Die 20 besten Techniken zur Verbesserung des Exchange Online-Schutzes

Das Hauptziel dieses Artikels besteht darin, den Exchange-Onlineschutz für einen Datenverlust oder ein kompromittiertes Konto zu verbessern, indem die bewährten Methoden der Microsoft-Sicherheit befolgt und die eigentliche Einrichtung durchlaufen werden. Microsoft bietet zwei Ebenen der Microsoft 365-E-Mail-Sicherheit – Exchange Online Protection (EOP) und Microsoft Defender Advanced Threat Protection. Diese Lösungen können die Sicherheit der Microsoft-Plattform verbessern und Bedenken hinsichtlich der Microsoft 365-E-Mail-Sicherheit beseitigen.

1 Aktivieren Sie die E-Mail-Verschlüsselung

2 Aktivieren Sie Weiterleitungsblöcke für Clientregeln

3 Powershell

4 Postfachdelegierung nicht zulassen

5 Verbindungsfilterung

6 Spam und Malware

7 Malware

8 Anti-Phishing-Richtlinie

9 Erweiterte Filterung konfigurieren

10 Konfigurieren Sie die ATP-Richtlinie für sichere Links und sichere Anhänge

11 Fügen Sie SPF, DKIM und DMARC hinzu

12 Freigabe von Kalenderdetails nicht zulassen

13 Audit-Log-Suche aktivieren

14 Postfachüberwachung für alle Benutzer aktivieren

15 Powershell-Befehle zur Postfachüberwachung

16 Überprüfen Sie die Rollenänderungen wöchentlich

17 Überprüfen Sie die Postfachweiterleitungsregeln wöchentlich

18 Überprüfen Sie den Bericht „Postfachzugriff durch Nicht-Besitzer“ alle zwei Wochen

19 Überprüfen Sie den Malware-Erkennungsbericht wöchentlich

20 Überprüfen Sie wöchentlich Ihren Account Provisioning Activity Report

E-Mail-Verschlüsselung aktivieren

E-Mail-Verschlüsselungsregeln können hinzugefügt werden, um eine Nachricht mit einem bestimmten Schlüsselwort in der Betreffzeile oder im Text zu verschlüsseln. Am häufigsten wird „Secure“ als Schlüsselwort im Betreff hinzugefügt, um die Nachricht zu verschlüsseln. M365/O365 Message Encryption funktioniert mit Outlook.com, Yahoo!, Gmail und anderen E-Mail-Diensten. Durch die Verschlüsselung von E-Mail-Nachrichten wird sichergestellt, dass nur die beabsichtigten Empfänger den Nachrichteninhalt anzeigen können.

• Klicken Sie im Microsoft 365 Admin Center unter Admin Centers auf Exchange

• Klicken Sie im Abschnitt E-Mail-Fluss auf Regeln

• Klicken Sie auf das Pluszeichen und dann auf Microsoft 365-Nachrichtenverschlüsselung anwenden (ermöglicht Ihnen, mehrere Bedingungen zu definieren).

• Benennen Sie Ihre Richtlinie und sagen Sie im Abschnitt „Diese Regel anwenden, wenn“ „Der Betreff oder Text enthält …“ und fügen Sie dann Ihr Schlüsselwort hinzu. Hier setzen wir „Encrypt“ ein

• Klicken Sie im Abschnitt „Folgendes ausführen“ auf die gewünschte Vorlage für die RMS-Vorlage und wählen Sie „Verschlüsseln“.

• Nachdem Sie auf Speichern geklickt haben, können Sie Ihre Richtlinie testen. In diesem Fall zeigen wir eine Nachricht an, die an einen Google Mail-Benutzer gesendet wurde

• Gmail-Benutzer-Posteingang:

• Wenn der Google Mail-Benutzer den Anhang (message.html) speichert und öffnet, kann er sich mit seinen Google-Anmeldeinformationen anmelden oder einen einmaligen Passcode an seine E-Mail-Adresse senden lassen.

• In diesem Fall haben wir einen einmaligen Passcode gewählt.

