Share via

Podrobná ochrana před hrozbami v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Ochranu Microsoft Defender pro Office 365 nebo zásobník filtrování je možné rozdělit do čtyř fází, jak je uvedeno v tomto článku. Obecně řečeno, příchozí pošta prochází všemi těmito fázemi před doručením, ale skutečná cesta e-mailu podléhá konfiguraci Defender pro Office 365 organizace.

Tip

Zůstaňte naladěni až do konce tohoto článku, kde najdete jednotnou grafiku všech 4 fází ochrany Defender pro Office 365!

Fáze 1 – Ochrana edge

Bloky Edge, které byly kdysi kritické , jsou bohužel poměrně jednoduché, aby je mohli špatní aktéři překonat. V průběhu času se zde zablokuje méně provozu, ale zůstává důležitou součástí zásobníku.

Bloky Edge jsou navržené tak, aby byly automatické. V případě falešně pozitivních výsledků jsou odesílatelé upozorněni a upozorněni, jak mají problém vyřešit. Konektory od důvěryhodných partnerů s omezenou reputací můžou zajistit dostupnost dodávek nebo dočasné přepsání při onboardingu nových koncových bodů.

Filtrování fáze 1 v Defender pro Office 365

  1. Omezování sítě chrání Office 365 infrastrukturu a zákazníky před útoky DOS (Denial of Service), protože omezuje počet zpráv, které může odeslat konkrétní sada infrastruktury.

  2. Reputace ip adres a omezování blokují zprávy odesílané ze známých chybných ip adres pro připojení. Pokud konkrétní IP adresa odesílá za krátkou dobu mnoho zpráv, dojde k jejich omezení.

  3. Reputace domény blokuje všechny zprávy odesílané ze známé chybné domény.

  4. Blokování filtrování okrajů na základě adresáře se pokouší získat informace o adresáři organizace prostřednictvím protokolu SMTP.

  5. Detekce zpětného upozornění zabraňuje útoku na organizaci prostřednictvím neplatných oznámení o nedoručení.

  6. Rozšířené filtrování konektorů zachovává ověřovací informace, i když provoz prochází jiným zařízením, než dosáhne Office 365. To zlepšuje přesnost filtrování zásobníku, včetně heuristických clusteringu, ochrany proti falšování identity a modelů strojového učení proti útokům phishing, a to i ve scénářích složitého nebo hybridního směrování.

Fáze 2 – Informace o odesílateli

Funkce inteligentních funkcí odesílatelů jsou důležité pro zachycení spamu, hromadného zosobnění a neoprávněných falšování zpráv a také pro detekci fish. Většina těchto funkcí se dá konfigurovat jednotlivě.

Fáze 2 filtrování v Defender pro Office 365 je Inteligentní odesílatel

  1. Triggery detekce ohrožení zabezpečení účtu a výstrahy se vyvolávají, když má účet neobvyklé chování, které je konzistentní s ohrožením zabezpečení. V některých případech je uživatelský účet zablokovaný a brání odesílání dalších e-mailových zpráv, dokud se problém nevyřeší týmem pro operace zabezpečení organizace.

  2. Email ověřování zahrnuje metody nakonfigurované zákazníkem i metody nastavené v cloudu, jejichž cílem je zajistit, aby odesílatelé byly autorizovaní a autentickí odesílatelé pošty. Tyto metody odolají falšování identity.

    • SPF může odmítnout e-maily na základě záznamů DNS TXT, které uvádějí IP adresy a servery, které mohou posílat poštu jménem organizace.
    • DKIM poskytuje šifrovaný podpis, který ověřuje odesílatele.
    • DMARC umožňuje správcům označit SPF a DKIM jako požadované ve své doméně a vynucovat soulad mezi výsledky těchto dvou technologií.
    • ARC staví na DMARC a pracuje s přeposílání v seznamech adresátů při záznamu ověřovacího řetězce.

