Las 20 mejores técnicas para mejorar la protección en línea de Exchange

El objetivo clave de este artículo es mejorar la protección en línea de intercambio para una pérdida de datos o una cuenta comprometida siguiendo las mejores prácticas de seguridad de Microsoft y pasando por la configuración real. Microsoft ofrece dos niveles de seguridad de correo electrónico de Microsoft 365: Exchange Online Protection (EOP) y Microsoft Defender Advanced Threat Protection. Estas soluciones pueden mejorar la seguridad de la plataforma de Microsoft y aliviar las preocupaciones de seguridad del correo electrónico de Microsoft 365.

1 Habilitar el cifrado de correo electrónico

2 Habilitar bloqueos de reenvío de reglas de cliente

3 Powershell

4 No permitir delegación de buzón

5 Filtrado de conexiones

6 Correo no deseado y malware

7 programas maliciosos

8 Política contra el phishing

9 Configurar filtrado mejorado

10 Configurar la política de vínculos seguros y datos adjuntos seguros de ATP

11 Agregue SPF, DKIM y DMARC

12 No permitir compartir detalles del calendario

13 Habilitar búsqueda de registro de auditoría

14 Habilitar la auditoría de buzones para todos los usuarios

15 Comandos powershell de auditoría de buzones

16 Revisar los cambios de roles semanalmente

17 Revisar las reglas de reenvío de buzones semanalmente

18 Revise el informe de acceso al buzón por parte de personas que no son propietarios cada dos semanas

19 Revise el informe de detecciones de malware semanalmente

20 Revise el informe de actividad de aprovisionamiento de su cuenta semanalmente

Habilitar el cifrado de correo electrónico

Se pueden agregar reglas de cifrado de correo electrónico para cifrar un mensaje con una palabra clave particular en la línea de asunto o en el cuerpo. Lo más común es agregar "Seguro" como palabra clave en el asunto para cifrar el mensaje. El cifrado de mensajes M365/O365 funciona con Outlook.com, Yahoo!, Gmail y otros servicios de correo electrónico. El cifrado de mensajes de correo electrónico ayuda a garantizar que solo los destinatarios previstos puedan ver el contenido del mensaje.

• En el Centro de administración de Microsoft 365, haga clic en Exchange en Centros de administración

• En la sección Flujo de correo, haga clic en Reglas

• Haga clic en el signo más y haga clic en Aplicar el cifrado de mensajes de Microsoft 365 (le permite definir varias condiciones)

• Asigne un nombre a su política y, en la sección Aplicar esta regla si, diga "el asunto o cuerpo incluye..." y luego agregue su palabra clave. Aquí, estamos poniendo "Cifrar"

• En la sección Hacer lo siguiente, haga clic en seleccionar uno para la plantilla RMS y elija Cifrar

• Después de hacer clic en Guardar, puede probar su política. En este caso, estamos mostrando un mensaje enviado a un usuario de Gmail.

• Bandeja de entrada del usuario de Gmail:

• Cuando el usuario de Gmail guarda y abre el archivo adjunto (message.html), puede optar por iniciar sesión con sus credenciales de Google o recibir un código de acceso de un solo uso en su correo electrónico.

• En este caso, elegimos un código de acceso único.

• Compruebe la bandeja de entrada de Gmail para obtener el código de acceso

• Copie el código de acceso y péguelo

• Podemos ver el mensaje encriptado en el portal y enviar una respuesta encriptada

Para verificar que su arrendatario esté configurado para el cifrado, use el siguiente comando, asegurándose de que el valor del Remitente sea una cuenta válida dentro de su arrendatario:

Test-IRMConfiguration -Sender [email protected]

Si ve "RESULTADO GENERAL: APROBADO", entonces está listo para comenzar

Lea también : ¿Cómo cifrar correos electrónicos de Microsoft 365 con ATP?

