As 20 melhores técnicas para melhorar a proteção do Exchange Online

O principal objetivo deste artigo é melhorar a proteção online do Exchange para perda de dados ou conta comprometida seguindo as práticas recomendadas de segurança da Microsoft e passando pela configuração real. A Microsoft oferece dois níveis de segurança de email do Microsoft 365 – Proteção do Exchange Online (EOP) e Proteção Avançada contra Ameaças do Microsoft Defender. Essas soluções podem aprimorar a segurança da plataforma Microsoft e aliviar as preocupações de segurança de email do Microsoft 365.

1 Ativar criptografia de e-mail

2 Habilitar Blocos de Encaminhamento de Regras do Cliente

3 Powershell

4 Não permitir delegação de caixa de correio

5 Filtragem de Conexão

6 Spam e malware

7 Malware

8 Política antiphishing

9 Configurar filtragem avançada

10 Configurar a política de links seguros e anexos seguros ATP

11 Adicione SPF, DKIM e DMARC

12 Não permitir o compartilhamento de detalhes do calendário

13 Ativar pesquisa de log de auditoria

14 Habilitar auditoria de caixa de correio para todos os usuários

15 comandos powershell de auditoria de caixa de correio

16 Revise as Mudanças de Função Semanalmente

17 Revise as Regras de Encaminhamento da Caixa de Correio Semanalmente

18 Revise o relatório de acesso à caixa de correio por não proprietários quinzenalmente

19 Revise o Relatório de Detecções de Malware Semanalmente

20 Revise seu relatório de atividade de provisionamento de conta semanalmente

Ativar criptografia de e-mail

As regras de criptografia de e-mail podem ser adicionadas para criptografar uma mensagem com uma palavra-chave específica na linha de assunto ou no corpo. O mais comum é adicionar “Secure” como palavra-chave no assunto para criptografar a mensagem. A criptografia de mensagens M365/O365 funciona com Outlook.com, Yahoo!, Gmail e outros serviços de e-mail. A criptografia de mensagens de email ajuda a garantir que apenas os destinatários pretendidos possam visualizar o conteúdo da mensagem.

• No Centro de administração do Microsoft 365, clique em Exchange em Centros de administração

• Na seção Mail Flow, clique em Rules

• Clique no sinal de mais e clique em Aplicar criptografia de mensagem do Microsoft 365 (permite definir várias condições)

• Dê um nome à sua política e na seção Aplicar esta regra se, diga “o assunto ou o corpo inclui…” e, em seguida, adicione sua palavra-chave. Aqui, estamos colocando em "Criptografar"

• Na seção Faça o seguinte, clique em selecionar um para o modelo RMS e escolha Criptografar

• Depois de clicar em Salvar, você pode testar sua política. Nesse caso, estamos mostrando uma mensagem enviada a um usuário do Gmail

• Caixa de entrada do usuário do Gmail:

• Quando o usuário do Gmail salva e abre o anexo (message.html), ele pode optar por fazer login com suas credenciais do Google ou receber uma senha única enviada ao e-mail.

• Nesse caso, escolhemos uma senha de uso único.

• Verifique a caixa de entrada do Gmail para a senha

• Copie a senha e cole-a

• Podemos visualizar a mensagem criptografada no portal e enviar uma resposta criptografada

Para verificar se seu locatário está configurado para criptografia, use o comando a seguir, certificando-se de que o valor do remetente seja uma conta válida em seu locatário:

Test-IRMConfiguration -Sender [email protected]

Se você vir “RESULTADO GERAL: APROVADO”, então você está pronto para ir

Leia também : Como criptografar emails do Microsoft 365 com ATP?

Ativar blocos de encaminhamento de regras do cliente

Esta é uma regra de transporte para ajudar a interromper a exfiltração de dados com regras criadas pelo cliente que encaminha automaticamente emails das caixas de correio dos usuários para endereços de email externos. Este é um método de vazamento de dados cada vez mais comum nas organizações.

Vá para o Centro de administração do Exchange> Fluxo de e-mails> Regras

Clique no sinal de adição e selecione Aplicar criptografia de mensagens do Microsoft 365 e proteção de direitos às mensagens…

Adicione as seguintes propriedades à regra:

• SE O Remetente estiver localizado 'Dentro da organização'
• E SE O Destinatário estiver localizado 'Fora da organização'
• AND IF O tipo de mensagem é 'Auto-Forward'
• ENTÃO Rejeite a mensagem com a explicação 'Encaminhamento de e-mail externo via regras do cliente não é permitido'.

