Policyer for anti-phishing i Microsoft 365

Obs!

Vil du prøve Microsoft 365 Defender? Finn ut mer om hvordan du kan evaluere og prøve ut Microsoft 365 Defender.

Gjelder for

Policyer for å konfigurere innstillinger for beskyttelse mot phishing er tilgjengelige i Microsoft 365 organisasjoner med Exchange Online postbokser, frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, og Microsoft Defender for Office 365 organisasjoner.

Eksempler på Microsoft Defender for Office 365 organisasjoner inkluderer:

Forskjellene mellom anti-phishing-policyer i EOP og anti-phishing-policyer i Defender for Office 365 beskrives i tabellen nedenfor:

Funksjon Anti-phishing-policyer i EOP Policyer for anti-phishing i Defender for Office 365
Automatisk opprettet standardpolicy Avkrysningsmerke. Avkrysningsmerke.
Opprett egendefinerte policyer Avkrysningsmerke. Avkrysningsmerke.
Vanlige policyinnstillinger* Avkrysningsmerke. Avkrysningsmerke.
Innstillinger for forfalskning Avkrysningsmerke. Avkrysningsmerke.
Første kontakt sikkerhetstips Avkrysningsmerke. Avkrysningsmerke
Representasjonsinnstillinger Avkrysningsmerke
Avanserte phishing-terskler Avkrysningsmerke

* I standardpolicyen er policynavnet og beskrivelsen skrivebeskyttet (beskrivelsen er tom), og du kan ikke angi hvem policyen gjelder for (standardpolicyen gjelder for alle mottakere).

Hvis du vil konfigurere policyer for anti-phishing, kan du se følgende artikler:

Resten av denne artikkelen beskriver innstillingene som er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365.

Vanlige policyinnstillinger

Følgende policyinnstillinger er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365:

  • Navn: Du kan ikke gi nytt navn til standard policy for anti-phishing. Når du har opprettet en egendefinert policy for anti-phishing, kan du ikke gi nytt navn til policyen i Microsoft 365 Defender-portalen.

  • Beskrivelse Du kan ikke legge til en beskrivelse i standardpolicyen for anti-phishing, men du kan legge til og endre beskrivelsen for egendefinerte policyer du oppretter.

  • Brukere, grupper og domener: Identifiserer interne mottakere som policyen for anti-phishing gjelder for. Denne verdien kreves i egendefinerte policyer, og er ikke tilgjengelig i standardpolicyen (standardpolicyen gjelder for alle mottakere).

    Du kan bare bruke en betingelse eller et unntak én gang, men du kan angi flere verdier for betingelsen eller unntaket. Flere verdier av samme betingelse eller unntak bruker ELLER-logikk (for eksempel <recipient1> eller <recipient2>). Forskjellige betingelser eller unntak bruker OG-logikk (for eksempel <recipient1> og <member of group 1>).

    • Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.

    • Grupper: Én eller flere grupper i organisasjonen.

    • Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365.

    • Utelat disse brukerne, gruppene og domenene: Unntak for policyen. Innstillingene og virkemåten er akkurat som betingelsene:

      • Brukere
      • Grupper
      • Domener

    Obs!

    Minst ett valg i innstillingene for brukere, grupper og domener kreves i egendefinerte policyer for anti-phishing for å identifisere meldingsmottakerne som policyen gjelder for. Anti-phishing-policyer i Defender for Office 365 har også representasjonsinnstillinger der du kan angi individuelle avsender-e-postadresser eller avsenderdomener som vil motta representasjonsbeskyttelse som beskrevet senere i denne artikkelen.

Innstillinger for forfalskning

Forfalskning er når Fra-adressen i en e-postmelding (avsenderadressen som vises i e-postklienter) ikke samsvarer med domenet til e-postkilden. Hvis du vil ha mer informasjon om forfalskning, kan du se Beskyttelse mot forfalskning i Microsoft 365.

