Steg för steg-skydd mot hot i Microsoft Defender för Office 365Step-by-step threat protection in Microsoft Defender for Office 365

Skydds- eller filtreringsstacken i Microsoft Defender för Office 365 kan delas upp i fyra faser, som i den här artikeln.The Microsoft Defender for Office 365 protection or filtering stack can be broken out into 4 phases, as in this article. Vanligtvis passerar inkommande e-post genom alla dessa faser före leverans, men den faktiska vägen e-post tar omfattas av organisationens Defender för Office 365-konfiguration.Generally speaking, incoming mail passes through all of these phases before delivery, but the actual path email takes is subject to an organization's Defender for Office 365 configuration.

Tips

Håll utkik efter en enhetlig bild av alla de fyra faserna av Defender för Office 365-skydd i slutet av den här artikeln!Stay tuned till the end of this article for a unified graphic of all 4 phases of Defender for Office 365 protection!

Fas 1 – Edge ProtectionPhase 1 - Edge Protection

Tyvärr är Edge-block som en gång var kritiska nu relativt enkla för dåliga aktör att hantera.Unfortunately, Edge blocks that were once critical are now relatively simple for bad actors to overcome. Med tiden blockeras mindre trafik här, men den är fortfarande en viktig del av högen.Over time, less traffic is blocked here, but it remains an important part of the stack.

Edge-block är utformade för att vara automatiska.Edge blocks are designed to be automatic. Om det är falskt positivt meddelas avs avsändarna och får veta hur de ska lösa problemet.In the case of false positive, senders will be notified and told how to address their issue. Kopplingar från betrodda partner med begränsat rykte kan säkerställa att levererbarheten kan tillhandahållas, eller att tillfälliga åsidosättningar kan göras, vid registrering av nya slutpunkter.Connectors from trusted partners with limited reputation can ensure deliverability, or temporary overrides can be put in place, when onboarding new endpoints.

Fas 1 av filtreringen i Defender för Office 365 är Edge Protection.

  1. Nätverksbegränsning skyddar Office 365-infrastrukturen och -kunder från DOS-attacker (Denial of Service) genom att begränsa antalet meddelanden som kan skickas av en viss uppsättning infrastruktur.Network throttling protects Office 365 infrastructure and customers from Denial of Service (DOS) attacks by limiting the number of messages that can be submitted by a specific set of infrastructure.

  2. IP-rykte och -begränsning blockerar meddelanden som skickas från kända dåliga ip-adresser.IP reputation and throttling will block messages being sent from known bad connecting IP addresses. Om en specifik IP skickar många meddelanden under en kort tidsperiod kommer de att begränsas.If a specific IP sends many messages in a short period of time they will be throttled.

  3. Ryktet blockerar alla meddelanden som skickas från en känd felaktig domän.Domain reputation will block any messages being sent from a known bad domain.

  4. Katalogbaserade gränsfiltreringsblock försöker samla in organisationens kataloginformation via SMTP.Directory-based edge filtering blocks attempts to harvest an organization's directory information through SMTP.

  5. Identifiering av bakåtcatter förhindrar att en organisation ansar ogiltiga rapporter om utebliven leverans (NDR-rapporter).Backscatter detection prevents an organization from being attacked through invalid non-delivery reports (NDRs).

  6. Förbättrad filtrering för kopplingar bevarar autentiseringsinformation även när trafiken passerar genom en annan enhet innan den når Office 365.Enhanced filtering for connectors preserves authentication information even when traffic passes through another device before it reaches Office 365. Detta förbättrar filtrering av staplar, inklusive heuristisk gruppering, skydd mot förfalskning och utbildningmodeller mot nätfiske, även i komplexa dirigeringsscenarier eller hybriddirigeringsscenarier.This improves filtering stack accuracy, including heuristic clustering, anti-spoofing, and anti-phishing machine learning models, even when in complex or hybrid routing scenarios.

Fas 2 – Sender IntelligencePhase 2 - Sender Intelligence

Funktioner i avsändarinformation är avgörande för att upptäcka skräppost, massutskick, personifiering och obehöriga förfalskningsmeddelanden och även för att göra identifiering av meddelanden.Features in sender intelligence are critical for catching spam, bulk, impersonation, and unauthorized spoof messages, and also factor into phish detection. De flesta av dessa funktioner kan konfigureras individuellt.Most of these features are individually configurable.

Fas 2 av filtrering i MDO är Sender Intelligence.

  1. Identifiering av konto komprometteringar utlöses och aviseringar höjs när ett konto har avvikande beteende, konsekvent med intrång.Account compromise detection triggers and alerts are raised when an account has anomalous behavior, consistent with compromise. I vissa fall blockeras användarkontot och hindras från att skicka ytterligare e-postmeddelanden tills problemet har lösts av en organisations säkerhetsgrupp.In some cases, the user account is blocked and prevented from sending any further email messages until the issue is resolved by an organization's security operations team.

