Protezione dalle minacce passo passo in Microsoft Defender per Office 365

La protezione di Microsoft Defender per Office 365 può essere suddivisa in 4 fasi. In generale, la posta in arrivo passa attraverso tutte queste fasi prima del recapito, ma il percorso effettivo dell’e-mail è soggetto alla configurazione di Defender per Office 365 all’ interno dell’organizzazione.

Fase 1 – Protezione di Edge

Sfortunatamente, i blocchi Edge che una volta erano critici sono ora relativamente semplici da superare per i malintenzionati. Nel tempo, qui viene bloccato meno traffico, ma rimane una parte importante dello stack.

Questi blocchi sono progettati per essere automatici. In caso di falso positivo, i mittenti verranno informati su come affrontare il problema. Partner fidati con reputazione limitata possono garantire la consegna oppure è possibile implementare sostituzioni temporanee durante l’onboarding di nuovi endpoint.

  1. La limitazione della rete protegge l’infrastruttura di Office 365 e i clienti dagli attacchi Denial of Service (DOS) limitando il numero di messaggi che possono essere inviati da un set specifico di infrastruttura.
  2. La reputazione e la limitazione dell’IP bloccheranno i messaggi inviati da indirizzi IP di connessione errati noti. Se un IP specifico invia molti messaggi in un breve periodo di tempo, questi verranno limitati.
  3. La reputazione del dominio bloccherà tutti i messaggi inviati da un dominio danneggiato noto.
  4. Il filtro perimetrale basato sulla directory blocca i tentativi di raccogliere le informazioni sulla directory di un’organizzazione tramite SMTP.
  5. Il rilevamento della retrodiffusione impedisce a un’organizzazione di essere attaccata tramite rapporti di mancato recapito (NDR) non validi.
  6. Il filtro avanzato per i connettori preserva le informazioni di autenticazione anche quando il traffico passa attraverso un altro dispositivo prima che raggiunga Office 365. Ciò migliora l’accuratezza dello stack di filtraggio, inclusi i modelli di machine learning di clustering euristico, anti-spoofing e anti-phishing, anche in scenari di routing complessi o ibridi.

Fase 2 – Sender Intelligence

Le funzionalità dell’intelligence del mittente sono fondamentali per il rilevamento di spam, messaggi in blocco, impersonificazione e falsificazione non autorizzati, nonché per il rilevamento del phishing. La maggior parte di queste funzionalità sono configurabili individualmente.

  1. I trigger e gli avvisi di rilevamento della compromissione dell’account vengono generati quando un account ha un comportamento anomalo, coerente con la compromissione. In alcuni casi, l’account utente viene bloccato e gli viene impedito di inviare ulteriori messaggi di posta elettronica fino a quando il problema non viene risolto dal team di sicurezza dell’organizzazione.
  2. L’autenticazione e-mail coinvolge sia metodi configurati dal cliente sia metodi impostati nel Cloud, volti a garantire che i mittenti siano mailer autentici e autorizzati. Questi metodi resistono allo spoofing.
    • SPF può rifiutare la posta in base ai record TXT DNS che elencano gli indirizzi IP e i server autorizzati a inviare posta per conto dell’organizzazione.
    • DKIM fornisce una firma crittografata che autentica il mittente.
    • DMARC consente agli amministratori di contrassegnare SPF e DKIM come richiesto nel proprio dominio e impone l’allineamento tra i risultati di queste due tecnologie.
    • ARC non è configurato dal cliente, ma si basa su DMARC per lavorare con l’inoltro nelle mailing list, durante la registrazione di una catena di autenticazione.
  3. Lo spoofing intelligente è in grado di filtrare coloro che sono autorizzati a “falsificare” (ovvero, coloro che inviano posta per conto di un altro account o inoltro per una mailing list) da spoofer dannosi che imitano un dominio aziendale o esterno noto. Separa la posta legittima “per conto di” dallo spoofing dei mittenti per recapitare messaggi di spam e phishing. L’intelligence di spoofing intra-org rileva e blocca i tentativi di spoofing da un dominio all’interno dell’organizzazione.
  4. L’intelligence di spoofing tra domini rileva e blocca i tentativi di spoofing da un dominio esterno all’organizzazione.
  5. Il filtro in blocco consente agli amministratori di configurare un BCL (Bulk Confidence Level) che indica se il messaggio è stato inviato da un mittente in blocco. Gli amministratori possono utilizzare Bulk Slider nel criterio Antispam per decidere quale livello di posta in blocco considerare come spam.
  6. L’intelligenza delle cassette postali apprende dai comportamenti di posta elettronica degli utenti standard. Sfrutta il grafico di comunicazione di un utente per rilevare quando un mittente sembra essere solo qualcuno con cui l’utente comunica di solito, ma in realtà è dannoso.
  7. La rappresentazione dell’intelligence delle cassette postali abilita o disabilita i risultati della rappresentazione avanzata in base alla mappa del mittente di ciascun utente. Quando è abilitata, questa funzione aiuta a identificare la rappresentazione.
  8. Il furto d’identità dell’utente consente a un amministratore di creare un elenco di obiettivi di alto valore che potrebbero essere impersonati. Se arriva un messaggio in cui solo il mittente sembra avere lo stesso nome e indirizzo dell’account di alto valore protetto, il messaggio viene contrassegnato. (Ad esempio, trαcye@contoso.com per tracye@contoso.com ).
  9. La rappresentazione del dominio rileva domini simili a quelli del destinatario e che tentano di apparire come un dominio interno. Ad esempio, questa rappresentazione tracye@liwαre.com per tracye@litware.com .

Fase 3 – Filtro dei contenuti

In questa fase lo stack di filtraggio inizia a gestire il contenuto specifico della posta, inclusi i suoi collegamenti ipertestuali e gli allegati.

  1. Le regole di trasporto (note anche come regole del flusso di posta o regole di trasporto di Exchange) consentono a un amministratore di eseguire un’ampia gamma di azioni quando viene soddisfatta una gamma altrettanto ampia di condizioni per un messaggio. Tutti i messaggi che passano attraverso l’organizzazione vengono valutati rispetto alle regole del flusso di posta / regole di trasporto abilitate.
  2. Microsoft Defender Antivirus e due motori antivirus di terze parti vengono utilizzati per rilevare tutto il malware noto negli allegati.
  3. I motori antivirus (AV) vengono utilizzati anche per il tipo true di tutti gli allegati, in modo che il blocco del tipo possa bloccare tutti gli allegati del tipo specificato dall’amministratore.
  4. Ogni volta che Microsoft Defender per Office 365 rileva un allegato dannoso, l’hash del file e un hash del suo contenuto attivo vengono aggiunti alla reputazione di Exchange Online Protection (EOP). Il blocco della reputazione degli allegati bloccherà quel file su tutto Office 365 e sugli endpoint tramite chiamate cloud MSAV.
  5. Il clustering euristico può determinare se un file è sospetto in base all’euristica di consegna. Quando viene rilevato un allegato sospetto, l’intera campagna viene messa in pausa e il file viene sottoposto a sandbox. Se il file viene rilevato come dannoso, l’intera campagna viene bloccata.
  6. I modelli di machine learning agiscono sull’intestazione, sul contenuto del corpo e sugli URL di un messaggio per rilevare i tentativi di phishing.
  7. Microsoft utilizza una determinazione della reputazione dal sandboxing URL, nonché la reputazione dell’URL da feed di terze parti nel blocco della reputazione URL, per bloccare qualsiasi messaggio con un URL dannoso noto.
  8. L’euristica dei contenuti può rilevare messaggi sospetti in base alla struttura e alla frequenza delle parole all’interno del corpo del messaggio, utilizzando modelli di apprendimento automatico.
  9. Safe Attachments esegue il sandbox di ogni allegato per i clienti di Defender per Office 365, utilizzando l’analisi dinamica per rilevare minacce mai viste prima.
  10. La detonazione del contenuto collegato tratta ogni URL che collega a un file in un’e-mail come un allegato, eseguendo il sandboxing asincrono del file al momento della consegna.
  11. La detonazione dell’URL si verifica quando la tecnologia anti-phishing a monte rileva un messaggio o un URL sospetto. La detonazione degli URL esegue il sandbox degli URL nel messaggio al momento della consegna.

Fase 4 – Protezione post-consegna

L’ultima fase avviene dopo la consegna della posta o dei file, agendo sulla posta che si trova in varie cassette postali e file che appaiono in client come Microsoft Teams.

  1. Safe Links è la protezione time-of-click di MDO. Ogni URL in ogni messaggio viene racchiuso in modo da puntare ai server Microsoft Safe Links. Quando si fa clic su un URL, viene confrontato con la reputazione più recente, prima che l’utente venga reindirizzato al sito di destinazione. L’URL viene sottoposto a sandbox in modo asincrono per aggiornare la sua reputazione.
  2. Phish Zero-Hour Auto-purge (ZAP) rileva e neutralizza retroattivamente i messaggi di phishing dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  3. Malware ZAP rileva e neutralizza retroattivamente i messaggi di malware dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  4. Spam ZAP rileva e neutralizza retroattivamente i messaggi di spam dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  5. Campaign Views consentono agli amministratori di vedere il quadro generale di un attacco, più rapidamente e in modo più completo, di quanto qualsiasi team potrebbe senza automazione. Microsoft sfrutta l’enorme quantità di dati anti-phishing, anti-spam e anti-malware nell’intero servizio per aiutare a identificare le campagne e quindi consente agli amministratori di esaminarle dall’inizio alla fine, inclusi obiettivi, impatti e flussi, che sono disponibile anche in un articolo scaricabile sulla campagna.
  6. I Report Message add-ins consentono alle persone di segnalare facilmente i falsi positivi (email erroneamente contrassegnate come cattive) o falsi negativi (e-mail contrassegnate come buone) a Microsoft per ulteriori analisi.
  7. I collegamenti sicuri per i client Office offrono la stessa protezione al momento del clic di collegamenti sicuri, in modo nativo, all’interno dei client Office come Word, PowerPoint ed Excel.
  8. La protezione per OneDrive, SharePoint e Teams offre la stessa protezione degli allegati sicuri da file dannosi, in modo nativo, all’interno di OneDrive, SharePoint e Microsoft Teams.
  9. Quando viene selezionato un URL che punta a un file dopo la consegna, la detonazione del contenuto collegato visualizza una pagina di avviso fino a quando il sandboxing del file non è completo e l’URL non è ritenuto sicuro.

Il diagramma dello stack di filtraggio

Il diagramma finale (come tutte le parti del diagramma che lo compone) è soggetto a modifiche man mano che il prodotto cresce e si sviluppa. Questo è lo stack con tutte le fasi in ordine:


Le informazioni presenti in questo post, sono prese dall’articolo: https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/protection-stack-microsoft-defender-for-office365?view=o365-worldwide