Настройка защиты от фишинга

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Хотя Microsoft 365 поставляется с различными функциями защиты от фишинга, которые включены по умолчанию, вполне возможно, что некоторые фишинговые сообщения по-прежнему могут попасть в почтовые ящики в вашей организации. В этой статье описывается, что можно сделать, чтобы узнать, почему произошло фишинговое сообщение, и что можно сделать, чтобы настроить параметры защиты от фишинга в организации Microsoft 365, не усложняя ситуацию.

Во-первых, прежде всего: работа с любыми скомпрометированных учетных записей и убедитесь, что вы блокируете любые фишинговые сообщения от прохождения

Если учетная запись получателя была скомпрометирована в результате фишингового сообщения, выполните действия, описанные в статье Реагирование на скомпрометированную учетную запись электронной почты в Microsoft 365.

Если ваша подписка включает Microsoft Defender для Office 365, вы можете использовать Office 365 аналитику угроз для идентификации других пользователей, которые также получили фишинговое сообщение. У вас есть дополнительные возможности для блокировки фишинговых сообщений:

• Безопасные ссылки в Microsoft Defender для Office 365
• Безопасные вложения в Microsoft Defender для Office 365
• Политики защиты от фишинга в Microsoft Defender для Office 365. Вы можете временно увеличить пороговые значения расширенного фишинга в политике со уровня "Стандартный" на "Агрессивный", "Более агрессивный" или "Самый агрессивный".

Убедитесь, что эти политики работают. Защита безопасных ссылок и безопасных вложений включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита от фишинга имеет политику по умолчанию, которая применяется ко всем получателям, где защита от спуфингов включена по умолчанию. Защита олицетворения не включена в политике, поэтому ее необходимо настроить. Инструкции см. в статье Настройка политик защиты от фишинга в Microsoft Defender для Office 365.

Сообщите о фишинговом сообщении в корпорацию Майкрософт

Отчеты о фишинговых сообщениях полезны при настройке фильтров, которые используются для защиты всех клиентов в Microsoft 365. Инструкции см . в статье Использование страницы Отправки для отправки в корпорацию Майкрософт подозрительных спама, фишинга, URL-адресов, допустимых сообщений электронной почты и вложений.

Проверка заголовков сообщений

Вы можете проверить заголовки фишингового сообщения, чтобы узнать, есть ли что-нибудь, что вы можете сделать самостоятельно, чтобы предотвратить больше фишинговых сообщений. Иными словами, изучение заголовков сообщений может помочь вам определить любые параметры в организации, которые отвечали за разрешение фишинговых сообщений в.

В частности, следует проверка поле заголовка X-Forefront-Antispam-Report в заголовках сообщений для указания пропущенной фильтрации нежелательной почты или фишинга в значении "Вердикт фильтрации нежелательной почты" (SFV). Сообщения, которые пропускают фильтрацию, имеют запись SCL:-1, которая означает, что один из ваших параметров разрешил это сообщение, переопределив спам или фишинговые вердикты, которые были определены службой. Дополнительные сведения о том, как получить заголовки сообщений и полный список всех доступных заголовков сообщений для защиты от нежелательной почты и фишинга, см. в статье Заголовки сообщений защиты от нежелательной почты в Microsoft 365.

Совет

Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.

Вы также можете использовать анализатор конфигурации для сравнения политик безопасности EOP и Defender для Office 365 с рекомендациями Standard и Strict.

Рекомендации по обеспечению защиты

• Ежемесячно запустите оценку безопасности для оценки параметров безопасности вашей организации.

• Для сообщений, которые по ошибке помещаются в карантин (ложноположительные срабатывания), или сообщений, разрешенных через (ложноотрицательных), рекомендуется искать эти сообщения в Обозреватель угроз и обнаружения в режиме реального времени. Поиск можно выполнять по отправителю, получателю или идентификатору сообщения. Найдя сообщение, перейдите к сведениям, щелкнув тему. Для сообщения, помещенного в карантин, посмотрите, что такое "технология обнаружения", чтобы можно было использовать соответствующий метод для переопределения. Чтобы получить разрешенное сообщение, посмотрите, какая политика разрешила это сообщение.

