20 Teknik Terbaik Untuk Meningkatkan Perlindungan Dalam Talian Exchange

Matlamat utama artikel ini adalah untuk meningkatkan perlindungan pertukaran dalam talian untuk kehilangan data atau akaun yang terjejas dengan mengikuti amalan terbaik keselamatan Microsoft dan melalui persediaan sebenar. Microsoft menawarkan dua tahap keselamatan e-mel Microsoft 365 – Exchange Online Protection (EOP) dan Microsoft Defender Advanced Threat Protection. Penyelesaian ini boleh meningkatkan keselamatan platform Microsoft dan mengurangkan kebimbangan keselamatan e-mel Microsoft 365.

1 Dayakan Penyulitan E-mel

2 Dayakan Blok Pemajuan Peraturan Pelanggan

3 Powershell

4 Jangan benarkan perwakilan peti mel

5 Penapisan Sambungan

6 Spam dan Perisian Hasad

7 Perisian hasad

8 Dasar Anti-Pancingan Data

9 Konfigurasikan Penapisan Dipertingkat

10 Konfigurasikan Pautan Selamat ATP dan Dasar Lampiran Selamat

11 Tambah SPF, DKIM dan DMARC

12 Jangan Benarkan Perkongsian Butiran Kalendar

13 Dayakan Carian Log Audit

14 Dayakan Pengauditan Peti Mel untuk Semua Pengguna

15 Peti mel mengaudit arahan powershell

16 Semakan Perubahan Peranan Setiap Minggu

17 Semak Peraturan Penghantaran Peti Mel Setiap Minggu

18 Semak Laporan Akses Peti Mel oleh Bukan Pemilik Dwi Mingguan

19 Semak Laporan Pengesanan Perisian Hasad Setiap Minggu

20 Semak Laporan Aktiviti Peruntukan Akaun anda Setiap Minggu

Dayakan Penyulitan E-mel

Peraturan penyulitan e-mel boleh ditambah untuk menyulitkan mesej dengan kata kunci tertentu dalam baris subjek atau badan. Paling biasa ialah menambah "Secure" sebagai kata kunci dalam subjek untuk menyulitkan mesej. Penyulitan Mesej M365/O365 berfungsi dengan Outlook.com, Yahoo!, Gmail dan perkhidmatan e-mel lain. Penyulitan mesej e-mel membantu memastikan bahawa hanya penerima yang dimaksudkan boleh melihat kandungan mesej.

• Dalam Pusat Pentadbiran Microsoft 365, klik pada Exchange di bawah Pusat Pentadbiran

• Dalam bahagian Aliran Mel, klik pada Peraturan

• Klik pada tanda tambah dan klik Guna Penyulitan Mesej Microsoft 365 (membolehkan anda menentukan berbilang syarat)

• Namakan dasar anda dan daripada bahagian Guna Peraturan Ini Jika, sebut “subjek atau kandungan termasuk…” dan kemudian tambah kata kunci anda. Di sini, kami meletakkan "Encrypt"

• Dalam bahagian Lakukan Berikut, klik pilih satu untuk templat RMS dan pilih Sulitkan

• Selepas anda mengklik Simpan anda boleh menguji dasar anda. Dalam kes ini, kami menunjukkan mesej yang dihantar kepada pengguna Gmail

• Peti masuk pengguna Gmail:

• Apabila pengguna Gmail menyimpan dan membuka lampiran (message.html), mereka boleh memilih untuk log masuk menggunakan bukti kelayakan Google mereka atau mendapatkan kod laluan sekali sahaja dihantar ke e-mel mereka.

• Dalam kes ini, kami memilih kod laluan sekali sahaja.

• Semak peti masuk Gmail untuk kod laluan

• Salin kod laluan dan tampalkannya

• Kami boleh melihat mesej yang disulitkan dalam portal dan menghantar balasan yang disulitkan

Untuk mengesahkan bahawa penyewa anda telah disediakan untuk penyulitan, gunakan perintah berikut, pastikan nilai Pengirim adalah akaun yang sah dalam penyewa anda:

Ujian-IRMConfiguration -Penghantar [email protected]

Jika anda melihat "KEPUTUSAN KESELURUHAN: LULUS" maka anda sudah bersedia untuk pergi

Baca Juga : Bagaimana untuk Menyulitkan e-mel Microsoft 365 dengan ATP?

