Аналитика спуфинга для облачных почтовых ящиков

Во всех организациях с облачными почтовыми ящиками входящие сообщения электронной почты автоматически защищены от спуфингов. Microsoft 365 использует поддельный интеллект в рамках общей защиты вашей организации от фишинга. Дополнительные сведения см. в разделе Защита от спуфингов.

Когда отправитель подделывает адрес электронной почты, он выглядит как пользователь в одном из доменов вашей организации или пользователь во внешнем домене, который отправляет электронную почту в вашу организацию. Злоумышленники, которые подделают отправителей для отправки спама или фишинговой почты, должны быть заблокированы. Но есть сценарии, когда законные отправители подделывают. Например:

• Допустимые сценарии подмены внутренних доменов:

  • Отправители, не относящиеся к Корпорации Майкрософт, используют ваш домен для отправки массовой почты пользователям в вашей организации (например, для опросов компании).
  • Внешняя компания генерирует и рассылает рекламу или обновления продукта от вашего имени.
  • Помощнику регулярно нужно отправлять электронную почту для другого человека в вашей организации.
  • Внутреннее приложение отправляет уведомления по электронной почте.

• Допустимые сценарии спуфинга внешних доменов:

  • Отправитель находится в списке рассылки (также известном как список обсуждения), и список рассылки ретранслирует электронную почту от исходного отправителя всем участникам списка рассылки.
  • Внешняя компания отправляет электронную почту от имени другой компании (например, автоматический отчет или компания, предоставляющая программное обеспечение как услуга).

Используйте аналитику спуфинга на портале Microsoft Defender, чтобы быстро выявлять и вручную разрешать поддельные отправители, которые на законных основаниях отправляют вам сообщения электронной почты, которые не проходят проверку подлинности электронной почты (SPF, DKIM или DMARC).

Разрешив известным отправителям отправлять поддельные сообщения из известных расположений, вы можете уменьшить количество ложных срабатываний (хорошее сообщение электронной почты, помеченное как плохое). Отслеживая разрешенных поддельных отправителей, вы обеспечиваете дополнительный уровень безопасности для предотвращения поступления небезопасных сообщений в свою организацию.

Аналогичным образом вы можете использовать аналитические сведения о спуфингах для проверки спуфинированных отправителей, разрешенных спуфингом интеллекта, и вручную блокировать этих отправителей.

В оставшейся части этой статьи объясняется, как использовать аналитику спуфинга на портале Microsoft Defender и в PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на вкладку Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem Чтобы перейти непосредственно на страницу аналитики спуфинга, используйте .https://security.microsoft.com/spoofintelligence

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

  • разрешения Exchange Online:

    • Разрешить или заблокировать подделанных отправителей, включить или отключить спуфинговую аналитику: членство в одной из следующих групп ролей:
      • Управление организацией
      • Администратор безопасностииконфигурация только для просмотра или управление организацией только для просмотра.
    • Доступ только для чтения к аналитике спуфинга: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".

  • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор^*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

• Рекомендуемые параметры для политик защиты от фишинга, включая аналитику спуфинга, см. в статье Параметры политики защиты от фишинга для всех облачных почтовых ящиков.

• Вы включаете и отключаете спуфинговую аналитику в политиках защиты от фишинга. Аналитика спуфинга включена по умолчанию. Дополнительные сведения см. в одной из следующих статей:

  • Настройте политики защиты от фишинга, если у вас нет Microsoft Defender для Office 365
  • Настройка политик защиты от фишинга в Microsoft Defender для Office 365

Поиск аналитических сведений о спуфингах на портале Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & политики совместной работы>& правила>Политики угроз Политики> угрозСписки разрешенных и заблокированных клиентов в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку Подделанные отправители .

3. На вкладке Подделанные отправители аналитика спуфинга выглядит следующим образом:

   

   Есть два режима аналитики:

   • Режим аналитики. Если включена подделывательная аналитика, аналитика показывает, сколько сообщений было обнаружено в течение последних семи дней.
   • Что делать, если режим. Если подделывательная аналитика отключена, аналитика показывает, сколько сообщений было обнаружено в течение последних семи дней.

Чтобы просмотреть сведения об обнаружении спуфинга, выберите Просмотр действия спуфинга в аналитике спуфинга, чтобы перейти на страницу Аналитика спуфинга .

Просмотр сведений об обнаружении спуфингов

Страница Аналитика спуфинга по адресу https://security.microsoft.com/spoofintelligence доступна при выборе пункта Просмотреть действия спуфинга в разделе Аналитика спуфинга на вкладке Подделанные отправители на странице Списки разрешенных и заблокированных клиентов .

На странице Аналитика спуфинга можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Подделанный пользователь: домен подделаного пользователя в поле From в почтовых клиентах (также известный 5322.From как адрес или адрес P2).
• Инфраструктура отправки. Также называется инфраструктурой. Инфраструктура отправки является одним из следующих значений:
  • Домен, обнаруженный при обратном поиске DNS (запись PTR) IP-адреса исходного почтового сервера.
  • Если исходный IP-адрес не имеет записи PTR, отправляющая инфраструктура идентифицируется как <исходный IP-адрес> /24 (например, 192.168.100.100/24).
  • Проверенный домен DKIM.
• Количество сообщений. Количество сообщений из сочетания спуфинированного домена и инфраструктуры отправки в организацию за последние семь дней.
• Последний просмотр: дата последнего получения сообщения из инфраструктуры отправки, содержащей подделанный домен.
• Тип подделки: одно из следующих значений:
  • Внутренний. Подделанный отправитель находится в домене, принадлежавом вашей организации ( принятом домене).
  • Внешний: подделанный отправитель находится во внешнем домене.
• Действие: это значение разрешено или заблокировано:

  • Разрешено. Домен не удалось выполнить явную проверку подлинности по электронной почте, проверяет SPF, DKIM и DMARC. Однако домен прошел наши неявные проверки подлинности электронной почты (составная проверка подлинности). В результате действия по защите от спуфинга к сообщению не применялись.