Habilitar bloqueos de reenvío de reglas de cliente

Esta es una regla de transporte para ayudar a detener la exfiltración de datos con reglas creadas por el cliente que reenvía automáticamente el correo electrónico desde los buzones de correo de los usuarios a direcciones de correo electrónico externas. Este es un método de fuga de datos cada vez más común en las organizaciones.

Vaya al Centro de administración de Exchange> Flujo de correo> Reglas

Haga clic en el signo más y seleccione Aplicar el cifrado de mensajes de Microsoft 365 y la protección de derechos a los mensajes...

Agregue las siguientes propiedades a la regla:

• SI El remitente se encuentra 'Dentro de la organización'
• Y SI El Destinatario se encuentra 'Fuera de la organización'
• Y SI El tipo de mensaje es 'Reenvío automático'
• ENTONCES Rechace el mensaje con la explicación "No se permite el reenvío de correo electrónico externo a través de las reglas del cliente".

Sugerencia 1: para la tercera condición, debe seleccionar Propiedades del mensaje > Incluir este tipo de mensaje para obtener la opción de reenvío automático para completar

Sugerencia 2 : Para la cuarta condición, debe seleccionar Bloquear el mensaje...> rechazar el mensaje e incluir una explicación para completar

• Haga clic en Guardar cuando haya terminado. Esta regla se aplicará de inmediato. Los clientes recibirán un mensaje personalizado de Recibo de no entrega (NDR) que es útil para resaltar las reglas de reenvío externas que quizás no sabían que existían, o que fueron creadas por un mal actor en un buzón comprometido. Puede crear excepciones para ciertos usuarios o grupos específicos en la regla de transporte creada.

Potencia Shell

• Script de Powershell para bloquear el reenvío automático para un cliente.
• Secuencia de comandos de Powershell para bloquear el reenvío automático para todos sus clientes a través de las credenciales del Centro de socios.

No permitir delegación de buzón

• Si sus usuarios no delegan buzones, es más difícil para un atacante pasar de una cuenta a otra y robar datos. La delegación de buzones es la práctica de permitir que otra persona administre su correo y calendario, lo que puede precipitar la propagación de un ataque.
• Para determinar si hay permisos de delegación de buzón existentes, ejecute el script de PowerShell desde Github. Cuando se le solicite, ingrese las credenciales de administrador global para el arrendatario.
• Si existen permisos de delegación, los verá en la lista. Si no hay ninguno, solo obtendrá una nueva línea de comando. La identidad es el buzón que tiene asignados permisos de administrador delegado y el usuario es la persona que tiene esos permisos.
• Puede ejecutar el siguiente comando para eliminar los derechos de acceso de los usuarios:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Filtrado de conexiones

Utiliza el filtrado de conexiones en EOP para identificar servidores de correo electrónico de origen buenos o malos por sus direcciones IP. Los componentes clave de la política de filtro de conexión predeterminada son:

Lista de direcciones IP permitidas : omita el filtrado de spam para todos los mensajes entrantes de los servidores de correo electrónico de origen que especifique por dirección IP o rango de direcciones IP. Para obtener más información sobre cómo la lista de IP permitidas debe encajar en su estrategia general de remitentes seguros, consulte  Crear listas de remitentes seguros en EOP .

Lista de IP bloqueadas : bloquee todos los mensajes entrantes de los servidores de correo electrónico de origen que especifique por dirección IP o rango de direcciones IP. Los mensajes entrantes se rechazan, no se marcan como spam y no se produce ningún filtrado adicional. Para obtener más información sobre cómo la lista de IP bloqueadas debe encajar en su estrategia general de remitentes bloqueados, consulte  Crear listas de remitentes bloqueados en EOP .

• En el Centro de administración de Exchange > Protección > Filtro de conexión > Haga clic en el icono del lápiz para modificar la política predeterminada.

• Haga clic en Filtrado de conexiones

• Aquí puede permitir/bloquear la dirección IP.

