20 เทคนิคที่ดีที่สุดในการปรับปรุงการป้องกันการแลกเปลี่ยนออนไลน์

จุดมุ่งหมายหลักของบทความนี้คือการปรับปรุงการแลกเปลี่ยนการป้องกันข้อมูลออนไลน์สำหรับการสูญหายของข้อมูลหรือบัญชีที่ถูกบุกรุกโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของความปลอดภัยของ Microsoft และผ่านการตั้งค่าจริง Microsoft มีการรักษาความปลอดภัยอีเมล Microsoft 365 สองระดับ – Exchange Online Protection (EOP) และ Microsoft Defender Advanced Threat Protection โซลูชันเหล่านี้สามารถปรับปรุงความปลอดภัยของแพลตฟอร์ม Microsoft และบรรเทาข้อกังวลด้านความปลอดภัยอีเมลของ Microsoft 365

1 เปิดใช้งานการเข้ารหัสอีเมล

2 เปิดใช้งานการบล็อกการส่งต่อกฎของไคลเอ็นต์

3 Powershell

4 ไม่อนุญาตให้มอบหมายกล่องจดหมาย

5 การกรองการเชื่อมต่อ

6 สแปมและมัลแวร์

7 มัลแวร์

8 นโยบายต่อต้านฟิชชิ่ง

9 กำหนดค่าการกรองที่ปรับปรุงแล้ว

10 กำหนดนโยบาย ATP Safe Links และ Safe Attachments

11 เพิ่ม SPF, DKIM และ DMARC

12 ไม่อนุญาตให้แชร์รายละเอียดปฏิทิน

13 เปิดใช้งานการค้นหาบันทึกการตรวจสอบ

14 เปิดใช้งานการตรวจสอบกล่องจดหมายสำหรับผู้ใช้ทั้งหมด

15 กล่องจดหมายตรวจสอบคำสั่ง powershell

16 ทบทวนบทบาทการเปลี่ยนแปลงทุกสัปดาห์

17 ตรวจสอบกฎการส่งต่อกล่องจดหมายทุกสัปดาห์

18 ตรวจสอบการเข้าถึงกล่องจดหมายโดยรายงานที่ไม่ใช่เจ้าของรายปักษ์

19 ตรวจสอบรายงานการตรวจจับมัลแวร์ทุกสัปดาห์

20 ตรวจสอบรายงานกิจกรรมการจัดสรรบัญชีของคุณทุกสัปดาห์

เปิดใช้งานการเข้ารหัสอีเมล

สามารถเพิ่มกฎการเข้ารหัสอีเมลเพื่อเข้ารหัสข้อความด้วยคำหลักเฉพาะในหัวเรื่องหรือเนื้อหา ที่พบบ่อยที่สุดคือการเพิ่ม “Secure” เป็นคีย์เวิร์ดในเรื่องเพื่อเข้ารหัสข้อความ การเข้ารหัสข้อความ M365/O365 ใช้งานได้กับ Outlook.com, Yahoo!, Gmail และบริการอีเมลอื่นๆ การเข้ารหัสข้อความอีเมลช่วยให้มั่นใจได้ว่าเฉพาะผู้รับที่กำหนดไว้เท่านั้นที่สามารถดูเนื้อหาข้อความได้

• ใน Microsoft 365 Admin Center ให้คลิกที่ Exchange ภายใต้ Admin Centers

• ในส่วน Mail Flow ให้คลิกที่ Rules

• คลิกที่เครื่องหมายบวกแล้วคลิกใช้การเข้ารหัสข้อความ Microsoft 365 (ช่วยให้คุณสามารถกำหนดเงื่อนไขได้หลายข้อ)

• ตั้งชื่อนโยบายของคุณและจากส่วนใช้กฎนี้หาก พูดว่า "หัวเรื่องหรือเนื้อหาประกอบด้วย…” แล้วเพิ่มคำหลักของคุณ ที่นี่เรากำลังใส่ "เข้ารหัส"

• ในส่วน Do the following ให้คลิกตัวเลือกสำหรับเทมเพลต RMS แล้วเลือก Encrypt

• หลังจากที่คุณคลิกบันทึก คุณสามารถทดสอบนโยบายของคุณได้ ในกรณีนี้ เรากำลังแสดงข้อความที่ส่งถึงผู้ใช้ Gmail

• กล่องจดหมายของผู้ใช้ Gmail:

• เมื่อผู้ใช้ Gmail บันทึกและเปิดไฟล์แนบ (message.html) ผู้ใช้สามารถเลือกที่จะเข้าสู่ระบบด้วยข้อมูลรับรอง Google หรือรับรหัสผ่านแบบใช้ครั้งเดียวที่ส่งไปยังอีเมล

• ในกรณีนี้ เราเลือกรหัสผ่านแบบใช้ครั้งเดียว

• ตรวจสอบกล่องจดหมาย Gmail สำหรับรหัสผ่าน

• คัดลอกรหัสผ่านและวาง

• เราสามารถดูข้อความที่เข้ารหัสในพอร์ทัลและส่งการตอบกลับที่เข้ารหัส

ในการตรวจสอบว่าผู้เช่าของคุณได้รับการตั้งค่าสำหรับการเข้ารหัส ให้ใช้คำสั่งต่อไปนี้ ตรวจสอบให้แน่ใจว่าค่าผู้ส่งเป็นบัญชีที่ถูกต้องภายในผู้เช่าของคุณ:

ทดสอบ-IRMCConfiguration -Sender [email protected]

หากคุณเห็น “OVERALL RESULT: PASS” แสดงว่าคุณพร้อมที่จะไป

อ่านเพิ่มเติม : วิธีเข้ารหัสอีเมล Microsoft 365 ด้วย ATP

เปิดใช้งานการบล็อกการส่งต่อกฎของไคลเอ็นต์

นี่คือกฎการขนส่งเพื่อช่วยหยุดการขโมยข้อมูลด้วยกฎที่สร้างโดยไคลเอ็นต์ ซึ่งจะส่งต่ออีเมลอัตโนมัติจากกล่องจดหมายของผู้ใช้ไปยังที่อยู่อีเมลภายนอก นี่เป็นวิธีการรั่วไหลของข้อมูลทั่วไปในองค์กร

ไปที่ Exchange Admin Center>Mailflow> Rules

คลิกที่เครื่องหมายบวกแล้วเลือก ใช้การเข้ารหัสข้อความ Microsoft 365 และการป้องกันสิทธิ์กับข้อความ...

เพิ่มคุณสมบัติต่อไปนี้ในกฎ:

• หากผู้ส่งตั้งอยู่ 'ภายในองค์กร'
• และหากผู้รับอยู่ 'นอกองค์กร'
• และหากประเภทข้อความคือ 'ส่งต่ออัตโนมัติ'
• จากนั้น ปฏิเสธข้อความที่มีคำอธิบายว่า 'ไม่อนุญาตให้ส่งต่ออีเมลภายนอกผ่านกฎของลูกค้า'

เคล็ดลับ 1:สำหรับเงื่อนไขที่ 3 คุณต้องเลือกคุณสมบัติของข้อความ >รวมประเภทข้อความนี้เพื่อรับตัวเลือกการส่งต่ออัตโนมัติเพื่อเติม

เคล็ดลับที่ 2 : สำหรับเงื่อนไขที่ 4 คุณต้องเลือกบล็อกข้อความ …> ปฏิเสธข้อความและใส่คำอธิบายเพื่อเติม

• คลิกบันทึกเมื่อเสร็จสิ้น กฎนี้จะถูกบังคับใช้ทันที ลูกค้าจะได้รับข้อความ Non-Delivery Receipt (NDR) ที่กำหนดเองซึ่งมีประโยชน์สำหรับการเน้นกฎการส่งต่อภายนอกที่พวกเขาอาจไม่ทราบว่ามีอยู่หรือสร้างขึ้นโดยผู้ไม่หวังดีในกล่องจดหมายที่ถูกบุกรุก คุณสามารถสร้างข้อยกเว้นสำหรับผู้ใช้หรือกลุ่มที่ระบุในกฎการขนส่งที่สร้างขึ้น

Powershell

• สคริปต์ Powershellเพื่อบล็อกการส่งต่ออัตโนมัติสำหรับลูกค้ารายเดียว
• สคริปต์ Powershellเพื่อบล็อกการส่งต่ออัตโนมัติสำหรับลูกค้าทั้งหมดของคุณผ่านข้อมูลประจำตัวของศูนย์พันธมิตร

ไม่อนุญาตให้มอบหมายกล่องจดหมาย

• หากผู้ใช้ของคุณไม่มอบหมายกล่องจดหมาย ผู้โจมตีจะย้ายจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่งและขโมยข้อมูลได้ยากขึ้น การ มอบหมายกล่องจดหมายเป็นแนวทางปฏิบัติในการอนุญาตให้บุคคลอื่นจัดการอีเมลและปฏิทินของคุณ ซึ่งสามารถเร่งการแพร่กระจายของการโจมตีได้
• เพื่อตรวจสอบว่ามีสิทธิ์ในการมอบหมายกล่องจดหมายที่มีอยู่หรือไม่ ให้เรียกใช้สคริปต์ PowerShellจาก Github เมื่อได้รับพร้อมท์ ให้ป้อนข้อมูลประจำตัวของผู้ดูแลระบบส่วนกลางสำหรับผู้เช่า
• หากมีสิทธิ์การมอบหมายใด ๆ อยู่ คุณจะเห็นรายการเหล่านั้นอยู่ในรายการ หากไม่มี คุณก็จะได้รับบรรทัดคำสั่งใหม่ ข้อมูลประจำตัวคือกล่องจดหมายที่ได้รับมอบหมายสิทธิ์ของผู้ดูแลระบบที่ได้รับมอบหมาย และผู้ใช้คือบุคคลที่มีสิทธิ์เหล่านั้น
• คุณสามารถเรียกใช้คำสั่งต่อไปนี้เพื่อลบสิทธิ์การเข้าถึงสำหรับผู้ใช้:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

การกรองการเชื่อมต่อ

คุณใช้การกรองการเชื่อมต่อใน EOP เพื่อระบุเซิร์ฟเวอร์อีเมลต้นทางที่ดีและไม่ดีตามที่อยู่ IP องค์ประกอบหลักของนโยบายตัวกรองการเชื่อมต่อเริ่มต้นคือ:

รายการอนุญาต IP : ข้ามการกรองสแปมสำหรับข้อความขาเข้าทั้งหมดจากเซิร์ฟเวอร์อีเมลต้นทางที่คุณระบุตามที่อยู่ IP หรือช่วงที่อยู่ IP สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ IP Allow List ควรเหมาะสมกับกลยุทธ์ผู้ส่งที่ปลอดภัยโดยรวมของคุณ โปรดดู  ที่ สร้างรายชื่อผู้ส่งที่ ปลอดภัยใน EOP

รายการบล็อก IP : บล็อกข้อความขาเข้าทั้งหมดจากเซิร์ฟเวอร์อีเมลต้นทางที่คุณระบุตามที่อยู่ IP หรือช่วงที่อยู่ IP ข้อความที่เข้ามาจะถูกปฏิเสธ ไม่ถูกทำเครื่องหมายว่าเป็นสแปม และไม่มีการกรองเพิ่มเติมเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ IP Block List ควรพอดีกับกลยุทธ์ผู้ส่งที่ถูกบล็อกโดยรวมของคุณ โปรดดูที่  สร้างรายชื่อผู้ส่งที่ ถูกบล็อกใน EOP

• ใน Exchange Admin Center > การป้องกัน > ตัวกรองการเชื่อมต่อ > คลิกที่ไอคอนดินสอเพื่อแก้ไขนโยบายเริ่มต้น

• คลิกการกรองการเชื่อมต่อ

• คุณสามารถอนุญาต\บล็อกที่อยู่ IP ได้ที่นี่

สแปมและมัลแวร์

คำถามที่ถาม:

1. เราต้องการดำเนินการใดเมื่อข้อความถูกระบุว่าเป็นสแปม
   ก. ย้ายข้อความไปยังโฟลเดอร์ขยะ (ค่าเริ่มต้น)
   ข. เพิ่ม X Header (ส่งข้อความไปยังผู้รับที่ระบุ แต่เพิ่มข้อความ X-header ที่ส่วนหัวของข้อความเพื่อระบุว่าเป็นสแปม
   ) เติมบรรทัดหัวเรื่องด้วยข้อความ (ส่งข้อความไปยังผู้รับที่ต้องการ แต่ขึ้นต้นบรรทัดหัวเรื่องด้วยข้อความที่คุณระบุในบรรทัดหัวเรื่องคำนำหน้าด้วยช่องป้อนข้อความนี้ การใช้ข้อความนี้เป็นตัวระบุ คุณสามารถเลือกสร้างกฎเพื่อกรองหรือ กำหนดเส้นทางข้อความตามความจำเป็น)
   ง. เปลี่ยนเส้นทางข้อความไปยังที่อยู่อีเมล (ส่งข้อความไปยังที่อยู่อีเมลที่กำหนดแทนที่จะส่งไปยังผู้รับที่ต้องการ)
2. เราจำเป็นต้องเพิ่มผู้ส่ง/โดเมนที่อนุญาตหรือบล็อกผู้ส่ง/โดเมนหรือไม่
3. เราจำเป็นต้องกรองข้อความที่เขียนด้วยภาษาเฉพาะหรือไม่?
4. เราจำเป็นต้องกรองข้อความที่มาจากประเทศ/ภูมิภาคหรือไม่?
5. เราต้องการกำหนดค่าการแจ้งเตือนสแปมของผู้ใช้ปลายทางเพื่อแจ้งให้ผู้ใช้ทราบเมื่อข้อความที่มีไว้สำหรับพวกเขาถูกส่งไปยังการกักกันแทนหรือไม่ (จากการแจ้งเตือนเหล่านี้ ผู้ใช้ปลายทางสามารถเผยแพร่ผลบวกลวงและรายงานให้ Microsoft วิเคราะห์)

• ไปที่ศูนย์การจัดการ Microsoft 365 > เลือกความปลอดภัยจากศูนย์การจัดการ > การจัดการภัยคุกคาม > นโยบาย > ป้องกันสแปม

• แก้ไขนโยบายเริ่มต้น

• นำทางผ่านแท็บต่างๆ เพื่อกำหนดค่าคำถามที่ถามก่อนหน้านี้

• ขยาย  ส่วน รายการอนุญาต  เพื่อกำหนดค่าผู้ส่งข้อความตามที่อยู่อีเมลหรือโดเมนอีเมลที่ได้รับอนุญาตให้ข้ามการกรองสแปม
• ขยาย  ส่วน รายการที่ถูกบล็อก  เพื่อกำหนดค่าผู้ส่งข้อความตามที่อยู่อีเมลหรือโดเมนอีเมลที่จะถูกทำเครื่องหมายว่าเป็นสแปมที่มีความมั่นใจสูงเสมอ

• แท็บคุณสมบัติสแปมช่วยให้คุณได้รับนโยบายที่ละเอียดยิ่งขึ้นและกระชับการตั้งค่าในตัวกรองสแปม

มัลแวร์

มีการตั้งค่าทั่วทั้งบริษัทผ่านนโยบายป้องกันมัลแวร์เริ่มต้นแล้ว คุณจำเป็นต้องสร้างนโยบายที่ละเอียดยิ่งขึ้นสำหรับผู้ใช้บางกลุ่ม เช่น การแจ้งเตือนเพิ่มเติมผ่านข้อความ หรือการกรองที่ละเอียดขึ้นตามนามสกุลไฟล์หรือไม่

• ไปที่พอร์ทัลความปลอดภัย > การจัดการภัยคุกคาม > นโยบาย > ป้องกันมัลแวร์

• เลือกนโยบายเริ่มต้นที่จะแก้ไข
• เลือก No สำหรับการตอบสนองการตรวจจับมัลแวร์

• ปิดคุณสมบัติเพื่อบล็อกประเภทไฟล์แนบที่อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ

• เปิดการกำจัดมัลแวร์อัตโนมัติแบบศูนย์ชั่วโมง

• แก้ไขการแจ้งเตือนตามนั้น

• ระบุผู้ใช้ กลุ่ม หรือโดเมนที่จะใช้นโยบายนี้โดยสร้างกฎตามผู้รับ

• ตรวจสอบการตั้งค่าของคุณและบันทึก

นโยบายต่อต้านฟิชชิ่ง

การสมัครใช้งาน Microsoft 365 มาพร้อมกับนโยบายเริ่มต้นสำหรับการป้องกันฟิชชิ่งที่กำหนดค่าไว้ล่วงหน้า แต่ถ้าคุณมีสิทธิ์การใช้งานที่ถูกต้องสำหรับ ATP คุณสามารถกำหนดการตั้งค่าเพิ่มเติมสำหรับการพยายามแอบอ้างบุคคลอื่นภายในผู้เช่า เราจะกำหนดการตั้งค่าเพิ่มเติมเหล่านั้นที่นี่

• ไปที่พอร์ทัลความปลอดภัย > การจัดการภัยคุกคาม > นโยบาย > ATP anti-phishing

• คลิกนโยบายเริ่มต้น > คลิกแก้ไขในส่วนการแอบอ้างบุคคลอื่น
• ในส่วนแรกให้สลับเป็นเปิดและเพิ่มผู้บริหารระดับสูงหรือผู้ใช้ภายในองค์กรที่มีแนวโน้มว่าจะถูกหลอกลวงมากที่สุด

• ในส่วนเพิ่มโดเมนเพื่อป้องกัน ให้สลับสวิตช์เพื่อรวมโดเมนที่ฉันเป็นเจ้าของโดยอัตโนมัติ

• ในส่วนการดำเนินการ เลือกการดำเนินการที่คุณต้องการดำเนินการหากมีการแอบอ้างเป็นผู้ใช้หรือโดเมน เราขอแนะนำให้กักบริเวณหรือย้ายไปยังโฟลเดอร์ขยะ

• ในส่วน Mailbox Intelligence ให้เปิดการป้องกันและเลือกการดำเนินการที่จะดำเนินการ เช่นในขั้นตอนก่อนหน้า

• ส่วนสุดท้ายอนุญาตให้คุณอนุญาตผู้ส่งและโดเมน ละเว้นจากการเพิ่มโดเมนทั่วไปที่นี่เช่น gmail.com

• หลังจากตรวจสอบการตั้งค่าแล้ว คุณสามารถเลือกบันทึก

อ่านเพิ่มเติม : Microsoft Cloud App Security: The Definitive Guide

กำหนดค่าการกรองที่ปรับปรุงแล้ว

• คุณสามารถตั้งค่าการกรองอีเมลที่ปรับปรุงแล้วได้หากคุณมีตัวเชื่อมต่อใน 365 (บริการกรองอีเมลบุคคลที่สามหรือการกำหนดค่าแบบไฮบริด) และระเบียน MX ของคุณไม่ได้ชี้ไปที่ Microsoft 365 หรือ Office 365 ฟีเจอร์ใหม่นี้ช่วยให้คุณกรองอีเมลตามความเป็นจริงได้ แหล่งที่มาของข้อความที่ส่งถึงตัวเชื่อมต่อ
• ซึ่งเรียกอีกอย่างว่าข้ามรายการ และคุณลักษณะนี้จะช่วยให้คุณมองข้ามหรือข้ามที่อยู่ IP ใด ๆ ที่ถือว่าเป็นภายในสำหรับคุณ เพื่อให้ได้ที่อยู่ IP ภายนอกที่รู้จักล่าสุด ซึ่งควรเป็นที่อยู่ IP ต้นทางจริง
• หากคุณใช้ Microsoft Defender ATP การดำเนินการนี้จะปรับปรุงความสามารถในการเรียนรู้ของเครื่องและการรักษาความปลอดภัยเกี่ยวกับลิงก์ที่ปลอดภัย/ไฟล์แนบที่ปลอดภัย/การป้องกันการปลอมแปลงจากรายการที่เป็นอันตรายที่รู้จักของ Microsoft โดยอิงจาก IP
• ในทางใดทางหนึ่ง คุณได้รับการป้องกันชั้นที่สองโดยอนุญาตให้ Microsoft ดู IP ของอีเมลต้นฉบับและตรวจสอบกับฐานข้อมูลของพวกเขา

สำหรับขั้นตอนการกำหนดค่าการกรองขั้นสูง: คลิกที่นี่

กำหนดค่า ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) ช่วยให้คุณสร้างนโยบายสำหรับลิงก์ที่ปลอดภัยและไฟล์แนบที่ปลอดภัยใน Exchange, Teams, OneDrive และ SharePoint การระเบิดตามเวลาจริงเกิดขึ้นเมื่อผู้ใช้คลิกที่ลิงค์ใด ๆ และเนื้อหานั้นอยู่ในสภาพแวดล้อมแบบแซนด์บ็อกซ์ ไฟล์แนบจะเปิดขึ้นในสภาพแวดล้อมแบบแซนด์บ็อกซ์ก่อนที่จะส่งผ่านอีเมลโดยสมบูรณ์ ซึ่งช่วยให้ตรวจพบไฟล์แนบและลิงก์ที่เป็นอันตราย Zero-day

• ไปที่พอร์ทัลความปลอดภัย > การจัดการภัยคุกคาม > นโยบาย > เอกสารแนบที่ปลอดภัยของ ATP

• คลิกการตั้งค่าส่วนกลาง

• เปิด ATP สำหรับ SharePoint, OneDrive และ Microsoft Teams

• สร้างนโยบายใหม่

• เพิ่มชื่อ คำอธิบาย แล้วเลือกการส่งแบบไดนามิก สำหรับวิธีการจัดส่งเพิ่มเติม คลิก  ที่นี่

• เลือกการดำเนินการเป็น Dynamic Delivery

• เพิ่มโดเมนผู้รับและเลือกโดเมนหลักในผู้เช่า

• คลิกถัดไปเพื่อตรวจสอบการตั้งค่าของคุณและคลิกเสร็จสิ้น

• สำหรับ Safe Links ให้กลับไปที่ การจัดการภัยคุกคาม > นโยบาย > ATP Safe Links

• ใช้นโยบายเริ่มต้นหรือสร้างนโยบายใหม่และเปิดการตั้งค่าที่จำเป็นที่แสดงด้านล่าง

• คุณสามารถเลือกที่จะอนุญาต URL บางรายการได้

• เช่นเดียวกับนโยบายไฟล์แนบที่ปลอดภัย นำไปใช้กับผู้ใช้ทั้งหมดในผู้เช่าตามชื่อโดเมน

• คลิกถัดไปเพื่อตรวจสอบการตั้งค่าของคุณและคลิกเสร็จสิ้น

เพิ่ม SPF, DKIM และ DMARC

• คุณมีระเบียน SPF/ระเบียน DKIM/DMARC อยู่แล้วหรือไม่
• SPF จะตรวจสอบที่มาของข้อความอีเมลโดยตรวจสอบที่อยู่ IP ของผู้ส่งกับเจ้าของโดเมนที่ส่งที่ถูกกล่าวหา ซึ่งช่วยป้องกันการปลอมแปลง
• DKIM ให้คุณแนบลายเซ็นดิจิทัลกับข้อความอีเมลในส่วนหัวข้อความของอีเมลที่คุณส่ง ระบบอีเมลที่รับอีเมลจากโดเมนของคุณใช้ลายเซ็นดิจิทัลนี้เพื่อตรวจสอบว่าอีเมลขาเข้าที่ได้รับนั้นถูกต้องหรือไม่
• DMARC ช่วยรับระบบอีเมลกำหนดว่าจะทำอย่างไรกับข้อความที่ไม่ผ่านการตรวจสอบ SPF หรือ DKIM และมอบความไว้วางใจอีกระดับสำหรับพันธมิตรอีเมลของคุณ

ในการเพิ่มบันทึก:

• ไปที่โดเมนในศูนย์การจัดการ Microsoft 365 แล้วคลิกโดเมนที่คุณต้องการเพิ่มระเบียน

• คลิก “ ระเบียน DNS ” และจดบันทึก MX และ TXT ที่อยู่ในรายการ Exchange Online

• เพิ่มระเบียน TXT ของ v=spf1 include:spf.protection.outlook.com -all ในการตั้งค่า DNS ของคุณสำหรับระเบียน SPF ของเรา
• สำหรับบันทึก DKIM ของเรา เราจำเป็นต้องเผยแพร่ระเบียน CNAME สองรายการใน DNS

ใช้รูปแบบต่อไปนี้สำหรับระเบียน CNAME :

โดยที่ :
= โดเมนหลักของเรา = คำนำหน้าของระเบียน MX (เช่น domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
ตัวอย่าง : DOMAIN = techieberry.com

ระเบียน CNAME #1:
ชื่อโฮสต์: selector1._domainkey.techiebery.com
ชี้ไปที่ที่อยู่หรือค่า: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

ระเบียน CNAME #2 :
ชื่อโฮสต์ : selector2._domainkey.techiebery.com
ชี้ไปที่ที่อยู่หรือค่า: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• หลังจากเผยแพร่บันทึก ไปที่พอร์ทัลความปลอดภัย > การจัดการภัยคุกคาม > นโยบาย > DKIM

• เลือกโดเมนที่คุณต้องการเปิดใช้งาน DKIM และคลิกเปิดใช้งาน
• ด้วยระเบียน SPF และ DKIM เราจึงตั้งค่า DMARC ได้ รูปแบบสำหรับระเบียน TXT ที่เราต้องการเพิ่มมีดังนี้:

_dmarc.domain TTL ใน TXT “v=DMARC1; เปอร์เซ็นต์ = 100; p=policy

โดยที่ :
= โดเมนที่เราต้องการปกป้อง
= 3600
= ระบุว่ากฎนี้ควรใช้สำหรับอีเมล 100%
= ระบุนโยบายที่คุณต้องการให้เซิร์ฟเวอร์รับปฏิบัติตามหาก DMARC ล้มเหลว
หมายเหตุ:คุณสามารถตั้งค่าเป็นไม่มี กักกัน หรือปฏิเสธ

ตัวอย่าง :

• _dmarc.pax8.com 3600 ใน TXT “v=DMARC1; พี=ไม่มี”
• _dmarc.pax8.com 3600 ใน TXT “v=DMARC1; p=กักกัน”
• _dmarc.pax8.com 3600 ใน TXT “v=DMARC1; พี=ปฏิเสธ”

ไม่อนุญาตให้แชร์รายละเอียดปฏิทิน

คุณไม่ควรอนุญาตให้ผู้ใช้แชร์รายละเอียดปฏิทินกับผู้ใช้ภายนอก คุณลักษณะนี้ทำให้ผู้ใช้ของคุณสามารถแบ่งปันรายละเอียดทั้งหมดของปฏิทินกับผู้ใช้ภายนอกได้ ผู้โจมตีมักจะใช้เวลาเรียนรู้เกี่ยวกับองค์กรของคุณ (ทำการลาดตระเวน) ก่อนเริ่มการโจมตี ปฏิทินที่เปิดเผยต่อสาธารณะสามารถช่วยให้ผู้โจมตีเข้าใจความสัมพันธ์ขององค์กร และกำหนดว่าเมื่อใดที่ผู้ใช้รายใดรายหนึ่งอาจเสี่ยงต่อการถูกโจมตีมากขึ้น เช่น ขณะเดินทาง

• ในศูนย์การจัดการ Microsoft 365 > การตั้งค่า – การตั้งค่าองค์กร

• คลิกที่บริการและเลือกปฏิทิน

• เปลี่ยนการตั้งค่าเป็น “ ปฏิทินข้อมูลว่าง/ไม่ว่างตามเวลาเท่านั้น ”

• เปิดใช้งานการตั้งค่านี้ในหนึ่งผู้เช่าผ่านPowerShell
• เปิดใช้งานการตั้งค่านี้ในผู้เช่าทั้งหมดผ่านข้อมูลประจำตัวของศูนย์พันธมิตรโดยใช้PowerShell

เปิดใช้งานการค้นหาบันทึกการตรวจสอบ

คุณควรเปิดใช้งานการบันทึกข้อมูลการตรวจสอบสำหรับบริการ Microsoft 365 หรือ Office 365 เพื่อให้แน่ใจว่าคุณมีบันทึกการโต้ตอบของผู้ใช้และผู้ดูแลระบบทุกคนกับบริการ รวมถึง Azure AD, Exchange Online, Microsoft Teams และ SharePoint Online/OneDrive for Business ข้อมูลนี้จะทำให้สามารถตรวจสอบและกำหนดขอบเขตการละเมิดความปลอดภัยได้ หากเคยเกิดขึ้น คุณ (หรือผู้ดูแลระบบรายอื่น) ต้องเปิดการบันทึกการตรวจสอบก่อนจึงจะสามารถเริ่มค้นหาบันทึกการตรวจสอบได้

• วิธีการเปิดเข้าสู่ระบบการตรวจสอบ?
• จะค้นหาบันทึกการตรวจสอบได้อย่างไร

• ไปที่พอร์ทัลความปลอดภัย>ค้นหา>ค้นหาบันทึกการตรวจสอบ
• ตรวจสอบให้แน่ใจว่าคุณไม่ได้รับสิ่งต่อไปนี้:

• หลังจากที่คุณเปิดการตรวจสอบ คุณจะเห็นสิ่งต่อไปนี้:

• คุณสามารถสร้างการค้นหาแบบกำหนดเองตามกิจกรรม ช่วงวันที่ ผู้ใช้ และ file\folder\site
• สร้างนโยบายการแจ้งเตือนใหม่ตามเหตุการณ์บางอย่าง

• หากต้องการค้นหาบันทึกการตรวจสอบผ่าน PowerShell คุณจะต้องใช้คำสั่งด้านล่าง:

$auditlog = ค้นหา-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• คุณสามารถใช้คำสั่งต่อไปนี้เพื่อส่งออกคุณสมบัติบางอย่างไปยังไฟล์ CSV:

$auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | ส่งออก-Csv - ต่อท้าย -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

เปิดใช้งานการตรวจสอบกล่องจดหมายสำหรับผู้ใช้ทั้งหมด

ตามค่าเริ่มต้น การเข้าถึงที่ไม่ใช่เจ้าของจะได้รับการตรวจสอบ แต่คุณต้องเปิดใช้งานการตรวจสอบในกล่องจดหมายสำหรับการเข้าถึงของเจ้าของจึงจะได้รับการตรวจสอบด้วย วิธีนี้จะช่วยให้คุณค้นพบการเข้าถึงกิจกรรม Exchange Online อย่างผิดกฎหมาย หากบัญชีผู้ใช้ถูกละเมิด เราจะต้องเรียกใช้สคริปต์ PowerShellเพื่อเปิดใช้งานการตรวจสอบสำหรับผู้ใช้ทั้งหมด

หมายเหตุ : ใช้บันทึกการตรวจสอบเพื่อค้นหากิจกรรมของกล่องจดหมายที่บันทึกไว้ คุณสามารถค้นหากิจกรรมสำหรับเมลบ็อกซ์ของผู้ใช้ที่ต้องการได้

• ไปที่พอร์ทัลความปลอดภัย>ค้นหา>ค้นหาบันทึกการตรวจสอบ

รายการการดำเนินการตรวจสอบกล่องจดหมาย

กล่องจดหมายตรวจสอบคำสั่ง powershell

วิธีตรวจสอบสถานะการตรวจสอบเมลบ็อกซ์:

รับกล่องจดหมาย [email protected] | ชั้น *ตรวจสอบ*

ในการค้นหาการตรวจสอบเมลบ็อกซ์:

ค้นหา-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

ในการส่งออกผลลัพธ์เป็นไฟล์ csv:

ค้นหา-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | ส่งออก-Csv C:\users\AuditLogs.csv -NoTypeInformation

ในการดูและส่งออกบันทึกตามการดำเนินการ :

ค้นหา MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | ส่งออก-Csv C:\AuditLogs.csv -NoTypeInformation

ในการดูและส่งออกบันทึกตามประเภทการเข้าสู่ระบบ :

ค้นหา-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | ส่งออก-Csv C:\AuditLogs.csv -NoTypeInformation

ตรวจสอบการเปลี่ยนแปลงบทบาททุกสัปดาห์

คุณควรทำเช่นนี้เพราะคุณควรระวังการเปลี่ยนแปลงกลุ่มบทบาทที่ผิดกฎหมาย ซึ่งอาจให้สิทธิ์ผู้โจมตีในระดับสูงเพื่อดำเนินการสิ่งที่เป็นอันตรายและมีผลกระทบมากขึ้นในการเช่าของคุณ

• ไปที่พอร์ทัลความปลอดภัย>ค้นหา>ค้นหาบันทึกการตรวจสอบ
• พิมพ์ " Role " ในการค้นหาและเลือก " Added Member to Role " และ " Remove a user from a Directory Role "

ตรวจสอบการเปลี่ยนแปลงบทบาทในผู้เช่าของลูกค้าทั้งหมด

ตรวจสอบกฎการส่งต่อกล่องจดหมายทุกสัปดาห์

คุณควรตรวจสอบกฎการส่งต่อกล่องจดหมายไปยังโดเมนภายนอกอย่างน้อยทุกสัปดาห์ มีหลายวิธีที่คุณทำได้ ซึ่งรวมถึงการตรวจสอบรายการกฎการส่งต่ออีเมลไปยังโดเมนภายนอกในกล่องจดหมายทั้งหมดของคุณโดยใช้สคริปต์ PowerShell หรือโดยการตรวจสอบกิจกรรมการสร้างกฎการส่งต่ออีเมลในสัปดาห์ที่แล้วจากการค้นหาบันทึกการตรวจสอบ แม้ว่าจะมีการใช้กฎการส่งต่อจดหมายอย่างถูกกฎหมายจำนวนมากไปยังที่อื่น แต่ก็เป็นกลวิธีในการกรองข้อมูลที่เป็นที่นิยมสำหรับผู้โจมตี คุณควรตรวจสอบพวกเขาเป็นประจำเพื่อให้แน่ใจว่าอีเมลของผู้ใช้ของคุณจะไม่ถูกกรองออกไป การเรียกใช้สคริปต์ PowerShell ที่ลิงก์ด้านล่างจะสร้างไฟล์ csv สองไฟล์ "MailboxDelegatePermissions" และ "MailForwardingRulesToExternalDomains" ในโฟลเดอร์ System32 ของคุณ

• ตรวจสอบผู้เช่ารายเดียว
• ตรวจสอบการส่งต่อกล่องจดหมายภายนอกในผู้เช่าลูกค้า Microsoft 365/Office 365 ทั้งหมด

ตรวจสอบรายงานการเข้าถึงกล่องจดหมายโดยผู้ที่ไม่ใช่เจ้าของรายปักษ์

รายงานนี้แสดงว่ามีบุคคลอื่นเข้าถึงกล่องจดหมายใดบ้างที่ไม่ใช่เจ้าของกล่องจดหมาย แม้ว่าจะมีการใช้สิทธิ์ของผู้รับมอบสิทธิ์ที่ถูกต้องตามกฎหมายหลายอย่าง แต่การตรวจสอบการเข้าถึงนั้นเป็นประจำสามารถช่วยป้องกันผู้โจมตีจากภายนอกไม่ให้เข้าถึงได้เป็นเวลานาน และสามารถช่วยค้นพบกิจกรรมภายในที่เป็นอันตรายได้เร็วยิ่งขึ้น

• ใน Exchange Admin Center ไปที่ การจัดการการปฏิบัติตามข้อกำหนด>การตรวจสอบ
• คลิกที่ “ เรียกใช้รายงานการเข้าถึงกล่องจดหมายที่ไม่ใช่เจ้าของ… ”

• ระบุช่วงข้อมูลและเรียกใช้การค้นหา

ตรวจสอบรายงานการตรวจจับมัลแวร์ทุกสัปดาห์

รายงานนี้แสดงอินสแตนซ์เฉพาะของ Microsoft ที่บล็อกไฟล์แนบของมัลแวร์ไม่ให้เข้าถึงผู้ใช้ของคุณ แม้ว่ารายงานนี้จะไม่สามารถดำเนินการได้อย่างเคร่งครัด แต่การตรวจสอบจะทำให้คุณเข้าใจถึงปริมาณมัลแวร์โดยรวมที่กำหนดเป้าหมายไปยังผู้ใช้ของคุณ ซึ่งอาจแจ้งให้คุณเลือกใช้การบรรเทามัลแวร์ในเชิงรุกมากขึ้น

• ไปที่พอร์ทัลความปลอดภัย>รายงาน>แดชบอร์ด

• เลื่อนลงไปด้านล่างแล้วคลิก Malware ที่ตรวจพบในอีเมล

• ดูรายงานการตรวจจับแล้วคลิก + สร้างกำหนดการ

• สร้างกำหนดการรายงานประจำสัปดาห์และส่งไปยังที่อยู่อีเมลที่เหมาะสม

ตรวจสอบรายงานกิจกรรมการจัดสรรบัญชีของคุณทุกสัปดาห์

รายงานนี้มีประวัติความพยายามในการจัดเตรียมบัญชีให้กับแอปพลิเคชันภายนอก หากปกติแล้วคุณไม่ได้ใช้ผู้ให้บริการบุคคลที่สามในการจัดการบัญชี รายการใดๆ ในรายการอาจผิดกฎหมาย แต่ถ้าคุณทำเช่นนั้น นี่เป็นวิธีที่ยอดเยี่ยมในการตรวจสอบปริมาณธุรกรรม และค้นหาแอปพลิเคชันบุคคลที่สามใหม่หรือที่ผิดปกติซึ่งกำลังจัดการผู้ใช้

• ในศูนย์การจัดการ Microsoft 365>Azure Active Directory จากศูนย์การจัดการ>Azure Active Directory>บันทึกการตรวจสอบ

• ในส่วนกิจกรรม ค้นหา "ภายนอก" และเลือกเชิญผู้ใช้ภายนอก

นั่นคือวิธีปรับปรุงการป้องกันการแลกเปลี่ยนออนไลน์เพื่อความปลอดภัยที่ดีขึ้น

ตอนนี้ฉันอยากได้ยินจากคุณ:

การค้นพบใดจากรายงานวันนี้ที่คุณพบว่าน่าสนใจที่สุด หรือบางทีคุณอาจมีคำถามเกี่ยวกับสิ่งที่ฉันกล่าวถึง

ไม่ว่าจะด้วยวิธีใด ฉันอยากได้ยินจากคุณ ดังนั้นไปข้างหน้าและแสดงความคิดเห็นด้านล่าง