Trinnvis trusselbeskyttelse i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft Defender for Office 365 beskyttelse eller filtreringsstakk kan deles opp i fire faser, som i denne artikkelen. Generelt sett går innkommende e-post gjennom alle disse fasene før levering, men den faktiske banen e-post tar er underlagt en organisasjons Defender for Office 365 konfigurasjon.

Tips

Følg med til slutten av denne artikkelen for en samlet grafikk av alle fire faser av Defender for Office 365 beskyttelse!

Fase 1 – Edge Protection

Dessverre er Edge-blokker som en gang var kritiske , nå relativt enkle for dårlige skuespillere å overvinne. Over tid blokkeres mindre trafikk her, men det er fortsatt en viktig del av stabelen.

Kantblokker er utformet for å være automatiske. Når det gjelder falske positiver, blir avsendere varslet og fortalt hvordan de skal løse problemet. Koblinger fra klarerte partnere med begrenset omdømme kan sikre leveranse, eller midlertidige overstyringer kan settes på plass, når nye endepunkter pålastes.

Fase-1-filtreringen i Defender for Office 365

  1. Nettverksbegrensning beskytter Office 365 infrastruktur og kunder mot DOS-angrep (Denial of Service) ved å begrense antall meldinger som kan sendes inn av et bestemt sett med infrastruktur.

  2. IP-omdømme og begrensning blokkerer meldinger som sendes fra kjente ugyldige IP-adresser for tilkobling. Hvis en bestemt IP sender mange meldinger på kort tid, blir de begrenset.

  3. Domenedømme blokkerer alle meldinger som sendes fra et kjent ugyldig domene.

  4. Katalogbaserte kantfiltreringsblokker forsøker å høste en organisasjons kataloginformasjon gjennom SMTP.

  5. Backscatter-gjenkjenning hindrer at en organisasjon blir angrepet gjennom ugyldige rapporter om manglende levering (NDR-er).

  6. Forbedret filtrering for koblinger bevarer godkjenningsinformasjon selv når trafikken passerer gjennom en annen enhet før den når Office 365. Dette forbedrer nøyaktigheten til filtreringsstakken, inkludert heuristikk-klynger, anti-spoofing og anti-phishing maskinlæringsmodeller, selv når du er i komplekse eller hybride rutingscenarioer.

Fase 2 – Avsenderintelligens

Funksjoner i avsenderintelligens er avgjørende for å fange opp søppelpost, masseutligning og uautoriserte forfalskningsmeldinger, og også ta hensyn til phish-gjenkjenning. De fleste av disse funksjonene kan konfigureres individuelt.

Fase 2 av filtrering i Defender for Office 365 er avsenderintelligens

  1. Utløsere og varsler for registrering av kontokompromisser utløses når en konto har uregelmessig atferd, i samsvar med kompromisser. I noen tilfeller blokkeres brukerkontoen og hindres i å sende ytterligere e-postmeldinger til problemet er løst av organisasjonens sikkerhetsoperasjonsteam.

  2. E-postgodkjenning involverer både kundekonfigurerte metoder og metoder som er konfigurert i skyen, med sikte på å sikre at avsendere er autoriserte, autentiske postmeldinger. Disse metodene motstår forfalskning.

    • SPF kan avvise e-postmeldinger basert på DNS TXT-poster som viser IP-adresser og servere som har tillatelse til å sende e-post på organisasjonens vegne.
    • DKIM gir en kryptert signatur som godkjenner avsenderen.
    • DMARC lar administratorer markere SPF og DKIM etter behov i domenet og håndhever justering mellom resultatene av disse to teknologiene.
    • ARC bygger på DMARC for å arbeide med videresending i adresselister mens du registrerer en godkjenningskjede.

  3. Forfalskningsintelligens er i stand til å filtrere de som har tillatelse til å «forfalske» (dvs. de som sender e-post på vegne av en annen konto eller videresender for en adresseliste) fra ondsinnede avsendere som etterligner organisatoriske eller kjente eksterne domener. Den skiller ekte «på vegne av» e-post fra avsendere som forfalsker for å levere søppelpost og phishing-meldinger.

    Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. Forfalskningsintelligens på tvers av domener oppdager og blokkerer forfalskningsforsøk fra et domene utenfor organisasjonen.

  5. Massefiltrering gjør det mulig for administratorer å konfigurere et nivå for massekonfidensnivå (BCL) som angir om meldingen ble sendt fra en masseavsender. Administratorer kan bruke masseglidebryteren i antispam-policyen til å bestemme hvilket nivå av masseutsendelse av e-post som skal behandles som søppelpost.

  6. Postboksintelligens lærer av standard virkemåter for bruker-e-post. Den drar nytte av en brukers kommunikasjonsgraf for å oppdage når en avsender bare ser ut til å være noen brukeren vanligvis kommuniserer med, men faktisk er ondsinnet. Denne metoden oppdager representasjon.

  7. Etterligning av postboksintelligens aktiverer eller deaktiverer forbedrede representasjonsresultater basert på hver brukers individuelle avsenderkart. Når den er aktivert, bidrar denne funksjonen til å identifisere representasjon.

  8. Brukerrepresentasjon gjør det mulig for en administrator å opprette en liste over mål med høy verdi som sannsynligvis representeres. Hvis det kommer en e-postmelding der avsenderen bare ser ut til å ha samme navn og adresse som den beskyttede høyverdikontoen, merkes eller merkes e-posten. (For eksempel trα cye@contoso.com for tracye@contoso.com).

  9. Domenerepresentasjon oppdager domener som ligner på mottakerens domene, og som forsøker å se ut som et internt domene. Denne representasjonen tracye@liw for eksempelα re.com for tracye@litware.com.

Fase 3 – Innholdsfiltrering

I denne fasen begynner filtreringsstakken å håndtere det bestemte innholdet i e-postmeldingen, inkludert hyperkoblinger og vedlegg.

Fase 3-filtreringen i MDO er innholdsfiltrering

  1. Transportregler (også kalt regler for e-postflyt eller Exchange-transportregler) gjør det mulig for en administrator å utføre et bredt spekter av handlinger når et like bredt spekter av betingelser oppfylles for en melding. Alle meldinger som flyter gjennom organisasjonen, evalueres mot de aktiverte reglene for e-postflyt / transportregler.

  2. Microsoft Defender Antivirus og en tredjeparts antivirusmotor brukes til å oppdage all kjent skadelig programvare i vedlegg.

  3. Antivirusmotorene (AV) bruker sann type samsvar for å oppdage filtypen, uavhengig av filtypen (for eksempel at filer som har fått txt nytt navn, exe oppdages som exe filer). Denne funksjonen gjør at typeblokkering (også kjent som det vanlige vedleggsfilteret) kan blokkere filtyper angitt av administratorer på riktig måte. Hvis du vil se en liste over filtyper som støttes, kan du se Sann type samsvar i det vanlige vedleggsfilteret.

  4. Når Microsoft Defender for Office 365 oppdager et skadelig vedlegg, legges filens hash og en hash-kode for det aktive innholdet til Exchange Online Protection (EOP)-omdømme. Blokkering av omdømme for vedlegg blokkerer filen på tvers av alle Office 365, og på endepunkter, gjennom MSAV-skysamtaler.

  5. Heuristikk klynger kan fastslå at en fil er mistenkelig basert på levering heuristikk. Når et mistenkelig vedlegg blir funnet, stanses hele kampanjen midlertidig, og filen er i sandkassemodus. Hvis filen er skadelig, blokkeres hele kampanjen.

  6. Maskinlæringsmodeller fungerer på toppteksten, brødtekstinnholdet og nettadressene til en melding for å oppdage phishing-forsøk.

  7. Microsoft bruker en bestemmelse av omdømme fra nettadressens sandkasse- og NETTADRESSE-omdømme fra tredjepartsfeeder i blokkering av nettadressens omdømme, for å blokkere alle meldinger med en kjent ondsinnet nettadresse.

