Аналитика спуфинга в EOP

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

В Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online входящие сообщения электронной почты автоматически защищаются от спуфинга. EOP использует аналитику спуфинга в рамках общей защиты вашей организации от фишинга. Дополнительные сведения см. в статье "Защита от спуфинга в EOP".

Когда отправитель подделывает адрес электронной почты, он, как показано, является пользователем в одном из доменов организации или пользователем во внешнем домене, который отправляет электронную почту в вашу организацию. Злоумышленники, которые подделыют отправителей для отправки спама или фишинговой электронной почты, должны быть заблокированы. Но существуют сценарии, в которых подделыются допустимые отправители. Например:

  • Допустимые сценарии спуфинга внутренних доменов:

    • Сторонние отправители используют ваш домен для массовой отправки почты вашим сотрудникам для опросов компании.
    • Внешняя компания создает и отправляет рекламные или продуктные обновления от вашего имени.
    • Помощнику регулярно требуется отправлять электронную почту другому пользователю в вашей организации.
    • Внутреннее приложение отправляет уведомления по электронной почте.
  • Допустимые сценарии спуфинга внешних доменов:

    • Отправитель находится в списке рассылки (также называемый списком обсуждений), а список рассылки передает электронную почту от исходного отправителя всем участникам списка рассылки.
    • Внешняя компания отправляет электронную почту от имени другой компании (например, автоматизированного отчета или компании по программному обеспечению как услуге).

Аналитику спуфинга можно использовать на портале Microsoft 365 Defender, чтобы быстро определить подделаваемых отправителей, которые отправляют вам сообщения электронной почты без проверки подлинности (сообщения из доменов, которые не проходят проверки SPF, DKIM или DMARC) и разрешить их вручную.

Разрешив известным отправикам отправлять подделаные сообщения из известных расположений, можно уменьшить количество ложных срабатываний (хорошее сообщение электронной почты помечено как плохое). Отслеживая разрешенных подделаемых отправителей, вы обеспечиваете дополнительный уровень безопасности, чтобы предотвратить отправку небезопасных сообщений в вашу организацию.

Аналогичным образом можно просмотреть подделаваемых отправителей, которые были разрешены средством анализа спуфинга, и вручную заблокировать этих отправителей из аналитики спуфинга.

В оставшейся части этой статьи объясняется, как использовать аналитику спуфинга на портале Microsoft 365 Defender и в PowerShell (Exchange Online PowerShell для Microsoft 365 организаций с почтовыми ящиками в Exchange Online; автономном EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Примечание

  • В аналитических сведениях об анализе спуфинга отображаются только подделаные отправители, обнаруженные с помощью логики спуфинга. При переопределении разрешения или блокировки решения в аналитических сведениях подделаемый отправитель становится записью разрешения или блокировки вручную, которая отображается только на вкладке "Спуф " в списке разрешений и блоков клиента. Вы также можете вручную создать записи разрешения или блокировки для спуфингированных отправителей, прежде чем они будут обнаружены с помощью спуфинга. Дополнительные сведения см. в статье Управление списком разрешенных или заблокированных клиентов в EOP.

  • Аналитика спуфинга и вкладка " Спуфинг" в списке разрешений и блокирования клиента заменяют функции политики аналитики спуфинга, которая была доступна на странице политики защиты от нежелательной почты в Центре соответствия требованиям & безопасности.

  • Аналитика спуфинга отображает данные за 7 дней. Командлет Get-SpoofIntelligenceInsight отображает данные за 30 дней.

Что нужно знать перед началом работы

  • Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на вкладку спуфинга на странице списка разрешений и блоков клиента, используйте https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Чтобы перейти непосредственно на страницу аналитики спуфинга , используйте https://security.microsoft.com/spoofintelligence.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Для выполнения процедур, описанных в этой статье, вам должны быть назначены разрешения в Exchange Online:

    • Чтобы изменить политику аналитики спуфинга или включить или отключить аналитику спуфинга, необходимо быть участником
      • Управление организацией
      • Администратор безопасности и конфигурация только для просмотра или управление организацией только для просмотра.
    • Для доступа только для чтения к политике аналитики спуфинга необходимо быть членом групп ролей глобального читателя или читателя сведений о безопасности.

    Дополнительные сведения см. в статье Разрешения в Exchange Online.

