Steg-för-steg skydd mot hot i Microsoft Defender för Office 365
Microsoft Defender för Office 365 skydd eller filtreringsstack kan delas upp i fyra faser, som i den här artikeln. Vanligtvis passerar inkommande e-post genom alla dessa faser före leverans, men den faktiska sökvägen som e-post tar omfattas av organisationens Defender för Office 365 konfiguration.
Tips
Håll utkik efter en enhetlig bild av alla fyra faserna av Defender i slutet av den här artikeln för Office 365 skydd!
Fas 1 – Edge Protection
Tyvärr är Edge-block som en gång var kritiska nu relativt enkla för dåliga aktör att hantera. Med tiden blockeras mindre trafik här, men den är fortfarande en viktig del av högen.
Edge-block är utformade för att vara automatiska. Om det är falskt positivt meddelas avs avsändarna och får veta hur de ska lösa problemet. Kopplingar från betrodda partner med begränsat rykte kan säkerställa att levererbarheten kan tillhandahållas, eller att tillfälliga åsidosättningar kan göras, vid registrering av nya slutpunkter.
Nätverksbegränsning skyddar Office 365 infrastruktur och kunder från DOS-attacker (Denial of Service) genom att begränsa antalet meddelanden som kan skickas av en viss uppsättning infrastruktur.
IP-rykte och -begränsning blockerar meddelanden som skickas från kända dåliga ip-adresser. Om en specifik IP skickar många meddelanden under en kort tidsperiod kommer de att begränsas.
Ryktet blockerar alla meddelanden som skickas från en känd felaktig domän.
Katalogbaserade gränsfiltreringsblock försöker samla in organisationens kataloginformation via SMTP.
Identifiering av bakåtcatter förhindrar att en organisation ansar ogiltiga rapporter om utebliven leverans (NDR-rapporter).
Förbättrad filtrering för kopplingar bevarar autentiseringsinformation även när trafiken passerar genom en annan enhet innan den når Office 365. Detta förbättrar filtrering av staplar, inklusive heuristisk gruppering, skydd mot förfalskning och utbildningmodeller mot nätfiske, även i komplexa dirigeringsscenarier eller hybriddirigeringsscenarier.
Fas 2 – Sender Intelligence
Funktioner i avsändarinformation är avgörande för att upptäcka skräppost, massutskick, personifiering och obehöriga förfalskningsmeddelanden och även för att göra identifiering av meddelanden. De flesta av dessa funktioner kan konfigureras individuellt.
Identifiering av konto komprometteringar utlöses och aviseringar höjs när ett konto har avvikande beteende, konsekvent med intrång. I vissa fall blockeras användarkontot och hindras från att skicka ytterligare e-postmeddelanden tills problemet har lösts av en organisations säkerhetsgrupp.
E-postautentisering involverar både konfigurerade kundmetoder och metoder i molnet, i syfte att säkerställa att avsändare är behöriga och autentiserade e-postare. Dessa metoder mot förfalskning.
- SPF kan avvisa e-post baserat på DNS TXT-poster som listar IP-adresser och servrar som tillåts skicka e-post för organisationens räkning.
- DKIM tillhandahåller en krypterad signatur som autentiserar avsändaren.
- Med DMARC kan administratörer markera SPF och DKIM som krävs i deras domän och tillämpa justering mellan resultaten för dessa två tekniker.
- ARC är inte kundkonfigurerat, men bygger på DMARC för att fungera med vidarebefordran i distributionslistor, samtidigt som du spelar in en autentiseringskedja.
Förfalskningsinformation kan filtrera de som är tillåtna för förfalskning (d.v.s. de som skickar e-post åt ett annat konto eller vidarebefordrar för en distributionslista) från skadliga avsändare som imiterar organisationsdomäner eller kända externa domäner. Den skiljer legitima "åt" e-post från avsändare som förfalskning att leverera skräppost och nätfiskemeddelanden.
Förfalskningsinformation inom årsorganisationen identifierar och blockerar förfalskningsförsök från en domän inom organisationen.
Förfalskningsinformation över hela domänen identifierar och blockerar förfalskningsförsök från en domän utanför organisationen.
Med massfiltrering kan administratörer konfigurera en BCL -nivå (Bulk Confidence Level) som anger om meddelandet skickades från en massavsändare. Administratörer kan använda skjutreglaget Massutskick i principen mot skräppost för att bestämma vilken nivå av massutskick som ska behandlas som skräppost.
Postlådeintelligens lär sig av vanliga användar-e-postbeteenden. Den utnyttjar en användares kommunikationsdiagram för att identifiera när en avsändare bara verkar vara någon som användaren normalt kommunicerar med, men faktiskt är skadlig. Den här metoden identifierar personifiering.
Postlådeintelligens aktiverar eller inaktiverar förbättrade personifieringsresultat baserat på varje användares enskilda avsändarmappning. När den här funktionen är aktiverad kan du identifiera personifiering.
Med användarpersonifiering kan en administratör skapa en lista med mål med höga värden som sannolikt kommer att utge sig för att vara. Om ett e-postmeddelande kommer in där avsändaren bara verkar ha samma namn och adress som det skyddade högvärdeskontot markeras eller taggas e-postmeddelandet. (Till exempel trα cye@contoso.com for tracye@contoso.com).
