20 najlepszych technik poprawy ochrony Exchange Online

Głównym celem tego artykułu jest ulepszenie ochrony wymiany online w przypadku utraty danych lub konta, które zostało złamane, poprzez postępowanie zgodnie z najlepszymi praktykami bezpieczeństwa firmy Microsoft i przejście przez rzeczywistą konfigurację. Firma Microsoft oferuje dwa poziomy zabezpieczeń poczty e-mail platformy Microsoft 365 — Exchange Online Protection (EOP) i Microsoft Defender Advanced Threat Protection. Rozwiązania te mogą zwiększyć bezpieczeństwo platformy Microsoft i złagodzić obawy dotyczące bezpieczeństwa poczty e-mail platformy Microsoft 365.

1 Włącz szyfrowanie wiadomości e-mail

2 Włącz blokowanie przekazywania reguł klienta

3 Powershell

4 Nie zezwalaj na przekazywanie skrzynek pocztowych

5 Filtrowanie połączeń

6 Spam i złośliwe oprogramowanie

7 Złośliwe oprogramowanie

8 Polityka antyphishingowa

9 Skonfiguruj rozszerzone filtrowanie

10 Konfiguracja bezpiecznych łączy ATP i zasad bezpiecznych załączników

11 Dodaj SPF, DKIM i DMARC

12 Nie zezwalaj na udostępnianie szczegółów kalendarza

13 Włącz przeszukiwanie dziennika kontroli

14 Włącz audyt skrzynek pocztowych dla wszystkich użytkowników

15 poleceń powershell audytujących skrzynkę pocztową

16 Przegląd zmian ról co tydzień

17 Przejrzyj zasady przekazywania skrzynek pocztowych raz w tygodniu

18 Sprawdź dostęp do skrzynki pocztowej przez osoby niebędące właścicielami Raport co dwa tygodnie

19 Co tydzień przeglądaj raport o wykrytych złośliwych programach

20 Cotygodniowe przeglądanie raportu aktywności na koncie

Włącz szyfrowanie wiadomości e-mail

Reguły szyfrowania wiadomości e-mail można dodać, aby zaszyfrować wiadomość za pomocą określonego słowa kluczowego w temacie lub treści. Najczęstszym jest dodanie „Bezpieczny” jako słowa kluczowego w temacie, aby zaszyfrować wiadomość. Szyfrowanie wiadomości M365/O365 działa z usługami Outlook.com, Yahoo!, Gmail i innymi usługami poczty e-mail. Szyfrowanie wiadomości e-mail zapewnia, że ​​tylko zamierzeni adresaci mogą wyświetlać treść wiadomości.

  • W centrum administracyjnym Microsoft 365 kliknij Exchange w obszarze Centra administracyjne

20 najlepszych technik poprawy ochrony Exchange Online

  • W sekcji Przepływ poczty kliknij Reguły

20 najlepszych technik poprawy ochrony Exchange Online

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij znak plus i kliknij Zastosuj szyfrowanie wiadomości Microsoft 365 (pozwala zdefiniować wiele warunków)
  • Nazwij swoją zasadę i w sekcji Zastosuj tę zasadę, jeśli powiedz „temat lub treść zawiera…”, a następnie dodaj słowo kluczowe. Tutaj wprowadzamy „Szyfruj”

20 najlepszych technik poprawy ochrony Exchange Online

  • W sekcji Wykonaj następujące czynności kliknij wybrany szablon RMS i wybierz Szyfruj

20 najlepszych technik poprawy ochrony Exchange Online

  • Po kliknięciu Zapisz możesz przetestować swoją politykę. W takim przypadku pokazujemy wiadomość wysłaną do użytkownika Gmaila

20 najlepszych technik poprawy ochrony Exchange Online

  • Skrzynka odbiorcza użytkownika Gmaila:

20 najlepszych technik poprawy ochrony Exchange Online

  • Gdy użytkownik Gmaila zapisze i otworzy załącznik (message.html), może zalogować się przy użyciu swoich danych logowania Google lub otrzymać jednorazowy kod dostępu wysłany na jego adres e-mail.

20 najlepszych technik poprawy ochrony Exchange Online

  • W tym przypadku wybraliśmy jednorazowy kod dostępu.

