אלי שלמה

עוד יום של סייבר בענן

הגנה על Office 365 Apps

by · 08/10/2019

המאמר מתמקד בהגדרת פוליסי להגנה על Office 365 Apps מפני קבצים וקישורים זדוניים ובסימולציה.

ברוב המקרים בהם מדברים, מפעילים ומגדירים Office 365 ATP המיקוד הוא בהגנה על הדואר מפני קבצים וקישורים זדוניים ושם Office 365 ATP עושה את העבודה, ועל סמך מצב שבו מגדירים את הפוליסי בצורה נכונה כולל הרכיבים הנוספים של Anti Phishing, Safe Links וכן הלאה.

בנוסף להגנה על הדואר ישנם תפקידי ענן נוספים שעליהם צריכים להגן מפני קבצים וקישורים זדוניים כדוגמת SharePoint Online, OneDrive for Business וכמובן Microsoft Teams ובשונה מהגנה על הדואר בתפקידי ענן אלה (SharePoint Online, OneDrive for Business, Teams) לרוב אין התייחסות ורק מסמנים הגדרת ספציפית.

הגנה על Office 365 Application

הגנה על Office 365 Apps נחלקת למספר קטגוריות ולכן נתמקד בהגנה על SharePoint Online, OneDrive for Business, Teams בכדי למנוע מצבים בהם מעלים קבצים נגועים או קישורים המובילים לסיכונים שונים: פישינג, גניבת זהויות וכן הלאה.

הגנה על תפקידי הענן SharePoint Online, OneDrive for Business, Teams נעשית ע"י מספר הגדרות:

אקטיבציה של Office ATP לאפליקציות SharePoint Online, OneDrive for Business, Teams

הגנה על קישורים באמצעות הגדרת פוליסי Safe Links

מניעה והורדה של סנכרון קבצים נגועים לפי DisallowInfectedFileDownload

יצירת Alert מבוססת Detected malware

טיפ: חשוב מאוד לוודא הגדרה של רכיבי הגנה נוספים שהוזכרו קודם ולכן וזאת על מנת שהמנגנון הגנה על Office 365 Apps יבצע את אותן פעולות כמו שמתבצעות בהגנה על הדואר.

ללא הגדרה של רכיבים אלה מנגנון הגנה על Office 365 Apps לא יעבוד בצורה טובה ואינו יתפוס מקרים רבים של קבצים וקישורים זדוניים.

הרכיבים העיקריים הם:

  • Protection from malicious URLs and files in email and Office documents
  • Advanced anti-phishing protection

הסיבה לכך בגלל שהם מבוססים על Office 365 ATP

2019-10-08_11h48_54

איך מגדירים

ביצוע הגדרות של Office 365 ATP והגדרות נוספות אינן פעולות מסובכות אך ישנם מספר דגשים חשובים מאוד שבלעדיהם אין אפשרות לזהות או למנוע גישה לקבצים או קישורים זדוניים, בשורה התחתונה המנגנון אינו עובד כראוי.

אקטיבציה של Office ATP

בממשק https://protection.office.com ניגש אל Threat Policy או Policy ושם נבחר באפשרות:

ATP Safe Attachment

2019-10-08_11h57_38

בהגדרות ATP Safe Attachment נבחר באפשרות:

Turn on ATP for SharePoint, OneDrive, and Microsoft Teams

2019-10-08_11h58_09

הגנה על קישורים

שלב הבא הוא הגדרת פוליסי לקישורים באמצעות Safe Links לפי ההגדרות הבאות:

  • Use Safe Links in Office 365 Apps
  • URL will be rewritten
  • Safe attachments URL Scanning

2019-10-08_12h10_172019-10-08_12h11_03

מניעה והורדה של סנכרון קבצים

כאן הדברים יותר מעניינים ובאופן אוטומטי Microsoft Teams מושפע ממנו מכיוון שהקבצים נשמרים על גבי SharePoint Online.

קבצים נגועים אשר מסונכרנים מול SharePoint Online מזוהים ע"י מספר מנגנוני Virus Detection ונבדקים בזמן או לאחר העלאה של הקבצים אל SharePoint Online.

