Come usare Orca per controllare le impostazioni di Office 365 Advanced Threat Protection

Esegui Report per controllare le impostazioni anti-spam e anti-malware in un tenant di Office 365

ORCA, che sta per “Office 365 Advanced Threat Protection Recommended Configuration Analyzer “, è un modulo PowerShell scritto da Cam Murray, Microsoft Senior Premier Field Engineer, con l’aiuto di Daniel Mozes e altre persone di Microsoft.

L’idea alla base è quella di poter eseguire un semplice cmdlet di PowerShell (Get-ORCAReport) per generare una valutazione delle impostazioni anti-malware, anti-spam e altre impostazioni di igiene dei messaggi utilizzate da Exchange Online Protection (EOP) in un tenant di Office 365. Il risultato migliore si ottiene se si dispone di licenze per l’Advanced Threat Protection (ATP) perché esistono più impostazioni da verificare rispetto alle best practice.

Modulo in PowerShell Gallery

All’inizio, il cmdlet non veniva eseguito se si aveva caricato il nuovo modulo di gestione di Exchange Online basato su REST (https://office365itpros.com/2019/11/07/testing-new-exchange-online-rest-powershell-cmdlets/). È possibile scaricare il modulo più recente dalla gallery di PowerShell da qui: https://www.powershellgallery.com/packages/ORCA/1.9.11.

Esecuzione di ORCA

Eseguire ORCA è semplice:

  • installa il modulo;
  • avvia una sessione di PowerShell con un account amministratore;
  • infine, esegui il cmdlet Get-ORCAReport.

Poiché Exchange Online utilizza Remote PowerShell anziché un modulo, il cmdlet verifica la presenza del comando Connect-EXOPSSession, il che significa che è necessario avere installato il modulo REST o connettersi a Exchange Online con MFA.

All’avvio, il cmdlet esegue alcuni controlli, in seguito si connette a Exchange Online e quindi inizia a recuperare i dettagli dei vari criteri anti-malware configurati nel tenant (Figura 1).

Figura 1: esecuzione del cmdlet Get-ORCAReport

Non c’è niente di particolare nel recupero delle impostazioni dei criteri, poiché sono tutti facilmente accessibili con i cmdlet di PowerShell o accedendo alla sezione Gestione delle minacce del Centro Sicurezza e Conformità selezionando Policy.

Il report ORCA

La cosa particolare sta nel report generato da ORCA, perché è qui che vengono effettuati confronti e controlli rispetto alle impostazioni di un tenant e ai valori consigliati dagli sviluppatori di Advanced Threat Protection e da altri esperti interni di Microsoft.

Al termine, ORCA apre il report HTML in una tab del proprio browser predefinito (Figura 2). Il report è suddiviso in un riepilogo generale più diverse sezioni di igiene della posta come Spam Action e Domain Whitelisting, in cui vengono offerti consigli.

Figura 2: il report ORCA

Dopo aver esaminato i consigli, sta a te decidere se qualcuno di questi ha senso nel tuo ambiente e, in seguito, modificare i criteri pertinenti tramite il Centro sicurezza e conformità. La figura 3 mostra un esempio delle impostazioni per il criterio anti-malware in un tenant.

Figura 3: revisione delle impostazioni dei criteri anti-malware di Office 365

Conclusioni

ORCA è una fantastica aggiunta al toolkit di amministrazione di Office 365. Sappiamo quanto può essere difficile tenersi aggiornati con tutte le modifiche apportate da Microsoft per migliorare ed espandere i vari criteri utilizzati per difendere Exchange Online da malware e spam, ma essere in grado di eseguire un controllo ogni tanto solo per assicurarsi che tutto sia come dovrebbe essere risulta molto utile.


Le informazioni presenti in questo post, sono prese dall’articolo: https://office365itpros.com/2019/11/14/orca-checks-office365-atp-settings/

Microsoft rende gratuito il filtraggio dei contenuti web di Defender ATP per gli enterprise users

Il filtro dei contenuti Web, parte di Microsoft Defender Advanced Threat Protection (ATP), sarà da ora gratuito e non servirà alcuna licenza aggiuntiva per tutti i clienti enterprise.

Microsoft ha confermato la notizia in un blog (https://tinyurl.com/y3jew3bm), affermando che la mossa è arrivata a seguito dei feedback dei clienti. Lo strumento è stato reso disponibile all’uso a gennaio di quest’anno (in anteprima pubblica) e dopo di che, è stato annunciato che non sarà necessaria nessuna licenza aggiuntiva.