  2. E-postautentisering involverar både konfigurerade kundmetoder och metoder i molnet, i syfte att säkerställa att avsändare är behöriga och autentiserade e-postare.Email Authentication involves both customer configured methods and methods set up in the Cloud, aimed at ensuring that senders are authorized, authentic mailers. Dessa metoder mot förfalskning.These methods resist spoofing.

    • SPF kan avvisa e-post baserat på DNS TXT-poster som listar IP-adresser och servrar som tillåts skicka e-post för organisationens räkning.SPF can reject mails based on DNS TXT records that list IP addresses and servers allowed to send mail on the organization's behalf.
    • DKIM tillhandahåller en krypterad signatur som autentiserar avsändaren.DKIM provides an encrypted signature that authenticates the sender.
    • Med DMARC kan administratörer markera SPF och DKIM som krävs i deras domän och tillämpa justering mellan resultaten för dessa två tekniker.DMARC lets admins mark SPF and DKIM as required in their domain and enforces alignment between the results of these two technologies.
    • ARC är inte kundkonfigurerat, men bygger på DMARC för att fungera med vidarebefordran i distributionslistor, samtidigt som du spelar in en autentiseringskedja.ARC is not customer configured, but builds on DMARC to work with forwarding in mailing lists, while recording an authentication chain.
  3. Förfalskningsinformation klarar av att filtrera de som är tillåtna för förfalskning (d.v.s. de som skickar e-post åt ett annat konto eller vidarebefordran för en distributionslista) från skadliga förfalskningsmeddelanden som skickar e-post för ett organisationskonto eller en känd extern domän.Spoof intelligence is capable of filtering those allowed to 'spoof' (that is, those sending mail on behalf of another account, or forwarding for a mailing list) from malicious spoofers imitating an organizational, or known external, domain. Den skiljer legitima "åt" e-post från avsändare som kapar för att leverera skräppost och nätfiskemeddelanden.It separates legitimate 'on behalf of' mail from senders spoofing to deliver spam and phishing messages.

    Förfalskningsinformation inom årsorganisationen identifierar och blockerar förfalskningsförsök från en domän inom organisationen.Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. Förfalskningsinformation över hela domänen identifierar och blockerar förfalskningsförsök från en domän utanför organisationen.Cross-domain spoof intelligence detects and blocks spoof attempts from a domain outside of the organization.

  5. Med massfiltrering kan administratörer konfigurera en BCL -nivå (Bulk Confidence Level) som anger om meddelandet skickades från en massavsändare.Bulk filtering lets admins configure a bulk confidence level (BCL) indicating whether the message was sent from a bulk sender. Administratörer kan använda skjutreglaget Massutskick i principen mot skräppost för att bestämma vilken nivå av massutskick som ska behandlas som skräppost.Administrators can use the Bulk Slider in the Antispam policy to decide what level of bulk mail to treat as spam.

  6. Postlådeintelligens lär sig av vanliga användar-e-postbeteenden.Mailbox intelligence learns from standard user email behaviors. Den använder en användares kommunikationsdiagram för att identifiera när en avsändare bara verkar vara någon som användaren normalt kommunicerar med, men faktiskt är skadlig.It leverages a user's communication graph to detect when a sender only appears to be someone the user usually communicates with, but is actually malicious. Den här metoden identifierar personifiering.This method detects impersonation.

  7. Postlådeintelligens aktiverar eller inaktiverar förbättrade personifieringsresultat baserat på varje användares enskilda avsändarmappning.Mailbox intelligence impersonation enables or disables enhanced impersonation results based on each user's individual sender map. När den här funktionen är aktiverad kan du identifiera personifiering.When enabled, this feature helps to identify impersonation.

  8. Med användarpersonifiering kan en administratör skapa en lista med högvärdesmålen som sannolikt kommer att utge sig för att vara.User impersonation allows an admin to create a list of high value targets likely to be impersonated. Om ett e-postmeddelande kommer in där avsändaren bara verkar ha samma namn och adress som det skyddade högvärdeskontot markeras eller taggas e-postmeddelandet.If a mail arrives where the sender only appears to have the same name and address as the protected high value account, the mail is marked or tagged. (Till exempel trα cye@contoso.com för tracye@contoso.com).(For example, trαcye@contoso.com for tracye@contoso.com).

  9. Domänpersonifiering identifierar domäner som liknar mottagarens domän och som försöker se ut som en intern domän.Domain impersonation detects domains that are similar to the recipient's domain and that attempt to look like an internal domain. Den här personifieringen kan till tracye@liw α re.com för tracye@litware.com.For example, this impersonation tracye@liwαre.com for tracye@litware.com.