Følgende innstillinger for forfalskning er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365:

  • Aktiver forfalskningsintelligens: Aktiverer eller deaktiverer forfalskningsintelligens. Vi anbefaler at du lar den være slått på.

    Når forfalskningsintelligens er aktivert, viser den falske intelligensinnsikten falske avsendere som automatisk ble oppdaget og tillatt eller blokkert av forfalskningsintelligens. Du kan overstyre dommen for falsk intelligens manuelt for å tillate eller blokkere de oppdagede falske avsenderne fra innsikten. Men når du gjør det, forsvinner den forfalskede avsenderen fra den falske intelligensinnsikten, og er nå bare synlig på Fanen Forfalsen i tillat/blokkeringslisten for tenant. Du kan også manuelt opprette tillatelses- eller blokkeringsoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon, kan du se følgende artikler:

    Obs!

    • Beskyttelse mot forfalskning er aktivert som standard i standard anti-phishing-policy og i eventuelle nye egendefinerte policyer for anti-phishing som du oppretter.
    • Du trenger ikke å deaktivere beskyttelse mot forfalskning hvis MX-posten ikke peker til Microsoft 365. Du aktiverer utvidet filtrering for koblinger i stedet. Hvis du vil ha instruksjoner, kan du se Utvidet filtrering for koblinger i Exchange Online.
    • Deaktivering av beskyttelse mot forfalskning deaktiverer bare implisitt forfalskningsbeskyttelse fra sammensatte godkjenningskontroller . Hvis avsenderen ikke oppfyller eksplisitte DMARC-kontroller der policyen er satt til karantene eller forkastet, er meldingen fremdeles satt i karantene eller avvist.
  • Indikatorer for uautorisert avsender: Tilgjengelig i delen Sikkerhetstips & indikatorer bare når forfalskningsintelligens er aktivert. Se detaljene i neste del.

  • Handlinger: For meldinger fra blokkerte forfalskede avsendere (automatisk blokkert av forfalskningsintelligens eller manuelt blokkert i leierens tillatelses-/blokkeringsliste), kan du også angi handlingen som skal utføres på meldingene:

Indikatorer for uautorisert avsender

Indikatorer for uautorisert avsender er en del av spoof-innstillingene som er tilgjengelige i delen Sikkerhetstips & indikatorer i anti-phishing-policyer i både EOP og Defender for Office 365. Følgende innstillinger er bare tilgjengelige når forfalskningsintelligens er aktivert:

  • Vis (?) for uautoriserte avsendere for forfalskning: Legger til et spørsmålstegn i avsenderens bilde i Fra-boksen hvis meldingen ikke består SPF- eller DKIM-kontroller , og meldingen ikke består DMARC eller sammensatt godkjenning. Når denne innstillingen er deaktivert, legges ikke spørsmålstegnet til avsenderens bilde.

  • Vis «via»-merke: Legger til via-koden (chris@contoso.com via fabrikam.com) i Fra-boksen hvis domenet i Fra-adressen (meldingsavsenderen som vises i e-postklienter) er forskjellig fra domenet i DKIM-signaturen eller MAIL FROM-adressen . Hvis du vil ha mer informasjon om disse adressene, kan du se En oversikt over standarder for e-postmeldinger.

Hvis du vil hindre at spørsmålstegnet eller via koden legges til i meldinger fra bestemte avsendere, har du følgende alternativer:

  • Tillat den forfalskede avsenderen i den falske intelligensinnsikten eller manuelt i leierens tillatelses-/blokkeringsliste. Hvis du tillater at den forfalskede avsenderen tillater at via-koden vises i meldinger fra avsenderen, selv om innstillingen Vis via er aktivert i policyen.
  • Konfigurer e-postgodkjenning for avsenderdomenet.
    • For spørsmålstegnet i avsenderens bilde er SPF eller DKIM det viktigste.
    • Bekreft domenet i DKIM-signaturen eller MAIL FROM-adressesamsvarenet (eller er et underdomene for) domenet i Fra-adressen for via-koden.