Come suggerisce il nome, lo strumento consentirà agli amministratori aziendali di monitorare e, se necessario, bloccare l’accesso a determinati siti Web e strumenti online. Il filtro funzionerà su Chrome e Firefox (tramite Network Protection) e su Edge (tramite SmartScreen).

“Ora si possono ottenere i vantaggi del filtraggio dei contenuti Web senza la necessità di agents, hardware e costi aggiuntivi”, ha affermato Microsoft.

Alcune delle funzionalità principali (https://www.itproportal.com/news/windows-defender-rated-as-best-antivirus-around/) includono il blocco dei siti Web, indipendentemente dal fatto che gli utenti stiano navigando in locale o fuori, l’implementazione di criteri diversi a diversi gruppi di utenti e web report accessibili dalla stessa posizione centrale.

“Ad esempio, è possibile impostare un criterio per bloccare i siti con “contenuti per adulti” in tutti i gruppi di computer e, allo stesso tempo, crearne un altro separato per bloccare i siti con “larghezza di banda elevata” solo su pochi gruppi di computer”, ha spiegato Microsoft. “Qualsiasi categoria non bloccata avrà ancora le informazioni di accesso raccolte da loro che è possibile visualizzare nei report.”

Maggiori dettagli sulla nuova offerta di sicurezza sono disponibili a questo link: https://tinyurl.com/y3jew3bm


Le informazioni presenti in questo post, sono prese dall’articolo: https://www-itproportal-com.cdn.ampproject.org/c/s/www.itproportal.com/amp/news/microsoft-defender-atp-web-content-filtering-is-now-free/

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft Defended Advanced Threat Protection (ATP) offre una varietà di strumenti che vi proteggono dagli attacchi di phising o dai siti poco sicuri.
È disponibile in diverse versioni: Microsoft Defender SmartScreen per Microsoft Edge, Microsoft Defender ATP network protection per gli altri browsers e numerazioni HTTP e HTTPS all’esterno del browser. Anche con una protezione di questo livello, Microsoft è cosciente del fatto che i team di security operations debbano poter personalizzare la protezione per il Web ed Internet a seconda delle singole esigenze dell’organizzazione.
Ora, tutto questo è possibile grazie alla console Microsoft Defender Security center.

La nuova funzionalità, attualmente in public preview, fa leva sulla protezione della rete in block mode e sull’ultima versione della piattaforma antimalware.
È consigliabile che le aziende abilitino dapprima la protezione della rete in modalità audit e, conseguentemente, si spostino in modalità di blocco.
Probabilmente, la vostra azienda utilizza metodi diversi per aggiornare la piattaforma antimalware: questo potrebbe avere come conseguenza il fatto che alcune macchine client si trovino in una versione diversa rispetto alla piattaforma. Vi consigliamo vivamente di aggiornare tutte le macchine perchè siano in grado di sfruttare la funzionalità.

Bene, ora che abbiamo parlato di prerequisiti, vediamo i vantaggi che un approccio di questo tipo può portare alle aziende.
Tenete in considerazione che gli hacker, per portare a termine i loro attacchi, utilizzano eccellenti tecniche di social engineering, in cui un URL o un indirizzo IP di phishing può essere rivolto ad un piccolo numero di utenti. Di conseguenza, è probabile che i team di security operations trovino URL maligni prima di Microsoft. Per questo motivo, hanno bisogno di strumenti veloci che blocchino questo tipo di attacchi.
Seconda cosa, le organizzazioni spesso acquistano sistemi di threat intelligence ed intendono utilizzarli per aumentare le funzionalità di threat intelligence di Microsoft.
Infine, può succedere che i servizi di intelligence e machine learning di Microsoft possano giudicare maligno un indicatore internet che impatta la produttività di un piccolo sottogruppo aziendale, come un team di security research. In questo caso, i gruppi di Security operations devono poter consentire questi indicatori, di modo che gli utenti vi accedano.

Per iniziare
Per revisionare URL, IP e domini presenti negli elenchi allow o block, seguite i seguenti passaggi:

1. Loggatevi all’interno di Microsoft Defender Security Center e recatevi su Settings > Rules > Indicators

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

2. Selezionate la tab IP addresses per visualizzare una lista di indirizzi IP.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Selezionate URLs/Domains per visualizzare la lista di URL e domini.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Per aggiungere una URL, un indirizzo IP o un dominio all’elenco di siti bloccati o permessi, seguite i seguenti passaggi.

