Пошаговая защита от угроз в Microsoft Defender для Office 365Step-by-step threat protection in Microsoft Defender for Office 365

Стек microsoft Defender для Office 365 или фильтрации можно разбить на 4 этапа, как в этой статье.The Microsoft Defender for Office 365 protection or filtering stack can be broken out into 4 phases, as in this article. Как правило, входящий почтовый ящик проходит все эти этапы перед доставкой, но фактический путь, который принимает электронная почта, подлежит конфигурации Defender организации для Office 365.Generally speaking, incoming mail passes through all of these phases before delivery, but the actual path email takes is subject to an organization's Defender for Office 365 configuration.

Совет

Оставайтесь с нами до конца этой статьи для единой графики всех 4 этапов Defender для Office 365 защиты!Stay tuned till the end of this article for a unified graphic of all 4 phases of Defender for Office 365 protection!

Этап 1 — защита краяPhase 1 - Edge Protection

К сожалению, блоки Edge, которые когда-то были критическими, теперь относительно просты для устранения плохих участников. Unfortunately, Edge blocks that were once critical are now relatively simple for bad actors to overcome. Со временем здесь блокируется меньше трафика, но он остается важной частью стека.Over time, less traffic is blocked here, but it remains an important part of the stack.

Блоки edge предназначены для автоматического использования.Edge blocks are designed to be automatic. В случае ложного срабатыва, отправители будут уведомлены и рассказали, как решить их проблему.In the case of false positive, senders will be notified and told how to address their issue. Соединители от надежных партнеров с ограниченной репутацией могут обеспечить доступность или ввести временные переопределения при включении новых конечных точек.Connectors from trusted partners with limited reputation can ensure deliverability, or temporary overrides can be put in place, when onboarding new endpoints.

Этап 1 фильтрации в Defender для Office 365 является edge Protection.

  1. Регулирование сети защищает Office 365 инфраструктуру и клиентов от атак отказов в обслуживании (DOS), ограничив количество сообщений, которые могут быть отправлены определенным набором инфраструктуры.Network throttling protects Office 365 infrastructure and customers from Denial of Service (DOS) attacks by limiting the number of messages that can be submitted by a specific set of infrastructure.

  2. Репутация и регулирование IP заблокируют сообщения, отосланные с известных плохо подключающихся IP-адресов.IP reputation and throttling will block messages being sent from known bad connecting IP addresses. Если определенный IP-адрес отправляет большое количество сообщений в течение короткого периода времени, они будут перенаправлены.If a specific IP sends many messages in a short period of time they will be throttled.

  3. Репутация домена заблокировала все сообщения, отправленные из известного плохого домена.Domain reputation will block any messages being sent from a known bad domain.

  4. Блоки фильтрации по краям на основе каталогов пытаются собирать сведения о каталогах организации с помощью SMTP.Directory-based edge filtering blocks attempts to harvest an organization's directory information through SMTP.

  5. Обнаружение backscatter предотвращает атаки на организацию с помощью недействительных отчетов о невозвращении (NDRs).Backscatter detection prevents an organization from being attacked through invalid non-delivery reports (NDRs).

  6. Улучшенная фильтрация соединителя сохраняет сведения о проверке подлинности даже при пропуске трафика через другое устройство до Office 365.Enhanced filtering for connectors preserves authentication information even when traffic passes through another device before it reaches Office 365. Это повышает точность фильтрации стеков, включая гуристическое кластеризация, антишуфинг и модели машинного обучения для защиты от фишинга, даже при сложных или гибридных сценариях маршрутов.This improves filtering stack accuracy, including heuristic clustering, anti-spoofing, and anti-phishing machine learning models, even when in complex or hybrid routing scenarios.

Этап 2 — аналитика отправительPhase 2 - Sender Intelligence

Функции в разведданных отправитель имеют решающее значение для обнаружения нежелательной почты, массовой рассылки, обезличения и несанкционированного подмены сообщений, а также фактора обнаружения фишинга.Features in sender intelligence are critical for catching spam, bulk, impersonation, and unauthorized spoof messages, and also factor into phish detection. Большинство этих функций настраиваются по отдельности.Most of these features are individually configurable.

Этап 2 фильтрации в MDO — это интеллект отправитель.

  1. Триггеры обнаружения компрометации учетных записей и оповещения поднимаются, если учетная запись имеет аномальное поведение, соответствующее компромиссу.Account compromise detection triggers and alerts are raised when an account has anomalous behavior, consistent with compromise. В некоторых случаях учетная запись пользователя блокируется и не может отправлять дополнительные сообщения электронной почты до тех пор, пока проблема не будет устранена командой операций безопасности организации.In some cases, the user account is blocked and prevented from sending any further email messages until the issue is resolved by an organization's security operations team.

