תובנות בינה של התחזות ב- EOP

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, הודעות דואר אלקטרוני נכנסות מוגנות באופן אוטומטי מפני התחזות. EOP משתמש בבינת התחזות כחלק מההגנה הכוללת של הארגון שלך מפני דיוג. לקבלת מידע נוסף, ראה הגנה למניעת התחזות ב- EOP.

כאשר שולח תופר כתובת דואר אלקטרוני, הוא נראה כמשתמש באחד התחומים של הארגון שלך, או משתמש בתחום חיצוני השולח דואר אלקטרוני לארגון שלך. יש לחסום תוקפים ששולחים התחזות לשליחת דואר זבל או דואר אלקטרוני של דיוג. אך קיימים תרחישים שבהם שולחים לגיטימיים התחזות. לדוגמה:

• תרחישים לגיטימיים עבור התחזות בין תחומים פנימיים:

  • שולחים של ספקים חיצוניים משתמשים בתחום שלך כדי לשלוח דואר לרשימת העובדים שלך לתשאולים של החברה.
  • חברה חיצונית יוצרת ושולחת פרסום או עדכוני מוצר בשמך.
  • עוזר צריך באופן קבוע לשלוח דואר אלקטרוני עבור אדם אחר בתוך הארגון שלך.
  • יישום פנימי שולח הודעות דואר אלקטרוני.

• תרחישים לגיטימיים עבור התחזות לתחום חיצוני:

  • השולח נמצא ברשימת דיוור (המכונה גם רשימת דיונים), ורשימת הדיוור ממסרת דואר אלקטרוני מהשולח המקורי לכל המשתתפים ברשימת הדיוור.
  • חברה חיצונית שולחת דואר אלקטרוני בשם חברה אחרת (לדוגמה, דוח אוטומטי או חברה של תוכנה כשירות).

באפשרותך להשתמש בתובנות של בינת התחזות בפורטל Microsoft Defender כדי לזהות במהירות שולחים התחזים ששולחים לך באופן חוקי דואר אלקטרוני לא מאומת (הודעות מתחום שאינם עוברים בדיקת SPF, DKIM או DMARC) ולאפשר שולחים אלה באופן ידני.

על-ידי מתן אפשרות לשולחים ידועים לשלוח הודעות מזויפות ממיקומים ידועים, באפשרותך לצמצם תוצאות חיוביות מוטעות (דואר אלקטרוני טוב המסומן כהודעות שגויות). על-ידי ניטור השולחים התחזותיים המותרים, אתה מספק שכבת אבטחה נוספת כדי למנוע מהודעות לא בטוחות להגיע לארגון שלך.

בדומה, באפשרותך להשתמש בתובנות של בינת התחזות כדי לסקור שולחים התחזים שהורשו על-ידי בינת התחזות ולחסימת שולחים אלה באופן ידני.

שאר המאמר מסביר כיצד להשתמש בתובנות של בינת התחזות בפורטל Microsoft Defender וב- PowerShell (Exchange Online PowerShell עבור ארגוני Microsoft 365 עם תיבות דואר ב- Exchange Online; EOP PowerShell עצמאי עבור ארגונים ללא Exchange Online תיבות דואר).

הערה

• רק שולחים התחזים שזוהו על-ידי בינת התחזות מופיעים בתובנות בינת התחזות. כאשר אתה עוקף את ההסתה או חוסם את קביעת הדין בתובנות, השולח התחזות הופך לאפשר או לחסום ערך ידני המופיע רק בכרטיסיה שולחים התחזים בדף מתן אפשרות/חסימה של רשימות דיירים בדף https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemב- . באפשרותך גם ליצור באופן ידני ערכי התרה או חסימה עבור שולחים התחזים לפני שהם מזוהים על-ידי בינת התחזות. לקבלת מידע נוסף, ראה שולחים התחזים ברשימת הדיירים המותרים/החסומים.