Dayakan Blok Pemajuan Peraturan Pelanggan

Ini ialah peraturan pengangkutan untuk membantu menghentikan exfiltration data dengan peraturan yang dibuat oleh pelanggan yang memajukan e-mel secara automatik daripada peti mel pengguna ke alamat e-mel luaran. Ini ialah kaedah kebocoran data yang semakin biasa dalam organisasi.

Pergi ke Pusat Pentadbiran Exchange>Aliran mel> Peraturan

Klik pada tanda tambah dan pilih Gunakan Penyulitan Mesej Microsoft 365 dan perlindungan hak pada mesej…

Tambahkan Sifat berikut pada peraturan:

• JIKA Pengirim terletak 'Di dalam organisasi'
• DAN JIKA Penerima berada 'Di luar organisasi'
• DAN JIKA Jenis mesej ialah 'Auto-Maju'
• KEMUDIAN Tolak mesej dengan penjelasan 'Pengiriman E-mel Luaran melalui Peraturan Pelanggan tidak dibenarkan'.

Petua 1: Untuk syarat ke-3, anda perlu memilih Message Properties >Sertakan jenis mesej ini untuk mendapatkan pilihan Automajukan untuk diisi

Petua 2 : Untuk syarat ke-4, anda perlu memilih Sekat mesej ...> menolak mesej dan sertakan penjelasan untuk mengisi

• Klik Simpan apabila selesai. Peraturan ini akan dikuatkuasakan serta merta. Pelanggan akan menerima mesej Resit Bukan Penghantaran (NDR) tersuai yang berguna untuk menyerlahkan peraturan pemajuan luaran yang mereka mungkin tidak tahu wujud, atau yang dicipta oleh pelakon jahat pada peti mel yang terjejas. Anda boleh membuat pengecualian untuk pengguna atau kumpulan tertentu tertentu dalam peraturan pengangkutan yang dibuat.

Powershell

• Skrip Powershell untuk menyekat Auto-Forward untuk seorang pelanggan.
• Skrip Powershell untuk menyekat AutoMajukan untuk semua pelanggan anda melalui bukti kelayakan Pusat Rakan Kongsi.

Jangan benarkan perwakilan peti mel

• Jika pengguna anda tidak mewakilkan peti mel, lebih sukar bagi penyerang untuk berpindah dari satu akaun ke akaun yang lain dan mencuri data. Delegasi peti mel ialah amalan membenarkan orang lain mengurus mel dan kalendar anda, yang boleh mencetuskan penyebaran serangan.
• Untuk menentukan sama ada terdapat sebarang kebenaran delegasi peti mel sedia ada, jalankan skrip PowerShell daripada Github. Apabila digesa, masukkan bukti kelayakan pentadbir global untuk penyewa.
• Jika terdapat sebarang kebenaran perwakilan sedia ada, anda akan melihatnya disenaraikan. Jika tiada, anda hanya akan mendapat baris arahan baharu. Identiti ialah peti mel yang telah mewakilkan kebenaran pentadbir dan pengguna ialah orang yang mempunyai kebenaran tersebut.
• Anda boleh menjalankan arahan berikut untuk mengalih keluar hak akses untuk pengguna:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Penapisan Sambungan

Anda menggunakan penapisan sambungan dalam EOP untuk mengenal pasti pelayan e-mel sumber yang baik atau buruk melalui alamat IP mereka. Komponen utama dasar penapis sambungan lalai ialah:

Senarai Benarkan IP : Langkau penapisan spam untuk semua mesej masuk daripada pelayan e-mel sumber yang anda tentukan mengikut alamat IP atau julat alamat IP. Untuk mendapatkan maklumat lanjut tentang cara Senarai Pembenaran IP harus sesuai dengan strategi penghantar selamat anda secara keseluruhan, lihat  Cipta senarai penghantar selamat dalam EOP .

Senarai Sekatan IP : Sekat semua mesej masuk daripada pelayan e-mel sumber yang anda tentukan mengikut alamat IP atau julat alamat IP. Mesej masuk ditolak, tidak ditandakan sebagai spam dan tiada penapisan tambahan berlaku. Untuk mendapatkan maklumat lanjut tentang cara Senarai Sekat IP patut dimuatkan ke dalam keseluruhan strategi penghantar disekat anda, lihat  Buat senarai penghantar blok dalam EOP .