Fas 3 – InnehållsfiltreringPhase 3 - Content Filtering

I den här fasen börjar filtreringsstacken att hantera det specifika innehållet i e-postmeddelandet, inklusive hyperlänkar och bifogade filer.In this phase the filtering stack begins to handle the specific contents of the mail, including its hyperlinks and attachments.

Fas 3 av filtrering i MDO är innehållsfiltrering.

  1. Transportregler (kallas även e-postflödesregler eller Exchange-transportregler) gör att administratörer kan vidta en mängd olika åtgärder när ett meddelande har en jämnt bred omfångsintervall för ett meddelande.Transport rules (also known as mail flow rules or Exchange transport rules) allow an admin to take a wide range of actions when an equally wide range of conditions are met for a message. Alla meddelanden som flödar genom organisationen utvärderas mot aktiverade e-postflödesregler/transportregler.All messages that flow through your organization are evaluated against the enabled mail flow rules / transport rules.

  2. Microsoft Defender Antivirus och två antivirusmotorer från tredje part används för att identifiera all känd skadlig programvara i bifogade filer.Microsoft Defender Antivirus and two third-party Antivirus engines are used to detect all known malware in attachments.

  3. Antivirusmotorerna (AV) används också för att skriva in alla bifogade filer, så att blockering av Type kan blockera alla typer av bifogade filer som administratören anger.The anti-virus (AV) engines are also used to true-type all attachments, so that Type blocking can block all attachments of types the admin specifies.

  4. När en skadlig bifogad fil upptäcks av Microsoft Defender för Office 365 läggs filens hashtagg och en hash-hash av aktivt innehåll till i ryktet Exchange Online Protection (EOP).Whenever Microsoft Defender for Office 365 detects a malicious attachment, the file's hash, and a hash of its active content, are added to Exchange Online Protection (EOP) reputation. Blockering av ryktet för bifogade filer blockerar filen i alla Office 365, och på slutpunkter, genom MSAV-molnsamtal.Attachment reputation blocking will block that file across all Office 365, and on endpoints, through MSAV cloud calls.

  5. Med heuristisk gruppering kan det fastställas att en fil är misstänkt baserat på leverans heuristisk.Heuristic clustering can determine that a file is suspicious based on delivery heuristics. När en misstänkt bifogad fil hittas pausas hela kampanjen och filen begränsats.When a suspicious attachment is found, the entire campaign pauses, and the file is sandboxed. Om filen skulle vara skadlig blockeras hela kampanjen.If the file is found to be malicious, the entire campaign is blocked.

  6. Maskininlärningsmodeller agerar på meddelandehuvud, brödtext och URL:er för att identifiera nätfiskeförsök.Machine learning models act on the header, body content, and URLs of a message to detect phishing attempts.

  7. Microsoft använder ett rykte från URL-begränsat läge (URL) samt URL-rykte från tredjepartsfeeds i url-ryktesblockering , för att blockera ett meddelande med en känd skadlig URL.Microsoft uses a determination of reputation from URL sandboxing as well as URL reputation from third party feeds in URL reputation blocking, to block any message with a known malicious URL.

  8. Innehålls heuristics kan identifiera misstänkta meddelanden utifrån struktur och ordfrekvens i meddelandets brödtext, med hjälp av maskininlärningsmodeller.Content heuristics can detect suspicious messages based on structure and word frequency within the body of the message, using machine learning models.

  9. I begränsat läge för säkra bifogade filer används varje bifogad fil för Defender för Office 365-kunder, och dynamisk analys för att identifiera hot som aldrig tidigare har upptäckts.Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.

  10. Detonation för länkat innehåll behandlar alla URL-länkar till en fil i ett e-postmeddelande som en bifogad fil, asynkront begränsat filen vid leverans.Linked content detonation treats every URL linking to a file in an email as an attachment, asynchronously sandboxing the file at the time of delivery.

  11. URL-detonation inträffar när den överordnade nätfisketekniken upptäcker att ett meddelande eller en URL är misstänkt.URL Detonation happens when upstream anti-phishing technology finds a message or URL to be suspicious. URL-detonation i begränsat läge URL:er i meddelandet vid leverans.URL detonation sandboxes the URLs in the message at the time of delivery.

Fas 4 – Skydd efter leveransPhase 4 - Post-Delivery Protection

Det sista steget äger rum efter e-post- eller filleverans, och då gäller e-post som finns i olika postlådor och filer och länkar som visas i klienter som Microsoft Teams.The last stage takes place after mail or file delivery, acting on mail that is in various mailboxes and files and links that appear in clients like Microsoft Teams.

Fas 4 av filtreringen i Defender för Office 365 är skydd efter leverans.