  2. Проверка подлинности электронной почты включает в себя как настроенные клиентом методы, так и методы, настроенные в облаке, направленные на то, чтобы обеспечить авторизованные подлинные почтовые ящики отправителей.Email Authentication involves both customer configured methods and methods set up in the Cloud, aimed at ensuring that senders are authorized, authentic mailers. Эти методы сопротивляются подмене.These methods resist spoofing.

    • SPF может отклонить сообщения на основе записей TXT DNS, которые перечисляют IP-адреса и серверы, разрешенные для отправки почты от имени организации.SPF can reject mails based on DNS TXT records that list IP addresses and servers allowed to send mail on the organization's behalf.
    • DKIM предоставляет зашифрованную подпись, которая аутентификация отправителю.DKIM provides an encrypted signature that authenticates the sender.
    • DMARC позволяет администраторам отмечать SPF и DKIM по мере необходимости в домене и обеспечивает выравнивание результатов этих двух технологий.DMARC lets admins mark SPF and DKIM as required in their domain and enforces alignment between the results of these two technologies.
    • ARC не настроена на клиента, а создается на основе DMARC для работы с пересылке в списках рассылки при записи цепочки проверки подлинности.ARC is not customer configured, but builds on DMARC to work with forwarding in mailing lists, while recording an authentication chain.
  3. Spoof intelligence способен фильтровать те, кому разрешено "подменить" (то есть отправлять почту от имени другой учетной записи или пересылать список рассылки) от вредоносных отправителей, имитирующих организационные или известные внешние домены.Spoof intelligence is capable of filtering those allowed to 'spoof' (that is, those sending mail on behalf of another account, or forwarding for a mailing list) from malicious senders who imitate organizational or known external domains. Он отделяет легитимную почту "от имени" от отправителей, которые подменяют доставку сообщений нежелательной почты и фишинга.It separates legitimate 'on behalf of' mail from senders who spoof to deliver spam and phishing messages.

    Разведка spoof intra-org обнаруживает и блокирует попытки подмены из домена в организации.Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. Меж доменная разведка подмены обнаруживает и блокирует попытки подмены из домена за пределами организации.Cross-domain spoof intelligence detects and blocks spoof attempts from a domain outside of the organization.

  5. Массовая фильтрация позволяет администраторам настраивать массовый уровень доверия (BCL), указывающий, было ли отправлено сообщение от отправитель массы.Bulk filtering lets admins configure a bulk confidence level (BCL) indicating whether the message was sent from a bulk sender. Администраторы могут использовать массовый слайдер в политике Antispam, чтобы определить, какой уровень массовой почты можно рассматривать как спам.Administrators can use the Bulk Slider in the Antispam policy to decide what level of bulk mail to treat as spam.

  6. Аналитика почтовых ящиков учится на стандартных действиях электронной почты пользователей.Mailbox intelligence learns from standard user email behaviors. Он использует график коммуникации пользователя, чтобы определить, когда отправитель только кажется, что это тот, с кем пользователь обычно общается, но на самом деле является вредоносным.It leverages a user's communication graph to detect when a sender only appears to be someone the user usually communicates with, but is actually malicious. Этот метод обнаруживает вымысление.This method detects impersonation.

  7. Обезличение почтовых ящиков позволяет или отключает расширенные результаты обезличения на основе индивидуальной карты отправитель каждого пользователя.Mailbox intelligence impersonation enables or disables enhanced impersonation results based on each user's individual sender map. При включенной функции эта функция помогает определить обезличение.When enabled, this feature helps to identify impersonation.

  8. Вымысление пользователя позволяет администратору создать список целей с высоким значением, которые могут быть обезличены.User impersonation allows an admin to create a list of high value targets likely to be impersonated. Если почта поступает, где отправитель имеет только то же имя и адрес, что и защищенная учетная запись с высоким значением, почта помечена или помечена.If a mail arrives where the sender only appears to have the same name and address as the protected high value account, the mail is marked or tagged. (Например, trα cye@contoso.com для tracye@contoso.com).(For example, trαcye@contoso.com for tracye@contoso.com).

  9. При обезличии домена обнаруживаются домены, похожие на домен получателя, которые пытаются выглядеть как внутренний домен.Domain impersonation detects domains that are similar to the recipient's domain and that attempt to look like an internal domain. Например, это вымысление tracye@liw α re.com для tracye@litware.com.For example, this impersonation tracye@liwαre.com for tracye@litware.com.

