Come usare Orca per controllare le impostazioni di Office 365 Advanced Threat Protection

Esegui Report per controllare le impostazioni anti-spam e anti-malware in un tenant di Office 365

ORCA, che sta per “Office 365 Advanced Threat Protection Recommended Configuration Analyzer “, è un modulo PowerShell scritto da Cam Murray, Microsoft Senior Premier Field Engineer, con l’aiuto di Daniel Mozes e altre persone di Microsoft.

L’idea alla base è quella di poter eseguire un semplice cmdlet di PowerShell (Get-ORCAReport) per generare una valutazione delle impostazioni anti-malware, anti-spam e altre impostazioni di igiene dei messaggi utilizzate da Exchange Online Protection (EOP) in un tenant di Office 365. Il risultato migliore si ottiene se si dispone di licenze per l’Advanced Threat Protection (ATP) perché esistono più impostazioni da verificare rispetto alle best practice.

Modulo in PowerShell Gallery

All’inizio, il cmdlet non veniva eseguito se si aveva caricato il nuovo modulo di gestione di Exchange Online basato su REST (https://office365itpros.com/2019/11/07/testing-new-exchange-online-rest-powershell-cmdlets/). È possibile scaricare il modulo più recente dalla gallery di PowerShell da qui: https://www.powershellgallery.com/packages/ORCA/1.9.11.

Esecuzione di ORCA

Eseguire ORCA è semplice:

  • installa il modulo;
  • avvia una sessione di PowerShell con un account amministratore;
  • infine, esegui il cmdlet Get-ORCAReport.

Poiché Exchange Online utilizza Remote PowerShell anziché un modulo, il cmdlet verifica la presenza del comando Connect-EXOPSSession, il che significa che è necessario avere installato il modulo REST o connettersi a Exchange Online con MFA.

All’avvio, il cmdlet esegue alcuni controlli, in seguito si connette a Exchange Online e quindi inizia a recuperare i dettagli dei vari criteri anti-malware configurati nel tenant (Figura 1).

Figura 1: esecuzione del cmdlet Get-ORCAReport

Non c’è niente di particolare nel recupero delle impostazioni dei criteri, poiché sono tutti facilmente accessibili con i cmdlet di PowerShell o accedendo alla sezione Gestione delle minacce del Centro Sicurezza e Conformità selezionando Policy.

Il report ORCA

La cosa particolare sta nel report generato da ORCA, perché è qui che vengono effettuati confronti e controlli rispetto alle impostazioni di un tenant e ai valori consigliati dagli sviluppatori di Advanced Threat Protection e da altri esperti interni di Microsoft.

Al termine, ORCA apre il report HTML in una tab del proprio browser predefinito (Figura 2). Il report è suddiviso in un riepilogo generale più diverse sezioni di igiene della posta come Spam Action e Domain Whitelisting, in cui vengono offerti consigli.

Figura 2: il report ORCA

Dopo aver esaminato i consigli, sta a te decidere se qualcuno di questi ha senso nel tuo ambiente e, in seguito, modificare i criteri pertinenti tramite il Centro sicurezza e conformità. La figura 3 mostra un esempio delle impostazioni per il criterio anti-malware in un tenant.

Figura 3: revisione delle impostazioni dei criteri anti-malware di Office 365

Conclusioni

ORCA è una fantastica aggiunta al toolkit di amministrazione di Office 365. Sappiamo quanto può essere difficile tenersi aggiornati con tutte le modifiche apportate da Microsoft per migliorare ed espandere i vari criteri utilizzati per difendere Exchange Online da malware e spam, ma essere in grado di eseguire un controllo ogni tanto solo per assicurarsi che tutto sia come dovrebbe essere risulta molto utile.


Le informazioni presenti in questo post, sono prese dall’articolo: https://office365itpros.com/2019/11/14/orca-checks-office365-atp-settings/