20 najlepszych technik poprawy ochrony Exchange Online

  • Sprawdź w skrzynce odbiorczej Gmaila hasło

20 najlepszych technik poprawy ochrony Exchange Online

  • Skopiuj hasło i wklej je

20 najlepszych technik poprawy ochrony Exchange Online

  • Możemy przejrzeć zaszyfrowaną wiadomość w portalu i wysłać zaszyfrowaną odpowiedź

20 najlepszych technik poprawy ochrony Exchange Online

Aby sprawdzić, czy dzierżawa jest skonfigurowana do szyfrowania, użyj następującego polecenia, upewniając się, że wartość Sender jest prawidłowym kontem w ramach dzierżawy:

Test-IRMConfiguration -Sender [email protected]

Jeśli widzisz „WYNIK OGÓLNY: ZALECANE”, jesteś gotowy do pracy

Przeczytaj także : Jak szyfrować wiadomości e-mail Microsoft 365 za pomocą ATP?

Włącz blokowanie przekazywania reguł klienta

Jest to reguła transportu, która pomaga zatrzymać eksfiltrację danych za pomocą reguł utworzonych przez klienta, które automatycznie przekazują wiadomości e-mail ze skrzynek pocztowych użytkowników na zewnętrzne adresy e-mail. Jest to coraz powszechniejsza metoda wycieku danych w organizacjach.

Przejdź do Exchange Admin Center>Przepływ poczty>Reguły

Kliknij znak plus i wybierz Zastosuj szyfrowanie wiadomości Microsoft 365 i ochronę praw do wiadomości…

Dodaj następujące właściwości do reguły:

  • JEŚLI nadawca znajduje się „wewnątrz organizacji”
  • ORAZ JEŚLI Odbiorca znajduje się „Poza organizacją”
  • ORAZ JEŚLI Typ wiadomości to „Automatyczne przekazywanie”
  • WTEDY odrzuć wiadomość z wyjaśnieniem „Zewnętrzne przekazywanie wiadomości e-mail za pośrednictwem reguł klienta jest niedozwolone”.

20 najlepszych technik poprawy ochrony Exchange Online

Wskazówka 1: W przypadku trzeciego warunku musisz wybrać Właściwości wiadomości > Uwzględnij ten typ wiadomości, aby uzyskać opcję automatycznego przesyłania dalej do wypełnienia

20 najlepszych technik poprawy ochrony Exchange Online

Wskazówka 2 : W przypadku czwartego warunku musisz wybrać Zablokuj wiadomość…> odrzuć wiadomość i dołącz wyjaśnienie, aby wypełnić

20 najlepszych technik poprawy ochrony Exchange Online

  • Po zakończeniu kliknij Zapisz. Ta zasada zostanie natychmiast wdrożona. Klienci otrzymają niestandardową wiadomość o niedostarczeniu (NDR), która jest przydatna do wyróżniania zewnętrznych reguł przekazywania, o których istnieniu mogli nie wiedzieć lub które zostały utworzone przez złego aktora na zhakowanej skrzynce pocztowej. W utworzonej regule transportu można tworzyć wyjątki dla określonych określonych użytkowników lub grup.

Powershell

  • Skrypt Powershell do blokowania automatycznego przesyłania dalej dla jednego klienta.
  • Skrypt Powershell do blokowania automatycznego przekazywania dalej dla wszystkich klientów za pośrednictwem poświadczeń Centrum partnerskiego.

Nie zezwalaj na przekazywanie skrzynek pocztowych

  • Jeśli Twoi użytkownicy nie delegują skrzynek pocztowych, atakującemu trudniej będzie przenieść się z jednego konta na drugie i ukraść dane. Delegowanie skrzynek pocztowych to praktyka polegająca na umożliwieniu komuś innemu zarządzania pocztą i kalendarzem, co może przyspieszyć rozprzestrzenianie się ataku.
  • Aby ustalić, czy istnieją jakiekolwiek uprawnienia do delegowania skrzynek pocztowych, uruchom skrypt PowerShell z Github. Po wyświetleniu monitu wprowadź poświadczenia administratora globalnego dla dzierżawy.
  • Jeśli istnieją jakiekolwiek uprawnienia do delegowania, zobaczysz je na liście. Jeśli ich nie ma, otrzymasz po prostu nową linię poleceń. Tożsamość to skrzynka pocztowa, która ma przypisane uprawnienia administratora delegowanego, a użytkownik to osoba, która ma te uprawnienia.
  • Możesz uruchomić następujące polecenie, aby usunąć prawa dostępu dla użytkowników:

Usuń-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Filtrowanie połączeń

Używasz filtrowania połączeń w EOP do identyfikowania dobrych lub złych źródłowych serwerów poczty e-mail na podstawie ich adresów IP. Kluczowymi składnikami domyślnej polityki filtrów połączeń są:

Lista dozwolonych adresów IP : Pomiń filtrowanie spamu dla wszystkich wiadomości przychodzących ze źródłowych serwerów poczty e-mail, które określisz według adresu IP lub zakresu adresów IP. Aby uzyskać więcej informacji o tym, jak lista dozwolonych adresów IP powinna pasować do ogólnej strategii bezpiecznych nadawców, zobacz  Tworzenie list bezpiecznych nadawców w EOP .