Hvis du vil ha mer informasjon, kan du se Identifisere mistenkelige meldinger på Outlook.com og Outlook på nettet

Første kontakt sikkerhetstips

Innstillingene for Vis første kontakt sikkerhetstips er tilgjengelige i EOP og Defender for Office 365 organisasjoner, og har ingen avhengighet av innstillinger for beskyttelse mot forfalskningsintelligens eller representasjon. Den sikkerhetstips vises for mottakere i følgende scenarioer:

  • Første gang de får en melding fra en avsender
  • De får ikke ofte meldinger fra avsenderen.

Den første kontakten sikkerhetstips for meldinger med én mottaker

Den første kontakten sikkerhetstips for meldinger med flere mottakere

Denne funksjonen legger til et ekstra lag med sikkerhetsbeskyttelse mot potensielle etterligningsangrep, så vi anbefaler at du slår det på.

Den første kontakten sikkerhetstips erstatter også behovet for å opprette regler for e-postflyt (også kalt transportregler) som legger til toppteksten X-MS-Exchange-EnableFirstContactSafetyTip med verdien Enable to messages (selv om denne funksjonen fortsatt er tilgjengelig).

Obs!

Hvis meldingen har flere mottakere, om tipset vises og hvem som er basert på en flertallsmodell. Hvis de fleste mottakerne aldri har eller ikke ofte mottar meldinger fra avsenderen, vil de berørte mottakerne motta noen personer som har mottatt denne meldingen... tips. Hvis du er bekymret for at denne virkemåten viser kommunikasjonsvanene til én mottaker til en annen, bør du ikke aktivere den første kontakten sikkerhetstips og fortsette å bruke regler for e-postflyt i stedet.

Eksklusive innstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Denne delen beskriver policyinnstillingene som bare er tilgjengelige i policyer for anti-phishing i Defender for Office 365.

Obs!

Standard policy for anti-phishing i Defender for Office 365 gir forfalskningsbeskyttelse og postboksintelligens for alle mottakere. De andre tilgjengelige funksjonene for representasjonsbeskyttelse og avanserte innstillinger er imidlertid ikke konfigurert eller aktivert i standardpolicyen. Hvis du vil aktivere alle beskyttelsesfunksjoner, endrer du standard policy for anti-phishing eller oppretter flere policyer for anti-phishing.

Representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Representasjon er der avsenderen eller avsenderens e-postdomene i en melding ligner på en ekte avsender eller et domene:

  • Et eksempel på representasjon av domenet contoso.com er ćóntoso.com.
  • Brukerrepresentasjon er kombinasjonen av brukerens visningsnavn og e-postadresse. For eksempel kan Valeria Barrios (vbarrios@contoso.com) representeres som Valeria Barrios, men med en helt annen e-postadresse.

Obs!

Representasjonsbeskyttelse ser etter domener som ligner. Hvis for eksempel domenet er contoso.com, ser vi etter forskjellige domener på øverste nivå (.com, .biz osv.) som etterligningsforsøk, men også domener som er enda litt like. For eksempel kan contosososo.com eller contoabcdef.com bli sett på som etterligningsforsøk på contoso.com.

Et representert domene kan ellers betraktes som legitimt (registrert domene, konfigurerte poster for e-postgodkjenning osv.), bortsett fra at hensikten er å lure mottakere.

Følgende representasjonsinnstillinger er bare tilgjengelige i policyer for anti-phishing i Defender for Office 365:

  • Gjør det mulig for brukere å beskytte: Hindrer at de angitte interne eller eksterne e-postadressene representeres som meldingsavsendere. Du mottar for eksempel en e-postmelding fra visepresidenten i firmaet som ber deg om å sende henne intern firmainformasjon. Ville du gjort det? Mange ville sendt svaret uten å tenke.

