Spoof intelligence insight in EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes innkommende e-postmeldinger automatisk mot forfalskning. EOP bruker forfalskningsintelligens som en del av organisasjonens overordnede forsvar mot phishing. Hvis du vil ha mer informasjon, kan du se Beskyttelse mot forfalskning i EOP.

Når en avsender forfalsker en e-postadresse, ser de ut til å være en bruker i et av organisasjonens domener, eller en bruker i et eksternt domene som sender e-post til organisasjonen. Angripere som forfalsker avsendere til å sende søppelpost eller phishing-e-post, må blokkeres. Det finnes imidlertid scenarioer der legitime avsendere forfalsker. Eksempel:

• Legitime scenarioer for forfalskning av interne domener:

  • Tredjepartsavsendere bruker domenet ditt til å sende masseutsendelse av e-post til dine egne ansatte for bedriftsavspørringer.
  • Et eksternt selskap genererer og sender reklame- eller produktoppdateringer på dine vegne.
  • En assistent må regelmessig sende e-post til en annen person i organisasjonen.
  • Et internt program sender e-postvarsler.

• Legitime scenarioer for forfalskning av eksterne domener:

  • Avsenderen er på en adresseliste (også kjent som en diskusjonsliste), og adresselisten videresender e-post fra den opprinnelige avsenderen til alle deltakerne på adresselisten.
  • Et eksternt selskap sender e-post på vegne av et annet selskap (for eksempel en automatisert rapport eller et programvare-som-tjeneste-selskap).

Du kan bruke den falske intelligensinnsikten i Microsoft Defender-portalen til raskt å identifisere falske avsendere som legitimt sender deg uautorisert e-post (meldinger fra domener som ikke består SPF-, DKIM- eller DMARC-kontroller), og tillate disse avsenderne manuelt.

Ved å tillate kjente avsendere å sende falske meldinger fra kjente plasseringer, kan du redusere falske positiver (god e-post merket som dårlig). Ved å overvåke de tillatte forfalskede avsenderne gir du et ekstra lag med sikkerhet for å hindre at usikre meldinger kommer til organisasjonen.

På samme måte kan du bruke innsikten for forfalskningsintelligens til å se gjennom falske avsendere som var tillatt av forfalskningsintelligens, og blokkere disse avsenderne manuelt.

Resten av denne artikkelen forklarer hvordan du bruker spoof intelligence-innsikten i Microsoft Defender-portalen og i PowerShell (Exchange Online PowerShell for Microsoft 365-organisasjoner med postbokser i Exchange Online; frittstående EOP PowerShell for organisasjoner uten Exchange Online postbokser).

Obs!

• Bare falske avsendere som ble oppdaget av forfalskningsintelligens, vises i spoof-intelligensinnsikten. Når du overstyrer dommen for tillatelse eller blokkering i innsikten, blir den forfalskede avsenderen en manuell tillatelses- eller blokkeringsoppføring som bare vises på fanen Forfalskede avsendere på siden Tillat/blokker Lister i leieren på https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Du kan også manuelt opprette tillatelses- eller blokkeringsoppføringer for falske avsendere før de oppdages av forfalskningsintelligens. Hvis du vil ha mer informasjon, kan du se Falske avsendere i leierens tillatelses-/blokkeringsliste.

• HandlingsverdieneTillat eller Blokker i innsikten om forfalskningsintelligens refererer til forfalskningsgjenkjenning (om Microsoft 365 identifiserte meldingen som forfalsket eller ikke). Handlingsverdien påvirker ikke nødvendigvis den generelle filtreringen av meldingen. Hvis du for eksempel vil unngå falske positiver, kan en falsk melding bli levert hvis vi finner ut at den ikke har ondsinnede hensikter.

• Spoof intelligence-innsikten og fanen Forfalsfalsede avsendere i listen Over tillatte/blokkerende leiere erstatter funksjonaliteten til policyen for forfalskningsintelligens som var tilgjengelig på siden for søppelpostpolicy i sikkerhets- & samsvarssenteret.

• Den falske intelligensinnsikten viser 7 dager med data. Cmdleten Get-SpoofIntelligenceInsight viser data for 30 dager.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til fanen Falske avsendere på siden Tillat/blokker Lister for leieren, bruker https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemdu . Hvis du vil gå direkte til siden Forfalslig intelligensinnsikt , bruker https://security.microsoft.com/spoofintelligencedu .

• Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
  • Exchange Online tillatelser:
    • Tillat eller blokker falske avsendere, eller aktiver eller deaktiver forfalskningsintelligens: Medlemskap i en av følgende rollegrupper:
      • Organisasjonsadministrasjon
      • Sikkerhetsadministratorogskrivebeskyttet konfigurasjon eller skrivebeskyttet organisasjonsadministrasjon.
    • Skrivebeskyttet tilgang til innsikt i falsk intelligens: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .
  • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

• Hvis du vil se våre anbefalte innstillinger for policyer for anti-phishing, kan du se innstillinger for anti-phishing-policy for EOP.

• Du aktiverer og deaktiverer forfalskningsintelligens i policyer for anti-phishing i EOP og Microsoft Defender for Office 365. Forfalskningsintelligens er aktivert som standard. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for anti-phishing i EOP eller Konfigurere policyer for anti-phishing i Microsoft Defender for Office 365.

• Hvis du vil se våre anbefalte innstillinger for forfalskningsintelligens, kan du se EOP-policyinnstillinger for anti-phishing.

Finn innsikten om forfalskningsintelligens i Microsoft Defender-portalen

1. Gå til E-post& Samarbeidspolicyer >& Regler>Trusselpolicyer>Leier tillat/blokker Lister i Regler-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

2. Velg fanen Forfalsfalte avsendere .

3. På fanen Forfalsfalte avsendere ser innsikten om forfalskningsintelligens slik ut:

   

   Innsikten har to moduser:

   • Innsiktsmodus: Hvis forfalskningsintelligens er aktivert, viser innsikten hvor mange meldinger som ble oppdaget av forfalskningsintelligens i løpet av de siste sju dagene.
   • Hva om-modus: Hvis forfalskningsintelligens er deaktivert, viser innsikten hvor mange meldinger som ville blitt oppdaget av forfalskningsintelligens i løpet av de siste sju dagene.

Hvis du vil vise informasjon om gjenkjenning av forfalskningsintelligens, velger du Vis forfalskingsaktivitet i spoof-intelligensinnsikten for å gå til siden Forfalskingsintelligensinnsikt .

Vis informasjon om forfalskningsgjenkjenning

Obs!

Husk at bare falske avsendere som ble oppdaget av forfalskningsintelligens, vises på denne siden.

Siden Forfalskingsintelligensinnsikthttps://security.microsoft.com/spoofintelligence på er tilgjengelig når du velger Vis forfalskningsaktivitet fra spoof-intelligensinnsikten på fanen Falske avsendere på siden Tillat/blokker Lister.

På siden Forfalskingsintelligensinnsikt kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

• Forfalsket bruker: Domenet til den forfalskede brukeren som vises i Fra-boksen i e-postklienter. Fra-adressen kalles også 5322.From adressen.
• Sender infrastruktur: Også kjent som infrastrukturen. Infrastrukturen som sendes, er én av følgende verdier:
  • Domenet som finnes i et omvendt DNS-oppslag (PTR-post) på kilde-e-postserverens IP-adresse.
  • Hvis kilde-IP-adressen ikke har noen PTR-post, identifiseres infrastrukturen for sending som <kilde-IP>/24 (for eksempel 192.168.100.100/24).
  • Et bekreftet DKIM-domene.
• Antall meldinger: Antall meldinger fra kombinasjonen av det forfalskede domenet og infrastrukturen som sendes til organisasjonen i løpet av de siste sju dagene.
• Sist sett: Siste dato da en melding ble mottatt fra infrastrukturen som sendte, som inneholder det forfalskede domenet.
• Forfalskningstype: Én av følgende verdier:
  • Intern: Den forfalskede avsenderen er i et domene som tilhører organisasjonen (et godtatt domene).
  • Ekstern: Den forfalskede avsenderen er i et eksternt domene.
• Handling: Denne verdien er tillatt eller blokkert:
  • Tillatt: Domenet mislyktes med eksplisitt e-postgodkjenning kontrollerer SPF, DKIM og DMARC. Domenet besto imidlertid våre implisitte godkjenningskontroller for e-post (sammensatt godkjenning). Derfor ble det ikke utført noen handling mot forfalskning i meldingen.
  • Blokkert: Meldinger fra kombinasjonen av det forfalskede domenet og sending av infrastruktur er merket som dårlig av forfalskningsintelligens. Handlingen som utføres på falske meldinger med ondsinnede hensikter, kontrolleres av standard- eller strenge forhåndsinnstilte sikkerhetspolicyer, standard policy for anti-phishing eller egendefinerte policyer for anti-phishing. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for anti-phishing i Microsoft Defender for Office 365.

Hvis du vil endre listen over forfalskede avsendere fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Forfalskningstype: De tilgjengelige verdiene er interne og eksterne.
• Handling: Tilgjengelige verdier er Tillat og Blokker

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte oppføringer.