Этап 3 — фильтрация контентаPhase 3 - Content Filtering

На этом этапе стек фильтрации начинает обрабатывать определенное содержимое почты, включая гиперссылки и вложения.In this phase the filtering stack begins to handle the specific contents of the mail, including its hyperlinks and attachments.

Фаза 3 фильтрации в MDO — фильтрация контента.

  1. Правила транспорта (также известные как правила потока почты или правила Exchange транспорта) позволяют администратору принимать самые разнообразные действия при одинаково широком диапазоне условий для сообщения.Transport rules (also known as mail flow rules or Exchange transport rules) allow an admin to take a wide range of actions when an equally wide range of conditions are met for a message. Все сообщения, которые проходят через организацию, оцениваются по включенным правилам потока почты и правилам транспорта.All messages that flow through your organization are evaluated against the enabled mail flow rules / transport rules.

  2. антивирусная программа в Microsoft Defender и два сторонних антивирусных двигателя используются для обнаружения всех известных вредоносных программ в вложениях.Microsoft Defender Antivirus and two third-party Antivirus engines are used to detect all known malware in attachments.

  3. Антивирусные (AV) двигатели также используются для всех вложений true-type, так что блокировка типа может блокировать все вложения типов, указанных администратором. The anti-virus (AV) engines are also used to true-type all attachments, so that Type blocking can block all attachments of types the admin specifies.

  4. Всякий раз, Office 365 Microsoft Defender для обнаружения вредоносного вложения, к репутации Exchange Online Protection EOP добавляется hash файла и hash его активного контента.Whenever Microsoft Defender for Office 365 detects a malicious attachment, the file's hash, and a hash of its active content, are added to Exchange Online Protection (EOP) reputation. Блокировка репутации вложений блокирует этот файл во всех Office 365 и конечных точках с помощью вызовов облака MSAV.Attachment reputation blocking will block that file across all Office 365, and on endpoints, through MSAV cloud calls.

  5. При кластеристичных группах можно определить, что файл является подозрительным на основе еуристических данных о доставке.Heuristic clustering can determine that a file is suspicious based on delivery heuristics. При обнаружении подозрительного вложения вся кампания останавливается, а файл находится в песочнице.When a suspicious attachment is found, the entire campaign pauses, and the file is sandboxed. Если файл признан вредоносным, вся кампания блокируется.If the file is found to be malicious, the entire campaign is blocked.

  6. Модели машинного обучения действуют в заголовке, контенте и URL-адресах сообщения для обнаружения попыток фишинга.Machine learning models act on the header, body content, and URLs of a message to detect phishing attempts.

  7. Корпорация Майкрософт использует определение репутации из песочниц URL-адреса, а также репутацию URL-адреса из сторонних каналов в блокировании репутации URL-адресов, чтобы заблокировать любое сообщение с известным вредоносным URL-адресом.Microsoft uses a determination of reputation from URL sandboxing as well as URL reputation from third party feeds in URL reputation blocking, to block any message with a known malicious URL.

  8. Heuristics контента может обнаруживать подозрительные сообщения на основе структуры и частоты слов в теле сообщения с помощью моделей машинного обучения.Content heuristics can detect suspicious messages based on structure and word frequency within the body of the message, using machine learning models.

  9. Сейф вложения вложений для всех Office 365 Defender для клиентов с помощью динамического анализа для обнаружения никогда ранее не замеченных угроз.Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.

  10. При детонации связанного контента каждый URL-адрес, связанный с файлом в электронной почте, обрабатывается как вложение, асинхронно песочнив файл во время доставки.Linked content detonation treats every URL linking to a file in an email as an attachment, asynchronously sandboxing the file at the time of delivery.

  11. Детонация URL-адресов происходит, когда технология защиты от фишинга обнаруживает подозрительное сообщение или URL-адрес.URL Detonation happens when upstream anti-phishing technology finds a message or URL to be suspicious. При детонации URL-адресов в сообщении на момент доставки будут указаны URL-адреса.URL detonation sandboxes the URLs in the message at the time of delivery.

Этап 4 — защита после доставкиPhase 4 - Post-Delivery Protection

Последний этап происходит после доставки почты или файла, действуя по почте, которая находится в различных почтовых ящиках и файлах и ссылках, которые отображаются в клиентах, таких как Microsoft Teams.The last stage takes place after mail or file delivery, acting on mail that is in various mailboxes and files and links that appear in clients like Microsoft Teams.

Этап 4 фильтрации в Defender для Office 365 — это защита после доставки.

