Stapsgewijze bedreigingsbeveiliging in Microsoft Defender voor Office 365Step-by-step threat protection in Microsoft Defender for Office 365

De Microsoft Defender voor Office 365 beveiliging of filtertack kan worden onderverdeeld in 4 fasen, zoals in dit artikel.The Microsoft Defender for Office 365 protection or filtering stack can be broken out into 4 phases, as in this article. In het algemeen gaat inkomende e-mail door al deze fasen vóór de bezorging, maar het werkelijke pad dat e-mail neemt, is afhankelijk van de Defender van een organisatie voor Office 365 configuratie.Generally speaking, incoming mail passes through all of these phases before delivery, but the actual path email takes is subject to an organization's Defender for Office 365 configuration.

Tip

Blijf op de hoogte tot het einde van dit artikel voor een geïntegreerde afbeelding van alle 4 fasen van Defender voor Office 365 beveiliging!Stay tuned till the end of this article for a unified graphic of all 4 phases of Defender for Office 365 protection!

Fase 1 - Edge ProtectionPhase 1 - Edge Protection

Helaas zijn Edge-blokken die ooit kritiek waren, nu relatief eenvoudig voor slechte spelers om te overwinnen.Unfortunately, Edge blocks that were once critical are now relatively simple for bad actors to overcome. Na een tijd wordt hier minder verkeer geblokkeerd, maar blijft het een belangrijk onderdeel van de stapel.Over time, less traffic is blocked here, but it remains an important part of the stack.

Edge-blokken zijn ontworpen om automatisch te zijn.Edge blocks are designed to be automatic. In het geval van onwaar positief worden afzenders op de hoogte gesteld en wordt hen verteld hoe ze hun probleem kunnen oplossen.In the case of false positive, senders will be notified and told how to address their issue. Connectors van vertrouwde partners met een beperkte reputatie kunnen ervoor zorgen dat ze beschikbaar zijn of tijdelijke overschrijven kunnen worden gebruikt bij het onboarden van nieuwe eindpunten.Connectors from trusted partners with limited reputation can ensure deliverability, or temporary overrides can be put in place, when onboarding new endpoints.

Fase 1 van filteren in Defender voor Office 365 is Edge Protection.

  1. Netwerkbeperking beschermt Office 365 infrastructuur en klanten tegen DoS-aanvallen (Denial of Service) door het aantal berichten te beperken dat kan worden verzonden door een specifieke set infrastructuur.Network throttling protects Office 365 infrastructure and customers from Denial of Service (DOS) attacks by limiting the number of messages that can be submitted by a specific set of infrastructure.

  2. IP-reputatie en beperking blokkeren berichten die worden verzonden van bekende slecht verbonden IP-adressen.IP reputation and throttling will block messages being sent from known bad connecting IP addresses. Als met een specifiek IP-adres veel berichten in een korte periode worden verzonden, worden deze beperkt.If a specific IP sends many messages in a short period of time they will be throttled.

  3. Domeinreputatie blokkeert alle berichten die worden verzonden vanuit een bekend slecht domein.Domain reputation will block any messages being sent from a known bad domain.

  4. Op adreslijst gebaseerde randfilterblokken proberen de adreslijstgegevens van een organisatie te verzamelen via SMTP.Directory-based edge filtering blocks attempts to harvest an organization's directory information through SMTP.

  5. Backscatterdetectie voorkomt dat een organisatie wordt aangevallen via ongeldige niet-bezorgingsrapporten (NDR's).Backscatter detection prevents an organization from being attacked through invalid non-delivery reports (NDRs).

  6. Verbeterde filtering voor verbindingslijnen behoudt verificatiegegevens, zelfs wanneer het verkeer door een ander apparaat loopt voordat het Office 365.Enhanced filtering for connectors preserves authentication information even when traffic passes through another device before it reaches Office 365. Dit verbetert de nauwkeurigheid van het filteren van stapels, waaronder heuristische clustering, anti-spoofing en anti-phishing machine learning-modellen, zelfs in complexe of hybride routeringsscenario's.This improves filtering stack accuracy, including heuristic clustering, anti-spoofing, and anti-phishing machine learning models, even when in complex or hybrid routing scenarios.