  3. Funkce Spoof Intelligence je schopna filtrovat ty, kteří mají povolené falšování (tj. ty, kteří posílají poštu jménem jiného účtu nebo přeposílají seznam adresátů) od odesílatelů se zlými úmysly, kteří napodobují organizační nebo známé externí domény. Odděluje legitimní poštu "jménem" od odesílatelů, kteří falšují spam a phishingové zprávy.

    Informace o falšování identity uvnitř organizace zjišťují a blokují pokusy o falšování identity z domény v rámci organizace.

  4. Inteligentní falšování falšování mezi doménami detekuje a blokuje pokusy o falšování identity z domény mimo organizaci.

  5. Hromadné filtrování umožňuje správcům nakonfigurovat úroveň hromadné spolehlivosti (BCL), která určuje, jestli byla zpráva odeslána od hromadného odesílatele. Správci můžou pomocí posuvníku hromadné pošty v zásadách ochrany proti nevyžádané poště rozhodnout, jakou úroveň hromadné pošty budou považovat za nevyžádanou poštu.

  6. Inteligentní funkce poštovní schránky se učí ze standardního chování e-mailu uživatelů. Využívá komunikační graf uživatele k detekci, kdy se odesílatel jeví jako někdo, s kým uživatel obvykle komunikuje, ale ve skutečnosti je škodlivý. Tato metoda detekuje zosobnění.

  7. Zosobnění inteligentních poštovních schránek povolí nebo zakáže výsledky rozšířeného zosobnění na základě mapy jednotlivých odesílatelů jednotlivých uživatelů. Pokud je tato funkce povolená, pomáhá identifikovat zosobnění.

  8. Zosobnění uživatele umožňuje správci vytvořit seznam cílů s vysokou hodnotou, které mohou být zosobněné. Pokud přijde e-mail, u kterého se zdá, že odesílatel má stejné jméno a adresu jako chráněný účet s vysokou hodnotou, označí se nebo označí. (Například trα cye@contoso.com pro tracye@contoso.com).

  9. Zosobnění domény rozpozná domény, které se podobají doméně příjemce a které se pokoušejí vypadat jako interní doména. Například toto zosobnění tracye@liw α re.com pro tracye@litware.com.

Fáze 3 – filtrování obsahu

V této fázi začne zásobník filtrování zpracovávat konkrétní obsah pošty, včetně hypertextových odkazů a příloh.

Filtrování fáze 3 v MDO je Filtrování obsahu.

  1. Pravidla přenosu (označovaná také jako pravidla toku pošty nebo pravidla přenosu Exchange) umožňují správci provádět širokou škálu akcí, pokud je pro zprávu splněna stejně široká škála podmínek. Všechny zprávy, které procházejí vaší organizací, se vyhodnocují podle povolených pravidel toku pošty nebo pravidel přenosu.

  2. Microsoft Defender Antivirus a antivirový modul třetích stran se používají k detekci veškerého známého malwaru v přílohách.

  3. Antivirové moduly (AV) používají ke zjištění typu souboru shodu typu true bez ohledu na příponu souboru (například exe soubory přejmenované na txt se detekují jako exe soubory). Tato funkce umožňuje blokování typů (označovaných také jako běžný filtr příloh) správně blokovat typy souborů určené správci. Seznam podporovaných typů souborů najdete v tématu Shoda typu True ve filtru společných příloh.

  4. Kdykoli Microsoft Defender pro Office 365 zjistí škodlivou přílohu, přidá se hodnota hash souboru a hodnota hash jeho aktivního obsahu do reputace Exchange Online Protection (EOP). Reputace přílohy blokuje tento soubor napříč všemi Office 365 a koncovými body prostřednictvím cloudových volání MSAV.

  5. Heuristický clustering může určit, že soubor je podezřelý, na základě heuristiky doručení. Když se najde podezřelá příloha, celá kampaň se pozastaví a soubor se v izolovaném prostoru (sandbox). Pokud se zjistí, že soubor je škodlivý, zablokuje se celá kampaň.

  6. Modely strojového učení fungují na hlavičku, obsah textu a adresy URL zprávy a detekují pokusy o útok phishing.

  7. Společnost Microsoft používá k blokování všech zpráv se známou škodlivou adresou URL určení reputace z sandboxu adresy URL a reputace adresy URL z informačních kanálů třetích stran.

