Finjustera skydd mot nätfiske

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Även Microsoft 365 nätfiskefunktioner som är aktiverade som standard är det möjligt att vissa nätfiskemeddelanden fortfarande kan komma fram till dina postlådor. I det här avsnittet beskrivs vad du kan göra för att upptäcka varför ett nätfiskemeddelande har kommit igenom och vad du kan göra för att justera inställningarna för skydd mot nätfiske i Microsoft 365-organisationen utan att oavsiktligt skada saker.

En sak i första hand: ta itu med alla komprometterade konton och se till att du blockerar nätfiskemeddelanden så att de inte kommer igenom

Om en mottagares konto har komprometterats som ett resultat av nätfiskemeddelandet följer du anvisningarna i Svara på ett komprometterat e-postkonto i Microsoft 365.

Om microsoft Defender för Office 365 ingår i prenumerationen kan du använda Office 365 Threat Intelligence för att identifiera andra användare som också har fått nätfiskemeddelandet. Du har fler alternativ för att blockera nätfiskemeddelanden:

Kontrollera att dessa Defender Office 365 funktioner är aktiverat.

Rapportera nätfiskemeddelandet till Microsoft

Rapportering av nätfiskemeddelanden är användbart när du ska justera de filter som används för att skydda alla kunder Microsoft 365. Anvisningar finns i Artikeln om att rapportera meddelanden och filer till Microsoft.

Kontrollera meddelanderubrikerna

Du kan granska rubrikerna i nätfiskemeddelandet för att se om det finns något du kan göra själv för att förhindra att fler nätfiskemeddelanden kommer igenom. Att granska meddelanderubrikerna kan med andra ord hjälpa dig att identifiera de inställningar i organisationen som var ansvariga för att tillåta nätfiskemeddelanden.

Mer specifikt bör du titta i huvudfältet för X-Forefront-Antispam-Report i meddelanderubrikerna efter uppgifter om hoppat över filtrering för skräppost eller nätfiske i värdet för Filtrering av skräppost (SFV). Meddelanden som hoppar över filtrering har en post på , vilket innebär att en av dina inställningar tillät detta meddelande genom att åsidosätta skräppost- eller nätfiskeutbrotten som fastställts SCL:-1 av tjänsten. Mer information om hur du får meddelanderubriker och en fullständig lista över alla tillgängliga rubriker mot skräppost och nätfiske finns i Rubriker för skräppostskydd i Microsoft 365.

Metodtips för att hålla sig skyddad

  • Kör Secure Score månadsvis för att utvärdera organisationens säkerhetsinställningar.

  • För meddelanden som hamnar i karantän av misstag, eller för meddelanden som tillåts via, rekommenderar vi att du söker efter dessa meddelanden i Hotutforskaren och identifieringar i realtid. Du kan söka efter avsändare, mottagare eller meddelande-ID. När du har hittat meddelandet går du till information genom att klicka på ämnet. Om du har ett meddelande i karantän kan du se vilken "identifieringsteknik" som fanns, så att du kan använda rätt metod för att åsidosätta den. I ett tillåtet meddelande kan du se vilken princip som tillåtit meddelandet.

  • E-post från falska avsändare (meddelandets Från-adress stämmer inte överens med meddelandets källa) klassificeras som nätfiske i Defender för Office 365. Ibland är förfalskning på gång och ibland vill inte användare att meddelanden från en viss förfalskningsavsändare ska läggas i karantän. För att minimera påverkan på användare bör du regelbundet granska förfalskningsinformation, fliken Förfalskning i listan Tillåt/blockeraklientorganisation och rapporten Identifieringar av förfalskning. När du har granskat tillåtna och blockerade förfalskningsavsändare och gjort nödvändiga åsidosättningar kan du vara säker på att konfigurera förfalskningsinformation i principer för nätfiske för att sätta misstänkta meddelanden i karantän i stället för att leverera dem till användarens skräppostmapp.

  • Du kan upprepa steget ovan för Personifiering (domän eller användare) i Microsoft Defender för Office 365. Personifieringsrapporten finns under Instrumentpanelen för > hothantering i > Insights.

  • Gå regelbundet igenom rapporten om hotskyddsstatus.

  • Vissa kunder tillåter oavsiktligt nätfiskemeddelanden genom att placera sina egna domäner i listan Tillåt avsändare eller Tillåt domän i principer för skräppostskydd. Även om den här konfigurationen tillåter vissa legitima meddelanden via, tillåter den även skadliga meddelanden som normalt skulle blockeras av skräppost- och/eller nätfiskefilter. I stället för att tillåta domänen bör du korrigera det underliggande problemet.

    Det bästa sättet att hantera legitima meddelanden som blockeras av Microsoft 365 (falska positiva meddelanden) som involverar avsändare på din domän är att helt och hållet konfigurera SPF-, DKIM- och DMARC-posterna i DNS för alla dina e-postdomäner:

    • Kontrollera att SPF-posten identifierar alla e-postkällor för avsändare i din domän (glöm inte tredjepartstjänster!).

    • Använd hard fail (all) för att säkerställa att obehöriga avsändare - avvisas av e-postsystem som är konfigurerade för att göra det. Du kan använda förfalskningsinformation för att identifiera avsändare som använder din domän, så att du kan ta med behöriga avsändare från tredje part i SPF-posten.

    Konfigurationsinstruktioner finns i:

  • Vi rekommenderar att du levererar e-post för domänen direkt till din Microsoft 365. Med andra ord, peka Microsoft 365 domänens MX-post till Microsoft 365. Exchange Online Protection (EOP) ger bästa möjliga skydd för dina molnanvändare när deras e-post levereras direkt till Microsoft 365. Om du måste använda ett e-posthanteringssystem från tredje part framför EOP använder du Utökad filtrering för kopplingar. Instruktioner finns i Utökad filtrering för kopplingar i Exchange Online.

  • Användarna bör använda tilläggen Rapportmeddelande eller Rapportera nätfiske för att rapportera meddelanden till Microsoft, som kan träna vårt system. Administratörer bör också kunna dra nytta av funktionerna för administrationsinskickande.

  • Multifaktorautentisering (MFA) är ett bra sätt att förhindra komprometterade konton. Du bör starkt överväga att aktivera MFA för alla dina användare. Om du vill ha en fasad metod börjar du med att aktivera MFA för känsliga användare (administratörer, chefer osv.) innan du aktiverar MFA för alla. Anvisningar finns i Konfigurera multifaktorautentisering.

  • Regler för vidarebefordran till externa mottagare används ofta av attackerare för att extrahera data. Använd informationen i Granska regler för vidarebefordran av postlådor i Microsoft Secure Score för att hitta och till och med förhindra vidare vidarebefordran av regler till externa mottagare. Mer information finns i Mitigating Client External Forwarding Rules med Secure Score.