Exchange Online Advanced Threat Protection

Друзья, всем привет!

В прошлом календарном году в Exchange Online, который входит в Office 365 появился новый сервис - Exchange Online Advanced Threat Protection. Он состоит из двух защитных и современных функций электронной почты.

  • Safe attachments - Защита от вирусов нулевого дня, которые могут быть доставлены на компьютеры пользователей во вложениях писем.
  • Safe Links - Проверка ссылок во входящих письмах, в момент перехода пользователя по ним.

Процедура по их настройке крайне проста и представлена в статьях: "Настройка политики безопасных ссылок в ATP" и "Настройка политики безопасных вложений в ATP", поэтому я не буду заострять свое и ваше внимание на начальных шагах настройки.

Из данной статьи вы узнаете:

  • Как проверить, что письма идут через модуль Safe Attachments и защита от вирусов нулевого дня действительно обеспечивается;
  • Как убедиться, что осуществляется защита от вредоносных ссылок Safe Links;
  • Как настроить исключения для пропуска проверки Safe Attachments и Safe Links;
  • Особенности работы динамической отложенной доставки в Safe Attachments;
  • Как провести демонстрацию своим заказчикам Safe Attachments и Safe Links живьем.

Поговорим о способах проверки модуля Safe Attachment. Доступно три способа.

Графические отчеты, представленные в разделе конфигурирования политик Safe Attachments. Они дают хорошее графическое представление и будут полезны для демонстрации результатов работы людям, принимающим решения о покупке, ИТ менеджерам, ИТ директорам, сотрудникам информационной безопасности.

На странице конфигурирования политики нужно нажать на иконку "Отчеты" и выбрать его по "типу действия" или "типу вредоносного файла".

atp_01_

В открывшемся окне остается выбрать временной интервал и задать дополнительные фильтры, чтобы получить график:

atp_02

При необходимости, можно получить такой отчет в виде таблицы, нажав "View table" в верхнем левом углу графика. atp_03

Доступно еще два сугубо технических способа проверки Safe Attachments. Они будут полезны инженерам для диагностирования доставки и самое главное возможной задержки писем.

Проверка в Message trace логах.

Нет ничего лучше и информативнее, чем старые добрые Message Trace логи, которые доступны в облачном Exchange Online, наравне с наземным Exchange Server. Для доступа необходимо перейти в Центр Администрирования Office 365, затем в Exchange Admin Center (EAC), в Mail Flow, где и нажать Message Trace. atp_04

Нам необходимо указать временной интервал и, если нужно, отправителя и/или получателя. Если нужен отчет с глубиной более 7 дней, то определить получателя или отправителя нужно обязательно. Наконец, нажимаем "Search". Получаем детальную информацию о путешествии письма внутри EOP and ExO. atp_05

Нас интересует строка со статусом Delivered, нажимаем дважды на ней. atp_06

В открывшемся окне, мы получаем любопытный набор событий, которые происходили с письмом. Я отмечу два крайне важных.

Непосредственно Advanced Thread Protection, которое утверждает, что вложение письма удалено, из-за определения его в качестве вируса. Вызывает интерес также повторяющееся событие Defer, о котором регулярно информирует службу транспорта процесс Safe Attachment. Что явно указывает, на его работу.

Данные записи в журнале трассировки сообщений нам явно говорят о работе и действиях службы Safe Attachments.

Третий способ - это Анализ письма по его заголовкам.

Если проводилась проверки Safe Attachment, то появится заголовок X-MS-Exchange-Organization-SafeAttachmentProcessing.

А значение заголовка X-MS-Exchange-Transport-EndToEndLatency, указывющего на общее время доставки письма внутри ExO, будет выше, чем у письма, которое не проходило проверку ATP.

Сравните:

X-MS-Exchange-Transport-EndToEndLatency: 00:02:12.9456274 (письмо с вложением и проведенной проверкой)

X-MS-Exchange-Transport-EndToEndLatency: 00:00:04.1022305 (письмо без вложения и проверки)

Можно сказать, что косвенно, большое значение у этого заголовка, говорит о реальной работе модуля Safe Attachments.

Теперь взглянем на возможности за контролем Safe Links.

Существует один полнофункциональный способ контроля - Отчеты URL Trace .

Расположены они рядом с Message Trace. Необходимо перейти в Центр Администрирования Office 365, затем в Exchange Admin Center (EAC), затем в Mail Flow и там выбрать URL Trace.

Есть возможность увидеть полный или отфильтрованный список событий. В данном примере я хочу узнать переходил ли пользователь userE1 по ссылке spamlink.contoso.com за последние 24 часа. atp_07

В итоге я получил очень точный список срабатываний.

atp_08

Отмечу, что данный отчет показывает не процесс замены ссылок, а именно процесс фиксации клика и результата теста на вредоносность. Очевидно, чтобы определить работает Safe Links или нет, достаточно посмотреть на ссылку в полученном письме. Она должна вести на портал и быть вида: https://na01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.spamlink.contoso.com%2F&data=02%7C01%7CuserE1%40mdm.cloudns.cc%7C3b74f6c388004517237d08d46ee28442%7C28c5a7c0f1bd479db8fee22b78bcda16%7C1%7C0%7C636255366561619620&sdata=5vptDfZjVBqwJUHvv4QHgGE9owPETfWfdcBa4HX827E%3D&reserved=0

Первая часть может меняться, зависимости от расположения датацентров, которые приняли письмо: NA, EMEA, APAC и т.д.