• Suchen Sie im Gmail-Posteingang nach dem Passcode

• Kopieren Sie den Passcode und fügen Sie ihn ein

• Wir können die verschlüsselte Nachricht im Portal einsehen und eine verschlüsselte Antwort senden

Verwenden Sie den folgenden Befehl, um zu überprüfen, ob Ihr Mandant für die Verschlüsselung eingerichtet ist, und stellen Sie sicher, dass der Sender-Wert ein gültiges Konto in Ihrem Mandanten ist:

Test-IRMConfiguration -Sender [email protected]

Wenn Sie „GESAMTERGEBNIS: BESTANDEN“ sehen, können Sie loslegen

Lesen Sie auch : Wie verschlüsselt man Microsoft 365-E-Mails mit ATP?

Weiterleitungsblöcke für Clientregeln aktivieren

Dies ist eine Transportregel, die helfen soll, die Datenexfiltration mit vom Kunden erstellten Regeln zu stoppen, die E-Mails automatisch von den Postfächern der Benutzer an externe E-Mail-Adressen weiterleiten. Dies ist eine zunehmend verbreitete Datenleckmethode in Organisationen.

Wechseln Sie zu Exchange Admin Center > E-Mail-Fluss > Regeln

Klicken Sie auf das Pluszeichen und wählen Sie Microsoft 365-Nachrichtenverschlüsselung und Rechteschutz auf die Nachrichten anwenden…

Fügen Sie der Regel die folgenden Eigenschaften hinzu:

• WENN sich der Absender 'innerhalb der Organisation' befindet
• UND WENN sich der Empfänger „außerhalb der Organisation“ befindet
• AND IF Der Nachrichtentyp ist „Auto-Forward“
• DANN Lehnen Sie die Nachricht mit der Erklärung „Externe E-Mail-Weiterleitung über Client-Regeln ist nicht erlaubt“ ab.

Tipp 1: Für die dritte Bedingung müssen Sie Nachrichteneigenschaften >Diesen Nachrichtentyp einbeziehen auswählen, damit die Option Automatische Weiterleitung ausgefüllt wird

Tipp 2 : Für die vierte Bedingung müssen Sie Nachricht blockieren …> Nachricht ablehnen und eine Erklärung zum Ausfüllen hinzufügen

• Klicken Sie abschließend auf Speichern. Diese Regel wird sofort durchgesetzt. Clients erhalten eine benutzerdefinierte Non-Delivery Receipt (NDR)-Nachricht, die nützlich ist, um externe Weiterleitungsregeln hervorzuheben, von denen sie möglicherweise nicht wussten, dass sie existieren oder die von einem böswilligen Akteur in einem kompromittierten Postfach erstellt wurden. Sie können Ausnahmen für bestimmte angegebene Benutzer oder Gruppen in der erstellten Transportregel erstellen.

Power Shell

• Powershell-Skript zum Blockieren der automatischen Weiterleitung für einen Kunden.
• Powershell-Skript zum Blockieren der automatischen Weiterleitung für alle Ihre Kunden über Partner Center-Anmeldeinformationen.

Postfachdelegierung nicht zulassen

• Wenn Ihre Benutzer Postfächer nicht delegieren, ist es für einen Angreifer schwieriger, von einem Konto zu einem anderen zu wechseln und Daten zu stehlen. Postfachdelegierung ist die Praxis, jemand anderem zu erlauben, Ihre E-Mails und Ihren Kalender zu verwalten, was die Ausbreitung eines Angriffs beschleunigen kann .
• Führen Sie das PowerShell-Skript von Github aus , um festzustellen, ob vorhandene Postfachdelegierungsberechtigungen vorhanden sind . Geben Sie bei entsprechender Aufforderung die Anmeldeinformationen des globalen Administrators für den Mandanten ein.
• Wenn Delegierungsberechtigungen vorhanden sind, werden diese aufgelistet. Wenn es keine gibt, erhalten Sie nur eine neue Befehlszeile. Identität ist das Postfach, dem delegierte Administratorberechtigungen zugewiesen wurden, und Benutzer ist die Person, die über diese Berechtigungen verfügt.
• Sie können den folgenden Befehl ausführen, um die Zugriffsrechte für Benutzer zu entfernen:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Verbindungsfilterung

Sie verwenden die Verbindungsfilterung in EOP, um gute oder schlechte Quell-E-Mail-Server anhand ihrer IP-Adressen zu identifizieren. Die Schlüsselkomponenten der standardmäßigen Verbindungsfilterrichtlinie sind:

IP -Zulassungsliste : Überspringen Sie die Spam-Filterung für alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie anhand der IP-Adresse oder des IP-Adressbereichs angeben. Weitere Informationen dazu, wie die IP-Zulassungsliste in Ihre Gesamtstrategie für sichere Absender passen sollte, finden Sie unter  Erstellen von Listen sicherer Absender in EOP .