• Dalam Pusat Pentadbiran Exchange > Perlindungan > Penapis Sambungan > Klik pada ikon pensel untuk mengubah suai dasar lalai.

• Klik Penapisan Sambungan

• Di sini anda boleh membenarkan\sekat alamat IP.

Spam dan Perisian Hasad

Soalan untuk Ditanya:

1. Apakah tindakan yang ingin kami lakukan apabila mesej dikenal pasti sebagai spam?
   a. Alihkan Mesej ke Folder Sarap (Lalai)
   b. Tambah Pengepala X (Menghantar mesej kepada penerima yang ditentukan, tetapi menambah teks pengepala X pada pengepala mesej untuk mengenal pasti ia sebagai spam)
   c. Prepend Baris subjek dengan teks (Menghantar mesej kepada penerima yang dimaksudkan tetapi menambah baris subjek dengan teks yang anda tentukan dalam baris subjek Awalan dengan kotak input teks ini. Menggunakan teks ini sebagai pengecam, anda boleh membuat peraturan untuk menapis atau halakan mesej yang perlu.)
   d. Ubah hala mesej ke alamat e-mel (Menghantar mesej ke alamat e-mel yang ditetapkan dan bukannya kepada penerima yang dimaksudkan.)
2. Adakah kita perlu menambah penghantar/domain yang dibenarkan atau menyekat penghantar/domain?
3. Adakah kita perlu menapis mesej yang ditulis dalam bahasa tertentu?
4. Adakah kita perlu menapis mesej yang datang dari negara/rantau tertentu?
5. Adakah kami mahu mengkonfigurasi sebarang pemberitahuan spam pengguna akhir untuk memaklumkan pengguna apabila mesej yang ditujukan untuk mereka dihantar ke kuarantin? (Daripada pemberitahuan ini, pengguna akhir boleh mengeluarkan positif palsu dan melaporkannya kepada Microsoft untuk analisis.)

• Pergi ke Pusat Pentadbiran Microsoft 365 > Pilih Keselamatan daripada Pusat Pentadbiran > Pengurusan ancaman > Dasar > Anti-spam

• Edit dasar lalai

• Navigasi melalui tab untuk mengkonfigurasi mana-mana soalan yang ditanya sebelum ini

• Kembangkan bahagian  Benarkan senarai  untuk mengkonfigurasi penghantar mesej melalui alamat e-mel atau domain e-mel yang dibenarkan untuk melangkau penapisan spam.
• Kembangkan bahagian  Senarai Sekat  untuk mengkonfigurasi penghantar mesej melalui alamat e-mel atau domain e-mel yang akan sentiasa ditandakan sebagai spam berkeyakinan tinggi.

• Tab Sifat Spam membolehkan anda mendapatkan lebih terperinci dengan dasar anda dan mengetatkan tetapan pada penapis spam

perisian hasad

Ini telah disediakan di seluruh syarikat melalui dasar anti-perisian hasad lalai. Adakah anda perlu membuat dasar yang lebih terperinci untuk kumpulan pengguna tertentu seperti pemberitahuan tambahan melalui teks atau penapisan tinggi berdasarkan sambungan fail?

• Pergi ke portal keselamatan > Pengurusan ancaman > Dasar > Anti-perisian hasad

• Pilih dasar lalai untuk diubah suai
• Pilih Tidak untuk respons pengesanan perisian hasad

• Matikan ciri untuk menyekat jenis lampiran yang boleh membahayakan komputer anda

• Hidupkan perisian hasad pembersihan automatik sifar jam

• Ubah suai pemberitahuan sewajarnya

• Tentukan pengguna, kumpulan atau domain yang digunakan oleh dasar ini dengan membuat peraturan berasaskan penerima

• Semak tetapan anda dan simpan.

Dasar Anti-Pancingan Data

Langganan Microsoft 365 disertakan dengan dasar lalai untuk anti-pancingan data yang diprakonfigurasikan tetapi jika anda mempunyai pelesenan yang betul untuk ATP, anda boleh mengkonfigurasi tetapan tambahan untuk percubaan penyamaran dalam penyewa. Kami akan mengkonfigurasi tetapan tambahan tersebut di sini.