Correo no deseado y software malicioso

Preguntas que hacer:

1. ¿Qué acciones queremos tomar cuando un mensaje se identifica como spam?
   una. Mover mensaje a la carpeta de correo no deseado (predeterminado)
   b. Agregar encabezado X (envía el mensaje a los destinatarios especificados, pero agrega texto de encabezado X al encabezado del mensaje para identificarlo como spam)
   c. Prefijo la línea de asunto con texto (envía el mensaje a los destinatarios previstos, pero antepone la línea de asunto con el texto que especifique en el cuadro de entrada Prefijo la línea de asunto con este texto. Con este texto como identificador, puede crear reglas opcionales para filtrar o enrute los mensajes según sea necesario.)
   d. Redirigir el mensaje a la dirección de correo electrónico (envía el mensaje a una dirección de correo electrónico designada en lugar de a los destinatarios previstos).
2. ¿Necesitamos agregar remitentes/dominios permitidos o bloquear remitentes/dominios?
3. ¿Necesitamos filtrar los mensajes escritos en un idioma específico?
4. ¿Necesitamos filtrar los mensajes que provienen de países o regiones específicos?
5. ¿Queremos configurar notificaciones de correo no deseado para el usuario final para informar a los usuarios cuándo los mensajes destinados a ellos se enviaron a cuarentena? (A partir de estas notificaciones, los usuarios finales pueden publicar falsos positivos e informarlos a Microsoft para su análisis).

• Vaya al Centro de administración de Microsoft 365 > Seleccione Seguridad en los Centros de administración > Administración de amenazas > Política > Antispam

• Editar la política predeterminada

• Navega por las pestañas para configurar cualquiera de las preguntas formuladas anteriormente

• Expanda la  sección Permitir listas  para configurar los remitentes de mensajes por dirección de correo electrónico o dominio de correo electrónico que pueden omitir el filtrado de correo no deseado.
• Expanda la  sección Listas de bloqueo  para configurar los remitentes de mensajes por dirección de correo electrónico o dominio de correo electrónico que siempre se marcarán como correo no deseado de confianza alta.

• La pestaña Propiedades de correo no deseado le permite ser más granular con su política y ajustar la configuración en el filtro de correo no deseado.

Malware

Esto ya está configurado en toda la empresa a través de la política antimalware predeterminada. ¿Necesita crear políticas más granulares para un determinado grupo de usuarios, como notificaciones adicionales a través de mensajes de texto o un mayor filtrado basado en extensiones de archivo?

• Vaya al portal de seguridad > Gestión de amenazas > Política > Antimalware

• Seleccione la política predeterminada para modificar
• Seleccione No para la respuesta de detección de malware

• Desactive la función para bloquear los tipos de archivos adjuntos que pueden dañar su computadora

• Activar la purga automática de malware de hora cero

• Modificar las notificaciones en consecuencia

• Especifique los usuarios, grupos o dominios a los que se aplica esta política mediante la creación de reglas basadas en destinatarios

• Revise su configuración y guarde.

Política Anti-Phishing

Las suscripciones de Microsoft 365 vienen con una política predeterminada para antiphishing preconfigurada, pero si tiene la licencia correcta para ATP, puede configurar ajustes adicionales para los intentos de suplantación dentro del arrendatario. Estaremos configurando esos ajustes adicionales aquí.

• Vaya al portal de seguridad > Gestión de amenazas > Política > Antiphishing de ATP

• Haga clic en la política predeterminada > Haga clic en Editar en la sección Suplantación de identidad
• En la primera sección, active el interruptor y agregue altos ejecutivos o usuarios dentro de la organización que tienen más probabilidades de ser falsificados.

• En la sección Agregar dominios para proteger, cambie el interruptor para incluir automáticamente los dominios que poseo

• In the Actions section, choose what action you want to take if a user or domain is impersonated. We recommend either quarantine or moving to Junk folder.