IP -Sperrliste : Blockieren Sie alle eingehenden Nachrichten von den Quell-E-Mail-Servern, die Sie anhand der IP-Adresse oder des IP-Adressbereichs angeben. Die eingehenden Nachrichten werden abgewiesen, nicht als Spam markiert und es findet keine zusätzliche Filterung statt. Weitere Informationen dazu, wie die IP-Sperrliste in Ihre Gesamtstrategie für blockierte Absender passen sollte, finden Sie unter  Erstellen von Listen mit blockierten Absendern in EOP .

• Klicken Sie im Exchange Admin Center > Schutz > Verbindungsfilter > auf das Stiftsymbol, um die Standardrichtlinie zu ändern.

• Klicken Sie auf Verbindungsfilterung

• Hier können Sie IP-Adressen zulassen/blockieren.

Spam und Malware

Zu stellende Fragen:

1. Welche Maßnahmen wollen wir ergreifen, wenn eine Nachricht als Spam identifiziert wird?
   a. Nachricht in Junk-Ordner verschieben (Standard)
   b. X-Kopfzeile hinzufügen (Sendet die Nachricht an die angegebenen Empfänger, fügt jedoch X-Kopfzeilentext zur Nachrichtenkopfzeile hinzu, um sie als Spam zu identifizieren)
   c. Betreffzeile mit Text voranstellen (Sendet die Nachricht an die beabsichtigten Empfänger, stellt der Betreffzeile jedoch den Text voran, den Sie im Eingabefeld Betreffzeile mit diesem Text voranstellen angeben. Wenn Sie diesen Text als Kennung verwenden, können Sie optional Regeln zum Filtern oder Erstellen erstellen Leiten Sie die Nachrichten nach Bedarf weiter.)
   d. Nachricht an E-Mail-Adresse umleiten (Sendet die Nachricht an eine bestimmte E-Mail-Adresse statt an die beabsichtigten Empfänger.)
2. Müssen wir zugelassene Absender/Domains hinzufügen oder Absender/Domains blockieren?
3. Müssen wir Nachrichten filtern, die in einer bestimmten Sprache geschrieben sind?
4. Müssen wir Nachrichten filtern, die aus bestimmten Ländern/Regionen kommen?
5. Wollen wir Spam-Benachrichtigungen für Endbenutzer konfigurieren, um Benutzer zu informieren, wenn für sie bestimmte Nachrichten stattdessen in die Quarantäne verschoben wurden? (Anhand dieser Benachrichtigungen können Endbenutzer falsch positive Ergebnisse veröffentlichen und sie Microsoft zur Analyse melden.)

• Wechseln Sie zum Microsoft 365 Admin Center > Wählen Sie Sicherheit aus Admin Centers > Bedrohungsverwaltung > Richtlinie > Anti-Spam aus

• Bearbeiten Sie die Standardrichtlinie

• Navigieren Sie durch die Registerkarten, um die zuvor gestellten Fragen zu konfigurieren

• Erweitern  Sie den  Abschnitt Zulassungslisten, um Nachrichtenabsender nach E-Mail-Adresse oder E-Mail-Domäne zu konfigurieren, die die Spamfilterung überspringen dürfen.
• Erweitern Sie den  Abschnitt Sperrlisten  , um Nachrichtenabsender nach E-Mail-Adresse oder E-Mail-Domäne zu konfigurieren, die immer als hochgradig vertrauenswürdiger Spam markiert werden.

• Auf der Registerkarte Spam-Eigenschaften können Sie Ihre Richtlinie genauer festlegen und die Einstellungen für den Spamfilter verschärfen

Malware

Dies ist bereits unternehmensweit über die standardmäßige Anti-Malware-Richtlinie eingerichtet. Müssen Sie detailliertere Richtlinien für eine bestimmte Gruppe von Benutzern erstellen, z. B. zusätzliche Benachrichtigungen per Text oder eine verstärkte Filterung basierend auf Dateierweiterungen?