• Pergi ke portal keselamatan > Pengurusan ancaman > Dasar > anti-pancingan data ATP

• Klik dasar lalai > Klik pada Edit dalam bahagian Penyamaran
• Di bahagian pertama togol suis untuk hidupkan dan tambahkan eksekutif atau pengguna atasan dalam organisasi yang berkemungkinan besar akan ditipu

• Dalam bahagian Tambah Domain untuk Melindungi, togol suis untuk memasukkan domain yang saya miliki secara automatik

• Dalam bahagian Tindakan, pilih tindakan yang anda mahu lakukan jika pengguna atau domain ditiru. Kami mengesyorkan sama ada kuarantin atau beralih ke folder Sarap.

• Dalam bahagian Perisikan Peti Mel, togol pada perlindungan dan pilih tindakan yang perlu diambil, seperti dalam langkah sebelumnya

• Bahagian akhir membolehkan anda menyenarai putih pengirim dan domain. Elakkan daripada menambah domain generik di sini seperti gmail.com.

• Selepas anda menyemak tetapan anda, anda boleh memilih untuk Simpan

Baca Juga : Keselamatan Aplikasi Awan Microsoft: Panduan Definitif

Konfigurasikan Penapisan Dipertingkat

• Penapisan e-mel yang dipertingkatkan boleh disediakan jika anda mempunyai penyambung dalam 365 (perkhidmatan penapisan e-mel pihak ke-3 atau konfigurasi hibrid) dan rekod MX anda tidak menghala ke Microsoft 365 atau Office 365. Ciri baharu ini membolehkan anda menapis e-mel berdasarkan yang sebenar sumber mesej yang tiba di atas penyambung.
• Ini juga dikenali sebagai langkau penyenaraian dan ciri ini akan membolehkan anda mengabaikan, atau melangkau, sebarang alamat IP yang dianggap dalaman kepada anda untuk mendapatkan alamat IP luaran yang terakhir diketahui, yang sepatutnya menjadi alamat IP sumber sebenar.
• Jika anda menggunakan Microsoft Defender ATP, ini akan meningkatkan keupayaan pembelajaran mesin dan keselamatannya di sekitar pautan selamat/lampiran selamat/anti-penipuan daripada senarai hasad Microsoft yang diketahui berdasarkan IP.
• Dalam satu cara, anda mendapat lapisan perlindungan kedua dengan membenarkan Microsoft melihat IP e-mel asal dan menyemak pangkalan data mereka.

Untuk langkah konfigurasi penapisan yang dipertingkatkan: klik di sini

Konfigurasikan Pautan Selamat ATP dan Dasar Lampiran Selamat

Perlindungan Ancaman Lanjutan Microsoft Defender (Microsoft Defender ATP) membolehkan anda membuat dasar untuk pautan selamat dan lampiran selamat merentas Exchange, Teams, OneDrive dan SharePoint. Letupan masa nyata berlaku apabila pengguna mengklik mana-mana pautan dan kandungannya terkandung dalam persekitaran kotak pasir. Lampiran dibuka di dalam persekitaran kotak pasir juga sebelum ia dihantar sepenuhnya melalui e-mel. Ini membolehkan lampiran dan pautan berniat jahat sifar hari dikesan.

• Pergi ke portal keselamatan > Pengurusan ancaman > Dasar > lampiran selamat ATP

• Klik Tetapan global

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

Rekod CNAME #2 :
Nama Hos : selector2._domainkey.techiebery.com
Titik ke alamat atau nilai: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• Selepas menerbitkan rekod, pergi ke portal keselamatan > Pengurusan ancaman > Dasar > DKIM

• Pilih Domain yang anda ingin dayakan DKIM dan klik Dayakan.
• Dengan adanya rekod SPF dan DKIM, kami kini boleh menyediakan DMARC. Format untuk rekod TXT yang ingin kami tambahkan adalah seperti berikut:

_dmarc.domain TTL DALAM TXT “v=DMARC1; pct=100; p=dasar

Di mana :
= domain yang ingin kami lindungi
= 3600
= menunjukkan bahawa peraturan ini harus digunakan untuk 100% e-mel
= menentukan dasar yang anda mahu pelayan penerima patuhi jika DMARC Gagal.
NOTA: Anda boleh menetapkan kepada tiada, kuarantin atau tolak

Contoh :

• _dmarc.pax8.com 3600 DALAM TXT “v=DMARC1; p=tiada”
• _dmarc.pax8.com 3600 DALAM TXT “v=DMARC1; p=kuarantin”
• _dmarc.pax8.com 3600 DALAM TXT “v=DMARC1; p=tolak”