 

Как отключить защиту Safe Attachments/Safe Links , не отключая политику?

Существует множество сценариев, когда может потребоваться отключить защиту Safe Attachment. Например, прием писем Office 365 от сканеров, внутренних бизнес-приложений или от партнеров, с которыми у нас полное доверие.

Для этого нужно использовать механизм Exchange Transport Rules (ETRs).

  • Зайти на Exchange Admin Center.
  • Выбрать mail flow на левой панели
  • Выбрать rules на верхней панели
  • Нажать иконку «+» чтобы добавить правило
  • Из выпадающего менб выбрать create a new rule
  • Внизу диалога new rule выберите More Options… чтобы получить полный список опций.
  • Под Apply this rule if… выберите The sender is located… и затем Inside the organization
  • Под Do the following… выберите Modify the message properties… и set message header

atp_09

  • Нажмите на ссылку «Enter text…» чтобы задать заголовки сообщения.
  • Чтобы пропустить Safe Attachments введите:
    • X-MS-Exchange-Organization-SkipSafeAttachmentProcessing
  • Чтобы пропустить Safe Links введите:
    • X-MS-Exchange-Organization-SkipSafeLinksProcessing
  • Затем кликните Enter text…  возле value
  • Введите 1 и нажмите ОК.

atp_10

Тогда, при наличии указанных заголовков система пропустит соответствующую проверку, даже при настроенных политиках.

Стоит упомянуть о встроенном в политику Safe Links фильтре, для исключения из проверки Safe Link.

В настройках политики можно явно задать исключения ссылок, которые не нужно проверять, например, какие-то внутренние бизнес-порталы. Я покажу это на скрине.

atp_11

Но есть одно ограничение, web-интерфейс не позволяет добавить ссылку длиной более 128 символов. Очевидно, что в подавляющем большинстве этого более чем достаточно, а если нет - используйте указанные выше ETRs.

Динамическая доставка.

Обратная сторона медали работы Safe Attachments - необходимость потратить время на проверку вложений. Один из самых частых запросов в службу поддержки была просьба уменьшить данное время. Ведь пока вложение не прошло проверку в песочнице, письмо не доставлялось в ящик. Мы постоянно работаем над уменьшением времени проверки. Чтобы нивелировать данную проблемы, мы предложили новый тип доставки писем, при проверке Safe Attachment - Динамическая доставка.

Теперь письмо, в котором есть вложение, доставляется сразу же в почтовый ящик получателя. Но вместо вложения, получатель видит отчет о том, что реальное вложение сейчас проходит проверку. Как только она будет завершена, отчет в этом письме будет заменен на реальное вложение. Теперь пользователь получает возможность прочитать тело письма сразу и просто дождаться проверки.

atp_12

Важно! Данная функция работает только с почтовыми ящиками, расположенными в Exchange Online. Если ящики расположены на земле, то для таких писем будет работать механизм "Замены".

Демонстрация функционала ATP .

В завершении статьи, как и обещал, я обсужу вопрос демонстрации ATP.

Если речь идет о классическом EOP, то чтобы продемонстрировать работу любой почтовой антивирусной системы, нужно создать специальный EICAR.txt файл и отправить его в Office 365. Вы сразу же увидите активные действия по блокировке вложения в данном письме. Как это делать для EOP сказано в статье Configure anti-malware policies

Чтобы показать работу Safe Link компания Microsoft подготовила две ссылки, на которые Safe Links всегда будет реагировать. Все что нужно для демонстрации, это вставить в тело письма ссылку https://www.spamlink.contoso.com/ и/или https://contoso.com/maliciousfile.pdf.

Детальные шаги указаны в статьях Set up a safe links policy in ATP и Advanced Threat Protection for your Office 365 dev/test environment

Именно эти ссылки я использовал в своем тестовом тенанте, чтобы подготовить screenshot-ы с отчетами и положительном срабатывании.

Для демонстрации Safe Attachments необходимо ни что иное, как вирус, который еще не известен ни одному антивирусному движку. Очевидно, это не простая задача. Я не слышал о каких-то публичных инструментах для демонстрации Safe Attachment.

Если вы являетесь Золотым, Серебряным или MAPS партнером, то можете прийти в службу RUPTS, написав письмо на адрес rupts@microsoft.com с указанием заказчика, которому планируете продать данный сервис, и мы обсудим с вами, как сможем помочь.

Друзья, очень надеюсь, что прочтение данной статьи оказалась для вас не пустой тратой времени и нашли для себя что-то полезное.

Пишите свои комментарии и задавайте вопросы. Ну а если вы партнер, то приходите к нам в rupts и я помогу вам разобраться с ATP в рамках 1:1 обращений.

Всем удачи!