• Email от подделанных отправителей (от адреса сообщения не соответствует источнику сообщения) классифицируется как фишинг в Defender для Office 365. Иногда спуфинг является неопасным, а иногда пользователи не хотят, чтобы сообщения от определенного подделанного отправителя помещали в карантин. Чтобы свести к минимуму влияние на пользователей, периодически просматривайте аналитические сведения о спуфингах, записи для поддельных отправителей в списке разрешенных и заблокированных клиентов и отчет об обнаружении подделок. После проверки разрешенных и заблокированных спуфинированных отправителей и выполнения необходимых переопределений вы можете с уверенностью настроить аналитику спуфинга в политиках защиты от фишинга для карантина подозрительных сообщений вместо их доставки в папку нежелательной Email пользователя.

• В Defender для Office 365 можно также использовать страницу аналитики олицетворения по адресу https://security.microsoft.com/impersonationinsight для отслеживания обнаружения олицетворения пользователя или олицетворения домена. Дополнительные сведения см. в статье Анализ олицетворения в Defender для Office 365.

• Периодически просматривайте отчет о состоянии защиты от угроз для обнаружения фишинга.

• Некоторые клиенты непреднамеренно разрешают фишинговые сообщения, помещая собственные домены в список Разрешить отправителя или Разрешить домен в политиках защиты от нежелательной почты. Хотя эта конфигурация позволяет использовать некоторые допустимые сообщения, она также разрешает вредоносные сообщения, которые обычно блокируются фильтрами спама и (или) фишинга. Вместо разрешения домена следует исправить базовую проблему.

  Лучший способ справиться с допустимыми сообщениями, заблокированными Microsoft 365 (ложноположительные срабатывания), которые включают отправителей в вашем домене, заключается в полной и полной настройке записей SPF, DKIM и DMARC в DNS для всех доменов электронной почты.

  • Убедитесь, что запись SPF идентифицирует все источники электронной почты для отправителей в вашем домене (не забывайте о сторонних службах!).

  • Используйте жесткий сбой (все), чтобы убедиться, что неавторизованные отправители отклоняются почтовыми системами, настроенными для этого. Вы можете использовать аналитику спуфинга , чтобы определить отправителей, использующих ваш домен, чтобы включить авторизованных сторонних отправителей в запись SPF.

  Инструкции по настройке см. в следующих разделах:

  • Настройка SPF для предотвращения спуфинга
  • Используйте DKIM для проверки исходящей электронной почты, отправленной с вашего пользовательского домена
  • Использование протокола DMARC для проверки электронной почты

• По возможности рекомендуется отправлять сообщения электронной почты для домена непосредственно в Microsoft 365. Другими словами, укажите запись MX домена Microsoft 365 на Microsoft 365. Exchange Online Protection (EOP) может обеспечить наилучшую защиту облачных пользователей при доставке почты непосредственно в Microsoft 365. Если необходимо использовать стороннюю систему гигиены электронной почты перед EOP, используйте расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.

• Предоставьте пользователям использовать встроенную кнопку "Отчет" в Outlook в Интернете или развернуть надстройки Microsoft Report Message или Report Phishing в вашей организации. Настройте параметры, сообщаемые пользователем , чтобы отправлять сообщения, сообщаемые пользователем, в почтовый ящик отчетов, в Корпорацию Майкрософт или и в то, и другое. Сообщения, сообщаемые пользователем, затем будут доступны администраторам на вкладке Пользователь сообщается на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user. Администратор может сообщать о сообщениях пользователей или любых сообщениях корпорации Майкрософт, как описано в статье Использование страницы отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложениях электронной почты. Пользователи или администраторы сообщают майкрософт о ложных срабатываниях или ложноотрицательных результатах, так как это помогает обучить наши системы обнаружения.

• Многофакторная проверка подлинности (MFA) — это хороший способ предотвращения скомпрометированных учетных записей. Настоятельно рекомендуется включить MFA для всех пользователей. Для поэтапного подхода начните с включения MFA для наиболее конфиденциальных пользователей (администраторов, руководителей и т. д.), прежде чем включать MFA для всех. Инструкции см. в разделе Настройка многофакторной проверки подлинности.

• Правила переадресации внешним получателям часто используются злоумышленниками для извлечения данных. Используйте сведения о правилах переадресации почтовых ящиков в Microsoft Secure Score для поиска и даже предотвращения переадресации внешним получателям. Дополнительные сведения см. в статье Устранение рисков для внешних переадресации клиентов с помощью оценки безопасности.

  Используйте отчет об автоматических сообщениях для просмотра конкретных сведений о переадресованной электронной почте.