    Du kan bruke beskyttede brukere til å legge til interne og eksterne avsender-e-postadresser for å beskytte mot representasjon. Denne listen over avsendere som er beskyttet mot brukerrepresentasjon, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som er konfigurert i innstillingene for brukere, grupper og domener i delen Felles policyinnstillinger ).

    Obs!

    • I hver policy for anti-phishing kan du angi maksimalt 350 beskyttede brukere (avsenderens e-postadresser). Du kan ikke angi den samme beskyttede brukeren i flere policyer. Uavhengig av hvor mange policyer som gjelder for en mottaker, er maksimalt antall beskyttede brukere (avsender-e-postadresser) for hver enkelt mottaker 350. Hvis du vil ha mer informasjon om policyprioritet og hvordan policybehandlingen stopper etter at den første policyen er brukt, kan du se Ordre og prioritet for e-postbeskyttelse.
    • Beskyttelse mot brukerrepresentasjon fungerer ikke hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, identifiseres meldingen som et representasjonsforsøk.

    Som standard er ingen avsender-e-postadresser konfigurert for representasjonsbeskyttelse i Brukere for å beskytte. Derfor dekkes ingen avsender-e-postadresser som standard av representasjonsbeskyttelse, enten i standardpolicyen eller i egendefinerte policyer.

    Når du legger til interne eller eksterne e-postadresser i brukere for å beskytte listen, er meldinger fra disse avsenderne underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i avsenderens e-postadresse, brukes representasjonsbeskyttelseshandlingene for brukere på meldingen (hva du må gjøre med meldingen, om det skal vises sikkerhetstips for representerte brukere osv.).

  • Aktiver domener som skal beskyttes: Hindrer at de angitte domenene representeres i meldingsavsenderens domene. For eksempel alle domener som du eier (godtatte domener) eller bestemte egendefinerte domener (domener du eier eller partnerdomener). Denne listen over avsenderdomener som er beskyttet mot etterligning, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som konfigurert i innstillingene for brukere, grupper og domener i delen Innstillinger for felles policy ).

    Obs!

    Du kan angi maksimalt 50 egendefinerte domener i hver policy for anti-phishing.

    Som standard er ingen avsenderdomener konfigurert for representasjonsbeskyttelse i Aktiver domener som skal beskyttes. Derfor dekkes ingen avsenderdomener som standard av representasjonsbeskyttelse, verken i standardpolicyen eller i egendefinerte policyer.

    Når du legger til domener i listen Aktiver domener for å beskytte , er meldinger fra avsendere i disse domenene underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i avsenderens domene, brukes representasjonsbeskyttelseshandlingene for domener på meldingen (hva du må gjøre med meldingen, om det skal vises sikkerhetstips for representerte brukere osv.).

  • Handlinger: Velg handlingen som skal utføres på innkommende meldinger som inneholder representasjonsforsøk mot beskyttede brukere og beskyttede domener i policyen. Du kan angi forskjellige handlinger for representasjon av beskyttede brukere kontra etterligning av beskyttede domener:

  • Sikkerhetstips for representasjon: Aktiver eller deaktiver følgende sikkerhetstips for representasjon som vises meldinger som mislykkes med representasjonskontroller:

    • Vis tips for representerte brukere: Fra-adressen inneholder en Aktiver brukere for å beskytte brukeren. Bare tilgjengelig hvis Aktiver brukere å beskytte er aktivert og konfigurert.
    • Vis tips for representerte domener: Fra-adressen inneholder et Enable-domene for å beskytte domenet. Bare tilgjengelig hvis Aktiver domener som skal beskyttes , er aktivert og konfigurert.
    • Vis tips for uvanlige tegn: Fra-adressen inneholder uvanlige tegnsett (for eksempel matematiske symboler og tekst eller en blanding av store og små bokstaver) i en Enable-bruker for å beskytte avsenderen eller et Enable-domene for å beskytte avsenderdomenet. Bare tilgjengelig hvis Aktiver brukere for å beskytte eller aktivere domener som skal beskyttes , er aktivert og konfigurert.
  • Aktiver postboksintelligens: Aktiverer eller deaktiverer kunstig intelligens (AI) som bestemmer bruker-e-postmønstre med sine ofte brukte kontakter. Denne innstillingen hjelper kunstig intelligens med å skille mellom meldinger fra legitime og representerte avsendere.