Lista zablokowanych adresów IP : blokuj wszystkie wiadomości przychodzące ze źródłowych serwerów poczty e-mail, które określisz według adresu IP lub zakresu adresów IP. Wiadomości przychodzące są odrzucane, nie są oznaczane jako spam i nie jest stosowane żadne dodatkowe filtrowanie. Aby uzyskać więcej informacji na temat tego, jak lista zablokowanych adresów IP powinna pasować do ogólnej strategii blokowanych nadawców, zobacz  Tworzenie list zablokowanych nadawców w EOP .

  • W Centrum administracyjnym programu Exchange > Ochrona > Filtr połączeń > kliknij ikonę ołówka, aby zmodyfikować domyślną zasadę.

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij Filtrowanie połączeń

20 najlepszych technik poprawy ochrony Exchange Online

  • Tutaj możesz zezwolić\zablokować adres IP.

Spam i złośliwe oprogramowanie

Pytania do zadania:

  1. Jakie działania chcemy podjąć, gdy wiadomość zostanie zidentyfikowana jako spam?
    a. Przenieś wiadomość do folderu niechcianych (domyślnie
    ) Dodaj X Header (Wysyła wiadomość do określonych odbiorców, ale dodaje tekst X-header do nagłówka wiadomości, aby zidentyfikować ją jako spam)
    . Dodaj tekst do wiersza tematu (wysyła wiadomość do zamierzonych adresatów, ale wiersz tematu dołącza do tekstu określonego w wierszu tematu Prefiks z tym polem wprowadzania tekstu. Używając tego tekstu jako identyfikatora, możesz opcjonalnie utworzyć reguły do ​​filtrowania lub w razie potrzeby przekieruj wiadomości
    . Przekieruj wiadomość na adres e-mail (wysyła wiadomość na wyznaczony adres e-mail zamiast do zamierzonych odbiorców).
  2. Czy musimy dodawać dozwolonych nadawców/domeny czy blokować nadawców/domeny?
  3. Czy musimy filtrować wiadomości napisane w określonym języku?
  4. Czy musimy filtrować wiadomości pochodzące z określonych krajów/regionów?
  5. Czy chcemy skonfigurować powiadomienia użytkowników końcowych o spamie, aby informowały użytkowników, że przeznaczone dla nich wiadomości zostaną zamiast tego przesłane do kwarantanny? (Z tych powiadomień użytkownicy końcowi mogą publikować fałszywe alarmy i zgłaszać je firmie Microsoft do analizy).
  • Przejdź do Centrum administracyjne usługi Microsoft 365 > Wybierz Zabezpieczenia z Centrum administracyjne > Zarządzanie zagrożeniami > Zasady > Antyspam

20 najlepszych technik poprawy ochrony Exchange Online

  • Edytuj domyślną politykę

20 najlepszych technik poprawy ochrony Exchange Online

  • Poruszaj się po zakładkach, aby skonfigurować dowolne z zadawanych wcześniej pytań

20 najlepszych technik poprawy ochrony Exchange Online

  • Rozwiń  sekcję Listy  dozwolonych, aby skonfigurować nadawców wiadomości według adresów e-mail lub domeny e-mail, którzy mogą pomijać filtrowanie spamu.
  • Rozwiń  sekcję Listy blokowania,  aby skonfigurować nadawców wiadomości według adresów e-mail lub domeny e-mail, które będą zawsze oznaczane jako spam o wysokim stopniu zaufania.

20 najlepszych technik poprawy ochrony Exchange Online

  • Karta Właściwości spamu umożliwia dokładniejsze określenie zasad i zaostrzenie ustawień filtra spamu

20 najlepszych technik poprawy ochrony Exchange Online

Złośliwe oprogramowanie

Jest to już skonfigurowane w całej firmie za pomocą domyślnej polityki ochrony przed złośliwym oprogramowaniem. Czy musisz tworzyć bardziej szczegółowe zasady dla określonej grupy użytkowników, takie jak dodatkowe powiadomienia za pośrednictwem tekstu lub ulepszone filtrowanie na podstawie rozszerzeń plików?