• Gehen Sie zum Sicherheitsportal > Bedrohungsverwaltung > Richtlinie > Anti-Malware

• Wählen Sie die zu ändernde Standardrichtlinie aus
• Wählen Sie Nein für die Malware-Erkennungsantwort aus

• Deaktivieren Sie die Funktion, um Anhangstypen zu blockieren, die Ihrem Computer schaden könnten

• Aktivieren Sie die automatische Zero-Hour-Bereinigung von Malware

• Benachrichtigungen entsprechend ändern

• Geben Sie die Benutzer, Gruppen oder Domänen an, für die diese Richtlinie gilt, indem Sie empfängerbasierte Regeln erstellen

• Überprüfen Sie Ihre Einstellungen und speichern Sie sie.

Anti-Phishing-Richtlinie

Microsoft 365-Abonnements werden mit einer vorkonfigurierten Standardrichtlinie für Anti-Phishing geliefert, aber wenn Sie über die richtige Lizenzierung für ATP verfügen, können Sie zusätzliche Einstellungen für Identitätswechselversuche innerhalb des Mandanten konfigurieren. Wir werden diese zusätzlichen Einstellungen hier konfigurieren.

• Gehen Sie zum Sicherheitsportal > Bedrohungsverwaltung > Richtlinie > ATP-Anti-Phishing

• Klicken Sie auf die Standardrichtlinie > Klicken Sie im Abschnitt Identitätswechsel auf Bearbeiten
• Schalten Sie im ersten Abschnitt den Schalter ein und fügen Sie Top-Führungskräfte oder Benutzer innerhalb der Organisation hinzu, die am wahrscheinlichsten gespooft werden

• Schalten Sie im Abschnitt Zu schützende Domains hinzufügen den Schalter um, um Domains, die ich besitze, automatisch einzubeziehen

• Wählen Sie im Abschnitt Aktionen aus, welche Aktion Sie ausführen möchten, wenn ein Benutzer oder eine Domäne imitiert wird. Wir empfehlen entweder Quarantäne oder Verschieben in den Junk-Ordner.

• Schalten Sie im Abschnitt Mailbox Intelligence den Schutz ein und wählen Sie, wie im vorherigen Schritt, die zu ergreifende Aktion aus

• Im letzten Abschnitt können Sie Absender und Domains auf die Whitelist setzen. Fügen Sie hier keine generischen Domains wie gmail.com hinzu.

• Nachdem Sie Ihre Einstellungen überprüft haben, können Sie Speichern wählen

Lesen Sie auch : Microsoft Cloud App Security: The Definitive Guide

Erweiterte Filterung konfigurieren

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

Wobei :
= Domäne, die wir schützen möchten
= 3600
= gibt an, dass diese Regel für 100 % der E-Mails verwendet werden soll
= gibt an, welche Richtlinie der empfangende Server befolgen soll, wenn DMARC fehlschlägt.
HINWEIS: Sie können „Keine“, „Quarantäne“ oder „Ablehnen“ festlegen

Beispiel :

• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p=keine“
• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p=Quarantäne“
• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p = ablehnen“

Freigabe von Kalenderdetails nicht zulassen

Sie sollten Ihren Benutzern nicht erlauben, Kalenderdetails mit externen Benutzern zu teilen. Mit dieser Funktion können Ihre Benutzer die vollständigen Details ihrer Kalender mit externen Benutzern teilen. Angreifer verbringen sehr häufig Zeit damit, sich über Ihr Unternehmen zu informieren (Erkundung durchzuführen), bevor sie einen Angriff starten. Öffentlich verfügbare Kalender können Angreifern helfen, organisatorische Zusammenhänge zu verstehen und festzustellen, wann bestimmte Benutzer möglicherweise anfälliger für einen Angriff sind, z. B. wenn sie unterwegs sind.