    Gabriela Laureano (glaureano@contoso.com) er for eksempel administrerende direktør i firmaet, så du legger henne til som en beskyttet avsender i Aktiver brukere for å beskytte innstillingene for policyen. Men noen av mottakerne som policyen gjelder for å kommunisere regelmessig med en leverandør som også heter Gabriela Laureano (glaureano@fabrikam.com). Fordi disse mottakerne har en kommunikasjonslogg med glaureano@fabrikam.com, vil ikke postboksintelligens identifisere meldinger fra glaureano@fabrikam.com som et etterligningsforsøk på glaureano@contoso.com for disse mottakerne.

    Hvis du vil bruke hyppige kontakter som ble lært av postboksintelligens (og mangel på disse) for å beskytte brukere mot etterligningsangrep, kan du aktivere Aktiver beskyttelse mot etterretningsrepresentasjon etter at du har aktivert Aktiver postboksintelligens.

  • Aktiver beskyttelse mot intelligensrepresentasjon: Aktiver denne innstillingen for å angi handlingen som skal utføres for meldinger for etterligningsgjenkjenning fra resultater for postboksintelligens:

    • Ikke bruk noen handling: Vær oppmerksom på at denne verdien har samme resultat som å slå på postboksintelligens , men slå av Aktiver intelligensrepresentasjonsbeskyttelse.
    • Omadresser melding til andre e-postadresser
    • Flytte melding til mottakernes søppelpostmapper
    • Sett meldingen i karantene: Hvis du velger denne handlingen, kan du også velge karantenepolicyen som gjelder for meldinger som er satt i karantene av beskyttelse mot postboksintelligens. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se karantenepolicyer.
    • Levere meldingen og legge til andre adresser i Blindkopi-linjen
    • Slette meldingen før den leveres
  • Legg til klarerte avsendere og domener: Unntak fra innstillingene for representasjonsbeskyttelse. Meldinger fra angitte avsendere og avsenderdomener klassifiseres aldri som representasjonsbaserte angrep fra policyen. Handlingen for beskyttede avsendere, beskyttede domener eller postboksintelligensbeskyttelse brukes med andre ord ikke for disse klarerte avsenderne eller avsenderdomenene. Maksimumsgrensen for disse listene er 1024 oppføringer.

Avanserte phishing-terskler i policyer for anti-phishing i Microsoft Defender for Office 365

Følgende avanserte phishing-terskler er bare tilgjengelige i policyer for anti-phishing i Defender for Office 365. Disse terskler styrer følsomheten for å bruke maskinlæringsmodeller på meldinger for å fastslå en phishing-dom:

  • 1 – Standard: Dette er standardverdien. Alvorsgraden for handlingen som er utført på meldingen, avhenger av graden av tillit til at meldingen er phishing (lav, middels, høy eller svært høy konfidens). Meldinger som identifiseres som phishing med svært høy visshet, har for eksempel de mest alvorlige handlingene, mens meldinger som identifiseres som phishing med lav visshet, har mindre alvorlige handlinger.
  • 2 – Aggressive: Meldinger som identifiseres som phishing med høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 3 – Mer aggressive: Meldinger som identifiseres som phishing med middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 4 – Mest aggressive: Meldinger som identifiseres som phishing med lav, middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.

Sjansen for falske positiver (gode meldinger merket som dårlige) øker etter hvert som du øker denne innstillingen. Hvis du vil ha informasjon om de anbefalte innstillingene, kan du se policyen for anti-phishing i Microsoft Defender for Office 365 innstillinger.