  1. Säkra länkar är MDO:s tidsskydd vid klickning.Safe Links is MDO's time-of-click protection. Alla URL:er i varje meddelande radbruts för att peka på Microsofts servrar för säkra länkar.Every URL in every message is wrapped to point to Microsoft Safe Links servers. När man klickar på en URL kontrolleras den mot det senaste ryktet, innan användaren omdirigeras till målwebbplatsen.When a URL is clicked it is checked against the latest reputation, before the user is redirected to the target site. URL-adressen är asynkront begränsat för att uppdatera dess rykte.The URL is asynchronously sandboxed to update its reputation.

  2. Phish Zero-Hour – ZAP (Auto-purge) identifierar och neutralerar retroaktivt skadliga nätfiskemeddelanden som redan har levererats till Exchange Online-postlådor.Phish Zero-Hour Auto-purge (ZAP) retroactively detects and neutralizes malicious phishing messages that have already been delivered to Exchange Online mailboxes.

  3. Malware ZAP upptäcker och neutralerar retroaktivt skadliga meddelanden som redan har levererats till Exchange Online-postlådor.Malware ZAP retroactively detects and neutralizes malicious malware messages that have already been delivered to Exchange Online mailboxes.

  4. Spam ZAP upptäcker och neutralerar retroaktivt skadliga skräppostmeddelanden som redan har levererats till Exchange Online-postlådor.Spam ZAP retroactively detects and neutralizes malicious spam messages that have already been delivered to Exchange Online mailboxes.

  5. Kampanjvyer gör det möjligt för administratörer att se en helhetsbild av en attack, snabbare och mer fullständigt, än vad ett team skulle kunna utan automation.Campaign Views let administrators see the big picture of an attack, faster and more completely, than any team could without automation. Microsoft utnyttjar de stora mängder information om skydd mot nätfiske, skydd mot skräppost och skadlig programvara i hela tjänsten för att identifiera kampanjer och gör sedan det möjligt för administratörer att undersöka dem från början till slut, inklusive mål, effekter och flöden, som också finns tillgängliga i en nedladdningsbar kampanj.Microsoft leverages the vast amounts of anti-phishing, anti-spam, and anti-malware data across the entire service to help identify campaigns, and then allows admins to investigate them from start to end, including targets, impacts, and flows, that are also available in a downloadable campaign write-up.

  6. Med tilläggen Rapportmeddelande kan användare enkelt rapportera falska positiva resultat (bra e-postmeddelande, felaktigt markerat som dåligt ) eller falskt negativa (felaktigt e-postmeddelande markerat som bra) till Microsoft för vidare analys.The Report Message add-ins enable people to easily report false positives (good email, mistakenly marked as bad) or false negatives (bad email marked as good) to Microsoft for further analysis.

  7. Säkra länkar för Office-klienter har samma tid för klickningsskydd med säkra länkar inbyggt i Office-klienter som Word, PowerPoint och Excel.Safe Links for Office clients offers the same Safe Links time-of-click protection, natively, inside of Office clients like Word, PowerPoint, and Excel.

  8. Skydd för OneDrive, SharePoint och Teams har samma skydd mot skadliga filer, inbyggt i OneDrive, SharePoint och Microsoft Teams.Protection for OneDrive, SharePoint, and Teams offers the same Safe Attachments protection against malicious files, natively, inside of OneDrive, SharePoint, and Microsoft Teams.

  9. När en URL-adress som pekar på en fil markeras efter leverans visar detonationen för länkat innehåll en varningssida tills begränsat läge för filen är klar och URL:en identifieras som säker.When a URL that points to a file is selected post delivery, linked content detonation displays a warning page until the sandboxing of the file is complete, and the URL is found to be safe.

FiltreringsstackdiagrammetThe filtering stack diagram

Det slutliga diagrammet (som med alla delar av diagrammet som skriver det) kan komma att ändras allt eftersom produkten växer och utvecklar.The final diagram (as with all parts of the diagram composing it) is subject to change as the product grows and develops. Bokmärk den här sidan och använd alternativet för feedback som du hittar längst ned om du behöver fråga efter uppdateringar.Bookmark this page and use the feedback option you'll find at the bottom if you need to ask after updates. För dina poster är det här högen med alla faser i ordning:For your records, this is the the stack with all the phases in order:

Alla faser av filtrering i MDO i ordningsföljd, 1 till 4.

Mer informationMore information

Behöver du konfigurera Microsoft Defender för Office 365 *just nu _?Do you need to set up Microsoft Defender for Office 365 *right now _? Använd den här _now*, med detta steg för att börja skydda din organisation.Use this stack, _now*, with this step-by-step to start protecting your organization.

Särskilt tack från MSFTTracyP och docs-skrivteamet till Giulian Garruba för innehållet.Special thanks from MSFTTracyP and the docs writing team to Giulian Garruba for this content.