Microsoft Defender for Office 365 中的威胁防护步骤

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

Microsoft Defender for Office 365保护或筛选堆栈可以分为四个阶段,如本文所述。 一般来说,传入邮件在传递之前会经过所有这些阶段,但电子邮件的实际路径取决于组织的Defender for Office 365配置。

提示

请继续关注本文末尾,了解Defender for Office 365保护的所有 4 个阶段的一图形!

阶段 1 - 边缘保护

遗憾的是,曾经 至关重要 的边缘块现在相对容易被恶意执行组件所克服。 随着时间的推移,此处阻止的流量会减少,但它仍然是堆栈的重要组成部分。

边缘块设计为自动。 如果是误报,则会通知发件人并告知如何解决其问题。 信誉有限的受信任合作伙伴的连接器可确保在加入新终结点时可交付性或临时替代。

Defender for Office 365中的阶段 1 筛选

  1. 网络限制通过限制一组特定基础结构可以提交的消息数,保护Office 365基础结构和客户免受拒绝服务 (DOS) 攻击。

  2. IP 信誉和限制 阻止从已知的错误连接 IP 地址发送的消息。 如果特定 IP 在短时间内发送了许多消息,它们将受到限制。

  3. 域信誉 阻止从已知错误的域发送的任何消息。

  4. 基于目录的边缘筛选 阻止尝试通过 SMTP 获取组织的目录信息。

  5. 反散点检测 可以防止组织受到无效的未送达报告 (NDR) 的攻击。

  6. 连接器的增强筛选可以保留身份验证信息,即使流量在到达Office 365之前通过另一台设备。 这可以提高筛选堆栈的准确性,包括启发式聚类分析、反欺骗和防钓鱼机器学习模型,即使在复杂或混合路由方案中也是如此。

阶段 2 - 发件人智能

发件人智能中的功能对于捕获垃圾邮件、批量邮件、模拟邮件和未经授权的欺骗邮件至关重要,并且也是网络钓鱼检测的考虑因素。 其中大多数功能可单独配置。

Defender for Office 365中筛选的第 2 阶段是发送方智能

  1. 当帐户 具有异常行为(与泄露一致)时,会引发帐户泄露检测触发器和警报。 在某些情况下,在组织的安全运营团队解决问题之前,会阻止用户帐户发送任何进一步的电子邮件。

  2. Email身份验证涉及客户配置的方法和在云中设置的方法,旨在确保发件人获得授权、真实的邮件发送者。 这些方法可抵御欺骗。

    • SPF 可以根据 DNS TXT 记录拒绝邮件,这些记录列出了允许代表组织发送邮件的 IP 地址和服务器。
    • DKIM 提供对发件人进行身份验证的加密签名。
    • DMARC 允许管理员在其域中将 SPF 和 DKIM 标记为必需,并强制这两种技术的结果之间的一致性。
    • ARC 基于 DMARC 构建,用于在记录身份验证链时处理邮件列表中的转发。

  3. 欺骗智能 能够筛选允许“欺骗” (即代表其他帐户发送邮件的人,或转发来自模仿组织或已知外部域的恶意发件人的邮件列表) 。 它将合法“代表”邮件与欺骗发送垃圾邮件和钓鱼邮件的发件人分开。

    组织内部欺骗智能 检测和阻止来自组织内域的欺骗尝试。

  4. 跨域欺骗智能 检测和阻止来自组织外部域的欺骗尝试。

  5. 通过批量筛选 ,管理员可以 (BCL 配置批量置信度级别,) 指示消息是否从批量发件人发送。 管理员可以使用反垃圾邮件策略中的批量滑块来确定将批量邮件视为垃圾邮件的级别。

  6. 邮箱智能 从标准用户电子邮件行为中学习。 它利用用户的通信图来检测发送方似乎只是用户通常与之通信但实际上是恶意的人。 此方法检测模拟。

  7. 邮箱智能模拟 根据每个用户的单个发件人映射启用或禁用增强的模拟结果。 启用后,此功能有助于识别模拟。

  8. 用户模拟 允许管理员创建可能要模拟的高价值目标列表。 如果邮件到达时发件人看起来仅具有与受保护的高值帐户相同的名称和地址,则会标记邮件或标记邮件。 (例如,) 的 tracye@contoso.comtrα cye@contoso.com

  9. 域模拟 会检测类似于收件人域且尝试看起来像内部域的域。 例如,此模拟tracye@liw α re.comtracye@litware.com

阶段 3 - 内容筛选

在此阶段中,筛选堆栈开始处理邮件的特定内容,包括其超链接和附件。

MDO中的第 3 阶段筛选是内容筛选

  1. 传输规则 (也称为邮件流规则或 Exchange 传输规则) 允许管理员在满足同样广泛的邮件条件时采取各种操作。 流经组织的所有邮件都根据启用的邮件流规则/传输规则进行评估。