Jangan Benarkan Perkongsian Butiran Kalendar

Anda tidak seharusnya membenarkan pengguna anda berkongsi butiran kalendar dengan pengguna luar. Ciri ini membolehkan pengguna anda berkongsi butiran penuh kalendar mereka dengan pengguna luar. Penyerang biasanya akan menghabiskan masa mempelajari organisasi anda (melakukan peninjauan) sebelum melancarkan serangan. Kalendar yang tersedia secara umum boleh membantu penyerang memahami perhubungan organisasi dan menentukan masa pengguna tertentu mungkin lebih terdedah kepada serangan, seperti semasa mereka dalam perjalanan.

• Dalam pusat pentadbir Microsoft 365 > Tetapan - Tetapan organisasi

• Klik pada perkhidmatan dan pilih kalendar

• Tukar tetapan kepada " Maklumat bebas/sibuk kalendar dengan masa sahaja "

• Dayakan tetapan ini pada satu penyewa melalui PowerShell
• Dayakan tetapan ini dalam semua penyewa melalui bukti kelayakan Pusat Rakan Kongsi menggunakan PowerShell

Dayakan Carian Log Audit

Anda harus mendayakan rakaman data audit untuk perkhidmatan Microsoft 365 atau Office 365 anda untuk memastikan anda mempunyai rekod setiap interaksi pengguna dan pentadbir dengan perkhidmatan tersebut, termasuk Azure AD, Exchange Online, Microsoft Teams dan SharePoint Online/OneDrive for Business. Data ini akan membolehkan untuk menyiasat dan merangkumi pelanggaran keselamatan, sekiranya ia berlaku. Anda (atau pentadbir lain) mesti menghidupkan pengelogan audit sebelum anda boleh mula mencari log audit .

• Bagaimana untuk menghidupkan Log Audit?
• Bagaimana untuk Mencari Log Audit?

• Pergi ke portal keselamatan> Carian> Carian Log Audit
• Pastikan anda tidak mendapat perkara berikut:

• Selepas anda menghidupkan Pengauditan, anda akan melihat perkara berikut:

• Anda boleh membuat carian tersuai berdasarkan aktiviti, julat tarikh., pengguna dan fail\folder\tapak
• Buat Dasar Makluman Baharu berdasarkan acara tertentu

• Jika ingin mencari log audit melalui PowerShell anda akan menggunakan arahan di bawah:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Anda boleh menggunakan arahan berikut untuk mengeksport sifat tertentu ke fail CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Dayakan Pengauditan Peti Mel untuk Semua Pengguna

Secara lalai, semua akses bukan pemilik diaudit, tetapi anda mesti mendayakan pengauditan pada peti mel untuk akses pemilik juga diaudit. Ini akan membolehkan anda menemui akses haram aktiviti Exchange Online jika akaun pengguna telah dilanggar. Kami perlu menjalankan skrip PowerShell untuk membolehkan pengauditan untuk semua pengguna.

NOTA : Gunakan log audit untuk mencari aktiviti peti mel yang telah dilog. Anda boleh mencari aktiviti untuk peti mel pengguna tertentu.

• Pergi ke portal keselamatan> Carian> Carian Log Audit

Senarai Tindakan Pengauditan Peti Mel

Peti mel mengaudit arahan powershell

Untuk menyemak status audit peti mel:

Dapatkan-Mailbox [email protected] | fl *audit*

Untuk mencari pengauditan peti mel:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Untuk mengeksport hasil ke dalam fail csv:

Cari-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Eksport-Csv C:\users\AuditLogs.csv -NoTypeInformation

Untuk melihat dan mengeksport log berdasarkan operasi :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate1S/021 -EndDate 1S/2021/3EtailDate | Eksport-Csv C:\AuditLogs.csv -NoTypeInformation

Untuk melihat dan mengeksport log berdasarkan jenis log masuk :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Eksport-Csv C:\AuditLogs.csv -NoTypeInformation

Semak Peranan Perubahan Mingguan

Anda harus melakukan ini kerana anda harus memerhatikan perubahan kumpulan peranan yang tidak sah, yang boleh memberikan penyerang keistimewaan yang tinggi untuk melakukan perkara yang lebih berbahaya dan memberi kesan dalam penyewaan anda.