  • Przejdź do portalu bezpieczeństwa > Zarządzanie zagrożeniami > Polityka > Anty-malware

20 najlepszych technik poprawy ochrony Exchange Online

  • Wybierz domyślną politykę do zmodyfikowania
  • Wybierz Nie dla odpowiedzi na wykrycie złośliwego oprogramowania

20 najlepszych technik poprawy ochrony Exchange Online

  • Wyłącz tę funkcję, aby zablokować typy załączników, które mogą uszkodzić Twój komputer

20 najlepszych technik poprawy ochrony Exchange Online

  • Włącz automatyczne usuwanie złośliwego oprogramowania z zerową godziną

20 najlepszych technik poprawy ochrony Exchange Online

  • Odpowiednio zmodyfikuj powiadomienia

20 najlepszych technik poprawy ochrony Exchange Online

  • Określ użytkowników, grupy lub domeny, których dotyczy ta zasada, tworząc reguły oparte na adresatach

20 najlepszych technik poprawy ochrony Exchange Online

  • Sprawdź swoje ustawienia i zapisz.

Polityka antyphishingowa

Subskrypcje platformy Microsoft 365 są dostarczane ze wstępnie skonfigurowanymi domyślnymi zasadami ochrony przed wyłudzaniem informacji, ale jeśli masz odpowiednią licencję na usługę ATP, możesz skonfigurować dodatkowe ustawienie dla prób personifikacji w ramach dzierżawy. Tutaj będziemy konfigurować te dodatkowe ustawienia.

  • Przejdź do portalu bezpieczeństwa > Zarządzanie zagrożeniami > Polityka > Antyphishing ATP

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij domyślną zasadę > Kliknij Edytuj w sekcji Podszywanie się
  • W pierwszej sekcji włącz przełącznik i dodaj dyrektorów najwyższego szczebla lub użytkowników w organizacji, którzy najprawdopodobniej zostaną sfałszowani

20 najlepszych technik poprawy ochrony Exchange Online

  • W sekcji Dodaj domeny do ochrony przełącz przełącznik, aby automatycznie uwzględniać domeny, których jestem właścicielem

20 najlepszych technik poprawy ochrony Exchange Online

  • W sekcji Działania wybierz działanie, które chcesz wykonać, jeśli ktoś lub domena jest podszywany pod użytkownika. Zalecamy poddanie się kwarantannie lub przeniesienie do folderu Spam.

20 najlepszych technik poprawy ochrony Exchange Online

  • W sekcji Mailbox Intelligence włącz ochronę i wybierz akcję do podjęcia, tak jak w poprzednim kroku

20 najlepszych technik poprawy ochrony Exchange Online

  • Ostatnia sekcja umożliwia dodanie nadawców i domen do białej listy. Powstrzymaj się od dodawania domen ogólnych, takich jak gmail.com.

20 najlepszych technik poprawy ochrony Exchange Online

  • Po sprawdzeniu ustawień możesz wybrać opcję Zapisz

Przeczytaj także : Microsoft Cloud App Security: ostateczny przewodnik

Skonfiguruj rozszerzone filtrowanie

  • Ulepszone filtrowanie poczty e-mail można skonfigurować, jeśli masz łącznik w usłudze 365 (usługa filtrowania poczty e-mail innej firmy lub konfiguracja hybrydowa), a rekord MX nie wskazuje na usługę Microsoft 365 lub Office 365. Ta nowa funkcja umożliwia filtrowanie wiadomości e-mail na podstawie rzeczywistej źródło wiadomości przychodzących przez łącznik.
  • Jest to również znane jako pomijanie listy, a ta funkcja pozwala przeoczyć lub pominąć wszelkie adresy IP, które są uważane za wewnętrzne, w celu uzyskania ostatniego znanego zewnętrznego adresu IP, który powinien być rzeczywistym źródłowym adresem IP.
  • Jeśli korzystasz z usługi Microsoft Defender ATP, zwiększy to możliwości uczenia maszynowego i zabezpieczenia wokół bezpiecznych łączy/bezpiecznych załączników/ochrony przed podszywaniem się ze znanej listy złośliwych programów firmy Microsoft opartej na protokole IP.
  • W pewnym sensie uzyskujesz dodatkową warstwę ochrony, umożliwiając firmie Microsoft przeglądanie adresów IP oryginalnej wiadomości e-mail i sprawdzanie ich w bazie danych.