1. Dalle impostazioni Indicators, recatevi sulla tab IP Addresses o URLs/Domains

2. Selezionate la voce Add Indicator dalla action bar

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Inserite URL o Indirizzo IP e cliccate su Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

4. Scegliete fra le azioni seguenti, scrivete un titolo ed una descrizione per l’indicatore e cliccate su Next:

a. Allow – permette URL o IP all’interno dell’azienda, indipendentemente da quanto stabilito da Microsoft;
b. Alert only – permette agli utenti di accedere all’indicatore ma mostra loro un alert;
c. Alert and block – non permette ad utenti e processi di accedere a indirizzi URL o IP e presenta un alert; mostra una notifica di blocco all’utente assieme alla richiesta di contattare il dipartimento IT;
d. Warn – avvisa gli utenti quando stanno accedendo ad URL o indirizzi IP non sicuri, ma permette loro di ignorare l’avviso.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

5. Selezionate o la voce All machines in scope o Select from list: questo vi permette di targetizzare uno specifico gruppo di macchine.
In seguito, cliccate Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

6. Selezionate Save.

Come rimuovere URL o IP dall’elenco block or allow?
– Da IP Addresses o dalla tab URLs/Domains, selezionate l’indicatore che volete eliminare;
– cliccate su Delete.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft, in questa funzionalità, vede un ottimo modo per sintonizzare le attuali funzionalità di protezione web.
Tenete anche presente che queste impostazioni sono comunicate tra client e cloud di Microsoft quindi saranno operative indipendentemente da dove si trovi il dispositivo.
Obiettivo di Microsoft è quello di portare all’interno delle Security Operation sempre più indicatori di customizzazione per proteggere le aziende.


Le informazioni presenti in questo post, sono prese dall’articolo: Microsoft Defender ATP supports custom IOCs for URLs, IP addresses, and domains.

Office 365 Advanced Threat Protection migliora la User Experience

Oggi vogliamo illustrarvi gli importanti cambiamenti alla user experience di Advanced Threat Protection.
L’obiettivo di Microsoft è quello di dare agli utenti la possibilità di prendere decisioni migliori che permettano di godere di una protezione proattiva.
Le nuove funzionalità danno agli utenti maggiori informazioni, rendendoli più autonomi ed in grado di prendere decisioni ragionate in tutta sicurezza.

Native Link Rendering
Il Native Link Rendering è ora disponibile per i clienti che utilizzano le Office Web Application (OWA).
Presto sarà messa a disposizione anche dei client Outlook. Questa nuova funzionalità, mostra il link originale all’utente, mentre il sistema lo trattiene in back end per analizzarlo.
Nessun’altra soluzione di sicurezza avanzata è in grado di fornire una funzionalità così potente e importante.
Il Native Link Rendering era molto richiesto dagli utenti poichè supporta l’educazione degli utenti finali fornendo loro visibilità dell’URL originale.

La feature ATP Safe Links ‘time-of-click-protection’ protegge gli utenti dalla navigazione su siti maligni. Per farlo, Safe Link cattura il link nel momento del click, offuscando l’URL originale: questo toglie agli utenti la possibilità di sapere come possa figurare una URL maligna. Per far sì che i clienti acquisiscano maggiore sicurezza e conoscenza sugli indicatori di link maligni, è necessario che il link originale venga mostrato.
La funzione di Native Link Rendering permette agli utenti di visualizzare il link originale. É una funzionalità unica e molto importante poichè fa sì che gli utenti prendano coscienza e siano più smart nei confronti dei link malevoli. Microsoft crede che educazione e presa di coscienza siano elementi fondamentali per la sicurezza ed il Native Link Rendering nasce proprio per educare e migliorare la consapevolezza degli utenti dando loro gli elementi per riconoscere le cyber minacce.

Office 365 Advanced Threat Protection migliora la User Experience
In questa immagine, la funzionalità di Native Link Rendering mostra la URL originale

Migliorate le pagine di Safe Links Warning
La user experience viene ulteriormente migliorata grazie alle pagine di Safe Links warning.
Di cosa si tratta? Sono pagine che forniscono dettagli specifici sul perchè venga generato un allarme. Le pagine di alert variano dal notificare all’utente che il link è ancora sotto analisi ad un avvertimento di errore generico.

Riepilogo delle pagine di Safe Links Warning
Riepilogo delle pagine di Safe Links Warning

Con queste informazioni aggiuntive, gli utenti hanno una percezione maggiore sul perchè un link venga segnalato.
In questo modo, anche l’utente finale ha la visibilità del quando e perchè le minacce vengano bloccate. Inoltre, utenti più informati possono prendere decisioni più ragionate e proteggersi meglio dalle minacce.

Feedback
Come di consueto, Microsoft chiede il feedback degli utenti, la loro voce è essenziale per continuare a migliorare ed aggiungere funzionalità che permettano di rendere Office 365 ancora più sicuro.