מה קורה עם קובץ נגוע? קובץ אשר נסרק ומזוהה עם תוכן נגוע מקבל תיוג ומאפיין של Infected File, והחל מרגע זה הקובץ אינו זמין לשימוש כמו קובץ רגיל, כלומר אין אפשרות לבצע הורדה ולעיתים אינו מאפשר פתיחה של הקובץ, וכמובן במקרים חריגים הקובת עובר אל Quarantine.

תהליך זיהוי קובץ נגוע נעשה באופן הבא:

  • קובץ נגוע מסונכרן אל SharePoint Online
  • קובץ נסרק ע"י מספר מנגנוני AV
  • קובץ מתויג ומקבל מאפיין של קובץ נגוע וkלאחר מכן חלים עליו מגבלות

יש להגדיר את SharePoint Online במצב הבא:

Set-SPOTenant -DisallowInfectedFileDownload $true

2019-08-25_18h13_10.png

פרטים נוספים במאמר הבא https://eshlomo.blog/2019/08/spo-1/

יצירת Alert מבוססת Detected malware

מנגנון התראות (Alert) של Office 365 מאפשר להתריע על מצבים שונים בהם ישנו זיהוי של בעיה או סיכון מסוים, אחד מאותם חוקים שניתן להגדיר במנגנון Alert הוא זיהוי של קובץ Malware.

בממשק Alert ניצור New Alert Policy ונגדיר לפי ההגדרות הבאות:

2019-10-08_12h31_05

2019-10-08_12h31_25

סימולציה של קבצים וקישורים

את הסימולציה ניתן לבצע מול Microsoft Teams ומול SharePoint Online בדרכים שונות, התרחיש המסוים הוא ספציפי בלבד.

בממשק Teams נעלה קובץ Malware אל שיחת Chat מול משתמש ספציפי או נעלה קובץ Malware אל קבוצה ספציפית בכדי לבדוק הגנה על קבצים

בנוסף נעתיק קישור זדוני לטובת פישינג אל אותם משתמשים וקבוצות בכדי לבדוק הגנה על קבצים

טיפ: אפשר לבצע בדיקה גם מול קובץ עם Macro Less 

בדוגמה הספציפית העליתי מספר קבצים נגועים של PowerPoint ושל Word ונוספים

2019-10-08_12h36_002019-10-08_12h36_10

בסמוך להעלאת הקבצים (בסביבות 2-3 דקות) קיבלתי התראה מתוך Office 365 Alert ולאחר מכן הקובץ עבר ATP Detonation ומאותו רגע אינו זמין יותר למשתמש

2019-10-08_12h39_34.png

לאחר מכן ניתן לקבל מלא מידע לגבי הקובץ הזדוני ומשם לבצע תחקור ברמת הבורג

2019-10-08_12h40_182019-10-08_12h40_312019-10-08_12h40_522019-10-08_12h41_36

כמובן שאת הקובץ לא היה ניתן לפתוח מתוך Teams בשופ אופן מכיוון שהקובץ נמצא במצב Quarantine

2019-10-08_12h43_14.png

בממשק Quarantine נוכל לבדוק את הקובץ ולהמשיך בתחקור

2019-10-08_12h45_20.png

מכיוון שהקובץ נכנס להסגר העליתי קובץ נוסף עם Malware והפעם מזופזפ והתוצאה היתה זהה אך עם התנהגות אחרת:

  • הקובץ נגיש בממשק SahrePoint Online בלבד
  • הקובץ אינו ניתן לפתיחה
  • הקובץ אינו ניתן להורדה

2019-10-08_12h47_002019-10-08_12h47_09

לסיכום

היכולות של Office ATP להגנה על Office 365 Apps מאפשרות להגן מפני קבצים וקישורים ולהתריע במקרה של בעיות אבטחה בין אם מדובר על קישורים או על קבצים נגועים.

בנוסף לכך המענה האוטומטי ויכולות התחקור אינן מוגבלות ומאפשרות לבצע תחקור ברמת הבורג על כל פעולה שנעשתה בקובץ הנ"ל, החל מרגע העלאת הקובץ, ניסונות פתיחה וגישה, האם הקובץ נשלח למשתמשים נוספים וכן הלאה.

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *