20 kỹ thuật tốt nhất để cải thiện bảo vệ Exchange trực tuyến

Mục đích chính của bài viết này là cải thiện khả năng bảo vệ trực tuyến trao đổi đối với việc mất dữ liệu hoặc tài khoản bị xâm phạm bằng cách làm theo các phương pháp hay nhất về bảo mật của Microsoft và chuyển qua thiết lập thực tế. Microsoft cung cấp hai cấp độ bảo mật email Microsoft 365 - Bảo vệ Trực tuyến Exchange (EOP) và Bảo vệ Đe dọa Nâng cao của Bộ bảo vệ Microsoft. Các giải pháp này có thể nâng cao tính bảo mật của nền tảng Microsoft và giảm bớt các lo ngại về bảo mật email Microsoft 365.

1 Bật mã hóa email

2 Bật khối chuyển tiếp quy tắc ứng dụng khách

3 Powershell

4 Không cho phép ủy quyền hộp thư

5 Lọc kết nối

6 Thư rác và Phần mềm độc hại

7 Phần mềm độc hại

8 Chính sách chống lừa đảo

9 Định cấu hình bộ lọc nâng cao

10 Định cấu hình Chính sách về Liên kết An toàn và Phần đính kèm An toàn của ATP

11 Thêm SPF, DKIM và DMARC

12 Không cho phép chia sẻ chi tiết lịch

13 Bật Tìm kiếm nhật ký kiểm tra

14 Bật tính năng kiểm tra hộp thư cho tất cả người dùng

15 lệnh kiểm tra hộp thư quyền hạn

16 Đánh giá Thay đổi Vai trò Hàng tuần

17 Xem lại Quy tắc Chuyển tiếp Hộp thư Hàng tuần

18 Xem lại Quyền truy cập Hộp thư theo Báo cáo Không phải Chủ sở hữu hai tuần một lần

19 Xem lại Báo cáo phát hiện phần mềm độc hại hàng tuần

20 Xem lại Báo cáo Hoạt động Cấp phép Tài khoản của bạn Hàng tuần

Bật mã hóa email

Các quy tắc mã hóa email có thể được thêm vào để mã hóa thư bằng một từ khóa cụ thể trong dòng chủ đề hoặc nội dung. Phổ biến nhất là thêm "Bảo mật" làm từ khóa trong chủ đề để mã hóa thư. Mã hóa Thư M365 / O365 hoạt động với Outlook.com, Yahoo !, Gmail và các dịch vụ email khác. Mã hóa tin nhắn email giúp đảm bảo rằng chỉ những người nhận dự kiến ​​mới có thể xem nội dung tin nhắn.

• Trong Trung tâm quản trị Microsoft 365, bấm vào Exchange trong Trung tâm quản trị

• Trong phần Dòng thư, nhấp vào Quy tắc

• Nhấp vào dấu cộng và nhấp vào Áp dụng Mã hóa Thư Microsoft 365 (cho phép bạn xác định nhiều điều kiện)

• Đặt tên cho chính sách của bạn và từ phần Áp dụng Quy tắc này Nếu, hãy nói “chủ đề hoặc nội dung bao gồm…” và sau đó thêm từ khóa của bạn. Ở đây, chúng tôi đang đưa vào "Mã hóa"

• Trong phần Thực hiện theo sau, nhấp vào chọn một cho mẫu RMS và chọn Mã hóa

• Sau khi nhấp vào Lưu, bạn có thể kiểm tra chính sách của mình. Trong trường hợp này, chúng tôi đang hiển thị một thư được gửi đến người dùng Gmail

• Hộp thư đến của người dùng Gmail:

• Khi người dùng Gmail lưu và mở tệp đính kèm (message.html), họ có thể chọn đăng nhập bằng thông tin đăng nhập Google của mình hoặc nhận mật mã dùng một lần được gửi đến email của họ.

• Trong trường hợp này, chúng tôi đã chọn mật mã dùng một lần.

• Kiểm tra hộp thư đến Gmail để tìm mật mã

• Sao chép mật mã và dán nó

• Chúng tôi có thể xem tin nhắn được mã hóa trong cổng thông tin và gửi một câu trả lời được mã hóa

Để xác minh rằng đối tượng thuê của bạn được thiết lập để mã hóa, hãy sử dụng lệnh sau, đảm bảo giá trị Người gửi là tài khoản hợp lệ trong đối tượng thuê của bạn:

Kiểm tra-IRMConfiguration -Sender [email protected]

Nếu bạn thấy “KẾT QUẢ TỔNG THỂ: PASS” thì bạn đã sẵn sàng

Cũng nên đọc : Làm thế nào để mã hóa email Microsoft 365 với ATP?

Bật khối chuyển tiếp quy tắc ứng dụng khách

Đây là một quy tắc truyền tải để giúp ngăn chặn sự xâm nhập dữ liệu với các quy tắc do khách hàng tạo ra để tự động chuyển tiếp email từ hộp thư của người dùng đến các địa chỉ email bên ngoài. Đây là một phương pháp rò rỉ dữ liệu ngày càng phổ biến trong các tổ chức.

Đi tới Trung tâm quản trị Exchange> Luồng thư> Quy tắc

Nhấp vào dấu cộng và chọn Áp dụng mã hóa tin nhắn Microsoft 365 và bảo vệ quyền đối với tin nhắn…

Thêm các Thuộc tính sau vào quy tắc:

• NẾU Người gửi ở 'Bên trong tổ chức'
• VÀ NẾU Người nhận ở 'Bên ngoài tổ chức'
• VÀ NẾU Loại thông báo là 'Tự động chuyển tiếp'
• SAU ĐÓ Từ chối tin nhắn với giải thích 'Không cho phép Chuyển tiếp Email Bên ngoài qua Quy tắc Khách hàng'.

Mẹo 1: Đối với điều kiện thứ 3, bạn cần chọn Thuộc tính tin nhắn> Bao gồm loại tin nhắn này để có tùy chọn Tự động chuyển tiếp để điền

Mẹo 2 : Đối với điều kiện thứ 4, bạn cần chọn Chặn tin nhắn…> từ chối tin nhắn và kèm theo lời giải thích để điền

• Nhấp vào Lưu khi hoàn tất. Quy tắc này sẽ được thực thi ngay lập tức. Khách hàng sẽ nhận được một thông báo Biên nhận Không Giao hàng (NDR) tùy chỉnh hữu ích để làm nổi bật các quy tắc chuyển tiếp bên ngoài mà họ có thể chưa biết là đã tồn tại hoặc được tạo ra bởi một kẻ xấu trên một hộp thư bị xâm phạm. Bạn có thể tạo ngoại lệ cho một số người dùng hoặc nhóm được chỉ định trong quy tắc truyền tải đã tạo.

Powershell

• Tập lệnh Powershell để chặn Tự động chuyển tiếp cho một khách hàng.
• Tập lệnh Powershell để chặn Tự động chuyển tiếp cho tất cả khách hàng của bạn thông qua thông tin đăng nhập Trung tâm đối tác.

Không cho phép ủy quyền hộp thư

• Nếu người dùng của bạn không ủy quyền hộp thư, kẻ tấn công sẽ khó di chuyển từ tài khoản này sang tài khoản khác và lấy cắp dữ liệu. Ủy quyền hộp thư là hoạt động cho phép người khác quản lý thư và lịch của bạn, điều này có thể dẫn đến sự lây lan của một cuộc tấn công.
• Để xác định xem có bất kỳ quyền ủy quyền hộp thư nào hiện có hay không, hãy chạy tập lệnh PowerShell từ Github. Khi được nhắc, hãy nhập thông tin đăng nhập quản trị viên toàn cầu cho đối tượng thuê.
• Nếu có bất kỳ quyền ủy quyền nào hiện có, bạn sẽ thấy chúng được liệt kê. Nếu không có, bạn sẽ chỉ nhận được một dòng lệnh mới. Identity là hộp thư đã ủy quyền các quyền quản trị được chỉ định và người dùng là người có các quyền đó.
• Bạn có thể chạy lệnh sau để xóa quyền truy cập cho người dùng:

Xóa-Hộp thưPermission-Test độ ồn1 -User Test2 -AccessRights FullAccess -InheritanceType Tất cả

Lọc kết nối

Bạn sử dụng tính năng lọc kết nối trong EOP để xác định các máy chủ email nguồn tốt hay xấu theo địa chỉ IP của chúng. Các thành phần chính của chính sách bộ lọc kết nối mặc định là:

Danh sách cho phép IP : Bỏ qua lọc thư rác cho tất cả các thư đến từ các máy chủ email nguồn mà bạn chỉ định theo địa chỉ IP hoặc dải địa chỉ IP. Để biết thêm thông tin về cách Danh sách cho phép IP phù hợp với chiến lược người gửi an toàn tổng thể của bạn, hãy xem  Tạo danh sách người gửi an toàn trong EOP .

Danh sách chặn IP : Chặn tất cả các thư đến từ các máy chủ email nguồn mà bạn chỉ định theo địa chỉ IP hoặc dải địa chỉ IP. Các thư đến bị từ chối, không bị đánh dấu là thư rác và không có quá trình lọc bổ sung nào xảy ra. Để biết thêm thông tin về cách Danh sách chặn IP sẽ phù hợp với chiến lược người gửi bị chặn tổng thể của bạn, hãy xem  Tạo danh sách người gửi bị chặn trong EOP .

• Trong Trung tâm quản trị Exchange> Bảo vệ> Bộ lọc kết nối> Nhấp vào biểu tượng bút chì để sửa đổi chính sách mặc định.

• Nhấp vào Lọc kết nối

• Tại đây bạn có thể cho phép \ chặn địa chỉ IP.

Spam và phần mềm độc hại

Các câu hỏi để hỏi:

1. Chúng tôi muốn thực hiện những hành động nào khi một thư được xác định là spam?
   một. Di chuyển Thư vào Thư mục Rác (Mặc định)
   b. Thêm tiêu đề X (Gửi thư đến những người nhận được chỉ định, nhưng thêm văn bản tiêu đề X vào tiêu đề thư để xác định nó là thư rác)
   c. Thêm văn bản vào dòng Chủ đề (Gửi thư đến những người nhận dự định nhưng thêm văn bản bạn chỉ định trong dòng chủ đề Tiền tố với hộp nhập văn bản này. Sử dụng văn bản này làm số nhận dạng, bạn có thể tùy chọn tạo quy tắc để lọc hoặc định tuyến các thông điệp khi cần thiết.)
   d. Chuyển hướng thư đến địa chỉ email (Gửi thư đến một địa chỉ email được chỉ định thay vì đến những người nhận dự định.)
2. Chúng tôi có cần thêm người gửi / miền được phép hay chặn người gửi / miền không?
3. Chúng ta có cần lọc các tin nhắn được viết bằng ngôn ngữ cụ thể không?
4. Chúng ta có cần lọc tin nhắn đến từ các quốc gia / khu vực cụ thể không?
5. Thay vào đó, chúng tôi có muốn định cấu hình bất kỳ thông báo spam nào của người dùng cuối để thông báo cho người dùng khi các thư dành cho họ được gửi đến vùng cách ly không? (Từ những thông báo này, người dùng cuối có thể đưa ra kết quả dương tính giả và báo cáo chúng cho Microsoft để phân tích.)

• Đi tới Trung tâm quản trị Microsoft 365> Chọn Bảo mật từ Trung tâm quản trị> Quản lý mối đe dọa> Chính sách> Chống thư rác

• Chỉnh sửa chính sách mặc định

• Điều hướng qua các tab để định cấu hình bất kỳ câu hỏi nào được hỏi trước đó

• Mở rộng phần  Cho phép danh sách  để định cấu hình người gửi thư theo địa chỉ email hoặc miền email được phép bỏ qua lọc thư rác.
• Mở rộng  phần Danh sách chặn  để định cấu hình người gửi thư theo địa chỉ email hoặc miền email sẽ luôn bị đánh dấu là spam có độ tin cậy cao.

• Tab Thuộc tính thư rác cho phép bạn hiểu chi tiết hơn về chính sách của mình và thắt chặt các cài đặt trên bộ lọc thư rác

Phần mềm độc hại

Điều này đã được thiết lập cho toàn công ty thông qua chính sách chống phần mềm độc hại mặc định. Bạn có cần tạo các chính sách chi tiết hơn cho một nhóm người dùng nhất định, chẳng hạn như thông báo bổ sung qua văn bản hoặc lọc nâng cao dựa trên phần mở rộng tệp không?

• Đi tới cổng bảo mật> Quản lý mối đe dọa> Chính sách> Chống phần mềm độc hại

• Chọn chính sách mặc định để sửa đổi
• Chọn Không cho phản hồi phát hiện phần mềm độc hại

• Tắt tính năng này để chặn các loại tệp đính kèm có thể gây hại cho máy tính của bạn

• Bật tự động xóa phần mềm độc hại trong 0 giờ

• Sửa đổi thông báo cho phù hợp

• Chỉ định người dùng, nhóm hoặc miền mà chính sách này áp dụng bằng cách tạo các quy tắc dựa trên người nhận

• Xem lại cài đặt của bạn và lưu.

Chính sách chống lừa đảo

Đăng ký Microsoft 365 đi kèm với chính sách mặc định để chống lừa đảo được định cấu hình trước nhưng nếu bạn có giấy phép chính xác cho ATP, bạn có thể định cấu hình cài đặt bổ sung cho các nỗ lực mạo danh trong đối tượng thuê. Chúng tôi sẽ định cấu hình các cài đặt bổ sung đó ở đây.

• Đi tới cổng bảo mật> Quản lý mối đe dọa> Chính sách> Chống lừa đảo ATP

• Nhấp vào chính sách mặc định> Nhấp vào Chỉnh sửa trong phần Mạo danh
• Trong phần đầu tiên, hãy chuyển nút gạt sang bật và thêm các giám đốc điều hành hoặc người dùng hàng đầu trong tổ chức có nhiều khả năng bị giả mạo nhất

• Trong phần Thêm miền để bảo vệ, chuyển nút gạt để tự động bao gồm các miền mà tôi sở hữu

• Trong phần Hành động, hãy chọn hành động bạn muốn thực hiện nếu người dùng hoặc miền bị mạo danh. Chúng tôi khuyên bạn nên cách ly hoặc chuyển đến thư mục Rác.

• Trong phần Thông minh của Hộp thư, bật chế độ bảo vệ và chọn hành động cần thực hiện, giống như trong bước trước

• Phần cuối cùng cho phép bạn đưa người gửi và miền vào danh sách trắng. Không thêm các miền chung chung ở đây như gmail.com.

• Sau khi xem lại cài đặt của mình, bạn có thể chọn Lưu

Cũng nên đọc : Bảo mật ứng dụng đám mây của Microsoft: Hướng dẫn cuối cùng

Định cấu hình bộ lọc nâng cao

• Lọc email nâng cao có thể được thiết lập nếu bạn có trình kết nối trong 365 (dịch vụ lọc email của bên thứ 3 hoặc cấu hình kết hợp) và bản ghi MX của bạn không trỏ đến Microsoft 365 hoặc Office 365. Tính năng mới này cho phép bạn lọc email dựa trên thực tế nguồn tin nhắn đến qua trình kết nối.
• Đây còn được gọi là danh sách bỏ qua và tính năng này sẽ cho phép bạn bỏ qua hoặc bỏ qua bất kỳ địa chỉ IP nào được coi là nội bộ của bạn để lấy địa chỉ IP bên ngoài đã biết cuối cùng, địa chỉ IP này phải là địa chỉ IP nguồn thực tế.
• Nếu bạn đang sử dụng Microsoft Defender ATP, điều này sẽ nâng cao khả năng học máy và bảo mật xung quanh các liên kết an toàn / tệp đính kèm an toàn / chống giả mạo khỏi danh sách độc hại đã biết của Microsoft dựa trên IP.
• Theo một cách nào đó, bạn đang nhận được lớp bảo vệ thứ cấp bằng cách cho phép Microsoft xem các IP của email gốc và kiểm tra cơ sở dữ liệu của họ.

Đối với các bước cấu hình lọc nâng cao: bấm vào đây

Định cấu hình Chính sách về Liên kết An toàn và Phần đính kèm An toàn của ATP

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) cho phép bạn tạo chính sách cho các liên kết an toàn và tệp đính kèm an toàn trên Exchange, Teams, OneDrive và SharePoint. Kích nổ thời gian thực xảy ra khi người dùng nhấp vào bất kỳ liên kết nào và nội dung được chứa trong môi trường hộp cát. Các tệp đính kèm cũng được mở bên trong môi trường hộp cát trước khi chúng được gửi đầy đủ qua email. Điều này cho phép phát hiện các tệp đính kèm và liên kết độc hại trong zero-day.

• Đi tới cổng bảo mật> Quản lý mối đe dọa> Chính sách> Tệp đính kèm an toàn ATP

• Nhấp vào Cài đặt chung

• Bật ATP cho SharePoint, OneDrive và Microsoft Teams

• Tạo một chính sách mới

• Thêm Tên, Mô tả và chọn Phân phối động. Để biết thêm về các phương thức giao hàng, bấm vào  đây .

• Chọn hành động là Phân phối động

• Thêm miền người nhận và chọn miền chính trong đối tượng thuê.

• Nhấp vào Tiếp theo để xem lại cài đặt của bạn và nhấp vào Kết thúc

• Đối với Liên kết An toàn, hãy quay lại Quản lý mối đe dọa> Chính sách> Liên kết An toàn ATP

• Sử dụng chính sách mặc định hoặc tạo chính sách mới và bật các cài đặt cần thiết được hiển thị bên dưới.

• Bạn có thể chọn đưa các URL nhất định vào danh sách trắng

• Giống như chính sách tệp đính kèm an toàn, áp dụng cho tất cả người dùng trong đối tượng thuê theo tên miền.

• Nhấp vào Tiếp theo để xem lại cài đặt của bạn và nhấp vào Kết thúc

Thêm SPF, DKIM và DMARC

• Bạn có bản ghi SPF / bản ghi DKIM / DMARC tại chỗ không?
• SPF xác thực nguồn gốc của email bằng cách xác minh địa chỉ IP của người gửi chống lại chủ sở hữu bị cáo buộc của miền gửi giúp ngăn chặn hành vi giả mạo.
• DKIM cho phép bạn đính kèm chữ ký số vào thư email trong tiêu đề thư của email bạn gửi. Hệ thống email nhận email từ miền của bạn sử dụng chữ ký điện tử này để xác định xem email đến mà chúng nhận được có hợp pháp hay không.
• DMARC giúp hệ thống nhận thư xác định phải làm gì với các thư không kiểm tra được SPF hoặc DKIM và cung cấp một mức độ tin cậy khác cho các đối tác email của bạn.

Để thêm hồ sơ:

• Đi tới Miền trong Trung tâm quản trị Microsoft 365 và nhấp vào miền bạn muốn thêm bản ghi vào.

• Nhấp vào “ Bản ghi DNS ” và Ghi lại bản ghi MX và TXT được liệt kê trong Exchange Online

• Thêm bản ghi TXT của v = spf1 bao gồm: spf.protection.outlook.com -tất cả vào cài đặt DNS của bạn cho bản ghi SPF của chúng tôi
• Đối với các bản ghi DKIM của chúng tôi, chúng tôi cần xuất bản hai bản ghi CNAME trong DNS

Sử dụng định dạng sau cho Bản ghi CNAME :

Trong đó :
= tên miền chính của chúng tôi = Tiền tố của bản ghi MX của chúng tôi (ví dụ: domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Ví dụ : DOMAIN = techieberry.com

Bản ghi CNAME # 1:
Tên máy chủ: selector1._domainkey.techiebery.com Trỏ
đến địa chỉ hoặc giá trị: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

Bản ghi CNAME # 2 :
Tên máy chủ : selector2._domainkey.techiebery.com Trỏ
đến địa chỉ hoặc giá trị: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• Sau khi xuất bản hồ sơ, hãy chuyển đến cổng bảo mật> Quản lý mối đe dọa> Chính sách> DKIM

• Chọn Miền mà bạn muốn bật DKIM và nhấp vào Bật.
• Với các bản ghi SPF và DKIM đã có, giờ đây chúng tôi có thể thiết lập DMARC. Định dạng cho bản ghi TXT mà chúng tôi muốn thêm như sau:

_dmarc.domain TTL TRONG TXT “v = DMARC1; pct = 100; p = chính sách

Trong đó :
= tên miền chúng tôi muốn bảo vệ
= 3600
= chỉ ra rằng quy tắc này nên được sử dụng cho 100% email
= chỉ định chính sách bạn muốn máy chủ nhận tuân theo nếu DMARC Không thành công.
LƯU Ý: Bạn có thể đặt thành không, cách ly hoặc từ chối

Ví dụ :

• _dmarc.pax8.com 3600 TRONG TXT “v = DMARC1; p = không có ”
• _dmarc.pax8.com 3600 TRONG TXT “v = DMARC1; p = cách ly ”
• _dmarc.pax8.com 3600 TRONG TXT “v = DMARC1; p = từ chối ”

Không cho phép chia sẻ chi tiết lịch

Bạn không nên cho phép người dùng của mình chia sẻ chi tiết lịch với người dùng bên ngoài. Tính năng này cho phép người dùng của bạn chia sẻ chi tiết đầy đủ về lịch của họ với người dùng bên ngoài. Những kẻ tấn công thường dành thời gian tìm hiểu về tổ chức của bạn (thực hiện trinh sát) trước khi phát động một cuộc tấn công. Lịch công khai có thể giúp kẻ tấn công hiểu mối quan hệ tổ chức và xác định thời điểm người dùng cụ thể có thể dễ bị tấn công hơn, chẳng hạn như khi họ đang đi du lịch.

• Trong trung tâm quản trị Microsoft 365> Cài đặt - Cài đặt tổ chức

• Nhấp vào dịch vụ và chọn lịch

• Thay đổi cài đặt thành “ Thông tin lịch rảnh / bận chỉ với thời gian ”

• Bật cài đặt này trên một đối tượng thuê qua PowerShell
• Bật cài đặt này ở tất cả người thuê thông qua thông tin đăng nhập Trung tâm đối tác bằng PowerShell

Bật Tìm kiếm nhật ký kiểm tra

Bạn nên bật tính năng ghi dữ liệu kiểm tra cho dịch vụ Microsoft 365 hoặc Office 365 của mình để đảm bảo rằng bạn có bản ghi về mọi tương tác của người dùng và quản trị viên với dịch vụ, bao gồm Azure AD, Exchange Online, Microsoft Teams và SharePoint Online / OneDrive for Business. Dữ liệu này sẽ giúp bạn có thể điều tra và xác định phạm vi vi phạm bảo mật, nếu nó xảy ra. Bạn (hoặc một quản trị viên khác) phải bật ghi nhật ký kiểm tra trước khi có thể bắt đầu tìm kiếm nhật ký kiểm tra .

• Làm cách nào để Bật Đăng nhập Kiểm tra?
• Làm thế nào để Tìm kiếm Nhật ký Kiểm tra?

• Đi tới cổng bảo mật> Tìm kiếm> Tìm kiếm Nhật ký kiểm tra
• Đảm bảo rằng bạn không nhận được những điều sau:

• Sau khi bật Kiểm toán, bạn sẽ thấy như sau:

• Bạn có thể tạo tìm kiếm tùy chỉnh dựa trên hoạt động, phạm vi ngày, người dùng và tệp \ thư mục \ site
• Tạo Chính sách cảnh báo mới dựa trên một sự kiện nhất định

• Nếu muốn tìm kiếm nhật ký kiểm tra qua PowerShell, bạn sẽ sử dụng các lệnh bên dưới:

$ audlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Bạn có thể sử dụng lệnh sau để xuất các thuộc tính nhất định sang tệp CSV:

$ Auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c: \ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

Bật kiểm tra hộp thư cho tất cả người dùng

Theo mặc định, tất cả quyền truy cập không phải của chủ sở hữu đều được kiểm tra, nhưng bạn phải bật kiểm tra trên hộp thư để quyền truy cập của chủ sở hữu cũng được kiểm tra. Điều này sẽ cho phép bạn phát hiện ra truy cập bất hợp pháp vào hoạt động Exchange Online nếu tài khoản của người dùng đã bị xâm phạm. Chúng tôi sẽ cần chạy tập lệnh PowerShell để cho phép kiểm tra tất cả người dùng.

LƯU Ý : Sử dụng nhật ký kiểm tra để tìm kiếm hoạt động hộp thư đã được ghi lại. Bạn có thể tìm kiếm hoạt động cho một hộp thư người dùng cụ thể.

• Đi tới cổng bảo mật> Tìm kiếm> Tìm kiếm Nhật ký kiểm tra

Danh sách các Hành động Kiểm tra Hộp thư

Các lệnh kiểm tra hộp thư quyền hạn

Để kiểm tra trạng thái kiểm tra hộp thư:

Get-Hộp thư [email protected] | fl * kiểm toán *

Để tìm kiếm kiểm tra hộp thư:

Tìm kiếm-Hộp thưAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Để xuất kết quả thành tệp csv:

Tìm kiếm-Hộp thưAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C: \ users \ AuditLogs.csv -NoTypeInformation

Để xem và xuất nhật ký dựa trên các thao tác :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin, Delegate, Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C: \ AuditLogs.csv -NoTypeInformation

Để xem và xuất nhật ký dựa trên các loại đăng nhập :

Tìm kiếm-Hộp thưAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 31/01/2021 -LogonTypes Owner, Delegate, Admin -ShowDetails | Export-Csv C: \ AuditLogs.csv -NoTypeInformation

Xem xét các thay đổi vai trò hàng tuần

Bạn nên làm điều này vì bạn nên theo dõi những thay đổi bất hợp pháp của nhóm vai trò, điều này có thể mang lại cho kẻ tấn công đặc quyền cao hơn để thực hiện những điều nguy hiểm và có tác động hơn trong quá trình thuê nhà của bạn.

• Đi tới Cổng bảo mật> Tìm kiếm> Tìm kiếm Nhật ký kiểm tra
• Nhập “ Vai trò ” trong tìm kiếm và chọn “ Đã thêm thành viên vào vai trò ” và “ Đã xóa người dùng khỏi vai trò trong thư mục ”

Giám sát sự thay đổi vai trò của tất cả khách hàng thuê nhà

Xem lại Quy tắc Chuyển tiếp Hộp thư Hàng tuần

Bạn nên xem lại các quy tắc chuyển tiếp hộp thư đến các miền bên ngoài ít nhất mỗi tuần. Bạn có thể thực hiện một số cách, bao gồm chỉ cần xem lại danh sách các quy tắc chuyển tiếp thư đến các miền bên ngoài trên tất cả các hộp thư của bạn bằng cách sử dụng tập lệnh PowerShell hoặc bằng cách xem lại hoạt động tạo quy tắc chuyển tiếp thư trong tuần trước từ Tìm kiếm nhật ký kiểm tra. Mặc dù có rất nhiều cách sử dụng hợp pháp các quy tắc chuyển tiếp thư đến các địa điểm khác, nhưng đây cũng là một chiến thuật lọc dữ liệu rất phổ biến đối với những kẻ tấn công. Bạn nên xem lại chúng thường xuyên để đảm bảo email của người dùng của bạn không bị lọc ra ngoài. Chạy tập lệnh PowerShell được liên kết bên dưới sẽ tạo ra hai tệp csv, “MailboxDelegatePermissions” và “MailForwardingRulesToExternalDomains”, trong thư mục System32 của bạn.

• Giám sát trên một đối tượng thuê duy nhất
• Giám sát Chuyển tiếp Hộp thư Bên ngoài trong tất cả các khách hàng Microsoft 365 / Office 365 Customer

Xem lại Quyền truy cập Hộp thư theo Báo cáo Không phải Chủ sở hữu hai tuần một lần

Báo cáo này cho biết những hộp thư nào đã được truy cập bởi một người nào đó không phải là chủ sở hữu hộp thư. Mặc dù có nhiều cách sử dụng hợp pháp quyền của người được ủy quyền, việc thường xuyên xem xét quyền truy cập đó có thể giúp ngăn kẻ tấn công bên ngoài duy trì quyền truy cập trong thời gian dài và có thể giúp phát hiện ra hoạt động nội gián độc hại sớm hơn.

• Trong Trung tâm quản trị Exchange, đi tới Quản lý tuân thủ> Kiểm toán
• Nhấp vào “ Chạy báo cáo truy cập hộp thư không phải của chủ sở hữu… ”

• Chỉ định một phạm vi dữ liệu và chạy tìm kiếm

Xem lại Báo cáo phát hiện phần mềm độc hại hàng tuần

Báo cáo này cho thấy các trường hợp cụ thể về việc Microsoft chặn phần đính kèm phần mềm độc hại tiếp cận người dùng của bạn. Mặc dù báo cáo này không thực sự có thể xử lý được, nhưng việc xem xét báo cáo sẽ cho bạn cảm giác về khối lượng phần mềm độc hại tổng thể đang được nhắm mục tiêu vào người dùng của bạn, điều này có thể khiến bạn áp dụng các biện pháp giảm thiểu phần mềm độc hại tích cực hơn

• Đi tới cổng bảo mật> Báo cáo> Trang tổng quan

• Cuộn xuống dưới cùng và nhấp vào Phần mềm độc hại được phát hiện trong email

• Xem Báo cáo phát hiện và nhấp vào + Tạo lịch biểu

• Tạo lịch báo cáo hàng tuần và gửi đến địa chỉ email thích hợp

Xem lại Báo cáo hoạt động cấp phép tài khoản của bạn hàng tuần

Báo cáo này bao gồm lịch sử các nỗ lực cung cấp tài khoản cho các ứng dụng bên ngoài. Nếu bạn không thường sử dụng nhà cung cấp bên thứ ba để quản lý tài khoản, thì bất kỳ mục nhập nào trong danh sách đều có thể là bất hợp pháp. Tuy nhiên, nếu bạn làm vậy, đây là một cách tuyệt vời để theo dõi khối lượng giao dịch và tìm kiếm các ứng dụng bên thứ ba mới hoặc bất thường đang quản lý người dùng.

• Trong Trung tâm quản trị Microsoft 365> Azure Active Directory từ Trung tâm quản trị> Azure Active Directory> Nhật ký kiểm tra

• Trong phần Hoạt động, hãy tìm kiếm “bên ngoài” và chọn Mời người dùng bên ngoài

Đó là cách bạn cải thiện bảo vệ trao đổi trực tuyến để bảo mật tốt hơn.

Bây giờ tôi muốn nghe từ bạn:

Bạn thấy thú vị nhất với phát hiện nào từ báo cáo hôm nay? Hoặc có thể bạn có câu hỏi về điều gì đó mà tôi đã đề cập.

Dù bằng cách nào, tôi cũng muốn nghe ý kiến ​​từ bạn. Vì vậy, hãy tiếp tục và để lại bình luận bên dưới.