Dica 1: Para a 3ª condição, você precisa selecionar Propriedades da mensagem > Incluir este tipo de mensagem para obter a opção Encaminhamento automático para preencher

Dica 2 : Para a 4ª condição, você precisa selecionar Bloquear a mensagem …> rejeitar a mensagem e incluir uma explicação para preencher

• Clique em Salvar ao concluir. Esta regra será aplicada imediatamente. Os clientes receberão uma mensagem NDR (Non-Delivery Receipt) personalizada que é útil para destacar regras de encaminhamento externas que eles podem não saber que existiam ou que foram criadas por um agente inválido em uma caixa de correio comprometida. Você pode criar exceções para determinados usuários ou grupos especificados na regra de transporte criada.

Powershell

• Script do Powershell para bloquear o encaminhamento automático para um cliente.
• Script do Powershell para bloquear o encaminhamento automático para todos os seus clientes por meio de credenciais do Partner Center.

Não permitir delegação de caixa de correio

• Se seus usuários não delegarem caixas de correio, será mais difícil para um invasor passar de uma conta para outra e roubar dados. Delegação de caixa de correio é a prática de permitir que outra pessoa gerencie seu e-mail e calendário, o que pode precipitar a propagação de um ataque.
• Para determinar se há alguma permissão de delegação de caixa de correio existente, execute o script do PowerShell do Github. Quando solicitado, insira as credenciais de administrador global para o locatário.
• Se houver permissões de delegação, você as verá listadas. Se não houver nenhum, você receberá apenas uma nova linha de comando. Identidade é a caixa de correio que delegou permissões de administrador atribuídas e usuário é a pessoa que tem essas permissões.
• Você pode executar o seguinte comando para remover os direitos de acesso dos usuários:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Filtragem de conexão

Você usa a filtragem de conexão no EOP para identificar servidores de e-mail de origem bons ou ruins por seus endereços IP. Os principais componentes da política de filtro de conexão padrão são:

Lista de IPs Permitidos : Ignore a filtragem de spam para todas as mensagens recebidas dos servidores de e-mail de origem que você especifica por endereço IP ou intervalo de endereços IP. Para obter mais informações sobre como a Lista de Permissões de IP deve se encaixar em sua estratégia geral de remetentes seguros, consulte  Criar listas de remetentes seguros no EOP .

Lista de Bloqueios de IP : Bloqueie todas as mensagens recebidas dos servidores de e-mail de origem que você especificar por endereço IP ou intervalo de endereços IP. As mensagens recebidas são rejeitadas, não são marcadas como spam e não ocorre filtragem adicional. Para obter mais informações sobre como a Lista de Bloqueios de IP deve se encaixar em sua estratégia geral de remetentes bloqueados, consulte  Criar listas de remetentes bloqueados no EOP .

• No Exchange Admin Center > Proteção > Filtro de Conexão > Clique no ícone de lápis para modificar a política padrão.

• Clique em Filtragem de Conexão

• Aqui você pode permitir\bloquear o endereço IP.

Spam e malware

Perguntas a serem feitas:

1. Que ações queremos tomar quando uma mensagem é identificada como spam?
   uma. Mover a mensagem para a pasta de lixo eletrônico (padrão)
   b. Adicionar cabeçalho X (envia a mensagem para os destinatários especificados, mas adiciona texto de cabeçalho X ao cabeçalho da mensagem para identificá-la como spam)
   c. Prefixar a linha de assunto com texto (envia a mensagem para os destinatários pretendidos, mas precede a linha de assunto com o texto que você especifica na linha de assunto de prefixo com esta caixa de entrada de texto. Usando este texto como um identificador, você pode criar regras para filtrar ou encaminhar as mensagens conforme necessário.)
   d. Redirecionar mensagem para endereço de e-mail (envia a mensagem para um endereço de e-mail designado em vez de para os destinatários pretendidos.)
2. Precisamos adicionar remetentes/domínios permitidos ou bloquear remetentes/domínios?
3. Precisamos filtrar mensagens escritas em um idioma específico?
4. Precisamos filtrar mensagens provenientes de países/regiões específicos?
5. Queremos configurar alguma notificação de spam do usuário final para informar os usuários quando as mensagens destinadas a eles foram enviadas para a quarentena? (A partir dessas notificações, os usuários finais podem liberar falsos positivos e denunciá-los à Microsoft para análise.)

• Vá para o centro de administração do Microsoft 365 > selecione segurança dos centros de administração > gerenciamento de ameaças > política > antispam

• Edite a política padrão

• Navegue pelas abas para configurar qualquer uma das perguntas feitas anteriormente

• Expanda a  seção Listas de permissões  para configurar os remetentes de mensagens por endereço de e-mail ou domínio de e-mail que têm permissão para ignorar a filtragem de spam.
• Expanda a  seção Listas de bloqueio  para configurar os remetentes de mensagens por endereço de e-mail ou domínio de e-mail que sempre será marcado como spam de alta confiança.

