Site icon

דיווח פישינג Microsoft Defender for Office 365

MDO

הגנה על תעבורת הדואר הארגוני היא עדיין אתגר יומיומי וניתן לראות זאת עם אחד הווקטורים הדומיננטים – פישינג.

פתרונות לסינון והגנה על הדואר עברו כברת דרך ארוכה בשנים האחרונות והשתפרו ביכולות זיהוי, חסימה ומיטיגציה, אך עדיין שום מערכת אינה מושלמת ואין אפשרות לשלול תוצאות חיוביות או תוצאות שליליות כוזבות.

אבטחת דואר עדיין קו הגנה ראשון וממלאת חלק חשוב בהגנה על הארגון וכלל שמספר החיישנים גדול יותר, כך ניתן להבין טוב יותר איך לבצע הגנה והיכן דואר מסוים עובר את קו ההגנה.

בסדרת מאמרים שעלו בשנה האחרונה ישנם אינספור מאמרים לגבי הגנה על תשתית הדואר הארגונית מפני מתקפות שונות. במאמר המצורף של סיכונים, סימולציה והגנה על תעבורת הדואר ניתן להבין את המשמעויות של הגנה על תשתית הדואר הארגונית.

סיכונים, סימולציה והגנה על תעבורת הדואר

כמו בהיבטי הגנה אחרים גם באבטחת דואר המשתמשים הם חיישנים שיכולים לסייע, וכאשר זה מגיע לדואר, משתמשים יכולים להתריע על דואר חשוד או כל פריט דואר שאינו מוכר בלחיצת כפתור.

הגדרת Report Phishing

בשירות Exchange Online ניתן להגדיר Report Phishing בכדי שמשתמש יוכל לסמן אירוע חשוד ובכדי שהפריט דואר יסומן לאחר מכן כדואר חשוד וייחסם בשירות. (בהתאם למדיניות).

הגדרת הרחבת Report Phishing

בכדי להגדיר Report Phishing לכלל המשתמשים צריך להגדיר Office add-ins שנקרא Report Phishing ולהנגיש את ההרחבה לאפליקציות דסקטופ, מובייל ואל Outlook Web.

הגדרה והנגשת Report Phishing נעשית מתוך הממשק IntegratedApps שנמצא בממשק Microsoft 365 Admin.

לאחר מכן יופיעו מספר אפשרויות, ונבחר את Report Phishing

לאחר מכן נוכל להגדיר שלבי ההטמעה של האפליקציה לפי מספר אפשרויות:

ולאחר בחירה ואישור נשלים את ההגדרה.

לאחר סיום התקנה והגדרה צריך להמתין 15 דקות בכדי שכלל ההגדרות יתעדכנו בצד המשתמש.

הגדרת User submissions

לאחר שהוגדרה הרחבה של Report Phishing מבצע מספר הגדרות בכדי להנגיש את הדיווח ואיך להעביר את המידע בצד האדמין.

מתוך User Submission נגדיר את את הפעולות בזמן הדיווח ולאחר מכן עם Outlook Report Message feature והגדרת Customize the end-user reporting option.

לצורך כך יש להגדיר תיבה יעודית (יכול להיות גם Shared Mailbox) בכדי שכל הדיווחים יועברו אל אותה תיבת דואר. בנוסף, אפשר להגדיר העברת הדיווח אל Microsoft.

טיפ: יש להחריג את תיבת הדואר בכדי שלא יהיה סינון על התיבה או יתר אפשרויות הגנה

בהגדרת כפתור הדיווח של המשתמש נוכל לבחור מהי חווית המשתמש, בדוגמה שלפנינו, המשתמש צריך רק לדווח ולא יחווה שום שאלות נוספות.

חווית המשתמש

בצד המשתמש הכפתור דיווח הוא פשוט מאוד, כך זה נראה בממשקים (Outlook Web + Outlook Desktop) לאחר דיווח פישינג.

לאחר דיווח פישינג המידע עובר למערכת Exchange Online Protection וזמין בממשקי הניהול.

בממשק Threat Management נוכל לוודא שאין הרשעות מיותרות, לתחקר את האירוע ברמת פריט הדואר או לתחקר באמצעות יכולות AIR.

נקודות חשובות ביישום

מאמרים נוספים בהגנה על תשתית הדואר

Exit mobile version