнения политик безопасности EOP и Defender для Office 365 с рекомендациями Standard и Strict.
Рекомендации по обеспечению защиты
Ежемесячно запустите оценку безопасности для оценки параметров безопасности вашей организации.
Для сообщений, которые по ошибке помещаются в карантин (ложноположительные срабатывания), или сообщений, разрешенных через (ложноотрицательных), рекомендуется искать эти сообщения в Обозреватель угроз и обнаружения в режиме реального времени. Поиск можно выполнять по отправителю, получателю или идентификатору сообщения. Найдя сообщение, перейдите к сведениям, щелкнув тему. Для сообщения, помещенного в карантин, используйте значение технологии обнаружения , чтобы найти подходящий метод для переопределения. Для разрешенного сообщения просмотрите, какая политика разрешила сообщение.
Email от подделанных отправителей (от адреса сообщения не соответствует источнику сообщения) классифицируется как фишинг в Defender для Office 365. Иногда спуфинг является неопасным, а иногда пользователи не хотят, чтобы сообщения от определенного подделанного отправителя помещали в карантин. Чтобы свести к минимуму влияние на пользователей, периодически просматривайте аналитические сведения о спуфингах, записи для поддельных отправителей в списке разрешенных и заблокированных клиентов и отчет об обнаружении подделок. После проверки разрешенных и заблокированных спуфинированных отправителей и выполнения необходимых переопределений вы можете с уверенностью настроить аналитику спуфинга в политиках защиты от фишинга для карантина подозрительных сообщений вместо их доставки в папку нежелательной Email пользователя.
В Defender для Office 365 можно также использовать страницу аналитики олицетворения по адресу https://security.microsoft.com/impersonationinsight для отслеживания обнаружения олицетворения пользователя или олицетворения домена. Дополнительные сведения см. в статье Анализ олицетворения в Defender для Office 365.
Периодически просматривайте отчет о состоянии защиты от угроз для обнаружения фишинга.
Некоторые клиенты непреднамеренно разрешают фишинговые сообщения, помещая собственные домены в список Разрешить отправителя или Разрешить домен в политиках защиты от нежелательной почты. Хотя эта конфигурация позволяет использовать некоторые допустимые сообщения, она также разрешает вредоносные сообщения, которые обычно блокируются фильтрами спама и (или) фишинга. Вместо разрешения домена следует исправить базовую проблему.
Лучший способ справиться с допустимыми сообщениями, заблокированными Microsoft 365 (ложноположительные срабатывания), которые включают отправителей в вашем домене, заключается в полной и полной настройке записей SPF, DKIM и DMARC в DNS для всех доменов электронной почты.
Убедитесь, что запись SPF идентифицирует все источники электронной почты для отправителей в вашем домене (не забывайте о сторонних службах!).
Используйте жесткий сбой (все), чтобы убедиться, что неавторизованные отправители отклоняются почтовыми системами, настроенными для этого. Вы можете использовать аналитику спуфинга , чтобы определить отправителей, использующих ваш домен, чтобы включить авторизованных сторонних отправителей в запись SPF.
Инструкции по настройке см. в следующих разделах:
По возможности рекомендуется отправлять сообщения электронной почты для домена непосредственно в Microsoft 365. Другими словами, укажите запись MX домена Microsoft 365 на Microsoft 365. Exchange Online Protection (EOP) может обеспечить наилучшую защиту облачных пользователей при доставке почты непосредственно в Microsoft 365. Если необходимо использовать стороннюю систему гигиены электронной почты перед EOP, используйте расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.
Запустите пользователями встроенную кнопку "Отчет" в Outlook. Настройте параметры, сообщаемые пользователем , чтобы отправлять сообщения, сообщаемые пользователем, в почтовый ящик отчетов, в Корпорацию Майкрософт или и в то, и другое. Сообщения, сообщаемые пользователем, затем будут доступны администраторам на вкладке Пользователь сообщается на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user. Администратор может сообщать о сообщениях пользователей или любых сообщениях корпорации Майкрософт, как описано в статье Использование страницы отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложениях электронной почты. Пользователи или администраторы сообщают майкрософт о ложных срабатываниях или ложноотрицательных результатах, так как это помогает обучить наши системы обнаружения.
Многофакторная проверка подлинности (MFA) — это хороший способ предотвращения скомпрометированных учетных записей. Настоятельно рекомендуется включить MFA для всех пользователей. Для поэтапного подхода начните с включения MFA для наиболее конфиденциальных пользователей (администраторов, руководителей и т. д.), прежде чем включать MFA для всех. Инструкции см. в разделе Настройка многофакторной проверки подлинности.
Правила переадресации внешним получателям часто используются злоумышленниками для извлечения данных. Используйте сведения о правилах переадресации почтовых ящиков в Microsoft Secure Score для поиска и даже предотвращения переадресации внешним получателям. Дополнительные сведения см. в статье Устранение рисков для внешних переадресации клиентов с помощью оценки безопасности.
Используйте отчет об автоматических сообщениях для просмотра конкретных сведений о переадресованной электронной почте.