20 лучших способов улучшить защиту Exchange Online

Основная цель этой статьи — улучшить онлайн-защиту Exchange от потери данных или скомпрометированной учетной записи, следуя передовым методам безопасности Microsoft и выполняя фактическую настройку. Microsoft предлагает два уровня безопасности электронной почты Microsoft 365 — Exchange Online Protection (EOP) и Advanced Threat Protection в Microsoft Defender. Эти решения могут повысить безопасность платформы Microsoft и устранить проблемы с безопасностью электронной почты Microsoft 365.

1 Включить шифрование электронной почты

2 Включить блокировку пересылки правил клиента

3 PowerShell

4 Запретить делегирование почтового ящика

5 Фильтрация соединений

6 Спам и вредоносное ПО

7 Вредоносное ПО

8 Политика защиты от фишинга

9 Настройка расширенной фильтрации

10 Настройка политики безопасных ссылок и безопасных вложений ATP

11 Добавьте SPF, DKIM и DMARC

12 Запретить совместное использование сведений о календаре

13 Включить поиск в журнале аудита

14 Включить аудит почтовых ящиков для всех пользователей

15 команд powershell для аудита почтовых ящиков

16 Обзор смены ролей еженедельно

17 Еженедельно пересматривайте правила переадресации почтовых ящиков

18 Просмотрите отчет о доступе к почтовому ящику лицами, не являющимися владельцами, раз в две недели

19 Просмотр еженедельного отчета об обнаружении вредоносных программ

20 Еженедельно просматривайте отчет о деятельности по инициализации учетной записи

Включить шифрование электронной почты

Можно добавить правила шифрования электронной почты, чтобы зашифровать сообщение с определенным ключевым словом в строке темы или тексте. Наиболее распространенным является добавление «Безопасный» в качестве ключевого слова в тему для шифрования сообщения. Шифрование сообщений M365/O365 работает с Outlook.com, Yahoo!, Gmail и другими службами электронной почты. Шифрование сообщений электронной почты помогает гарантировать, что только предполагаемые получатели могут просматривать содержимое сообщения.

• В Центре администрирования Microsoft 365 щелкните Exchange в разделе Центры администрирования.

• В разделе «Поток почты» нажмите «Правила».

• Щелкните знак «плюс» и выберите «Применить шифрование сообщений Microsoft 365» (позволяет определить несколько условий).

• Назовите свою политику и в разделе «Применить это правило, если» скажите «тема или тело включает…», а затем добавьте ключевое слово. Здесь мы вставляем «Зашифровать»

• В разделе «Выполните следующие действия» нажмите «Выбрать» для шаблона RMS и выберите «Зашифровать».

• После нажатия кнопки «Сохранить» вы можете протестировать свою политику. В данном случае мы показываем сообщение, отправленное пользователю Gmail.

• Почтовый ящик пользователя Gmail:

• Когда пользователь Gmail сохраняет и открывает вложение (message.html), он может войти в систему, используя свои учетные данные Google, или получить одноразовый пароль, отправленный на его электронную почту.

• В данном случае мы выбрали одноразовый пароль.

• Проверьте почтовый ящик Gmail на наличие пароля.

• Скопируйте пароль и вставьте его

• Мы можем просмотреть зашифрованное сообщение на портале и отправить зашифрованный ответ

Чтобы убедиться, что ваш клиент настроен на шифрование, используйте следующую команду, убедившись, что значение отправителя является действительной учетной записью в вашем клиенте:

Test-IRMConfiguration — отправитель [email protected]

Если вы видите «ОБЩИЙ РЕЗУЛЬТАТ: ПРОЙДЕН», значит, вы готовы к работе.

Читайте также : Как шифровать электронную почту Microsoft 365 с помощью ATP?

Включить блокировку пересылки правил клиента

Это правило транспорта помогает остановить утечку данных с помощью созданных клиентом правил, которые автоматически перенаправляют электронную почту из почтовых ящиков пользователей на внешние адреса электронной почты. Это все более распространенный метод утечки данных в организациях.

Перейдите в Центр администрирования Exchange> Почтовый поток> Правила.

Нажмите на знак «плюс» и выберите «Применить шифрование сообщений Microsoft 365 и защиту прав к сообщениям…».

Добавьте в правило следующие свойства:

• ЕСЛИ отправитель находится «внутри организации»
• И ЕСЛИ Получатель находится «вне организации»
• И ЕСЛИ Тип сообщения «Автоматическая пересылка»
• ТОГДА отклоните сообщение с пояснением «Внешняя переадресация электронной почты с помощью клиентских правил не разрешена».

Совет 1. Для третьего условия вам нужно выбрать «Свойства сообщения»> «Включить этот тип сообщения», чтобы заполнить параметр «Автоматическая переадресация».

Совет 2. Для 4-го условия вам нужно выбрать Заблокировать сообщение…> отклонить сообщение и включить объяснение для заполнения.

• Нажмите Сохранить, когда закончите. Это правило вступит в силу немедленно. Клиенты получат настраиваемое сообщение о недоставке (NDR), которое полезно для выделения внешних правил переадресации, о существовании которых они могли не знать или которые были созданы злоумышленником в скомпрометированном почтовом ящике. Вы можете создавать исключения для определенных пользователей или групп в созданном правиле транспорта.

PowerShell

• Скрипт Powershell для блокировки Auto-Forward для одного клиента.
• Сценарий Powershell для блокировки автоматической переадресации для всех ваших клиентов через учетные данные Центра партнеров.

Не разрешать делегирование почтового ящика

• Если ваши пользователи не делегируют почтовые ящики, злоумышленнику будет сложнее перейти с одной учетной записи на другую и украсть данные. Делегирование почтового ящика — это практика, позволяющая кому-то другому управлять вашей почтой и календарем, что может ускорить распространение атаки.
• Чтобы определить, существуют ли какие-либо существующие разрешения делегирования почтовых ящиков, запустите сценарий PowerShell из Github. При появлении запроса введите учетные данные глобального администратора для арендатора.
• Если существуют какие-либо разрешения делегирования, вы увидите их в списке. Если их нет, вы просто получите новую командную строку. Идентификатор — это почтовый ящик, которому назначены делегированные права администратора, а пользователь — это человек, у которого есть эти разрешения.
• Вы можете запустить следующую команду, чтобы удалить права доступа для пользователей:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Фильтрация соединений

Вы используете фильтрацию подключений в EOP, чтобы определить хорошие или плохие исходные серверы электронной почты по их IP-адресам. Ключевые компоненты политики фильтрации подключений по умолчанию:

Список разрешенных IP -адресов : пропустить фильтрацию спама для всех входящих сообщений с исходных почтовых серверов, указанных вами по IP-адресу или диапазону IP-адресов. Дополнительные сведения о том, как белый список IP-адресов должен вписываться в общую стратегию надежных отправителей, см.  в статье Создание списков надежных отправителей в EOP .

Список заблокированных IP-адресов : заблокируйте все входящие сообщения с исходных почтовых серверов, указанных вами по IP-адресу или диапазону IP-адресов. Входящие сообщения отклоняются, не помечаются как спам, никакой дополнительной фильтрации не происходит. Дополнительные сведения о том, как черный список IP-адресов должен вписываться в вашу общую стратегию в отношении заблокированных отправителей, см.  в статье Создание списков заблокированных отправителей в EOP .

• В Центре администрирования Exchange > Защита > Фильтр подключений > Щелкните значок карандаша, чтобы изменить политику по умолчанию.

• Щелкните Фильтрация подключений.

• Здесь вы можете разрешить\заблокировать IP-адрес.

Спам и вредоносное ПО

Вопросы, которые нужно задать:

1. Какие действия мы хотим предпринять, когда сообщение определяется как спам?
   а. Переместить сообщение в папку нежелательной почты (по умолчанию)
   b. Добавить заголовок X (отправляет сообщение указанным получателям, но добавляет текст заголовка X в заголовок сообщения, чтобы идентифицировать его как спам)
   c. Предварить строку темы текстом (отправляет сообщение предполагаемым получателям, но добавляет к строке темы текст, который вы указываете в строке темы Префикс с этим текстовым полем ввода. Используя этот текст в качестве идентификатора, вы можете дополнительно создавать правила для фильтрации или маршрутизировать сообщения по мере необходимости.)
   d. Перенаправить сообщение на адрес электронной почты (отправляет сообщение на указанный адрес электронной почты вместо предполагаемых получателей.)
2. Нужно ли нам добавлять разрешенных отправителей/домены или блокировать отправителей/домены?
3. Нужно ли фильтровать сообщения, написанные на определенном языке?
4. Нужно ли фильтровать сообщения, поступающие из определенных стран/регионов?
5. Хотим ли мы настроить какие-либо уведомления о спаме для конечных пользователей, чтобы информировать пользователей о том, что сообщения, предназначенные для них, были отправлены в карантин? (Из этих уведомлений конечные пользователи могут выявлять ложные срабатывания и сообщать о них в Microsoft для анализа.)

• Перейдите в центр администрирования Microsoft 365 > выберите «Безопасность» в центрах администрирования > управление угрозами > политика > защита от спама.

• Изменить политику по умолчанию

• Перемещайтесь по вкладкам, чтобы настроить любой из вопросов, заданных ранее.

• Разверните  раздел Списки разрешений  , чтобы настроить отправителей сообщений по адресу электронной почты или домену электронной почты, которым разрешено пропускать фильтрацию спама.
• Разверните  раздел « Черные списки  », чтобы настроить отправителей сообщений по адресу электронной почты или домену электронной почты, которые всегда будут помечаться как спам с высокой степенью достоверности.

• Вкладка «Свойства спама» позволяет более детально настроить политику и настроить параметры спам-фильтра.

Вредоносное ПО

Это уже настроено для всей компании с помощью политики защиты от вредоносных программ по умолчанию. Вам нужно создать более детализированные политики для определенной группы пользователей, такие как дополнительные текстовые уведомления или усиленная фильтрация на основе расширений файлов?

• Перейдите на портал безопасности > Управление угрозами > Политика > Защита от вредоносных программ.

• Выберите политику по умолчанию для изменения
• Выберите Нет для ответа на обнаружение вредоносного ПО.

• Отключите эту функцию, чтобы заблокировать типы вложений, которые могут нанести вред вашему компьютеру.

• Включите автоматическую очистку от вредоносных программ нулевого часа

• Изменить уведомления соответствующим образом

• Укажите пользователей, группы или домены, к которым применяется эта политика, создав правила на основе получателей.

• Проверьте настройки и сохраните.

Антифишинговая политика

Подписки Microsoft 365 поставляются с предварительно настроенной политикой защиты от фишинга по умолчанию, но если у вас есть правильное лицензирование для ATP, вы можете настроить дополнительные параметры для попыток олицетворения в клиенте. Мы будем настраивать эти дополнительные параметры здесь.

• Перейдите на портал безопасности > Управление угрозами > Политика > Защита от фишинга ATP.

• Нажмите политику по умолчанию> Нажмите «Изменить» в разделе «Олицетворение».
• В первом разделе включите переключатель и добавьте топ-менеджеров или пользователей в организации, которые, скорее всего, будут подделаны.

• В разделе «Добавить домены для защиты» переключите переключатель, чтобы автоматически включать домены, которыми я владею.

• В разделе «Действия» выберите действие, которое вы хотите предпринять, если пользователь или домен олицетворяются. Мы рекомендуем либо помещать в карантин, либо перемещать в папку «Спам».

• В разделе Mailbox Intelligence включите защиту и выберите, какое действие предпринять, как на предыдущем шаге.

• Последний раздел позволяет вам внести отправителей и домены в белый список. Не добавляйте сюда общие домены, такие как gmail.com.

• После того, как вы просмотрите свои настройки, вы можете выбрать Сохранить

Читайте также : Microsoft Cloud App Security: полное руководство

Настроить расширенную фильтрацию

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

Где :
= домен, который мы хотим защитить
= 3600
= указывает, что это правило должно использоваться для 100% электронной почты
= указывает, какой политике должен следовать принимающий сервер в случае сбоя DMARC.
ПРИМЕЧАНИЕ. Вы можете выбрать «Нет», «Поместить в карантин» или «Отклонить» .

Пример :

• _dmarc.pax8.com 3600 IN TXT «v=DMARC1; р=нет”
• _dmarc.pax8.com 3600 IN TXT «v=DMARC1; р=карантин”
• _dmarc.pax8.com 3600 IN TXT «v=DMARC1; р=отклонить”

Запретить совместное использование данных календаря

Вы не должны разрешать своим пользователям делиться данными календаря с внешними пользователями. Эта функция позволяет вашим пользователям делиться полной информацией о своих календарях с внешними пользователями. Злоумышленники очень часто тратят время на изучение вашей организации (выполняя разведку) перед началом атаки. Общедоступные календари могут помочь злоумышленникам понять организационные отношения и определить, когда конкретные пользователи могут быть более уязвимы для атаки, например, когда они путешествуют.

• В центре администрирования Microsoft 365 > Параметры — Параметры организации.

• Нажмите на услуги и выберите календарь

• Измените настройки на « Информация о занятости в календаре только со временем » .

• Включите этот параметр для одного арендатора через PowerShell.
• Включите этот параметр во всех клиентах с помощью учетных данных Центра партнеров с помощью PowerShell .

Включить поиск в журнале аудита

Вам следует включить запись данных аудита для службы Microsoft 365 или Office 365, чтобы у вас была запись о взаимодействии каждого пользователя и администратора со службой, включая Azure AD, Exchange Online, Microsoft Teams и SharePoint Online/OneDrive для бизнеса. Эти данные позволят расследовать и локализовать нарушение безопасности, если оно когда-либо произойдет. Вы (или другой администратор) должны включить ведение журнала аудита, прежде чем сможете начать поиск в журнале аудита .

• Как включить журнал аудита?
• Как выполнить поиск в журнале аудита?

• Перейдите на портал безопасности>Поиск>Поиск в журнале аудита.
• Убедитесь, что вы не получили следующее:

• После включения аудита вы увидите следующее:

• Вы можете создать настраиваемый поиск на основе активности, диапазона дат, пользователей и файла\папки\сайта.
• Создайте новую политику предупреждений на основе определенного события

• Если вы хотите выполнить поиск в журнале аудита через PowerShell, вы должны использовать следующие команды:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Вы можете использовать следующую команду для экспорта определенных свойств в файл CSV:

$аудитлог | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Включить аудит почтовых ящиков для всех пользователей

По умолчанию проверяются все доступы, не принадлежащие владельцам, но вы должны включить аудит для почтового ящика, чтобы доступ владельцев также проверялся. Это позволит вам обнаружить незаконный доступ к действиям Exchange Online, если учетная запись пользователя была взломана. Нам нужно будет запустить сценарий PowerShell, чтобы включить аудит для всех пользователей.

ПРИМЕЧАНИЕ . Используйте журнал аудита для поиска активности почтового ящика, которая была зарегистрирована. Вы можете искать активность для определенного почтового ящика пользователя.

• Перейдите на портал безопасности>Поиск>Поиск в журнале аудита.

Список действий аудита почтовых ящиков

Команды powershell для аудита почтовых ящиков

Чтобы проверить статус аудита почтового ящика:

Получить почтовый ящик [email protected] | эт *аудит*

Для поиска аудита почтового ящика:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

Чтобы экспортировать результаты в файл csv:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Чтобы просмотреть и экспортировать журналы на основе операций :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Для просмотра и экспорта журналов на основе типов входа :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner, Delegate, Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Еженедельно просматривать изменения ролей

Вы должны сделать это, потому что вы должны следить за незаконными изменениями групп ролей, которые могут дать злоумышленнику повышенные привилегии для выполнения более опасных и важных действий в вашей аренде.

• Перейдите на портал безопасности>Поиск>Поиск в журнале аудита.
• Введите « Роль » в поиске и выберите « Добавлен член в роль » и « Удален пользователь из роли каталога » .

Мониторинг изменений ролей во всех арендаторах клиентов

Еженедельно просматривать правила переадресации почтовых ящиков

Вы должны пересматривать правила переадресации почтовых ящиков на внешние домены как минимум каждую неделю. Это можно сделать несколькими способами, в том числе просто просмотреть список правил переадресации почты во внешние домены во всех ваших почтовых ящиках с помощью сценария PowerShell или просмотреть действия по созданию правил пересылки почты за последнюю неделю из журнала аудита поиска. Хотя существует множество законных способов использования правил пересылки почты в другие места, это также очень популярная тактика кражи данных для злоумышленников. Вы должны регулярно просматривать их, чтобы убедиться, что электронная почта ваших пользователей не подвергается краже. Запуск приведенного ниже сценария PowerShell создаст два CSV-файла: «MailboxDelegatePermissions» и «MailForwardingRulesToExternalDomains» в вашей папке System32.

• Мониторинг на одном арендаторе
• Мониторинг пересылки внешних почтовых ящиков во всех клиентах Microsoft 365/Office 365

Анализ доступа к почтовому ящику для лиц, не являющихся владельцами, раз в две недели

В этом отчете показано, к каким почтовым ящикам обращался кто-либо, кроме владельца почтового ящика. Несмотря на то, что существует множество законных способов использования делегированных разрешений, регулярная проверка этого доступа может помочь помешать внешнему злоумышленнику сохранить доступ в течение длительного времени и помочь быстрее обнаружить вредоносную внутреннюю деятельность.

• В Центре администрирования Exchange выберите Управление соответствием > Аудит.
• Нажмите « Запустить отчет о доступе к почтовому ящику, не принадлежащему владельцу… » .

• Укажите диапазон данных и запустите поиск

Еженедельно просматривать отчет об обнаружении вредоносных программ

В этом отчете показаны конкретные случаи, когда корпорация Майкрософт блокировала доступ пользователей к вредоносным вложениям. Хотя этот отчет не является строго применимым к действиям, его просмотр даст вам представление об общем объеме вредоносных программ, нацеленных на ваших пользователей, что может побудить вас принять более агрессивные средства защиты от вредоносных программ.

• Перейдите на портал безопасности>Отчеты>Панель управления.

• Прокрутите вниз и нажмите «Вредоносное ПО, обнаруженное в электронной почте».

• Просмотрите отчет об обнаружении и нажмите + Создать расписание.

• Составьте расписание еженедельных отчетов и отправьте его на соответствующий адрес электронной почты.

Еженедельно просматривайте отчет о работе с вашей учетной записью.

Этот отчет включает в себя историю попыток предоставления учетных записей внешним приложениям. Если вы обычно не используете стороннего поставщика для управления учетными записями, любая запись в списке, скорее всего, незаконна. Но, если вы это сделаете, это отличный способ отслеживать объемы транзакций и искать новые или необычные сторонние приложения, которые управляют пользователями.

• В Центре администрирования Microsoft 365> Azure Active Directory из центров администрирования> Azure Active Directory> Журналы аудита.

• В разделе «Активность» найдите «внешний» и выберите «Пригласить внешнего пользователя».

Вот как вы улучшаете онлайн-защиту биржи для большей безопасности.

Теперь я хотел бы услышать от вас:

Какой вывод из сегодняшнего отчета показался вам наиболее интересным? Или, может быть, у вас есть вопрос о чем-то, что я рассмотрел.

В любом случае, я хотел бы услышать от вас. Так что продолжайте и оставьте комментарий ниже.