  8. Innholds-heuristikk kan oppdage mistenkelige meldinger basert på struktur og ordfrekvens i meldingsteksten ved hjelp av maskinlæringsmodeller.

  9. Klarerte vedlegg sandkasser hvert vedlegg for Defender for Office 365 kunder, ved hjelp av dynamisk analyse for å oppdage aldri før sett trusler.

  10. Detonasjon av koblet innhold behandler hver nettadresse som kobler til en fil i en e-postmelding som et vedlegg, og sandkassefilen asynkront på leveringstidspunktet.

  11. Nettadressedetonasjon skjer når oppstrøms anti-phishing-teknologi finner en melding eller nettadresse for å være mistenkelig. Sandkasser for nettadressedetonasjon av nettadressene i meldingen på leveringstidspunktet.

Fase 4 – beskyttelse etter levering

Den siste fasen finner sted etter e-post eller fillevering, og fungerer på e-post som er i ulike postbokser og filer og koblinger som vises i klienter som Microsoft Teams.

Fase-4-filtreringen i Defender for Office 365 er beskyttelse etter levering

  1. Klarerte koblinger er Defender for Office 365 tidsklikksbeskyttelse. Alle nettadresser i hver melding brytes for å peke til Servere for klarerte koblinger for Microsoft. Når en NETTADRESSE klikkes, kontrolleres den mot det nyeste omdømmet, før brukeren omdirigeres til målnettstedet. Nettadressen er asynkront sandkassemodus for å oppdatere omdømmet.

  2. Nulltimers automatisk tømming (ZAP) for phishing oppdager og nøytraliserer ondsinnede phishing-meldinger som allerede er levert til Exchange Online postbokser med tilbakevirkende kraft.

  3. ZAP for skadelig programvare oppdager og nøytraliserer skadelig programvare med tilbakevirkende kraft meldinger som allerede er levert til Exchange Online postbokser.

  4. ZAP for søppelpost oppdager og nøytraliserer skadelige søppelpostmeldinger med tilbakevirkende kraft som allerede er levert til Exchange Online postbokser.

  5. Kampanjevisninger lar administratorer se det store bildet av et angrep, raskere og mer fullstendig, enn noen team kunne uten automatisering. Microsoft drar nytte av de enorme mengdene data mot phishing, søppelpost og skadelig programvare på tvers av hele tjenesten for å identifisere kampanjer, og lar deretter administratorer undersøke dem fra begynnelse til slutt, inkludert mål, konsekvenser og flyter, som også er tilgjengelige i en nedlastbar kampanjeoppskriving.

  6. Rapportmeldingstilleggene gjør det mulig for personer å enkelt rapportere falske positiver (god e-post, feilaktig merket som dårlig) eller falske negativer (dårlig e-post merket som bra) til Microsoft for videre analyse.

  7. Klarerte koblinger for Office-klienter gir den samme beskyttelsen for klarerte koblinger, opprinnelig, i støttede Office-apper som Word, PowerPoint og Excel.

  8. Beskyttelse for OneDrive, SharePoint og Teams gir den samme beskyttelsen av klarerte vedlegg mot skadelige filer, opprinnelig, i OneDrive, SharePoint og Microsoft Teams.

  9. Når en nettadresse som peker til en fil er valgt etter levering, viser detonasjon av koblet innhold en advarselsside til sandkassen til filen er fullført, og nettadressen er sikker.

Diagram for filtreringsstakk

Det endelige diagrammet (som med alle deler av diagrammet som skriver det) kan endres etter hvert som produktet vokser og utvikler seg. Bokmerke denne siden og bruk tilbakemeldingsalternativet du finner nederst hvis du må spørre etter oppdateringer. For postene er dette stabelen med alle fasene i rekkefølge:

Alle fasene av filtrering i Defender for Office 365 i rekkefølge, fra 1 til 4

Spesiell takk fra MSFTTracyP og docs skriveteam til Giulian Garruba for dette innholdet.