• Pergi ke portal Keselamatan> Carian> Carian Log Audit
• Taip " Peranan " dalam carian dan pilih " Ahli Ditambah pada Peranan " dan " Mengalih keluar pengguna daripada Peranan Direktori "

Pantau Perubahan Peranan dalam semua penyewa pelanggan

Semak Peraturan Penghantaran Peti Mel Setiap Minggu

Anda harus menyemak peraturan pemajuan peti mel ke domain luaran sekurang-kurangnya setiap minggu. Terdapat beberapa cara anda boleh melakukan ini, termasuk hanya menyemak senarai peraturan pemajuan mel ke domain luaran pada semua peti mel anda menggunakan skrip PowerShell atau dengan menyemak aktiviti penciptaan peraturan pemajuan mel pada minggu lepas daripada Carian Log Audit. Walaupun terdapat banyak penggunaan sah peraturan pemajuan mel ke lokasi lain, ia juga merupakan taktik pemerasan data yang sangat popular untuk penyerang. Anda harus menyemaknya dengan kerap untuk memastikan e-mel pengguna anda tidak dieksfiltrasi. Menjalankan skrip PowerShell yang dipautkan di bawah akan menghasilkan dua fail csv, "MailboxDelegatePermissions" dan "MailForwardingRulesToExternalDomains", dalam folder System32 anda.

• Pantau pada penyewa tunggal
• Pantau Peti Mel Luaran Hadapan dalam semua penyewa Pelanggan Microsoft 365/Office 365

Semak Laporan Akses Peti Mel oleh Bukan Pemilik Dwi Mingguan

Laporan ini menunjukkan peti mel yang telah diakses oleh seseorang selain daripada pemilik peti mel. Walaupun terdapat banyak penggunaan kebenaran perwakilan yang sah, menyemak akses itu secara kerap boleh membantu menghalang penyerang luar daripada mengekalkan akses untuk jangka masa yang lama dan boleh membantu menemui aktiviti orang dalam yang berniat jahat lebih awal.

• Dalam Pusat Pentadbiran Exchange, pergi ke Pengurusan Pematuhan>Pengaudit
• Klik pada “ Jalankan laporan akses peti mel bukan pemilik… ”

• Tentukan julat data dan jalankan carian

Semak Laporan Pengesanan Perisian Hasad Setiap Minggu

Laporan ini menunjukkan contoh tertentu Microsoft menyekat lampiran perisian hasad daripada mencapai pengguna anda. Walaupun laporan ini tidak boleh diambil tindakan sepenuhnya, menyemak laporan itu akan memberi anda gambaran tentang jumlah keseluruhan perisian hasad yang disasarkan kepada pengguna anda, yang mungkin menggesa anda untuk menggunakan pengurangan perisian hasad yang lebih agresif

• Pergi ke portal keselamatan>Laporan>Papan Pemuka

• Tatal ke bawah dan klik pada Malware yang dikesan dalam e-mel

• Lihat Laporan Pengesanan dan klik + Cipta jadual

• Buat jadual laporan mingguan dan hantar ke alamat e-mel yang sesuai

Semak Laporan Aktiviti Peruntukan Akaun anda Setiap Minggu

Laporan ini termasuk sejarah percubaan untuk menyediakan akaun kepada aplikasi luaran. Jika anda biasanya tidak menggunakan penyedia pihak ketiga untuk mengurus akaun, sebarang entri dalam senarai itu berkemungkinan haram. Tetapi, jika anda berbuat demikian, ini ialah cara terbaik untuk memantau volum transaksi dan mencari aplikasi pihak ketiga baharu atau luar biasa yang mengurus pengguna.

• Dalam pusat Pentadbiran Microsoft 365>Direktori Aktif Azure daripada Pusat Pentadbiran>Direktori Aktif Azure>Log Audit

• Dalam bahagian Aktiviti, cari "luaran" dan pilih Jemput pengguna luaran

Begitulah cara anda meningkatkan perlindungan dalam talian pertukaran untuk keselamatan yang lebih baik.

Sekarang saya ingin mendengar daripada anda:

Dapatan manakah daripada laporan hari ini yang anda rasa paling menarik? Atau mungkin anda mempunyai soalan tentang sesuatu yang saya bincangkan.

Walau apa pun, saya ingin mendengar daripada anda. Jadi teruskan dan tinggalkan komen di bawah.