  8. Heuristika obsahu dokáže detekovat podezřelé zprávy na základě struktury a četnosti slov v těle zprávy pomocí modelů strojového učení.

  9. Bezpečné přílohy zastavují každou přílohu pro Defender pro Office 365 zákazníky pomocí dynamické analýzy k detekci dosud nezjišťované hrozby.

  10. Detonace propojeného obsahu považuje každou adresu URL odkazující na soubor v e-mailu jako přílohu a asynchronně zařadí soubor do izolovaného prostoru v době doručení.

  11. K detonaci adresy URL dochází, když upstreamová anti-phishingová technologie najde podezřelou zprávu nebo adresu URL. Detonace adresy URL v sandboxu adresy URL ve zprávě v době doručení.

Fáze 4 – Ochrana po doručení

Poslední fáze probíhá po doručení pošty nebo souborů, a to na poště, která je v různých poštovních schránkách a souborech a odkazech, které se zobrazují v klientech, jako je Microsoft Teams.

Filtrování fáze 4 v Defender pro Office 365 je ochrana po doručení.

  1. Bezpečné odkazy jsou Defender pro Office 365 ochranu před kliknutími. Každá adresa URL v každé zprávě je zabalená tak, aby odkazovala na servery Microsoft Safe Links. Po kliknutí na adresu URL se zkontroluje nejnovější reputace před přesměrováním uživatele na cílový web. Adresa URL je asynchronně sandboxová, aby se aktualizovala její reputace.

  2. Zap (Zero-hour auto purge) for phishing retroactively detects and neutralizes malicious phishing messages that already been delivered to Exchange Online mailboxes.

  3. ZAP pro malware zpětně detekuje a neutralizuje zprávy škodlivého malwaru, které už byly doručeny do Exchange Online poštovních schránek.

  4. ZAP pro spam zpětně detekuje a neutralizuje škodlivé spamové zprávy, které už byly doručeny do Exchange Online poštovních schránek.

  5. Zobrazení kampaní umožňují správcům vidět celkový obraz útoku, a to rychleji a úplněji než jakýkoliv tým bez automatizace. Microsoft využívá obrovské množství dat o ochraně proti útokům phishing, spamu a antimalwaru v celé službě k identifikaci kampaní a potom umožňuje správcům, aby je prošetřovali od začátku do konce, včetně cílů, dopadů a toků, které jsou k dispozici také v zápisu kampaně ke stažení.

  6. Doplňky Report Message umožňují uživatelům snadno hlásit falešně pozitivní výsledky (dobrý e-mail, mylně označený jako špatný) nebo falešně negativní (špatný e-mail označený jako dobrý) společnosti Microsoft k další analýze.

  7. Bezpečné odkazy pro klienty Office nabízejí stejnou ochranu bezpečných odkazů při kliknutí nativně v podporovaných aplikacích Office, jako je Word, PowerPoint a Excel.

  8. Ochrana pro OneDrive, SharePoint a Teams nabízí stejnou ochranu bezpečných příloh před škodlivými soubory, nativně uvnitř OneDrivu, SharePointu a Microsoft Teams.

  9. Když je po doručení vybraná adresa URL, která odkazuje na soubor, zobrazí se detonace propojeného obsahu s upozorněním, dokud se nedokončí sandboxování souboru a adresa URL se zjistí jako bezpečná.

Diagram zásobníku filtrování

Konečný diagram (stejně jako u všech částí diagramu, které ho tvoří) se může změnit s tím, jak se produkt rozrůstá a vyvíjí. Přidejte si tuto stránku do záložek a použijte možnost zpětné vazby , kterou najdete v dolní části, pokud potřebujete požádat po aktualizacích. Pro vaše záznamy je to zásobník se všemi fázemi v pořadí:

Všechny fáze filtrování v Defender pro Office 365 v pořadí od 1 do 4

Zvláštní poděkování od MSFTTracyP a týmu pro psaní dokumentů Giulianu Garrubovi za tento obsah.