Cele mai bune 20 de tehnici pentru îmbunătățirea protecției Exchange online

Scopul cheie al acestui articol este de a îmbunătăți protecția online a schimbului pentru pierderea de date sau contul compromis, urmând cele mai bune practici de securitate Microsoft și trecând prin configurarea efectivă. Microsoft oferă două niveluri de securitate e-mail Microsoft 365 – Exchange Online Protection (EOP) și Microsoft Defender Advanced Threat Protection. Aceste soluții pot îmbunătăți securitatea platformei Microsoft și pot atenua problemele legate de securitatea e-mailului Microsoft 365.

1 Activați Criptarea e-mailului

2 Activați blocurile de redirecționare a regulilor clientului

3 Powershell

4 Nu permiteți delegarea căsuței poștale

5 Filtrarea conexiunii

6 Spam și programe malware

7 Programe malware

8 Politica anti-phishing

9 Configurați filtrarea îmbunătățită

10 Configurați politica ATP Safe Links și Safe Attachments

11 Adăugați SPF, DKIM și DMARC

12 Nu permiteți partajarea detaliilor calendarului

13 Activați căutarea jurnalului de audit

14 Activați auditarea cutiei poștale pentru toți utilizatorii

15 Comenzile Powershell de auditare a căsuței poștale

16 Revizuiți săptămânal schimbările de rol

17 Examinați săptămânal regulile de redirecționare a cutiei poștale

18 Examinați raportul de acces la cutia poștală de către non-proprietari la două săptămâni

19 Consultați săptămânal raportul de detectare a programelor malware

20 Examinați săptămânal Raportul de activitate pentru furnizarea contului

Activați criptarea e-mailului

Regulile de criptare a e-mailului pot fi adăugate pentru a cripta un mesaj cu un anumit cuvânt cheie în linia de subiect sau în corp. Cel mai frecvent este să adăugați „Securizat” ca cuvânt cheie în subiect pentru a cripta mesajul. M365/O365 Message Encryption funcționează cu Outlook.com, Yahoo!, Gmail și alte servicii de e-mail. Criptarea mesajelor de e-mail vă ajută să vă asigurați că numai destinatarii vizați pot vizualiza conținutul mesajului.

• În Centrul de administrare Microsoft 365, faceți clic pe Exchange sub Centre de administrare

• În secțiunea Flux de e-mail, faceți clic pe Reguli

• Faceți clic pe semnul plus și faceți clic pe Aplicare Microsoft 365 Message Encryption (vă permite să definiți mai multe condiții)

• Denumiți-vă politica și, din secțiunea Aplicați această regulă dacă, spuneți „subiectul sau corpul include...”, apoi adăugați cuvântul cheie. Aici, punem „Encrypt”

• În secțiunea Efectuați următoarele, faceți clic pe selectarea pentru șablonul RMS și alegeți Criptare

• După ce faceți clic pe Salvare, vă puteți testa politica. În acest caz, afișăm un mesaj trimis unui utilizator Gmail

• Mesaje primite utilizator Gmail:

• Când utilizatorul Gmail salvează și deschide atașamentul (message.html), acesta poate alege să se conecteze cu datele de conectare Google sau să primească o parolă unică trimisă pe e-mail.

• În acest caz, am ales un cod de acces unic.

• Verificați mesajul primit în Gmail pentru codul de acces

• Copiați parola și lipiți-o

• Putem vizualiza mesajul criptat în portal și trimite un răspuns criptat

Pentru a verifica dacă chiriașul dvs. este configurat pentru criptare, utilizați următoarea comandă, asigurându-vă că valoarea Sender este un cont valid în cadrul chiriașului dvs.:

Test-IRMConfiguration -Sender [email protected]

Dacă vedeți „REZULTAT GLOBAL: PASS” atunci sunteți gata să plecați

Citește și : Cum se criptează e-mailurile Microsoft 365 cu ATP?

Activați blocurile de redirecționare a regulilor clientului

Aceasta este o regulă de transport care ajută la oprirea exfiltrării datelor cu reguli create de client care redirecționează automat e-mailurile din cutiile poștale ale utilizatorilor către adresele de e-mail externe. Aceasta este o metodă de scurgere de date din ce în ce mai comună în organizații.

Accesați Centrul de administrare Exchange> Flux de e-mail> Reguli

Faceți clic pe semnul plus și selectați Aplicați criptarea mesajelor Microsoft 365 și protecția drepturilor la mesaje...