Fase 2 - Sender IntelligencePhase 2 - Sender Intelligence

Functies in afzenderinformatie zijn essentieel voor het opsporen van spam, bulksgewijs, imitatie en ongeautoriseerde spoofberichten, en zijn ook belangrijk voor phish-detectie.Features in sender intelligence are critical for catching spam, bulk, impersonation, and unauthorized spoof messages, and also factor into phish detection. De meeste van deze functies kunnen afzonderlijk worden geconfigureerd.Most of these features are individually configurable.

Fase 2 van filteren in MDO is Sender intelligence.

  1. Triggers voor het opsporen van accountcompromitteerden en waarschuwingen worden verhoogd wanneer een account afwijkende gedragingen heeft, in overeenstemming met compromissen.Account compromise detection triggers and alerts are raised when an account has anomalous behavior, consistent with compromise. In sommige gevallen is het gebruikersaccount geblokkeerd en kan het geen e-mailberichten meer verzenden totdat het probleem is opgelost door het beveiligingsteam van een organisatie.In some cases, the user account is blocked and prevented from sending any further email messages until the issue is resolved by an organization's security operations team.

  2. E-mailverificatie omvat geconfigureerde methoden van klanten en methoden die zijn ingesteld in de cloud, om ervoor te zorgen dat afzenders geautoriseerde, authentieke e-mailers zijn.Email Authentication involves both customer configured methods and methods set up in the Cloud, aimed at ensuring that senders are authorized, authentic mailers. Deze methoden zijn niet bestand tegen spoofing.These methods resist spoofing.

    • SPF kan e-mails weigeren op basis van DNS TXT-records waarin IP-adressen en servers worden vermeld die namens de organisatie e-mail mogen verzenden.SPF can reject mails based on DNS TXT records that list IP addresses and servers allowed to send mail on the organization's behalf.
    • DKIM biedt een versleutelde handtekening die de afzender verifieert.DKIM provides an encrypted signature that authenticates the sender.
    • Met DMARC kunnen beheerders SPF en DKIM markeren zoals vereist in hun domein en wordt de uitlijning tussen de resultaten van deze twee technologieën afgedwongen.DMARC lets admins mark SPF and DKIM as required in their domain and enforces alignment between the results of these two technologies.
    • ARC is niet geconfigureerd voor klanten, maar bouwt voort op DMARC om te werken met doorsturen in adressenlijsten, terwijl u een verificatieketen opneemt.ARC is not customer configured, but builds on DMARC to work with forwarding in mailing lists, while recording an authentication chain.
  3. Spoof intelligence is geschikt voor het filteren van personen die mogen 'spoofen' (dat wil zeggen die e-mail namens een ander account verzenden of doorsturen voor een adressenlijst) van kwaadwillende afzenders die organisatie- of bekende externe domeinen imiteren.Spoof intelligence is capable of filtering those allowed to 'spoof' (that is, those sending mail on behalf of another account, or forwarding for a mailing list) from malicious senders who imitate organizational or known external domains. Het scheidt legitieme 'namens' e-mail van afzenders die spoofen om spam- en phishingberichten te verzenden.It separates legitimate 'on behalf of' mail from senders who spoof to deliver spam and phishing messages.

    Spoofintelligentie binnen de organisatie detecteert en blokkeert spoofpogingen vanuit een domein binnen de organisatie.Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. Spoofintelligentie met meerdere domeinen detecteert en blokkeert spoofpogingen vanuit een domein buiten de organisatie.Cross-domain spoof intelligence detects and blocks spoof attempts from a domain outside of the organization.

  5. Met bulkfilters kunnen beheerders een bulksgewijs betrouwbaarheidsniveau (BCL) configureren dat aangeeft of het bericht is verzonden van een bulksgewijs verzonden afzender.Bulk filtering lets admins configure a bulk confidence level (BCL) indicating whether the message was sent from a bulk sender. Beheerders kunnen de schuifregelaar Bulksgewijs in het antispambeleid gebruiken om te bepalen welk niveau van bulkmail moet worden behandeld als spam.Administrators can use the Bulk Slider in the Antispam policy to decide what level of bulk mail to treat as spam.

  6. Postvakinformatie leert van standaardgedrag van e-mail van gebruikers.Mailbox intelligence learns from standard user email behaviors. Het maakt gebruik van de communicatiegrafiek van een gebruiker om te detecteren wanneer een afzender alleen lijkt te zijn iemand met wie de gebruiker meestal communiceert, maar daadwerkelijk schadelijk is.It leverages a user's communication graph to detect when a sender only appears to be someone the user usually communicates with, but is actually malicious. Met deze methode wordt imitatie gedetecteerd.This method detects impersonation.

  7. Nabootsing van postvakkenintelligentie schakelt verbeterde imitatieresultaten in of uit op basis van de afzonderlijke afzenderkaart van elke gebruiker.Mailbox intelligence impersonation enables or disables enhanced impersonation results based on each user's individual sender map. Wanneer deze functie is ingeschakeld, kunt u nabootsing identificeren.When enabled, this feature helps to identify impersonation.

  8. Met gebruikersomitatie kan een beheerder een lijst maken met doelen met een hoge waarde die waarschijnlijk worden nagebootst.User impersonation allows an admin to create a list of high value targets likely to be impersonated. Als een e-mailbericht binnenkomt waarbij de afzender alleen dezelfde naam en hetzelfde adres lijkt te hebben als het beveiligde account met hoge waarde, wordt de e-mail gemarkeerd of gelabeld.If a mail arrives where the sender only appears to have the same name and address as the protected high value account, the mail is marked or tagged. (Bijvoorbeeld trα cye@contoso.com voor tracye@contoso.com).(For example, trαcye@contoso.com for tracye@contoso.com).

  9. Domein-imitatie detecteert domeinen die lijken op het domein van de ontvanger en die lijken op een intern domein.Domain impersonation detects domains that are similar to the recipient's domain and that attempt to look like an internal domain. Deze imitatie wordt bijvoorbeeld tracye@liw α re.com voor tracye@litware.com.For example, this impersonation tracye@liwαre.com for tracye@litware.com.

Fase 3 - InhoudsfiltersPhase 3 - Content Filtering

In deze fase begint de filtertack met het verwerken van de specifieke inhoud van de e-mail, inclusief de hyperlinks en bijlagen.In this phase the filtering stack begins to handle the specific contents of the mail, including its hyperlinks and attachments.

Fase 3 van filteren in MDO is Inhoudsfiltering.

  1. Met transportregels (ook wel bekend als regels voor e-mailstroom of Exchange transportregels) kan een beheerder een groot aantal acties uitvoeren wanneer aan een even groot aantal voorwaarden voor een bericht wordt voldaan.Transport rules (also known as mail flow rules or Exchange transport rules) allow an admin to take a wide range of actions when an equally wide range of conditions are met for a message. Alle berichten die door uw organisatie stromen, worden geëvalueerd op basis van de ingeschakelde regels voor e-mailstroom/transportregels.All messages that flow through your organization are evaluated against the enabled mail flow rules / transport rules.

  2. Microsoft Defender Antivirus en twee antivirusprogramma's van derden worden gebruikt om alle bekende malware in bijlagen te detecteren.Microsoft Defender Antivirus and two third-party Antivirus engines are used to detect all known malware in attachments.

  3. De antivirusprogramma's (AV)-engines worden ook gebruikt om alle bijlagen waar te typen, zodat typeblokkering alle bijlagen van typen kan blokkeren die door de beheerder zijn opgegeven.The anti-virus (AV) engines are also used to true-type all attachments, so that Type blocking can block all attachments of types the admin specifies.