• ערכי הפעולהאפשר או חסום בתובנות של בינת התחזות מתייחסים לזיהוי התחזות (אם Microsoft 365 זיהה את ההודעה כהודעה התחזותית או לא). ערך הפעולה אינו משפיע בהכרח על הסינון הכולל של ההודעה. לדוגמה, כדי להימנע מתוצאות חיוביות מוטעות, הודעה התחזות עשויה להישלח אם תגלה שאין לה כוונה זדונית.

• תובנות בינת התחזות והכרטיסיה שולחים התחזותיים ברשימה 'אפשר/חסימה של דייר' מחליפים את הפונקציונליות של מדיניות בינת התחזות הזמינה בדף המדיניות למניעת דואר זבל במרכז התאימות של & אבטחה.

• תובנה של בינת התחזות מציגה נתונים בשווי של 7 ימים. ה - cmdlet Get-SpoofIntelligenceInsight מציג נתונים ב- 30 יום.

מה עליך לדעת לפני שתתחיל?

• פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות אל הכרטיסיה שולחים התחזים בדף 'אפשר/חסום רשימות דיירים', השתמש ב- https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. כדי לעבור ישירות אל דף תובנות בינת התחזות , השתמש ב- https://security.microsoft.com/spoofintelligence.

• כדי להתחבר אל Exchange Online PowerShell, ראה התחברות Exchange Online PowerShell. כדי להתחבר ל- EOP PowerShell עצמאי, ראה התחברות Exchange Online Protection PowerShell.

• עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:

  • Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (משפיעה על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (ניהול) או הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (קריאה).
  • Exchange Online נוספות:
    • אפשר או חסום שולחים התחזים או הפעל או בטל בינת התחזות: חברות באחת מקבוצות התפקידים הבאות:
      • ניהול הארגון
      • מנהל אבטחהותצורה של תצוגה בלבד אוניהול ארגון הצגה בלבד.
    • גישה לקריאה בלבד לתובנות של בינת התחזות: חברות בקבוצות התפקידים 'קורא כללי ','קורא אבטחה' או ' ניהול ארגון תצוגה בלבד'.
  • Microsoft Entra: החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה', 'קורא כללי' או 'קורא אבטחה' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

• לקבלת ההגדרות המומלצות שלנו עבור מדיניות למניעת דיוג, ראה הגדרות מדיניות למניעת דיוג של EOP.

• אתה הופך בינת התחזות לזמינה או ללא זמינה במדיניות למניעת דיוג ב- EOP וב- Microsoft Defender עבור Office 365. בינת התחזות מופעלת כברירת מחדל. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דיוג ב- EOP או קביעת תצורה של מדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365.

• לקבלת ההגדרות המומלצות שלנו עבור בינת התחזות, ראה הגדרות מדיניות למניעת דיוג של EOP.

מצא את תובנה של בינת התחזות בפורטל Microsoft Defender שלך

1. בפורטל Microsoft Defender בhttps://security.microsoft.com- , עבור אל דואר אלקטרוני &> מדיניותשיתוף פעולה &>> כללי מדיניות איומים של דייריםהתרה/חסימה של רשימותבמקטע כללים. לחלופין, כדי לעבור ישירות לדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

2. בחר את הכרטיסיה שולחים התחזים .

3. בכרטיסיה שולחים התחזים , תובנה של בינת התחזות נראית כך:

   

   לתובנות יש שני מצבים:

   • מצב תובנות: אם בינת התחזות זמינה, תובנה זוהתה כמה הודעות זוהו על-ידי בינת התחזות במהלך שבעת הימים האחרונים.
   • מה אם מצב: אם בינת התחזות אינה זמינה, תובנה זו תראה לך כמה הודעות זוהו על-ידי בינת התחזות במהלך שבעת הימים האחרונים.

כדי להציג מידע אודות זיהויי בינת התחזות, בחר הצג פעילות התחזות בתובנות בינת התחזות כדי לעבור אל דף תובנות בינת התחזות.

הצגת מידע אודות זיהוי התחזות

הערה

זכור שרק שולחים התחזים שזוהו על-ידי בינת התחזות מופיעים בדף זה.

https://security.microsoft.com/spoofintelligenceדף תובנות בינת התחזות ב- זמין בעת בחירה באפשרות הצג פעילות התחזות מתוך תובנה של בינת התחזות על הכרטיסיה שולחים התחזים בדף התר/חסימת דיירים רשימות שלך.

