適用於 Office 365 的 Microsoft Defender 中的逐步威脅防護

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

適用於 Office 365 的 Microsoft Defender 保護或篩選堆疊可以分成四個階段，如本文所示。 一般而言，內送郵件會在傳遞之前通過所有這些階段，但電子郵件所採用的實際路徑受限於組織的 適用於 Office 365 的 Defender 設定。

提示

在本文結束之前，請持續留待微調，以取得所有 4 個 適用於 Office 365 的 Defender 保護階段的統一圖形！

階段 1 - Edge Protection

可惜的是，曾經 重要的 Edge區塊現在對於不良執行者而言相當容易克服。 經過一段時間后，這裡會封鎖較少的流量，但它仍然是堆疊的重要部分。

邊緣區塊的設計是自動的。 如果為誤判，發件者會收到通知，並告知如何解決其問題。 來自信譽有限之信任合作夥伴的連接器，可確保在將新端點上線時可提供交付性或暫時覆寫。

1. 網路節流會限制一組特定基礎結構可提交的訊息數目，以保護 Office 365 基礎結構和客戶免於遭受拒絕服務 (DOS) 攻擊。

2. IP 信譽和節流 會封鎖從已知不正確的連線 IP 位址傳送的訊息。 如果特定IP在短時間內傳送許多訊息，則會進行節流。

3. 網域信譽 會封鎖從已知的不良網域傳送的任何訊息。

4. 目錄型邊緣篩選 會阻止嘗試透過 SMTP 搜集組織的目錄資訊。

5. 退信攻擊偵測 可防止組織透過無效的未傳遞回報 （NDR） 受到攻擊。

6. 即使流量在到達 Office 365 之前通過另一個裝置，連接器的增強篩選仍會保留驗證資訊。 這可改善篩選堆疊精確度，包括啟發式叢集、反詐騙和防網路釣魚機器學習模型，即使在複雜或混合式路由案例中也一樣。

階段 2 - 寄件者智慧

發件者情報中的功能對於攔截垃圾郵件、大量、模擬和未經授權的詐騙訊息非常重要，而且也會影響網路釣魚偵測。 這些功能大部分都可個別設定。

1. 帳戶入侵偵測 觸發程式和警示會在帳戶具有異常行為時引發，與入侵一致。 在某些情況下，用戶帳戶會遭到封鎖，並防止傳送任何進一步的電子郵件訊息，直到組織的安全性作業小組解決此問題為止。

2. Email 驗證牽涉到客戶在雲端中設定的方法和方法，旨在確保發件者獲得授權、驗證郵件寄件者。 這些方法可防止詐騙。

   • SPF 可以根據 DNS TXT 記錄拒絕郵件，這些記錄會列出允許代表組織傳送郵件的 IP 位址和伺服器。
   • DKIM 提供可驗證發件者加密的簽章。
   • DMARC 可讓系統管理員在其網域中視需要標記 SPF 和 DKIM，並在這兩種技術的結果之間強制保持一致。
   • ARC 建置在 DMARC 上，以在記錄驗證鏈結時處理郵件清單中的轉寄。

3. 詐騙情報 能夠篩選允許「詐騙」的人員 (也就是代表另一個帳戶傳送郵件的人員，或從模擬組織或已知外部網域的惡意發件者) 寄送郵件清單。 它會將合法的「代表」郵件與詐騙傳遞垃圾郵件和網路釣魚郵件的發件人分開。

   組織內部詐騙情報 偵測並阻止來自組織內部網域的詐騙嘗試。

4. 跨網域詐騙情報 會偵測並阻止來自組織外部網域的詐騙嘗試。

5. 大量篩選 可讓系統管理員 (BCL) 設定大量信賴等級，以指出訊息是否從大量寄件者傳送。 系統管理員可以使用反垃圾郵件原則中的大量滑桿來決定要視為垃圾郵件的大量郵件層級。

6. 信箱情報 學習標準使用者電子郵件行為。 它會利用使用者的通訊圖表來偵測傳送者何時只會顯示為使用者通常與之通訊，但實際上是惡意的人員。 這個方法會偵測模擬。

7. 信箱智慧模擬 會根據每個使用者的個別寄件人對應，啟用或停用增強的模擬結果。 啟用時，此功能有助於識別模擬。

8. 用戶模擬 可讓系統管理員建立可能被模擬 如果郵件送達時發件者似乎只有與受保護之高值帳戶相同的名稱和位址，則會標示或標記郵件。 (例如， ) 的 trα cye@contoso.comtracye@contoso.com 。

9. 網域模擬 會偵測類似於收件者網域，且嘗試看起來像是內部網域的網域。 例如，這個模擬tracye@liw α re.com。tracye@litware.com