Aby uzyskać rozszerzone kroki konfiguracji filtrowania: kliknij tutaj

Skonfiguruj zasady bezpiecznych łączy ATP i bezpiecznych załączników

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) umożliwia tworzenie zasad bezpiecznych łączy i bezpiecznych załączników w Exchange, Teams, OneDrive i SharePoint. Detonacja w czasie rzeczywistym następuje, gdy użytkownik kliknie dowolny link, a treść znajduje się w środowisku piaskownicy. Załączniki są otwierane w środowisku piaskownicy, zanim zostaną w pełni dostarczone pocztą e-mail. Umożliwia to wykrywanie złośliwych załączników i linków typu zero-day.

  • Przejdź do portalu bezpieczeństwa > Zarządzanie zagrożeniami > Polityka > Bezpieczne załączniki ATP

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij Ustawienia globalne

20 najlepszych technik poprawy ochrony Exchange Online

  • Włącz ATP dla SharePoint, OneDrive i Microsoft Teams

20 najlepszych technik poprawy ochrony Exchange Online

  • Utwórz nową politykę

20 najlepszych technik poprawy ochrony Exchange Online

  • Dodaj nazwę, opis i wybierz Dynamiczne dostarczanie. Aby uzyskać więcej informacji o metodach dostawy, kliknij  tutaj .

20 najlepszych technik poprawy ochrony Exchange Online

  • Wybierz akcję jako Dynamiczne dostarczanie

20 najlepszych technik poprawy ochrony Exchange Online

  • Dodaj domenę adresata i wybierz domenę główną w dzierżawie.

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij Dalej, aby przejrzeć ustawienia i kliknij Zakończ

20 najlepszych technik poprawy ochrony Exchange Online

  • W przypadku bezpiecznych linków wróć do Zarządzanie zagrożeniami > Zasady > Bezpieczne linki ATP

20 najlepszych technik poprawy ochrony Exchange Online

  • Użyj domyślnej polityki lub utwórz nową politykę i włącz niezbędne ustawienia wyświetlone poniżej.

20 najlepszych technik poprawy ochrony Exchange Online

  • Możesz dodać do białej listy określone adresy URL

20 najlepszych technik poprawy ochrony Exchange Online

  • Podobnie jak zasady bezpiecznych załączników, stosuje się do wszystkich użytkowników w dzierżawie według nazwy domeny.

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij Dalej, aby przejrzeć ustawienia i kliknij Zakończ

20 najlepszych technik poprawy ochrony Exchange Online

Dodaj SPF, DKIM i DMARC

  • Czy masz rekordy SPF/DKIM/DMARC?
  • SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
  • DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
  • DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

  • Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

20 najlepszych technik poprawy ochrony Exchange Online

  • Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

20 najlepszych technik poprawy ochrony Exchange Online

  • Dodaj rekord TXT v=spf1 include:spf.protection.outlook.com -all do ustawień DNS dla naszego rekordu SPF
  • W przypadku naszych rekordów DKIM musimy opublikować dwa rekordy CNAME w DNS

Użyj następującego formatu rekordu CNAME :

20 najlepszych technik poprawy ochrony Exchange Online

Gdzie :
= nasza domena podstawowa = Prefiks naszego rekordu MX (np. domain-com.mail.protection.outlook.com)
= domena.onmicrosoft.com
Przykład : DOMAIN = techieberry.com

Rekord CNAME #1:
Nazwa hosta: selector1._domainkey.techiebery.com
Wskazuje na adres lub wartość: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

Rekord CNAME #2 :
Nazwa hosta : selector2._domainkey.techiebery.com
Punkty do adresu lub wartości: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

  • Po opublikowaniu rekordów przejdź do portalu bezpieczeństwa > Zarządzanie zagrożeniami > Polityka > DKIM

20 najlepszych technik poprawy ochrony Exchange Online

  • Wybierz domenę, dla której chcesz włączyć DKIM i kliknij Włącz.
  • Po wprowadzeniu rekordów SPF i DKIM możemy teraz skonfigurować DMARC. Format rekordu TXT, który chcemy dodać, jest następujący:

_dmarc.domain TTL W TXT “v=DMARC1; proc=100; p=polityka

Gdzie :
= domena, którą chcemy chronić
= 3600
= wskazuje, że ta reguła powinna być używana dla 100% wiadomości e-mail
= określa, jaką politykę ma przestrzegać serwer odbierający, jeśli DMARC nie powiedzie się.
UWAGA: Możesz ustawić brak, poddać kwarantannie lub odrzucić

Przykład :

  • _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=brak”
  • _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=kwarantanna”
  • _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=odrzuć”

Nie zezwalaj na udostępnianie szczegółów kalendarza

Nie należy zezwalać użytkownikom na udostępnianie szczegółów kalendarza użytkownikom zewnętrznym. Ta funkcja umożliwia użytkownikom udostępnianie pełnych szczegółów swoich kalendarzy użytkownikom zewnętrznym. Atakujący bardzo często spędzają czas na poznawaniu Twojej organizacji (przeprowadzając rekonesans) przed rozpoczęciem ataku. Publicznie dostępne kalendarze mogą pomóc atakującym zrozumieć relacje organizacyjne i określić, kiedy konkretni użytkownicy mogą być bardziej narażeni na atak, na przykład podczas podróży.

  • W centrum administracyjnym Microsoft 365 > Ustawienia – Ustawienia organizacji

20 najlepszych technik poprawy ochrony Exchange Online

  • Kliknij na usługi i wybierz kalendarz

20 najlepszych technik poprawy ochrony Exchange Online

  • Zmień ustawienia na „ Informacje wolny/zajęty w kalendarzu i tylko z czasem

20 najlepszych technik poprawy ochrony Exchange Online

  • Włącz to ustawienie na jednej dzierżawie za pośrednictwem PowerShell
  • Włącz to ustawienie we wszystkich dzierżawcach za pomocą poświadczeń Centrum partnerskiego za pomocą programu PowerShell

Włącz przeszukiwanie dzienników kontroli

Należy włączyć rejestrowanie danych inspekcji dla usługi Microsoft 365 lub Office 365, aby mieć pewność, że masz rejestr interakcji każdego użytkownika i administratora z usługą, w tym Azure AD, Exchange Online, Microsoft Teams i SharePoint Online/OneDrive dla Firm. Dane te umożliwią zbadanie i określenie zakresu naruszenia bezpieczeństwa, jeśli kiedykolwiek wystąpi. Ty (lub inny administrator) musisz włączyć rejestrowanie kontrolne przed rozpoczęciem przeszukiwania dziennika kontrolnego .

  • Przejdź do portalu bezpieczeństwa>Wyszukaj>Przeszukaj dziennik kontroli
  • Upewnij się, że nie otrzymujesz następujących informacji:

20 najlepszych technik poprawy ochrony Exchange Online

  • Po włączeniu audytu zobaczysz:

20 najlepszych technik poprawy ochrony Exchange Online

  • Możesz utworzyć niestandardowe wyszukiwanie w oparciu o aktywność, zakres dat, użytkowników i plik\folder\witryna
  • Utwórz nową politykę alertów na podstawie określonego zdarzenia

20 najlepszych technik poprawy ochrony Exchange Online

  • Jeśli chcesz przeszukać dziennik audytu za pomocą PowerShell, użyj poniższych poleceń:

$auditlog = Search-UnifiedAuditLog -StartDate 01.01.2021 -EndDate 31.01.2021 -RecordType SharePointFileOperation

  • Możesz użyć następującego polecenia, aby wyeksportować niektóre właściwości do pliku CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Włącz audyt skrzynek pocztowych dla wszystkich użytkowników

Domyślnie cały dostęp niebędący właścicielem jest kontrolowany, ale musisz włączyć kontrolę w skrzynce pocztowej, aby dostęp właściciela również był kontrolowany. Umożliwi to wykrycie nielegalnego dostępu do aktywności Exchange Online, jeśli konto użytkownika zostało naruszone. Będziemy musieli uruchomić skrypt PowerShell, aby umożliwić inspekcję dla wszystkich użytkowników.

UWAGA : Użyj dziennika audytu, aby wyszukać aktywność skrzynki pocztowej, która została zarejestrowana. Możesz wyszukiwać aktywność dla określonej skrzynki pocztowej użytkownika.