  2. Microsoft Defender防病毒和第三方防病毒引擎用于检测附件中的所有已知恶意软件。

  3. 防病毒 (AV) 引擎使用真实类型匹配来检测文件类型,而不考虑文件扩展名 (例如, exe 重命名为 txt 的文件将检测为 exe 文件) 。 此功能允许 类型阻止 (也称为通用附件筛选器) 正确阻止管理员指定的文件类型。 有关支持的文件类型列表,请参阅 常见附件筛选器中的 True 类型匹配

  4. 每当Microsoft Defender for Office 365检测到恶意附件时,文件的哈希及其活动内容的哈希将添加到Exchange Online Protection (EOP) 信誉。 附件信誉阻止通过 MSAV 云调用在所有Office 365和终结点上阻止该文件。

  5. 启发式聚类分析 可以根据传递启发确定文件可疑。 发现可疑附件后,整个市场活动将暂停,并且文件已沙盒化。 如果发现该文件是恶意的,则会阻止整个市场活动。

  6. 机器学习模型 作用于邮件的标头、正文内容和 URL,以检测网络钓鱼尝试。

  7. Microsoft 使用 URL 沙盒中的信誉确定以及 URL 信誉阻止中来自第三方源的 URL 信誉来阻止具有已知恶意 URL 的任何消息。

  8. 内容启发 可以使用机器学习模型根据消息正文中的结构和单词频率检测出可疑消息。

  9. 安全附件为Defender for Office 365客户对每个附件进行沙盒处理,使用动态分析检测前所未有的威胁。

  10. 链接内容爆炸 将电子邮件中链接到文件的每个 URL 作为附件处理,在发送时对文件进行异步沙盒处理。

  11. 当上游防钓鱼技术发现消息或 URL 可疑时,会发生 URL 爆炸。 URL 引爆在传递时对邮件中的 URL 进行沙盒处理。

阶段 4 - 交付后保护

最后一个阶段发生在邮件或文件传递之后,处理各种邮箱中的邮件以及出现在客户端(如 Microsoft Teams)中的文件和链接。

Defender for Office 365中的阶段 4 筛选是交付后保护

  1. 安全链接 是 Defender for Office 365 的点击时间保护。 每条消息中的每个 URL 都包装为指向 Microsoft 安全链接服务器。 单击某个 URL 时,会根据最新的信誉检查该 URL,然后再将用户重定向到目标站点。 URL 以异步沙盒方式进行,以更新其信誉。

  2. 零小时自动清除 (用于钓鱼的 ZAP) 可追溯性地检测并消除已传递到Exchange Online邮箱的恶意网络钓鱼邮件。

  3. ZAP for malware 可追溯性地检测并消除已传递到Exchange Online邮箱的恶意恶意软件邮件。

  4. ZAP for spam 可追溯性地检测并消除已传递到Exchange Online邮箱的恶意垃圾邮件。

  5. 市场活动视图 使管理员能够比任何没有自动化的团队更快速、更完整地了解攻击的大局。 Microsoft 在整个服务中利用大量的反网络钓鱼、反垃圾邮件和反恶意软件数据来帮助识别市场活动,然后允许管理员从头到尾对其进行调查,包括目标、影响和流,这些数据也可用于可下载的活动撰写。

  6. 报告邮件加载项 使用户能够轻松地报告误报 (良好的电子邮件,错误地标记为 ) 或误报, (错误电子邮件标记为 良好) Microsoft 以供进一步分析。

  7. Office 客户端的安全链接在受支持的 Office 应用(如 Word、PowerPoint 和 Excel)内本机提供相同的安全链接点击时间保护。

  8. OneDrive、SharePoint 和 Teams 保护在 OneDrive、SharePoint 和 Microsoft Teams 内部原生提供针对恶意文件的相同安全附件保护。

  9. 当在交付后选择指向文件的 URL 时, 链接内容引爆 会显示警告页,直到该文件的沙盒完成,并且该 URL 被发现是安全的。

筛选堆栈关系图

最终的关系图 (与构成图表的所有部分一样,) 随着 产品的成长和发展而变化。 为此页面添加书签,如果需要在更新后询问,请使用底部的 反馈 选项。 对于记录,这是按顺序排列所有阶段的堆栈:

按从 1 到 4 的顺序按Defender for Office 365筛选的所有阶段

特别感谢 MSFTTracyP 和文档编写团队向朱利安·加鲁巴提供此内容