• Im Microsoft 365 Admin Center > Einstellungen – Organisationseinstellungen

• Klicken Sie auf Dienste und wählen Sie Kalender aus

• Ändern Sie die Einstellungen auf " Kalender Frei/Gebucht-Informationen nur mit Zeit "

• Aktivieren Sie diese Einstellung für einen Mandanten über PowerShell
• Aktivieren Sie diese Einstellung in allen Mandanten über Partner Center-Anmeldeinformationen mithilfe von PowerShell

Audit-Log-Suche aktivieren

Sie sollten die Überwachungsdatenaufzeichnung für Ihren Microsoft 365- oder Office 365-Dienst aktivieren, um sicherzustellen, dass Sie Aufzeichnungen über die Interaktionen aller Benutzer und Administratoren mit dem Dienst haben, einschließlich Azure AD, Exchange Online, Microsoft Teams und SharePoint Online/OneDrive for Business. Diese Daten ermöglichen es, eine Sicherheitsverletzung zu untersuchen und einzugrenzen, falls sie jemals auftreten sollte. Sie (oder ein anderer Administrator) müssen die Überwachungsprotokollierung aktivieren, bevor Sie mit der Suche im Überwachungsprotokoll beginnen können .

• Wie schalte ich das Audit-Log ein?
• Wie kann ich das Audit-Protokoll durchsuchen?

• Gehen Sie zu Sicherheitsportal>Suchen>Überwachungsprotokollsuche
• Stellen Sie sicher, dass Sie Folgendes nicht erhalten:

• Nachdem Sie die Überwachung aktiviert haben, sehen Sie Folgendes:

• Sie können eine benutzerdefinierte Suche basierend auf Aktivität, Datumsbereich, Benutzern und Datei\Ordner\Site erstellen
• Erstellen Sie eine neue Benachrichtigungsrichtlinie basierend auf einem bestimmten Ereignis

• Wenn Sie das Überwachungsprotokoll über PowerShell durchsuchen möchten, verwenden Sie die folgenden Befehle:

$auditlog = Search-UnifiedAuditLog -StartDate 01.01.2021 -EndDate 31.01.2021 -RecordType SharePointFileOperation

• Sie können den folgenden Befehl verwenden, um bestimmte Eigenschaften in eine CSV-Datei zu exportieren:

$Auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Pfad c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Postfachüberwachung für alle Benutzer aktivieren

Standardmäßig wird der gesamte Nicht-Besitzer-Zugriff überwacht, aber Sie müssen die Überwachung für das Postfach aktivieren, damit der Besitzerzugriff ebenfalls überwacht wird. Auf diese Weise können Sie den illegalen Zugriff auf Exchange Online-Aktivitäten entdecken, wenn das Konto eines Benutzers verletzt wurde. Wir müssen ein PowerShell-Skript ausführen , um die Überwachung für alle Benutzer zu aktivieren.

HINWEIS : Verwenden Sie das Überwachungsprotokoll, um nach protokollierten Postfachaktivitäten zu suchen. Sie können nach Aktivitäten für ein bestimmtes Benutzerpostfach suchen.

• Gehen Sie zu Sicherheitsportal>Suchen>Überwachungsprotokollsuche

Liste der Postfachüberwachungsaktionen

Powershell-Befehle zur Postfachüberwachung

So überprüfen Sie den Überwachungsstatus eines Postfachs:

Get-Mailbox [email protected] | fl *audit*

So durchsuchen Sie eine Postfachüberwachung:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

So exportieren Sie Ergebnisse in eine CSV-Datei:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

So zeigen Sie Protokolle basierend auf Vorgängen an und exportieren sie :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

So zeigen Sie Protokolle basierend auf Anmeldetypen an und exportieren sie :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01.01.2021 -EndDate 31.01.2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Überprüfen Sie die Rollenänderungen wöchentlich

Sie sollten dies tun, weil Sie auf unerlaubte Rollengruppenänderungen achten sollten, die einem Angreifer erhöhte Berechtigungen geben könnten, um gefährlichere und wirkungsvollere Dinge in Ihrem Mandanten auszuführen.

• Gehen Sie zu Sicherheitsportal>Suchen>Überwachungsprotokollsuche
• Geben Sie „ Rolle “ in die Suche ein und wählen Sie „ Mitglied zu Rolle hinzugefügt “ und „ Benutzer aus einer Verzeichnisrolle entfernt “ aus.

Überwachen Sie Rollenänderungen in allen Kundenmandanten

Überprüfen Sie die Postfachweiterleitungsregeln wöchentlich

Sie sollten die Weiterleitungsregeln für Postfächer an externe Domänen mindestens wöchentlich überprüfen. Dazu gibt es mehrere Möglichkeiten, darunter das einfache Überprüfen der Liste der E-Mail-Weiterleitungsregeln an externe Domänen in allen Ihren Postfächern mithilfe eines PowerShell-Skripts oder das Überprüfen der Aktivitäten zum Erstellen von E-Mail-Weiterleitungsregeln in der letzten Woche aus der Überwachungsprotokollsuche. Obwohl es viele legitime Verwendungen von E-Mail-Weiterleitungsregeln an andere Standorte gibt, ist dies auch eine sehr beliebte Datenexfiltrationstaktik für Angreifer. Sie sollten sie regelmäßig überprüfen, um sicherzustellen, dass die E-Mails Ihrer Benutzer nicht exfiltriert werden. Wenn Sie das unten verlinkte PowerShell-Skript ausführen, werden zwei CSV-Dateien, „MailboxDelegatePermissions“ und „MailForwardingRulesToExternalDomains“, in Ihrem System32-Ordner generiert.

• Überwachen Sie einen einzelnen Mandanten
• Überwachen Sie externe Postfachweiterleitungen in allen Mandanten von Microsoft 365/Office 365-Kunden

Überprüfen Sie den Bericht zum Postfachzugriff durch Nicht-Inhaber zweiwöchentlich

Dieser Bericht zeigt, auf welche Postfächer von jemand anderem als dem Postfachbesitzer zugegriffen wurde. Obwohl es viele legitime Verwendungen von Stellvertretungsberechtigungen gibt, kann die regelmäßige Überprüfung dieses Zugriffs dazu beitragen, einen externen Angreifer daran zu hindern, den Zugriff für lange Zeit aufrechtzuerhalten, und dazu beitragen, böswillige Insider-Aktivitäten früher zu entdecken.

• Navigieren Sie im Exchange Admin Center zu Compliance Management > Auditing
• Klicken Sie auf „ Postfachzugriffsbericht für Nicht-Besitzer ausführen… “ .

• Geben Sie einen Datenbereich an und führen Sie eine Suche durch

Überprüfen Sie den Malware-Erkennungsbericht wöchentlich

Dieser Bericht zeigt bestimmte Fälle, in denen Microsoft verhindert, dass ein Malware-Anhang Ihre Benutzer erreicht. Dieser Bericht ist zwar nicht unbedingt umsetzbar, aber wenn Sie ihn überprüfen, erhalten Sie einen Eindruck vom Gesamtvolumen der Malware, die auf Ihre Benutzer abzielt, was Sie dazu veranlassen kann, aggressivere Malware-Abwehrmaßnahmen zu ergreifen

• Gehen Sie zu Sicherheitsportal > Berichte > Dashboard

• Scrollen Sie nach unten und klicken Sie auf Malware in E-Mail erkannt

• Zeigen Sie den Erkennungsbericht an und klicken Sie auf + Zeitplan erstellen

• Erstellen Sie einen wöchentlichen Berichtszeitplan und senden Sie ihn an die entsprechende E-Mail-Adresse

Überprüfen Sie Ihren Kontobereitstellungs-Aktivitätsbericht wöchentlich

Dieser Bericht enthält einen Verlauf der Versuche, Konten für externe Anwendungen bereitzustellen. Wenn Sie normalerweise keinen Drittanbieter verwenden, um Konten zu verwalten, ist jeder Eintrag auf der Liste wahrscheinlich illegal. Aber wenn Sie dies tun, ist dies eine großartige Möglichkeit, das Transaktionsvolumen zu überwachen und nach neuen oder ungewöhnlichen Anwendungen von Drittanbietern zu suchen, die Benutzer verwalten.

• Im Microsoft 365 Admin Center>Azure Active Directory von Admin Centers>Azure Active Directory>Überwachungsprotokolle

• Suchen Sie im Abschnitt Aktivität nach „Extern“ und wählen Sie Externen Benutzer einladen aus

So verbessern Sie den Online-Schutz von Börsen für mehr Sicherheit.

Jetzt würde ich gerne von Ihnen hören:

Welche Erkenntnis aus dem heutigen Bericht fandest du am interessantesten? Oder vielleicht haben Sie eine Frage zu etwas, das ich abgedeckt habe.

Wie auch immer, ich würde gerne von Ihnen hören. Also mach weiter und hinterlasse unten einen Kommentar.