• A guia de propriedades de spam permite que você seja mais granular com sua política e ajuste as configurações do filtro de spam

Malware

Isso já está configurado em toda a empresa por meio da política antimalware padrão. Você precisa criar políticas mais granulares para um determinado grupo de usuários, como notificações adicionais por meio de texto ou filtragem aprimorada com base em extensões de arquivo?

• Vá para o portal de segurança > Gerenciamento de ameaças > Política > Antimalware

• Selecione a política padrão para modificar
• Selecione Não para a resposta de detecção de malware

• Desative o recurso para bloquear tipos de anexos que podem danificar seu computador

• Ativar a limpeza automática de zero hora de malware

• Modifique as notificações de acordo

• Especifique os usuários, grupos ou domínios para os quais esta política se aplica criando regras baseadas em destinatário

• Revise suas configurações e salve.

Política antiphishing

As assinaturas do Microsoft 365 vêm com uma política padrão para antiphishing pré-configurada, mas se você tiver o licenciamento correto para ATP, poderá definir configurações adicionais para tentativas de representação no locatário. Estaremos configurando essas configurações adicionais aqui.

• Vá para o portal de segurança > Gerenciamento de ameaças > Política > Anti-phishing ATP

• Clique na política padrão> Clique em Editar na seção Representação
• Na primeira seção, ative a opção e adicione os principais executivos ou usuários da organização com maior probabilidade de serem falsificados

• Na seção Adicionar domínios a proteger, alterne a opção para incluir automaticamente os domínios que possuo

• Na seção Ações, escolha qual ação você deseja realizar se um usuário ou domínio for representado. Recomendamos colocar em quarentena ou mover para a pasta de lixo eletrônico.

• Na seção Mailbox Intelligence, ative a proteção e escolha a ação a ser executada, como na etapa anterior

• A seção final permite que você inclua remetentes e domínios na lista de permissões. Evite adicionar domínios genéricos aqui, como gmail.com.

• Depois de revisar suas configurações, você pode optar por Salvar

Leia também : Microsoft Cloud App Security: o guia definitivo

Configurar filtragem avançada

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

Onde :
= domínio que queremos proteger
= 3600
= indica que esta regra deve ser usada para 100% do email
= especifica qual política você deseja que o servidor de recebimento siga se o DMARC falhar.
NOTA: Você pode definir como nenhum, quarentena ou rejeitar

Exemplo :

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=nenhum”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=quarentena”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=rejeitar”

Não permitir o compartilhamento de detalhes do calendário

Você não deve permitir que seus usuários compartilhem detalhes do calendário com usuários externos. Esse recurso permite que seus usuários compartilhem todos os detalhes de seus calendários com usuários externos. Os invasores geralmente gastam tempo aprendendo sobre sua organização (realizando reconhecimento) antes de iniciar um ataque. Os calendários disponíveis publicamente podem ajudar os invasores a entender as relações organizacionais e determinar quando usuários específicos podem estar mais vulneráveis ​​a um ataque, como quando estão viajando.

• No centro de administração do Microsoft 365 > Configurações – Configurações da organização

• Clique em serviços e selecione calendário

• Altere as configurações para “ Informações de disponibilidade do calendário apenas com hora ”

• Habilite essa configuração em um locatário por meio do PowerShell
• Habilite essa configuração em todos os locatários por meio de credenciais do Partner Center usando o PowerShell

Ativar pesquisa de registro de auditoria

Você deve habilitar a gravação de dados de auditoria para seu serviço Microsoft 365 ou Office 365 para garantir que você tenha um registro de cada usuário e interação do administrador com o serviço, incluindo Azure AD, Exchange Online, Microsoft Teams e SharePoint Online/OneDrive for Business. Esses dados possibilitarão a investigação e o escopo de uma violação de segurança, caso ela ocorra. Você (ou outro administrador) deve ativar o log de auditoria antes de começar a pesquisar o log de auditoria .

• Como ativar o Log de Auditoria?
• Como pesquisar o log de auditoria?

• Vá para o portal de segurança>Pesquisar>Pesquisa de log de auditoria
• Certifique-se de não obter o seguinte:

• Depois de ativar a Auditoria, você verá o seguinte:

• Você pode criar uma pesquisa personalizada com base na atividade, intervalo de datas, usuários e arquivo\pasta\site
• Crie uma nova política de alertas com base em um determinado evento

• Se quiser pesquisar o log de auditoria via PowerShell, você usaria os comandos abaixo:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Você pode usar o seguinte comando para exportar determinadas propriedades para um arquivo CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Habilitar auditoria de caixa de correio para todos os usuários

Por padrão, todo acesso de não proprietário é auditado, mas você deve habilitar a auditoria na caixa de correio para que o acesso do proprietário também seja auditado. Isso permitirá que você descubra o acesso ilícito da atividade do Exchange Online se a conta de um usuário tiver sido violada. Precisaremos executar um script do PowerShell para habilitar a auditoria para todos os usuários.

NOTA : Use o log de auditoria para pesquisar a atividade da caixa de correio que foi registrada. Você pode pesquisar a atividade de uma caixa de correio de usuário específica.

• Vá para o portal de segurança>Pesquisar>Pesquisa de log de auditoria

Lista de ações de auditoria de caixa de correio

Comandos powershell de auditoria de caixa de correio

Para verificar o status de auditoria de uma caixa de correio:

Get-Mailbox [email protected] | fl *auditoria*

Para pesquisar uma auditoria de caixa de correio:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021

Para exportar os resultados para um arquivo csv:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Para visualizar e exportar logs com base em operações :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Para visualizar e exportar logs com base nos tipos de logon :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Revise as mudanças de função semanalmente

Você deve fazer isso porque deve observar as alterações ilícitas do grupo de funções, o que pode dar a um invasor privilégios elevados para realizar coisas mais perigosas e impactantes em sua locação.

• Vá para Portal de segurança>Pesquisa>Pesquisa de log de auditoria
• Digite “ Função ” na pesquisa e selecione “ Membro adicionado à função ” e “ Removido um usuário de uma função de diretório ”

Monitorar alterações de função em todos os locatários do cliente

Revise as regras de encaminhamento da caixa de correio semanalmente

Você deve revisar as regras de encaminhamento de caixa de correio para domínios externos pelo menos toda semana. Há várias maneiras de fazer isso, incluindo simplesmente revisar a lista de regras de encaminhamento de email para domínios externos em todas as suas caixas de correio usando um script do PowerShell ou revisar a atividade de criação de regra de encaminhamento de email na última semana da pesquisa de log de auditoria. Embora existam muitos usos legítimos de regras de encaminhamento de e-mail para outros locais, também é uma tática de exfiltração de dados muito popular para invasores. Você deve revisá-los regularmente para garantir que o e-mail de seus usuários não seja exfiltrado. A execução do script do PowerShell vinculado abaixo gerará dois arquivos csv, “MailboxDelegatePermissions” e “MailForwardingRulesToExternalDomains”, em sua pasta System32.

• Monitorar em um único locatário
• Monitorar encaminhamentos de caixa de correio externa em todos os locatários de clientes do Microsoft 365/Office 365

Revise o relatório de acesso à caixa de correio por não proprietários quinzenalmente

Este relatório mostra quais caixas de correio foram acessadas por alguém que não seja o proprietário da caixa de correio. Embora existam muitos usos legítimos de permissões de delegação, a revisão regular desse acesso pode ajudar a impedir que um invasor externo mantenha o acesso por um longo tempo e pode ajudar a descobrir atividades internas mal-intencionadas mais cedo.

• No Exchange Admin Center, vá para Gerenciamento de Conformidade>Auditoria
• Clique em “ Executar um relatório de acesso de caixa de correio não proprietário… ”

• Especifique um intervalo de dados e execute uma pesquisa

Revise o relatório de detecções de malware semanalmente

Este relatório mostra instâncias específicas da Microsoft impedindo que um anexo de malware chegue aos seus usuários. Embora este relatório não seja estritamente acionável, revisá-lo dará a você uma noção do volume geral de malware direcionado a seus usuários, o que pode levar você a adotar mitigações de malware mais agressivas

• Vá para portal de segurança>Relatórios>Painel

• Role até o final e clique em Malware detectado no email

• Visualize o Relatório de Detecção e clique em + Criar agendamento

• Crie uma programação de relatório semanal e envie-a para o endereço de e-mail apropriado

Revise seu relatório de atividade de provisionamento de conta semanalmente

Este relatório inclui um histórico de tentativas de provisionar contas para aplicativos externos. Se você não costuma usar um provedor terceirizado para gerenciar contas, qualquer entrada na lista provavelmente é ilícita. Mas, se você fizer isso, essa é uma ótima maneira de monitorar os volumes de transações e procurar aplicativos de terceiros novos ou incomuns que estejam gerenciando usuários.

• No centro de administração do Microsoft 365>Azure Active Directory dos Centros de administração>Azure Active Directory>Logs de auditoria

• Na seção Atividade, procure por “externo” e selecione Convidar usuário externo

É assim que você melhora a proteção online do Exchange para uma melhor segurança.

Agora eu gostaria de ouvir de você:

Qual descoberta do relatório de hoje você achou mais interessante? Ou talvez você tenha uma pergunta sobre algo que eu abordei.

De qualquer forma, eu gostaria de ouvir de você. Então vá em frente e deixe um comentário abaixo.