  4. Wanneer Microsoft Defender voor Office 365 een schadelijke bijlage detecteert, worden de hash van het bestand en een hash van de actieve inhoud toegevoegd aan de reputatie van Exchange Online Protection (EOP).Whenever Microsoft Defender for Office 365 detects a malicious attachment, the file's hash, and a hash of its active content, are added to Exchange Online Protection (EOP) reputation. Het blokkeren van de reputatie van bijlagen blokkeert dat bestand in Office 365 en op eindpunten, via MSAV-cloudoproepen.Attachment reputation blocking will block that file across all Office 365, and on endpoints, through MSAV cloud calls.

  5. Heuristische clustering kan bepalen dat een bestand verdacht is op basis van bezorgings heuristische gegevens.Heuristic clustering can determine that a file is suspicious based on delivery heuristics. Wanneer een verdachte bijlage wordt gevonden, wordt de hele campagne onderbroken en is het bestand sandboxed.When a suspicious attachment is found, the entire campaign pauses, and the file is sandboxed. Als het bestand schadelijk blijkt te zijn, wordt de hele campagne geblokkeerd.If the file is found to be malicious, the entire campaign is blocked.

  6. Machine learning-modellen werken op de koptekst, hoofdinhoud en URL's van een bericht om phishingpogingen te detecteren.Machine learning models act on the header, body content, and URLs of a message to detect phishing attempts.

  7. Microsoft gebruikt een bepaling van de reputatie van URL sandboxing en URL-reputatie van feeds van derden in URL-reputatie blokkeren , om een bericht te blokkeren met een bekende kwaadaardige URL.Microsoft uses a determination of reputation from URL sandboxing as well as URL reputation from third party feeds in URL reputation blocking, to block any message with a known malicious URL.

  8. Inhouds heuristische berichten kunnen verdachte berichten detecteren op basis van structuur en woordfrequentie in de berichtstructuur, met behulp van machine learning-modellen.Content heuristics can detect suspicious messages based on structure and word frequency within the body of the message, using machine learning models.

  9. Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.

  10. Met gekoppelde inhoudsdetonatie wordt elke URL die aan een bestand in een e-mailbericht wordt gekoppeld, behandeld als een bijlage, waarin het bestand asynchron wordt sandboxing op het moment van de bezorging.Linked content detonation treats every URL linking to a file in an email as an attachment, asynchronously sandboxing the file at the time of delivery.

  11. URL-detonatie vindt plaats wanneer upstream anti-phishingtechnologie een bericht of URL verdacht vindt.URL Detonation happens when upstream anti-phishing technology finds a message or URL to be suspicious. URL-detonatie sandboxes de URL's in het bericht op het moment van levering.URL detonation sandboxes the URLs in the message at the time of delivery.

Fase 4 - Bescherming na afleveringPhase 4 - Post-Delivery Protection

De laatste fase vindt plaats na de bezorging van e-mail of bestanden, met e-mail in verschillende postvakken en bestanden en koppelingen die worden weergegeven in clients zoals Microsoft Teams.The last stage takes place after mail or file delivery, acting on mail that is in various mailboxes and files and links that appear in clients like Microsoft Teams.

Fase 4 van filteren in Defender voor Office 365 is bescherming na aflevering.

  1. Safe Koppelingen is Defender voor Office 365 de time-of-click-beveiliging van de Office 365.Safe Links is Defender for Office 365's time-of-click protection. Elke URL in elk bericht wordt omwikkeld om te wijzen naar Microsoft Safe Koppelingenservers.Every URL in every message is wrapped to point to Microsoft Safe Links servers. Wanneer op een URL wordt geklikt, wordt deze gecontroleerd op de meest recente reputatie, voordat de gebruiker wordt omgeleid naar de doelsite.When a URL is clicked it is checked against the latest reputation, before the user is redirected to the target site. De URL is asynchrone sandboxed om de reputatie bij te werken.The URL is asynchronously sandboxed to update its reputation.

  2. Zero-Hour Auto-purge (ZAP) voor phishing detecteert en neutraliseert met terugwerkende kracht kwaadaardige phishingberichten die al zijn bezorgd in Exchange Online postvakken.Zero-Hour Auto-purge (ZAP) for phishing retroactively detects and neutralizes malicious phishing messages that have already been delivered to Exchange Online mailboxes.

  3. ZAP voor malware detecteert en neutraliseert schadelijke malwareberichten die al zijn bezorgd in Exchange Online postvakken.ZAP for malware retroactively detects and neutralizes malicious malware messages that have already been delivered to Exchange Online mailboxes.

  4. ZAP voor phishing detecteert en neutraliseert schadelijke spamberichten die al zijn bezorgd in Exchange Online postvakken.ZAP for phishing retroactively detects and neutralizes malicious spam messages that have already been delivered to Exchange Online mailboxes.

  5. Met campagneweergaven kunnen beheerders het grote geheel van een aanval zien, sneller en vollediger dan elk team zonder automatisering.Campaign Views let administrators see the big picture of an attack, faster and more completely, than any team could without automation. Microsoft maakt gebruik van de enorme hoeveelheden anti-phishing-, antispam- en anti-malwaregegevens in de hele service om campagnes te identificeren. Beheerders kunnen deze vervolgens van begin tot eind onderzoeken, inclusief doelen, effecten en stromen, die ook beschikbaar zijn in een downloadbare campagne.Microsoft leverages the vast amounts of anti-phishing, anti-spam, and anti-malware data across the entire service to help identify campaigns, and then allows admins to investigate them from start to end, including targets, impacts, and flows, that are also available in a downloadable campaign write-up.

  6. Met de invoegvoegingen rapportbericht kunnen personen eenvoudig onwaar-positieven (goede e-mail, per ongeluk gemarkeerd als slecht) of onwaar negatieven (slechte e-mail die als goed is gemarkeerd) aan Microsoft rapporteren voor verdere analyse.The Report Message add-ins enable people to easily report false positives (good email, mistakenly marked as bad) or false negatives (bad email marked as good) to Microsoft for further analysis.

  7. Safe Koppelingen voor Office-clients biedt dezelfde time-of-click-beveiliging Safe Koppelingen, inheems, binnen Office-clients zoals Word, PowerPoint en Excel.Safe Links for Office clients offers the same Safe Links time-of-click protection, natively, inside of Office clients like Word, PowerPoint, and Excel.

  8. Bescherming voor OneDrive, SharePoint en Teams biedt dezelfde Safe Bijlagen-beveiliging tegen schadelijke bestanden, inheems, binnen OneDrive, SharePoint en Microsoft Teams.Protection for OneDrive, SharePoint, and Teams offers the same Safe Attachments protection against malicious files, natively, inside of OneDrive, SharePoint, and Microsoft Teams.

  9. Wanneer een URL die naar een bestand wijst, is geselecteerd na de bezorging, wordt met gekoppelde inhoudsdetonatie een waarschuwingspagina weergegeven totdat de sandboxing van het bestand is voltooid en de URL veilig is.When a URL that points to a file is selected post delivery, linked content detonation displays a warning page until the sandboxing of the file is complete, and the URL is found to be safe.

Het filtertackdiagramThe filtering stack diagram

Het uiteindelijke diagram (zoals met alle onderdelen van het diagram) kan worden gewijzigd naarmate het product groeit en zich ontwikkelt.The final diagram (as with all parts of the diagram composing it) is subject to change as the product grows and develops. Bladwijzer voor deze pagina en gebruik de feedbackoptie die u onderaan vindt als u na updates wilt vragen.Bookmark this page and use the feedback option you'll find at the bottom if you need to ask after updates. Voor uw records is dit de stapel met alle fasen in volgorde:For your records, this is the the stack with all the phases in order:

Alle fasen van filteren in MDO in volgorde, 1 tot en met 4.

Meer informatieMore information

Moet u Microsoft Defender op dit moment instellen voor Office 365 ***** _?Do you need to set up Microsoft Defender for Office 365 *right now _? Gebruik deze stapel, _now*, met deze stapsgewijs om uw organisatie te gaan beveiligen.Use this stack, _now*, with this step-by-step to start protecting your organization.

Speciale dank van MSFTTracyP en het docs-schrijfteam aan Giulian Garruba voor deze inhoud.Special thanks from MSFTTracyP and the docs writing team to Giulian Garruba for this content.