Bruk Eksporter til å eksportere listen over forfalskningsgjenkjenninger til en CSV-fil.

Vis detaljer om forfalskningsgjenkjenning

Når du velger en forfalskningsgjenkjenning fra listen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

• Hvorfor fikk vi tak i dette? inndeling: Hvorfor vi oppdaget denne avsenderen som forfalskning, og hva du kan gjøre for mer informasjon.

• Inndeling for domenesammendrag : Inneholder den samme informasjonen fra hovedsiden for spoof-intelligensinnsikt .

• WhoIs-datainndeling : Teknisk informasjon om avsenderens domene.

• Utforsker-undersøkelsesdelen: I Defender for Office 365 organisasjon inneholder denne delen en kobling for å åpne Trusselutforsker for å se flere detaljer om avsenderen på Phish-fanen.

• Delen Lignende e-postmeldinger : Inneholder følgende informasjon om forfalskningsgjenkjenning:

  • Dato
  • Emne
  • Mottaker
  • Avsender
  • IP-adresse for avsender

  Velg Tilpass kolonner for å fjerne kolonnene som vises. Når du er ferdig, velger du Bruk.

Tips

Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

Hvis du vil endre forfalskningsgjenkjenningen fra Tillat til Blokker eller omvendt, kan du se neste del.

Overstyr den falske etterretningsdommen

Bruk en av følgende metoder på siden Forfalssintelligensinnsikt på https://security.microsoft.com/spoofintelligence:

• Velg én eller flere oppføringer fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen.

  1. Velg massehandlingshandlingene som vises.
  2. Velg Tillat forfalsking eller Blokker fra forfalskning i massehandlinger-undermenyen som åpnes, og velg deretter Bruk.

• Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen.

  Velg Tillat forfalsking eller Blokker fra forfalskning øverst i undermenyen for detaljer som åpnes, og velg deretter Bruk.

Tilbake på siden Forfalsfalsintelligensinnsikt fjernes oppføringen fra listen, og legges til fanen Falske avsendere på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItempå .

Om tillatte falske avsendere

Meldinger fra en tillatt falsk avsender (automatisk oppdaget eller manuelt konfigurert) tillates bare ved hjelp av kombinasjonen av det forfalskede domenet og infrastrukturen som sendes. Følgende forfalskede avsender har for eksempel tillatelse til å forfalske:

• Domene: gmail.com
• Infrastruktur: tms.mx.com

Bare e-post fra dette domenet/sendende infrastrukturparet kan forfalskes. Andre avsendere som prøver å forfalske gmail.com, er ikke automatisk tillatt. Meldinger fra avsendere i andre domener som kommer fra tms.mx.com, kontrolleres fremdeles av forfalskningsintelligens, og kan være blokkert.

Bruk spoof intelligence-innsikten i Exchange Online PowerShell eller frittstående EOP PowerShell

I PowerShell bruker du Get-SpoofIntelligenceInsight-cmdleten til å vise tillatte og blokkerte falske avsendere som ble oppdaget av forfalskningsintelligens. Hvis du vil tillate eller blokkere falske avsendere manuelt, må du bruke cmdleten New-TenantAllowBlockListSpoofItems . Hvis du vil ha mer informasjon, kan du se Bruke PowerShell til å opprette tillatelsesoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste og bruke PowerShell til å opprette blokkoppføringer for forfalskede avsendere i listen over leier-tillat/-blokkering.

Kjør følgende kommando for å vise informasjonen i den falske intelligensinnsikten:

Get-SpoofIntelligenceInsight

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-SpoofIntelligenceInsight.

Andre måter å administrere forfalskning og phishing på

Vær flittig om forfalskning og phishing-beskyttelse. Her er relaterte måter å kontrollere avsendere som forfalsker domenet ditt på, og hindre dem i å skade organisasjonen:

• Kontroller rapporten for falsk e-post. Bruk denne rapporten ofte til å vise og hjelpe med å behandle falske avsendere. Hvis du vil ha informasjon, kan du se rapporten for forfalskningsgjenkjenning.

• Se gjennom konfigurasjonen av SPF, DKIM og DMARC. Hvis du vil ha mer informasjon, kan du se følgende artikler:

  • E-postgodkjenning i Microsoft 365
  • Konfigurer SPF for å forhindre forfalskning
  • Bruk DKIM til å validere utgående e-post sendt fra det egendefinerte domenet
  • Bruk DMARC til å validere e-post
  • Konfigurer klarerte ARC-sealers