    Примечание

    • Добавление пользователей в соответствующую роль Azure Active Directory в Центре администрирования Microsoft 365 предоставляет пользователям необходимые разрешения и разрешения для других функций в Microsoft 365. Подробнее см. в разделе О ролях администратора.
    • Группа ролей Управление организацией с правами только на просмотр в Exchange Online также предоставляет доступ только для чтения к этой функции.
  • Вы включаете и отключаете логику спуфинга в политиках защиты от фишинга в EOP и Microsoft Defender для Office 365. Аналитика спуфинга включена по умолчанию. Дополнительные сведения см. в разделе «Настройка политик защиты от фишинга в EOP или настройка политик защиты от фишинга в Microsoft Defender для Office 365.

  • Рекомендуемые параметры для аналитики спуфинга см. в разделе параметров политики защиты от фишинга EOP.

Открытие аналитики спуфинга на Microsoft 365 Defender портале

  1. На портале Microsoft 365 Defender > > > https://security.microsoft.comперейдите к разделу "Политики совместной работы & электронной почты & политики угроз" в разделе "Правила". Чтобы перейти непосредственно на вкладку спуфинга на странице списка разрешений и блоков клиента, используйте https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

  2. На странице списка разрешений и блокирования клиента аналитические сведения о спуфинге выглядят следующим образом:

    Аналитика спуфинга на странице политики защиты от фишинга

    Аналитика имеет два режима:

    • Режим аналитики. Если включена аналитика спуфинга, аналитические сведения показывают, сколько сообщений было обнаружено аналитикой спуфинга за последние семь дней.
    • Что делать, если режим: если логика спуфинга отключена, аналитические сведения показывают, сколько сообщений было бы обнаружено аналитикой спуфинга за последние семь дней.

Чтобы просмотреть сведения об обнаружении спуфинга аналитики, щелкните "Просмотреть действие спуфинга " в аналитике спуфинга.

Просмотр сведений о подделаваемых сообщениях

Примечание

Помните, что на этой странице отображаются только подделаные отправители, обнаруженные средством аналитики спуфинга. При переопределении разрешения или блокировки решения в аналитических сведениях подделаемый отправитель становится записью разрешения или блокировки вручную, которая отображается только на вкладке "Спуф " в списке разрешений и блоков клиента.

На странице аналитики спуфинга аналитики, которая появляется после нажатия кнопки "Просмотреть действие спуфинга" в аналитике спуфинга, страница содержит следующие сведения:

  • Подделаемый пользователь: домен спуфингового пользователя, отображаемый в поле "От" в почтовых клиентах. Адрес "От" также называется адресом 5322.From .
  • Инфраструктура отправки: также называется инфраструктурой. Инфраструктура отправки будет иметь одно из следующих значений:
    • Домен, найденный в обратном запросе DNS (запись PTR) IP-адреса исходного почтового сервера.
    • Если исходный IP-адрес не содержит записи PTR, <source IP>то инфраструктура отправки определяется как /24 (например, 192.168.100.100/24).
  • Количество сообщений: количество сообщений из комбинации подделаного домена и инфраструктуры отправки в организацию за последние 7 дней.
  • Последний просмотр: последняя дата получения сообщения от отправляющего объекта инфраструктуры, содержащего подделаный домен.
  • Тип спуфинга: одно из следующих значений:
    • Внутренний: подделаный отправитель находится в домене, принадлежаном вашей организации ( принятому домену).
    • Внешний: спуфинг отправителя находится во внешнем домене.
  • Действие: это значение разрешено или заблокировано:
    • Разрешено: домену не удалось выполнить явную проверку подлинности электронной почты при проверке SPF, DKIM и DMARC. Однако домен прошел наши неявные проверки подлинности электронной почты (составная проверка подлинности). В результате для сообщения не было выполнено никаких действий по устранению спуфинга.
    • Заблокировано: сообщения из комбинации подделаного домена и инфраструктуры отправки помечены как недопустимые с помощью логики спуфинга. Действие, выполняемое с поддельными сообщениями, управляется политикой защиты от фишинга по умолчанию или настраиваемыми политиками защиты от фишинга (значение по умолчанию — "Переместить сообщение в папку нежелательной почты "). Дополнительные сведения см. в разделе "Настройка политик защиты от фишинга" Microsoft Defender для Office 365.

Вы можете щелкнуть выбранные заголовки столбцов, чтобы отсортировать результаты.