階段 3 - 內容篩選

在這個階段中，篩選堆疊會開始處理郵件的特定內容，包括其超連結和附件。

1. 傳輸規則 (也稱為郵件流程規則或 Exchange 傳輸規則) 允許系統管理員在符合相同範圍的郵件條件時，採取各種不同的動作。 所有流經貴組織的郵件都會根據啟用的郵件流程規則/傳輸規則進行評估。

2. Microsoft Defender 防病毒軟體和第三方防病毒軟體引擎用來偵測附件中的所有已知惡意代碼。

3. 防病毒 (AV) 引擎會使用真正的類型比對來偵測檔類型，不論擴展名 (例如， exe 重新命名 txt 為 的檔案都會偵測為 exe 檔案) 。 這項功能可讓 類型封鎖 (也稱為一般附件篩選) ，以正確封鎖系統管理員所指定的檔類型。 如需支援的檔類型清單，請參閱 一般附件篩選條件中的 True 類型比對。

4. 每當 適用於 Office 365 的 Microsoft Defender 偵測到惡意附件時，檔案的哈希及其使用中內容的哈希都會新增至 Exchange Online Protection (EOP) 信譽。 附件信譽封鎖會透過 MSAV 雲端呼叫，封鎖所有 Office 365 和端點上的檔案。

5. 探索叢集 可以依據傳遞探索判斷檔案是否可疑。 找到可疑的附件時，整個活動會暫停，而且檔案會沙盒化。 如果檔案發現為惡意，則會封鎖整個活動。

6. 機器學習模型 對郵件的標頭、內文內容和 URL 採取行動，以偵測網路釣魚嘗試。

7. Microsoft 使用 URL 沙箱和 URL 信譽從 URL 信譽封鎖中的第三方摘要判斷信譽，來封鎖任何具有已知惡意 URL 的訊息。

8. 內容探索 可以使用機器學習模型，根據郵件內文的結構和文字頻率來偵測可疑郵件。

9. 安全附件沙盒會為 適用於 Office 365 的 Defender 客戶的每個附件，使用動態分析來偵測從未曾看過的威脅。

10. 連結內容引爆 將電子郵件中檔案連結的每一個 URL 視為附件，在傳遞時以非同步方式沙箱化檔案。

11. 上游防網路釣魚技術發現郵件或 URL 可疑時, 會發生 URL 引爆。 URL 擷取沙箱會在傳遞時將訊息中的URL設為沙箱。

階段 4 - 傳遞后保護

最後一個階段會在郵件或檔案傳遞之後進行，在 Microsoft Teams 等用戶端中出現的各種信箱和檔案和連結中執行動作。

1. 安全連結 是適用於 Office 365 的 Microsoft Defender 的點擊時保護。 每個訊息中的每個 URL 都會包裝成指向 Microsoft 安全鏈接伺服器。 按兩下 URL 時，系統會在使用者重新導向至目標網站之前，針對最新的信譽進行檢查。 URL 會以異步方式進行沙盒化，以更新其信譽。

2. 零時差自動清除 (網路釣魚的 ZAP) 會追溯偵測並消除已傳遞至 Exchange Online 信箱的惡意網路釣魚訊息。

3. 適用於惡意代碼的 ZAP 會追溯偵測並中和已傳遞至 Exchange Online 信箱的惡意代碼訊息。

4. 適用於垃圾郵件的 ZAP 會追溯偵測並消除已傳遞至 Exchange Online 信箱的惡意垃圾郵件。

5. 營銷活動檢視 可讓系統管理員檢視攻擊的全貌，速度更快且更完整，比任何小組都不需要自動化。 Microsoft 會在整個服務中運用大量的反網路釣魚、反垃圾郵件和反惡意代碼數據，協助識別活動，然後讓系統管理員從頭到尾調查活動，包括目標、影響和流程，這些數據也可在可下載的行銷活動寫入中使用。

6. [報表訊息] 載入宏可讓用戶輕鬆地回報良好電子郵件 (誤判，誤) 或誤判 (錯誤電子郵件標示為良好) 給 Microsoft，以供進一步分析。

7. Office 用戶端的安全連結會在支援的 Office 應用程式內，原生提供相同的安全連結點選時間保護，例如 Word、PowerPoint 和 Excel。

8. OneDrive、SharePoint 和 Teams 的保護可針對 OneDrive、SharePoint 和 Microsoft Teams 內部的惡意檔案提供相同的安全附件保護。

9. 在傳遞後選取指向檔案的 URL 時， 鏈接的內容中斷 會顯示警告頁面，直到檔案的沙箱處理完成，且找到安全的 URL 為止。

篩選堆棧圖表

最終圖表 (與撰寫圖表的所有部分一樣，) 可能會 隨著產品成長和開發而變更。 為此頁面加上書 籤，並 使用您在更新之後需要詢問時，會在底部找到的意見反應選項。 針對您的記錄，這是所有階段依序排列的堆疊：

特別感謝 MSFTTracyP 和檔撰寫小組到 Giulian Garruba 取得此內容。