  • Przejdź do portalu bezpieczeństwa>Wyszukaj>Przeszukaj dziennik kontroli

20 najlepszych technik poprawy ochrony Exchange Online

Lista działań audytu skrzynki pocztowej

Polecenia powershell audytujące skrzynki pocztowe

Aby sprawdzić stan audytu skrzynki pocztowej:

Get-Mailbox [email protected] | fl *audyt*

Aby przeszukać inspekcję skrzynki pocztowej:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

Aby wyeksportować wyniki do pliku csv:

Search-MailboxAuditLog [email protected] -ShowDetails -Data rozpoczęcia 1.01.2021 -Data zakończenia 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Aby wyświetlić i wyeksportować dzienniki na podstawie operacji :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operacje HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Właściciel -StartDate 01.01.2021 -EndDate 31.01.2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Aby wyświetlić i wyeksportować dzienniki oparte na typach logowania :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Właściciel,Delegant,Administrator -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Przegląd zmian ról co tydzień

Powinieneś to zrobić, ponieważ powinieneś uważać na niedozwolone zmiany grup ról, które mogą dać atakującemu wyższe uprawnienia do wykonywania bardziej niebezpiecznych i wpływowych czynności w Twojej dzierżawie.

  • Przejdź do Portal bezpieczeństwa>Wyszukaj>Przeszukaj dziennik kontroli
  • Wpisz „ Rola ” w wyszukiwaniu i wybierz „ Dodano członka do roli ” i „ Usunięto użytkownika z roli w katalogu

20 najlepszych technik poprawy ochrony Exchange Online

Monitoruj zmiany ról we wszystkich najemcach klientów

Przejrzyj zasady przekazywania skrzynek pocztowych raz w tygodniu

Reguły przekierowania skrzynek pocztowych do domen zewnętrznych należy sprawdzać przynajmniej raz w tygodniu. Można to zrobić na kilka sposobów, w tym po prostu przeglądając listę reguł przekierowania poczty do domen zewnętrznych we wszystkich skrzynkach pocztowych za pomocą skryptu PowerShell lub przeglądając aktywność tworzenia reguł przekierowania poczty w ostatnim tygodniu z przeszukiwania dzienników inspekcji. Chociaż istnieje wiele uzasadnionych zastosowań reguł przekazywania poczty do innych lokalizacji, jest to również bardzo popularna taktyka eksfiltracji danych przez atakujących. Należy je regularnie przeglądać, aby upewnić się, że poczta e-mail użytkowników nie jest eksfiltrowana. Uruchomienie skryptu PowerShell, do którego link znajduje się poniżej, wygeneruje dwa pliki csv, „MailboxDelegatePermissions” i „MailForwardingRulesToExternalDomains”, w folderze System32.

Przejrzyj raport dotyczący dostępu do skrzynki pocztowej przez osoby niebędące właścicielami co dwa tygodnie

Ten raport pokazuje, do których skrzynek pocztowych uzyskał dostęp ktoś inny niż właściciel skrzynki pocztowej. Chociaż istnieje wiele uzasadnionych zastosowań uprawnień delegowanych, regularne sprawdzanie tego dostępu może pomóc zapobiec utrzymywaniu dostępu przez atakującego z zewnątrz przez długi czas i szybciej wykryć złośliwą aktywność wewnątrz firmy.

  • W centrum administracyjnym Exchange przejdź do Zarządzanie zgodnością>Audyt
  • Kliknij „ Uruchom raport o dostępie do skrzynki pocztowej innej niż właściciel…

20 najlepszych technik poprawy ochrony Exchange Online

  • Określ zakres danych i przeprowadź wyszukiwanie

Przejrzyj raport o wykrytych złośliwych programach raz w tygodniu

Ten raport przedstawia konkretne przypadki, w których firma Microsoft blokuje złośliwe załączniki przed dotarciem do użytkowników. Chociaż ten raport nie jest ściśle związany z działaniami, zapoznanie się z nim pozwoli określić ogólną liczbę złośliwego oprogramowania wymierzonego w użytkowników, co może skłonić Cię do zastosowania bardziej agresywnych metod ograniczania złośliwego oprogramowania

  • Przejdź do portalu bezpieczeństwa>Raporty>Dashboard

20 najlepszych technik poprawy ochrony Exchange Online

  • Przewiń w dół i kliknij Złośliwe oprogramowanie wykryte w wiadomości e-mail

20 najlepszych technik poprawy ochrony Exchange Online

  • Wyświetl raport o wykryciu i kliknij + Utwórz harmonogram

20 najlepszych technik poprawy ochrony Exchange Online

  • Utwórz tygodniowy harmonogram raportów i wyślij go na odpowiedni adres e-mail

20 najlepszych technik poprawy ochrony Exchange Online

Przejrzyj cotygodniowy raport z działalności związanej z obsługą kont

This report includes a history of attempts to provision accounts to external applications. If you don’t usually use a third-party provider to manage accounts, any entry on the list is likely illicit. But, if you do, this is a great way to monitor transaction volumes, and look for new or unusual third-party applications that are managing users.

