Защита от фишинга в Microsoft 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
Фишинг — это атака по электронной почте в попытке похитить конфиденциальную информацию с помощью сообщений, которые кажутся полученными от официальных или надежных отправителей. Существуют определенные категории фишинга. Например:
Для фишинга копьем используется специализированное настраиваемое содержимое, специально предназначенное для целевых получателей (как правило, после рекогносцировки получателей злоумышленником).
Уэйлинг направлен на руководителей или другие ценные цели в организации для максимального эффекта.
Компрометация электронной почты (BEC) использует поддельных надежных отправителей (финансовых сотрудников, клиентов, доверенных партнеров и т. д.) для обмана получателей при утверждении платежей, переводе средств или раскрытии данных клиентов. Узнайте больше, посмотрев это видео.
Программа-шантажист , которая шифрует данные и требует оплаты за их расшифровку, почти всегда начинается с фишинговых сообщений. Защита от фишинга не может помочь расшифровать зашифрованные файлы, но помогает обнаружить исходные фишинговые сообщения, связанные с кампанией программы-шантажиста. Дополнительные сведения о восстановлении после атаки программы-шантажиста см. в разделе Сборники схем реагирования на инциденты-шантажиста.
Из-за растущей сложности атак обученным пользователям даже трудно выявлять сложные фишинговые сообщения. К счастью, Exchange Online Protection (EOP) и дополнительные функции Microsoft Defender для Office 365 могут помочь.
Защита от фишинга в EOP
Организации Microsoft 365 с почтовыми ящиками в Exchange Online или автономные организации EOP без почтовых ящиков Exchange Online содержат следующие функции, которые помогают защитить организацию от фишинговых угроз:
Спуфинга аналитики. Используйте аналитические сведения о спуфингах для проверки обнаруженных спуфинированных отправителей в сообщениях из внешних и внутренних доменов, а также вручную разрешить или заблокировать обнаруженных отправителей. Дополнительные сведения см. в статье Аналитика спуфинга в EOP.
Политики защиты от фишинга в EOP: включение или отключение спуфинга аналитики, включение или отключение индикаторов отправителей без проверки подлинности в Outlook и указание действия для заблокированных подделанных отправителей. Дополнительные сведения см. в разделе Настройка политик защиты от фишинга в EOP.
Учитывайте политику DMARC отправителя при обнаружении сообщения как спуфингой: управление тем, что происходит с сообщениями, когда отправитель не выполняет явные проверки DMARC , а политика DMARC имеет значение
p=quarantine
илиp=reject
. Дополнительные сведения см. в статье Защита от подделки и политики DMARC отправителя.Разрешить или заблокировать подделанных отправителей в списке разрешенных и заблокированных клиентов. При переопределении вердикта в аналитике спуфинга спуфинг становится записью разрешения или блокировки вручную, которая отображается только на вкладке Подделанные отправители на странице Списки разрешений и блокировок клиента по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Вы также можете вручную создавать разрешенные или заблокированные записи для поддельных отправителей до их обнаружения аналитикой спуфинга. Дополнительные сведения см. в разделе Подделанные отправители в списке разрешенных и заблокированных клиентов.
Неявная проверка подлинности по электронной почте. EOP улучшает стандартные проверки подлинности электронной почты для входящих сообщений электронной почты (SPF, DKIM и DMARC ) с репутацией отправителя, журналом отправителей, журналом получателей, анализом поведения и другими расширенными методами, помогая идентифицировать поддельных отправителей. Дополнительные сведения см. в статье Поверка подлинности электронной почты в Microsoft 365.
Дополнительная защита от фишинга в Microsoft Defender для Office 365
Microsoft Defender для Office 365 содержит дополнительные и более продвинутые функции защиты от фишинга:
-
Политики защиты от фишинга в Microsoft Defender для Office 365:
- Настройка параметров защиты олицетворения для конкретных отправителей сообщений и доменов отправителей, параметров аналитики почтовых ящиков и настраиваемых расширенных пороговых значений фишинга. Дополнительные сведения см. в разделе Настройка политик защиты от фишинга в Microsoft Defender для Office 365.
- Сведения об обнаруженных попытках олицетворения доступны в аналитических сведениях олицетворения. Дополнительные сведения см. в статье Анализ олицетворения в Defender для Office 365.
- Дополнительные сведения о различиях между политиками защиты от фишинга в EOP и политиками защиты от фишинга в Defender для Office 365 см. в статье Политики защиты от фишинга в Microsoft 365.
- Представления кампании. Машинное обучение и другая эвристика определяют и анализируют сообщения, которые участвуют в скоординированных фишинговых атаках на всю службу и вашу организацию. Дополнительные сведения см. в разделе Представления кампаний в Microsoft Defender для Office 365.
- Обучение имитации атак. Администраторы могут создавать поддельные фишинговые сообщения и отправлять их внутренним пользователям в качестве средства обучения. Дополнительные сведения см. в статье Начало работы с обучением симуляции атак.