Domänpersonifiering identifierar domäner som liknar mottagarens domän och som försöker se ut som en intern domän. Den här personifieringen kan till tracye@liw α re.com för tracye@litware.com.
Fas 3 – Innehållsfiltrering
I den här fasen börjar filtreringsstacken att hantera det specifika innehållet i e-postmeddelandet, inklusive hyperlänkar och bifogade filer.
Transportregler (kallas även e-postflödesregler eller Exchange-transportregler) gör att en administratör kan vidta en mängd olika åtgärder när ett meddelande har en lika stor mängd villkor uppfylls. Alla meddelanden som flödar genom organisationen utvärderas mot aktiverade e-postflödesregler/transportregler.
Microsoft Defender Antivirus och två antivirusmotorer från tredje part används för att identifiera all känd skadlig programvara i bifogade filer.
Antivirusmotorerna (AV) används också för att skriva in alla bifogade filer, så att blockering av Type kan blockera alla typer av bifogade filer som administratören anger.
När Microsoft Defender för Office 365 identifierar en skadlig bifogad fil läggs filens hashtagg och en hash-hash av dess aktiva innehåll till i Exchange Online Protection (EOP) rykte. Blockering av ryktet för bifogade filer blockerar filen i Office 365, och på slutpunkter, genom MSAV-molnsamtal.
Med heuristisk gruppering kan det fastställas att en fil är misstänkt baserat på leverans heuristisk. När en misstänkt bifogad fil hittas pausas hela kampanjen och filen begränsats. Om filen skulle vara skadlig blockeras hela kampanjen.
Maskininlärningsmodeller agerar på meddelandehuvud, brödtext och URL:er för att identifiera försök till nätfiske.
Microsoft använder ett rykte från URL-begränsat läge (URL) samt URL-rykte från tredjepartsflöden i url-ryktesblockering , för att blockera meddelanden med en känd skadlig URL.
Innehålls heuristics kan identifiera misstänkta meddelanden utifrån struktur och ordfrekvens i meddelandets brödtext, med hjälp av maskininlärningsmodeller.
Valv i begränsat läge för alla bifogade filer i Begränsat läge för Defender för Office 365-kunder, med dynamisk analys för att identifiera hot som aldrig tidigare har upptäckts.
Detonation för länkat innehåll behandlar alla URL-länkar till en fil i ett e-postmeddelande som en bifogad fil, asynkront begränsat filen vid leverans.
URL-detonation inträffar när den överordnade nätfisketekniken upptäcker att ett meddelande eller en URL är misstänkt. URL-detonation i begränsat läge URL:er i meddelandet vid leverans.
Fas 4 – Skydd efter leverans
Det sista steget äger rum efter e-post- eller filleverans, och då gäller e-post som finns i olika postlådor och filer och länkar som visas i klienter som Microsoft Teams.
Valv Links är Defender Office 365 det är dags att klicka-skydd. Alla URL:er i varje meddelande radbruts för att peka på Microsoft Valv Links-servrar. När man klickar på en URL kontrolleras den mot det senaste ryktet, innan användaren omdirigeras till målwebbplatsen. URL-adressen är asynkront begränsat för att uppdatera dess rykte.
ZAP (Zero-hour auto purge) för nätfiske retroaktivt identifierar och neutralerar skadliga nätfiskemeddelanden som redan har Exchange Online postlådor.
ZAP för skadlig programvara identifierar och neutralerar retroaktivt skadliga meddelanden som redan har levererats till Exchange Online postlådor.
ZAP för skräppost identifierar och neutralerar retroaktivt skadliga skräppostmeddelanden som redan har levererats till Exchange Online postlådor.
Kampanjvyer gör det möjligt för administratörer att se en helhetsbild av en attack, snabbare och mer fullständigt, än vad ett team skulle kunna utan automation. Microsoft utnyttjar de stora mängder information om skydd mot nätfiske, skräppost och skadlig programvara i hela tjänsten för att identifiera kampanjer och gör sedan det möjligt för administratörer att undersöka dem från början till slut, inklusive mål, effekter och flöden, som också finns tillgängliga i en nedladdningsbar kampanj.
Med tilläggen Rapportmeddelande kan användare enkelt rapportera falska positiva resultat (bra e-postmeddelande, felaktigt markerat som dåligt ) eller falskt negativa (felaktigt e-postmeddelande markerat som bra) till Microsoft för vidare analys.
Valv för Office-klienter har samma skydd med Valv-länkar (time of-click) i Office-klienter som Word, PowerPoint och Excel.
Skydd för OneDrive, SharePoint och Teams har samma Valv-skydd mot skadliga filer, inbyggt i OneDrive, SharePoint och Microsoft Teams.
När en URL som pekar på en fil markeras efter leverans visar detonationen för länkat innehåll en varningssida tills begränsat läge för filen är klar och URL-adressen är säker.
Filtreringsstackdiagrammet
Det slutliga diagrammet (som med alla delar av diagrammet som skriver det) kan komma att ändras allt eftersom produkten växer och utvecklar. Bokmärk den här sidan och använd alternativet för feedback som du hittar längst ned om du behöver fråga efter uppdateringar. För dina poster är det här högen med alla faser i ordning:
Mer information
Behöver du konfigurera Microsoft Defender för Office 365 just nu _? Använd den här _now, med det här stegvisa för att börja skydda din organisation.
Särskilt tack från MSFTTracyP och docs-skrivteamet till Giulian Garruba för innehållet.