Для фильтрации результатов доступны следующие параметры:

  • Нажмите кнопку "Фильтр ". Во всплывающем окне "Фильтр" можно отфильтровать результаты по:
    • Тип спуфинга
    • Действие
  • Используйте поле поиска , чтобы ввести разделенный запятыми список подделаемых значений домена или отправить значения инфраструктуры для фильтрации результатов.

Просмотр сведений о спуфинге сообщений

При выборе записи из списка появляется всплывающее окно сведений, содержащее следующие сведения и компоненты:

  • Разрешить спуфинг или блокировку спуфинга . Выберите одно из этих значений, чтобы переопределить исходное решение аналитики спуфинга и переместить запись из аналитики спуфинга в список разрешений и блокирования клиента в качестве разрешения или блокировки записи для спуфинга.
  • Почему мы перехвачены.
  • Что нужно сделать.
  • Сводка по домену, которая содержит большую часть той же информации на главной странице аналитики спуфинга.
  • Данные WhoIs об отправителях.
  • Ссылка, чтобы открыть обозреватель угроз, чтобы просмотреть дополнительные сведения об отправителях в разделе "Просмотр > фишинга " Microsoft Defender для Office 365.
  • Аналогичные сообщения, которые мы видели в клиенте от того же отправителя.

О разрешенных подделаных отправителях

Разрешенный спуфинг отправителя в аналитике спуфинга или заблокированный поддельный отправитель, который вы вручную изменили на " Разрешить спуфинг", разрешает сообщения только из комбинации подделаного домена и инфраструктуры отправки. Он не разрешает электронную почту из подделаного домена из любого источника и не разрешает электронную почту из инфраструктуры отправки для любого домена.

Например, следующий подделавщик может подделыть:

  • Домен: gmail.com
  • Инфраструктура: tms.mx.com

Подделываться будет только сообщение электронной почты из этой пары домена или отправляющего инфраструктуры. Другие отправители, пытайтесь подделыть gmail.com не допускаются автоматически. Сообщения от отправителей в других доменах, поступающие tms.mx.com, по-прежнему проверяются аналитикой спуфинга и могут быть заблокированы.

Использование аналитики спуфинга в Exchange Online PowerShell или автономной версии EOP PowerShell

В PowerShell используется командлет Get-SpoofIntelligenceInsight для просмотра разрешенных и заблокированных подделаемых отправителей, обнаруженных средством аналитики спуфинга. Чтобы вручную разрешить или заблокировать спуфинг отправителей, необходимо использовать командлет New-TenantAllowBlockListSpoofItems . Дополнительные сведения см. в разделе "Использование PowerShell для управления подделаными записями отправителей в списке разрешений и блоков клиента".

Чтобы просмотреть сведения в аналитике спуфинга, выполните следующую команду:

Get-SpoofIntelligenceInsight

Подробные сведения о синтаксисе и параметрах см. в статье Get-SpoofIntelligenceInsight.

Другие способы управления спуфингом и фишингом

Будьте внимательны при спуфинге и защите от фишинга. Ниже приведены связанные способы проверки отправителей, которые подделыют ваш домен, и помогают предотвратить их повреждение в организации.

  • Проверьте отчет о подмене почты. Этот отчет можно часто использовать для просмотра и управления подделаными отправителями. Дополнительные сведения см. в отчете об обнаружении спуфинга.

  • Проверьте конфигурацию платформы политики отправителей (SPF). Для быстрого ознакомления с SPF и его быстрой настройки см. раздел Настройка SPF в Microsoft 365, чтобы предотвратить подделку. Дополнительные сведения об использовании инфраструктуры политики отправителей в Office 365, рекомендации по устранению неполадок и инструкции для нестандартных, в том числе гибридных, развертываний см. в статье How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing.

  • Проверьте конфигурацию domainKeys Identified Mail (DKIM). DKIM следует использовать в дополнение к SPF и DMARC, чтобы предотвратить отправку злоумышленниками сообщений, которые выглядят так, как они поступают из вашего домена. DKIM позволяет добавлять цифровую подпись в заголовки сообщений электронной почты. Дополнительные сведения см. в статье "Использование DKIM для проверки исходящей электронной почты, отправленной из личного домена в Office 365".

  • Проверьте конфигурацию проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC). Реализация DMARC в сочетании с SPF и DKIM обеспечивает дополнительную защиту от спуфинга и фишинга. DMARC помогает получающим почтовым системам определить, что делать с сообщениями, отправленными из вашего домена, которые не прошли проверки SPF или DKIM. Дополнительные сведения см. в разделе "Использование DMARC для проверки электронной почты в Office 365".