  • Заблокировано. Сообщения из подделаного домена и инфраструктуры отправки помечаются как плохие с помощью спуфинга аналитики. Действие, выполняемое с поддельными сообщениями с вредоносным намерением, контролируется:

    • Предустановленные политики безопасности Standard или Strict.
    • Политика защиты от фишинга по умолчанию.
    • Настраиваемые политики защиты от фишинга.

    Дополнительные сведения см. в разделе Настройка политик защиты от фишинга в Microsoft Defender для Office 365.

Чтобы изменить список подделанных отправителей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Тип спуфингов. Доступные значения: Internal и External.
• Действие: доступные значения : Разрешить и Блокировать.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Экспорт используется для экспорта списка подделок обнаружения в CSV-файл.

Просмотр сведений об обнаружении спуфингов

При выборе обнаружения подделки в списке, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

• Почему мы поймали это? section: почему мы обнаружили этого отправителя как подделанного и что вы можете сделать для получения дополнительных сведений.

• Раздел Сводка по домену. Содержит те же сведения на главной странице аналитики спуфинга.

• Раздел данных WhoIs: Техническая информация о домене отправителя.

• Обозреватель разделе исследования: в Defender для Office 365 организации этот раздел содержит ссылку на открытие Обозреватель угроз, чтобы просмотреть дополнительные сведения об отправителе на вкладке Фишинг.

• Раздел Аналогичные сообщения электронной почты. Содержит следующие сведения об обнаружении спуфингов:

  • Date
  • Тема
  • Получатель
  • Sender
  • IP-адрес отправителя

  Выберите Настроить столбцы , чтобы удалить отображаемые столбцы. По завершении нажмите кнопку Применить.

Сведения о том, как изменить обнаружение подмены с "Разрешить" на "Блокировать" или наоборот, см. в следующем разделе.

Переопределение вердикта спуфинга разведки

На странице аналитики спуфинга по адресу https://security.microsoft.com/spoofintelligenceиспользуйте один из следующих методов, чтобы переопределить вердикт спуфинга аналитики:

• Выберите одну или несколько записей в списке, выбрав поле проверка рядом с первым столбцом.

  1. Выберите действие Массовые действия, которое появится.
  2. В открывающемся всплывающем окне Массовые действия выберите Разрешить подделать или Заблокировать спуфинга, а затем нажмите кнопку Применить.

• Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка.

  В открывающемся всплывающем окне сведений выберите Разрешить подделать или Блокировать спуфингов в верхней части всплывающего окна, а затем нажмите кнопку Применить.

На странице Аналитика аналитики спуфинга запись удаляется из списка и добавляется на вкладку Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

О разрешенных поддельных отправителях

Сообщения от разрешенного спуфинированного отправителя (автоматически обнаруженные или настроенные вручную) разрешены только при использовании сочетания подделанного домена и инфраструктуры отправки. Например, следующему поддельному отправителю разрешен спуфинг:

• Домен: gmail.com
• Инфраструктура: tms.mx.com

Подделать можно только электронную почту из этой пары "домен/отправляющая инфраструктура". Другие отправители, пытающиеся подделать gmail.com, автоматически не допускаются. Спуфинговая аналитика проверяет сообщения от отправителей в других доменах, поступающие из tms.mx.com, и эти сообщения по-прежнему могут быть заблокированы.

Использование аналитики спуфинга в PowerShell

В Exchange Online PowerShell вы используете командлет Get-SpoofIntelligenceInsight для просмотра разрешенных и заблокированных поддельных отправителей, обнаруженных спуфингом. Чтобы вручную разрешить или заблокировать поддельные отправители, необходимо использовать командлет New-TenantAllowBlockListSpoofItems . Дополнительные сведения см . в разделах Использование PowerShell для создания разрешенных записей для подделанных отправителей в списке разрешенных и заблокированных клиентов и Использование PowerShell для создания записей блокировки для поддельных отправителей в списке разрешенных и заблокированных клиентов.

Чтобы просмотреть сведения в аналитике спуфинга, выполните следующую команду:

Get-SpoofIntelligenceInsight

Подробные сведения о синтаксисе и параметрах см. в разделе Get-SpoofIntelligenceInsight.

Другие способы управления спуфингом и фишингом

Будьте внимательны в отношении защиты от спуфингом и фишинга. Ниже приведены связанные способы проверка на отправителей, которые подделывают ваш домен, и предотвратить их повреждение вашей организации.

• Проверьте отчет о спуфинговой почте. Часто используйте этот отчет для просмотра подделанных отправителей и управления ими. Дополнительные сведения см . в разделе Отчет об обнаружении подмены.

• Проверьте конфигурацию SPF, DKIM и DMARC. Дополнительные сведения см. в следующих статьях:

  • проверка подлинности Email
  • Настройка SPF для определения допустимых источников электронной почты для пользовательских облачных доменов
  • Настройка DKIM для подписывания почты из облачного домена
  • Настройка DMARC для проверки домена от адреса для облачных отправителей
  • Настройка доверенных запечатывщиков ARC