Falska intelligensinsikter i EOP

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Anteckning

Funktionerna som beskrivs i den här artikeln är förhandsversioner, kan komma att ändras och är inte tillgängliga i alla organisationer. Om organisationen inte har de funktioner som beskrivs i den här artikeln kan du läsa den äldre hanteringsupplevelsen för förfalskning på Hantera förfalskningsavsändaremed hjälp av förfalsknings- och förfalskningsinformation i EOP.

I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående EOP-organisationer (Exchange Online Protection) utan Exchange Online postlådor skyddas inkommande e-postmeddelanden automatiskt mot förfalskning. EOP använder förfalskningsinformation som en del av organisationens totala skydd mot nätfiske. Mer information finns i Skydd mot förfalskning i EOP.

När en avsändare kapar en e-postadress verkar det vara en användare i en av organisationens domäner eller en användare i en extern domän som skickar e-post till organisationen. Attacker som förfalskning av avsändare för att skicka skräppost eller nätfiske måste blockeras. Men det finns situationer där legitima avsändare är förfalskning. Till exempel:

  • Legitima scenarier för förfalskning av interna domäner:

    • Avsändare från tredje part använder din domän för att skicka massutskick till dina egna anställda för företags enkäter.
    • Ett externt företag genererar och skickar reklam- eller produktuppdateringar åt dig.
    • En assistent behöver regelbundet skicka e-post till en annan person i din organisation.
    • Ett internt program skickar e-postaviseringar.
  • Legitima scenarier för förfalskning av externa domäner:

    • Avsändaren finns på en distributionslista (kallas även diskussionslista) och distributionslistan vidarebefordrar e-post från den ursprungliga avsändaren till alla deltagare på distributionslistan.
    • Ett externt företag skickar e-post åt ett annat företag (till exempel en automatiserad rapport eller ett företag som en programvara som en tjänst).

Du kan använda förfalskningsinformation i Microsoft 365 Defender-portalen för att snabbt identifiera falska avsändare som på ett legitimt sätt skickar oauthenticerad e-post (meddelanden från domäner som inte klarar SPF-, DKIM- eller DMARC-kontroller) och manuellt tillåta dessa avsändare.

Genom att tillåta kända avsändare att skicka falska meddelanden från kända platser kan du minska falska positiva resultat (bra e-postmeddelande markerat som dåligt). Genom att övervaka tillåtna förfalskningsavsändare tillhandahåller du ytterligare en säkerhetsnivå för att förhindra att osäkra meddelanden kommer till organisationen.

På samma sätt kan du granska falska avsändare som tillåts av förfalskningsinformation och manuellt blockera dessa avsändare från förfalskningsinformation.

Resten av den här artikeln förklarar hur du använder förfalskningsinformation i Microsoft 365 Defender-portalen och i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online, fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Anteckning

  • Endast falska avsändare som identifierats av förfalskningsinformation visas i förfalskningsinformation. När du åsidosätter blockeringen av tillåt eller blockering i insikten blir den förfalskningsberättigade avsändaren en manuell tillåta-eller blockeringspost som bara visas på fliken Förfalskning i klientorganisationens lista över tillåtna/blockerade avsändare. Du kan även manuellt skapa tillåta eller blockera poster för förfalskningsavsändare innan de identifieras av förfalskningsinformation. För mer information se Hantera Tillåten av klient/blockeringslista i EOP.

  • Förfalskningsinsikter och förfalskningsfliken i listan Tillåt/blockera för klientorganisationen ersätter funktionerna i förfalskningsinformationsprincipen som fanns tillgänglig på sidan för skydd mot skräppost-policy i Säkerhets- och efterlevnadscenter för &.

  • Förfalskningsinsikten visar data för 7 dagar. Cmdleten Get-SpoofIntelligenceInsight visar data för 30 dagar.

Vad behöver jag veta innan jag börjar?

Öppna förfalskningsinformation i Microsoft 365 Defender portalen

  1. I portalen Microsoft 365 Defender på går du till E-& principer för samarbete & principer för hot för klientorganisationens https://security.microsoft.com > > > tillåtna/blockerade listor i avsnittet Regler. Om du vill gå direkt till fliken Förfalskning på sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem .

  2. På sidan Listor över tillåtna/blockerade klientorganisation ser förfalskningsinformation ut så här:

    Förfalskningsinformation på sidan Mot nätfiskeprincip.

    Insikten har två lägen:

    • Insiktsläge: Om förfalskningsinformation har aktiverats visar insikten hur många meddelanden som har upptäckts av förfalskningsinformation under de senaste sju dagarna.
    • Vad händer om-läge: Om förfalskningsinformation är inaktiverad visar insikten hur många meddelanden som skulle ha upptäckts av förfalskningsinformation under de senaste sju dagarna.

Om du vill visa information om förfalskningsinformation klickar du på Visa förfalskningsaktivitet i förfalskningsinformation.

Visa information om falska meddelanden

Anteckning

Kom ihåg att endast falska avsändare som identifierats av förfalskningsinformation visas på den här sidan. När du åsidosätter blockeringen av tillåt eller blockering i insikten blir den förfalskningsberättigade avsändaren en manuell tillåta-eller blockeringspost som bara visas på fliken Förfalskning i klientorganisationens lista över tillåtna/blockerade avsändare.