Adăugați următoarele proprietăți la regulă:

• DACĂ Expeditorul se află „în interiorul organizației”
• ȘI DACĂ Destinatarul se află „în afara organizației”
• SI DACA Tipul de mesaj este „Auto-Forward”
• Apoi respingeți mesajul cu explicația „Redirecționarea e-mailurilor externe prin regulile client nu este permisă”.

Sfat 1: pentru a treia condiție, trebuie să selectați Proprietăți mesaj > Includeți acest tip de mesaj pentru a obține opțiunea de redirecționare automată pentru a popula

Sfat 2 : Pentru a patra condiție, trebuie să selectați Blocați mesajul...> respingeți mesajul și includeți o explicație de completat

• Faceți clic pe Salvare când este finalizat. Această regulă va fi aplicată imediat. Clienții vor primi un mesaj personalizat de chitanță de non-livrare (NDR) care este util pentru evidențierea regulilor de redirecționare externe despre care poate nu știau că există sau care au fost create de un actor rău într-o cutie poștală compromisă. Puteți crea excepții pentru anumiți utilizatori sau grupuri specificate în regula de transport creată.

Powershell

• Script Powershell pentru a bloca redirecționarea automată pentru un client.
• Script Powershell pentru a bloca redirecționarea automată pentru toți clienții dvs. prin acreditările Centrului pentru parteneri.

Nu permiteți delegarea căsuței poștale

• Dacă utilizatorii dvs. nu deleg cutii poștale, este mai greu pentru un atacator să treacă de la un cont la altul și să fure date. Delegarea cutiei poștale este practica de a permite altcuiva să vă gestioneze e-mailurile și calendarul, ceea ce poate precipita răspândirea unui atac.
• Pentru a determina dacă există permisiuni de delegare a cutiei poștale existente, rulați scriptul PowerShell din Github. Când vi se solicită, introduceți acreditările globale de administrator pentru chiriaș.
• Dacă există permisiuni de delegare, le veți vedea listate. Dacă nu există, veți primi doar o nouă linie de comandă. Identitatea este cutia poștală căreia i-au fost atribuite permisiuni de administrator delegate, iar utilizatorul este persoana care are acele permisiuni.
• Puteți rula următoarea comandă pentru a elimina drepturile de acces pentru utilizatori:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType Toate

Filtrarea conexiunii

Utilizați filtrarea conexiunilor în EOP pentru a identifica serverele de e-mail sursă bune sau proaste după adresele lor IP. Componentele cheie ale politicii implicite de filtrare a conexiunii sunt:

Lista IP permisă : ignorați filtrarea spam-ului pentru toate mesajele primite de la serverele de e-mail sursă pe care le specificați după adresa IP sau intervalul de adrese IP. Pentru mai multe informații despre cum ar trebui să se încadreze Lista IP permisă în strategia generală de expeditori siguri, consultați  Crearea listelor de expeditori siguri în EOP .

Lista IP blocată : blocați toate mesajele primite de la serverele de e-mail sursă pe care le specificați după adresa IP sau intervalul de adrese IP. Mesajele primite sunt respinse, nu sunt marcate ca spam și nu are loc nicio filtrare suplimentară. Pentru mai multe informații despre cum ar trebui să se potrivească Lista de IP-uri blocate în strategia generală de expeditori blocați, consultați  Crearea listelor de expeditori blocați în EOP .

• În Centrul de administrare Exchange > Protecție > Filtru de conexiune > Faceți clic pe pictograma creion pentru a modifica politica implicită.

• Faceți clic pe Filtrare conexiuni

• Aici puteți permite\bloca adresa IP.

Spam și programe malware

Întrebări de pus:

1. Ce acțiuni dorim să întreprindem atunci când un mesaj este identificat ca spam?
   A. Mutați mesajul în dosarul nedorit (implicit)
   b. Adăugați antet X (Trimite mesajul către destinatarii specificați, dar adaugă text antet X la antetul mesajului pentru a-l identifica ca spam)
   c. Adăugați linia de subiect înaintea cu text (Trimite mesajul destinatarilor vizați, dar adaugă linia de subiect cu textul pe care îl specificați în linia de subiect Prefix cu această casetă de introducere a textului. Folosind acest text ca identificator, puteți crea opțional reguli pentru a filtra sau direcționează mesajele după cum este necesar.)
   d. Redirecționează mesajul către adresa de e-mail (Trimite mesajul către o adresă de e-mail desemnată, nu către destinatarii vizați.)
2. Trebuie să adăugăm expeditori/domenii permisi sau să blocăm expeditori/domenii?
3. Trebuie să filtram mesajele scrise într-un anumit limbaj?
4. Trebuie să filtram mesajele care provin din anumite țări/regiuni?
5. Dorim să configuram notificări de spam ale utilizatorilor finali pentru a informa utilizatorii când mesajele destinate acestora au fost trimise în carantină? (Din aceste notificări, utilizatorii finali pot lansa false pozitive și le pot raporta la Microsoft pentru analiză.)

• Accesați Centrul de administrare Microsoft 365 > Selectați Securitate din Centrele de administrare > Gestionarea amenințărilor > Politică > Anti-spam

• Editați politica implicită

• Navigați prin file pentru a configura oricare dintre întrebările puse anterior

• Extindeți secțiunea  Permite liste  pentru a configura expeditorii de mesaje după adresa de e-mail sau domeniul de e-mail cărora li se permite să omite filtrarea spam-ului.
• Extindeți  secțiunea Liste blocate  pentru a configura expeditorii de mesaje după adresa de e-mail sau domeniul de e-mail care va fi întotdeauna marcat ca spam de mare încredere.

• Fila Proprietăți spam vă permite să deveniți mai detaliat cu politica dvs. și să înăspriți setările filtrului de spam

Programe malware

Acesta este deja configurat la nivel de companie prin politica implicită anti-malware. Trebuie să creați politici mai granulare pentru un anumit grup de utilizatori, cum ar fi notificări suplimentare prin text sau filtrare sporită pe baza extensiilor de fișiere?

• Accesați portalul de securitate > Gestionarea amenințărilor > Politică > Anti-malware

• Selectați politica implicită de modificat
• Selectați Nu pentru răspunsul de detectare a programelor malware

• Dezactivați funcția pentru a bloca tipurile de atașamente care vă pot dăuna computerului

• Activați eliminarea automată a programelor malware la zero ore

• Modificați notificările în consecință

• Specificați utilizatorii, grupurile sau domeniile pentru care se aplică această politică, creând reguli bazate pe destinatari

• Examinați setările și salvați.

Politica anti-phishing

Abonamentele Microsoft 365 vin cu o politică implicită pentru anti-phishing preconfigurată, dar dacă aveți licența corectă pentru ATP, puteți configura o setare suplimentară pentru încercările de uzurpare a identității în cadrul chiriașului. Vom configura aceste setări suplimentare aici.

• Accesați portalul de securitate > Gestionarea amenințărilor > Politică > ATP anti-phishing

• Faceți clic pe politica implicită > Faceți clic pe Editați în secțiunea Uzurpare identității
• În prima secțiune comutați comutatorul la pornit și adăugați directori de top sau utilizatori din cadrul organizației care sunt cel mai probabil să fie falsificati

• În secțiunea Adăugați domenii pentru a proteja, comutați comutatorul pentru a include automat domeniile pe care le dețin

• În secțiunea Acțiuni, alegeți ce acțiune doriți să efectuați dacă un utilizator sau un domeniu este uzurpat. Vă recomandăm fie plasarea în carantină, fie mutarea în dosarul Junk.

• În secțiunea Mailbox Intelligence, activați protecția și alegeți ce acțiune să luați, ca în pasul anterior

• Secțiunea finală vă permite să puneți pe lista albă expeditorii și domeniile. Abțineți-vă de la adăugarea de domenii generice aici, cum ar fi gmail.com.

• După ce vă revizuiți setările, puteți alege să Salvați

Citește și : Microsoft Cloud App Security: The Definitive Guide

Configurați filtrarea îmbunătățită

• Filtrarea îmbunătățită a e-mailurilor poate fi configurată dacă aveți un conector în 365 (serviciu de filtrare a e-mailurilor terță parte sau configurație hibridă) și înregistrarea dvs. MX nu indică către Microsoft 365 sau Office 365. Această nouă caracteristică vă permite să filtrați e-mailurile pe baza reală. sursa mesajelor care sosesc prin conector.
• Acest lucru este, de asemenea, cunoscut sub numele de ignorare a listei și această funcție vă va permite să treceți cu vederea sau să omiteți orice adrese IP care sunt considerate interne pentru dvs. pentru a obține ultima adresă IP externă cunoscută, care ar trebui să fie adresa IP sursă reală.
• Dacă utilizați Microsoft Defender ATP, acest lucru îi va îmbunătăți capacitățile de învățare automată și securitatea în jurul legăturilor sigure/atașamentelor sigure/anti-spoofing din lista cunoscută de rău intenționată a Microsoft, bazată pe IP.
• Într-un fel, obțineți un nivel secundar de protecție, permițând Microsoft să vadă IP-urile e-mailului original și să verifice baza de date.

Pentru pașii de configurare îmbunătățiți de filtrare: faceți clic aici

Configurați politica ATP pentru linkuri sigure și atașamente sigure

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) vă permite să creați politici pentru legături sigure și atașamente sigure în Exchange, Teams, OneDrive și SharePoint. Detonarea în timp real are loc atunci când un utilizator face clic pe orice link, iar conținutul este conținut într-un mediu sandbox. Atașamentele sunt deschise și într-un mediu sandbox înainte de a fi livrate complet prin e-mail. Acest lucru permite detectarea atașamentelor și linkurilor rău intenționate de tip zero-day.

• Accesați portalul de securitate > Gestionarea amenințărilor > Politică > Atașamente sigure ATP

• Faceți clic pe Setări globale

• Activați ATP pentru SharePoint, OneDrive și Microsoft Teams

• Creați o nouă politică

• Adăugați Nume, Descriere și alegeți Livrare dinamică. Pentru mai multe despre metodele de livrare, faceți clic  aici .

• Selectați acțiunea ca Livrare dinamică

• Adăugați domeniul destinatarului și alegeți domeniul principal din chiriaș.

• Faceți clic pe Următorul pentru a vă revizui setările și faceți clic pe Terminare

• Pentru Legături sigure, reveniți la Gestionarea amenințărilor > Politică > Legături sigure ATP

• Utilizați politica implicită sau creați o nouă politică și activați setările necesare afișate mai jos.

• Puteți alege să includeți pe lista albă anumite adrese URL

• La fel ca politica privind atașamentele sigure, se aplică tuturor utilizatorilor din chiriaș după numele domeniului.

• Faceți clic pe Următorul pentru a vă revizui setările și faceți clic pe Terminare

Adăugați SPF, DKIM și DMARC

• Aveți înregistrări SPF/înregistrări DKIM/DMARC?
• SPF validează originea mesajelor de e-mail prin verificarea adresei IP a expeditorului față de presupusul proprietar al domeniului de trimitere, ceea ce ajută la prevenirea falsării.
• DKIM vă permite să atașați o semnătură digitală la mesajele de e-mail în antetul mesajelor e-mailurilor pe care le trimiteți. Sistemele de e-mail care primesc e-mailuri de la domeniul dvs. folosesc această semnătură digitală pentru a determina dacă e-mailurile primite pe care le primesc sunt legitime.
• DMARC ajută sistemele de recepție de e-mail să determine ce să facă cu mesajele care nu verifică SPF sau DKIM și oferă un alt nivel de încredere pentru partenerii tăi de e-mail.

Pentru a adăuga înregistrări:

• Accesați Domenii în centrul de administrare Microsoft 365 și faceți clic pe domeniul în care doriți să adăugați înregistrări.

• Faceți clic pe „ Înregistrări DNS ” și luați notă de înregistrarea MX și TXT listată în Exchange Online

• Adăugați înregistrarea TXT a v=spf1 include:spf.protection.outlook.com -all la setările dvs. DNS pentru înregistrarea noastră SPF
• Pentru înregistrările noastre DKIM, trebuie să publicăm două înregistrări CNAME în DNS

Utilizați următorul format pentru înregistrarea CNAME :

Unde :
= domeniul nostru principal = prefixul înregistrării noastre MX (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Exemplu : DOMAIN = techieberry.com

Înregistrarea CNAME nr. 1:
Nume gazdă: selector1._domainkey.techiebery.com
Puncte către adresa sau valoare: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

Înregistrarea CNAME #2 :
Nume gazdă : selector2._domainkey.techiebery.com
Puncte către adresa sau valoare: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• După publicarea înregistrărilor, accesați portalul de securitate > Gestionarea amenințărilor > Politică > DKIM

• Selectați domeniul pentru care doriți să activați DKIM și faceți clic pe Activare.
• Cu înregistrările SPF și DKIM, acum putem configura DMARC. Formatul pentru înregistrarea TXT pe care dorim să o adăugăm este următorul:

_dmarc.domain TTL ÎN TXT „v=DMARC1; pct=100; p=politică

Unde :
= domeniul pe care vrem să îl protejăm
= 3600
= indică faptul că această regulă ar trebui utilizată pentru 100% din e-mail
= specifică ce politică doriți să respecte serverul de primire dacă DMARC eșuează.
NOTĂ: Puteți seta la niciunul, să puneți în carantină sau să respingeți

Exemplu :

• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p=niciuna”
• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p=carantină”
• _dmarc.pax8.com 3600 IN TXT „v=DMARC1; p=resping”

Nu permiteți partajarea detaliilor calendarului

Nu ar trebui să permiteți utilizatorilor să partajeze detaliile calendarului cu utilizatorii externi. Această caracteristică permite utilizatorilor dvs. să partajeze detaliile complete ale calendarelor lor cu utilizatori externi. Atacatorii vor petrece foarte frecvent timp învățând despre organizația ta (efectuând recunoaștere) înainte de a lansa un atac. Calendarele disponibile public pot ajuta atacatorii să înțeleagă relațiile organizaționale și să determine când anumiți utilizatori pot fi mai vulnerabili la un atac, cum ar fi atunci când călătoresc.

• În centrul de administrare Microsoft 365 > Setări – Setări organizație

• Faceți clic pe servicii și selectați calendar

• Schimbați setările la „ Informații despre calendar liber/ocupat doar cu timp ”

• Activați această setare pentru un singur chiriaș prin PowerShell
• Activați această setare în toți chiriașii prin acreditările Centrului pentru parteneri utilizând PowerShell

Activați căutarea jurnalului de audit

Ar trebui să activați înregistrarea datelor de audit pentru serviciul dvs. Microsoft 365 sau Office 365 pentru a vă asigura că aveți o înregistrare a interacțiunii fiecărui utilizator și administrator cu serviciul, inclusiv Azure AD, Exchange Online, Microsoft Teams și SharePoint Online/OneDrive for Business. Aceste date vor face posibilă investigarea și stabilirea unei breșe de securitate, dacă aceasta ar avea loc vreodată. Dumneavoastră (sau un alt administrator) trebuie să activați înregistrarea de audit înainte de a putea începe să căutați în jurnalul de audit .

• Cum se activează Audit Log On?
• Cum se caută în jurnalul de audit?

• Accesați portalul de securitate> Căutare> Căutare jurnal de audit
• Asigurați-vă că nu obțineți următoarele:

• După ce activați Auditarea, veți vedea următoarele:

• Puteți crea o căutare personalizată bazată pe activitate, interval de date, utilizatori și fișier\dosar\site
• Creați o nouă politică de alertă bazată pe un anumit eveniment

• Dacă doriți să căutați jurnalul de audit prin PowerShell, veți folosi comenzile de mai jos:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Puteți utiliza următoarea comandă pentru a exporta anumite proprietăți într-un fișier CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Calea c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Activați auditarea cutiei poștale pentru toți utilizatorii

În mod implicit, toate accesele non-proprietarului sunt auditate, dar trebuie să activați auditarea în cutia poștală pentru ca și accesul proprietarului să fie auditat. Acest lucru vă va permite să descoperiți accesul ilicit la activitatea Exchange Online dacă contul unui utilizator a fost încălcat. Va trebui să rulăm un script PowerShell pentru a permite auditarea pentru toți utilizatorii.

NOTĂ : Utilizați jurnalul de audit pentru a căuta activitatea cutiei poștale care a fost înregistrată. Puteți căuta activitate pentru o anumită cutie poștală de utilizator.

• Accesați portalul de securitate> Căutare> Căutare jurnal de audit

Lista acțiunilor de auditare a cutiei poștale

Comenzile Powershell de auditare a cutiei poștale

Pentru a verifica starea de auditare a unei cutii poștale:

Get-Mailbox [email protected] | fl *audit*

Pentru a căuta într-o cutie poștală de auditare:

Căutare-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Pentru a exporta rezultatele într-un fișier csv:

Căutare-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Pentru a vizualiza și exporta jurnalele pe baza operațiunilor :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -End/D11/Dho2012 | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pentru a vizualiza și exporta jurnalele pe baza tipurilor de conectare :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Proprietar,Delegat,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Examinați săptămânal schimbările de rol

Ar trebui să faceți acest lucru, deoarece ar trebui să urmăriți modificările ilicite ale grupului de roluri, care ar putea oferi unui atacator privilegii ridicate pentru a efectua lucruri mai periculoase și cu impact în locația dvs.

• Accesați Portalul de securitate> Căutare> Căutare jurnal de audit
• Tastați „ Rol ” în căutare și selectați „ Membru adăugat la rol ” și „ Șters un utilizator dintr-un rol de director ”

Monitorizați schimbările de rol la toți clienții chiriași

Consultați săptămânal regulile de redirecționare a cutiei poștale

Ar trebui să revizuiți regulile de redirecționare a cutiei poștale către domenii externe cel puțin o dată pe săptămână. Există mai multe moduri în care puteți face acest lucru, inclusiv simpla revizuire a listei de reguli de redirecționare a e-mailurilor către domenii externe din toate cutiile poștale folosind un script PowerShell sau revizuirea activității de creare a regulilor de redirecționare a e-mailurilor din ultima săptămână din Căutarea în jurnalul de audit. Deși există o mulțime de utilizări legitime ale regulilor de redirecționare a e-mailurilor către alte locații, este, de asemenea, o tactică de exfiltrare a datelor foarte populară pentru atacatori. Ar trebui să le revizuiți în mod regulat pentru a vă asigura că e-mailurile utilizatorilor dvs. nu sunt exfiltrate. Rularea scriptului PowerShell de mai jos va genera două fișiere csv, „MailboxDelegatePermissions” și „MailForwardingRulesToExternalDomains”, în folderul System32.

• Monitorizați pe un singur chiriaș
• Monitorizați redirecționarea cutiei poștale externe în toți chiriașii clienților Microsoft 365/Office 365

Consultați raportul de acces la cutia poștală de către non-proprietari la două săptămâni

Acest raport arată ce cutii poștale au fost accesate de altcineva decât proprietarul cutiei poștale. Deși există multe utilizări legitime ale permisiunilor delegatului, revizuirea regulată a acestui acces poate ajuta la prevenirea unui atacator extern să mențină accesul pentru o perioadă lungă de timp și poate ajuta la descoperirea mai repede a activităților rău intenționate din interior.

• În Centrul de administrare Exchange, accesați Compliance Management>Auditing
• Faceți clic pe „ Rulați un raport de acces la cutia poștală non-proprietar... ”

• Specificați un interval de date și executați o căutare

Consultați săptămânal raportul de detectare a programelor malware

Acest raport arată cazuri specifice în care Microsoft a blocat un atașament malware pentru a ajunge la utilizatorii dvs. Deși acest raport nu este strict aplicabil, examinarea acestuia vă va oferi o idee despre volumul total de programe malware care sunt vizate de utilizatorii dvs., ceea ce vă poate determina să adoptați măsuri mai agresive de atenuare a programelor malware.

• Accesați portalul de securitate>Rapoarte>Tabloul de bord

• Derulați în partea de jos și faceți clic pe Malware detectat în e-mail

• Vizualizați raportul de detectare și faceți clic pe + Creați program

• Creați un program săptămânal de raport și trimiteți-l la adresa de e-mail corespunzătoare

Examinați săptămânal Raportul de activitate privind furnizarea contului

Acest raport include un istoric al încercărilor de a furniza conturi către aplicații externe. Dacă de obicei nu folosiți un furnizor terț pentru a gestiona conturile, orice intrare din listă este probabil ilicită. Dar, dacă o faci, aceasta este o modalitate excelentă de a monitoriza volumele tranzacțiilor și de a căuta aplicații terțe noi sau neobișnuite care gestionează utilizatori.

• În Centrul de administrare Microsoft 365>Azure Active Directory din Centrele de administrare>Azure Active Directory>Jurnale de audit

• În secțiunea Activitate, căutați „extern” și selectați Invitați utilizator extern

Așa îmbunătățiți protecția online a schimburilor pentru o securitate mai bună.

Acum aș dori să aud de la tine:

Care constatare din raportul de azi vi s-a părut cea mai interesantă? Sau poate ai o întrebare despre ceva despre care am tratat-o.

Oricum, aș dori să aud de la tine. Așa că mergeți mai departe și lăsați un comentariu mai jos.