Finjustera skydd mot nätfiske

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Även om Microsoft 365 har en mängd olika funktioner för skydd mot nätfiske som är aktiverade som standard, är det möjligt att vissa nätfiskemeddelanden fortfarande kan komma fram till postlådor i din organisation. Den här artikeln beskriver vad du kan göra för att ta reda på varför ett nätfiskemeddelande kom fram och vad du kan göra för att justera inställningarna för skydd mot nätfiske i din Microsoft 365-organisation utan att oavsiktligt göra saker värre.

Först och främst: hantera eventuella komprometterade konton och se till att du blockerar fler nätfiskemeddelanden från att komma igenom

Om en mottagares konto komprometterades till följd av nätfiskemeddelandet följer du stegen i Svara på ett komprometterat e-postkonto i Microsoft 365.

Om din prenumeration innehåller Microsoft Defender för Office 365 kan du använda Office 365 Hotinformation för att identifiera andra användare som också har fått nätfiskemeddelandet. Du har ytterligare alternativ för att blockera nätfiskemeddelanden:

• Säkra länkar i Microsoft Defender för Office 365
• Säkra bifogade filer i Microsoft Defender för Office 365
• Principer för skydd mot nätfiske i Microsoft Defender för Office 365. Du kan tillfälligt öka tröskelvärdena för avancerad nätfiske i principen från Standard till Aggressiv, Mer aggressiv eller Mest aggressiv.

Kontrollera att dessa principer fungerar. Skydd mot säkra länkar och säkra bifogade filer är aktiverat som standard tack vare inbyggt skydd i förinställda säkerhetsprinciper. Skydd mot nätfiske har en standardprincip som gäller för alla mottagare där skydd mot förfalskning är aktiverat som standard. Personifieringsskydd är inte aktiverat i principen och måste därför konfigureras. Anvisningar finns i Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Rapportera nätfiskemeddelandet till Microsoft

Att rapportera nätfiskemeddelanden är användbart när du justerar de filter som används för att skydda alla kunder i Microsoft 365. Anvisningar finns i Använda sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft.

Granska meddelandehuvudena

Du kan undersöka rubrikerna i nätfiskemeddelandet för att se om det finns något du kan göra själv för att förhindra att fler nätfiskemeddelanden kommer igenom. Med andra ord kan du genom att undersöka meddelandehuvudena identifiera alla inställningar i din organisation som var ansvariga för att tillåta nätfiskemeddelanden i.

Mer specifikt bör du kontrollera rubrikfältet X-Forefront-Antispam-Report i meddelanderubrikerna för att få indikationer på överhoppad filtrering för skräppost eller nätfiske i SFV-värdet (Spam Filtering Verdict). Meddelanden som hoppar över filtrering har en post på SCL:-1, vilket innebär att en av dina inställningar tillät det här meddelandet genom att åsidosätta de skräppost- eller nätfiskeutslag som fastställdes av tjänsten. Mer information om hur du hämtar meddelandehuvuden och en fullständig lista över alla tillgängliga meddelandehuvuden för skräppostskydd och skydd mot nätfiske finns i Meddelandehuvuden för skräppostskydd i Microsoft 365.

Tips

Du kan kopiera och klistra in innehållet i ett meddelandehuvud i Analysverktyg för meddelanderubrik. Det här verktyget hjälper till att tolka rubriker och lägga till dem i ett mer läsbart format.

Du kan också använda konfigurationsanalysen för att jämföra dina EOP- och Defender för Office 365 säkerhetsprinciper med standard- och strikta rekommendationer.

Metodtips för att förbli skyddad

• Kör Säkerhetspoäng varje månad för att utvärdera organisationens säkerhetsinställningar.

• För meddelanden som hamnar i karantän av misstag (falska positiva identifieringar) eller för meddelanden som tillåts via (falska negativa identifieringar) rekommenderar vi att du söker efter dessa meddelanden i Threat Explorer och identifieringar i realtid. Du kan söka efter avsändare, mottagare eller meddelande-ID. När du har hittat meddelandet går du till information genom att klicka på ämnet. För ett meddelande i karantän tittar du på vad "identifieringstekniken" var så att du kan använda lämplig metod för att åsidosätta. För ett tillåtet meddelande kan du se vilken princip som tillät meddelandet.