  1. Сейф Ссылки — это defender для Office 365 защиты при щелчке мыши.Safe Links is Defender for Office 365's time-of-click protection. Каждый URL-адрес в каждом сообщении завернут, чтобы указать на серверы Сейф ссылки.Every URL in every message is wrapped to point to Microsoft Safe Links servers. При нажатии URL-адреса проверяется последняя репутация перед перенаправлением пользователя на целевой сайт.When a URL is clicked it is checked against the latest reputation, before the user is redirected to the target site. URL-адрес асинхронно находится в песочнице, чтобы обновить свою репутацию.The URL is asynchronously sandboxed to update its reputation.

  2. Автоматическая очистка нулевого часа (ZAP) для фишинга задним числом обнаруживает и нейтрализует вредоносные фишинговые сообщения, которые уже доставлены в Exchange Online почтовые ящики.Zero-Hour Auto-purge (ZAP) for phishing retroactively detects and neutralizes malicious phishing messages that have already been delivered to Exchange Online mailboxes.

  3. ZAP для вредоносных программ задним числом обнаруживает и нейтрализует вредоносные сообщения, которые уже доставлены в Exchange Online почтовые ящики.ZAP for malware retroactively detects and neutralizes malicious malware messages that have already been delivered to Exchange Online mailboxes.

  4. ZAP для фишинга задним числом обнаруживает и нейтрализует вредоносные спам-сообщения, которые уже доставлены в Exchange Online почтовые ящики.ZAP for phishing retroactively detects and neutralizes malicious spam messages that have already been delivered to Exchange Online mailboxes.

  5. Представления кампании, позволяя администраторам видеть обывную картину атаки, быстрее и точнее, чем любая команда могла бы без автоматизации.Campaign Views let administrators see the big picture of an attack, faster and more completely, than any team could without automation. Корпорация Майкрософт использует огромное количество данных по борьбе с фишингом, спамом и вредоносными программами во всей службе, чтобы помочь определить кампании, а затем позволяет администраторам исследовать их от начала до конца, включая цели, последствия и потоки, которые также доступны в загружаемой записи кампании.Microsoft leverages the vast amounts of anti-phishing, anti-spam, and anti-malware data across the entire service to help identify campaigns, and then allows admins to investigate them from start to end, including targets, impacts, and flows, that are also available in a downloadable campaign write-up.

  6. Надстройки Report Message позволяют пользователям легко сообщать о ложных срабатывах (хорошая электронная почта, по ошибке помеченная как плохая) или ложных негативах (плохая электронная почта, помеченная как хорошая) в Корпорацию Майкрософт для дальнейшего анализа.The Report Message add-ins enable people to easily report false positives (good email, mistakenly marked as bad) or false negatives (bad email marked as good) to Microsoft for further analysis.

  7. Сейф ссылки для Office клиенты предлагают ту же защиту Сейф ссылок во время щелчка мыши внутри Office клиентов, таких как Word, PowerPoint и Excel.Safe Links for Office clients offers the same Safe Links time-of-click protection, natively, inside of Office clients like Word, PowerPoint, and Excel.

  8. Защита для OneDrive, SharePoint и Teams обеспечивает ту же защиту Сейф вложений от вредоносных файлов внутри OneDrive, SharePoint и Microsoft Teams.Protection for OneDrive, SharePoint, and Teams offers the same Safe Attachments protection against malicious files, natively, inside of OneDrive, SharePoint, and Microsoft Teams.

  9. Когда URL-адрес, который указывает на файл, выбирается после доставки, связанная детонация контента отображает страницу предупреждения, пока не завершится песочница файла, и URL-адрес будет признан безопасным.When a URL that points to a file is selected post delivery, linked content detonation displays a warning page until the sandboxing of the file is complete, and the URL is found to be safe.

Схема стека фильтрацииThe filtering stack diagram

Окончательная схема (как и все части схемы ее создания) может изменяться по мере роста и развития продукта.The final diagram (as with all parts of the diagram composing it) is subject to change as the product grows and develops. Закладки на этой странице и используйте вариант обратной связи, который вы найдете в нижней части, если вам нужно спросить после обновления.Bookmark this page and use the feedback option you'll find at the bottom if you need to ask after updates. Для записей это стек со всеми этапами в порядке:For your records, this is the the stack with all the phases in order:

Все этапы фильтрации в MDO в порядке от 1 до 4.

Дополнительные сведенияMore information

Необходимо ли настроить Microsoft Defender для Office 365 *прямо сейчас _?Do you need to set up Microsoft Defender for Office 365 *right now _? Используйте этот стек _now*, чтобы пошагово начать защищать организацию.Use this stack, _now*, with this step-by-step to start protecting your organization.

Особая благодарность от MSFTTracyP и группы записи документы Для Giulian Garruba для этого контента.Special thanks from MSFTTracyP and the docs writing team to Giulian Garruba for this content.