  • In the Microsoft 365 Admin center>Azure Active Directory from Admin Centers>Azure Active Directory>Audit Logs

20 najlepszych technik poprawy ochrony Exchange Online

  • In the Activity section, search for “external” and select Invite external user

20 najlepszych technik poprawy ochrony Exchange Online

That’s how you improve exchange online protection for a better security.

Now I’d like to hear from you:

Which finding from today’s report did you find most interesting? Or maybe you have a question about something that I covered.

Either way, I’d like to hear from you. So go ahead and leave a comment below.



Leave a Comment

3 sposoby porównywania kolumn w programie Excel pod kątem dopasowań

3 sposoby porównywania kolumn w programie Excel pod kątem dopasowań

Chcesz sprawdzić, czy dane w programie Excel są zgodne z plikiem źródłowym? Oto jak porównać kolumny w programie Excel pod kątem dopasowań.

Jak dodawać i usuwać numery linii w programie Microsoft Word

Jak dodawać i usuwać numery linii w programie Microsoft Word

Jeśli pracujesz nad dokumentem zawierającym dużo tekstu i chcesz ułatwić odwoływanie się do dokumentu lub przeglądanie go, możesz wypróbować numerowanie wierszy. Numeracja linii jest

4 najlepsze sposoby tworzenia ułamka w programie Microsoft Word

4 najlepsze sposoby tworzenia ułamka w programie Microsoft Word

Chcesz wstawić symbole matematyczne, takie jak ułamki, do dokumentu programu Microsoft Word? Oto najlepsze sposoby, aby to zrobić.

6 najlepszych sposobów naprawienia braku odpowiedzi programu Microsoft PowerPoint w systemie Windows 11

6 najlepszych sposobów naprawienia braku odpowiedzi programu Microsoft PowerPoint w systemie Windows 11

Czy program Microsoft PowerPoint nie odpowiada lub ulega awarii na komputerze z systemem Windows 11? Oto, co możesz zrobić, aby rozwiązać podstawowy problem.

Jak edytować nazwę autora w programie Microsoft Word

Jak edytować nazwę autora w programie Microsoft Word

Za każdym razem, gdy tworzysz lub zostawiasz komentarz w dokumencie Microsoft Word, jako nazwisko autora zostaje przypisana domyślna nazwa konta Microsoft. Kiedy się dzielisz

4 sposoby naprawienia paska narzędzi programu Excel, który nie działa w systemie Windows

4 sposoby naprawienia paska narzędzi programu Excel, który nie działa w systemie Windows

Jeśli pasek narzędzi programu Microsoft Excel nie działa na komputerze z systemem Windows 10 lub 11, oto jak to naprawić.

Jak utworzyć przycisk Drukuj do pliku PDF w programie Microsoft Excel w systemie Windows 11

Jak utworzyć przycisk Drukuj do pliku PDF w programie Microsoft Excel w systemie Windows 11

Aby szybko wydrukować arkusz programu Excel w formacie PDF, oto sposób utworzenia przycisku Drukuj do pliku PDF w programie Microsoft Excel.

3 najlepsze sposoby wyodrębniania obrazów z prezentacji programu PowerPoint

3 najlepsze sposoby wyodrębniania obrazów z prezentacji programu PowerPoint

Chcesz zapisać obrazy z pliku programu PowerPoint i używać ich w innym miejscu? Oto trzy proste sposoby wyodrębniania obrazów z prezentacji programu PowerPoint.

10 najlepszych sposobów na naprawienie problemu z pisaniem w programie Microsoft Word

10 najlepszych sposobów na naprawienie problemu z pisaniem w programie Microsoft Word

Brak możliwości pisania w dokumencie programu Word może zmarnować godziny Twojej produktywności. Oto najlepsze sposoby naprawienia błędu przechylonego w programie Microsoft Word.

Program Word nie odpowiada podczas drukowania: jak rozwiązać problem

Program Word nie odpowiada podczas drukowania: jak rozwiązać problem

Program Word nie odpowiada podczas drukowania dokumentu na komputerze? Oto osiem wypróbowanych sposobów, aby to naprawić!