• Email från falska avsändare (meddelandets Från-adress matchar inte meddelandets källa) klassificeras som nätfiske i Defender för Office 365. Ibland är förfalskningen godartad och ibland vill användarna inte att meddelanden från en specifik förfalskad avsändare ska placeras i karantän. För att minimera påverkan på användare granskar du regelbundet insikter om förfalskningsinformation, poster för falska avsändare i listan Tillåt/blockera klientorganisation och rapporten Förfalskningsidentifieringar. När du har granskat tillåtna och blockerade falska avsändare och gjort nödvändiga åsidosättningar kan du konfigurera förfalskningsinformation i principer för skydd mot nätfiske för att placera misstänkta meddelanden i karantän i stället för att leverera dem till användarens skräppostmapp Email.

• I Defender för Office 365 kan du också använda insiktssidan personifiering på https://security.microsoft.com/impersonationinsight för att spåra identifieringar av användarpersonifiering eller domänimitation. Mer information finns i Personifieringsinformation i Defender för Office 365.

• Granska regelbundet rapporten hotskyddsstatus för nätfiskeidentifieringar.

• Vissa kunder tillåter oavsiktligt nätfiskemeddelanden genom att placera sina egna domäner i listan Tillåt avsändare eller Tillåt domän i principer för skräppostskydd. Även om den här konfigurationen tillåter vissa legitima meddelanden, tillåter den även skadliga meddelanden som normalt blockeras av skräppost- och/eller nätfiskefilter. I stället för att tillåta domänen bör du korrigera det underliggande problemet.

  Det bästa sättet att hantera legitima meddelanden som blockeras av Microsoft 365 (falska positiva identifieringar) som involverar avsändare i din domän är att helt och hållet konfigurera SPF-, DKIM- och DMARC-posterna i DNS för alla dina e-postdomäner:

  • Kontrollera att din SPF-post identifierar alla e-postkällor för avsändare i din domän (glöm inte tjänster från tredje part!).

  • Använd hard fail (-all) för att säkerställa att obehöriga avsändare avvisas av e-postsystem som är konfigurerade för att göra det. Du kan använda insikter om förfalskningsinformation för att identifiera avsändare som använder din domän så att du kan inkludera auktoriserade avsändare från tredje part i din SPF-post.

  Konfigurationsinstruktioner finns i:

  • Konfigurera SPF för att förhindra förfalskning
  • Använda DKIM för att validera utgående e-post som skickas från din anpassade domän
  • Använda DMARC för att validera e-post

• När det är möjligt rekommenderar vi att du skickar e-post för din domän direkt till Microsoft 365. Med andra ord, peka din Microsoft 365-domäns MX-post till Microsoft 365. Exchange Online Protection (EOP) kan ge det bästa skyddet för dina molnanvändare när deras e-post levereras direkt till Microsoft 365. Om du måste använda ett e-posthygiensystem från tredje part framför EOP använder du Förbättrad filtrering för anslutningsappar. Anvisningar finns i Förbättrad filtrering för anslutningsappar i Exchange Online.

• Låt användarna använda den inbyggda rapportknappen i Outlook på webben eller distribuera Microsoft Report Message- eller Report Phishing-tillägg i din organisation. Konfigurera de användarrapporterade inställningarna för att skicka användarrapporterade meddelanden till en rapportpostlåda, till Microsoft eller båda. Användarrapporterade meddelanden är sedan tillgängliga för administratörer på fliken Användarrapporterade på sidan Inskickade meddelanden på https://security.microsoft.com/reportsubmission?viewid=user. Admin kan rapportera användarrapporterade meddelanden eller meddelanden till Microsoft enligt beskrivningen på sidan Skicka in för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft. Det är viktigt att användare eller administratörer rapporterar falska positiva eller falska negativa identifieringar till Microsoft, eftersom det hjälper dig att träna våra identifieringssystem.

• Multifaktorautentisering (MFA) är ett bra sätt att förhindra komprometterade konton. Du bör starkt överväga att aktivera MFA för alla dina användare. För en stegvis metod börjar du med att aktivera MFA för dina mest känsliga användare (administratörer, chefer osv.) innan du aktiverar MFA för alla. Anvisningar finns i Konfigurera multifaktorautentisering.

• Vidarebefordringsregler till externa mottagare används ofta av angripare för att extrahera data. Använd informationen granska regler för vidarebefordran av postlådor i Microsoft Secure Score för att hitta och till och med förhindra vidarebefordringsregler till externa mottagare. Mer information finns i Mitigating Client External Forwarding Rules with Secure Score (Minimera regler för extern vidarebefordran av klient med säkerhetspoäng).

  Använd rapporten Autoforwarded messages för att visa specifik information om vidarebefordrad e-post.