• In the Mailbox Intelligence section, toggle on the protection and chose what action to take, like in the previous step

• The final section allows you to whitelist senders and domains. Refrain from adding generic domains here like gmail.com.

• After you review your settings, you can choose to Save

Also Read: Microsoft Cloud App Security: The Definitive Guide

Configure Enhanced Filtering

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

Registro CNAME #2 :
Nombre de host : selector2._domainkey.techiebery.com
Apunta a la dirección o valor: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• Después de publicar los registros, vaya al portal de seguridad > Gestión de amenazas > Política > DKIM

• Seleccione el Dominio para el que desea habilitar DKIM y haga clic en Habilitar.
• Con los registros SPF y DKIM en su lugar, ahora podemos configurar DMARC. El formato para el registro TXT que queremos agregar es el siguiente:

_dmarc.dominio TTL EN TXT “v=DMARC1; pct=100; p=política

Donde :
= dominio que queremos proteger
= 3600
= indica que esta regla debe usarse para el 100 % del correo electrónico
= especifica qué política desea que siga el servidor receptor si DMARC falla.
NOTA: Puede configurar ninguno, poner en cuarentena o rechazar

Ejemplo :

• _dmarc.pax8.com 3600 EN TXT “v=DMARC1; p=ninguno”
• _dmarc.pax8.com 3600 EN TXT “v=DMARC1; p=cuarentena”
• _dmarc.pax8.com 3600 EN TXT “v=DMARC1; p=rechazar”

No permitir compartir detalles del calendario

You should not allow your users to share calendar details with external users. This feature allows your users to share the full details of their calendars with external users. Attackers will very commonly spend time learning about your organization (performing reconnaissance) before launching an attack. Publicly available calendars can help attackers understand organizational relationships, and determine when specific users may be more vulnerable to an attack, such as when they are traveling.

• In the Microsoft 365 admin center > Settings – Org settings

• Click on services and select calendar

• Change the settings to “Calendar free/busy information with time only”

• Enable this setting on one tenant via PowerShell
• Enable this setting in all tenants via Partner Center credentials using the PowerShell

Enable Audit Log Search

You should enable audit data recording for your Microsoft 365 or Office 365 service to ensure that you have a record of every user and administrator’s interaction with the service, including Azure AD, Exchange Online, Microsoft Teams and SharePoint Online/OneDrive for Business. This data will make it possible to investigate and scope a security breach, should it ever occur. You (or another admin) must turn on audit logging before you can start searching the audit log.

• How to turn the Audit Log On?
• How to Search the Audit Log?

• Go to security portal>Search>Audit Log search
• Make sure you do not get the following:

• After you turn on Auditing, you will see the following:

• You can create a custom search based off activity, date range., users and file\folder\site
• Create a New Alert Policy based off a certain event

• If want to search the audit log via PowerShell you would use the commands below:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• You could use the following command to export certain properties to a CSV file:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Enable Mailbox Auditing for All Users

De forma predeterminada, se audita todo el acceso de los que no son propietarios, pero debe habilitar la auditoría en el buzón para que también se audite el acceso del propietario. Esto le permitirá descubrir el acceso ilícito de la actividad de Exchange Online si se ha violado la cuenta de un usuario. Tendremos que ejecutar un script de PowerShell para habilitar la auditoría para todos los usuarios.

NOTA : Use el registro de auditoría para buscar la actividad del buzón que se ha registrado. Puede buscar actividad para un buzón de usuario específico.