På sidan Förfalskningsinformation som visas när du klickar på Visa förfalskningsaktivitet i förfalskningsinformation innehåller sidan följande information:

  • Förfalskningsanvändare: Domänen för den kapade användaren som visas i rutan Från i e-postklienter. Från-adressen kallas även för 5322.From adressen.
  • Skicka infrastruktur: kallas även för infrastrukturen. Den avsändande infrastrukturen kommer att vara ett av följande värden:
    • Domänen finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress.
    • Om käll-IP-adressen inte har någon PTR-post identifieras den avsändande infrastrukturen som <source IP> /24 (till exempel 192.168.100.100/24).
  • Antal meddelanden: Antalet meddelanden från kombinationen av förfalskningsdomänen och den avsändande infrastrukturen till organisationen under de senaste 7 dagarna.
  • Senast sedd: Det sista datumet när ett meddelande togs emot från den avsändande infrastrukturen som innehåller den falska domänen.
  • Förfalskningstyp: Ett av följande värden:
    • Internt: Förfalskningsavsändare finns i en domän som tillhör din organisation (en godkänd domän).
    • Extern: Den falska avsändaren finns i en extern domän.
  • Åtgärd: Det här värdet är tillåtet eller blockerat:
    • Tillåtet: Domänen misslyckades med explicit e-postautentisering kontrollerar SPF, DKIMoch DMARC. Domänen klarade dock vår implicita e-postautentisering(sammansatt autentisering). Därför vidtogs ingen förfalskning i meddelandet.
    • Blockerad: Meddelanden från kombination av förfalskningsdomän och avsändarinfrastruktur markeras som dåliga av förfalskningsinformation. Den åtgärd som vidtas på falska meddelanden styrs av standardprincipen för skydd mot nätfiske eller anpassade principer för nätfiske (standardvärdet är Flytta meddelandet till mappen Skräppost). Mer information finns i Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Du kan klicka på markerade kolumnrubriker för att sortera resultatet.

Du har följande alternativ för att filtrera resultaten:

  • Klicka på knappen Filter. I den utfällfällade filterfällan som visas kan du filtrera resultaten genom att:
    • Förfalskningstyp
    • Åtgärd
  • Använd sökrutan för att ange en kommaavgränsad lista med falska domänvärden eller genom att skicka infrastrukturvärden för att filtrera resultaten.

Visa information om falska meddelanden

När du väljer en post i listan visas en utfäll kant med följande information och funktioner:

  • Tillåt förfalskning eller blockering av förfalskning: Välj ett av dessa värden för att åsidosätta den ursprungliga förfalskningsanalysen och flytta posten från förfalskningsinformation till klientorganisationens lista över tillåtna/blockerade listor som ett tillåtet eller blockerat förfalskningspost.
  • Därför att vi inte kunde göra detta.
  • Det här behöver du göra.
  • En domänsammanfattning som innehåller de flesta av samma information från huvudsidan för förfalskningsinformation.
  • WhoIs data about the sender.
  • En länk till att öppna Hotutforskaren för att se ytterligare information om avsändaren under Visa > Phish i Microsoft Defender för Office 365.
  • Liknande meddelanden som vi har sett i klientorganisationen från samma avsändare.

Om tillåtna förfalskningsavsändare

En tillåten förfalskningsavsändare i förfalskningsinsikter eller en blockerad förfalskningsavsändare som du manuellt har ändrat till Tillåt förfalskning tillåter endast meddelanden från kombinationen av förfalskningsdomänen och avsändarinfrastrukturen. E-post från den falska domänen från någon källa tillåts inte heller e-post från avsändarinfrastrukturen för någon domän.

Följande falska avsändare får till exempel kapa:

  • Domän: gmail.com
  • Infrastruktur: tms.mx.com

Endast e-post från den domänen/det avsändande infrastrukturparet kommer att tillåtas förfalskning. Andra avsändare som försöker kapa gmail.com-post tillåts inte automatiskt. Meddelanden från avsändare i andra domäner som kommer tms.mx.com kontrolleras fortfarande av förfalskningsinformation och kan blockeras.

Använda förfalskningsinformation i PowerShell Exchange Online eller fristående EOP PowerShell

I PowerShell använder du cmdleten Get-SpoofIntelligenceInsight till att visa tillåtna och blockerade förfalskningsavsändare som identifierats av förfalskningsinformation. Om du vill tillåta eller blockera förfalskningsavsändarna manuellt måste du använda cmdleten New-TenantAllowBlockListSpoofItems. Mer information finns i Använda PowerShell för att hantera förfalskningsposter från klientorganisationens lista över tillåtna/blockerade avsändare.

Om du vill visa informationen i förfalskningsinformation kör du följande kommando:

Get-SpoofIntelligenceInsight

Detaljerad information om syntax och parametrar finns i Get-SpoofIntelligenceInsight.

Andra sätt att hantera förfalskning och nätfiske

Var flitig om förfalskning och nätfiskeskydd. Här är relaterade sätt att kontrollera avsändare som förfalskning av din domän och se till att de inte kan skada organisationen: