דיווח פישינג Microsoft Defender for Office 365
הגנה על תעבורת הדואר הארגוני היא עדיין אתגר יומיומי וניתן לראות זאת עם אחד הווקטורים הדומיננטים – פישינג.
פתרונות לסינון והגנה על הדואר עברו כברת דרך ארוכה בשנים האחרונות והשתפרו ביכולות זיהוי, חסימה ומיטיגציה, אך עדיין שום מערכת אינה מושלמת ואין אפשרות לשלול תוצאות חיוביות או תוצאות שליליות כוזבות.
אבטחת דואר עדיין קו הגנה ראשון וממלאת חלק חשוב בהגנה על הארגון וכלל שמספר החיישנים גדול יותר, כך ניתן להבין טוב יותר איך לבצע הגנה והיכן דואר מסוים עובר את קו ההגנה.
בסדרת מאמרים שעלו בשנה האחרונה ישנם אינספור מאמרים לגבי הגנה על תשתית הדואר הארגונית מפני מתקפות שונות. במאמר המצורף של סיכונים, סימולציה והגנה על תעבורת הדואר ניתן להבין את המשמעויות של הגנה על תשתית הדואר הארגונית.
כמו בהיבטי הגנה אחרים גם באבטחת דואר המשתמשים הם חיישנים שיכולים לסייע, וכאשר זה מגיע לדואר, משתמשים יכולים להתריע על דואר חשוד או כל פריט דואר שאינו מוכר בלחיצת כפתור.
הגדרת Report Phishing
בשירות Exchange Online ניתן להגדיר Report Phishing בכדי שמשתמש יוכל לסמן אירוע חשוד ובכדי שהפריט דואר יסומן לאחר מכן כדואר חשוד וייחסם בשירות. (בהתאם למדיניות).
הגדרת הרחבת Report Phishing
בכדי להגדיר Report Phishing לכלל המשתמשים צריך להגדיר Office add-ins שנקרא Report Phishing ולהנגיש את ההרחבה לאפליקציות דסקטופ, מובייל ואל Outlook Web.
הגדרה והנגשת Report Phishing נעשית מתוך הממשק IntegratedApps שנמצא בממשק Microsoft 365 Admin.
לאחר מכן יופיעו מספר אפשרויות, ונבחר את Report Phishing
לאחר מכן נוכל להגדיר שלבי ההטמעה של האפליקציה לפי מספר אפשרויות:
- מצב בדיקות
- לכלל הארגון
- לקבוצת משתמשים
ולאחר בחירה ואישור נשלים את ההגדרה.
לאחר סיום התקנה והגדרה צריך להמתין 15 דקות בכדי שכלל ההגדרות יתעדכנו בצד המשתמש.
הגדרת User submissions
לאחר שהוגדרה הרחבה של Report Phishing מבצע מספר הגדרות בכדי להנגיש את הדיווח ואיך להעביר את המידע בצד האדמין.
מתוך User Submission נגדיר את את הפעולות בזמן הדיווח ולאחר מכן עם Outlook Report Message feature והגדרת Customize the end-user reporting option.
לצורך כך יש להגדיר תיבה יעודית (יכול להיות גם Shared Mailbox) בכדי שכל הדיווחים יועברו אל אותה תיבת דואר. בנוסף, אפשר להגדיר העברת הדיווח אל Microsoft.
טיפ: יש להחריג את תיבת הדואר בכדי שלא יהיה סינון על התיבה או יתר אפשרויות הגנה
בהגדרת כפתור הדיווח של המשתמש נוכל לבחור מהי חווית המשתמש, בדוגמה שלפנינו, המשתמש צריך רק לדווח ולא יחווה שום שאלות נוספות.
חווית המשתמש
בצד המשתמש הכפתור דיווח הוא פשוט מאוד, כך זה נראה בממשקים (Outlook Web + Outlook Desktop) לאחר דיווח פישינג.
לאחר דיווח פישינג המידע עובר למערכת Exchange Online Protection וזמין בממשקי הניהול.
בממשק Threat Management נוכל לוודא שאין הרשעות מיותרות, לתחקר את האירוע ברמת פריט הדואר או לתחקר באמצעות יכולות AIR.
נקודות חשובות ביישום
- כאשר משתמש מדווח על דואר חשוד הוא למעשה מרשיע את השולח ואת הפרטים ברמת הפריט
- דיווח Junk יעביר את הפריט דואר אל תיקיית Junk
- דיווח פישינג יעביר את הפריט דואר אל תיקית Deleted Items
- דיווח יכלול האם משתמש נגע בפריט והקליק על אחד הקישורים, פתח קובץ וכל פעולה של אותו פריט דואר
- דיווח פישינג יפתח מאחורי הקלעים את Automated Investigation למטרת תחקור מתקדם
- פריט דואר שהורשע יעובר עם כל התוכן אל התיבה היעודית
- אינו זמין לסביבות דואר מקומיות עם אותן יכולות
- מצריך תקשור אל כפתור הדיווח אל המשתמשי קצה
- תיבת הדואר הדואר שאליה מדווחים חייבת להיות מחורגת מכל אותן אפשרויות הקשחה וסינון
- חווית המשתמש זהה גם בצד המובייל עם כפתור דיווח Junk + Phishing
- ניתן להפעיל את האפשרויות על Exchange Online Protection אך התחקור והאינטגרציה לא יהיו זמינים כמו מול Microsoft Defender for Office 365
- ישנם הרחבות נוספות בממשק Integrated Apps כמו Report Message אך עדיף לעבוד עם דיווח פישינג
- במידה ובוחרים להעביר מידע אל Microsoft, עוברים רק מאפייני מידע ולא שום מידע אחר