• Vaya al portal de seguridad>Buscar>Búsqueda de registro de auditoría

Lista de acciones de auditoría de buzones

Comandos de powershell de auditoría de buzones

Para comprobar el estado de auditoría de un buzón:

Get-Mailbox [email protected] | fl *auditoría*

Para buscar una auditoría de buzón:

Buscar-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Para exportar resultados a un archivo csv:

Buscar-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021 | Exportar-Csv C:\usuarios\AuditLogs.csv -NoTypeInformation

Para ver y exportar registros basados ​​en operaciones :

Search-MailboxAuditLog -Identidad [email protected] -ResultSize 250000 -Operaciones HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Exportar-Csv C:\AuditLogs.csv -NoTypeInformation

Para ver y exportar registros según los tipos de inicio de sesión :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Exportar-Csv C:\AuditLogs.csv -NoTypeInformation

Revise los cambios de roles semanalmente

Debe hacer esto porque debe estar atento a los cambios de grupo de roles ilícitos, lo que podría otorgar a un atacante privilegios elevados para realizar cosas más peligrosas e impactantes en su arrendamiento.

• Vaya a Portal de seguridad>Buscar>Búsqueda de registro de auditoría
• Escriba " Rol " en la búsqueda y seleccione " Miembro agregado al rol " y " Eliminó un usuario de un rol de directorio "

Supervisar los cambios de roles en todos los inquilinos de los clientes

Revisar las reglas de reenvío de buzones semanalmente

You should review mailbox forwarding rules to external domains at least every week. There are several ways you can do this, including simply reviewing the list of mail forwarding rules to external domains on all of your mailboxes using a PowerShell script, or by reviewing mail forwarding rule creation activity in the last week from the Audit Log Search. While there are lots of legitimate uses of mail forwarding rules to other locations, it is also a very popular data exfiltration tactic for attackers. You should review them regularly to ensure your users’ email is not being exfiltrated. Running the PowerShell script linked below will generate two csv files, “MailboxDelegatePermissions” and “MailForwardingRulesToExternalDomains”, in your System32 folder.

• Monitor on a single tenant
• Supervisar los reenvíos de buzones externos en todos los inquilinos de Microsoft 365/Office 365 Customer

Revise el informe de acceso al buzón por parte de personas que no son propietarios cada dos semanas

Este informe muestra a qué buzones ha accedido alguien que no es el propietario del buzón. Si bien hay muchos usos legítimos de los permisos delegados, revisar periódicamente ese acceso puede ayudar a evitar que un atacante externo mantenga el acceso durante mucho tiempo y puede ayudar a descubrir antes la actividad interna malintencionada.

• En el Centro de administración de Exchange, vaya a Administración de cumplimiento> Auditoría
• Haga clic en " Ejecutar un informe de acceso al buzón de correo de no propietario... "

• Especifique un rango de datos y ejecute una búsqueda

Revise el informe de detecciones de malware semanalmente

This report shows specific instances of Microsoft blocking a malware attachment from reaching your users. While this report isn’t strictly actionable, reviewing it will give you a sense of the overall volume of malware being targeted at your users, which may prompt you to adopt more aggressive malware mitigations

• Go to security portal>Reports>Dashboard

• Scroll to the bottom and click on Malware detected in email

• View the Detection Report and click + Create schedule

• Create a weekly report schedule and send it to the appropriate email address

Review your Account Provisioning Activity Report Weekly

Este informe incluye un historial de intentos de aprovisionar cuentas para aplicaciones externas. Si no suele utilizar un proveedor externo para administrar las cuentas, es probable que cualquier entrada en la lista sea ilícita. Pero, si lo hace, esta es una excelente manera de monitorear los volúmenes de transacciones y buscar aplicaciones de terceros nuevas o inusuales que administren usuarios.

• En el Centro de administración de Microsoft 365>Azure Active Directory desde los Centros de administración>Azure Active Directory>Registros de auditoría

• En la sección Actividad, busque "externo" y seleccione Invitar a un usuario externo

Así es como mejora la protección de intercambio en línea para una mayor seguridad.

Ahora me gustaría saber de usted:

¿Qué hallazgo del informe de hoy le pareció más interesante? O tal vez tenga una pregunta sobre algo que cubrí.

De cualquier manera, me gustaría saber de usted. Así que adelante y deja un comentario a continuación.