בדף תובנות של בינת התחזות , באפשרותך למיין את הערכים על-ידי לחיצה על כותרת עמודה זמינה. העמודות הבאות זמינות:

• משתמש התחזות: התחום של המשתמש התחזות המוצג בתיבה 'מ ' לקוחות דואר אלקטרוני. הכתובת 'מ' נקראת גם הכתובת 5322.From .
• שליחת תשתית: המכונה גם התשתית. תשתית השליחה היא אחד מהערכים הבאים:
  • התחום נמצא בבדיקת מידע לאחור של DNS (רשומת PTR) של כתובת ה- IP של שרת המקור של שרת הדואר האלקטרוני.
  • אם לכתובת ה- IP של המקור אין רשומת PTR, <תשתית השליחה מזוהה כ- IP> מקור/24 (לדוגמה, 192.168.100.100/24).
  • תחום DKIM מאומת.
• ספירת הודעות: מספר ההודעות מהשילוב של התחום התחזות ותשתית השליחה לארגון שלך בשבעת הימים האחרונים.
• נראה לאחרונה: התאריך האחרון שבו התקבלה הודעה מתשתית השליחה המכילה את התחום התחזות.
• סוג התחזות: אחד מהערכים הבאים:
  • פנימי: השולח התחזות נמצא בתחום השייך לארגון שלך (תחום מקובל).
  • חיצוני: השולח התחזות נמצא בתחום חיצוני.
• פעולה: ערך זה הוא מותר אוחסום:
  • מותר: התחום נכשל באימות דואר אלקטרוני מפורש בודק SPF, DKIM ו- DMARC. עם זאת, התחום עבר את ההבדקות המפורשות שלנו לאימות דואר אלקטרוני (אימות מורכב). כתוצאה מכך, לא בוצעה כל פעולה למניעת התחזות בהודעה.
  • חסום: הודעות מהשילוב של התחום התחזות ותשתית השליחה מסומנות כהודעות שגויות על-ידי בינת התחזות. הפעולה שננקטת בהודעות התחזות במטרה זדונית נשלטת על-ידי מדיניות האבטחה הקבועה מראש הרגילה או הקפדה, מדיניות ברירת המחדל למניעת דיוג או מדיניות למניעת דיוג מותאמת אישית. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365.

כדי לשנות את רשימת השולחים התחזות ממרווח רגיל לדחוס, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

כדי לסנן את הערכים, בחר סנן. המסננים הבאים זמינים בתפריט הנשלף Filter שנפתח:

• סוג התחזות: הערכים הזמינים הם פנימייםחיצוניים.
• פעולה: הערכים הזמינים הם 'אפשר' ו'חסום'

לאחר שתסיים בתפריט הנשלף מסנן , בחר החל. כדי לנקות את המסננים, בחר נקה מסננים.

השתמש חיפוש וערך תואם כדי למצוא ערכים ספציפיים.

השתמש בייצוא כדי לייצא את רשימת הזיהויים של התחזות לקובץ CSV.

הצגת פרטים אודות זיהויי התחזות

בעת בחירת זיהוי התחזות מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה, נפתח תפריט נשלף של פרטים המכיל את המידע הבא:

• למה נתפוס את זה? סעיף: מדוע זיהינו שולח זה כהתזות, ומה ניתן לעשות לקבלת מידע נוסף.

• מקטע סיכום תחום: כולל את אותו מידע מתוך דף תובנות בינת התחזות הראשי.

• סעיף נתוני WhoIs : מידע טכני אודות התחום של השולח.

• מקטע חקירה של Explorer: Defender עבור Office 365, מקטע זה מכיל קישור לפתיחת סייר האיומים כדי לראות פרטים נוספים אודות השולח בכרטיסיה דיוג.

• המקטע הודעות דואר אלקטרוני דומות: מכיל את המידע הבא אודות זיהוי התחזות:

  • תאריך
  • נושא
  • נמען
  • השולח
  • IP של השולח

  בחר התאם אישית עמודות כדי להסיר את העמודות המוצגות. לאחר שתסיים, בחר החל.

עצה

כדי להציג פרטים אודות ערכים אחרים מבלי לעזוב את התפריט הנשלף של הפרטים, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.

כדי לשנות את זיהוי התחזות מהאפשרות אפשרלחסימה או להיפך, עיין בסעיף הבא.

עקוף את גזר הדין של בינת התחזות

בדף תובנות בינת התחזות ב https://security.microsoft.com/spoofintelligence- , השתמש באחת מהשיטות הבאות כדי לעקוף את גזר הדין של בינת התחזות:

• בחר ערך אחד או יותר מהרשימה על-ידי בחירה בתיבת הסימון לצד העמודה הראשונה.

  1. בחר את הפעולה פעולות בצובר שמופיעה.
  2. בתפריט הנשלף פעולות בצובר שנפתח , בחר אפשר התחזות או חסום מהתזות ולאחר מכן בחר החל.

• בחר את הערך מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.

  בתפריט הנשלף של הפרטים שנפתח, בחר אפשר התחזות או חסום מהתזות בחלק העליון של התפריט הנשלף ולאחר מכן בחר החל.

בדף 'תובנות של בינת התחזות', הערך מוסר מהרשימה, והוא נוסף אל הכרטיסיה שולחים התחזים בדף 'אפשר/חסום פריטים רשימות' ב- https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

אודות שולחים מורשים של התחזות

הודעות משולח מורשה התחזות (שזוהה או הוגדר באופן ידני באופן אוטומטי) מותרות רק באמצעות השילוב של התחום התחזות ותשתית השליחה. לדוגמה, השולח התחזות הבא מורשה התחזות:

• תחום: gmail.com
• תשתית: tms.mx.com

רק דואר אלקטרוני מצמד תשתית זה של תחום/שליחה מותר לה זוהה. שולחים אחרים שניסיון gmail.com אינם מותרים באופן אוטומטי. הודעות משולחים תחומים אחרים שמקורן tms.mx.com עדיין מסומנות על-ידי בינת התחזות, וייתכן שנחסמו.

השתמש בתובנות של בינת התחזות ב Exchange Online PowerShell או ב- EOP PowerShell עצמאי

ב- PowerShell, עליך להשתמש ב- cmdlet Get-SpoofIntelligenceInsight כדי להציג שולחים מורשים וחסומים של התחזות שזוהו על-ידי בינת התחזות. כדי לאפשר או לחסום באופן ידני את השולחים התחזים, עליך להשתמש ב- cmdlet New-TenantAllowBlockListSpoofItems . לקבלת מידע נוסף, ראה שימוש ב- PowerShell כדי ליצור ערכים מותרים עבור שולחים התחזים ברשימת הדיירים אפשר/חסום והשתמש ב- PowerShell כדי ליצור ערכי חסימה עבור שולחים התחזים ברשימת הדיירים אפשר/חסום.

כדי להציג את המידע בתובנות של בינת התחזות, הפעל את הפקודה הבאה:

Get-SpoofIntelligenceInsight

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-SpoofIntelligenceInsight.

דרכים אחרות לניהול התחזות ודיוג

הקפד על התחזות והגנת דיוג. להלן דרכים קשורות לבדוק שולחים התחזים לתחום שלך ולמנוע מהם לגרום נזק לארגון שלך:

• בדוק את דוח דואר התחזות. השתמש בדוח זה לעתים קרובות כדי להציג שולחים התחזים ולסייע בניהולם. לקבלת מידע, ראה דוח זיהוי התחזות.

• סקור את תצורת SPF, DKIM ו- DMARC. לקבלת מידע נוסף, עיין במאמרים הבאים:

  • אימות דואר אלקטרוני ב- Microsoft 365
  • הגדרת SPF כדי לסייע במניעת זיוף זהות
  • שימוש ב- DKIM כדי לאמת דואר אלקטרוני יוצא שנשלח מהתחום המותאם אישית שלך
  • שימוש ב- DMARC לאימות דואר אלקטרוני
  • קביעת תצורה של אטמים מהימנים של ARC